当前位置: 首页 > 行业资讯 > 网络安全日报 2024年03月12日

网络安全日报 2024年03月12日

发表于:2024-03-12 08:23 作者: 蚁景网安实验室 阅读数(3573人)

1、黑客冒充美国政府机构进行BEC攻击

https://www.proofpoint.com/us/blog/threat-insight/ta4903-actor-spoofs-us-government-small-businesses-phishing-bec-bids

近日,一伙专门从事商业电子邮件妥协(BEC)攻击的黑客团伙,代号为TA4903,被发现冒充各种美国政府实体,以诱使目标打开含有虚假招标过程链接的恶意文件。这些攻击活动旨在诱骗受害者点击链接,进而窃取其凭证信息。TA4903团伙此前已被观察到使用类似的攻击策略,他们通过发送大量伪装成来自美国政府部门和私营企业的电子邮件,试图盗取受害者的企业凭证。这些攻击行为表明,黑客正利用受害者对政府机构的信任进行网络攻击,这对企业的网络安全构成了严重威胁。

2、Progress软件OpenEdge漏洞可绕过认证

https://www.horizon3.ai/attack-research/cve-2024-1403-progress-openedge-authentication-bypass-deep-dive/

近日,Progress Software OpenEdge的重大安全漏洞被曝光,并且相关技术细节和概念验证(PoC)漏洞利用代码已公开。该漏洞标识为CVE-2024-1403,CVSS评分系统中的严重程度为最高等级10.0。受影响的OpenEdge版本包括11.7.18及更早版本、12.2.13及更早版本以及12.8.0版本。该漏洞出现在开启了OS本地身份验证提供者的OpenEdge Authentication Gateway(OEAG)和AdminServer配置中,可能会使未授权的登录尝试绕过认证保护。如果处理意外类型的用户名和密码不当,身份验证例程就可能返回错误的认证成功信息,从而导致未经授权的访问。Progress Software表示,该漏洞已通过更新版本OpenEdge LTS 11.7.19、12.2.14和12.8.1得到解决。研究人员逆向工程了存在漏洞的AdminServer服务,并发布了CVE-2024-1403的PoC,称问题源于在远程连接建立时调用的一个名为connect()的函数。这个函数随后调用另一个名叫authorizeUser()的函数来验证提供的凭据是否符合特定标准,并在提供的用户名匹配"NT AUTHORITY\SYSTEM"时,将控制权交给另一代码部分直接认证用户。

3、思科针对SecureClient中的高危VPN劫持漏洞发布补丁

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secure-client-crlf-W43V4G7

思科已为其Secure Client软件中的一个高危安全漏洞发布了补丁,该漏洞可能被恶意攻击者利用以开启与目标用户的VPN会话。这一漏洞被追踪为CVE-2024-20337,具有8.2的CVSS评分,它允许未经身份验证的远程攻击者对用户进行回车换行(CRLF)注入攻击。由于对用户提供的输入校验不足,攻击者可能利用此漏洞诱使用户在建立VPN会话时点击一个特制的链接。如果攻击者成功利用此漏洞,他们可以在浏览器中执行任意脚本代码或访问敏感的基于浏览器的信息,包括有效的SAML令牌。然后,攻击者可以使用这个令牌与受影响用户的权限建立远程访问VPN会话。要成功访问VPN后端的个人主机和服务,仍然需要额外的凭证。

4、Fortinet严重缺陷可能影响150000个公网设备

https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/

网络上的扫描显示,大约150000台Fortinet的FortiOS和FortiProxy安全网关系统易受CVE-2024-21762严重安全漏洞的威胁,该漏洞允许未经认证执行代码。上月,美国网络防御机构CISA确认,攻击者正积极利用该漏洞,并将其添加到已知被利用漏洞(KEV)目录中。几乎在Fortinet解决CVE-2024-21762漏洞一个月后,研究人员宣布,他们发现了近15万台有漏洞的设备。远程攻击者可通过向脆弱机器发送特制的HTTP请求来利用CVE-2024-21762漏洞(NIST评分为9.8严重性)。根据研究人员的数据,美国有逾24000台设备易受攻击,其次是印度、巴西和加拿大。目前关于积极利用CVE-2024-21762的威胁行动者的详细信息还很有限,公共平台上没有显示此类活动,或者漏洞在由更复杂的对手选择性攻击中被利用。

