-
12/202024-12-20据Cybersecuritynews消息,atadog 向微软安全研究中心报告,Azure Key Vault 存在安全配置问题。有 “Key Vault Contributor” 角色的用户可利用访问策略,读取如 API 密钥、密码等敏感数据,存在权限提升风险。微软虽称此 “不是漏洞”,还更新了角色文档,但这一情况源于 Azure RBAC 权限模型和 Key Vault 访问政策间权限范围冲突。微软建议用 RBAC 模型,还提醒组织移除未授权用户、轮换相关物品等以降低风险。
-
2024-12-20据Cybersecuritynews消息,Fortinet 的 FortiClient 企业管理服务器(EMS)中一个关键漏洞(CVE-2023-48788)正遭黑客在实际环境中利用。该漏洞源于 SQL 命令过滤不当,可让攻击者通过 SQL 注入执行未授权代码或命令。Fortinet于2024 年 3 月披露且已发布补丁版本,但威胁行为者仍借此入侵全球企业网络。2024 年 10 月,卡巴斯基全球应急响应团队在一次事件响应中发现相关攻击案例,攻击者利用 SQL 注入进入系统。有迹象显示此漏洞在多地区多行业被广泛利用,相关组织需紧急更新至补丁版本。
-
2024-12-20据Cybersecuritynews消息,ANY.RUN发现网络犯罪分子利用Dynamics 365 创建含嵌入链接表单的功能,创建了看似合法实则陷阱的钓鱼链接,因其托管于受信任域名(如 customervoice.microsoft.com),用户易放松警惕,致登录凭证、支付信息等敏感数据被盗。ANY.RUN分析的一个钓鱼案例中,伪装的微软链接诱导用户点击获取不存在的 PDF 文件,实则将其重定向到仿冒微软登录页面以窃取信息。
-
2024-12-20据BleepingComputer消息,BeyondTrust 于 12 月初遭遇网络攻击,其部分远程支持 SaaS 实例被威胁行为者攻破。12 月 2 日该公司检测到网络 “异常行为”,初步调查证实遭入侵,黑客获取远程支持 SaaS API 密钥,可重置本地应用账户密码。公司已撤销密钥、通知受影响客户并暂停相关实例,同时提供替代方案。此外,调查中发现两个漏洞——CVE-2024-12356 为关键命令注入漏洞,CVE-2024-12686 为中等严重度漏洞。BeyondTrust 已在所有云实例自动应用补丁,自托管实例需手动更新。
-
2024-12-20据BleepingComputer消息,Fortinet 披露其无线管理器FortiWLM 存在高危漏洞 CVE-2023-34990,属相对路径遍历型。攻击者能利用 “ ems cgi-bin ezrf_lighttpd.cgi” 端点的输入验证缺陷,在 “op_type” 为 “upgradelogs” 时,通过 “imagename” 参数的目录遍历读取系统敏感日志,获取管理员会话 ID,实现权限劫持。该漏洞波及 8.6.0 至 8.6.5 与 8.5.0 至 8.5.4 版本。虽 2023 年 5 月已被发现,却因无 CVE 编号与公告,用户未觉风险。直至 2024 年 12 月 18 日 Fortinet 称 2023 年 9 月底的 8.6.6 和 8.5.5 版本已修复。
-
2024-12-20据BleepingComputer消息,微软 365 用户频遭 “产品停用” 错误困扰。大量用户在使用 Office 应用时,随机弹出此错误,严重影响办公。微软查明,该问题因管理员进行许可组转移、用户订阅切换、许可或服务计划调整等操作引发。用户可点击错误横幅 “重新激活” 按钮或重启应用尝试解决。若仍未解决,需联系管理员检查订阅是否过期。微软工程团队正全力调查,用户和管理员可关注支持渠道获取修复进展信息。
-
