每日安全简讯(20240504)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 美国政府警告亲俄攻击者针对供水设施持续发起网络攻击

美国政府警告称，亲俄罗斯的黑客活动分子正在寻找并侵入不安全的操作技术（OT）系统，以破坏关键基础设施的运行。该联合咨询来自六个美国政府机构，包括 CISA、FBI、NSA、EPA、DOE、USDA 和 FDA，以及多州信息共享和分析中心 (MS-ISAC)、加拿大网络安全中心 ( CCCS）和英国国家网络安全中心（NCSC-UK）。OT 设备是硬件和软件平台的组合，用于监视和控制制造、关键基础设施和其他行业的物理过程或活动。例如，水厂使用 OT 设备来管理水处理、分配和压力，以提供持续、安全的供水。美国政府警告称，自 2022 年以来，亲俄罗斯的黑客活动分子一直将不安全和配置错误的 OT 设备作为目标，以扰乱运营或造成“滋扰效应”。

https://media.defense.gov/2024/May/01/2003454817/-1/-1/0/DEFENDING-OT-OPERATIONS-AGAINST-ONGOING-PRO-RUSSIA-HACKTIVIST-ACTIVITY.PDF

---

2 攻击者过去五年中在Docker Hub植入了数百万个恶意无镜像仓库

研究人员发现了多个针对 Docker Hub 的活动，在过去五年中植入了数百万个恶意“无镜像”仓库。Docker Hub 中超过 400 万个存储库是无镜像的，除了存储库文档之外没有任何内容。更重要的是，该文档与公共仓库没有任何关系。相反，它是一个旨在引诱用户访问网络钓鱼或恶意软件托管网站的网页。在发现的 460 万个无图像 Docker Hub 仓库中，据说其中 281 万个存储库被用作登陆页面，将毫无戒心的用户重定向到欺诈网站，例如下载器、电子书网络钓鱼等。

https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams/

---

3 HPE Aruba Networking修复了ArubaOS中的四个关键远程代码执行漏洞

HPE Aruba Networking 发布了 2024 年 4 月安全公告，详细介绍了影响其专有网络操作系统 ArubaOS 多个版本的关键远程代码执行 (RCE) 漏洞。该通报列出了 10 个漏洞，其中 4 个属于严重级别（CVSS v3.1：9.8）未经身份验证的缓冲区溢出问题，可能导致远程代码执行 (RCE)。四个严重的远程代码执行缺陷是：CVE-2024-26305、CVE-2024-26304、CVE-2024-33511和CVE-2024-33512。为了缓解这些缺陷，供应商建议启用增强型 PAPI 安全性并升级到 ArubaOS 的修补版本。

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt

---

4 法国医院CHC-SV称拒绝支付LockBit勒索软件组织的赎金

法国戛纳医院西蒙娜·韦伊医院 (CHC-SV) 宣布收到 Lockbit 3.0 勒索软件团伙的赎金要求，并表示他们拒绝支付赎金。4 月 17 日，这家拥有 840 个床位的医院宣布因网络攻击造成严重运营中断，迫使其所有计算机脱机并重新安排非紧急程序和预约。5 月 30 日，该机构在 X 上宣布，已收到 Lockbit 3.0 勒索软件操作的赎金要求，并将其转发给宪兵队和国家信息系统安全局 (ANSSI)。与此同时，LockBit 勒索软件组织在暗网上的勒索门户上添加了 CHC-SV，威胁要在当天结束前泄露攻击期间被盗的第一个文件样本包。

https://www.bleepingcomputer.com/news/security/french-hospital-chc-sv-refuses-to-pay-lockbit-extortion-demand/

---

5 微软确认4月份Windows Server更新会导致NTLM身份验证失败

Microsoft 已确认安装上个月的 Windows Server 安全更新后出现的 NTLM 身份验证失败和高负载的客户报告。根据周二添加到 Windows 运行状况仪表板的新条目，此已知问题只会影响具有大量 NTLM 流量和少量主 DC 的组织中的 Windows 域控制器。受影响的 Windows 版本和有问题的安全更新列表包括 Windows Server 2022 ( KB5036909 )、Windows Server 2019 ( KB5036896 )、Windows Server 2016 ( KB5036899 )、Windows Server 2012 R2 ( KB5036960 )、Windows Server 2012 ( KB5036969 )、Windows Server 2008 R2 ( KB5036967 ) 和 Windows Server 2008 ( KB5036932 )。微软表示： “在域控制器 (DC) 上安装 2024 年 4 月安全更新后，您可能会注意到 NTLM 身份验证流量显着增加。”此问题可能会影响环境中主域控制器比例很小且 NTLM 流量较高的组织。

https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2022#3292msgdesc

---

6 澳洲航空应用程序向随机用户泄露了敏感的旅客详细信息

澳洲航空证实，其一些客户受到其应用程序配置错误的影响，该配置错误将敏感信息和登机牌暴露给随机用户。澳洲航空是澳大利亚的旗舰航空公司，也是机队规模最大的航空公司，运营着 125 架飞机，飞往 104 个目的地。澳洲航空拥有 23500 名员工，年收入近 129 亿美元。澳洲航空应用程序的几名用户在社交媒体上报告称，他们可以查看其他用户的旅行详细信息，包括个人身份信息、即将起飞的航班的登机牌以及其他帐户信息。澳洲航空迅速对报告做出回应，并确认敏感信息可能因最近的系统变更而意外泄露。该航空公司建议乘客退出澳洲航空应用程序上的“飞行常客”帐户，并对社交媒体上的诈骗保持警惕。随后的更新宣布了该航空公司问题的解决方案，确认网络攻击并未导致该事件，而是内部配置更改导致信息仅在应用程序上暴露。

https://www.qantasnewsroom.com.au/qantas-responds/statement-on-qantas-app-issue/

---

致谢：特别感谢武汉大学的彭老师对2024年5月4日第二条简讯提出的宝贵指导意见。