LiteSpeed Cache插件漏洞导致数百万WordPress网站面临被控风险
发布时间 2024-08-238月21日,LiteSpeed Cache作为WordPress平台上一款广受欢迎的网站加速插件,近期被发现存在一个严重安全漏洞(CVE-2024-28000),该漏洞允许未经身份验证的攻击者通过创建恶意管理员账户来控制数百万个网站。该漏洞源于LiteSpeed Cache 6.3.0.1及以上版本中用户模拟功能的弱哈希校验问题。安全研究员John Blackbourn于8月初报告了此漏洞,LiteSpeed团队迅速响应,并于8月13日发布了包含修复补丁的6.4版本。此漏洞的严重性在于,一旦成功利用,攻击者可以获取管理员权限,进而安装恶意插件、篡改网站设置、重定向流量至恶意站点、分发恶意软件或窃取用户数据。研究人员指出,通过暴力破解哈希值的方式,攻击者能够在短时间内实现对特定用户ID的管理员级访问,尤其当使用常见的用户ID(如1)时,成功率更高。尽管LiteSpeed已发布修复版本,但鉴于WordPress官方插件库下载数据显示仅有半数网站更新,剩余超过一半的用户仍面临风险。建议所有使用LiteSpeed Cache的WordPress网站管理员立即升级至最新版本。
https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-millions-of-wordpress-sites-to-takeover-attacks/
2. 乌克兰Monobank遭大规模DDoS攻击,捐款服务成黑客目标
8月19日,乌克兰知名网上银行Monobank近期遭受了前所未有的大规模分布式拒绝服务(DDoS)攻击,此次攻击尤其针对其用于为乌克兰军队筹集捐款的在线服务。从周五晚至周一早,攻击峰值达到每秒75亿次请求,规模异常庞大,尽管未直接影响银行核心业务运行,但凸显了安全挑战的严峻性。Monobank迅速联合乌克兰安全部门及亚马逊云服务专家进行防御,有效缓解了攻击压力。值得注意的是,Monobank仅通过移动应用提供服务,这一特性使其成为黑客的重点攻击对象。此前,该银行在1月已遭遇过一次DDoS攻击,三日内接收了5.8亿条垃圾请求。此次攻击目的明确,旨在破坏乌克兰民众通过Monobank平台便捷地为军队捐款的渠道,该服务允许用户创建虚拟钱包并通过社交媒体分享,简化捐款流程。Monobank首席执行官Oleh Horokhovskyi指出,过去三年间,该平台持续不断的捐款活动可能触怒了敌对势力,促使他们采取极端手段试图瘫痪服务。尽管银行暗示俄罗斯可能为此次攻击的幕后策划者,但并未公开具体证据。Horokhovskyi强调,Monobank已成为乌克兰IT领域遭受最严重攻击的目标之一。
https://therecord.media/ukraine-monobank-ddos-attack-donations
3. 伊朗APT组织GreenCharlie对美国政治运动发起网络攻击
8月21日,Insikt Group最新发布的报告揭示了伊朗支持的高级持续性威胁组织GreenCharlie的隐秘行动,该组织被指与针对美国政治运动的网络攻击相关联,且受伊朗革命卫队情报组织(IRGC-IO)指挥。自2024年5月起,GreenCharlie构建并扩大了其恶意基础设施网络,针对政府官员、外交官等高价值目标实施网络间谍活动。其基础设施利用动态DNS服务和多种顶级域名,促进网络钓鱼和恶意软件传播。报告强调,GreenCharlie运用包括GORBLE、POWERSTAR和NokNok在内的复杂恶意软件家族,通过鱼叉式网络钓鱼手段窃取敏感信息,这些恶意软件家族间存在显著代码重叠,显示其变种间的紧密联系。此外,GreenCharlie频繁使用伊朗IP地址与基础设施通信,进一步证实了其与伊朗的紧密联系及情报收集战略。为掩盖活动,GreenCharlie还采用了包括ProtonVPN和ProtonMail在内的加密服务,这是伊朗APT团体的惯用伎俩。其网络钓鱼操作极其狡猾,通过伪造合法服务域名诱骗受害者。强烈建议参与政治运动的组织,尤其是美国的相关组织提高警惕。
https://securityonline.info/iranian-apt-greencharlie-escalates-threats-against-us-political-targets-using-gorble-and-powerstar-malware/
