首頁 > 安全研究 > 安全通報 > 安全簡訊

博通修復了VMware ESX產品中三個被積極利用的零日漏洞

發布時間 2025-03-05

1. 博通修復了VMware ESX產品中三個被積極利用的零日漏洞


3月4日,博通近期發布了安全更新,旨在修復VMware ESX產品中存在的三個嚴重零日漏洞,漏洞編號分別為CVE-2025-22224、CVE-2025-22225和CVE-2025-22226,這些漏洞影響了包括VMware ESXi、vSphere、Workstation、Fusion、Cloud Foundation和Telco Cloud Platform在內的多個產品。這些漏洞由微軟威脅情報中心的研究人員發現,其中CVE-2025-22224為VMCI堆溢出漏洞,CVSS評分為9.3;CVE-2025-22225為VMware ESXi任意寫入漏洞,CVSS評分為8.2;CVE-2025-22226為HGFS信息泄露漏洞,CVSS評分為7.1。攻擊者若擁有特權管理員或根訪問權限,可利用這些漏洞實現虛擬機沙盒逃逸。博通通過VMSA-2025-0004安全公告確認了這些漏洞的存在,并指出它們已被廣泛利用。公司強調,已成功入侵虛擬機并獲得特權訪問的攻擊者,可利用這些漏洞進一步訪問虛擬機管理程序本身。然而,博通目前尚未披露關于具體攻擊或背后威脅行為者的詳細信息。


https://securityaffairs.com/174911/security/vmware-fixed-three-actively-exploited-zero-days-in-esx-products.html


2. Eleven11bot僵尸網絡感染8.6萬臺物聯網設備發動DDoS攻擊


3月4日,一種名為“Eleven11bot”的新型僵尸網絡惡意軟件已感染超過86,000臺物聯網設備,主要是安全攝像頭和網絡視頻錄像機(NVR),用于發動分布式拒絕服務(DDoS)攻擊。該僵尸網絡與伊朗有松散聯系,已針對電信服務提供商和在線游戲服務器發起攻擊。諾基亞研究人員發現了該僵尸網絡,并與威脅監控平臺GreyNoise分享了詳細信息。據Shadowserver Foundation報告,受感染的設備大多位于美國、英國、墨西哥、加拿大和澳大利亞。Eleven11bot的攻擊量已達到每秒數億個數據包,持續時間通常為數天。該惡意軟件通過強制使用弱或常見的管理員憑據、利用已知默認憑據以及掃描暴露的Telnet和SSH端口來傳播。GreyNoise建議防御者將相關IP地址添加到黑名單中,并監控可疑登錄嘗試。為確保安全,建議物聯網設備運行最新固件版本,禁用不必要的遠程訪問功能,并更改默認管理員帳戶憑據。此外,定期檢查設備是否達到使用壽命終點并用新型號替換至關重要。


https://www.bleepingcomputer.com/news/security/new-eleven11bot-botnet-infects-86-000-devices-for-ddos-attacks/


3. 多語言惡意軟件Sosano針對阿聯酋關鍵組織發起攻擊


3月4日,一種針對阿拉伯聯合酋長國航空、衛星通信和關鍵交通組織的多語言惡意軟件正在被未知威脅行為者利用。該軟件名為Sosano,提供后門功能,允許攻擊者在受感染設備上建立持久性并遠程執行命令。Proofpoint于2024年10月發現了這一活動,指出其與伊朗盟友TA451和TA455的行動有相似之處,但此次活動重點在于網絡間諜活動。該惡意軟件通過特制文件,包含多種文件格式,逃避基于單一格式分析的安全軟件檢測。攻擊始于印度電子公司發送的魚叉式網絡釣魚電子郵件,包含惡意URL和ZIP存檔,內含偽裝成XLS的LNK文件和兩個多語言PDF文件。PDF文件包含HTA代碼和隱藏ZIP檔案,觸發Sosano后門。Sosano后門與命令和控制服務器建立連接,等待文件操作、shell命令執行等命令。防御此類威脅需采取多管齊下方法,包括電子郵件掃描、用戶教育和能夠檢測多種文件格式的安全軟件。阻止危險文件類型也是明智之舉。


https://www.bleepingcomputer.com/news/security/new-polyglot-malware-hits-aviation-satellite-communication-firms/


