首頁 > 安全研究 > 安全通報 > 安全簡訊

CISA警告SonicWallSMA設備漏洞正在被積極利用

發布時間 2025-04-18

1. CISA警告SonicWallSMA設備漏洞正在被積極利用


4月17日,美國網絡安全和基礎設施安全局(CISA)于周三將影響SonicWall安全移動訪問(SMA)100系列網關的高嚴重性安全漏洞CVE-2021-20035(CVSS評分:7.2)添加至已知被利用漏洞(KEV)目錄中。此漏洞與操作系統命令注入有關,可能導致代碼執行。SonicWall在2021年9月發布的安全公告中指出,SMA100管理界面中特殊元素的不當中和,允許遠程經過身份驗證的攻擊者以'nobody'用戶身份注入任意命令,進而可能導致代碼執行。該漏洞影響運行特定版本的SMA200、SMA210、SMA400、SMA410和SMA500v(ESX、KVM、AWS、Azure)設備,具體包括10.2.1.0-17sv及更早版本、10.2.0.7-34sv及更早版本和9.0.0.10-28sv及更早版本。這些版本已在后續的更新中得到修復,分別為10.2.1.1-19sv及更高版本、10.2.0.8-37sv及更高版本和9.0.0.11-31sv及更高版本。盡管目前尚不清楚該漏洞的具體利用細節,但SonicWall已修改公告,承認此漏洞可能正在被野外利用。為此,聯邦民事行政部門(FCEB)機構被要求在2025年5月7日之前采取必要的緩解措施,以保護其網絡免受主動威脅。


https://thehackernews.com/2025/04/cisa-flags-actively-exploited.html


2. TheLoop平臺210萬份敏感信息泄露


4月16日,由MTV高管創立的澳大利亞曾經最熱門的創意工作平臺TheLoop于2024年關閉,然而其用戶敏感數據泄露危機至今未解。2025年2月,安全研究人員發現,該平臺錯誤配置的GoogleCloud存儲桶導致210萬份文件泄露,包括含全名、地址、電話號碼、郵箱及完整職業履歷的簡歷。這些數據為詐騙者提供了極大便利。詐騙者可利用泄露信息實施高度定向的釣魚攻擊、語音釣魚和短信釣魚。憑借詳細簡歷,詐騙者能制作極度逼真的個性化釣魚郵件,提及受害者真實職位名稱、過往客戶甚至日常使用工具,還可能附帶虛假職位邀約、待簽署合同或要求驗證身份(需提供護照復印件)。當詐騙者掌握電話號碼和背景信息時,語音釣魚和短信釣魚極具說服力,如自稱來自受害者曾應聘的創意機構,要求最終確認銀行信息。此外,詐騙者還能偽裝成受害者向客戶或雇主發送虛假發票。安全研究人員嘗試聯系該公司及計算機應急響應組,但未收到回應。


https://cybernews.com/security/loop-leaks-personal-data-creatives-exposed/


3. 勒索軟件利用AWS密鑰攻擊AWSS3存儲桶


4月16日,近日,一起罕見且可能史無前例的協同勒索活動曝光,涉及超過1.2億條泄露的AWS密鑰記錄,最終指向1,229個唯一憑證。攻擊者利用這些憑證對S3存儲桶中的數據應用了服務器端加密(SSE-C),隨后留下勒索信要求以比特幣支付贖金,每位受害者勒索金額為0.3BTC(約25,000美元)。此次惡意活動高度自動化,且沒有明確的歸屬。威脅行為者在每個加密的S3存儲桶中留下名為warning.txt的勒索信息,并附帶唯一的比特幣地址和awsdecrypt[@]techie.com的電子郵件地址用于聯系。攻擊者利用AWS原生服務器端加密(使用客戶提供的密鑰)來加密S3存儲桶數據,生成自己的AES-256加密密鑰鎖定數據,使得受害者無法恢復。這種攻擊模式允許“靜默入侵”,入侵時不會發出警報或報告,也不會留下文件刪除日志,威脅者保留存儲桶結構,甚至未竊取數據進行雙重勒索。此前,攻擊者還曾設置S3生命周期策略,在7天內刪除加密數據,進一步向受害者施壓。令人震驚的是,在多個情況下,受影響的AWS環境仍在繼續運行,表明受害者可能仍未意識到這一漏洞。研究人員指出,攻擊者獲取AWS密鑰的具體方法尚未證實。


