首頁 > 安全研究 > 安全通報 > 安全簡訊

BuyGoods配置錯誤泄露198GB內部數據和用戶信息

發布時間 2024-01-26
1. BuyGoods配置錯誤泄露198GB內部數據和用戶信息


1月24日,網絡安全研究員 Jeremiah Fowler 最近發現了一個配置錯誤的云數據庫,導致大量敏感數據暴露。受影響的數據庫包含歸屬于BuyGoods.com。暴露的數據庫大小總計 198.3 GB,缺乏任何形式的安全認證,可供公眾公開訪問。這個未受保護的數據庫中有超過 260,000 條記錄,包含全面的信息。這包括有關聯營公司付款、退款交易、發票、會計記錄和各種其他形式的數據的詳細信息。更糟糕的是,暴露的服務器還暴露了客戶和附屬公司的個人記錄,其中包含高度敏感的個人身份信息(PII)和了解你的客戶(KYC)數據。這些暴露的信息包括客戶的自拍照以及他們的個人身份證、執照、護照,甚至未經編輯的信用卡詳細信息。此次隱私泄露事件的全球影響可能是巨大的,因為這些記錄涉及來自世界各地的個人。


2. 惠普向美國監管機構披露其遭到Cozy Bear的入侵


1月25日,技術制造商惠普企業公司 (HPE) 周三表示,疑似與俄羅斯政府有聯系的黑客進入了該公司基于云的電子郵件環境。與Cozy Bear(也稱為 Midnight Blizzard)有關的黑客已經侵入其網絡,并花費數月時間竊取數據。該公司沒有回應有關誰通知他們這一事件的置評請求。攻擊活動從 2023 年 5 月開始,該組織主要被稱為 APT29,據信是俄羅斯對外情報局 (SVR) 的一部分,負責外國間諜活動和電子監視。這些黑客是俄羅斯對美國一些最具破壞性的攻擊的幕后黑手,包括 2020 年 SolarWinds 黑客攻擊和 2016 年對民主黨全國委員會的攻擊。


3. Arctic Wolf Labs曝光用Go開發的CherryLoader


1月24日,CherryLoader 披著無辜的外衣進行欺騙,偽裝成合法的 CherryTree 筆記應用程序。然而,在這個外表之下隱藏著一個狡猾而危險的工具,旨在以驚人的效率滲透系統。通過利用 Go 的強大功能,CherryLoader 引入了惡意軟件下載器中以前未曾見過的模塊化程度和靈活性,使攻擊者能夠交換漏洞而無需重新編譯。CherryLoader 的攻擊鏈既復雜又有效。最初,受害者從特定的 IP 地址接收惡意軟件,導致下載兩個文件:一個受密碼保護的 RAR 文件和一個負責解壓 RAR 內容的可執行文件。解壓后的內容顯示了一個 Golang 二進制文件以及其他文件,這些都是加載程序工具包的一部分,旨在通過剝離二進制文件和破壞導入地址表等技術來阻礙分析工作。CherryLoader 的執行涉及一個多步驟過程,從密碼檢查開始,然后使用簡單的 XOR 算法解密嵌入文件。值得注意的是,該解密過程不依賴于輸入的密碼,這暗示其主要作用是阻止分析而不是安全。


4. GKE集群嚴重漏洞Sys:All可導致25萬個集群被控制


1月24日,網絡安全研究人員發現了一個影響 Google Kubernetes Engine (GKE) 的漏洞,擁有 Google 帳戶的威脅參與者可能會利用該漏洞來控制 Kubernetes 集群。云安全公司 Orca將這一嚴重缺陷代號為Sys:All 。據估計,多達 250,000 個活躍的 GKE 集群容易受到攻擊。system:authentiated group 是一個特殊的組,包括所有經過身份驗證的實體,包括人類用戶和服務帳戶。因此,當管理員無意中授予它過于寬松的角色時,可能會產生嚴重后果。Sys:All 已被發現影響眾多組織,導致各種敏感數據暴露,例如 JWT 令牌、GCP API 密鑰、AWS 密鑰、Google OAuth 憑證、私鑰和容器注冊表憑證,其中最后一個可能然后用于對容器鏡像進行木馬化。在向 Google 負責任地披露后,該公司已采取措施阻止將 system:authentiated 組綁定到 GKE 1.28 及更高版本中的 cluster-admin 角色。


5. 思科修復涉及多個產品的RCE漏洞CVE-2024-20253


1月24日,思科已經修復了統一通信和聯絡中心解決方案的一個關鍵安全漏洞,該漏洞可能讓未經身份驗證的遠程攻擊者在受影響的設備上執行任意代碼。該安全漏洞官方編號為 CVE-2024-20253,在 CVSS 上的嚴重等級高達 9.9。CVE-2024-20253 的核心在于一個危險的安全漏洞:在將用戶提供的數據攝入內存時對其進行不當處理。此缺陷為未經身份驗證的遠程攻擊者打開了大門,可以制作惡意消息并將其發送到易受攻擊的設備上的偵聽端口。該漏洞影響以下默認配置的思科產品PCCE、Unified CM、UCCE和UCCX等。


6. 研究團隊發布APT10的惡意工具LODEINFO的分析報告


1月24日,在數字世界的陰暗角落,網絡安全防御者和攻擊者之間的戰斗不斷激烈地展開,一個新的對手已經出現,他們使用復雜的欺騙和逃避工具:LODEINFO惡意軟件。這種無文件威脅自 2019 年 12 月以來一直困擾著網絡空間,代表著網絡犯罪分子策略的重大轉變,特別是針對日本部門,包括媒體、外交、公共機構、國防工業和智庫的網絡犯罪分子策略的重大轉變。最近, ITOCHU Cyber & Intelligence Inc.的安全研究人員。分析了 LODEINFO 惡意軟件的每個版本并發現了變化。

LODEINFO 是臭名昭著的 APT 組織 APT10 的先鋒,展示了網絡威脅的驚人演變。它通過看似無害的魚叉式網絡釣魚電子郵件滲透系統,利用惡意 Word 文檔來執行其險惡的議程。最初也使用 Excel 文件,但攻擊者改進了方法以提高成功率。

上一篇 下一篇