2024-12-20据BleepingComputer消息,Juniper Networks警示客户,Mirai恶意软件正利用默认凭证攻击并感染Session Smart路由器,并利用受感染设备发起DDoS攻击。在12月11日首次发现客户网络中有路由器被感染后,Juniper公布了检测潜在Mirai恶意软件活动的相关迹象,建议客户立即遵循用户名和密码策略,更改默认凭证,使用强密码,同时保持固件更新、审查访问日志、设置警报、部署入侵检测系统以及使用防火墙等。还提醒已感染的路由器重新镜像后才能上线。此前,Juniper也曾多次就相关安全漏洞发出警告。
-
2024-12-20据BleepingComputer消息,McAfee Labs 研究人员在亚马逊应用商店发现了一款名为 “BMI CalculationVsn” 的恶意 Android 间谍软件。此间谍软件由 “PT Visionet Data Internasional” 发布,看似普通 BMI 计算器,却在后台进行屏幕录制、扫描设备应用及窃取短信(包括 OTP 和验证码)等恶意操作。亚马逊现已下架该软件,但已安装用户需手动删除并全面扫描清除残留痕迹。
-
12/192024-12-19据Securityaffairs消息,Apache Struts 的 CVE-2024-53677 漏洞正遭到利用,攻击者利用它可操纵上传参数来实现路径遍历,存在上传恶意文件并执行远程代码的风险。此漏洞波及 Struts 多个版本,因旧漏洞补丁不完善所致,且有 PoC 代码遭利用。用户应尽快升级到 Struts 6.4.0 及以上版本,并使用对应拦截器,防范潜在风险。
-
2024-12-19据Securitybrief消息,Confluent 宣布其面向 Apache Flink 的平台正式可用,便于管理本地部署应用。该平台旨在提供企业级安全能力,简化 Apache Flink 工作负载的管理与扩展,尤其适合云及本地环境运营的企业。Confluent 还推出 Confluent Manager for Apache Flink(CMF)助力部署等流程,另有 WarpStream Orbit 方便向 “自带云” 模式低成本迁移。诸多企业已受益,专家表示其能让企业更高效安全地运用 Flink 实现实时数据分析等,助力业务发展。
-
2024-12-19据Thehackernews消息,BeyondTrust 公布旗下特权远程访问(PRA)和远程支持(RS)产品出现严重安全漏洞(CVE-2024-12356),属命令注入型漏洞。攻击者利用该漏洞,发送恶意请求就能以站点用户身份执行任意命令。该漏洞影响 24.3.1 及更早版本,云实例已于 12 月 16 日完成补丁修复,本地版本用户若未订阅自动更新,需应用最新补丁,旧版本用户还需先升级。
-
2024-12-19据Hackread消息,网络安全研究人员发现一场利用 eBPF 技术的 Linux 恶意软件攻击活动正在肆虐。攻击者借此隐藏活动、收集数据并绕过防护,部署 rootkits 与远程访问木马,于私有网络畅行无阻。其恶意配置存于 GitHub 等公共平台,伪装合法。自 2023 年起,Boopkit、BPFDoor 等基于 eBPF 的恶意软件组织不断涌现,Dr. Web 研究人员在调查客户案例时察觉了此大规模活动。
-
2024-12-19据DarkReading消息,欧洲制造企业遇钓鱼攻击,约 2 万名欧洲制造企业员工成为目标,攻击者主要瞄准汽车、化工和工业化合物制造公司,活动在 6 月达到高峰并持续至 9 月。攻击者利用虚假 DocuSign 链接和 HubSpot 表单,诱导员工泄露微软账户凭据以进入企业 Azure 云环境。攻击链始于嵌入 HTML 链接或特定命名的 DocuSign 启用 PDF 文件,受害者被导向 HubSpot 表单后再被重定向到仿冒微软 Outlook 登录页面,窃取凭据后攻击者还通过注册设备等手段深入企业云环境。
-