5、QNAP警告其NAS设备存在严重身份验证绕过漏洞

https://www.qnap.com/en/security-advisory/qsa-24-09

QNAP近日警告其NAS软件产品中的漏洞,包括QTS、QuTS hero、QuTScloud 和 myQNAPcloud,这些漏洞可能允许攻击者访问设备。网络附加存储(NAS)设备制造商披露了三个可以导致认证绕过、命令注入和SQL注入的漏洞。虽然后两个漏洞要求攻击者在目标系统上通过认证,显著降低了风险,但第一个(CVE-2024-21899)可以在不需要认证的情况下远程执行,并被标记为“低复杂度”。

6、黑客声称入侵美国联邦承包商Acuity并出售数据

https://www.hackread.com/hacker-breach-federal-contractor-acuity-ice-uscis-data/

黑客IntelBroker声称已经入侵了美国联邦承包商Acuity,并且正在出售属于美国移民和海关执法局(ICE)及美国公民及移民服务局(USCIS)的数据。据报道,黑客IntelBroker在黑客论坛上发帖,声明他负责最近一起针对位于弗吉尼亚州雷斯顿的联邦承包商Acuity Inc.的数据泄露。泄露导致来自两个著名美国政府实体的敏感数据和文件被盗。目前这些被盗数据正在该论坛上以3000美元的门罗币(XMR)价格出售。在黑客论坛上宣布数据泄露事件后,IntelBroker展示了据称被盗数据的样本,其中包含超过100000名受害者的个人信息和个人身份信息(PII)。这些记录包括:电话、号码、电子邮件地址、实际地址、身体特征等。黑客还声称,“所有这些都属于美国公民”,意味着泄露的数据中包含了平民以及政府官员的信息。

7、WordPress站点遭受分布式暴力破解攻击

https://blog.sucuri.net/2024/03/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html

研究人员的新发现显示,威胁行为者正在利用恶意JavaScript注入对WordPress网站进行暴力破解攻击。该活动是先前记录的攻击浪潮的一部分,其中受感染的WordPress网站被用来直接注入AngelDrainer等加密货币排水器,或将网站访问者重定向到包含排水器恶意软件的Web3网络钓鱼网站。最新的迭代值得注意的是,迄今为止在700多个网站上发现的注入不会加载排水器,而是使用常见和泄露的密码列表来暴力破解其他WordPress网站。目前尚不清楚是什么原因促使威胁行为者从加密货币消耗者转向分布式暴力破解攻击。

8、思科:超15国多行业遭GhostLocker双重勒索攻击

https://www.secrss.com/articles/64243

技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。

9、Midjourney封禁Stability AI:恶意爬取数据致服务器瘫痪24小时

https://www.secrss.com/articles/64218

Midjourney 把 Stability AI 拉入黑名单了,禁止后者所有员工使用其软件,直至另行通知。

10、法国政府机构遭受大规模网络攻击

https://securityaffairs.com/160374/hacking/massive-cyberattacks-hit-french-government-agencies.html

法国总理加布里埃尔·阿塔尔办公室 3 月 11 日星期一表示,“法国多个国家机构遭受了‘前所未有的强度’的网络攻击,同时坚称政府已经能够控制影响。” 法国《世界报》报道。阿塔尔办公室表示,从周日开始,“许多部长级服务都受到了攻击,使用了熟悉的技术手段,但强度空前”,但没有提供目标的进一步细节。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。