首頁 > 安全研究 > 安全通報 > 安全簡訊

思科智能許可實用程序的嚴重漏洞現已被利用于攻擊

發布時間 2025-03-21

1. 思科智能許可實用程序的嚴重漏洞現已被利用于攻擊


3月20日,攻擊者已開始針對存在未修補安全漏洞的思科智能許可實用程序(CSLU)發起攻擊,該漏洞可能導致內置后門管理員帳戶暴露。CSLU是思科開發的Windows應用程序,允許管理員在本地管理許可證和鏈接產品,無需連接至其云解決方案。思科于9月發布了安全補?。–VE-2024-20439),修復了這一問題,并指出這是一個未記錄的靜態用戶憑證漏洞,可使攻擊者遠程登錄未修補的系統。同時,思科還解決了另一個嚴重的信息泄露漏洞(CVE-2024-20440),該漏洞允許攻擊者通過精心設計的HTTP請求訪問敏感數據。這兩個漏洞僅影響運行易受攻擊CSLU版本的系統,且僅當用戶啟動應用程序時才能被利用。然而,在思科發布補丁后不久,Aruba威脅研究員逆向工程了該漏洞,并公布了技術細節,包括硬編碼的靜態密碼。SANS技術研究所的研究主任報告稱,威脅行為者正在利用這兩個漏洞對互聯網上的CSLU實例進行攻擊。盡管這些攻擊的最終目標尚不清楚,但攻擊者還試圖利用其他安全漏洞,如影響廣州盈科電子DVR的信息泄露漏洞(CVE-2024-0305)。值得注意的是,這并非思科首次從其產品中刪除后門帳戶,之前的硬編碼憑證也曾存在于其多個產品中。


https://www.bleepingcomputer.com/news/security/critical-cisco-smart-licensing-utility-flaws-now-exploited-in-attacks/


2. 以色列間諜軟件Graphite利用WhatsApp零日漏洞


3月20日,多倫多大學公民實驗室的網絡安全研究人員揭露了以色列公司Paragon Solutions開發的Graphite間諜軟件的使用情況,該軟件通過WhatsApp針對知名人士進行攻擊。研究人員發現,WhatsApp中存在一個未知的零日漏洞,允許間諜軟件在無需用戶任何操作的情況下安裝在設備上,從而實現對目標手機的未經授權訪問。Paragon Solutions聲稱自己與其他間諜軟件供應商不同,遵守道德標準,然而公民實驗室的研究卻揭示了該公司在多個國家針對記者、人權活動家和政府批評者疑似部署間諜軟件的情況。調查還發現,加拿大安大略省警察局系統性地使用間諜軟件功能。意大利政府最初否認與Paragon的牽連,但后來承認與其簽訂了合同。此外,調查還涉及Paragon確認目標的親密伙伴收到的Apple威脅通知,證實了新型間諜軟件的存在。Meta、蘋果和谷歌合作解決了該安全漏洞,WhatsApp實施了服務器端修復,蘋果也發布了iOS操作系統補丁。


https://hackread.com/israeli-spyware-graphite-hit-whatsapp-0-click-exploit/


3. RansomHub勒索軟件使用新的Betruger多功能后門


3月20日,賽門鐵克研究人員發現了一種名為Betruger的新惡意軟件,它是一種多功能后門,很可能是為勒索軟件攻擊而設計的。Betruger具有廣泛的功能,包括鍵盤記錄、網絡掃描、權限提升、憑證轉儲、截圖以及文件上傳等,旨在減少在目標網絡上投放的新工具數量。這種后門與RansomHub勒索軟件即服務(RaaS)運營附屬機構有關,該團伙于2024年2月出現,并專注于基于數據盜竊的勒索,而非簡單加密數據。RansomHub已攻擊了多家知名企業,包括哈里伯頓、佳士得拍賣行、Frontier Communications、Rite Aid連鎖藥店等,并泄露了Change Healthcare被盜的數據,影響了超過1.9億人。此外,該團伙還聲稱入侵了北美最大的成癮治療提供商BayMark Health Services。據美國聯邦調查局統計,截至2024年8月,RansomHub已入侵美國多個關鍵基礎設施部門的200多名受害者,包括政府、關鍵基礎設施和醫療保健等領域。Betruger后門的發現進一步揭示了勒索軟件團伙在攻擊手段上的不斷創新和復雜性。


https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-uses-new-betruger-multi-function-backdoor/


