首頁 > 安全研究 > 安全通報 > 安全簡訊

Ivanti 警告:黑客利用 Connect Secure 零日漏洞安裝惡意軟件

發布時間 2025-01-10

1. Ivanti 警告:黑客利用 Connect Secure 零日漏洞安裝惡意軟件


1月8日,Ivanti 警告稱,黑客正在利用 Connect Secure 遠程代碼執行漏洞(CVE-2025-0282)進行零日攻擊,在設備上安裝惡意軟件。該漏洞存在于 Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 網關的舊版本中,允許未經身份驗證的攻擊者遠程執行代碼。Ivanti 通過其完整性檢查工具(ICT)檢測到惡意活動后,確認了這一威脅。目前,只有 Ivanti Connect Secure 設備被確認受到利用。Ivanti 已緊急發布針對 Connect Secure 的安全補丁,并計劃在 2025 年 1 月 21 日發布針對 Policy Secure 和 Neurons for ZTA 網關的補丁。盡管 Policy Secure 和 Neurons ZTA 網關被認為被利用的風險較低,Ivanti 仍建議客戶確保其設備按建議配置,并不暴露在互聯網上。同時,Ivanti 建議所有 Connect Secure 管理員執行內部和外部 ICT 掃描,并在必要時恢復出廠設置以刪除惡意軟件。


https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-connect-secure-flaw-used-in-zero-day-attacks/


2. Garmin Connect遭遇全球范圍嚴重中斷


1月8日,Garmin Connect是一款廣受歡迎的在線運動追蹤工具,近期遭遇了嚴重的服務中斷,導致全球范圍內數十萬用戶無法正常使用。當Cybernews主編展示其應用中的統計數據時,我們驚訝地發現,包括Garmin連接、潛水、高爾夫在內的多個平臺已處于離線狀態,且眾多功能如活動詳情、上傳、挑戰與聯系、心電圖、Garmin教練等也已被關閉。盡管Garmin手表可以獨立于應用運行,但用戶無法上傳活動記錄或參與挑戰,相關統計數據也可能因此丟失。這一事件引起了用戶的強烈不滿,他們紛紛在社交媒體上表達憤怒,并有人猜測是否再次遭遇了黑客攻擊。據DownDector網站報道,此次中斷已波及澳大利亞、加拿大、美國、英國等多個國家。尤為尷尬的是,此次中斷恰好發生在Garmin發布最新款手表Instinct 3之后,無疑給品牌形象帶來了負面影響。


https://cybernews.com/news/garmin-connect-major-outage/


3. 烏克蘭黑客宣布入侵俄羅斯ISP Nodex并清除系統


1月8日,烏克蘭網絡聯盟的一個黑客組織周二宣布成功入侵了俄羅斯互聯網服務提供商Nodex的網絡,竊取敏感文件后清除了被黑系統。黑客在Telegram上發布了攻擊過程中針對Nodex的VMware、Veeam備份和惠普企業虛擬基礎設施的截圖作為證據。Nodex隨后在VKontakte上證實了這一攻擊,表示其基礎設施遭到攻擊,網絡已被摧毀,并正在從備份中恢復?;ヂ摼W監控組織NetBlocks也發現Nodex的網絡服務連接在攻擊后崩潰。盡管Nodex努力恢復系統,但其網站一度癱瘓,且無法提供恢復時間表。然而,Nodex隨后發布了恢復過程的更新信息,表示網絡核心已恢復,DHCP服務器已上線,許多客戶可以重新連接互聯網。烏克蘭網絡聯盟自2016年起活躍,聲稱發生了多起影響俄羅斯各組織的入侵事件,包括政府機構和媒體等。2023年10月,烏克蘭黑客還入侵了Trigona勒索軟件團伙的服務器,竊取所有數據后將其清除。


https://www.bleepingcomputer.com/news/security/russian-isp-confirms-ukrainian-hackers-destroyed-its-network/


