首頁 > 安全研究 > 安全通報 > 安全簡訊

SonicWall確認CVE-2024-40766嚴重漏洞正在被積極利用

發布時間 2024-09-09
1. SonicWall確認CVE-2024-40766嚴重漏洞正在被積極利用


9月6日,SonicWall近期緊急更新了其安全公告,警告用戶關于CVE-2024-40766這一關鍵訪問控制漏洞的嚴重性。該漏洞被網絡犯罪分子積極利用,允許未經授權的訪問至SonicOS系統的敏感資源,甚至可能引發防火墻崩潰,影響SonicWall多代防火墻設備。此漏洞嚴重性評分高達9.3,屬于“訪問控制不當”類,因其無需復雜操作或身份驗證即可通過網絡發起攻擊,對依賴SonicWall防火墻的組織構成重大威脅。受影響設備涵蓋第5代至第7代SonicWall防火墻,包括多個流行型號及舊版SonicOS版本。SonicWall已迅速發布安全補丁,并建議所有用戶立即通過mysonicwall.com客戶門戶下載并安裝更新版本,以防范潛在的安全風險。對于暫時無法更新固件的用戶,SonicWall提供了臨時緩解策略,如限制管理訪問來源、禁用特定網絡功能等,以降低被攻擊的風險。同時,建議所有用戶加強密碼管理,特別是Gen 5和Gen 6設備的本地管理賬戶應更改密碼并啟用密碼重置功能。此外,推薦使用多因素身份驗證(MFA)增強SSLVPN用戶的安全性。


https://securityonline.info/sonicwall-confirms-critical-cve-2024-40766-vulnerability-actively-exploited-in-the-wild/


2. FBI等指俄羅斯GRU 29155部隊針對全球關鍵基礎設施


9月6日,自2020年起,美國及其盟友指控俄羅斯GRU 29155部隊為全球關鍵基礎設施攻擊的主要推手,涉及間諜、破壞及聲譽損害活動。該部隊不僅針對烏克蘭使用WhisperGate清除程序,還策劃歐洲政變、暗殺及網絡攻擊,擴展至間諜、數據破壞及聲譽損害領域。FBI、NSA及CISA評估指出,29155部隊由初級軍官在高層領導下運作,并依賴非GRU成員如網絡罪犯協助行動。其攻擊范圍廣泛,涵蓋北約成員國、歐洲、拉丁美洲及中亞,目標直指政府、金融、交通、能源及醫療等關鍵部門。通過掃描漏洞、利用IP范圍及公共工具如Raspberry Robin,該部隊成功入侵系統并竊取數據。自2022年起,其活動更聚焦于破壞對烏克蘭的援助。報告還揭示了該部隊利用物聯網設備漏洞、VPS托管工具及Meterpreter有效負載等戰術,并提供了相關緩解措施。


https://securityaffairs.com/168095/cyber-warfare-2/russia-gru-unit-29155-critical-infrastructure.html


3. HAProxy緊急公告:CVE-2024-45506漏洞正被積極利用


9月8日,在最新的安全公告中,HAProxy 宣布了其流行負載平衡軟件中存在一個被積極利用的漏洞 CVE-2024-45506,該漏洞位于 HTTP/2 多路復用器組件,CVSS 評分高達7.5。此漏洞在特定條件下可觸發無限循環,導致系統崩潰并易受遠程拒絕服務(DoS)攻擊,影響 Enterprise、ALOHA 及 Kubernetes Ingress Controllers 等多款產品。問題根源在于 HTTP/2 多路復用器與零拷貝轉發機制的交互不當,攻擊者可通過創建無限循環的 h2_send() 函數來利用此漏洞,特別是在高負載且輸出緩沖區接近滿溢時。盡管該漏洞的重現難度較大,但已有主動利用案例表明其能導致 HAProxy 崩潰,對依賴其負載平衡功能的關鍵服務構成威脅,尤其是像 GitHub、Reddit 和 Twitter 這樣的大型網站。DoS 攻擊一旦成功,將破壞服務的高可用性,對業務運營和財務造成重大損失。為此,HAProxy 強烈建議所有用戶立即安裝發布的補丁,并提供了一種臨時解決方案。


https://securityonline.info/haproxy-vulnerability-cve-2024-45506-under-active-exploit-urgent-patching-required/


