首頁 > 安全研究 > 安全通報 > 安全簡訊

SonicWall SSLVPN 設備嚴重漏洞曝光:超25,000臺設備易受攻擊

發布時間 2024-12-19

1. SonicWall SSLVPN 設備嚴重漏洞曝光:超25,000臺設備易受攻擊


12月17日,網絡安全公司Bishop Fox的分析揭示,超過25,000臺可公開訪問的SonicWall SSLVPN設備存在重大安全隱患,其中20,000臺設備運行著供應商不再支持的SonicOS/OSX固件版本。這些設備容易遭受勒索軟件組織如Fog和Akira的攻擊,成為其入侵公司網絡的入口。通過掃描工具,Bishop Fox發現了430,363個公開暴露的SonicWall防火墻,管理或SSL VPN接口可從互聯網訪問,為攻擊者提供了探測漏洞、過時固件、錯誤配置和破解弱密碼的機會。其中,6,633臺設備已達到使用壽命,另有14,077臺使用Series 6的不再受支持版本,共20,710臺易受公開漏洞攻擊。此外,還有大量設備運行著未知版本或不受支持的固件。雖然相比2024年1月,易受攻擊的端點數量有所下降,但補丁采用速度仍然緩慢,顯示出網絡安全形勢依然嚴峻。


https://www.bleepingcomputer.com/news/security/over-25-000-sonicwall-vpn-firewalls-exposed-to-critical-flaws/


2. 納米比亞電信遭勒索軟件攻擊,敏感數據泄露


12月17日,納米比亞國有電信公司近期遭受了勒索軟件攻擊,導致近50萬條敏感客戶數據被泄露,其中包括高級政府官員的信息。在拒絕與黑客組織“獵人國際”合作后,黑客將這些數據公布到了暗網上。納米比亞電信公司正在調查此次大規模系統入侵的原因,并正與安全官員合作,以減少進一步的信息泄露并追捕罪犯。即將卸任的總統南戈洛·姆本巴對此次網絡攻擊表示譴責,并呼吁以應有的緊迫性處理此事,指出網絡安全是國家安全問題。據納米比亞電信公司首席執行官斯坦利·沙納平達表示,公司不會與黑客就贖金進行談判,因為贖金數額過高且支付贖金也不能保證信息不被泄露。此次攻擊中,黑客竊取了包括個人身份信息、地址和銀行信息等在內的敏感客戶記錄,并在社交媒體上分享。納米比亞電信公司警告人們不要分享任何泄露的信息,并敦促客戶更改密碼,避免在可疑情況下進行轉賬。


https://www.capitalfm.co.ke/news/2024/12/sensitive-data-leaked-after-namibia-ransomware-hack/


3. 網絡釣魚詐騙新手段:濫用Google日歷和繪圖頁面竊取憑證


12月18日,近期網絡釣魚詐騙活動頻繁,不法分子利用Google日歷邀請和Google繪圖頁面作為工具,企圖竊取用戶憑證,并成功繞過了垃圾郵件過濾器。據網絡安全監控機構Check Point報告,短短四周內,已有300個品牌遭受攻擊,超過4,000封釣魚郵件被發送。這些郵件的目標廣泛,包括教育機構、醫療機構、建筑公司和銀行等。攻擊手法主要是通過Google日歷發送看似無害的會議邀請,邀請中嵌入指向Google Forms或Google Drawing的鏈接,誘導用戶點擊偽裝成reCaptcha或支持按鈕的另一個鏈接。由于這些邀請來自合法的Google服務,因此能夠繞過垃圾郵件過濾器。Check Point指出,攻擊者利用了Google日歷服務,使得郵件標題看起來完全合法,與正常Google日歷邀請無異,并通過了DKIM、SPF和DMARC等電子郵件安全檢查。此外,攻擊者還會取消Google日歷活動并附加消息,以增加釣魚郵件的發送量。盡管Google曾推出保護措施,但若Google Workspace管理員未啟用,日歷中仍會自動添加此類邀請。


https://www.bleepingcomputer.com/news/security/ongoing-phishing-attack-abuses-google-calendar-to-bypass-spam-filters/


