每日安全简讯(20240312)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客冒充美国政府机构进行BEC攻击

近日，一伙专门从事商业电子邮件妥协(BEC)攻击的黑客团伙，代号为TA4903，被发现冒充各种美国政府实体，以诱使目标打开含有虚假招标过程链接的恶意文件。这些攻击活动旨在诱骗受害者点击链接，进而窃取其凭证信息。TA4903团伙此前已被观察到使用类似的攻击策略，他们通过发送大量伪装成来自美国政府部门和私营企业的电子邮件，试图盗取受害者的企业凭证。这些攻击行为表明，黑客正利用受害者对政府机构的信任进行网络攻击，这对企业的网络安全构成了严重威胁。

https://www.proofpoint.com/us/blog/threat-insight/ta4903-actor-spoofs-us-government-small-businesses-phishing-bec-bids

---

2 Progress软件OpenEdge漏洞可绕过认证

近日，Progress Software OpenEdge的重大安全漏洞被曝光，并且相关技术细节和概念验证(PoC)漏洞利用代码已公开。该漏洞标识为CVE-2024-1403，CVSS评分系统中的严重程度为最高等级10.0。受影响的OpenEdge版本包括11.7.18及更早版本、12.2.13及更早版本以及12.8.0版本。该漏洞出现在开启了OS本地身份验证提供者的OpenEdge Authentication Gateway(OEAG)和AdminServer配置中，可能会使未授权的登录尝试绕过认证保护。如果处理意外类型的用户名和密码不当，身份验证例程就可能返回错误的认证成功信息，从而导致未经授权的访问。Progress Software表示，该漏洞已通过更新版本OpenEdge LTS 11.7.19、12.2.14和12.8.1得到解决。研究人员逆向工程了存在漏洞的AdminServer服务，并发布了CVE-2024-1403的PoC，称问题源于在远程连接建立时调用的一个名为connect()的函数。这个函数随后调用另一个名叫authorizeUser()的函数来验证提供的凭据是否符合特定标准，并在提供的用户名匹配"NT AUTHORITY\SYSTEM"时，将控制权交给另一代码部分直接认证用户。

https://www.horizon3.ai/attack-research/cve-2024-1403-progress-openedge-authentication-bypass-deep-dive/

---

3 思科针对安全客户端中的高严重性VPN劫持漏洞发布补丁

思科已为其Secure Client软件中的一个高危安全漏洞发布了补丁，该漏洞可能被恶意攻击者利用以开启与目标用户的VPN会话。这一漏洞被追踪为CVE-2024-20337，具有8.2的CVSS评分，它允许未经身份验证的远程攻击者对用户进行回车换行(CRLF)注入攻击。由于对用户提供的输入校验不足，攻击者可能利用此漏洞诱使用户在建立VPN会话时点击一个特制的链接。如果攻击者成功利用此漏洞，他们可以在浏览器中执行任意脚本代码或访问敏感的基于浏览器的信息，包括有效的SAML令牌。然后，攻击者可以使用这个令牌与受影响用户的权限建立远程访问VPN会话。要成功访问VPN后端的个人主机和服务，仍然需要额外的凭证。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secure-client-crlf-W43V4G7

---

4 Fortinet严重缺陷可能影响150000个公网设备

网络上的扫描显示，大约150000台Fortinet的FortiOS和FortiProxy安全网关系统易受CVE-2024-21762严重安全漏洞的威胁，该漏洞允许未经认证执行代码。上月，美国网络防御机构CISA确认，攻击者正积极利用该漏洞，并将其添加到已知被利用漏洞(KEV)目录中。几乎在Fortinet解决CVE-2024-21762漏洞一个月后，研究人员宣布，他们发现了近15万台有漏洞的设备。远程攻击者可通过向脆弱机器发送特制的HTTP请求来利用CVE-2024-21762漏洞(NIST评分为9.8严重性)。根据研究人员的数据，美国有逾24000台设备易受攻击，其次是印度、巴西和加拿大。目前关于积极利用CVE-2024-21762的威胁行动者的详细信息还很有限，公共平台上没有显示此类活动，或者漏洞在由更复杂的对手选择性攻击中被利用。

https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/

---

5 QNAP警告其NAS设备存在严重身份验证绕过漏洞

QNAP近日警告其NAS软件产品中的漏洞，包括QTS、QuTS hero、QuTScloud 和 myQNAPcloud，这些漏洞可能允许攻击者访问设备。网络附加存储(NAS)设备制造商披露了三个可以导致认证绕过、命令注入和SQL注入的漏洞。虽然后两个漏洞要求攻击者在目标系统上通过认证，显著降低了风险，但第一个(CVE-2024-21899)可以在不需要认证的情况下远程执行，并被标记为“低复杂度”。

https://www.qnap.com/en/security-advisory/qsa-24-09

---

6 黑客声称入侵美国联邦承包商Acuity并出售数据

黑客IntelBroker声称已经入侵了美国联邦承包商Acuity，并且正在出售属于美国移民和海关执法局(ICE)及美国公民及移民服务局(USCIS)的数据。据报道，黑客IntelBroker在黑客论坛上发帖，声明他负责最近一起针对位于弗吉尼亚州雷斯顿的联邦承包商Acuity Inc.的数据泄露。泄露导致来自两个著名美国政府实体的敏感数据和文件被盗。目前这些被盗数据正在该论坛上以3000美元的门罗币(XMR)价格出售。在黑客论坛上宣布数据泄露事件后，IntelBroker展示了据称被盗数据的样本，其中包含超过100000名受害者的个人信息和个人身份信息(PII)。这些记录包括：电话、号码、电子邮件地址、实际地址、身体特征等。黑客还声称，“所有这些都属于美国公民”，意味着泄露的数据中包含了平民以及政府官员的信息。

https://www.hackread.com/hacker-breach-federal-contractor-acuity-ice-uscis-data/

---