暴露的环境变量文件导致云环境遭受大规模勒索
发布时间 2024-08-208月16日,一场针对多个组织的大规模勒索活动利用了可公开访问的环境变量文件(.env),这些文件包含云和社交媒体应用程序的敏感凭据。Palo Alto Networks Unit 42在报告中指出,此次攻击暴露了环境变量、长期凭证使用及最小特权架构缺失等安全漏洞。攻击者通过受感染的Amazon Web Services (AWS)环境设置了基础设施,扫描超过2.3亿个目标以收集敏感数据。他们从110,000个域名的.env文件中提取了90,000多个唯一变量,包括云服务和社交媒体账户凭据。攻击者未加密数据即窃取,并在云存储容器中放置勒索信。利用AWS IAM权限,攻击者扩大立足点,创建新Lambda函数进行互联网范围扫描,寻找暴露的环境文件。成功获取凭据后,攻击者将其存储在公共S3存储桶中。特别地,他们关注含有Mailgun凭据的.env文件,企图发送网络钓鱼邮件。尽管尝试非法加密货币挖掘失败,但经济动机明显。攻击者使用VPN和TOR隐藏身份,Unit 42检测到乌克兰和摩洛哥的IP地址与活动相关。此次活动显示了攻击者利用自动化技术在云环境中迅速展开行动的高超技能。
https://thehackernews.com/2024/08/attackers-exploit-public-env-files-to.html
2. WPS Office漏洞CVE-2024-7262遭利用,危及2亿用户
8月16日,WPS Office是一款拥有超过2亿用户的办公套件,近期曝出两个高危漏洞CVE-2024-7262和CVE-2024-7263,CVSS评分高达9.3,揭示了极高的安全风险和易被利用性。这两个漏洞均位于其promecefpluginhost.exe组件中,通过不充分的路径验证机制,使攻击者能够诱导用户打开特制电子表格文档,进而加载并执行任意Windows库。CVE-2024-7262影响12.2.0.13110至12.2.0.13489版本,允许远程代码执行,可能引发数据泄露、勒索软件攻击或系统深度入侵。尽管金山毒霸发布了12.2.0.16909版本作为CVE-2024-7262的补丁,但随后又发现了CVE-2024-7263,该漏洞存在于12.2.0.17153以下版本,由于未彻底清理额外参数,使得原补丁失效,再次暴露安全风险。尤为严重的是,CVE-2024-7262已被恶意利用,通过分发伪装成合法文档的恶意文件,攻击者正积极展开攻击。因此,强烈建议所有WPS Office用户立即升级至12.2.0.17153或更高版本,以防范潜在的安全威胁。
https://securityonline.info/wps-office-vulnerabilities-expose-200-million-users-cve-2024-7262-exploited-in-the-wild/
3. Ailurophile:源自越南的定制化信息窃取恶意软件揭秘
8月19日,G DATA网络安全团队揭露了一款名为“Ailurophile”的新型PHP基信息窃取恶意软件,疑似源自越南并以订阅模式销售。Ailurophile配备了一个功能丰富的网络面板,允许买家高度自定义恶意软件,包括命名、图标设置、Telegram通知配置,甚至使软件更难被检测、绕过Windows Defender防御,并从远程URL部署额外恶意负载。其强大的数据窃取能力聚焦于Chrome、Edge等主流浏览器,能窃取包括自动填充数据、cookies、密码、浏览历史、信用卡信息及加密货币钱包数据在内的敏感信息。Ailurophile通过“ExeOutput”和“BoxedApp”技术封装和虚拟化,使其在内存中运行,增加了隐蔽性和逃避检测的能力。恶意软件由多个PHP脚本组成,各司其职,从收集系统信息、终止竞争进程,到精准提取并上传用户数据,每个脚本都扮演着关键角色。特别是其针对特定文件和关键字的数据搜索功能,进一步拓宽了信息窃取范围。G DATA指出,Ailurophile正处于活跃开发阶段,不断引入新功能与改进,通过恶意软件破解等方式传播,对网络安全构成持续威胁。
https://securityonline.info/new-infostealer-ailurophile-discovered-poses-significant-risk-to-user-privacy/
