首頁 > 安全研究 > 安全通報 > 安全簡訊

暴露的環境變量文件導致云環境遭受大規模勒索

發布時間 2024-08-20
1. 暴露的環境變量文件導致云環境遭受大規模勒索


8月16日,一場針對多個組織的大規模勒索活動利用了可公開訪問的環境變量文件(.env),這些文件包含云和社交媒體應用程序的敏感憑據。Palo Alto Networks Unit 42在報告中指出,此次攻擊暴露了環境變量、長期憑證使用及最小特權架構缺失等安全漏洞。攻擊者通過受感染的Amazon Web Services (AWS)環境設置了基礎設施,掃描超過2.3億個目標以收集敏感數據。他們從110,000個域名的.env文件中提取了90,000多個唯一變量,包括云服務和社交媒體賬戶憑據。攻擊者未加密數據即竊取,并在云存儲容器中放置勒索信。利用AWS IAM權限,攻擊者擴大立足點,創建新Lambda函數進行互聯網范圍掃描,尋找暴露的環境文件。成功獲取憑據后,攻擊者將其存儲在公共S3存儲桶中。特別地,他們關注含有Mailgun憑據的.env文件,企圖發送網絡釣魚郵件。盡管嘗試非法加密貨幣挖掘失敗,但經濟動機明顯。攻擊者使用VPN和TOR隱藏身份,Unit 42檢測到烏克蘭和摩洛哥的IP地址與活動相關。此次活動顯示了攻擊者利用自動化技術在云環境中迅速展開行動的高超技能。


https://thehackernews.com/2024/08/attackers-exploit-public-env-files-to.html


2. WPS Office漏洞CVE-2024-7262遭利用,危及2億用戶


8月16日,WPS Office是一款擁有超過2億用戶的辦公套件,近期曝出兩個高危漏洞CVE-2024-7262和CVE-2024-7263,CVSS評分高達9.3,揭示了極高的安全風險和易被利用性。這兩個漏洞均位于其promecefpluginhost.exe組件中,通過不充分的路徑驗證機制,使攻擊者能夠誘導用戶打開特制電子表格文檔,進而加載并執行任意Windows庫。CVE-2024-7262影響12.2.0.13110至12.2.0.13489版本,允許遠程代碼執行,可能引發數據泄露、勒索軟件攻擊或系統深度入侵。盡管金山毒霸發布了12.2.0.16909版本作為CVE-2024-7262的補丁,但隨后又發現了CVE-2024-7263,該漏洞存在于12.2.0.17153以下版本,由于未徹底清理額外參數,使得原補丁失效,再次暴露安全風險。尤為嚴重的是,CVE-2024-7262已被惡意利用,通過分發偽裝成合法文檔的惡意文件,攻擊者正積極展開攻擊。因此,強烈建議所有WPS Office用戶立即升級至12.2.0.17153或更高版本,以防范潛在的安全威脅。


https://securityonline.info/wps-office-vulnerabilities-expose-200-million-users-cve-2024-7262-exploited-in-the-wild/


3. Ailurophile:源自越南的定制化信息竊取惡意軟件揭秘


8月19日,G DATA網絡安全團隊揭露了一款名為“Ailurophile”的新型PHP基信息竊取惡意軟件,疑似源自越南并以訂閱模式銷售。Ailurophile配備了一個功能豐富的網絡面板,允許買家高度自定義惡意軟件,包括命名、圖標設置、Telegram通知配置,甚至使軟件更難被檢測、繞過Windows Defender防御,并從遠程URL部署額外惡意負載。其強大的數據竊取能力聚焦于Chrome、Edge等主流瀏覽器,能竊取包括自動填充數據、cookies、密碼、瀏覽歷史、信用卡信息及加密貨幣錢包數據在內的敏感信息。Ailurophile通過“ExeOutput”和“BoxedApp”技術封裝和虛擬化,使其在內存中運行,增加了隱蔽性和逃避檢測的能力。惡意軟件由多個PHP腳本組成,各司其職,從收集系統信息、終止競爭進程,到精準提取并上傳用戶數據,每個腳本都扮演著關鍵角色。特別是其針對特定文件和關鍵字的數據搜索功能,進一步拓寬了信息竊取范圍。G DATA指出,Ailurophile正處于活躍開發階段,不斷引入新功能與改進,通過惡意軟件破解等方式傳播,對網絡安全構成持續威脅。


https://securityonline.info/new-infostealer-ailurophile-discovered-poses-significant-risk-to-user-privacy/


