每日安全简讯(20240320)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型AcidPour恶意软件瞄准乌克兰Linux系统

研究人员近日发现了一种针对乌克兰Linux系统的恶意软件新变种，命名为“AcidPour”。这种恶意软件是已知AcidRain恶意软件的进化版本，去年三月首次出现并在俄罗斯入侵乌克兰之初于Viasat hack事件中破坏了大量KA-SAT Surfbeam2调制解调器。AcidPour与原始的AcidRain在某些代码字符串上有相似之处，但在代码库上有显著不同，这个新的变种是专门为Linux x86设备编译的，而不是MIPS体系结构。研究人员指出，AcidRain主要功能是作为一个通用的擦除工具，针对嵌入式Linux分发版上的常见目录和设备路径。相比之下，AcidPour引入了新的元素，如针对UBI(未排序块映像)和与LVM(逻辑卷管理器)关联的虚拟块设备的引用，表明目标可能已经扩展到了上一版本之外的领域。虽然存在相似之处，但也有明显的不同，包括对如LVMs这类设备的不同擦除逻辑，这表明威胁行为者的策略可能已经发展。研究人员已经向乌克兰的相关方面提醒了AcidPour的存在，尽管该操作的具体目标和范围仍然不明确。

https://www.hackread.com/acidrain-linux-malware-variant-acidpour-ukraine/

---

2 报告表明航空航天业网络威胁急剧上升

随着全球地缘政治紧张局势的升级，研究人员报道了针对航空航天领域日益增加的网络安全事件。Lockbit 3.0是活跃于此领域的勒索软件团体之一，自2021年起，先后对泰国曼谷航空、以色列防务公司E.M.I.T Aviation Consulting、科威特航空以及阿尔巴尼亚航空发动了网络攻击。随着乌克兰战事和中东紧张局势的升级，航空航天部门因被标记为关键基础设施，这使得它更易受到网络威胁的瞩目和攻击。去年航空周会议上，联合航空公司网络安全总监Jen Miosi提出此问题，表明此标签增加了航空航天业的可见性和脆弱性。同时，Aviation ISAC的CEO Jeffrey Troy强调了黑客主义组织带来的威胁趋势，如在加沙战争爆发期间针对航空业的黑客活动有所增加。此外，航空业的攻击面已显著扩大，原因在于整合了各种远程系统。如航空检测国际去年的报告所示，随着IoT传感器、执行器、生物识别读卡器、机器人技术和云应用等技术的采用，以及实施BYOD政策等，都增加了安全风险。最新的报告揭示了针对航空航天领域的恶意网络活动相比去年上升了68%。报告强调了全面网络安全风险评估在预防网络攻击中的关键作用，并讨论了必要的威胁建模方法，以便行业持份者在组织内建立强大的安全态势。通过预测和准备潜在的网络威胁，航空航天业能够更好地保护自己免受日益变化的网络风险的侵害。

https://www.resecurity.com/blog/article/the-aviation-and-aerospace-sectors-face-skyrocketing-cyber-threats

---

3 WordPress插件miniOrange漏洞会导致网站被接管

研究人员近日发现WordPress插件miniOrange的恶意软件扫描器和Web应用防火墙中存在一个关键漏洞，该漏洞可能允许未经授权的攻击者接管网站。自2024年3月1日，Wordfence作为公司Bug赏金倡议Extravaganza的一部分，接到了关于miniOrange恶意软件扫描器中存在权限提升漏洞的报告。该插件有10000多个活跃安装。Wordfence的威胁情报团队还在miniOrange的Web应用防火墙插件中发现了同样的漏洞，该插件有300多个活跃安装。攻击者可以利用这个漏洞，通过更新用户密码获得管理员权限。研究人员敦促WordPress管理员移除受影响的插件。一旦攻击者获得了WordPress网站的管理员用户访问权限，就可以像普通管理员一样操作目标网站。攻击者可能上传包含恶意后门的插件和主题文件，修改帖子和页面以将用户重定向到恶意网站或注入垃圾内容。该漏洞被追踪为CVE-2024-2172(CVSS评分9.8)。

https://www.wordfence.com/blog/2024/03/critical-vulnerability-remains-unpatched-in-two-permanently-closed-miniorange-wordpress-plugins-1250-bounty-awarded/

