每日安全简讯(20231011)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 佛罗里达州巡回法院遭ALPHV勒索软件攻击

据报道，ALPHV(又名BlackCat)勒索软件团伙声称对佛罗里达州西北部的州立法院发动了一次攻击，这些法院属于第一司法巡回法院。据称，威胁者获取了包括法官在内的员工的个人信息，如社会保障号和简历。研究人员表示，ALPHV是今年最复杂的勒索软件之一，具有高度可定制的功能集，可以对各种目标进行攻击。ALPHV团伙在其暗网网站上公布了部分被盗数据的截图，并要求受害者支付赎金，否则将泄露更多数据。佛罗里达州第一司法巡回法院已经确认了这次网络攻击，并表示正在与联邦和州级执法机构合作，调查事件并恢复系统。目前尚不清楚攻击者是否已经加密了受影响的系统，以及赎金的具体金额。

https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/

---

2 Volex PLC遭黑客入侵部分IT系统和数据

Volex PLC是一家总部位于英国的电力和数据传输产品制造商，其产品广泛应用于汽车、医疗、工业和消费电子领域。报道称，该公司近日遭受了一次网络攻击，导致攻击者未经授权地访问了该公司的部分IT 统和数据。Volex PLC表示，该公司在发现攻击后迅速采取了应对措施，并实施了一项事件响应计划。该公司还声称，目前没有证据表明该事件造成了“重大财务影响”，也没有影响到其客户或供应商的数据。Volex PLC表示，该公司正在与相关当局合作，调查事件的原因和影响，并采取适当的补救措施。该公司还表示，将继续评估其网络安全控制，并采取必要的改进措施，以防止类似事件的再次发生。

https://www.hackread.com/uk-power-data-manufacturer-volex-cyberattack/

---

3 黑客利用Citrix NetScaler漏洞窃取用户凭证

一项最近披露的Citrix NetScaler ADC和Gateway设备的严重漏洞正在被威胁行为者利用，进行用户凭证收集活动。研究人员在上个月发现了这一活动，称对手利用CVE-2023-3519攻击未打补丁的NetScaler Gateway，将恶意脚本插入到身份验证网页的HTML内容中，以捕获用户凭证。CVE-2023-3519(CVSS评分：9.8)是一个严重的代码注入漏洞，可能导致未经身份验证的远程代码执行。Citrix在2023年7月修复了这个问题，并警告存在野外利用的情况。成功利用此漏洞需要将设备配置为Gateway(VPN虚拟服务器、ICA代理、CVPN、RDP代理)或认证、授权和审计(AAA)虚拟服务器。研究人员表示，它发现了至少600个具有修改过的NetScaler Gateway登录页面的唯一受害者IP地址，其中大部分位于美国和欧洲。这些攻击被认为是机会主义的，因为添加的内容出现不止一次。目前尚不清楚这一活动何时开始，但最早的登录页面修改是在2023年8月11日，表明它已经进行了近两个月。它尚未归因于任何已知的威胁行为者或组织。

https://securityintelligence.com/x-force/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign/

---

4 libcue库漏洞导致GNOME Linux系统遭受远程代码执行攻击

libcue是一个用于解析cue文件的库，它被集成到了GNOME Linux系统中的一款搜索引擎工具Tracker Miners中。Tracker Miners可以对系统中的文件进行索引，方便用户访问。然而，近日发现libcue库存在一个严重的内存损坏漏洞，编号为CVE-2023-43641，CVSS评分为8.8。该漏洞影响了2.2.1及之前的版本，如果被利用，可能导致远程代码执行(RCE)。该漏洞的利用方式非常简单，只需诱使受害者点击一个恶意链接并下载一个.cue文件，就可以在其机器上执行代码。这是因为.cue文件会被保存到“~/Downloads”目录下，然后被Tracker Miners自动扫描，并使用libcue库进行解析。在解析过程中，恶意文件就会触发漏洞，并获取代码执行权限。

https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/

---

5 WordPress插件tagDiv的漏洞被利用，数千个网站遭到黑客攻击

WordPress是一个流行的内容管理系统(CMS)，它允许用户使用各种插件来增强其网站的功能和外观。最近，一款名为tagDiv的WordPress插件就发现了一个严重的漏洞，编号为CVE-2023-42793，CVSS评分为9.8。该漏洞影响了tagDiv Newspaper主题和tagDiv Composer插件，这两款产品都是由罗马尼亚公司tagDiv开发的，用于创建新闻、杂志和博客类网站。CVE-2023-42793是一个未经身份验证的远程代码执行(RCE)漏洞，它允许攻击者在受影响的网站上执行任意PHP代码。该漏洞存在于tagDiv Composer插件中的一个文件(td-composer/legacy/common/wp_booster/td_wp_booster_functions.php)，该文件包含了一个名为td_ajax_update_panel的函数，该函数接收并处理来自用户的请求。由于该函数没有对用户输入进行适当的验证和过滤，攻击者可以通过构造恶意参数，触发eval函数，并执行任意代码。据悉，该漏洞已经被黑客大规模利用，对数千个使用tagDiv产品的WordPress网站进行攻击。研究人员在2023年10月份发现了这一活动，并将其命名为“Tagdiv Hack”。研究人员表示，攻击者利用该漏洞，在受感染的网站上植入后门、恶意脚本和广告代码。这些恶意代码会导致网站访问者被重定向到其他恶意网站，或者被展示不良内容。

https://blog.sucuri.net/2023/10/balada-injector-targets-unpatched-tagdiv-plugin-newspaper-theme-wordpress-admins.html

---

6 HelloKitty勒索软件源代码在黑客论坛上泄露

HelloKitty是一种针对企业的勒索软件，它会在加密受害者的文件后，将解密密钥发送给攻击者，从而让他们控制受害者的数据。据报道，HelloKitty勒索软件的源代码在一个黑客论坛上被泄露，该论坛的管理员称，他们从一个名为“L0ckBit”的用户那里获得了源代码，并将其公开分享给其他用户。据悉，该源代码包含了HelloKitty勒索软件的主要功能模块，以及用于加密和解密文件的算法。该事件引起了安全界的关注，因为HelloKitty勒索软件可能会被其他黑客利用或改造，从而造成更多的网络攻击。此外，该事件也暴露了HelloKitty勒索软件团伙内部可能存在分歧或背叛，导致他们的秘密被泄露。

https://securityaffairs.com/152182/malware/hellokitty-ransomware-source-code-leaked.html

---