4. 麒麟勒索軟件組織攻擊日本癌癥治療中心,泄露30萬患者數據


3月4日,日本宇都宮中央診所(UCC)癌癥治療中心于2月10日遭到麒麟勒索軟件組織的黑客攻擊,導致30萬名患者的敏感健康信息泄露,醫院系統也無法使用。該組織在其暗網博客上發布了被盜信息,包括患者姓名、生日、性別、地址、電話號碼、電子郵件地址、醫療信息等,并嘲諷患者使用UCC的服務可能會導致敏感數據泄露。UCC官員敦促客戶警惕詐騙信息,并設立了熱線電話供患者獲取更多信息。麒麟組織自2025年初以來一直在加強攻擊,采用勒索軟件即服務(RaaS)模式運作,以對受害者使用雙重勒索手段而聞名。該組織過去12個月的網絡攻擊活動不斷,總受害者數量已達191次。麒麟組織涉嫌通過竊取Google Chrome憑證以及秘密逃避或禁用端點檢測和響應(EDR)系統來利用受害者,利用了著名的“Citrix Bleed”零日漏洞。


https://cybernews.com/news/cancer-hospital-breach-is-claimed-by-qilin-gang-in-new-ransomware-low/


5. Zhong Stealer惡意軟件通過客服感染金融科技公司


3月4日,名為“Zhong Stealer”的新型惡意軟件已在中國出現,它通過利用客戶支持聊天這一意想不到的切入點潛入企業,主要目標是金融科技公司,但其適應性極強,可針對任何依賴客戶支持團隊的行業。該惡意軟件利用人性的弱點,如緊迫感、困惑和沮喪,通過精心策劃的騙局誘導客服人員打開包含惡意ZIP文件的附件。Zhong Stealer能夠下載其他組件進行攻擊,并在受感染系統中保持持久性,通過添加注冊表項或使用計劃任務重新啟動自身,難以徹底消除。其主要目標是收集憑證和瀏覽器擴展數據,竊取敏感的商業和個人數據,并將信息發送回位于香港的命令和控制服務器。為保護企業免受Zhong Stealer侵害,可使用ANY.RUN沙箱等工具對可疑文件進行分析,查看實時惡意軟件行為,立即識別威脅,并在員工打開文件之前主動檢查文件,以防止感染。


https://hackread.com/chinese-zhong-stealer-infects-fintech-customer-support/


6. 大規模網絡安全漏洞致3.5萬網站遭劫持重定向至賭博平臺


3月3日,一起大規模網絡安全漏洞事件于2月20日爆發,超過35,000個網站遭到攻擊,用戶瀏覽器窗口被惡意腳本完全劫持并重定向至中文賭博平臺“Kaiyun”。c/side安全研究人員發現,攻擊者通過在受影響網站的源代碼中插入簡單腳本標簽,加載其他惡意代碼,這些代碼利用設備檢測技術并設置500-1000毫秒隨機延遲以逃避安全掃描。最令人擔憂的是,惡意腳本注入全屏iframe代碼,替換原始網站內容為賭博平臺。攻擊通過多個代碼執行階段進行,使用JavaScript函數檢測用戶設備類型,有針對性地投放惡意內容,并創建元視口標簽確保惡意內容填滿整個屏幕。部分攻擊變種還實施基于地區的過濾機制,根據用戶IP地址顯示不同內容。安全專家推測此次攻擊與Megalayer漏洞有關,建議網站所有者審核源代碼、阻止惡意域、定期檢查文件修改、實施內容安全策略限制,并使用工具執行頻繁站點掃描以發現惡意注入,從而保護平臺免受類似攻擊。


https://cybersecuritynews.com/35000-websites-hacked-to-inject-malicious-scripts/

上一篇 下一篇