首頁 > 安全研究 > 安全通報 > 安全簡訊

Struts 2嚴重漏洞難修復,遺留系統面臨高風險

發布時間 2024-12-23

1. Struts 2嚴重漏洞難修復,遺留系統面臨高風險


12月20日,Apache Struts 2框架中發現了一個嚴重的新漏洞(CVE-2024-53677),其修復難度遠超簡單補丁。盡管Struts 2已過時,但在眾多行業的舊版系統中仍廣泛存在,這使得新漏洞的修復變得棘手。由于Struts 2組件的枯竭和新技術的發展,修復此漏洞需要更多的手動操作和時間,導致漏洞窗口延長,增加了攻擊者利用此弱點的風險。該漏洞是去年相同時間公開的Struts 2漏洞(CVE-2023-50164)的再生版本,位于文件上傳攔截器組件中,可啟用遠程代碼執行(RCE)。組織需要升級到最新版本的Struts 6.7.0或至少6.4.0,但此修復并不向后兼容,需要重寫代碼和調整配置,可能會破壞現有邏輯和依賴關系,進一步加劇了修復的復雜性。澳大利亞、比利時、加拿大、新加坡和英國的國家網絡安全中心都發布了緊急安全警告。Struts 2在遺留系統中非常普遍,尤其是在保守行業中,如金融、保險、政府和大型制造或物流。企業需要可靠的攻擊面管理和生命周期管理策略,以確保定期更新關鍵框架并迅速淘汰棄用的組件。


https://www.darkreading.com/application-security/actively-exploited-bug-struts-2


2. 追蹤公司Hapn泄露了數千名GPS追蹤客戶的信息


12月18日,GPS追蹤公司Hapn(前身為Spytec)因網站漏洞泄露了數千名客戶姓名及相關信息。11月底,安全研究人員向TechCrunch發出警告,稱客戶姓名和所屬信息從Hapn的一臺服務器中泄露。Hapn允許用戶遠程監控GPS追蹤設備的實時位置,這些設備可連接到車輛或其他物品上。據稱,Hapn能追蹤超過460,000臺設備,客戶包括財富500強企業。該漏洞使任何人都能登錄Hapn帳戶并查看暴露的數據,泄露信息包含8600多個GPS追蹤器的IMEI號碼及數千名客戶的姓名和業務關系,但不包括位置數據。盡管TechCrunch多次聯系Hapn,但未獲回復。Hapn首席執行官Joe Besdin在文章發表后表示,公司在文章發表前對此次泄露事件毫不知情,數據僅限于三個客戶賬戶,泄露記錄涉及2024年4月的數據,并稱安全問題已解決。當聯系到姓名和所屬機構被列在泄露數據中的個人時,有人確認了信息但拒絕談論GPS追蹤器使用情況。此外,安全研究人員開始調查這款GPS追蹤器是因為發現客戶在網上推薦用其監控配偶或伴侶。


https://techcrunch.com/2024/12/18/tracker-firm-hapn-spilling-names-of-thousands-of-gps-tracking-customers/


3. 烏克蘭國家登記處遭史上最大網絡攻擊,俄被指為幕后黑手


12月20日,烏克蘭司法部管理的國家登記處近期遭遇了前所未有的大規模網絡攻擊,烏克蘭安全局(SSU)已對此展開刑事調查,并指責俄羅斯為幕后黑手。據國家安全局證實,俄羅斯武裝部隊總參謀部主要情報局(GRU)下屬的一個黑客組織涉嫌參與此次攻擊。烏克蘭副總理兼司法部長奧爾加·斯特凡尼什娜也在社交媒體上公開指責俄羅斯,稱此次襲擊旨在破壞國家關鍵基礎設施并制造恐慌。俄羅斯方面尚未回應。此次攻擊導致烏克蘭司法部管轄的統一登記處和國家登記處工作暫停,斯特凡尼希娜表示正與內部團隊和其他部門專家協調應對網絡攻擊并恢復系統。SSU網絡安全部門已介入遏制攻擊,并指出工作重點為擊退攻擊、恢復基礎設施和記錄戰爭罪行。初步評估顯示,其他資源未受威脅。斯特凡尼什娜強調,正在控制局勢,并盡全力盡快恢復服務,首個要恢復的登記冊包括公民民事身份行為國家登記冊、企業法人和個人國家登記冊以及不動產權利登記冊,預計恢復時間約為兩周。


