每日安全简讯(20240323)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 微软曝光利用纳税申报表的新型网络钓鱼骗局

微软最近警告称，在纳税季节，针对个人纳税人和企业的网络钓鱼及恶意软件活动正在升温。这些网络诈骗活动不仅针对新税务人士、最近获得绿卡的移民、自行申报的小企业主以及年长者等特定群体，还使用紧急手段来窃取他们的个人和财务数据。攻击者经常伪装成可信来源，例如雇主、税务机构和支付处理商，发送模糊或不完整的税务文件，创建紧急感，诱使目标点击带有恶意附件的电子邮件。这些附件被设计用来窃取登录凭证，或将受害者重定向到假冒的看似合法的税务平台网站上。在2024年1月，微软已经识别出一种由雇主发送税务文件看起来的电子邮件诈骗案例，点击其附带的HTML文件会导致受害者跳转到一个假的登陆页面，目的是为了窃取用户的登录凭证。研究人员截获的活动是伪装的正式税表，如W-2和W-9通知以及其他工资税文件。这些邮件附带的HTML附件会触发Cloudflare的验证码检查，最后将受害者导向一个钓鱼页面，旨在收集敏感信息。当收件人打开这些附件时，JavaScript脚本被执行，有助于安装窃取信息的恶意软件。

https://www.microsoft.com/en-us/security/blog/2024/03/20/microsoft-threat-intelligence-unveils-targets-and-innovative-tactics-amidst-tax-season/

---

2 俄罗斯情报部门部署网络清除器攻击乌克兰运营商

最新版本的恶意软件被俄罗斯军方黑客用以攻击多个乌克兰互联网服务提供商(ISP)。2024年3月13日，一个自称“Solntsepek”的黑客组织宣称对乌克兰的四家ISP——Triacom、Misto TV、Linktelecom和KIM进行了破坏性攻击，它们为乌克兰政府机构、部分乌克兰武装力量以及TCC提供互联网服务。这次攻击使用了AcidRain恶意软件的新变种命名为“AcidPour”，这是2022年2月24日俄军入侵乌克兰时用来禁用数千个与Viasat相连的KA-SAT调制解调器的工具。从3月13日开始，多家公司的网络服务遭到破坏，周三Kentik的互联网分析主管Doug Madory在社交平台X上发布消息显示受影响公司的网络流量受到了重大干扰，并在接下来的几天逐渐恢复。Misto TV在周二的主页上发布的消息表明，服务正在恢复中，“黑客攻击的后果比我们预期的要严重。”乌克兰国家特种通信和信息保护部门拒绝对此事置评，而负责情报与执法的安全服务局(SBU)也没有回应置评请求。该软件被乌克兰人追踪的UAC-0165单位使用，属于广义Sandworm活动范畴下的一个子集群。UAC-0165曾多次攻击乌克兰的电信实体，乌克兰的计算机应急响应团队(CERT-UA)在2023年10月的一条消息中详细介绍了对至少11家公司的攻击。

https://cyberscoop.com/russian-military-intelligence-may-have-deployed-wiper-against-multiple-ukrainian-isps/

---

3 Ivanti修复由北约研究人员报告的关键RCE漏洞

Ivanti近日修复了两项关键漏洞CVE-2023-41724和CVE-2023-46808。CVE-2023-41724影响Ivanti Standalone Sentry，这是一款作为设备与激活Sync-enabled邮箱服务器之间网关的设备。该漏洞可以让未认证的攻击者在相同的物理或逻辑网络中执行任意指令。尽管目前尚无客户通过该漏洞被攻陷的报告，Ivanti强烈建议用户立即实施补丁。此外，Ivanti 还为另一个关键漏洞CVE-2023-46808推出了修复，该漏洞影响Ivanti Neurons for ITSM，可能允许攻击者在身份验证后向敏感目录写入文件并执行命令。Ivanti 已在 Ivanti Neurons for ITSM Cloud环境中应用了相关补丁，并提醒各组织尽快升级他们的本地安装版本。两个漏洞都是在去年报告并获得了CVE编号的。Ivanti的政策是，在漏洞没有被积极利用时，我们会在补丁可用时披露漏洞，以便客户可以保护他们的环境。考虑到最近Ivanti Connect Secure VPN、Ivanti EPMM和MobileIron Core等产品的0-day和1-day漏洞利用事件，Ivanti的修复建议显得尤为重要。

https://forums.ivanti.com/s/article/KB-CVE-2023-41724-Remote-Code-Execution-for-Ivanti-Standalone-Sentry?language=en_US

