每日安全简讯(20230609)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《通过视频网站传播的RecordBreaker窃密木马分析》报告

近期，安天CERT监测到通过视频网站进行传播的攻击活动。攻击者窃取订阅者数量超过10万的视频创作者账号，发布与破解版热门软件相关的演示视频，诱导受害者下载RecordBreaker窃密木马。RecordBreaker窃密木马是Raccoon窃密木马的2.0版本，该窃密木马从C2服务器接收配置信息，根据配置信息中的内容窃取相应的敏感信息，并根据其中的URL下载载荷文件，最终投递Laplas Clipper木马和一个挖矿木马。在本次攻击活动中，攻击者专门窃取具备认证且订阅人数达到10万以上的视频创作者账号，发布经过剪辑的演示视频，试图以这种方式快速扩大传播范围并提高攻击成功率。

https://mp.weixin.qq.com/s/K8r6ZLC9LX6fRx-zwTR_hw

---

2 Prism Launcher官网被黑客入侵，用户需注意

根据Prism Launcher官网的公告，该网站在2023年6月7日被一名黑客入侵，导致部分用户的电子邮件地址和密码被泄露。Prism Launcher是一个开源的Minecraft启动器，可以管理多个实例、账户和模组。该网站表示，黑客利用了Cloudflare的一个漏洞，绕过了防火墙，然后利用了一个未知的PHP漏洞，执行了任意代码，从而获取了数据库的访问权限。该网站已经修复了漏洞，并重置了所有用户的密码。该网站建议受影响的用户尽快修改自己在其他网站上使用的相同或类似的密码，并提高对钓鱼邮件和恶意软件的警惕性。该网站还表示，黑客没有篡改或删除任何文件或数据，也没有影响到Prism Launcher本身的功能和安全性。

https://prismlauncher.org/news/cf-compromised-alert/

---

3 美国多家机构遭遇匿名苏丹发动的DDoS攻击

一个名为匿名苏丹(Anonymous Sudan)的黑客组织近期发动了一波针对美国多家机构的分布式拒绝服务(DDoS)攻击，其中包括微软、Lyft和一些医院。匿名苏丹是一个声称从事网络行动主义和黑客活动的组织，他们是更大的匿名(Anonymous)网络的一部分，后者是一个由不同国家和地区的黑客和活动家组成的松散联盟。匿名苏丹声称，他们发动这些攻击是为了抗议美国政府干涉苏丹的内政，并警告他们可以随时攻击任何美国公司。匿名苏丹在其加密的Telegram频道上发布了一些攻击的截图和证据，显示他们成功地使一些网站无法访问或缓慢加载。其中，微软的Outlook服务在2023年6月6日和7日分别出现了两次大规模的中断，影响了数千名用户。匿名苏丹嘲笑微软无法抵御攻击，并要求他们支付100万美元作为赎金。微软则表示，这些中断是由技术问题引起的，并已经采取了相应的措施。除了微软之外，匿名苏丹还声称攻击了Lyft、Lovelace Health Systems、Hudson Regional Hospital和Exeter Hospital等网站。

https://blog.cyble.com/2023/06/07/anonymous-sudan-launches-fresh-wave-of-ddos-attacks-on-american-organizations-including-microsoft/

---

4 VMware产品存在严重漏洞，可被远程执行代码

VMware Aria Operations for Networks(原名vRealize Network Insight)存在一个严重的漏洞(CVE-2023-20887)，可被未经身份验证的攻击者利用，远程执行任意代码。VMware Aria Operations for Networks是一个网络和应用监控工具，可以监控、发现和分析多云环境中的网络和应用，构建一个优化、高可用和安全的网络基础设施。该漏洞是由于该产品在处理用户输入时缺乏适当的验证，导致攻击者可以通过发送特制的请求，触发命令注入漏洞，从而在目标系统上执行任意代码。该漏洞影响了VMware Aria Operations for Networks 6.0.x、6.1.x、6.2.x、6.3.x和6.4.x版本1。VMware已经发布了安全公告，并提供了相应的补丁和临时解决方案。VMware建议受影响的用户尽快更新到最新版本或采取必要的措施，防止该漏洞被恶意利用。

https://www.vmware.com/security/advisories/VMSA-2023-0012.html

---

5 Barracuda建议用户尽快更换Web应用防火墙设备

Barracuda Networks公司近日发布了一份紧急通知，建议用户尽快更换其Web应用防火墙(WAF)设备，因为这些设备已经过时，无法支持最新的安全功能和更新。Barracuda Web应用防火墙是一种保护网站和应用免受各种网络攻击的解决方案，包括OWASP Top 10、零日威胁、数据泄露和应用层拒绝服务(DoS)攻击。该公司表示，其部分WAF设备已经达到或即将达到终止支持(EoS)或终止生命周期(EoL)的状态，这意味着这些设备将不再接收安全补丁、固件更新或技术支持。这些设备包括WAF 360、WAF 460、WAF 660、WAF 860、WAF 960和WAF 6000等型号。Barracuda建议用户尽快升级到其最新的WAF设备或云服务，以享受更高的性能、可扩展性和安全性。Barracuda强调，使用过时的WAF设备将使用户面临严重的安全风险，因为这些设备可能无法阻止新出现的攻击手法和漏洞利用。因此，用户应该及时采取行动，保护自己的网站和应用免受黑客的侵害。

https://www.barracuda.com/company/legal/esg-vulnerability

---

6 Cisco Expressway存在权限提升漏洞，可被本地用户利用

根据Cisco的安全公告，Cisco Expressway存在一个权限提升漏洞(CVE-2023-20887)，可被本地用户利用，获取root用户的权限。Cisco Expressway是一种通信网关，可以提供防火墙外部的用户简单、高度安全的访问所有协作工作负载，包括视频、语音、内容、即时消息和在线状态。该漏洞是由于Cisco Expressway在处理特定的文件时缺乏适当的权限检查，导致本地用户可以修改这些文件，从而触发一个条件竞争漏洞，获得root用户的权限。该漏洞影响了Cisco Expressway X12.6.4、X12.7.1和X12.7.2版本。Cisco已经发布了安全更新，并提供了相应的修复指南。Cisco建议受影响的用户尽快更新到最新版本或采取必要的措施，防止该漏洞被恶意利用。用户可以通过访问Cisco的官方网站，获取更多的漏洞详情和更新指南。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-priv-esc-Ls2B9t7b

---