首頁 > 安全研究 > 安全通報 > 安全簡訊

Cloudflare日志服務嚴重中斷,超半數日志數據永久丟失

發布時間 2024-11-28

1. Cloudflare日志服務嚴重中斷,超半數日志數據永久丟失


11月27日,互聯網基礎設施巨頭Cloudflare在11月14日遭遇了一次嚴重的服務中斷,導致超過一半的日志數據永久丟失。此次事故源于一次軟件更新出現故障,使Cloudflare的日志服務癱瘓3.5小時,無法為客戶提供關鍵數據。日志服務對網絡運營至關重要,能夠幫助企業分析流量模式、解決問題并檢測惡意活動。而Cloudflare的日志服務依賴名為Logpush的工具來處理并傳遞大量數據。不幸的是,當日的Logpush更新中存在嚴重錯誤,導致收集到的日志未被正確轉發并最終被永久刪除。Cloudflare在報告中指出,錯誤配置導致了系統的級聯過載,如果能夠正確配置,即可避免日志丟失。盡管工程師迅速發現問題并回滾了更新,但此舉引發了連鎖故障,大量日志數據涌入系統,包括未配置Logpush的用戶數據,加劇了問題。Cloudflare已對此次事件和數據丟失道歉,并承諾制定預防措施避免類似事件再次發生,但目前這些措施仍在制定中。


https://securityonline.info/cloudflare-logs-suffer-critical-failure-losing-55-of-user-data/


2. 新型信用卡盜刷惡意軟件攻擊Magento網站


11月28日,近期,一種新型信用卡盜刷惡意軟件針對 Magento 電子商務網站發起攻擊,該惡意軟件能在結賬頁面動態竊取付款信息。這一發現由網絡安全公司 Sucuri 的研究人員 Weston Henry 在黑色星期五前夕揭露。惡意軟件以 JavaScript 注入形式存在,具有多個變體,通過創建虛假信用卡表單或直接提取支付字段數據兩種方式竊取信息。其動態方法和加密機制增加了檢測難度,數據被加密后泄露至攻擊者控制的遠程服務器。Magento 網站因廣泛使用且處理敏感客戶數據而成為網絡犯罪分子目標。此次攻擊中,惡意腳本被隱藏在 XML 文件的特定指令內,內容被混淆以避免被發現,僅在包含“checkout”而不含“cart”的 URL 頁面上激活,以提取信用卡信息。隨后,該惡意軟件還通過 Magento API 收集用戶的其他數據。攻擊者使用多種反檢測技術隱藏活動,包括將數據加密、編碼,并通過信標技術隱秘傳輸至遠程服務器。為保護電子商務網站免受此類攻擊,Sucuri給出了相關建議。


https://www.darkreading.com/application-security/sneaky-skimmer-malware-magento-sites-black-friday


3. 霍博肯市遭勒索軟件攻擊,政府辦公室關閉并預警服務中斷


11月28日,霍博肯市在27日凌晨遭遇了勒索軟件攻擊,導致政府辦公室被迫關閉,并引發了一系列服務和活動的中斷。官員們迅速通過市政府網站和社交媒體向當地居民發出警告,指出感恩節假期前夕將出現停電和服務中斷的情況。市政廳、市政法院和街道清掃工作被取消,但停車執法工作仍在繼續。盡管如此,垃圾收集和娛樂活動仍按計劃進行?;舨┛暇炀终谂c市政府和IT部門合作,調查此次襲擊事件,并尋找最佳的安全恢復服務方法。目前尚未有任何勒索軟件團伙承認對此次攻擊負責?;舨┛鲜凶鳛樾聺晌髦莸囊粋€重要城市,近年來該州已有多所機構遭受勒索軟件攻擊,包括新澤西城市大學在7月遭到的Rhysida勒索軟件團伙的攻擊。