https://www.infosecurity-magazine.com/news/ukraines-probes-gru-linked/


4. Ascension醫療系統遭勒索軟件攻擊,560萬數據泄露


12月20日,Ascension是美國最大的私人醫療保健系統之一,近期遭受了與Black Basta勒索軟件行動相關的網絡攻擊,導致近560萬名患者和員工的個人及健康數據被盜。該公司在美國運營著140家醫院和40家老年護理機構,年收入高達283億美元。Ascension已向受影響個體郵寄了數據泄露通知,并提供24個月的免費IDX身份盜竊保護服務。據Ascension透露,攻擊源于一名員工在公司設備上下載了惡意文件,盡管公司認為這可能是無意之舉。此次攻擊影響了Ascension的MyChart電子健康記錄系統等多個關鍵系統,導致員工需在紙上記錄手術和用藥情況,并暫停了一些非緊急手術和檢查。盡管Ascension未直接將攻擊與Black Basta聯系起來,但CNN和Health-ISAC均指出,Black Basta近期加快了對醫療行業的攻擊,而該勒索軟件團伙已多次成功入侵知名企業網絡并勒索巨額資金。


https://www.bleepingcomputer.com/news/security/ascension-health-data-of-56-million-stolen-in-ransomware-attack/


5. Lazarus組織利用復雜感染鏈部署CookiePlus后門攻擊


12月20日,Lazarus組織是一個與朝鮮有關聯的威脅行為者,在2024年1月利用復雜的感染鏈針對至少兩名核相關組織員工進行攻擊,部署了名為CookiePlus的新模塊化后門,這是長期網絡間諜活動“夢想工作行動”的一部分。該組織通過向目標發送惡意文檔或木馬化的遠程訪問工具,誘使目標連接到特定服務器進行技能評估,進而傳播惡意軟件。最新攻擊涉及分發木馬化的VNC實用程序,以ISO映像和ZIP文件的形式分發。此外,Lazarus組織還使用了名為MISTPEN的后門,以及LPEClient、ServiceChanger、Charamel Loader等惡意軟件。CookiePlus惡意軟件充當下載器,從C2服務器檢索加密的有效負載并執行。人們懷疑CookiePlus是MISTPEN的繼承者。這一發現表明,Lazarus組織一直在努力改進其武器庫和感染鏈,以逃避安全產品的檢測。


https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html


6. ACE搗毀全球最大體育賽事直播盜版團伙Markkystreams


12月20日,創意與娛樂聯盟(ACE)成功搗毀了全球最大的體育賽事直播盜版團伙之一Markkystreams ,該團伙去年點擊量超過8.21億次,主要針對美國和加拿大觀眾。ACE表示,此次行動得到了其所有成員的支持,包括DAZN、beIN Sports和Canal+等體育級成員。美國電影協會執行副總裁對此表示贊賞,稱這是打擊體育賽事直播盜版的一次巨大勝利。反盜版組織指出,該團伙的運營商已將控制權移交給138個域名,被查封的網站上貼有因侵犯版權而關閉的橫幅。ACE是一個由50多家媒體和娛樂公司組成的聯盟,自2017年以來一直致力于關閉非法流媒體服務,并已成功關閉多個盜版平臺。此外,ACE還與多個執法機構合作,針對大規模非法流媒體團伙開展行動,今年已幫助關閉多個盜版流媒體服務,包括一個自2015年推出以來賺取了數百萬美元的盜版電視流媒體網絡和擁有超過2200萬用戶的盜版流媒體服務。


https://www.bleepingcomputer.com/news/security/massive-live-sports-piracy-ring-with-812-million-yearly-visits-taken-offline/

上一篇 下一篇