首頁 > 安全研究 > 安全通報 > 安全簡訊

Fortinet澄清CVE-2025-24472非零日漏洞,僅CVE-2024-55591被利用

發布時間 2025-02-13

1. Fortinet澄清CVE-2025-24472非零日漏洞,僅CVE-2024-55591被利用


2月11日,Fortinet近日警告稱,攻擊者正在利用FortiOS和FortiProxy中的漏洞來劫持防火墻并侵入企業網絡。但隨后Fortinet通知,新披露的CVE-2025-24472漏洞并非零日漏洞,且已在一月份修復。同時確認,只有CVE-2024-55591漏洞被實際利用。若客戶已根據先前指導升級,則已受保護。CVE-2025-24472漏洞允許遠程攻擊者通過惡意CSF代理請求獲得超級管理員權限,影響FortiOS 7.0.0至7.0.16及FortiProxy部分版本,已在更新版本中修復。攻擊者還利用CVE-2024-55591漏洞在設備上創建隨機管理員賬戶,修改配置,并通過惡意帳戶訪問SSLVPN。網絡安全公司Arctic Wolf報告了相關攻擊活動,包括漏洞掃描、偵察、SSL VPN配置及橫向移動等階段,并建議禁用公共接口上的防火墻管理訪問。Fortinet建議無法立即更新的管理員禁用HTTP/HTTPS管理界面或限制訪問IP地址作為臨時解決方法。


https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/


2. 利用舊版 ThinkPHP 和 ownCloud 漏洞的攻擊激增


2月12日,近期黑客活動呈現增長趨勢,他們主要針對易受2022年和2023年舊安全問題影響的、維護不善的設備發起攻擊。據威脅監控平臺GreyNoise報告,利用CVE-2022-47945和CVE-2023-49103漏洞的攻擊行為者數量激增。CVE-2022-47945涉及ThinkPHP框架的本地文件包含(LFI)問題,允許未經身份驗證的遠程攻擊者執行任意操作系統命令;而CVE-2023-49103則影響開源文件共享軟件ownCloud,黑客可通過該漏洞竊取敏感信息。盡管這些漏洞的漏洞預測評分系統(EPSS)評分較低,且未全部列入CISA的已知利用漏洞(KEV)目錄,但GreyNoise已觀察到大量唯一IP試圖利用這些漏洞,且活動有所增加。為保護系統,建議用戶升級到ThinkPHP 6.0.14或更高版本,將ownCloud GraphAPI升級到0.3.1及更新版本,并將潛在易受攻擊的實例脫機或置于防火墻后面。


https://www.bleepingcomputer.com/news/security/surge-in-attacks-exploiting-old-thinkphp-and-owncloud-flaws/


3. Kimsuky采用ClickFix策略發起新型網絡攻擊


2月12日,朝鮮國家演員“Kimsuky”近期采用了一種受ClickFix活動啟發的新策略進行網絡攻擊。ClickFix是一種社會工程策略,通過欺騙性錯誤消息或提示誘導受害者執行惡意代碼,常用于傳播信息竊取惡意軟件。Kimsuky偽裝成韓國政府官員,與目標建立信任后,發送帶有PDF附件的魚叉式網絡釣魚電子郵件。然而,這些PDF文檔實際上引導受害者訪問虛假設備注冊鏈接,要求他們以管理員身份運行PowerShell并粘貼攻擊者提供的代碼。一旦執行,該代碼會安裝遠程桌面工具,下載證書,并將受害者設備注冊到遠程服務器,使攻擊者能夠直接訪問并竊取數據。微軟自2025年1月起在有限范圍的攻擊中觀察到這種策略,目標涉及國際事務組織、非政府組織、政府機構和媒體公司的個人。微軟已通知受影響客戶,并警告其他人注意這一新策略,謹慎對待所有未經請求的通信。用戶應特別小心在線復制并執行代碼的請求,尤其是在以管理員權限執行時。


https://www.bleepingcomputer.com/news/security/dprk-hackers-dupe-targets-into-typing-powershell-commands-as-admin/


