Cloudflare日志服务严重中断,超半数日志数据永久丢失
发布时间 2024-11-281. Cloudflare日志服务严重中断,超半数日志数据永久丢失
11月27日,互联网基础设施巨头Cloudflare在11月14日遭遇了一次严重的服务中断,导致超过一半的日志数据永久丢失。此次事故源于一次软件更新出现故障,使Cloudflare的日志服务瘫痪3.5小时,无法为客户提供关键数据。日志服务对网络运营至关重要,能够帮助企业分析流量模式、解决问题并检测恶意活动。而Cloudflare的日志服务依赖名为Logpush的工具来处理并传递大量数据。不幸的是,当日的Logpush更新中存在严重错误,导致收集到的日志未被正确转发并最终被永久删除。Cloudflare在报告中指出,错误配置导致了系统的级联过载,如果能够正确配置,即可避免日志丢失。尽管工程师迅速发现问题并回滚了更新,但此举引发了连锁故障,大量日志数据涌入系统,包括未配置Logpush的用户数据,加剧了问题。Cloudflare已对此次事件和数据丢失道歉,并承诺制定预防措施避免类似事件再次发生,但目前这些措施仍在制定中。
https://securityonline.info/cloudflare-logs-suffer-critical-failure-losing-55-of-user-data/
2. 新型信用卡盗刷恶意软件攻击Magento网站
11月28日,近期,一种新型信用卡盗刷恶意软件针对 Magento 电子商务网站发起攻击,该恶意软件能在结账页面动态窃取付款信息。这一发现由网络安全公司 Sucuri 的研究人员 Weston Henry 在黑色星期五前夕揭露。恶意软件以 JavaScript 注入形式存在,具有多个变体,通过创建虚假信用卡表单或直接提取支付字段数据两种方式窃取信息。其动态方法和加密机制增加了检测难度,数据被加密后泄露至攻击者控制的远程服务器。Magento 网站因广泛使用且处理敏感客户数据而成为网络犯罪分子目标。此次攻击中,恶意脚本被隐藏在 XML 文件的特定指令内,内容被混淆以避免被发现,仅在包含“checkout”而不含“cart”的 URL 页面上激活,以提取信用卡信息。随后,该恶意软件还通过 Magento API 收集用户的其他数据。攻击者使用多种反检测技术隐藏活动,包括将数据加密、编码,并通过信标技术隐秘传输至远程服务器。为保护电子商务网站免受此类攻击,Sucuri给出了相关建议。
https://www.darkreading.com/application-security/sneaky-skimmer-malware-magento-sites-black-friday
3. 霍博肯市遭勒索软件攻击,政府办公室关闭并预警服务中断
11月28日,霍博肯市在27日凌晨遭遇了勒索软件攻击,导致政府办公室被迫关闭,并引发了一系列服务和活动的中断。官员们迅速通过市政府网站和社交媒体向当地居民发出警告,指出感恩节假期前夕将出现停电和服务中断的情况。市政厅、市政法院和街道清扫工作被取消,但停车执法工作仍在继续。尽管如此,垃圾收集和娱乐活动仍按计划进行。霍博肯警察局正在与市政府和IT部门合作,调查此次袭击事件,并寻找最佳的安全恢复服务方法。目前尚未有任何勒索软件团伙承认对此次攻击负责。霍博肯市作为新泽西州的一个重要城市,近年来该州已有多所机构遭受勒索软件攻击,包括新泽西城市大学在7月遭到的Rhysida勒索软件团伙的攻击。
https://therecord.media/hoboken-closes-city-hall-ransomware
4. GodLoader恶意软件利用Godot游戏引擎逃避检测感染上万系统
11月27日,黑客利用新的GodLoader恶意软件,通过广泛使用的Godot游戏引擎的功能来逃避检测系统,并在短短三个月内感染了超过17,000个系统。该恶意软件能够攻击所有主要平台的游戏玩家,并利用Godot的灵活性和GDScript脚本语言功能执行任意代码。一旦加载,恶意文件就会在受害者设备上触发恶意代码,使攻击者能够窃取凭据或下载其他有效负载,如XMRig加密挖矿程序。攻击者通过Stargazers Ghost Network传播GodLoader,这是一种恶意软件分发即服务(DaaS),利用看似合法的GitHub存储库掩盖其活动。在整个攻击活动中,Check Point检测到了多波针对开发人员和游戏玩家的独立攻击。虽然只发现了针对Windows系统的GodLoader样本,但研究人员还开发了GDScript概念验证漏洞代码,展示了该恶意软件可以轻松攻击Linux和macOS系统。Godot Engine维护者表示,该漏洞并非Godot所特有,鼓励人们只执行来自可信来源的软件。
https://www.bleepingcomputer.com/news/security/new-godloader-malware-infects-thousands-of-gamers-using-godot-scripts/
5. ProjectSend身份验证漏洞致服务器面临远程访问威胁
11月27日,威胁行为者正在利用ProjectSend中的严重身份验证绕过漏洞(CVE-2024-11680)来获取服务器的远程访问权限。该漏洞影响ProjectSend r1720之前的版本,允许攻击者通过发送特制HTTP请求更改应用程序配置。尽管该漏洞已于2023年5月修复,但直到最近才被分配CVE编号,导致用户未及时更新。据VulnCheck称,99%的ProjectSend实例仍在运行存在漏洞的版本。ProjectSend是一个流行的开源文件共享网络应用程序,被许多组织用于安全、私密的文件传输。Censys报告称,约有4000个在线实例,其中大多数存在漏洞。自2024年9月Metasploit和Nuclei发布公开漏洞利用以来,攻击活动有所增加。VulnCheck发现,攻击者不仅利用漏洞获取未经授权的访问,还更改系统设置、部署webshell以控制受感染服务器。GreyNoise列出了与此活动相关的121个IP,表明这是一次广泛尝试。VulnCheck警告称,Webshell存储在特定目录中,可直接通过网络服务器访问,表明存在主动攻击。研究人员强调,尽快升级到ProjectSend版本r1750至关重要,以防范广泛传播的攻击。
https://www.bleepingcomputer.com/news/security/hackers-exploit-projectsend-flaw-to-backdoor-exposed-servers/
6. SL Data Services数据库遭泄露,60余万敏感文件曝光
11月27日,据安全研究人员报道,数据经纪公司SL Data Services的一个未受密码保护的Amazon S3存储桶中,暴露了超过600,000个敏感文件,包括数千人的犯罪历史、背景调查、车辆和财产记录等个人信息。这些文件总大小为713.1 GB,且未加密。信息安全专家Jeremiah Fowler在10月份发现此问题后,多次通过电话和电子邮件向数据收集公司报告,但未收到回复。尽管最终该信息服务提供商关闭了S3存储桶,但已暴露的信息可能会被用于网络钓鱼和社会工程攻击等恶意行为。SL Data Services声称提供财产报告等服务,但Fowler发现该公司似乎运营着至少16个不同的网站,提供包括犯罪记录检查、机动车管理部门记录等一系列数据。他建议组织使用随机且散列的唯一标识符命名文件,并监控访问日志以识别异常模式,同时使用密码和加密保护敏感数据。
https://www.theregister.com/2024/11/27/600k_sensitive_files_exposed/
京公网安备11010802024551号