4. HellCat黑客組織利用Jira憑證攻擊Ascom等全球企業


3月20日,瑞士全球解決方案提供商Ascom確認其IT基礎設施遭受了名為HellCat的黑客組織發起的網絡攻擊。黑客通過竊取的憑證攻擊了全球的Jira服務器,侵入了Ascom的技術票務系統,并聲稱竊取了約44GB的數據,涉及該公司的所有部門。然而,Ascom表示此次事件對公司的業務運營沒有影響,客戶和合作伙伴無需采取預防措施,目前調查正在進行中。HellCat黑客組織以攻擊Jira服務器為常用手段,該平臺通常包含敏感數據,如源代碼、身份驗證密鑰等。此前,HellCat已成功攻擊了施耐德電氣、西班牙電信、Orange Group和捷豹路虎等公司,竊取并泄露了大量內部文件。研究人員表示,這些攻擊的核心在于HellCat利用從被信息竊取程序感染的受感染員工那里獲取的Jira憑證。最近,HellCat還宣布入侵了營銷公司Affinitiv的Jira系統,竊取了包含大量電子郵件和記錄的數據庫。由于信息竊取者收集的憑證容易找到,且公司未能將其納入定期輪換流程,此類攻擊可能會變得更加頻繁。專家警告稱,Jira由于其在企業工作流程中的核心地位及其存儲的大量數據而成為攻擊者的主要目標。


https://www.bleepingcomputer.com/news/security/hellcat-hackers-go-on-a-worldwide-jira-hacking-spree/


5. Oberlin Marketing數十萬份敏感健康財務信息遭泄露


3月18日,保險經紀公司Oberlin Marketing因未保護其AWS S3存儲桶,導致數十萬份包含客戶健康狀況和財務信息的敏感文件遭泄露。這些文件涉及超過320,000名用戶,包括姓名、家庭住址、出生日期、性別、電話號碼、簽名、健康信息和財務詳情等。盡管多次嘗試通知該公司,但存儲桶仍長時間暴露在外,增加了客戶面臨欺詐、身份盜竊和其他網絡威脅的風險。泄露的數據主要是醫療保險申請,攻擊者可以利用這些信息進行身份盜竊、開設欺詐性銀行賬戶、申請貸款或進行其他非法活動。此外,網絡犯罪分子還可以利用泄露的信息進行有針對性的網絡釣魚和社會工程攻擊,制作極具說服力的消息,欺騙個人透露更多敏感信息或下載惡意軟件。為了防止類似的數據泄露,建議更改訪問控制、更新權限、監控訪問日志、啟用服務器端加密并使用AWS密鑰管理服務安全地管理加密密鑰。


https://cybernews.com/security/oberlin-marketing-medicare-applications-leaked/


6. CISA警告NAKIVO漏洞CVE-2024-48248正被積極利用


3月20日,CISA已向美國聯邦機構發出警告,要求加強網絡安全防范,針對NAKIVO備份和復制軟件中存在的高嚴重漏洞CVE-2024-48248進行防護。該漏洞為絕對路徑遍歷漏洞,可使未經身份驗證的攻擊者讀取易受攻擊設備上的任意文件。NAKIVO在11月發布的Backup & Replication v11.0.0.88174版本中已悄悄修補此漏洞,但此前網絡安全公司watchTowr已發現此漏洞近兩個月。watchTowr指出,利用此漏洞可能暴露敏感數據,甚至解鎖整個基礎設施環境。CISA已將CVE-2024-48248添加到其已知被利用的漏洞目錄中,聯邦民事行政部門機構需在三周內保護其系統免受攻擊。雖然該指令僅適用于聯邦機構,但建議所有組織盡快修補此漏洞以阻止攻擊。NAKIVO在全球擁有眾多合作伙伴和客戶,業務遍及多個國家,其中包括本田、思科、可口可樂和西門子等知名公司。


https://www.bleepingcomputer.com/news/security/cisa-tags-nakivo-backup-flaw-as-actively-exploited-in-attacks/

上一篇 下一篇