https://cybernews.com/security/aws-cloud-storage-bucket-ransomware-attacks/


4. 娛樂服務巨頭LegendsInternational披露數據泄露事件


4月17日,LegendsInternational是全球體育和娛樂服務公司,業務涵蓋場地規劃、銷售、合作、接待、商品和技術解決方案,年收入超11億美元。該公司管理著五大洲350多個場館,像洛杉磯的SoFi體育場、紐約的一號世界觀景臺等知名場館均在其列。近期,它還通過收購ASMGlobal擴大了業務規模。LegendsInternational發出警告,其于2024年11月發生數據泄露,旗下員工與場所訪客受影響。在與當局的通知函里,該公司稱11月9日在IT系統檢測到未經授權活動,隨即在外部網絡安全專家協助下展開調查。調查證實入侵者竊取了個人數據文件,但信件未明確泄露數據類型。目前,此次數據泄露的范圍和受影響人數不明,但鑒于公司龐大的運營規模和管理的海量敏感數據,擔憂情緒難免。在致受影響用戶的信函中,LegendsInternational表示事件前已采取安全措施,系統恢復后也實施了額外措施,但未提供具體細節。信件收件人可通過Experian獲得24個月的身份盜竊檢測服務保障,需在2025年7月31日前注冊。公司稱未發現個人信息被濫用的證據,但建議用戶保持警惕。


https://www.bleepingcomputer.com/news/security/entertainment-services-giant-legends-international-discloses-data-breach/


5. INCRansom勒索軟件攻擊后,AholdDelhaize確認數據被盜


4月17日,阿霍德德爾海茲(AholdDelhaize)是跨國零售和批發巨頭,在歐美經營近8000家商店,擁有超41萬名員工,年收入約1000億美元,在美國經營FoodLion等品牌。2024年11月,該公司公開披露網絡安全事件,并關閉IT系統保護。其稱問題及緩解措施已影響美國某些品牌和服務,包括部分藥店和電商業務。昨日,勒索軟件組織INCRansom將AholdDelhaize添加至其暗網數據泄露勒索網站,并公布疑似竊取的文件樣本。AholdDelhaize發言人證實數據泄露,但未評論勒索軟件是否參與此次攻擊。目前,該公司對事件的調查仍在進行中,若確認客戶數據受影響,將通知相關人員。同時,其所有商店和電商服務仍正常運營,顧客不受影響。


https://www.bleepingcomputer.com/news/security/ahold-delhaize-confirms-data-theft-after-inc-ransomware-claims-attack/


6. CISA警告Oracle傳統云服務器遭入侵加劇憑證泄露風險


4月17日,CISA發出警告,今年早些時候Oracle傳統云服務器遭入侵后,違規風險加劇,企業網絡面臨重大威脅。CISA指出,所報告活動對組織和個人構成潛在風險,憑證材料可能泄露、重復使用或嵌入系統,雖其范圍和影響尚未證實,但憑證材料一旦嵌入就難以發現,暴露后或致長期未經授權訪問,對企業環境構成重大風險。為此,CISA發布指南,敦促網絡防御者重置受影響用戶密碼,替換硬編碼或嵌入式憑證,實施防網絡釣魚的多因素身份驗證,并監控身份驗證日志。此前,甲骨文確認一名威脅行為者泄露了從“兩臺過時的服務器”中竊取的憑證,不過其云服務器未受攻擊,事件未影響云服務或客戶數據。攻擊者竊取了舊客戶憑證,并在BreachForums上發布2025年更新記錄,與媒體共享2024年底數據,且泄露數據樣本經多位Oracle客戶確認有效。3月底,CybelAngel透露Oracle告知客戶,早在2025年1月,攻擊者就在部分Gen1服務器上部署了WebShell和其他惡意軟件,直至2月底發現漏洞,攻擊者從OracleIdentityManager數據庫中竊取了數據。此外,上個月媒體報道稱甲骨文健康公司1月份也發生數據泄露事件,影響多家美國醫療機構和醫院的患者數據。


https://www.bleepingcomputer.com/news/security/cisa-warns-of-increased-breach-risks-following-oracle-cloud-leak/

上一篇 下一篇