首頁 > 安全研究 > 安全通報 > 安全簡訊

Atlassian修復Confluence漏洞CVE-2023-22518

發布時間 2023-11-02

1、Atlassian修復Confluence漏洞CVE-2023-22518


據媒體10月31日稱,Atlassian修復了一個嚴重的漏洞(CVE-2023-22518),它影響了所有版本的Confluence Data Center和Confluence Server。這是一個授權不當漏洞,攻擊者可利用該漏洞破壞受影響服務器上的數據,導致數據丟失,但無法被用來竊取數據。通過atlassian.net域訪問的Atlassian Cloud網站不受此漏洞的影響。此漏洞尚未被主動利用,該公司建議用戶立即應用更新。


https://www.bleepingcomputer.com/news/security/atlassian-warns-of-critical-confluence-flaw-leading-to-data-loss/


2、Avast殺毒軟件將Android Google標記為惡意軟件


據10月31日報道,安全公司Avast稱自周六以來,其殺毒軟件將部分型號的智能手機上的Google Android應用標記為惡意軟件。在受影響設備上,用戶被提醒立即卸載Google應用,因為它可能會秘密發送短信、下載和安裝其它應用或竊取用戶信息。還有人看到了不同的提醒,稱Google應用是一個木馬,可以遠程訪問他們的設備,被攻擊者用來安裝惡意軟件并竊取數據。Avast透露,其殺毒SDK誤將Google快速搜索框應用程序啟動器標記為惡意軟件,該問題已于10月30日解決。


https://www.bleepingcomputer.com/news/security/avast-confirms-it-tagged-google-app-as-malware-on-android-phones/


3、Scarred Manticore利用LIONTAIL攻擊中東的國家


Check Point于10月31日披露了Scarred Manticore針對中東國家軍政機構和電信公司的攻擊活動。該團伙從2019年起一直活躍,目前的活動在2023年中期達到頂峰。最新活動利用了LIONTAIL,這是一種安裝在Windows服務器上的被動惡意軟件框架。出于隱蔽性,LIONTIAL植入程序利用對Windows HTTP棧驅動程序HTTP.sys的直接調用來加載常駐內存的payload。研究人員還稱,Scarred Manticore與OilRig(又名APT34)有關聯。


https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/


4、Mandiant檢測到多起利用Citrix Bleed漏洞的活動


10月31日,Mandiant稱其檢測到多起利用Citrix Bleed漏洞,來攻擊美洲、歐洲、非洲和亞太地區的活動。這是NetScaler ADC和NetScaler Gateway設備中的信息泄露漏洞(CVE-2023-4966),自8月下旬以來一直在被利用。利用漏洞后,攻擊者會進行網絡偵察、竊取帳戶憑據并通過RDP進行橫向移動。Mandiant表示,在各種活動中利用CVE-2023-4966的4個攻擊團伙,在Post-Exploitation階段存在一些重疊。


https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966


5、惡意NuGet包利用MSBuild集成來分發惡意軟件


 ReversingLabs在10月31日披露了通過惡意NuGet包來分發惡意軟件的活動。研究人員于10月15日發現了最新NuGet活動,利用不同的拼寫錯誤的軟件包來安裝惡意軟件。此活動的新穎之處在于,這些軟件包沒有使用在安裝腳本中植入下載程序的常用方法,而是利用NuGet的MSBuild集成來執行代碼。這是8月初以來的持續活動的一部分,直到10月中旬,攻擊者才開始利用MSBuild集成。早期版本利用PowerShell腳本(init.ps1)從GitHub存儲庫獲取惡意軟件payload。


https://www.reversinglabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole


6、Cisco發布關于Arid Viper攻擊活動的分析報告


10月31日,Cisco Talos發布了關于Arid Viper攻擊活動的分析報告。該活動自2022年4月開始活躍,一直針對阿拉伯語地區。攻擊者利用偽造的惡意Android應用,旨在從目標手機中收集數據。有趣的是,該惡意軟件與約會軟件Skipped的源代碼相似,這表明運營團伙要么與Skipped的開發人員有聯系,要么非法獲得了項目的訪問權限。攻擊者會分發偽裝成約會應用更新的惡意鏈接,從而將惡意軟件安裝到用戶的設備。


https://blog.talosintelligence.com/arid-viper-mobile-spyware/

上一篇 下一篇