https://therecord.media/hoboken-closes-city-hall-ransomware


4. GodLoader惡意軟件利用Godot游戲引擎逃避檢測感染上萬系統


11月27日,黑客利用新的GodLoader惡意軟件,通過廣泛使用的Godot游戲引擎的功能來逃避檢測系統,并在短短三個月內感染了超過17,000個系統。該惡意軟件能夠攻擊所有主要平臺的游戲玩家,并利用Godot的靈活性和GDScript腳本語言功能執行任意代碼。一旦加載,惡意文件就會在受害者設備上觸發惡意代碼,使攻擊者能夠竊取憑據或下載其他有效負載,如XMRig加密挖礦程序。攻擊者通過Stargazers Ghost Network傳播GodLoader,這是一種惡意軟件分發即服務(DaaS),利用看似合法的GitHub存儲庫掩蓋其活動。在整個攻擊活動中,Check Point檢測到了多波針對開發人員和游戲玩家的獨立攻擊。雖然只發現了針對Windows系統的GodLoader樣本,但研究人員還開發了GDScript概念驗證漏洞代碼,展示了該惡意軟件可以輕松攻擊Linux和macOS系統。Godot Engine維護者表示,該漏洞并非Godot所特有,鼓勵人們只執行來自可信來源的軟件。


https://www.bleepingcomputer.com/news/security/new-godloader-malware-infects-thousands-of-gamers-using-godot-scripts/


5. ProjectSend身份驗證漏洞致服務器面臨遠程訪問威脅


11月27日,威脅行為者正在利用ProjectSend中的嚴重身份驗證繞過漏洞(CVE-2024-11680)來獲取服務器的遠程訪問權限。該漏洞影響ProjectSend r1720之前的版本,允許攻擊者通過發送特制HTTP請求更改應用程序配置。盡管該漏洞已于2023年5月修復,但直到最近才被分配CVE編號,導致用戶未及時更新。據VulnCheck稱,99%的ProjectSend實例仍在運行存在漏洞的版本。ProjectSend是一個流行的開源文件共享網絡應用程序,被許多組織用于安全、私密的文件傳輸。Censys報告稱,約有4000個在線實例,其中大多數存在漏洞。自2024年9月Metasploit和Nuclei發布公開漏洞利用以來,攻擊活動有所增加。VulnCheck發現,攻擊者不僅利用漏洞獲取未經授權的訪問,還更改系統設置、部署webshell以控制受感染服務器。GreyNoise列出了與此活動相關的121個IP,表明這是一次廣泛嘗試。VulnCheck警告稱,Webshell存儲在特定目錄中,可直接通過網絡服務器訪問,表明存在主動攻擊。研究人員強調,盡快升級到ProjectSend版本r1750至關重要,以防范廣泛傳播的攻擊。


https://www.bleepingcomputer.com/news/security/hackers-exploit-projectsend-flaw-to-backdoor-exposed-servers/


6. SL Data Services數據庫遭泄露,60余萬敏感文件曝光


11月27日,據安全研究人員報道,數據經紀公司SL Data Services的一個未受密碼保護的Amazon S3存儲桶中,暴露了超過600,000個敏感文件,包括數千人的犯罪歷史、背景調查、車輛和財產記錄等個人信息。這些文件總大小為713.1 GB,且未加密。信息安全專家Jeremiah Fowler在10月份發現此問題后,多次通過電話和電子郵件向數據收集公司報告,但未收到回復。盡管最終該信息服務提供商關閉了S3存儲桶,但已暴露的信息可能會被用于網絡釣魚和社會工程攻擊等惡意行為。SL Data Services聲稱提供財產報告等服務,但Fowler發現該公司似乎運營著至少16個不同的網站,提供包括犯罪記錄檢查、機動車管理部門記錄等一系列數據。他建議組織使用隨機且散列的唯一標識符命名文件,并監控訪問日志以識別異常模式,同時使用密碼和加密保護敏感數據。


https://www.theregister.com/2024/11/27/600k_sensitive_files_exposed/

上一篇 下一篇