---

4 Fortinet软件关键漏洞遭野外积极利用

研究人员发布了Fortinet公司FortiClient Enterprise Management Server(EMS)软件中一个关键漏洞(CVE-2023-48788，CVSS评分9.3)的概念验证(PoC)利用代码。该漏洞目前在野外被积极利用进行攻击。这个关键漏洞是一个普遍存在的SQL注入问题，位于DAS组件中。该SQL注入漏洞可能允许未认证的攻击者通过特定构造的请求执行未授权的代码或命令。受影响的版本及解决方案已经公布，包括FortiClientEMS 7.2版本的7.2.0至7.2.2版本需要升级到7.2.3或以上版本，以及FortiClientEMS 7.0的7.0.1至7.0.10版本需要升级到7.0.11或以上版本。研究人员演示了如何利用Microsoft SQL Server内置的xp_cmdshell功能将此SQL注入问题转化为远程代码执行。研究人员解释称，尽管数据库没有配置为运行xp_cmdshell命令，但可以使用其他一些SQL语句来实现。研究人员发布的分析中写道：“我们发布的PoC只通过使用一个简单的SQL注入来确认漏洞，而不使用xp_cmdshell。要启用RCE，需要修改PoC。”

https://www.horizon3.ai/attack-research/attack-blogs/cve-2023-48788-fortinet-forticlientems-sql-injection-deep-dive/

---

5 豪华游艇经销商遭Rhysida勒索软件攻击

美国豪华游艇经销商MarineMax在本月初遭到了Rhysida勒索软件团伙的网络攻击。该集团宣称对此次攻击负责，并在其网站上发布了声称从MarineMax窃取的数据片段。这些文件主要与账户和财务相关，但文件的具体性质并不清晰。尽管MarineMax在3月10日向证券交易委员会(SEC)披露了网络攻击，并采取了一系列措施来减少业务受到的影响，但他们当时并未提及勒索软件的参与。MarineMax在提交给SEC的8-K表格中声称，受影响的信息环境中并未存储敏感数据。据了解，该公司在去年录得数十亿美元的收入，攻击发生后其业务在“所有重要方面继续进行”。Rhysida集团目前在其网站上进行七天拍卖，声称如果收到一个它们认为合理的出价，就会将数据独家出售给第三方，而不是公开。这种方法实际上是在受害者拒绝支付赎金的情况下，勒索软件攻击者获取收益的第二种手段。这种双重敲诈的勒索软件场景中，攻击者通常会要求赎金，如果受害者不支付，就会在线上公布窃取的数据。

https://www.theregister.com/2024/03/21/luxury_yacht_dealer_rhysida/

---

6 1900多万明文密码因Firebase配置错误泄露

研究人员在互联网上扫描了易受攻击的Firebase实例，搜索包含个人身份信息(PII)的数据库。由谷歌所有的Firebase提供了云数据库、云计算和应用开发平台。研究人员惊人地发现，有916个组织的Firebase实例配置不当，其中一些实例完全没有启用安全规则。大部分站点甚至启用了写入功能(意味着任何人都可以更改数据)，这是非常糟糕的安全漏洞。他们在两周内扫描了超过五百万个与Firebase平台关联的域名，发现大量敏感数据被泄露：其中包括姓名：84221169条、邮件地址：106266766条、电话号码：33559863条、密码：20185831条、账单信息(银行详情、发票等)：27487924条，特别严重的是，其中19867627条密码以明文形式存储。

https://env.fail/posts/firewreck-1/

---