首頁 > 安全研究 > 安全通報 > 安全簡訊

LiteSpeed Cache插件漏洞導致數百萬WordPress網站面臨被控風險

發布時間 2024-08-23
1. LiteSpeed Cache插件漏洞導致數百萬WordPress網站面臨被控風險


8月21日,LiteSpeed Cache作為WordPress平臺上一款廣受歡迎的網站加速插件,近期被發現存在一個嚴重安全漏洞(CVE-2024-28000),該漏洞允許未經身份驗證的攻擊者通過創建惡意管理員賬戶來控制數百萬個網站。該漏洞源于LiteSpeed Cache 6.3.0.1及以上版本中用戶模擬功能的弱哈希校驗問題。安全研究員John Blackbourn于8月初報告了此漏洞,LiteSpeed團隊迅速響應,并于8月13日發布了包含修復補丁的6.4版本。此漏洞的嚴重性在于,一旦成功利用,攻擊者可以獲取管理員權限,進而安裝惡意插件、篡改網站設置、重定向流量至惡意站點、分發惡意軟件或竊取用戶數據。研究人員指出,通過暴力破解哈希值的方式,攻擊者能夠在短時間內實現對特定用戶ID的管理員級訪問,尤其當使用常見的用戶ID(如1)時,成功率更高。盡管LiteSpeed已發布修復版本,但鑒于WordPress官方插件庫下載數據顯示僅有半數網站更新,剩余超過一半的用戶仍面臨風險。建議所有使用LiteSpeed Cache的WordPress網站管理員立即升級至最新版本。


https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-millions-of-wordpress-sites-to-takeover-attacks/


2. 烏克蘭Monobank遭大規模DDoS攻擊,捐款服務成黑客目標


8月19日,烏克蘭知名網上銀行Monobank近期遭受了前所未有的大規模分布式拒絕服務(DDoS)攻擊,此次攻擊尤其針對其用于為烏克蘭軍隊籌集捐款的在線服務。從周五晚至周一早,攻擊峰值達到每秒75億次請求,規模異常龐大,盡管未直接影響銀行核心業務運行,但凸顯了安全挑戰的嚴峻性。Monobank迅速聯合烏克蘭安全部門及亞馬遜云服務專家進行防御,有效緩解了攻擊壓力。值得注意的是,Monobank僅通過移動應用提供服務,這一特性使其成為黑客的重點攻擊對象。此前,該銀行在1月已遭遇過一次DDoS攻擊,三日內接收了5.8億條垃圾請求。此次攻擊目的明確,旨在破壞烏克蘭民眾通過Monobank平臺便捷地為軍隊捐款的渠道,該服務允許用戶創建虛擬錢包并通過社交媒體分享,簡化捐款流程。Monobank首席執行官Oleh Horokhovskyi指出,過去三年間,該平臺持續不斷的捐款活動可能觸怒了敵對勢力,促使他們采取極端手段試圖癱瘓服務。盡管銀行暗示俄羅斯可能為此次攻擊的幕后策劃者,但并未公開具體證據。Horokhovskyi強調,Monobank已成為烏克蘭IT領域遭受最嚴重攻擊的目標之一。


https://therecord.media/ukraine-monobank-ddos-attack-donations


3. 伊朗APT組織GreenCharlie對美國政治運動發起網絡攻擊


8月21日,Insikt Group最新發布的報告揭示了伊朗支持的高級持續性威脅組織GreenCharlie的隱秘行動,該組織被指與針對美國政治運動的網絡攻擊相關聯,且受伊朗革命衛隊情報組織(IRGC-IO)指揮。自2024年5月起,GreenCharlie構建并擴大了其惡意基礎設施網絡,針對政府官員、外交官等高價值目標實施網絡間諜活動。其基礎設施利用動態DNS服務和多種頂級域名,促進網絡釣魚和惡意軟件傳播。報告強調,GreenCharlie運用包括GORBLE、POWERSTAR和NokNok在內的復雜惡意軟件家族,通過魚叉式網絡釣魚手段竊取敏感信息,這些惡意軟件家族間存在顯著代碼重疊,顯示其變種間的緊密聯系。此外,GreenCharlie頻繁使用伊朗IP地址與基礎設施通信,進一步證實了其與伊朗的緊密聯系及情報收集戰略。為掩蓋活動,GreenCharlie還采用了包括ProtonVPN和ProtonMail在內的加密服務,這是伊朗APT團體的慣用伎倆。其網絡釣魚操作極其狡猾,通過偽造合法服務域名誘騙受害者。強烈建議參與政治運動的組織,尤其是美國的相關組織提高警惕。


https://securityonline.info/iranian-apt-greencharlie-escalates-threats-against-us-political-targets-using-gorble-and-powerstar-malware/


