每日安全简讯(20231222)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露Terrapin攻击可降低OpenSSH连接的安全性

学术研究人员开发了一种名为 Terrapin 的，该攻击会在握手过程中操纵序列号，从而在使用某些广泛使用的加密模式时破坏 SSH 通道的完整性。这种操作使攻击者可以删除或修改通过通信通道交换的消息，从而导致 OpenSSH 9.5 中用于用户身份验证的公钥算法降级或禁用针对击键计时攻击的防御。Terrapin 攻击利用了 SSH 传输层协议的弱点，并结合了 OpenSSH 十多年前引入的较新的加密算法和加密模式。Terrapin 攻击会在客户端或服务器不注意的情况下截断重要的协商消息，从而降低已建立连接的安全性。

https://terrapin-attack.com/

---

2 研究人员披露零点击Outlook RCE漏洞的新细节

研究人员披露有关微软 Windows 系统中两个现已修补的安全漏洞的技术细节，攻击者可能会利用这些漏洞在 Outlook 电子邮件服务上实现远程代码执行，而无需任何用户交互。互联网上的攻击者可以将这些漏洞链接在一起，针对 Outlook 客户端创建完整的零点击远程代码执行 (RCE) 漏洞。Microsoft 于8 月和 2023 年 10 月解决了安全问题下面分别列出了CVE-2023-35384（CVSS 评分：5.4），Windows HTML 平台安全功能绕过漏洞。CVE-2023-36710（CVSS 评分：7.8），Windows Media Foundation Core 远程代码执行漏洞。

https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-two

---

3 Play勒索软件采用双重勒索模式攻击了全球300个组织

根据澳大利亚和美国的新联合网络安全咨询，截至 2023 年 10 月，Play 勒索软件背后的威胁行为者估计已影响了约 300 个实体。Play 勒索软件攻击者采用双重勒索模式，在窃取数据后对系统进行加密，并影响了北美、南美、欧洲和澳大利亚的广泛企业和关键基础设施组织。Play 也称为 Balloonfly 和 PlayCrypt，于 2022 年出现，利用 Microsoft Exchange 服务器（CVE-2022-41040 和 CVE-2022-41082）和 Fortinet 设备（CVE-2018-13379 和 CVE-2020-12812）中的安全漏洞来攻击企业并部署文件加密恶意软件。

https://www.cisa.gov/news-events/alerts/2023/12/18/fbi-cisa-and-asds-acsc-release-advisory-play-ransomware

---

4 源代码管理平台Perforce Helix Core服务器存在严重的远程代码执行漏洞

Perforce Helix Core Server 是游戏、政府、军事和技术部门广泛使用的源代码管理平台，已发现四个漏洞，其中一个被评为严重漏洞。微软分析师在对该公司游戏开发工作室使用的产品进行安全审查时发现了这些漏洞，并于 2023 年 8 月下旬负责任地向 Perforce 报告了这些漏洞。尽管 微软表示 尚未观察到任何利用已发现漏洞的尝试，但建议该产品的用户升级到 2023 年 11 月 7 日发布的版本 2023.1/2513900，以降低风险。微软发现的四个漏洞主要涉及拒绝服务（DoS）问题，最严重的漏洞允许未经身份验证的攻击者以 LocalSystem 身份执行任意远程代码。

https://www.microsoft.com/en-us/security/blog/2023/12/15/patching-perforce-perforations-critical-rce-vulnerability-discovered-in-perforce-helix-core-server/

---

5 Vans和North Face的总公司VF Corp遭受勒索软件攻击

美国全球服装和鞋类巨头 VF 公司（旗下拥有 Supreme、Vans、Timberland 和 The North Face 等品牌）披露了一起导致运营中断的安全事件。VF Corp. 是一家总部位于科罗拉多州的服装公司，拥有 13 个全球知名品牌。该公司拥有 35000 名员工，年收入达 116 亿美元。除上述品牌外，VF Corp. 还拥有 Dickies、Eastpak、Kipling、Napapijri、AND1、JanSport、Icebreaker、Altra Running 和 SmartWool。在周五向美国 SEC（证券交易委员会）提交的 8-K 表格披露中，VF 向股东通报了 2023 年 12 月 13 日发生的网络攻击。为了应对检测到的网络未经授权访问，该公司关闭了部分系统，并聘请了外部专家来帮助遏制攻击。然而，威胁行为者设法加密了公司的一些计算机并窃取了个人数据。然而，攻击者设法加密了公司的一些计算机并窃取了个人数据。目前尚不清楚被盗数据是否仅影响员工、供应商、经销商、合作伙伴或客户。目前，还没有勒索软件组织对该事件负责。

https://www.sec.gov/ix?doc=/Archives/edgar/data/0000103379/000095012323011228/d659095d8k.htm

---

6 抵押贷款公司Mr. Cooper遭遇数据泄露影响了1470万人

Mr. Cooper正在发送数据泄露通知，警告称最近的一次网络攻击已经泄露了 1470 万曾经或曾经在该公司抵押贷款的客户的数据。Mr. Cooper（前身为 Nationstar Mortgage LLC）是一家位于达拉斯的抵押贷款公司，拥有约 9000 名员工并拥有数百万客户。该贷方是美国最大的服务商之一，为 9370 亿美元的贷款提供服务。2023 年 11 月初，该公司宣布在 2023 年 10 月 30 日的一次网络攻击中遭到破坏，并于次日发现。为了应对未经授权的入侵，该公司被迫关闭所有 IT 系统，包括用于支付贷款和抵押贷款的在线支付门户。事件披露一周后，Mr. Cooper宣布，已发现证据表明进行攻击的网络入侵者不幸访问了客户数据。经澄清，没有任何财务信息被泄露，但被泄露的具体数据仍有待正在进行的调查。近日，该公司向缅因州总检察长办公室提交了一份报告，告知该事件影响了 14690284 人。已暴露给网络犯罪分子的信息包括：全名、家庭地址、电话号码、社会安全号码 (SSN)、出生日期、银行帐号。

https://apps.web.maine.gov/online/aeviewer/ME/40/176a338a-f640-43d5-b975-5996823e7ce4.shtml

---