每日安全简讯(20240116)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员针对丹麦能源部门遭受网络攻击的归因提出不同观点

研究人员称去年针对丹麦能源部门的网络攻击可能没有与俄罗斯相关的 Sandworm 黑客组织参与。这些入侵于 2023 年 5 月针对约 22 个丹麦能源组织，分两波不同的方式发生，其中一波利用了合勤 (Zyxel) 防火墙 (CVE-2023-28771) 中的安全漏洞，另一波后续活动集群则攻击者部署了 Mirai 僵尸网络通过未知的初始访问向量在受感染主机上进行变体。第一波发生在 5 月 11 日，第二波持续时间为 2023 年 5 月 22 日至 31 日。在 5 月 24 日检测到的一次此类攻击中，观察到受感染的系统正在与 IP 地址 (217.57.80[.]18 和 70.62.153[.]174），之前被用作现已拆除的Cyclops Blink僵尸网络的命令和控制 (C2)。

https://www.forescout.com/blog/analysis-of-energy-sector-cyberattacks-in-denmark-and-ukraine/

---

2 CISA披露Microsoft SharePoint存在的安全漏洞已被积极利用

美国网络安全和基础设施安全局 (CISA) 已将影响 Microsoft SharePoint Server 的严重安全漏洞添加到其已知被利用的漏洞 ( KEV )目录中，并引用了主动利用的证据。该问题编号为CVE-2023-29357（CVSS 评分：9.8），是一个权限升级缺陷，攻击者可利用该缺陷获取管理员权限。作为 2023 年 6 月补丁星期二更新的一部分，微软发布了针对该错误的补丁。获得了欺骗性 JWT 身份验证令牌的攻击者可以使用它们来执行网络攻击，绕过身份验证并允许他们获得经过身份验证的用户的权限。攻击者不需要任何特权，用户也不需要执行任何操作。

https://www.cisa.gov/news-events/alerts/2024/01/10/cisa-adds-one-known-exploited-vulnerability-catalog

---

3 Juniper网络警告其防火墙和交换机中存在严重远程代码执行漏洞

Juniper Networks 已发布更新以修复其 SRX 系列防火墙和 EX 系列交换机中的关键远程代码执行 (RCE) 漏洞。该问题的编号为CVE-2024-21591，CVSS 评分系统的评分为 9.8。Juniper 网络 Junos OS SRX 系列和 EX 系列的 J-Web 中存在越界写入漏洞，允许未经身份验证的基于网络的攻击者造成拒绝服务 (DoS) 或远程代码执行 (RCE)，并且获得设备的 root 权限。

https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591?language=en_US

---

4 研究人员披露Medusa勒索软件攻击活动呈上升趋势

自 2023 年 2 月在暗网上首次出现专门的数据泄露网站以来，与Medusa 勒索软件相关的威胁行为者加大了活动力度，以发布不愿同意其要求的受害者的敏感数据。作为多重勒索策略的一部分，当受害者的数据发布在泄露网站上时，该组织将为受害者提供多种选择，例如延长时间、删除数据或下载所有数据。所有这些选项都有一个价格标签，具体取决于受该群体影响的组织。Medusa（不要与 Medusa Locker 混淆）是指 2022 年底出现、并于 2023 年盛行的勒索软件家族。它伺机攻击高科技、教育、制造、医疗保健和零售等广泛行业。据估计，2023 年将有多达 74 个组织受到勒索软件的影响，其中大部分位于美国、英国、法国、意大利、西班牙和印度。

https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/

---

5 研究人员披露Apache Hadoop和Flink中的错误配置可能遭受挖矿攻击的风险

网络安全研究人员发现了一种新的攻击，该攻击利用 Apache Hadoop 和 Flink 中的错误配置在目标环境中部署加密货币矿工。由于攻击者使用加壳程序和 Rootkit 来隐藏恶意软件，因此这次攻击特别令人感兴趣。该恶意软件会删除特定目录的内容并修改系统配置以逃避检测。针对 Hadoop 的感染链利用了 YARN（又一个资源协商器）ResourceManager中的错误配置，该资源管理器负责跟踪集群中的资源并调度应用程序。具体来说，未经身份验证的远程威胁参与者可以利用错误配置，通过精心设计的 HTTP 请求来执行任意代码，具体取决于执行代码的节点上的用户权限。同样，针对 Apache Flink 的攻击也针对错误配置，该配置允许远程攻击者无需任何身份验证即可执行代码。

https://blog.aquasec.com/threat-alert-apache-applications-targeted-by-stealthy-attacker

---

6 英国化妆品公司Lush声称遭受网络安全攻击事件

Lush 是一家在北美设有门店的英国私营化妆品零售商，“目前正在应对网络安全事件”。发言人已证实。该公司业务遍及 49 个国家，还在欧洲、日本和澳大利亚拥有生产设施。目前尚不清楚这些是否受到影响。Lush 表示“正在与外部 IT 取证专家合作进行全面调查”。Lush 的声明补充道：“调查尚处于早期阶段，但我们已立即采取措施保护和筛查所有系统，以遏制事件并限制对我们运营的影响。”

https://therecord.media/british-cosmetics-lush-cyberattack?&web_view=true

---