首頁 > 安全研究 > 安全通報 > 安全簡訊

NachoVPN漏洞:惡意VPN服務器利用未修補客戶端實施攻擊

發布時間 2024-11-27
1. NachoVPN漏洞:惡意VPN服務器利用未修補客戶端實施攻擊


11月26日,一組名為“NachoVPN”的漏洞允許惡意VPN服務器利用未修補的Palo Alto和SonicWall SSL-VPN客戶端進行攻擊,通過誘騙用戶連接至攻擊者控制的VPN服務器,進而竊取登錄憑據、執行任意代碼、安裝惡意軟件或發起代碼簽名偽造及中間人攻擊。AmberWolf安全研究人員發現了這一威脅,并在漏洞首次報告后數月內,見證了SonicWall和Palo Alto Networks相繼發布針對CVE-2024-29014和CVE-2024-5921漏洞的補丁。為了防御,SonicWall客戶需升級至NetExtender的特定版本,而Palo Alto Networks則建議安裝更新版本或在FIPS-CC模式下運行VPN客戶端。此外,AmberWolf還發布了NachoVPN開源工具,該工具能模擬惡意VPN服務器,支持多種企業VPN產品,并鼓勵社區貢獻新漏洞信息。同時,該公司還提供了有關這兩個漏洞的更多技術細節和防御建議,以幫助網絡防御者保護其系統免受潛在攻擊。


https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/


2. 俄羅斯黑客RomCom利用Firefox和Tor零日漏洞發起攻擊


11月27日,近期俄羅斯黑客組織RomCom利用了兩個零日漏洞,向使用Firefox或Tor瀏覽器的用戶發射了惡意代碼。這些漏洞分別影響了Mozilla軟件和Windows系統,其中一個漏洞(CVE-2024-9680)使得訪問受感染網站的任何人都會無意識地下載RomCom后門,而無需任何點擊。幸運的是,這兩個漏洞都得到了快速修復,Mozilla在收到通知后25小時內就修補了Firefox中的漏洞,而Windows中的漏洞(CVE-2024-49039)也在后續得到修復。RomCom通過特制網站觸發漏洞,這些網站模仿了真實組織的網站,包括ConnectWise、Devolutions和Correctiv等。雖然Tor瀏覽器也基于Firefox,但ESET追蹤的受害者中沒有一人是通過Tor受到攻擊的,可能是因為Tor的某些設置與Firefox不同。RomCom的主要目標似乎是公司,絕大多數受害者位于北美和歐洲,但新西蘭和法屬圭亞那也有零星受害者。


https://www.darkreading.com/application-security/romcom-apt-zero-day-zero-click-browser-escapes-firefox-tor


3. RansomHub組織聲稱對兩市政府發動勒索攻擊


11月27日,網絡犯罪組織RansomHub聲稱對德克薩斯州科佩爾市及明尼阿波利斯公園和娛樂委員會發動了勒索軟件攻擊,引發廣泛關注??婆鍫柺性馐芄艉?,互聯網、圖書館服務、許可和檢查平臺及市法院等多個系統癱瘓,給當地居民帶來嚴重困擾。盡管市政府努力恢復,但直至11月下旬,部分市政運營才陸續恢復。同時,明尼阿波利斯公園和娛樂委員會也報告其技術系統遭到攻擊,電話線路中斷,正在努力確定信息泄露情況。RansomHub今年迅速崛起,已對機場、醫療機構、制造公司和關鍵基礎設施等數百個組織發動攻擊。自2月份以來,已有約210個組織成為其受害者。該組織最初出現在聯合健康集團遭受勒索軟件攻擊后,隨后因另一勒索軟件團伙倒閉而壯大,對數據進行出售。今年,RansomHub還攻擊了多起備受矚目的目標,包括電信巨頭Frontier、Rite Aid、英國拍賣行Christie’s等。


https://therecord.media/ransomhub-cybercrime-coppell-texas-minneapolis-parks-agency