4. 黑客試圖利用CRLF注入攻擊GFI KerioControl防火墻


1月8日,黑客正在利用CVE-2024-52875這一嚴重的CRLF注入漏洞,對GFI KerioControl防火墻產品發動一鍵遠程代碼執行(RCE)攻擊。KerioControl是一種專為中小型企業設計的網絡安全解決方案,融合了多種安全功能。2024年12月16日,安全研究員Egidio Romano發布了關于該漏洞的詳細報告,指出一個看似低嚴重性的HTTP響應拆分問題可以升級為RCE攻擊。該漏洞影響KerioControl 9.2.5至9.4.5版本,由于處理不當的換行符導致,允許通過注入有效載荷操縱HTTP標頭和響應。攻擊者可以利用此漏洞在受害者瀏覽器上執行惡意JavaScript,提取cookie或CSRF令牌,進而上傳包含根級shell腳本的惡意文件,利用Kerio升級功能打開反向shell。威脅掃描平臺Greynoise已檢測到針對該漏洞的攻擊嘗試,而Censys報告了數萬個暴露在互聯網上的KerioControl實例,但尚不清楚易受攻擊的數量。GFI Software已發布修復該漏洞的補丁版本,建議用戶盡快應用。若無法立即修補,管理員應限制對KerioControl Web管理界面的訪問,并配置有效的緩解措施。


https://www.bleepingcomputer.com/news/security/hackers-exploit-keriocontrol-firewall-flaw-to-steal-admin-csrf-tokens/


5. CrowdStrike警告:網絡釣魚活動冒充招聘誘騙用戶感染XMRig礦工


1月9日,CrowdStrike于2025年1月7日發現一項網絡釣魚活動,該活動冒充網絡安全公司,通過發送虛假的工作邀請電子郵件,誘騙求職者下載并感染門羅幣加密貨幣礦工(XMRig)。這些電子郵件聲稱來自CrowdStrike的就業代理,感謝求職者申請開發人員職位,并指示他們從一個看似合法的CrowdStrike門戶網站上下載所謂的“員工CRM應用程序”。該網站(cscrm-hiring[.]com)提供適用于Windows或macOS的下載鏈接。下載的工具會執行沙盒檢查以避免在分析環境中運行,一旦檢查通過,就會生成虛假錯誤消息,同時后臺下載并解壓包含挖礦機的ZIP文件到系統臨時目錄。該礦工被設置為后臺低負荷運行,以避免被發現,并通過添加批處理腳本到啟動目錄和在注冊表中寫入自動啟動鍵來保持持久性。CrowdStrike提醒求職者,應驗證電子郵件地址的真實性,并通過官方渠道聯系招聘人員,警惕緊急或不尋常的請求、過于誘人的提議,以及要求下載可執行文件的招聘流程。雇主很少要求應聘者下載第三方應用程序,更不會要求預付款。


https://www.bleepingcomputer.com/news/security/fake-crowdstrike-job-offer-emails-target-devs-with-crypto-miners/


6. BayMark Health Services遭遇數據泄露,RansomHub團伙聲稱負責


1月9日,BayMark Health Services,北美最大的物質使用障礙治療與康復服務提供商,近期遭遇了一次數據泄露事件。2024年9月,攻擊者入侵了BayMark的系統,并在9月24日至10月14日期間訪問了包含患者個人和健康信息的文件。BayMark在10月11日IT系統中斷后得知此事,并立即采取措施保護系統,同時展開調查并通知了執法部門。泄露的信息包括患者的姓名、社會安全號碼、駕駛執照號碼、出生日期、服務記錄、保險信息以及治療提供者和治療/診斷信息。盡管BayMark未公開受影響患者的總數,但RansomHub勒索軟件團伙聲稱對此次攻擊負責,并稱從BayMark系統中竊取了1.5TB的文件,這些數據隨后被上傳到暗網泄密網站上。BayMark為可能暴露社會安全號碼或駕駛執照號碼的患者提供了一年的免費Equifax身份監控服務。


https://www.bleepingcomputer.com/news/security/largest-us-addiction-treatment-provider-notifies-patients-of-data-breach/

上一篇 下一篇