每日安全简讯(20230924)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 乌克兰黑客组织攻陷FDM软件官网传播Linux恶意程序

Free Download Manager (FDM) 的维护者承认发生了一次可追溯至 2020 年的安全事件，导致其网站被用来分发恶意 Linux 软件。该公司网站上的一个特定网页似乎已被乌克兰黑客组织破坏，并利用该网页传播恶意软件。只有一小部分用户，特别是那些在 2020 年至 2022 年间尝试下载 Linux 版 FDM 的用户，可能会受到影响。据估计，只有不到 0.1% 的访问者遇到过这个问题，这可能就是这个问题直到现在才被发现的原因。该软件包进一步配置为部署基于 DNS 的后门，并最终为能够从受感染系统收集敏感数据的 Bash 窃取恶意软件提供服务。FDM 表示，其调查发现其网站上的一个脚本存在漏洞，黑客利用该漏洞篡改下载页面，并将网站访问者引导至托管恶意 .deb 文件的虚假域名 deb.fdmpkg[.]org。FDM 发布了一个脚本，该脚本将扫描 Linux 计算机，以检查它们是否感染了该活动中的信息窃取恶意软件。用户应注意，扫描仪脚本只会通过查找系统上是否存在某些文件来识别是否安装了恶意软件，但不会删除它们。因此，如果扫描仪发现任何内容，用户必须手动删除恶意软件或使用其他安全工具来定位并根除恶意软件文件。 FDM 建议的操作是重新安装系统。

https://www.freedownloadmanager.org/blog/?p=664

---

2 攻击者在GitHub发布虚假的WinRAR漏洞POC以传播Venom远控

恶意行为者针对 GitHub 上最近披露的 WinRAR 漏洞发布了虚假概念验证 (PoC) 漏洞，目的是用 Venom RAT 恶意软件感染下载代码的用户。攻击者利用此 WinRAR 漏洞的虚假 PoC 是基于公开可用的 PoC 脚本，该脚本利用了名为 GeoServer 的应用程序中的 SQL 注入漏洞，该漏洞被跟踪为 CVE-2023-25157。托管该存储库的GitHub 帐户halersplonk不再可访问。据称该 PoC 于 2023 年 8 月 21 日提交，即该漏洞公开宣布四天后。CVE-2023-40477 涉及WinRAR 实用程序中的不正确验证问题，该实用程序可被利用以在 Windows 系统上实现远程代码执行 (RCE)。

https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/

---

3 恶意npm软件包针对Kubernetes配置和SSH密钥进行窃密攻击

网络安全研究人员在 npm 软件包注册表中发现了一批新的恶意软件包，这些软件包旨在将 Kubernetes 配置和 SSH 密钥从受感染的计算机窃取到远程服务器。研究人员表示，到目前为止，它已经发现了 14 个不同的 npm 包。这些软件包试图冒充 JavaScript 库和组件，例如 ESLint 插件和 TypeScript SDK 工具。但是，在安装后，发现该软件包的多个版本运行混淆代码，以从目标计算机收集敏感文件。除了 Kubernetes 配置和 SSH 密钥之外，这些模块还能够收集系统元数据，例如用户名、IP 地址和主机名，所有这些都会传输到名为 app.thretest[.]com 的域。

https://blog.sonatype.com/npm-packages-caught-exfiltrating-kubernetes-config-ssh-keys?&web_view=true

---

4 TransUnion否认遭到黑客攻击并称泄露数据来源为第三方

信用报告公司 TransUnion 否认了安全漏洞的指控，此前一名名为 USDoD 的威胁行为者泄露了据称从该公司网络窃取的数据。这家总部位于芝加哥的公司拥有 10000 多名员工，为来自 30 个国家/地区的数百万消费者和 65000 多家企业提供服务。该公司表示，发现这些说法后，我们立即与外部网络安全和法医专家合作展开彻底调查。目前，我们以及我们的内部和外部专家没有发现任何迹象表明 TransUnion 系统已被破坏或数据已从我们的环境中泄露。对这些指控的调查发现，美国国防部泄露的信息很可能是从另一个组织的系统获得的，因为数据及其格式与 TransUnion 的不同。TransUnion表示，通过调查，我们发现这些消息的多个方面，包括数据、格式和字段，与 TransUnion 的数据内容或格式不匹配，这表明任何此类数据都来自第三方。

https://newsroom.transunion.com/transunion-statement-regarding-some-limited-online-activity-alleging-that-data-obtain-from-multiple-entities-including-transunion-will-be-released-read-full-statement/

---

5 Nagios XI网络监控软件中存在严重安全漏洞

Nagios XI 网络监控软件中已披露多个安全漏洞，可能导致权限升级和信息泄露。从 CVE-2023-40931 到 CVE-2023-40934 跟踪的四个安全漏洞影响 Nagios XI 版本 5.11.1 及更低版本。继 2023 年 8 月 4 日负责任地披露后，它们已于 2023 年 9 月 11 日进行了修补，发布了 5.11.2 版本。其中三个漏洞（CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934）允许具有不同权限级别的用户通过 SQL 注入访问数据库字段。从这些漏洞中获得的数据可能会被用来进一步提升产品的权限，并获取敏感的用户数据，例如密码哈希值和 API 令牌。

https://outpost24.com/blog/nagios-xi-vulnerabilities/

---

6 T-Mobile应用程序故障可允许用户查看他人帐户信息

T-Mobile 客户表示，他们在登录该公司的官方移动应用程序后可以看到其他人的帐户和账单信息。根据社交媒体上的用户报告，暴露的信息包括客户的姓名、电话号码、地址、账户余额以及信用卡详细信息，例如到期日期和最后四位数字。一些受此问题影响的客户在登录自己的帐户时可能会看到其他多人的敏感信息。虽然今天早些时候 Reddit 和 Twitter 上开始出现大量报告，但一些 T-Mobile 客户也声称他们在过去两周内一直遇到这种情况。

https://www.bleepingcomputer.com/news/security/t-mobile-app-glitch-let-users-see-other-peoples-account-info/

---