Atlassian修复Confluence漏洞CVE-2023-22518
发布时间 2023-11-021、Atlassian修复Confluence漏洞CVE-2023-22518
据媒体10月31日称,Atlassian修复了一个严重的漏洞(CVE-2023-22518),它影响了所有版本的Confluence Data Center和Confluence Server。这是一个授权不当漏洞,攻击者可利用该漏洞破坏受影响服务器上的数据,导致数据丢失,但无法被用来窃取数据。通过atlassian.net域访问的Atlassian Cloud网站不受此漏洞的影响。此漏洞尚未被主动利用,该公司建议用户立即应用更新。
https://www.bleepingcomputer.com/news/security/atlassian-warns-of-critical-confluence-flaw-leading-to-data-loss/
2、Avast杀毒软件将Android Google标记为恶意软件
据10月31日报道,安全公司Avast称自周六以来,其杀毒软件将部分型号的智能手机上的Google Android应用标记为恶意软件。在受影响设备上,用户被提醒立即卸载Google应用,因为它可能会秘密发送短信、下载和安装其它应用或窃取用户信息。还有人看到了不同的提醒,称Google应用是一个木马,可以远程访问他们的设备,被攻击者用来安装恶意软件并窃取数据。Avast透露,其杀毒SDK误将Google快速搜索框应用程序启动器标记为恶意软件,该问题已于10月30日解决。
https://www.bleepingcomputer.com/news/security/avast-confirms-it-tagged-google-app-as-malware-on-android-phones/
3、Scarred Manticore利用LIONTAIL攻击中东的国家
Check Point于10月31日披露了Scarred Manticore针对中东国家军政机构和电信公司的攻击活动。该团伙从2019年起一直活跃,目前的活动在2023年中期达到顶峰。最新活动利用了LIONTAIL,这是一种安装在Windows服务器上的被动恶意软件框架。出于隐蔽性,LIONTIAL植入程序利用对Windows HTTP栈驱动程序HTTP.sys的直接调用来加载常驻内存的payload。研究人员还称,Scarred Manticore与OilRig(又名APT34)有关联。
https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/
4、Mandiant检测到多起利用Citrix Bleed漏洞的活动
10月31日,Mandiant称其检测到多起利用Citrix Bleed漏洞,来攻击美洲、欧洲、非洲和亚太地区的活动。这是NetScaler ADC和NetScaler Gateway设备中的信息泄露漏洞(CVE-2023-4966),自8月下旬以来一直在被利用。利用漏洞后,攻击者会进行网络侦察、窃取帐户凭据并通过RDP进行横向移动。Mandiant表示,在各种活动中利用CVE-2023-4966的4个攻击团伙,在Post-Exploitation阶段存在一些重叠。
https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966
5、恶意NuGet包利用MSBuild集成来分发恶意软件
ReversingLabs在10月31日披露了通过恶意NuGet包来分发恶意软件的活动。研究人员于10月15日发现了最新NuGet活动,利用不同的拼写错误的软件包来安装恶意软件。此活动的新颖之处在于,这些软件包没有使用在安装脚本中植入下载程序的常用方法,而是利用NuGet的MSBuild集成来执行代码。这是8月初以来的持续活动的一部分,直到10月中旬,攻击者才开始利用MSBuild集成。早期版本利用PowerShell脚本(init.ps1)从GitHub存储库获取恶意软件payload。
https://www.reversinglabs.com/blog/iamreboot-malicious-nuget-packages-exploit-msbuild-loophole
6、Cisco发布关于Arid Viper攻击活动的分析报告
10月31日,Cisco Talos发布了关于Arid Viper攻击活动的分析报告。该活动自2022年4月开始活跃,一直针对阿拉伯语地区。攻击者利用伪造的恶意Android应用,旨在从目标手机中收集数据。有趣的是,该恶意软件与约会软件Skipped的源代码相似,这表明运营团伙要么与Skipped的开发人员有联系,要么非法获得了项目的访问权限。攻击者会分发伪装成约会应用更新的恶意链接,从而将恶意软件安装到用户的设备。
https://blog.talosintelligence.com/arid-viper-mobile-spyware/
京公网安备11010802024551号