首頁 > 安全研究 > 安全通報 > 安全簡訊

D-Link NAS的任意命令注入和硬編碼后門

發布時間 2024-04-08
1. D-Link NAS的任意命令注入和硬編碼后門


4月6日,威脅研究人員披露了多個不在支持的 D-Link 網絡附加存儲 (NAS) 設備型號中存在新的任意命令注入和硬編碼后門缺陷。該問題存在于“/cgi-bin/nas_sharing.cgi”腳本中,影響其 HTTP GET 請求處理程序組件。導致該缺陷(編號為 CVE-2024-3273)的兩個主要問題是通過硬編碼帳戶(用戶名:“messagebus”和空密碼)促成的后門以及通過“system”參數的命令注入問題。命令注入缺陷是由于通過 HTTP GET 請求將 Base64 編碼的命令添加到“system”參數,然后執行該命令而引起的。D-Link為舊設備建立了 專門的支持頁面 ,用戶可以在其中瀏覽檔案以查找最新的安全和固件更新。


https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/


2. 超過1.6萬個IVANTI VPN仍然易受到CVE-2024-21894的攻擊


4月6日,Shadowserver 研究人員報告稱,大約 16500 個 Ivanti Connect Secure 和 Poly Secure 網關容易受到最近報告的 RCE CVE-2024-21894的影響。該公司已發布了安全更新,以解決影響 Connect Secure 和策略安全網關的四個安全漏洞,這些漏洞可能導致代碼執行和拒絕服務 (DoS),包括CVE-2024-21894。CVE-2024-21894(CVSS 評分 8.2)是 Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure 的 IPSec 組件中的堆溢出漏洞,允許未經身份驗證的惡意用戶在以下位置發送特制請求:命令 - 使服務崩潰從而導致 DoS 攻擊。在某些情況下,這可能會導致執行任意代碼。Shadowserver 研究人員掃描了互聯網上是否存在易受 CVE-2024-21894 影響的實例,并報告稱約有 16,500 個實例仍然容易受到攻擊。大多數易受攻擊的系統位于美國(截至撰寫本文時有 4686 個),其次是日本(2009 年)和英國(1032 個)。


https://securityaffairs.com/161544/security/ivanti-16500-vulnerable-istances.html


3. 美國衛生部警告醫院 IT 服務臺易遭到黑客攻擊


4月6日,美國衛生與公眾服務部 (HHS) 警告稱,黑客現在正在使用社會工程策略來攻擊醫療保健和公共衛生 (HPH) 領域的 IT 服務臺。衛生部門網絡安全協調中心 (HC3) 本周發布的部門警報稱,這些策略允許攻擊者通過注冊自己的多重身份驗證 (MFA) 設備來訪問目標組織的系統。在這些攻擊中,威脅行為者使用本地區域代碼致電冒充財務部門員工的組織,并提供竊取的身份驗證詳細信息,包括公司 ID 和社會安全號碼。他們利用這些敏感信息并聲稱自己的智能手機已損壞,說服 IT 幫助臺在攻擊者的控制下在 MFA 中注冊新設備。這使他們能夠訪問公司資源,并允許他們在商業電子郵件泄露攻擊中重定向銀行交易。


https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/


4. 以色列司法部在黑客活動分子聲稱入侵后審查網絡事件


4月6日, 以色列司法部表示,正在調查一起網絡事件,范圍仍在審查中,需要時間來檢查泄露文件的內容和范圍及其來源。一個名為 Anonymous for Justice 的組織聲稱對此次泄露負責,并稱此次泄露包括檢索近 300 GB 的數據。該組織在其網站上表示,將繼續攻擊以色列,“直到加沙戰爭停止”。該組織公布了據稱在攻擊活動中獲得的文件,例如法律文件,包括標記為機密的雙邊協議和合同草案。路透社無法獨立核實泄露文件的真實性。司法部在帖子中表示,已針對這種情況提前做好準備,并且其行動不會中斷。國家網絡局本周早些時候表示,預計伊朗年度圣城日周末的網絡攻擊嘗試將會增加。


https://www.reuters.com/world/middle-east/israels-justice-ministry-reviewing-cyber-incident-after-hacktivists-claim-breach-2024-04-05/


5. 日本 Hoya 的 IT 系統遭受攻擊后暫停生產


4月5日,日本的 Hoya——一家眼鏡和隱形眼鏡制造商,以及用于制造半導體制造、平板顯示器和硬盤驅動器的套件—— IT 系統遭受攻擊后,該公司已停止部分生產和銷售活動。官方對所發生事件的看法是模糊的。該公司承諾“將采取措施恢復生產和銷售活動所需的系統,并盡快恢復向客戶提供產品的供應系統”。Hoya 目前尚不清楚“公司持有的機密或個人信息是否已被泄露或被第三方訪問”,并警告稱“全面分析預計需要相當長的時間”。


https://www.theregister.com/2024/04/05/hoya_infosec_incident/


6. 黑客利用 Magento 漏洞竊取電子商務網站支付數據


4月6日,該攻擊利用了CVE-2024-20720(CVSS 評分:9.1),Adobe 將其描述為“特殊元素的不當中和”案例,可能為任意代碼執行鋪平道路。公司在 2024 年 2 月 13 日發布的安全更新中解決了這個問題。Sansec 表示,它在數據庫中發現了一個“精心設計的布局模板”,該模板被用來自動注入惡意代碼以執行任意命令。攻擊者將 Magento 布局解析器與 beberlei/assert 包(默認安裝)結合起來執行系統命令。由于布局塊與結帳車相關聯,因此每當請求 <store>/checkout/cart 時都會執行此命令。有問題的命令是sed,它用于插入一個代碼執行后門,然后負責提供 Stripe支付瀏覽器以捕獲財務信息并將其泄露到另一個受感染的 Magento 商店。


https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html

上一篇 下一篇