每日安全简讯(20240915)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现一种名为Hadooken的新型Linux恶意软件

攻击者正在使用一种名为“Hadooken”的新型Linux恶意软件针对Oracle WebLogic服务器进行攻击，该恶意软件会执行加密货币挖矿程序和分布式拒绝服务（DDoS）攻击工具。攻击者还可能利用获得的访问权限在Windows系统上执行勒索软件。Oracle WebLogic Server是一个企业级Java EE应用服务器，用于构建、部署和管理大规模分布式应用程序。该服务器常用于银行和金融服务、电子商务、电信、政府组织和公共服务。由于Oracle WebLogic服务器在关键的业务环境中非常流行，并且这些环境通常拥有丰富的处理资源，所以攻击者针对这些服务器进行攻击活动。

https://www.aquasec.com/blog/hadooken-malware-targets-weblogic-applications/

---

2 Citrix修复Workspace应用程序中的安全漏洞

Citrix发布了安全更新，以修复影响Windows版Citrix Workspace应用程序的两个安全漏洞，分别是CVE-2024-7889和CVE-2024-7890。这些漏洞可能允许本地攻击者在受感染的机器上获得SYSTEM权限。CVE-2024-7889（CVSS v4.0评分7.0）是一个本地权限提升漏洞，允许低权限用户通过不正确地控制资源的生命周期（CWE-664）来获得SYSTEM权限。与该漏洞类似，CVE-2024-7890（CVSS v4.0评分5.4）也使低权限本地用户能够由于不正确的权限管理（CWE-269）提升到SYSTEM权限。这两个漏洞都要求攻击者具有对目标系统的本地访问权限。建议用户对受影响的产品进行安全更新。

https://cybersecuritynews.com/citrix-workspace-privilege-escalation/

---

3 罗克韦尔修复其FactoryTalk产品中的安全漏洞

罗克韦尔自动化公司（Rockwell Automation）的FactoryTalk软件产品中存在两个安全漏洞，对工业控制系统（ICS）构成了威胁。这些漏洞分别为CVE-2024-45823和CVE-2024-45824，可能允许未经授权的访问，甚至远程代码执行，导致恶意攻击并造成严重后果。CVE-2024-45823的CVSSv4评分为9.2，影响FactoryTalk Batch View 2.01.00版本。该漏洞源于跨账户使用共享密钥，攻击者可以利用身份验证过程中所需的额外信息冒充合法用户。成功利用该漏洞可能使攻击者未经授权访问系统和敏感数据。CVE-2024-45824的CVSSv4评分也是9.2，影响FactoryTalk View Site Edition 12.0、13.0和14.0版本。该漏洞允许攻击者结合使用路径遍历、命令注入和XSS漏洞进行完全未经身份验证的远程代码执行。这意味着远程攻击者可能在不需要任何身份验证的情况下在受影响的系统上执行恶意代码，对工业操作造成严重破坏。罗克韦尔自动化公司已发布补丁修复这两个漏洞。

https://securityonline.info/rockwell-automation-products-face-critical-security-risks-urgent-patching-required/

---

4 川崎欧洲公司遭受RansomHub勒索组织攻击

川崎欧洲公司称，他们遭受了网络攻击，该网络攻击导致服务中断，而RansomHub勒索组织威胁要泄露窃取的数据。该公司表示，这次攻击针对其欧洲总部，目前正在分析和清理系统中可能残留的威胁。川崎在公告中称，在九月初，川崎欧洲公司（KME）遭受了一次网络攻击，尽管攻击未成功，但导致公司的服务器被暂时隔离，直到当天晚些时候启动了恢复计划。川崎表示，攻击发生后，其IT人员与外部网络安全专家合作，一台一台地检查服务器，然后再将它们重新连接到公司网络中。川崎的公告发布之际，RansomHub勒索组织声称对该攻击负责。该勒索组织于2024年9月5日将川崎公司添加到其网站中，并声称从川崎的网络中窃取了487GB数据。川崎公司尚未对此进行回应。

https://www.bleepingcomputer.com/news/security/ransomhub-claims-kawasaki-cyberattack-threatens-to-leak-stolen-data/

---

5 西雅图港证实8月遭受Rhysida勒索组织攻击

西雅图港（Port of Seattle）是负责管理西雅图港口和机场的美国政府机构，该机构确认Rhysida勒索组织是对其网络系统进行攻击的幕后黑手。该机构在8月24日透露，网络攻击迫使其隔离了一些关键系统以控制影响。由此导致的IT中断扰乱了预订登记系统，并延误了西雅图-塔科马国际机场的航班。西雅图港的调查确定，未经授权的攻击者能够访问部分计算机系统，并能够对一些数据进行加密。虽然西雅图港已经在一周内将大部分受影响的系统重新上线，但仍在努力恢复其他关键服务。尽管Rhysida勒索组织可能会在暗网中公开窃取的数据，但西雅图港无意向网络犯罪分子支付赎金。

https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/

---

6 多家法国零售商遭受网络攻击并泄露客户数据

多家知名法国零售商称遭受网络攻击，导致客户数据泄露，受害者包括Boulanger和Cultura。多家法国媒体报道称，实际受害零售商可能更多。Boulanger在一份声明中表示，攻击者访问了客户的送货地址，但没有泄露银行数据。该公司表示，事件已得到控制，所有受影响的客户都已被通知。Cultura表示，其一个外部IT服务提供商的数据库遭到恶意入侵，攻击者窃取了其150万客户的数据，包括姓名、电话号码、电子邮件和邮寄地址以及订单内容。Cultura声称密码和银行数据未被泄露，并表示已识别出攻击者利用的漏洞并实施了措施，但未提供更多细节。其他可能被攻击的零售商包括Truffaut以及Pepe Jeans。有媒体报道称，攻击者发布的所有数据似乎都来自负责送货的分包商使用的数据库。

https://therecord.media/france-retailers-hacked-confirm-cyberattack

---