4. 丰田遭黑客入侵,240GB数据档案泄露
8月19日,一名黑客在论坛上公开了从丰田系统非法获取的240GB数据档案,确认丰田遭遇了网络安全入侵。丰田官方回应称已知晓此事,并强调问题范围有限,非系统性问题。公司正积极与受影响用户沟通,提供必要援助,但具体细节如漏洞发现时间、攻击路径及受影响的用户数量等信息尚未对外公布。泄露被盗数据的威胁者ZeroSevenGroup自称入侵了丰田位于美国的分支机构,窃取了包含员工信息、客户信息、合同及财务记录在内的海量数据。他们还声称使用了开源工具ADRecon收集网络基础设施情报及凭证,进一步展示了从Active Directory中提取信息的能力。该组织不仅分享了数据内容概览,如联系人、计划、员工照片等,还提供了带密码的AD-Recon结果,供人随意查阅。值得注意的是,尽管丰田未明确泄密事件的具体日期,但技术分析指出相关文件至少在2022年12月25日已被创建或获取,暗示攻击者可能已渗透至存储数据的备份服务器系统。
https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-stolen-data-leaks-on-hacking-forum/
5. Jenkins CLI漏洞CVE-2024-23897被CISA列为已知利用风险
8月19日,美国网络安全和基础设施安全局(CISA)已将Jenkins命令行界面(CLI)的一项严重路径遍历漏洞(CVE-2024-23897,CVSS评分高达9.8)纳入其已知利用漏洞(KEV)目录,凸显了该漏洞的紧急性与严重性。Jenkins,作为广受欢迎的开源自动化服务器,维护着全球数十万安装实例,用户超百万。近期披露的CVE-2024-23897漏洞允许攻击者通过CLI利用默认启用的文件内容扩展功能,读取Jenkins控制器上的任意文件,甚至可能执行远程代码,对系统安全构成重大威胁。该漏洞源于Jenkins对CLI命令参数的处理方式,特别是args4j库中的“expandAtFiles”功能,未能在较新版本中被有效禁用。拥有“Overall/Read”权限的攻击者能无限制地读取文件,而无此权限者也能读取前三行内容,包括可能存储敏感信息的加密密钥文件。多个研究员已发布概念验证(PoC)漏洞,警示该漏洞可能遭到大规模利用,Shodan上的查询结果显示超75,000个Jenkins实例直接暴露于互联网,风险极高。为应对此威胁,CISA已向联邦机构发出指令,要求在2024年9月9日前修复此漏洞。
https://securityaffairs.com/167267/hacking/cisa-adds-jenkins-command-line-interface-cli-bug-to-its-known-exploited-vulnerabilities-catalog.html
6. FlightAware配置错误致客户信息泄露
8月19日,航班跟踪服务巨头FlightAware遭遇了一起严重的个人数据泄露事件,据称这是由于公司内部的配置错误所导致。该公司在其官方通知中承认,自2021年1月起,其系统存在安全隐患,可能泄露了包括客户姓名、电子邮件、账单与送货地址、IP地址、社交媒体信息、电话号码、出生年份、信用卡尾号、飞机所有权详情、职业信息及账户活动记录等敏感数据。更令人担忧的是,部分客户的社会安全号码和密码也可能受到影响。FlightAware迅速响应,要求所有潜在受影响的用户重置账户密码,但关于密码的加密情况及是否存在进一步的滥用行为,公司并未在通知中详细说明。此次泄露事件的时间跨度长达三年多,显示出公司在数据安全管理和监控上的重大疏漏。尽管FlightAware坚称这是内部失误而非外部恶意攻击,但数据的实际利用情况仍不明朗,公司也未能确认是否有第三方非法访问或下载了这些数据。面对公众的质疑和关切,FlightAware发言人保持沉默,未就具体受影响客户数量或进一步的补救措施提供任何信息。
https://techcrunch.com/2024/08/19/flightaware-warns-that-some-customers-info-has-been-exposed-including-social-security-numbers/
京公网安备11010802024551号