每日安全简讯(20241128)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 RomCom利用Firefox和Windows零日漏洞进行攻击

ESET研究团队近日揭示了由与俄罗斯相关的黑客组织RomCom利用的两个零日漏洞，这些漏洞影响了Mozilla的Firefox浏览器和Microsoft Windows操作系统。此次攻击不需要任何用户交互，成功利用后，攻击者能够远程执行任意代码并在受害者系统上安装RomCom后门。第一个漏洞，CVE-2024-9680，是一个存在于Firefox、Thunderbird和Tor浏览器中的“使用后释放”漏洞，影响了动画时间轴功能。该漏洞的CVSS评分为9.8，被攻击者利用时，能够在浏览器的受限环境中执行恶意代码。Mozilla于2024年10月9日发布了修复补丁。ESET进一步分析发现，攻击者还利用了Windows操作系统中的另一个零日漏洞，CVE-2024-49039，该漏洞允许攻击者绕过浏览器沙盒限制，提升特权并执行恶意代码。Microsoft在2024年11月12日发布了相关的修复补丁。

https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/

---

2 研究人员揭示企业VPN客户端的远程代码执行风险

在SANS HackFest Hollywood 2024会议上，安全专家展示了企业VPN客户端的漏洞，揭示了通过VPN服务器获取远程代码执行权限的潜在风险。研究表明，许多广泛使用的VPN客户端存在信任关系漏洞，攻击者可以通过恶意VPN服务器轻松获取高权限访问。为帮助安全专业人士理解并防范这一威胁，研究团队发布了NachoVPN工具，一个开源平台，能够模拟恶意VPN服务器并利用这些漏洞进行攻击。NachoVPN旨在展示如何通过漏洞实现对macOS和Windows系统的远程代码执行。该工具适用于各种VPN客户端，并能够根据客户端的具体情况调整响应。研究还针对知名VPN产品，如Palo Alto GlobalProtect和SonicWall NetExtender，发布了详细的安全通告，说明了漏洞的技术细节、攻击路径和防护建议。

https://blog.amberwolf.com/blog/2024/november/introducing-nachovpn---one-vpn-server-to-pwn-them-all/

---

3 黑客利用Array Networks SSL VPN中的漏洞发起攻击

美国网络防御机构CISA警告，黑客正在利用Array Networks SSL VPN产品中的一个严重远程代码执行漏洞。该漏洞（CVE-2023-28461）被评为9.8的严重级别，允许攻击者通过恶意URL执行远程代码。该漏洞影响Array AG系列和vxAG版本9.4.0.481及之前的版本，存在认证不当问题，攻击者可通过HTTP头中的标志属性绕过认证，访问文件系统并执行远程代码。该漏洞于2023年3月9日首次披露，Array Networks在一周内发布了修复版本（9.4.0.484）。受影响的SSL VPN产品广泛用于企业、服务提供商和政府机构，全球有超过5000个客户。尽管CISA未透露具体的受害者或攻击者信息，但已将此漏洞列入已知利用漏洞（KEV）目录，并建议所有联邦机构和关键基础设施组织在12月16日前应用安全更新或停止使用该产品。

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-bug-in-array-networks-ssl-vpn-products/

---

4 澳大利亚新网络安全法案要求受害者披露赎金支付情况

澳大利亚政府的网络安全立法于本周一通过议会两院的审议，正式提出一项新的政策，要求受害者披露赎金支付情况，并加强智能设备的基本网络安全标准以及关键基础设施的安全保护。该法案被称为《网络安全法》，是澳大利亚八年网络安全战略的一部分，旨在通过增强透明度和应对日益严峻的网络威胁，使澳大利亚成为2030年全球最安全的国家。该法案要求某些企业在发生勒索攻击时报告赎金支付情况，进而帮助政府了解勒索软件对澳大利亚经济和社会的影响。此前，勒索软件支付的报告是自愿性质，只有五分之一的组织进行报告。新法案还成立了“网络事件审查委员会”，对重大网络事件进行无过错后期审查，并提出防止类似事件再次发生的建议。《网络安全法》还赋予政府机构检测和管理联网设备的网络安全漏洞的权力，若发现漏洞，政府可要求其下架。同时，法案还修改了2018年《关键基础设施安全法》，允许政府将特定数据存储系统纳入关键基础设施，并对其所有者实施更严格的网络安全监管。

https://www.govinfosecurity.com/victims-must-disclose-ransom-payments-under-australian-law-a-26918

---

5 英国Wirral大学医院遭遇重大网络安全事件

英国西北部Wirral大学教学医院日前报告发生了严重的网络安全事件，导致当天所有门诊预约被迫取消。医院方面表示，此次事件属于“重大网络安全事故”，并要求患者仅在紧急情况下前往急诊部门。受影响的医院还包括Arrowe Park、Clatterbridge以及Wirral妇女儿童医院。根据医院更新的信息，产科、新生儿科和急诊分诊仍正常运作，但Arrowe Park的系统已因攻击而瘫痪。医院工作人员称，由于电子系统无法使用，所有记录和结果只能手动处理，造成了极大的困难和损失。此次攻击是继今年6月俄罗斯语系的Qilin勒索软件攻击后，又一起影响英国NHS的黑客事件。该事件导致医院系统停摆，约1500个医疗预约被迫重排。英国国家网络安全中心表示，正在与NHS England合作，深入了解该事件的影响。专家表示，医院应加强关键服务的安全性和业务连续性计划，以减少未来网络攻击的影响。

https://www.govinfosecurity.com/uk-nhs-hospital-reports-major-cyberincident-a-26915

---

6 非洲联合打击网络犯罪行动抓获1000余名嫌疑人

国际执法合作行动“塞伦盖蒂行动”在过去两个月内成功打击了横跨19个非洲国家的网络犯罪活动，共抓获1000多名嫌疑人。此次行动由国际刑警组织（Interpol）和非洲刑警组织（Afripol）联合发起，涉及的犯罪活动包括勒索软件攻击、商务邮件欺诈等。根据通报，犯罪分子已造成35000个受害者，损失金额高达1.93亿美元。“塞伦盖蒂行动”是继2022年和2023年“非洲网络暴风”行动之后，又一次广泛的国际网络犯罪打击行动。Afripol执行董事贾勒尔·切尔巴表示，通过此次行动，非洲联盟成员国的执法力量得到了显著支持，同时增进了对网络犯罪趋势的洞察。此次行动涉及的19个国家包括阿尔及利亚、安哥拉、喀麦隆、科特迪瓦、刚果民主共和国等，英国和德国的相关机构也为行动提供了资金支持。此外，私营部门的合作也对行动提供了关键支持，网络安全公司如卡巴斯基、Fortinet、Trend Micro等为参与国家的基础设施安全提供了远程帮助。

https://cyberscoop.com/african-cybercrime-crackdown-nets-more-than-1000-suspects/

---