首頁 > 安全研究 > 安全通報 > 安全簡訊

Ruby-SAML庫曝漏洞CVE-2024-45409,危及身份驗證安全

發布時間 2024-09-13
1. Ruby-SAML庫曝漏洞CVE-2024-45409,危及身份驗證安全


9月11日,Ruby-SAML庫作為實施SAML(安全斷言標記語言)授權的重要工具,近期被曝出嚴重安全漏洞CVE-2024-45409,其CVSS評分高達10,表明其極高的危害性。此漏洞存在于Ruby-SAML的多個版本中,主要因XPath選擇器錯誤導致,使得SAML響應的簽名驗證失效。SAML作為單點登錄(SSO)的核心協議,其簽名完整性的缺失直接威脅到系統的安全性。攻擊者無需身份驗證,僅通過偽造或篡改包含任意數據的SAML響應,即可輕松繞過身份驗證機制,假冒任何用戶身份登錄系統,從而獲取對敏感數據和關鍵系統的未授權訪問權限。這一漏洞的廣泛影響不容忽視,因為眾多組織依賴SAML身份驗證來保障應用訪問安全,一旦遭到利用,將可能導致用戶數據泄露和企業資產受損。提醒所有Ruby-SAML用戶立即采取行動,更新至最新安全版本,以防范潛在的安全風險。


https://securityonline.info/cve-2024-45409-cvss-10-critical-ruby-saml-flaw-leaves-user-accounts-exposed/


2. 查爾斯·達爾文學校遭勒索軟件攻擊緊急停課


9月9日,英國倫敦南部的查爾斯·達爾文學校因遭受勒索軟件攻擊,宣布本周前三天將關閉校園進行網絡安全清理工作,此舉影響了約1300名學生的正常學習。自9月5日起,學生被迫離校,校長Aston Smith隨后向家長通報,此次IT問題實為嚴重的勒索軟件攻擊,導致所有員工設備被移除以進行安全處理。因此,學校決定在下周一、二、三暫停授課,以便教師重新規劃課程,管理層則致力于構建新系統以恢復學校運營。同時,學生的微軟Office 365賬戶被暫時禁用,以防進一步風險。校長強調,在此期間,家長與學生應通過官方學習平臺Satchel One獲取最新通知,切勿輕信任何未經核實的郵件或鏈接。鑒于數據泄露的可能性,學校正與網絡安全專家緊密合作,但具體損失細節尚待調查完成后公布。校長還指出,盡管學校已采取先進的安全措施,此類網絡攻擊仍日益猖獗,與近期英國多起知名機構遭襲事件相似,凸顯了網絡安全挑戰的嚴峻性。


https://therecord.media/ransomware-attack-forces-london-high-school-to-close


3. 百萬安卓電視盒遭Vo1d后門惡意軟件攻擊,全球多國淪陷


9月12日,威脅者利用新型Vo1d后門惡意軟件,成功感染了全球超過130萬臺運行Android系統的電視流媒體盒,主要集中于巴西、摩洛哥等多國,賦予攻擊者對這些設備的完全控制權。這款惡意軟件源自Android開源項目(AOSP),由Google主導,廣泛用于多種設備。Dr.Web的研究揭示,Vo1d惡意軟件通過篡改Android的啟動腳本(如install-recovery.sh、daemonsu等),實現在設備上的持久存在與自動啟動。其主要功能由vo1d和wd兩個組件協同完成,vo1d負責wd的啟動與控制,并能執行來自C&C服務器的命令;wd則負責安裝守護進程,監視目錄并安裝APK文件。感染途徑雖尚不明確,但推測可能涉及操作系統漏洞的利用或非官方固件中的root權限漏洞。為防止進一步感染,Android用戶應定期檢查并安裝固件更新,同時避免使用來自非官方渠道的APK應用。鑒于受感染設備實際運行的是AOSP而非Android TV,這一發現強調了即使是基于開源項目的設備也需保持警惕,以防遭受類似攻擊。


https://www.bleepingcomputer.com/news/security/new-vo1d-malware-infects-13-million-android-streaming-boxes/


4. Hadooken惡意軟件瞄準Oracle WebLogic服務器


9月13日,Aqua的研究團隊最近揭示了針對Oracle WebLogic服務器的系列攻擊,這些攻擊利用弱密碼作為突破口,部署了一種新興的Linux惡意軟件Hadooken。Aqua在監控中捕獲到數十起此類入侵,表明攻擊活動活躍且頻繁。Hadooken 很可能以《街頭霸王》電子游戲系列中的一次攻擊命名,集成了加密礦工與潛在的Tsunami DDoS僵尸網絡功能。Hadooken通過創建cronjob實現持久化,并包含竊取用戶憑證的腳本,便于攻擊者橫向擴展至其他服務器。Aqua追蹤到Hadooken下載源自兩個IP地址之一與英國某托管公司相關,但無直接證據表明該公司涉惡。進一步分析顯示,Hadooken與RHOMBUS和NoEscape勒索軟件存在技術關聯,暗示攻擊者可能同時瞄準Windows端點執行勒索軟件,并利用Linux服務器部署后門和加密礦工,針對大型企業實施復合型威脅。


https://www.theregister.com/2024/09/13/hadooken_attacks_oracle_weblogic/


5. 黑客利用Azure SharePoint漏洞導致Fortinet 440GB數據泄露


9月12日,黑客“Fortibitch”在地下論壇Breach Forum上聲稱從網絡安全巨頭Fortinet的Azure SharePoint實例中竊取了440GB的數據,該漏洞被命名為“Fortileak”。黑客指責Fortinet的Azure SharePoint暴露并被入侵,導致數據泄露,并分享了訪問憑證以便下載這些數據。黑客還提到Fortinet的CEO謝肯拒絕了贖金要求,并嘲笑其態度。Fortinet官方回應稱,一名未授權個體訪問了存儲在第三方云端共享文件驅動器上的有限文件,這些文件涉及“一小部分”客戶數據,但公司運營、產品和服務未受影響,且已與客戶溝通。此前,Fortinet也遭遇過安全事件,包括被利用零日漏洞和FortiOS操作系統漏洞的攻擊。目前,此次數據泄露的嚴重程度及贖金談判進展尚不明朗,客戶和網絡安全領域正密切關注事態發展。


https://hackread.com/fortinet-confirms-data-breach-hacker-data-leak/


6. DockerSpy:自動掃描Docker Hub鏡像,守護敏感數據安全


9月11日,DockerSpy 是一款專為解決 Docker 鏡像中敏感數據泄露問題而設計的工具,它能自動掃描 Docker Hub 上的圖像,快速檢索出包括身份驗證機密、私鑰等在內的敏感信息。創建者 Alisson Moretto 表示,隨著 Docker 鏡像的廣泛使用,尤其是公共鏡像庫中潛在的安全隱患日益凸顯,DockerSpy 的誕生旨在提供一層額外的安全屏障,幫助開發者及時發現并清除鏡像中的敏感數據,增強安全性和合規性。DockerSpy 的獨特優勢在于其與 Docker Hub 的無縫集成,實現了自動化提取和分析鏡像的功能,無需手動干預。其先進的掃描引擎能夠識別多種形式的機密信息,無論是硬編碼的憑證還是隱藏在代碼及環境變量中的復雜模式,都能有效捕捉并詳細分析潛在風險。目前,DockerSpy 已在 GitHub 上開放下載,供開發者免費使用。


https://www.helpnetsecurity.com/2024/09/11/dockerspy-extract-sensitive-information-docker-hub-images/?web_view=true

上一篇 下一篇