4. 石油巨頭Halliburton遭受基于云的網絡攻擊


8月21日,全球第二大油田服務公司Halliburton確認遭受了網絡攻擊,該事件已促使公司緊急指示員工全面斷開與內部網絡的連接,以防止潛在的數據泄露或系統損害。公司發言人迅速回應,表示已察覺到系統受影響的狀況,并正全力評估攻擊的原因及可能帶來的后果。為應對此次危機,Halliburton激活了既定的應急計劃,其IT團隊正積極協同外部頂尖專家共同處理這一問題。作為業務遍布70個國家、擁有超4萬名國際員工的行業巨頭,Halliburton在能源服務領域扮演著舉足輕重的角色,提供從技術服務、設備供應到鉆井、煉油及水力壓裂作業的全鏈條服務。此次攻擊不僅影響了其位于美國休斯頓及迪拜兩大總部的運營,還波及了全球范圍內的部分業務網絡。社交媒體上,有關Halliburton遭受云安全攻擊的消息迅速傳播,一些評論者擔憂地指出,過度依賴云計算可能加劇了此次事件的嚴重性。目前尚無任何網絡犯罪組織站出來聲稱對Halliburton遭受的襲擊負責。


https://cybernews.com/news/halliburton-oil-cyberattack-cloud-fuel-supply/


5. PG_MEM惡意軟件利用PostgreSQL弱密碼暴力破解挖掘加密貨幣


8月22日,網絡安全研究人員近日發現了一種新型惡意軟件PG_MEM,它針對PostgreSQL數據庫發起暴力破解攻擊,旨在挖掘加密貨幣。Aqua安全公司的Assaf Morag指出,攻擊者通過不斷嘗試弱密碼以獲取數據庫訪問權限,并利用PostgreSQL的“COPY ... FROM PROGRAM”功能執行任意shell命令,進而執行數據竊取、部署惡意軟件等惡意活動。攻擊鏈中,攻擊者首先針對錯誤配置的PostgreSQL數據庫創建管理員角色,并利用PROGRAM功能運行shell命令。得手后,他們不僅剝奪了“postgres”用戶的超級用戶權限,還通過遠程服務器投放PG_MEM和PG_CORE兩個載荷,這些載荷能終止競爭挖礦進程、設置持久性,并最終部署Monero加密貨幣礦工。此攻擊的核心在于利用了PostgreSQL的COPY命令及其PROGRAM參數,允許服務器執行外部命令并將結果導入數據庫。盡管加密貨幣挖掘是其主要目的,但攻擊者同樣能執行命令、訪問數據并控制受感染服務器。此安全威脅凸顯了互聯網連接PostgreSQL數據庫因弱密碼而面臨的重大風險,這往往源于配置不當和身份認證控制的缺失。


https://thehackernews.com/2024/08/new-malware-pgmem-targets-postgresql.html


6. Tycoon 2FA網絡釣魚針對美國政府組織


8月22日,ANY.RUN的研究人員揭露了一項新的網絡釣魚活動,該活動利用Tycoon 2FA工具包,針對美國政府組織展開攻擊。Tycoon 2FA自2023年起便頻繁被用于釣魚活動,以其復雜策略和多功能性著稱。最近,攻擊者通過受感染的亞馬遜SES賬戶,發送偽裝成Docusign的郵件,誘導收件人點擊鏈接,經歷一系列重定向后,最終到達假冒的Microsoft Teams登錄頁面。這些郵件特別針對.gov域內的338個政府組織的郵箱,顯示出高度的目標選擇性。在ANY.RUN沙箱中分析顯示,釣魚鏈接將受害者引導至MSOFT_DOCUSIGN_VERIFICATION_SECURED-DOC_OFFICE[.]zatrdg[.]com等域名,要求輸入電子郵件地址。若地址匹配攻擊者列表,受害者將被進一步重定向至donostain[.]com,該域通過AES加密的多部分POST請求嘗試竊取Microsoft賬戶密碼。此外,vereares[.]ru域名作為攻擊者的重定向工具,增強了釣魚方案的靈活性。值得注意的是,攻擊者還利用了合法服務如mailmeteor[.]com來增強釣魚頁面的可信度,并通過jsonip[.]com獲取IP信息。


https://securityonline.info/new-phishing-campaign-targets-us-government-organizations/

上一篇 下一篇