首頁 > 安全研究 > 安全通報 > 安全簡訊

GoDaddy透露其源代碼泄露且服務器被安裝惡意程序

發布時間 2023-02-20
1、GoDaddy透露其源代碼泄露且服務器被安裝惡意程序

      

據媒體2月17日報道,網絡托管公司GoDaddy透露,其源代碼泄露且服務器被安裝惡意程序。GoDaddy在2022年12月表示,收到了部分客戶投訴,稱他們的網站偶爾會被重定向到惡意網站。后來發現這是由于攻擊者獲得了其cPanel環境中托管的服務器的訪問權限,在其系統上安裝了惡意軟件并獲取了與GoDaddy內部分服務相關的代碼。根據調查,GoDaddy認為這是一個復雜的持續多年的攻擊活動的一部分,之前在2021年11月和2020年3月披露的違規行為也與這有關。


https://www.bleepingcomputer.com/news/security/godaddy-hackers-stole-source-code-installed-malware-in-multi-year-breach/  


2、Fortinet發布安全更新修復其多款產品中的數十個漏洞

      

Fortinet在2月16日發布安全更新,修復了其FortiNAC和FortiWeb等產品中的40個漏洞。其中最嚴重的是FortiNAC網絡訪問控制解決方案中的文件名或路徑的外部可控制漏洞(CVE-2022-39952),CVSS評分為9.8,攻擊者可用其在系統上執行任意寫入。其次是FortiWeb代理守護程序中的基于堆棧的緩沖區溢出漏洞(CVE-2021-42756),CVSS評分為9.3,未經身份驗證的遠程攻擊者可以利用其通過特制的HTTP請求執行任意代碼。


https://thehackernews.com/2023/02/fortinet-issues-patches-for-40-flaws.html


3、二維碼生成網站MyQRcode配置錯誤泄露超過128 GB數據

      

媒體2月19日稱,流行的二維碼生成網站MyQRcode泄露了其用戶的個人數據。研究人員在搜索配置錯誤的云數據庫時在Shodan上發現了該服務器,它泄露了超過128 GB的數據,其中包括66000名用戶的個人信息。這是由配置錯誤導致的,公眾可以在沒有任何安全身份驗證或密碼的情況下公開訪問此服務器。此外,泄露事件始于2月4日,現在每天都在主動更新新的記錄,這表明泄露仍在進行中。


https://www.hackread.com/qr-code-generator-my-qr-code-data-leak/


4、Symantec發現新Frebniis利用Microsoft IIS的活動

      

Symantec在2月16日稱其發現了新惡意軟件Frebniis利用Microsoft IIS功能建立后門的活動。Frebniis利用了一個名為失敗請求事件緩沖(FREB)的IIS功能,將惡意代碼注入到控制 FREB(“iisfreb.dll”)的DLL文件的特定函數中,使攻擊者能夠攔截和監控發送到ISS服務器的所有HTTP POST請求。注入的代碼是一個.NET后門,支持代理和C#代碼執行,無需接觸磁盤,使其完全隱蔽。此外,攻擊者用于獲取IIS服務器訪問權限的方法尚不清楚。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/frebniis-malware-iis


5、新黑客團伙WIP26主要針對中東的電信服務提供商

      

2月16日,SentinelLabs披露了新黑客團伙WIP26針對中東的電信服務提供商的攻擊活動。WIP26的特點是濫用公共云基礎設施,如Microsoft 365 Mail、Azure、Google Firebase和Dropbox,進行惡意軟件分發、數據泄露和C2。此次活動通過WhatsApp精準定位員工,其中包含指向惡意軟件加載程序的Dropbox鏈接。最終會安裝后門CMD365和CMDEmber,它們的主要功能是使用Windows命令解釋器執行攻擊者提供的系統命令。


https://www.sentinelone.com/labs/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks/


6、軟件公司Atlassian員工憑據被盜導致部分數據泄露

      

據2月16日報道,軟件公司Atlassian員工憑據被盜導致部分數據泄露。Cyberscoop最先報道,黑客SiegedSec在Telegram上泄露了從Atlassian竊取的數據。之后,Check Point分析了被盜數據,懷疑攻擊者并沒有直接入侵Atlassian,而是攻擊了第三方供應商Envoy。而Envoy表示,其系統并未遭到攻擊,是Atlassian員工的憑據被盜,從而使攻擊者能夠訪問存儲在Envoy應用程序中的數據。Atlassian調查發現,一名員工的憑證被錯誤地發布到公共存儲庫,因此攻擊者可以通過員工帳戶訪問可見數據。


https://www.bleepingcomputer.com/news/security/atlassian-data-leak-caused-by-stolen-employee-credentials/

上一篇 下一篇