每日安全简讯(20230627)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型Mirai变种利用8个漏洞攻击多种IoT设备

研究人员介绍了一种新发现的Mirai变种，它能利用8个新的漏洞攻击多种嵌入式设备，包括无线演示系统、机顶盒、SD-WAN和智能家居控制器等。Mirai是一种自2016年以来就存在的恶意软件，主要用于发动DDoS攻击和自我传播。研究人员分析了这种新型Mirai变种的感染流程、攻击载荷、C2服务器和目标设备，并给出了一些防御建议。还提供了一些IoT设备安全的最佳实践，例如更改默认密码、禁用不必要的服务、及时更新固件等。

https://unit42.paloaltonetworks.com/mirai-variant-targets-iot-exploits/

---

2 LockBit勒索软件瞄准苹果M1芯片和嵌入式系统

研究人员介绍LockBit勒索软件团伙正在开发针对苹果M1芯片和嵌入式系统的勒索软件。这些目标都是传统的Windows环境之外的，可能给受害者带来全新的问题。研究人员指出，LockBit是一个提供勒索软件即服务(RaaS)的团伙，它利用自动传播的恶意软件和双重加密的方法来进行攻击。研究人员还提到了LockBit的一些特点，如三重勒索的方法、先进的技术、高危的网络攻击和对合作伙伴的大力推广。研究人员建议企业采取结构化的漏洞管理流程来保护自己，根据严重性和风险优先处理威胁。

https://securelist.com/crimeware-report-lockbit-switchsymb/110068/

---

3 研究人员发布了针对Cisco AnyConnect Secure漏洞的PoC

研究人员介绍了一个高危漏洞(CVE-2023-20178)的证明概念(PoC)利用代码，该漏洞影响思科AnyConnect安全移动客户端软件(Windows版)和思科安全客户端软件(Windows版)。该漏洞存在于客户端更新过程中，如果攻击者已经在本地以低权限用户登录，就可以利用该漏洞提升为SYSTEM权限。这是因为在更新过程中创建的临时目录被赋予了不恰当的权限，攻击者可以通过滥用Windows安装程序进程的一个特定函数来执行任意代码。该漏洞的PoC利用代码是由一名名为@_niklasb的安全研究员在GitHub上发布的，他表示该漏洞可以在Windows 10上成功利用。思科已经发布了修复该漏洞的软件更新，并建议用户尽快安装。

https://github.com/Wh04m1001/CVE-2023-20178/blob/main/README.md

---

4 LastPass用户因MFA重置而被锁定账户

LastPass用户在5月初收到要求重置多因素认证(MFA)应用的电子邮件后，无法访问他们的密码库。LastPass是一款流行的密码管理器，可以让用户在不同的设备和浏览器上安全地存储和同步他们的密码。为了提高安全性，LastPass还支持多种MFA选项，包括Google Authenticator、Microsoft Authenticator、YubiKey等。然而，一些LastPass用户在5月初收到了一封来自LastPass的电子邮件，称由于“技术原因”，他们需要重新设置他们的MFA应用。电子邮件中还提供了一个链接，引导用户到一个网页，要求他们扫描一个二维码来重新绑定他们的MFA应用。但是，许多用户发现，即使他们按照指示操作，他们仍然无法登录他们的LastPass账户，因为MFA应用生成的验证码无效。有些用户甚至没有收到重置MFA应用的电子邮件，却发现自己被锁定在账户外。

https://www.bleepingcomputer.com/news/security/lastpass-users-furious-after-being-locked-out-due-to-mfa-resets/

---

5 Grafana发布安全更新以修复CVE-2023-3128严重漏洞

Grafana发布了新版本的软件，修复了一个严重的安全漏洞，编号为CVE-2023-3128。该漏洞存在于Grafana的数据源配置页面中，如果攻击者能够访问该页面，就可以利用该漏洞执行任意代码。这是因为在数据源配置页面中，有一个“测试”按钮，可以用来测试数据源的连接和查询。但是，这个按钮没有对用户输入进行充分的验证和转义，导致了一个存储型跨站脚本(XSS)漏洞。如果攻击者能够在数据源配置页面中插入恶意代码，并诱使其他用户点击“测试”按钮，就可以触发该漏洞，并以受害者的身份执行任意代码。 这可能导致数据泄露、权限提升、会话劫持等后果。Grafana已经发布了修复该漏洞的软件更新，并建议用户尽快升级。

https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/

---

6 美国陆军人员中出现疑似携带恶意软件的智能手表

美国军方刑事调查部门(CID)警告军人注意邮寄到他们手中的未经请求的智能手表，这些手表可能携带恶意软件，或者允许未经授权的访问敏感系统。据报道，一些美国军人在过去几个月里收到了来自不同发件人的智能手表，这些手表没有任何说明或发票，也没有任何标识。这些手表看起来像普通的健身追踪器，但是有一些奇怪的特征，比如没有品牌名称、没有电源开关、没有充电器、没有蓝牙功能等。CID怀疑这些手表可能是一种网络攻击的工具，因为它们可以自动连接到当地的无线网络，并且也可以连接到手机，从而访问用户的数据。这些数据可能是私密的，并且可以被用来利用受害者。另外，这些手表也可能携带恶意软件，可以让攻击者访问、保存或传输数据，比如银行信息、账户信息或个人联系人。

https://www.darkreading.com/threat-intelligence/suspicious-smartwatches-mailed-us-army-personnel

---