4. 塞倫蓋蒂行動:非洲執法機構嚴厲打擊網絡犯罪


11月26日,非洲執法機構在國際刑警組織和非洲刑警組織的協調下,于9月2日至10月31日期間開展了名為“塞倫蓋蒂行動”的打擊網絡犯罪活動。此次行動針對勒索軟件、商業電子郵件泄露、數字勒索和網絡詐騙等犯罪行為,涉及19個非洲國家,共逮捕了1006名嫌疑人,摧毀了134089個惡意基礎設施和網絡。據調查,這些犯罪活動與至少35224名已確認身份的受害者有關,造成了近1.93億美元的經濟損失,其中塞倫蓋蒂行動追回了大約4400萬美元。行動中的亮點包括肯尼亞破獲一起網上信用卡詐騙案,塞內加爾搗毀一起龐氏騙局,尼日利亞逮捕一名實施網上投資詐騙的男子,喀麥隆破獲多層次營銷騙局,以及安哥拉搗毀一個虛擬賭場國際集團。參與此次行動的國家還有阿爾及利亞、貝寧、科特迪瓦、剛果民主共和國、加蓬、加納、毛里求斯、莫桑比克、盧旺達、南非、坦桑尼亞、突尼斯、贊比亞和津巴布韋。


https://www.bleepingcomputer.com/news/security/over-1-000-arrested-in-massive-serengeti-anti-cybercrime-operation/


5. Matrix發動大規模DDoS攻擊,利用物聯網和企業漏洞


11月26日,安全研究人員發現了一場由名為Matrix的威脅行為者策劃的大規模分布式拒絕服務(DDoS)攻擊活動,該活動利用可訪問的工具針對物聯網設備和企業服務器。Matrix的攻擊框架經過詳細分析,主要利用互聯網連接設備上的漏洞和錯誤配置,通過暴力攻擊、弱憑證和已知漏洞構建僵尸網絡。攻擊的主要特征包括針對路由器、DVR和IP攝像機、企業協議和物聯網設備的漏洞利用。這些攻擊嚴重依賴默認或弱密碼,強調了未能采取基本安全措施會使設備面臨入侵的風險。Matrix的目標包括云服務提供商、小型企業和物聯網密集地區,受影響的設備可能多達3500萬臺。Matrix使用了來自GitHub等平臺的腳本和工具,并通過Telegram將服務貨幣化,提供DDoS攻擊計劃。盡管Matrix缺乏先進功能,但這些工具的組裝和操作都非常容易,顯示出低復雜程度參與者所帶來的風險越來越大。


https://www.infosecurity-magazine.com/news/ddos-campaign-exploits-iot-devices/


6. Array Networks SSL VPN 產品中的漏洞正被積極利用


11月26日,美國網絡防御機構CISA收到證據表明,黑客正在積極利用SSL VPN產品Array Networks AG和vxAG ArrayOS中的遠程代碼執行漏洞,該漏洞被追蹤為CVE-2023-28461,嚴重性評分高達9.8,已被列入CISA的已知利用漏洞目錄中。此漏洞存在于易受攻擊的URL中,是一個身份驗證不當問題,允許在Array AG系列和vxAG 9.4.0.481及更早版本中執行遠程代碼。Array Networks在漏洞披露一周后發布了修復版本Array AG 9.4.0.484。Array Networks的SSL VPN產品被全球超過5000個客戶使用,包括企業、服務提供商和政府機構。CISA建議所有聯邦機構和關鍵基礎設施組織在12月16日之前應用安全更新或采取緩解措施,否則應停止使用該產品。安全更新可通過Array支持門戶獲取,但供應商提供的緩解措施可能會對客戶端安全功能產生負面影響,因此組織應首先測試其效果。


https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-bug-in-array-networks-ssl-vpn-products/

上一篇 下一篇