2024-12-19据Cybersecurityventures消息,纳米比亚国有电信公司遭受勒索软件攻击,大量敏感客户数据泄露,包括政府高官信息。该公司拒绝与 “Hunters International” 黑客组织交涉后数据被公开。据悉黑客窃取近 50 万条信息,涉及政府部门、高官及其他客户的个人与财务数据。公司上周五发现数据泄露,正与安全官员合作以降低影响并将罪犯绳之以法,同时提醒民众勿使用或传播泄露信息,公司 CEO 表示不会与 “网络恐怖分子” 谈判,支付赎金也无法确保数据不被泄露。
-
2024-12-19据Cybersecuritynews消息,Okta 企业称有钓鱼攻击伪装成其支持团队,针对客户展开行动,已波及 FCC 等多组织。攻击者设假 Okta SSO 页面,用高级社工技术窃取 MFA 令牌等,重点针对美国数百用户盗取照片 ID 和密码重置链接。Okta 声明官方支持邮箱及系统通知来源,强调支持团队不会索要密码等。攻击手段包括用专业钓鱼工具实时沟通、设验证码、精准复制登录界面、定制含受害者手机号的钓鱼网站。
-
2024-12-19据Cybersecuritynews消息,乌克兰计算机应急响应小组(CERT-UA)12 月 17 日指出,检测到多个仿冒官方 “Army+” 应用页面的网络资源,均借 Cloudflare Workers 发布,恶意网站诱使用户下载名为 “ArmyPlusInstaller-v.0.10.23722.exe” 等的可执行文件。运行时,会执行多项恶意操作,如在受害者电脑安装 OpenSSH 服务器等,借此创建隐蔽后门供攻击者远程访问等,而且利用 Cloudflare Workers 进行恶意造作的活动呈增长趋势。
-
2024-12-19据Cybersecuritynews消息,CISA向美国高级政府官员与政治任务发出警示,建议采用 Signal 等端到端加密消息服务。CISA 于 12 月 18 日发布指南,强调传统 SMS 的脆弱性,主要建议包括使用端到端加密应用(如 Signal)、实施高级认证(弃用 SMS 多因素认证,采用 FIDO 方法)、定期软件更新、关注硬件选择、避免个人 VPN 等。Salt Typhoon组织的频繁活动使得端到端加密更加迫切。
-
2024-12-19据BleepingComputer消息,VScode市场上存在恶意Visual Studio Code 扩展,其会下载高度混淆的 PowerShell 有效载荷,在供应链攻击中针对开发者和加密货币项目。 Reversing Labs 报告,该活动包含 18 个主要针对加密货币投资者和寻求如 Zoom 等生产力工具用户的恶意扩展,于10月首次现身,在VScode市场上有诸多次提交,威胁行为者添加假评论并夸大安装数以增可信度,所有扩展都有相同恶意功能,从可疑域名下载高度混淆的 Windows CMD 文件并执行隐藏 PowerShell 命令解密更多载荷。
-
2024-12-19据CRN网站消息,网络安全供应商Rapid7的收购谈判持续推进,而投资者Jana Partners 不再参与其中,路透社报道,依据监管文件,此前与 Jana Partners 合作的投资公司 Cannae 将独自与 Rapid7 安排会谈。10 月下旬,Rapid7 曾与包括 Bain Capital、Advent 和 EQT 等私募股权公司就潜在收购展开 “早期” 交流。12月18日午后,Rapid7 股价上涨 6.7% 至每股 41.65 美元。
-
2024-12-19据BleepingComputer消息,美国政府考虑自明年起禁止 TP-Link 路由器,因担忧其在网络攻击中对国家安全构成威胁。美司法部、商务部与国防部正联合调查,商务部已向该公司发传票。TP-Link 在美国 SOHO 路由器市场份额达约 65%,其低价销售策略也受调查。超 300 家美互联网服务商将其设为家庭用户默认路由器,且多政府机构网络也有使用。此前微软报告称遭黑的 SOHO 路由器僵尸网络多为 TP-Link 设备,被用于网络攻击,这引发了美国的高度关注与行动。