4. 俄羅斯黑客組織APT44分支“貝殼暴雪”全球攻擊活動揭秘


2月12日,俄羅斯政府支持的黑客組織APT44的一個分支,被稱為“貝殼暴雪”或“沙蟲”,自2021年以來一直活躍于針對重要組織和政府的網絡攻擊中,特別是在能源、石油和天然氣、電信、航運和武器制造領域。該組織致力于獲取目標系統的初始訪問權限,并建立持久性以維持存在,以便其他APT44子組接管。微軟威脅情報團隊觀察到,該組織針對烏克蘭、歐洲、中亞、南亞和中東地區的關鍵領域開展機會性行動,特別是在俄羅斯入侵烏克蘭后,加強了對烏克蘭關鍵基礎設施的攻擊。此外,該組織還利用多種技術破壞網絡,包括利用n日漏洞、憑證盜竊和供應鏈攻擊等。在獲取訪問權限后,黑客通過部署自定義Web shell建立持久性,并使用合法的IT遠程管理工具執行命令,同時冒充IT管理員以逃避檢測。對于初始訪問后的活動,威脅行為者竊取憑據、泄露數據,并通過Tor網絡隱藏連接。最后,該組織進行橫向移動,修改基礎設施以滿足其運營需求。微軟表示,該俄羅斯黑客小組的影響力接近全球,并分享了狩獵查詢、攻擊指標和YARA規則,以幫助防御者及時捕獲并阻止該威脅行為者的活動。


https://www.bleepingcomputer.com/news/security/badpilot-network-hacking-campaign-fuels-russian-sandworm-attacks/


5. Hipshipper數百萬運輸標簽曝光,個人信息安全告急


2月11日,Hipshipper是為eBay、Shopify和亞馬遜賣家提供國際運輸服務的平臺,近期遭遇了一起嚴重的數據泄露事件。在2024年12月這個國際運輸高峰月,Cybernews研究團隊發現Hipshipper的一個未受保護的AWS存儲桶暴露了超過1430萬條記錄,主要包括運輸標簽和海關申報表,泄露了買家的全名、家庭住址、電話號碼及訂單詳情等個人詳細信息。這些泄露的數據可能被網絡犯罪分子用于策劃高級詐騙、網絡釣魚攻擊或有針對性的惡意軟件攻擊,增加了受害者遭受欺詐、騷擾、盜竊和經濟損失的風險。幸運的是,在Cybernews聯系Hipshipper后,該公司及時關閉了暴露的存儲桶,防止了數據的進一步泄露。為了避免類似事件再次發生,研究人員建議企業加強訪問控制、監控訪問日志、啟用服務器端加密、實施SSL/TLS安全通信,并考慮定期審計、自動安全檢查和員工培訓等安全最佳實踐。此次數據泄露的發現日期為2024年12月2日,首次披露于2024年12月9日,并于2025年1月8日結束泄露。


https://cybernews.com/security/hipshipper-data-leak-exposed-shipping-records/


6. CISA將Windows和Zyxel設備漏洞添加到已知被利用漏洞目錄


2月12日,美國網絡安全和基礎設施安全局(CISA)近期更新了其已知被利用漏洞(KEV)目錄,新增了涉及Windows和Zyxel設備的多個漏洞。其中包括Zyxel DSL CPE OS的命令注入漏洞CVE-2024-40891和CVE-2024-40890,以及Microsoft Windows的兩個漏洞:輔助功能驅動程序的WinSock基于堆的緩沖區溢出漏洞CVE-2025-21418和存儲鏈接跟蹤漏洞CVE-2025-21391。CVE-2024-40891和CVE-2024-40890允許攻擊者在未經驗證的情況下執行任意命令,可能導致設備接管等嚴重后果,且CVE-2024-40891已被觀察到數千次攻擊嘗試。而Windows的兩個漏洞也被積極利用,CVE-2025-21391允許攻擊者刪除文件并可能結合代碼執行接管系統,CVE-2025-21418則允許經過身份驗證的用戶獲取系統特權。微軟已在2025年2月的安全更新中修復了這兩個Windows漏洞,但Zyxel設備的漏洞尚未得到供應商修復和公開披露。


https://securityaffairs.com/174135/security/u-s-cisa-adds-microsoft-windows-zyxel-device-flaws-known-exploited-vulnerabilities-catalog.htm

上一篇 下一篇