NachoVPN漏洞:恶意VPN服务器利用未修补客户端实施攻击
发布时间 2024-11-2711月26日,一组名为“NachoVPN”的漏洞允许恶意VPN服务器利用未修补的Palo Alto和SonicWall SSL-VPN客户端进行攻击,通过诱骗用户连接至攻击者控制的VPN服务器,进而窃取登录凭据、执行任意代码、安装恶意软件或发起代码签名伪造及中间人攻击。AmberWolf安全研究人员发现了这一威胁,并在漏洞首次报告后数月内,见证了SonicWall和Palo Alto Networks相继发布针对CVE-2024-29014和CVE-2024-5921漏洞的补丁。为了防御,SonicWall客户需升级至NetExtender的特定版本,而Palo Alto Networks则建议安装更新版本或在FIPS-CC模式下运行VPN客户端。此外,AmberWolf还发布了NachoVPN开源工具,该工具能模拟恶意VPN服务器,支持多种企业VPN产品,并鼓励社区贡献新漏洞信息。同时,该公司还提供了有关这两个漏洞的更多技术细节和防御建议,以帮助网络防御者保护其系统免受潜在攻击。
https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/
2. 俄罗斯黑客RomCom利用Firefox和Tor零日漏洞发起攻击
11月27日,近期俄罗斯黑客组织RomCom利用了两个零日漏洞,向使用Firefox或Tor浏览器的用户发射了恶意代码。这些漏洞分别影响了Mozilla软件和Windows系统,其中一个漏洞(CVE-2024-9680)使得访问受感染网站的任何人都会无意识地下载RomCom后门,而无需任何点击。幸运的是,这两个漏洞都得到了快速修复,Mozilla在收到通知后25小时内就修补了Firefox中的漏洞,而Windows中的漏洞(CVE-2024-49039)也在后续得到修复。RomCom通过特制网站触发漏洞,这些网站模仿了真实组织的网站,包括ConnectWise、Devolutions和Correctiv等。虽然Tor浏览器也基于Firefox,但ESET追踪的受害者中没有一人是通过Tor受到攻击的,可能是因为Tor的某些设置与Firefox不同。RomCom的主要目标似乎是公司,绝大多数受害者位于北美和欧洲,但新西兰和法属圭亚那也有零星受害者。
https://www.darkreading.com/application-security/romcom-apt-zero-day-zero-click-browser-escapes-firefox-tor
3. RansomHub组织声称对两市政府发动勒索攻击
11月27日,网络犯罪组织RansomHub声称对德克萨斯州科佩尔市及明尼阿波利斯公园和娱乐委员会发动了勒索软件攻击,引发广泛关注。科佩尔市遭受攻击后,互联网、图书馆服务、许可和检查平台及市法院等多个系统瘫痪,给当地居民带来严重困扰。尽管市政府努力恢复,但直至11月下旬,部分市政运营才陆续恢复。同时,明尼阿波利斯公园和娱乐委员会也报告其技术系统遭到攻击,电话线路中断,正在努力确定信息泄露情况。RansomHub今年迅速崛起,已对机场、医疗机构、制造公司和关键基础设施等数百个组织发动攻击。自2月份以来,已有约210个组织成为其受害者。该组织最初出现在联合健康集团遭受勒索软件攻击后,随后因另一勒索软件团伙倒闭而壮大,对数据进行出售。今年,RansomHub还攻击了多起备受瞩目的目标,包括电信巨头Frontier、Rite Aid、英国拍卖行Christie’s等。
https://therecord.media/ransomhub-cybercrime-coppell-texas-minneapolis-parks-agency
4. 塞伦盖蒂行动:非洲执法机构严厉打击网络犯罪
11月26日,非洲执法机构在国际刑警组织和非洲刑警组织的协调下,于9月2日至10月31日期间开展了名为“塞伦盖蒂行动”的打击网络犯罪活动。此次行动针对勒索软件、商业电子邮件泄露、数字勒索和网络诈骗等犯罪行为,涉及19个非洲国家,共逮捕了1006名嫌疑人,摧毁了134089个恶意基础设施和网络。据调查,这些犯罪活动与至少35224名已确认身份的受害者有关,造成了近1.93亿美元的经济损失,其中塞伦盖蒂行动追回了大约4400万美元。行动中的亮点包括肯尼亚破获一起网上信用卡诈骗案,塞内加尔捣毁一起庞氏骗局,尼日利亚逮捕一名实施网上投资诈骗的男子,喀麦隆破获多层次营销骗局,以及安哥拉捣毁一个虚拟赌场国际集团。参与此次行动的国家还有阿尔及利亚、贝宁、科特迪瓦、刚果民主共和国、加蓬、加纳、毛里求斯、莫桑比克、卢旺达、南非、坦桑尼亚、突尼斯、赞比亚和津巴布韦。
https://www.bleepingcomputer.com/news/security/over-1-000-arrested-in-massive-serengeti-anti-cybercrime-operation/
5. Matrix发动大规模DDoS攻击,利用物联网和企业漏洞
11月26日,安全研究人员发现了一场由名为Matrix的威胁行为者策划的大规模分布式拒绝服务(DDoS)攻击活动,该活动利用可访问的工具针对物联网设备和企业服务器。Matrix的攻击框架经过详细分析,主要利用互联网连接设备上的漏洞和错误配置,通过暴力攻击、弱凭证和已知漏洞构建僵尸网络。攻击的主要特征包括针对路由器、DVR和IP摄像机、企业协议和物联网设备的漏洞利用。这些攻击严重依赖默认或弱密码,强调了未能采取基本安全措施会使设备面临入侵的风险。Matrix的目标包括云服务提供商、小型企业和物联网密集地区,受影响的设备可能多达3500万台。Matrix使用了来自GitHub等平台的脚本和工具,并通过Telegram将服务货币化,提供DDoS攻击计划。尽管Matrix缺乏先进功能,但这些工具的组装和操作都非常容易,显示出低复杂程度参与者所带来的风险越来越大。
https://www.infosecurity-magazine.com/news/ddos-campaign-exploits-iot-devices/
6. Array Networks SSL VPN 产品中的漏洞正被积极利用
11月26日,美国网络防御机构CISA收到证据表明,黑客正在积极利用SSL VPN产品Array Networks AG和vxAG ArrayOS中的远程代码执行漏洞,该漏洞被追踪为CVE-2023-28461,严重性评分高达9.8,已被列入CISA的已知利用漏洞目录中。此漏洞存在于易受攻击的URL中,是一个身份验证不当问题,允许在Array AG系列和vxAG 9.4.0.481及更早版本中执行远程代码。Array Networks在漏洞披露一周后发布了修复版本Array AG 9.4.0.484。Array Networks的SSL VPN产品被全球超过5000个客户使用,包括企业、服务提供商和政府机构。CISA建议所有联邦机构和关键基础设施组织在12月16日之前应用安全更新或采取缓解措施,否则应停止使用该产品。安全更新可通过Array支持门户获取,但供应商提供的缓解措施可能会对客户端安全功能产生负面影响,因此组织应首先测试其效果。
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-bug-in-array-networks-ssl-vpn-products/
京公网安备11010802024551号