4. Avis汽車租賃公司曝數據泄露:客戶個人信息遭竊


9月6日,汽車租賃巨頭Avis在8月遭遇了數據泄露事件,攻擊者侵入了公司的一款業務應用程序,非法訪問并竊取了部分客戶的個人信息,包括姓名及其他敏感數據。盡管入侵行為發生在8月3日至6日之間,但Avis直至8月5日才察覺,并于14日正式披露此事。公司迅速行動,終止了非法訪問,并與網絡安全專家合作展開全面調查,同時增強了受影響系統的安全防護措施。盡管Avis未公開具體技術細節及受影響的客戶數量,但已采取措施加強安全監控與控制,以防止類似事件再次發生。為應對此次事件,Avis提醒受影響客戶保持高度警惕,注意防范欺詐和身份盜竊風險。公司建議客戶定期檢查賬戶及信用記錄,一旦發現任何異常交易或活動,立即向信用報告機構報告。此外,Avis還向受影響的客戶提供了一年的Equifax信用監控服務免費會員資格,以幫助客戶及時監測潛在風險,保護個人信息安全。


https://securityaffairs.com/168119/data-breach/car-rental-giant-avis-discloses-data-breach.html


5. SpyAgent安卓惡意軟件從圖片中竊取您的加密恢復短語


9月6日,一款名為SpyAgent的新型安卓惡意軟件引發了廣泛關注。該軟件利用先進的光學字符識別(OCR)技術,專門從用戶存儲在移動設備上的截圖中竊取加密貨幣錢包的恢復短語。這些短語作為加密貨幣錢包的備份密鑰,一旦落入不法分子之手,便能輕易還原并盜取錢包內的所有資金。由于恢復短語難以記憶,用戶常將其截圖保存,這一行為恰好為SpyAgent提供了可乘之機。McAfee發現,SpyAgent通過非官方渠道如短信和惡意社交媒體帖子傳播,已影響至少280個APK文件。這些偽裝成政府服務、約會或色情網站的應用,不僅針對韓國用戶,還逐漸擴展到英國,并可能向iOS平臺蔓延。同時,趨勢科技也揭露了類似利用OCR技術的CherryBlos和FakeTrade惡意軟件家族,表明此類攻擊策略正日益猖獗。SpyAgent一旦感染設備,便會向C2服務器發送敏感信息,包括聯系人列表、短信(含OTP)、存儲的圖像及設備信息,甚至執行遠程命令以發送釣魚短信,進一步擴散惡意軟件。其運營者在服務器配置上的疏忽,使得研究人員能輕易訪問竊取的數據,進一步加劇了威脅的嚴重性。


https://www.bleepingcomputer.com/news/security/spyagent-android-malware-steals-your-crypto-recovery-phrases-from-images/


6. Fog勒索軟件轉戰金融服務業


9月8日,Fog勒索軟件組織,以往以侵擾教育和娛樂行業聞名,近期卻將貪婪的目光轉向了更為誘人的金融服務業。2024年8月,一家中型金融公司不幸成為其新戰略下的目標,但幸運的是,網絡安全公司Adlumin迅速介入,利用前沿檢測技術,在重大損害發生前有效遏制了攻擊。此次攻擊始于網絡犯罪分子利用被盜VPN憑證非法侵入,隨后部署了Fog Ransomware,STOP/DJVU系列的一個變種,該變種擅長加密Windows與Linux系統上的敏感數據。Adlumin及時響應,包括隔離感染設備、鎖定攻擊者,成功避免了大規模數據泄露或加密。Fog勒索軟件自2021年浮現以來,便以利用VPN憑證滲透、復雜技術獲取控制權并加密關鍵文件著稱。攻擊過程中,Fog組織展現了高超的橫向移動能力,利用端口掃描、SharpShares等工具在網絡中自由穿梭,并通過esentutl.exe等工具竊取登錄憑證,特別是針對Chrome瀏覽器及近期修改文件的精準打擊,顯示了其精心策劃與高度針對性。盡管攻擊源頭指向俄羅斯相關IP,但專家指出,這僅是攻擊者使用的障眼法之一,真實位置難以確定。


https://securityonline.info/fog-ransomware-group-shifts-focus-financial-sector-now-in-crosshairs/

上一篇 下一篇