---

4 关键FileCatalyst远程执行漏洞PoC利用代码发布

Fortra修复了其FileCatalyst文件传输产品中一个关键的远程代码执行漏洞。Fortra发布了更新来解决这个影响其FileCatalyst文件传输解决方案的关键漏洞，该漏洞被追踪为CVE-2024-25153(CVSS评分9.8)。远程未经授权的攻击者可以利用这个漏洞在受影响的服务器上执行任意代码。安全建议说明："FileCatalyst Workflow Web Portal的'ftpservlet'中的目录遍历允许通过特殊构造的POST请求将文件上传到意图之外的'uploadtemp'目录。在文件成功上传到Web门户的DocumentRoot的情况下，特别是精心制作的JSP文件可以被用来执行代码，包括web shell。"根据安全建议，这个漏洞是由LRQA Nettitude的Tom Wedgbury在2023年8月报告的，在Fortra加入CNA程序以前，公司已于2023年8月对其进行了修复。安全顾问补充说：“我们现在应该最初报告这个漏洞的个人要求，发布一个CVE。”此漏洞已通过发布FileCatalyst Workflow版本5.1.6 Build 114得到修复。Nettitude的研究人员在GitHub上发布了这个漏洞的完整概念验证(PoC)利用代码。该PoC漏洞利用展示了如何在易受攻击的实例上上传web shell以执行操作系统命令。

https://www.fortra.com/security/advisory/fi-2024-002

---

5 TMChecker工具可降低攻击者恶意活动门槛

研究人员警告称，新的名为TMChecker的工具集在暗网上作为攻击武器获得关注，旨在针对远程访问服务和流行的电子商务平台。该工具由化名为"M762"的威胁行为者开发，并在XSS网络犯罪论坛上售价每月200美元，根据研究人员的报告，它可用于针对企业VPN网关、电子邮件服务器、内容管理系统和主机控制面板。TMChecker帮助威胁行为者侵入企业网络，获取未经授权的访问敏感数据的机会。微软去年观察到，自2022年9月以来，使用损坏的远程访问工具的人工操作攻击数量已经增加了两倍。安全专家预计，这一趋势将在2024年加剧。TMChecker使用登录检查和暴力破解相结合的方式，针对远程访问网关。研究人员称：“这种混合暴力攻击和日志扫描工具包大大降低了新手威胁行为者的入门门槛，他们可能缺乏购买黑暗网络上较高价值的VPN和RDP访问工具的财力或关系。该工具的面向服务的用户模式使得经验较少的攻击者非常容易获得访问令人垂涎的远程网关的权限。在更有经验的威胁行为者手中，TMChecker和类似工具为对手操作提供了更多便利和流程简化。”

https://www.resecurity.com/blog/article/cybercriminals-evolve-tooling-for-remote-access-compromise

---

6 富士通遭恶意软件攻击客户数据可能泄露

日本科技巨头富士通正在调查一起潜在的数据泄露事件，原因是公司系统感染了恶意软件，这可能导致客户和员工的个人信息暴露。根据富士通发布的新闻稿，该公司确认多台工作计算机上存在恶意软件，暗示了未经授权访问的潜在入口点，并迅速启动了调查。初步的调查显示，恶意软件可能访问并提取了敏感的个人和客户信息。富士通表示：“我们发现含有个人信息和客户信息的文件可能被非法取出。”但科技巨头尚未确认用于攻击其计算机的恶意软件的性质、受影响的计算机数量以及攻击中泄露的数据类型。富士通在3月15日发现了这次网络攻击，但没有透露其他细节，包括是否有联系方式、密码和付款细节被泄露，以及袭击的时间。富士通至今未披露受影响者的身份信息，包括员工、企业客户和使用公司技术的公民。

https://pr.fujitsu.com/jp/news/2024/03/15-1.html?=1710777600

---