4. APT29黑客組織利用193個RDP代理服務器執行MiTM攻擊


12月18日,俄羅斯黑客組織APT29(又稱“午夜暴雪”)正利用由193個遠程桌面協議(RDP)代理服務器構成的網絡執行中間人(MiTM)攻擊,旨在竊取數據、憑據并安裝惡意負載。該組織使用PyRDP紅隊代理工具,通過RDP協議掃描受害者文件系統、竊取數據并在遠程執行惡意程序。據趨勢科技(Trend Micro)報告,APT29的目標包括政府、軍事、外交、IT、云服務、電信及網絡安全公司等,特別針對美國、法國、澳大利亞等多個國家的實體。2024年10月,亞馬遜和CERT-UA發布的報告顯示,APT29誘騙受害者通過網絡釣魚郵件連接到惡意RDP服務器,共享本地資源,從而無條件訪問敏感信息。趨勢科技的最新研究揭示了193個RDP代理服務器將連接重定向至34個后端服務器,使攻擊者能監視和攔截RDP會話。黑客利用PyRDP工具攔截受害者與遠程會話間的通信,記錄憑據、竊取數據并在新連接上運行惡意命令。此外,APT29還采用商業VPN、TOR出口節點和住宅代理服務掩蓋惡意服務器IP地址。為防范此類攻擊,用戶應僅與已知、受信任的服務器建立RDP連接,并警惕來自未知來源的RDP連接請求。


https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/


5. 網絡釣魚活動濫用HubSpot竊取20,000 Azure帳戶憑據


12月18日,針對德國和英國的汽車、化學及工業制造公司,一場網絡釣魚活動正在利用HubSpot平臺竊取Microsoft Azure帳戶憑據。據Palo Alto Networks的Unit 42研究團隊報告,該活動自2024年6月起至少持續至9月,已危及約20,000個賬戶。威脅行為者通過HubSpot Free Form Builder創建欺騙性表格,并利用模仿DocuSign的PDF將受害者重定向至憑證收集頁面。這些頁面位于攻擊者控制的“.buzz”域名網站上,模仿Microsoft Outlook Web App和Azure登錄界面。盡管HubSpot基礎設施未受攻擊,但其被用作中間步驟引導受害者。由于郵件包含合法服務鏈接,它們常能避開安全工具檢測進入收件箱。然而,相關郵件未通過SPF、DKIM和DMARC檢查。在成功入侵后,威脅行為者使用VPN偽裝地理位置,并與IT部門爭奪賬戶控制權。Unit 42還發現了該活動中使用的新型自治系統編號和用戶代理字符串,可用于威脅識別。盡管多數服務器已下線,但該活動再次表明威脅行為者正不斷探索繞過安全的新方法。


https://www.bleepingcomputer.com/news/security/hubspot-phishing-targets-20-000-microsoft-azure-accounts/


6. 內布拉斯加州Regional Care醫療保險公司數據泄露


12月18日,內布拉斯加州醫療保險公司Regional Care近期披露了一起數據泄露事件,該事件影響了超過225,000人。2024年9月中旬,Regional Care發現其網絡中的一個賬戶出現異?;顒?,并立即關閉了該賬戶。經過網絡安全專家的調查,確認“未經授權的一方”可能從其系統中獲取了一些文件。11月8日,該公司確定部分受損文件包含敏感個人信息,如姓名、出生日期、社會安全號碼、醫療信息和健康保險信息等。針對社會保障號碼被泄露的個人,Regional Care提供了免費的信用監控服務。該事件已被通報給緬因州總檢察長辦公室。截至目前,該保險公司尚未分享更多關于此次入侵的信息,且SecurityWeek也未發現任何已知的勒索軟件組織聲稱對此次攻擊負責。


https://www.securityweek.com/regional-care-data-breach-impacts-225000-people/

上一篇 下一篇