首頁 > 安全研究 > 安全通報 > 安全簡訊

CISA警告FortiOS嚴重RCE漏洞正被積極利用

發布時間 2024-10-11

1. CISA警告FortiOS嚴重RCE漏洞正被積極利用


10月9日,CISA透露攻擊者正在積極利用一個嚴重的FortiOS遠程代碼執行(RCE)漏洞(CVE-2024-23113)。該漏洞由fgfmd守護進程接受外部控制的格式字符串作為參數引起,使得未經身份驗證的威脅行為者能夠在未修補的設備上執行命令或任意代碼,且無需用戶交互。此漏洞影響FortiOS 7.0及以上版本、FortiPAM 1.0及以上版本、FortiProxy 7.0及以上版本以及FortiWeb 7.4。Fortinet已于二月份披露并修補了該漏洞,并建議刪除所有接口對fgfmd守護程序的訪問權限作為緩解措施。然而,CISA已將此漏洞添加到其已知被利用漏洞目錄中,要求美國聯邦機構在10月30日之前保護其網絡上的FortiOS設備免受這些正在進行的攻擊。網絡安全機構警告稱,此類漏洞是惡意網絡行為者頻繁攻擊的媒介,對聯邦企業構成重大風險。


https://www.bleepingcomputer.com/news/security/cisa-says-critical-fortinet-rce-flaw-now-exploited-in-attacks/


2. 印度Star Health保險公司遭網絡攻擊,客戶數據疑遭泄露


10月9日,印度最大的健康保險公司之一Star Health and Allied Insurance證實遭受了惡意網絡攻擊,導致某些數據被未經授權和非法訪問,但公司運營未受影響,服務仍在繼續。Star Health提供多種保險服務,擁有超過1.7億醫療保險客戶。此前,網絡犯罪分子聲稱在網上發布了客戶的健康記錄和其他敏感數據,黑客組織在Telegram上創建了聊天機器人,泄露了3100萬投保人和超過580萬份保險索賠的個人數據。Star Health已提起訴訟控告Telegram和Cloudflare,并指出其首席信息安全官一直在積極配合調查,未發現其有任何不當行為。此次入侵的細節和黑客如何獲取數據仍不清楚,保險公司未透露是否可以確認誰訪問了數據以及哪些數據已被訪問或竊取。


https://techcrunch.com/2024/10/09/indias-star-health-confirms-data-breach-after-cybercriminals-post-customers-health-data-online/


3. 朝鮮威脅者針對科技求職者推廣惡意軟件


10月9日,與朝鮮有聯系的威脅行為者將目標鎖定在科技行業的求職者身上,通過求職平臺聯系軟件開發人員,冒充潛在雇主邀請他們參加在線面試,并試圖說服他們下載并安裝惡意軟件,這是名為“傳染性訪談”的活動的一部分。該活動集群被追蹤為CL-STA-0240,涉及已知惡意軟件家族BeaverTail和InvisibleFerret的更新版本。第一階段感染涉及BeaverTail下載程序和信息竊取程序,該程序專為Windows和Apple macOS平臺設計,充當基于Python的InvisibleFerret后門的管道。盡管該活動已被公開披露,但仍有證據表明它仍然活躍。安全研究員和網絡安全公司詳細描述了利用假視頻會議應用程序MiroTalk和FreeConference.com滲透到開發人員系統中的攻擊鏈。BeaverTail惡意軟件能夠竊取瀏覽器密碼、從多個加密貨幣錢包中收集數據,并下載并執行InvisibleFerret后門,該后門包含指紋識別、遠程控制、鍵盤記錄、數據泄露等功能。Unit 42表示,這次活動可能出于經濟動機,因為BeaverTail惡意軟件能夠竊取13個不同的加密貨幣錢包,朝鮮威脅者會進行金融犯罪以籌集資金來支持朝鮮政權。


