https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
自 12 月初以来,黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。这些安全问题被标识为 CVE-2023-46805 和 CVE-2024-21887,允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示,攻击者针对的是少数客户。研究人员称攻击背后的威胁行为者从事间谍活动,目前在内部追踪为 UNC5221。今天,威胁监控服务 Shadowserver在 X 上发布消息称,其扫描仪在公共网络上检测到 17100 台 Invanti CS 设备,其中大部分位于美国。然而,没有迹象表明其中有多少人容易受到攻击。
GitLab 发布了社区版和企业版的安全更新,以解决两个关键漏洞,其中之一允许在没有用户交互的情况下劫持帐户。供应商强烈建议尽快更新 DevSecOps 平台的所有易受攻击的版本(自托管安装需要手动更新)。GitLab 修补的最严重的安全问题具有最高的严重性评分(满分 10 分),并被跟踪为 CVE-2023-7028。成功的利用不需要任何交互。这是一个身份验证问题,允许将密码重置请求发送到任意未经验证的电子邮件地址,从而允许帐户被接管。如果双因素身份验证 (2FA) 处于活动状态,则可以重置密码,但仍需要第二个身份验证因素才能成功登录。第二个严重问题被确定为 CVE-2023-5356,严重性评分为 9.6(满分 10)。攻击者可以利用它来滥用 Slack/Mattermost 集成,以另一个用户的身份执行斜杠命令。
https://www.rapid7.com/blog/post/2024/01/12/2023-ransomware-stats-a-look-back-to-plan-ahead/
2023 年有近 5200 个受害者组织遭受勒索软件攻击,并从其管理的检测和响应团队的公开披露和事件数据中进行了研究。研究人员认为这个数字实际上更高,因为它没有考虑到许多可能未被报告的攻击。虽然勒索软件活动仍然很高,但用于这些攻击的独特勒索软件家族的数量减少了一半以上,从2022年的95个新家族减少到2023年的43个。比克表示,这表明当前的勒索软件系列和模型正在满足威胁行为者的目标。研究人员称AlphV 是去年最活跃的威胁组织。
https://www.securityweek.com/google-warns-of-chrome-browser-zero-day-being-exploited/
被利用的零日漏洞被标记为 CVE-2024-0519,被描述为 V8 JavaScript 引擎中的越界内存访问问题。
https://www.securityweek.com/vulnerabilities-expose-pax-payment-terminals-to-hacking/
PAX 基于 Android 的 PoS 终端中的漏洞可被利用来降级引导加载程序、执行任意代码。
https://www.securityweek.com/vmware-urges-customers-to-patch-critical-aria-automation-vulnerability/
Aria Automation 受到一个严重漏洞的影响,该漏洞可被利用来获取对远程组织和工作流程的访问权限。
https://securityaffairs.com/157591/security/atlassian-rce-flaw-older-confluence-versions.html
Atlassian 警告 Confluence 数据中心和 Confluence Server 中存在一个严重的远程代码执行漏洞,该漏洞被跟踪为 CVE-2023-22527(CVSS 评分 10.0),该漏洞会影响旧版本。
https://thehackernews.com/2024/01/remcos-rat-spreading-through-adult.html
名为 Remcos RAT 的远程访问木马 (RAT) 被发现通过网络硬盘在韩国伪装成成人主题游戏进行传播。
https://www.infosecurity-magazine.com/news/hundredfold-surge-global-botnet
活动激增的原因是攻击者使用廉价或免费的云和托管服务器来创建僵尸网络启动板。这些新的僵尸网络专注于扫描全球互联网端口,并显示出潜在电子邮件服务器漏洞的迹象。
研究人员建议 Android 应该引入自动重启功能,以使利用固件缺陷变得更加困难。最近报告了影响 Google Pixel 和三星 Galaxy 手机等 Android 设备的固件漏洞,这些漏洞可能会被利用来窃取数据并在设备不处于静止状态时监视用户。当设备处于“静止”状态时,意味着它已关闭或启动后尚未解锁。在这种状态下,隐私保护非常高,并且移动设备无法完全发挥作用,因为加密密钥仍然无法供已安装的应用程序使用。重新启动后的第一次解锁会导致多个加密密钥移动到快速访问内存,以便安装的应用程序正常工作,并且设备切换到“非静止”状态。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。