SonicWall确认CVE-2024-40766严重漏洞正在被积极利用
发布时间 2024-09-099月6日,SonicWall近期紧急更新了其安全公告,警告用户关于CVE-2024-40766这一关键访问控制漏洞的严重性。该漏洞被网络犯罪分子积极利用,允许未经授权的访问至SonicOS系统的敏感资源,甚至可能引发防火墙崩溃,影响SonicWall多代防火墙设备。此漏洞严重性评分高达9.3,属于“访问控制不当”类,因其无需复杂操作或身份验证即可通过网络发起攻击,对依赖SonicWall防火墙的组织构成重大威胁。受影响设备涵盖第5代至第7代SonicWall防火墙,包括多个流行型号及旧版SonicOS版本。SonicWall已迅速发布安全补丁,并建议所有用户立即通过mysonicwall.com客户门户下载并安装更新版本,以防范潜在的安全风险。对于暂时无法更新固件的用户,SonicWall提供了临时缓解策略,如限制管理访问来源、禁用特定网络功能等,以降低被攻击的风险。同时,建议所有用户加强密码管理,特别是Gen 5和Gen 6设备的本地管理账户应更改密码并启用密码重置功能。此外,推荐使用多因素身份验证(MFA)增强SSLVPN用户的安全性。
https://securityonline.info/sonicwall-confirms-critical-cve-2024-40766-vulnerability-actively-exploited-in-the-wild/
2. FBI等指俄罗斯GRU 29155部队针对全球关键基础设施
9月6日,自2020年起,美国及其盟友指控俄罗斯GRU 29155部队为全球关键基础设施攻击的主要推手,涉及间谍、破坏及声誉损害活动。该部队不仅针对乌克兰使用WhisperGate清除程序,还策划欧洲政变、暗杀及网络攻击,扩展至间谍、数据破坏及声誉损害领域。FBI、NSA及CISA评估指出,29155部队由初级军官在高层领导下运作,并依赖非GRU成员如网络罪犯协助行动。其攻击范围广泛,涵盖北约成员国、欧洲、拉丁美洲及中亚,目标直指政府、金融、交通、能源及医疗等关键部门。通过扫描漏洞、利用IP范围及公共工具如Raspberry Robin,该部队成功入侵系统并窃取数据。自2022年起,其活动更聚焦于破坏对乌克兰的援助。报告还揭示了该部队利用物联网设备漏洞、VPS托管工具及Meterpreter有效负载等战术,并提供了相关缓解措施。
https://securityaffairs.com/168095/cyber-warfare-2/russia-gru-unit-29155-critical-infrastructure.html
3. HAProxy紧急公告:CVE-2024-45506漏洞正被积极利用
9月8日,在最新的安全公告中,HAProxy 宣布了其流行负载平衡软件中存在一个被积极利用的漏洞 CVE-2024-45506,该漏洞位于 HTTP/2 多路复用器组件,CVSS 评分高达7.5。此漏洞在特定条件下可触发无限循环,导致系统崩溃并易受远程拒绝服务(DoS)攻击,影响 Enterprise、ALOHA 及 Kubernetes Ingress Controllers 等多款产品。问题根源在于 HTTP/2 多路复用器与零拷贝转发机制的交互不当,攻击者可通过创建无限循环的 h2_send() 函数来利用此漏洞,特别是在高负载且输出缓冲区接近满溢时。尽管该漏洞的重现难度较大,但已有主动利用案例表明其能导致 HAProxy 崩溃,对依赖其负载平衡功能的关键服务构成威胁,尤其是像 GitHub、Reddit 和 Twitter 这样的大型网站。DoS 攻击一旦成功,将破坏服务的高可用性,对业务运营和财务造成重大损失。为此,HAProxy 强烈建议所有用户立即安装发布的补丁,并提供了一种临时解决方案。
https://securityonline.info/haproxy-vulnerability-cve-2024-45506-under-active-exploit-urgent-patching-required/