4. 石油巨头Halliburton遭受基于云的网络攻击
8月21日,全球第二大油田服务公司Halliburton确认遭受了网络攻击,该事件已促使公司紧急指示员工全面断开与内部网络的连接,以防止潜在的数据泄露或系统损害。公司发言人迅速回应,表示已察觉到系统受影响的状况,并正全力评估攻击的原因及可能带来的后果。为应对此次危机,Halliburton激活了既定的应急计划,其IT团队正积极协同外部顶尖专家共同处理这一问题。作为业务遍布70个国家、拥有超4万名国际员工的行业巨头,Halliburton在能源服务领域扮演着举足轻重的角色,提供从技术服务、设备供应到钻井、炼油及水力压裂作业的全链条服务。此次攻击不仅影响了其位于美国休斯顿及迪拜两大总部的运营,还波及了全球范围内的部分业务网络。社交媒体上,有关Halliburton遭受云安全攻击的消息迅速传播,一些评论者担忧地指出,过度依赖云计算可能加剧了此次事件的严重性。目前尚无任何网络犯罪组织站出来声称对Halliburton遭受的袭击负责。
https://cybernews.com/news/halliburton-oil-cyberattack-cloud-fuel-supply/
5. PG_MEM恶意软件利用PostgreSQL弱密码暴力破解挖掘加密货币
8月22日,网络安全研究人员近日发现了一种新型恶意软件PG_MEM,它针对PostgreSQL数据库发起暴力破解攻击,旨在挖掘加密货币。Aqua安全公司的Assaf Morag指出,攻击者通过不断尝试弱密码以获取数据库访问权限,并利用PostgreSQL的“COPY ... FROM PROGRAM”功能执行任意shell命令,进而执行数据窃取、部署恶意软件等恶意活动。攻击链中,攻击者首先针对错误配置的PostgreSQL数据库创建管理员角色,并利用PROGRAM功能运行shell命令。得手后,他们不仅剥夺了“postgres”用户的超级用户权限,还通过远程服务器投放PG_MEM和PG_CORE两个载荷,这些载荷能终止竞争挖矿进程、设置持久性,并最终部署Monero加密货币矿工。此攻击的核心在于利用了PostgreSQL的COPY命令及其PROGRAM参数,允许服务器执行外部命令并将结果导入数据库。尽管加密货币挖掘是其主要目的,但攻击者同样能执行命令、访问数据并控制受感染服务器。此安全威胁凸显了互联网连接PostgreSQL数据库因弱密码而面临的重大风险,这往往源于配置不当和身份认证控制的缺失。
https://thehackernews.com/2024/08/new-malware-pgmem-targets-postgresql.html
6. Tycoon 2FA网络钓鱼针对美国政府组织
8月22日,ANY.RUN的研究人员揭露了一项新的网络钓鱼活动,该活动利用Tycoon 2FA工具包,针对美国政府组织展开攻击。Tycoon 2FA自2023年起便频繁被用于钓鱼活动,以其复杂策略和多功能性著称。最近,攻击者通过受感染的亚马逊SES账户,发送伪装成Docusign的邮件,诱导收件人点击链接,经历一系列重定向后,最终到达假冒的Microsoft Teams登录页面。这些邮件特别针对.gov域内的338个政府组织的邮箱,显示出高度的目标选择性。在ANY.RUN沙箱中分析显示,钓鱼链接将受害者引导至MSOFT_DOCUSIGN_VERIFICATION_SECURED-DOC_OFFICE[.]zatrdg[.]com等域名,要求输入电子邮件地址。若地址匹配攻击者列表,受害者将被进一步重定向至donostain[.]com,该域通过AES加密的多部分POST请求尝试窃取Microsoft账户密码。此外,vereares[.]ru域名作为攻击者的重定向工具,增强了钓鱼方案的灵活性。值得注意的是,攻击者还利用了合法服务如mailmeteor[.]com来增强钓鱼页面的可信度,并通过jsonip[.]com获取IP信息。
https://securityonline.info/new-phishing-campaign-targets-us-government-organizations/
京公网安备11010802024551号