每日安全简讯(20231215)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 乌克兰军方称其入侵了俄罗斯联邦税务机构

乌克兰政府军事情报部门表示，它入侵了俄罗斯联邦税务局（FNS），删除了该机构的数据库和备份副本。此次由乌克兰国防情报部门网络单位实施的行动之后，军事情报人员攻破了俄罗斯联邦税务局中央服务器以及俄罗斯各地和被占领乌克兰领土的2300个地区服务器。此次泄露导致所有受感染的FTS服务器被恶意软件感染，并导致一家为FNS提供数据中心服务的俄罗斯IT公司遭到黑客攻击。这次攻击还导致对俄罗斯广泛的税务系统功能至关重要的配置文件被完全删除，主数据库及其备份副本都被删除。

https://therecord.media/ukraine-intelligence-claims-attack-on-russia-tax-service

---

2 乌克兰最大移动运营商Kyivstar因网络攻击而关闭

Kyivstar是乌克兰最大的电信服务提供商，为超过2500万移动和家庭互联网用户提供服务，该公司遭受了网络攻击，影响了移动和数据服务。官方网站已离线，但该公司通过社交媒体渠道告知订阅者，今天早上它遭到黑客攻击，导致技术故障，影响了移动通信和互联网访问。Kyivstar在一份声明中写道：“今天早上，我们成为了强大黑客攻击的目标。这导致了技术故障，导致服务暂时无法使用。”Kyivstar表示，他们向执法部门和其他国家部门报告了这一事件。乌克兰安全局已根据乌克兰刑法8条启动刑事诉讼，并表示其特工已参与调查。

https://www.bleepingcomputer.com/news/security/ukraines-largest-mobile-carrier-kyivstar-down-following-cyberattack/

---

3 OAuth应用程序用于自动化BEC和加密货币挖矿攻击

Microsoft警告称，出于经济动机的威胁行为者正在使用OAuth应用程序来自动执行BEC和网络钓鱼攻击、推送垃圾邮件以及部署虚拟机进行加密挖矿。OAuth（开放授权的缩写）是一种开放标准，用于通过基于令牌的身份验证和授权，根据用户定义的权限授予应用程序对服务器资源的安全委派访问权限，而无需提供凭据。微软威胁情报专家最近调查的事件显示，攻击者在网络钓鱼或密码喷射攻击中主要针对缺乏强大身份验证机制（例如多因素身份验证）的用户帐户，重点关注那些拥有创建或修改OAuth应用程序权限的用户帐户。

https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks/

---

4 数千个pfSense服务器因错误链而易遭受远程代码执行攻击

大约1450个pfSense实例容易受到命令注入和跨站点脚本漏洞的攻击，这些漏洞如果链接起来，可能使攻击者能够在设备上执行远程代码。pfSense是一款流行的开源防火墙和路由器软件，允许广泛的定制和部署灵活性。它是一种经济高效的解决方案，可满足特定需求，提供昂贵的商业产品中常见的广泛功能。研究人员发现了影响pfSense2.7.0及更早版本以及pfSensePlus 23.05.01及更早版本的三个缺陷。这些缺陷被跟踪为CVE-2023-42325(XSS)、CVE-2023-42327(XSS)和CVE-2023-42326（命令注入）。

https://www.sonarsource.com/blog/pfsense-vulnerabilities-sonarcloud/

---

5 WordPress备份插件存在严重漏洞导致5万个网站易遭受远程代码执行攻击

安装量超过90000次的WordPress插件中存在严重漏洞，攻击者可以通过远程执行代码来完全破坏易受攻击的网站。该插件称为“备份迁移”，可帮助管理员自动将站点备份到本地存储或GoogleDrive帐户。该安全漏洞（编号为CVE-2023-6553，严重性评分为9.8/10）。它会影响备份迁移1.3.6及之前的所有插件版本，恶意行为者无需用户交互即可在低复杂性攻击中利用它。CVE-2023-6553允许未经身份验证的攻击者通过/includes/backup-heart.php文件通过PHP代码注入获得远程代码执行，从而接管目标网站。

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/backup-backup/backup-migration-137-unauthenticated-remote-code-execution

---

6 冷存储公司Americold披露4月份恶意软件攻击后导致的数据泄露

冷藏和物流巨头Americold证实，超过129000名员工及其家属在4月份的一次攻击中被盗，后来由Cactus勒索软件声称负责。Americold在全球拥有17000名员工，并在北美、欧洲、亚太地区和南美洲运营着超过24个温控仓库。4月份的网络漏洞导致停电，影响了公司的运营，Americold迫使该公司关闭IT网络以遏制漏洞并“重建受影响的系统”。Americold还通过袭击后发布的一份私人备忘录告诉客户，取消所有入库交货并重新安排出库发货，但那些被认为对时间极为敏感且即将到期的除外。

https://apps.web.maine.gov/online/aeviewer/ME/40/80071f08-cdaa-4ca5-8efb-a2bf28c33fe5.shtml

---

致谢：感谢Lenx针对今日第二条简讯错误提出的更改建议。