4. Avis汽车租赁公司曝数据泄露:客户个人信息遭窃
9月6日,汽车租赁巨头Avis在8月遭遇了数据泄露事件,攻击者侵入了公司的一款业务应用程序,非法访问并窃取了部分客户的个人信息,包括姓名及其他敏感数据。尽管入侵行为发生在8月3日至6日之间,但Avis直至8月5日才察觉,并于14日正式披露此事。公司迅速行动,终止了非法访问,并与网络安全专家合作展开全面调查,同时增强了受影响系统的安全防护措施。尽管Avis未公开具体技术细节及受影响的客户数量,但已采取措施加强安全监控与控制,以防止类似事件再次发生。为应对此次事件,Avis提醒受影响客户保持高度警惕,注意防范欺诈和身份盗窃风险。公司建议客户定期检查账户及信用记录,一旦发现任何异常交易或活动,立即向信用报告机构报告。此外,Avis还向受影响的客户提供了一年的Equifax信用监控服务免费会员资格,以帮助客户及时监测潜在风险,保护个人信息安全。
https://securityaffairs.com/168119/data-breach/car-rental-giant-avis-discloses-data-breach.html
5. SpyAgent安卓恶意软件从图片中窃取您的加密恢复短语
9月6日,一款名为SpyAgent的新型安卓恶意软件引发了广泛关注。该软件利用先进的光学字符识别(OCR)技术,专门从用户存储在移动设备上的截图中窃取加密货币钱包的恢复短语。这些短语作为加密货币钱包的备份密钥,一旦落入不法分子之手,便能轻易还原并盗取钱包内的所有资金。由于恢复短语难以记忆,用户常将其截图保存,这一行为恰好为SpyAgent提供了可乘之机。McAfee发现,SpyAgent通过非官方渠道如短信和恶意社交媒体帖子传播,已影响至少280个APK文件。这些伪装成政府服务、约会或色情网站的应用,不仅针对韩国用户,还逐渐扩展到英国,并可能向iOS平台蔓延。同时,趋势科技也揭露了类似利用OCR技术的CherryBlos和FakeTrade恶意软件家族,表明此类攻击策略正日益猖獗。SpyAgent一旦感染设备,便会向C2服务器发送敏感信息,包括联系人列表、短信(含OTP)、存储的图像及设备信息,甚至执行远程命令以发送钓鱼短信,进一步扩散恶意软件。其运营者在服务器配置上的疏忽,使得研究人员能轻易访问窃取的数据,进一步加剧了威胁的严重性。
https://www.bleepingcomputer.com/news/security/spyagent-android-malware-steals-your-crypto-recovery-phrases-from-images/
6. Fog勒索软件转战金融服务业
9月8日,Fog勒索软件组织,以往以侵扰教育和娱乐行业闻名,近期却将贪婪的目光转向了更为诱人的金融服务业。2024年8月,一家中型金融公司不幸成为其新战略下的目标,但幸运的是,网络安全公司Adlumin迅速介入,利用前沿检测技术,在重大损害发生前有效遏制了攻击。此次攻击始于网络犯罪分子利用被盗VPN凭证非法侵入,随后部署了Fog Ransomware,STOP/DJVU系列的一个变种,该变种擅长加密Windows与Linux系统上的敏感数据。Adlumin及时响应,包括隔离感染设备、锁定攻击者,成功避免了大规模数据泄露或加密。Fog勒索软件自2021年浮现以来,便以利用VPN凭证渗透、复杂技术获取控制权并加密关键文件著称。攻击过程中,Fog组织展现了高超的横向移动能力,利用端口扫描、SharpShares等工具在网络中自由穿梭,并通过esentutl.exe等工具窃取登录凭证,特别是针对Chrome浏览器及近期修改文件的精准打击,显示了其精心策划与高度针对性。尽管攻击源头指向俄罗斯相关IP,但专家指出,这仅是攻击者使用的障眼法之一,真实位置难以确定。
https://securityonline.info/fog-ransomware-group-shifts-focus-financial-sector-now-in-crosshairs/
京公网安备11010802024551号