https://thehackernews.com/2024/10/n-korean-hackers-use-fake-interviews-to.html


4. 黑客聲稱攻擊Dr.Web竊取10TB數據,引發網絡安全行業擔憂


10月9日,據Cyber Security News報道,一名黑客在黑客論壇DumpForums上聲稱對俄羅斯著名網絡安全公司Dr.Web進行了攻擊,并竊取了高達10TB的數據。黑客聲稱此次攻擊經過精心策劃,歷時數天,成功滲透到Dr.Web的本地網絡,并逐步入侵其服務器和資源,甚至滲透到了其最安全的基礎設施部分。黑客還聲稱從GitLab服務器、公司郵件服務器、Confluence、Redmine、Jenkins、Mantis系統、RocketChat通信平臺等多個關鍵系統中破解并泄露了數據,并在一個月內未被發現的情況下訪問并上傳了客戶端數據庫,可能暴露了Dr.Web用戶的敏感信息。然而,Dr.Web官方聲明稱,盡管其系統資源遭受了有針對性的攻擊,但已成功挫敗了破壞其基礎設施的企圖,用戶端產品未受影響。為預防起見,Dr.Web已斷開所有資源與網絡的連接進行驗證,并暫停了病毒庫的發布。若此泄露行為得到證實,將對Dr.Web乃至整個網絡安全行業造成重大打擊,并引發用戶對當前保護措施有效性的質疑。


https://cybersecuritynews.com/dumpforums-10tb-data-dr-web/


5. Akira和Fog勒索軟件利用關鍵的Veeam RCE漏洞


10月10日,勒索軟件團伙利用Veeam Backup & Replication (VBR) 服務器上的一個嚴重安全漏洞(CVE-2024-40711),實現了遠程代碼執行(RCE)。該漏洞由Code White安全研究員Florian Hauser發現,源于不受信任數據反序列化的弱點,允許未經身份驗證的攻擊者以較低復雜度發動攻擊。Veeam在9月4日披露了該漏洞并發布了安全更新,而watchTowr Labs則在9月9日發布技術分析,但延遲至9月15日才公開概念驗證漏洞代碼,以確保管理員有足夠時間加強防護。由于VBR軟件廣泛用于數據保護和災難恢復,成為惡意行為者覬覦的目標。Sophos X-Ops事件響應人員發現,該漏洞迅速被Akira和Fog勒索軟件攻擊利用,結合之前泄露的憑據,將“點”本地帳戶添加到管理員和遠程桌面用戶組。攻擊者通常通過未啟用多因素身份驗證的受感染VPN網關訪問目標,部分VPN運行不受支持的軟件版本。在Fog勒索軟件事件中,攻擊者還利用未保護的Hyper-V服務器和實用程序rclone竊取數據。這些攻擊顯示出高度的重疊性和相似性,表明勒索軟件團伙正積極利用這一漏洞進行攻擊。


https://www.bleepingcomputer.com/news/security/akira-and-fog-ransomware-now-exploiting-critical-veeam-rce-flaw/


6. 富達投資系統遭入侵,77,000名客戶信息泄露


10月10日,總部位于波士頓的跨國金融服務公司富達投資,近期遭遇了一次系統入侵事件,導致超過77,000名客戶的個人信息被泄露。作為全球最大的資產管理公司之一,富達管理的資產總額高達14.1萬億美元。據富達透露,這次入侵發生在8月17日至19日期間,一名身份不明的攻擊者利用最近建立的兩個客戶賬戶竊取了數據。富達在發現這一活動后迅速采取措施終止了訪問,并在外部安全專家的協助下展開了調查。盡管富達沒有透露除了姓名和其他個人身份信息外還有哪些信息被竊取,但它已向受影響的客戶提供了兩年的免費信用監控和身份恢復服務。富達還表示,沒有證據表明被盜的客戶數據被濫用,但仍建議受影響的客戶保持警惕,定期檢查賬戶報表,監控信用報告,并及時報告任何可疑活動。


https://www.bleepingcomputer.com/news/security/fidelity-investments-says-data-breach-affects-over-77-000-people/

上一篇 下一篇