每日安全简讯(20240118)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SonicWall防火墙存在安全漏洞影响全网超178000台设备

通过互联网暴露的超过 178000 个 SonicWall 防火墙至少可被两个安全漏洞利用，这两个安全漏洞可能被利用导致拒绝服务 (DoS) 条件和远程代码执行 (RCE)。这两个问题本质上是相同的，但由于重用了易受攻击的代码模式，因此可以在不同的 HTTP URI 路径上利用。CVE-2022-22274（CVSS 评分：9.4），SonicOS 中通过 HTTP 请求的基于堆栈的缓冲区溢出漏洞允许未经身份验证的远程攻击者导致 DoS 或可能导致防火墙中的代码执行。CVE-2023-0656（CVSS 评分：7.5），SonicOS 中基于堆栈的缓冲区溢出漏洞允许未经身份验证的远程攻击者引发 DoS，从而可能导致崩溃。

https://bishopfox.com/blog/its-2024-and-over-178-000-sonicwall-firewalls-are-publicly-exploitable

---

2 研究人员披露伪装成Coinbase钱包的Inferno恶意软件

现已解散的Inferno Drainer背后的运营者在 2022 年至 2023 年的一年时间内创建了超过 16000 个独特的恶意域名。该计划利用高质量的网络钓鱼页面，引诱毫无戒心的用户将他们的加密货币钱包与攻击者的基础设施连接起来，攻击者的基础设施欺骗 Web3 协议，诱骗受害者授权交易。Inferno Drainer 于2022 年 11 月至 2023 年 11 月期间活跃，估计通过诈骗超过 137000 名受害者，获取了超过8700 万美元的非法利润。该恶意软件是一系列更广泛的类似产品的一部分，这些产品以诈骗即服务（或排水即服务）模式提供给附属机构，以换取 20% 的收入分成。

https://www.group-ib.com/blog/inferno-drainer/

---

3 Remcos RAT恶意软件伪装为成人主题游戏进行传播

名为 Remcos RAT 的远程访问木马 (RAT) 被发现通过网络硬盘在韩国伪装成成人主题游戏进行传播。WebHard是网络硬盘的简称，是国内流行的在线文件存储系统，用于上传、下载和共享文件。虽然网络硬盘过去曾被用来传播njRAT、UDP RAT 和 DDoS 僵尸网络恶意软件，但 AhnLab 安全应急响应中心 (ASEC) 的最新分析表明，该技术已被用来传播 Remcos RAT。在这些攻击中，用户被诱骗打开诱杀文件，将其冒充为成人游戏，这些文件在启动时会执行恶意 Visual Basic 脚本，以运行名为“ffmpeg.exe”的中间二进制文件。这会导致从参与者控制的服务器检索 Remcos RAT。

https://asec.ahnlab.com/en/60270/

---

4 攻击者利用Windows漏洞部署开源窃密程序Phemedrone

攻击者利用 Microsoft Windows 中现已修补的安全漏洞来部署名为Phemedrone Stealer 的开源信息窃取程序。Phemedrone 的目标是网络浏览器以及来自加密货币钱包和 Telegram、Steam 和 Discord 等消息应用程序的数据。它还会截取屏幕截图并收集有关硬件、位置和操作系统详细信息的系统信息。然后，被盗数据通过 Telegram 或其命令与控制 (C&C) 服务器发送给攻击者。这些攻击利用了CVE-2023-36025（CVSS 评分：8.8），这是 Windows SmartScreen 中的一个安全绕过漏洞，可通过诱骗用户单击特制的 Internet 快捷方式 (.URL) 或指向 Internet 的超链接来利用该漏洞快捷方式文件。

https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html

---

5 攻击者可利用Opera MyFlaw漏洞执行操作系统底层的任何文件

研究人员披露了 Microsoft Windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞，该漏洞可被利用来执行底层操作系统上的任何文件。研究人员将远程代码执行漏洞代号为 MyFlaw ，因为它利用了名为My Flow的功能，可以在移动设备和桌面设备之间同步消息和文件。这是通过受控的浏览器扩展实现的，有效地绕过了浏览器的沙箱和整个浏览器进程。该问题同时影响 Opera 浏览器和 Opera GX。继 2023 年 11 月 17 日负责任地披露后，该问题已作为2023 年 11 月 22 日发布的更新的一部分得到解决。

https://labs.guard.io/myflaw-cross-platform-0-day-rce-vulnerability-discovered-in-operas-browser-099361a808ab

---

6 研究人员披露Bosch智能恒温器固件中存在多个漏洞

博世 BCC100 恒温器和力士乐 NXA015S-36V-B 智能拧紧机中已披露多个安全漏洞，如果成功利用这些漏洞，攻击者可能会在受影响的系统上执行任意代码。研究人员去年 8 月发现了博世 BCC100 恒温器中的缺陷，攻击者可能会利用该问题来更改设备固件并植入恶意版本。该高严重性漏洞的编号为CVE-2023-49722 （CVSS 评分：8.3），博世于 2023 年 11 月修复了该漏洞。BCC101/BCC102/BCC50 恒温器产品中的网络端口 8899 始终处于开放状态，允许从本地 WiFi 网络进行未经身份验证的连接。

https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-bosch-bcc100-thermostat/

---