4. 豐田遭黑客入侵,240GB數據檔案泄露


8月19日,一名黑客在論壇上公開了從豐田系統非法獲取的240GB數據檔案,確認豐田遭遇了網絡安全入侵。豐田官方回應稱已知曉此事,并強調問題范圍有限,非系統性問題。公司正積極與受影響用戶溝通,提供必要援助,但具體細節如漏洞發現時間、攻擊路徑及受影響的用戶數量等信息尚未對外公布。泄露被盜數據的威脅者ZeroSevenGroup自稱入侵了豐田位于美國的分支機構,竊取了包含員工信息、客戶信息、合同及財務記錄在內的海量數據。他們還聲稱使用了開源工具ADRecon收集網絡基礎設施情報及憑證,進一步展示了從Active Directory中提取信息的能力。該組織不僅分享了數據內容概覽,如聯系人、計劃、員工照片等,還提供了帶密碼的AD-Recon結果,供人隨意查閱。值得注意的是,盡管豐田未明確泄密事件的具體日期,但技術分析指出相關文件至少在2022年12月25日已被創建或獲取,暗示攻擊者可能已滲透至存儲數據的備份服務器系統。


https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-stolen-data-leaks-on-hacking-forum/


5. Jenkins CLI漏洞CVE-2024-23897被CISA列為已知利用風險


8月19日,美國網絡安全和基礎設施安全局(CISA)已將Jenkins命令行界面(CLI)的一項嚴重路徑遍歷漏洞(CVE-2024-23897,CVSS評分高達9.8)納入其已知利用漏洞(KEV)目錄,凸顯了該漏洞的緊急性與嚴重性。Jenkins,作為廣受歡迎的開源自動化服務器,維護著全球數十萬安裝實例,用戶超百萬。近期披露的CVE-2024-23897漏洞允許攻擊者通過CLI利用默認啟用的文件內容擴展功能,讀取Jenkins控制器上的任意文件,甚至可能執行遠程代碼,對系統安全構成重大威脅。該漏洞源于Jenkins對CLI命令參數的處理方式,特別是args4j庫中的“expandAtFiles”功能,未能在較新版本中被有效禁用。擁有“Overall/Read”權限的攻擊者能無限制地讀取文件,而無此權限者也能讀取前三行內容,包括可能存儲敏感信息的加密密鑰文件。多個研究員已發布概念驗證(PoC)漏洞,警示該漏洞可能遭到大規模利用,Shodan上的查詢結果顯示超75,000個Jenkins實例直接暴露于互聯網,風險極高。為應對此威脅,CISA已向聯邦機構發出指令,要求在2024年9月9日前修復此漏洞。


https://securityaffairs.com/167267/hacking/cisa-adds-jenkins-command-line-interface-cli-bug-to-its-known-exploited-vulnerabilities-catalog.html


6. FlightAware配置錯誤致客戶信息泄露


8月19日,航班跟蹤服務巨頭FlightAware遭遇了一起嚴重的個人數據泄露事件,據稱這是由于公司內部的配置錯誤所導致。該公司在其官方通知中承認,自2021年1月起,其系統存在安全隱患,可能泄露了包括客戶姓名、電子郵件、賬單與送貨地址、IP地址、社交媒體信息、電話號碼、出生年份、信用卡尾號、飛機所有權詳情、職業信息及賬戶活動記錄等敏感數據。更令人擔憂的是,部分客戶的社會安全號碼和密碼也可能受到影響。FlightAware迅速響應,要求所有潛在受影響的用戶重置賬戶密碼,但關于密碼的加密情況及是否存在進一步的濫用行為,公司并未在通知中詳細說明。此次泄露事件的時間跨度長達三年多,顯示出公司在數據安全管理和監控上的重大疏漏。盡管FlightAware堅稱這是內部失誤而非外部惡意攻擊,但數據的實際利用情況仍不明朗,公司也未能確認是否有第三方非法訪問或下載了這些數據。面對公眾的質疑和關切,FlightAware發言人保持沉默,未就具體受影響客戶數量或進一步的補救措施提供任何信息。


https://techcrunch.com/2024/08/19/flightaware-warns-that-some-customers-info-has-been-exposed-including-social-security-numbers/

上一篇 下一篇