GFI KerioControl防火墙遭严重远程代码执行漏洞威胁
发布时间 2025-02-111. GFI KerioControl防火墙遭严重远程代码执行漏洞威胁
2月10日,超过一万两千个 GFI KerioControl 防火墙实例被发现存在编号为 CVE-2024-52875 的严重远程代码执行漏洞。KerioControl 是一款专为中小型企业设计的网络安全套件,功能包括 VPN、带宽管理、报告监控、流量过滤、AV 保护和入侵防御。此漏洞由安全研究员 Egidio Romano(EgiX)于 2024 年 12 月中旬发现,并展示了可能的一键 RCE 攻击。尽管 GFI Software 已在 12 月 19 日发布了针对该问题的安全更新(9.4.5 Patch 1 版本),但根据 Censys 数据,三周后仍有大量实例未修复。Greynoise 已检测到利用该漏洞的主动攻击尝试,旨在窃取管理员 CSRF 令牌。Shadowserver Foundation 报告称,目前仍有 12,229 个 KerioControl 防火墙面临此漏洞威胁,受影响地区包括伊朗、美国、意大利、德国等。由于存在公开的漏洞证明(PoC),利用门槛极低,甚至不熟练的黑客也可能参与恶意活动。漏洞原因在于用户输入未得到适当清理,可能被利用执行 HTTP 响应拆分攻击,进而可能导致反射型跨站点脚本(XSS)和其他攻击。因此,强烈建议尚未应用更新的用户安装 2025 年 1 月 31 日发布的 KerioControl 版本 9.4.5 Patch 2,以增强安全性。
https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/
2. Handala黑客组织涉嫌对以色列警方发动大规模网络攻击
2月10日,臭名昭著的Handala黑客组织,涉嫌与伊朗情报机构有关联,近期宣布对以色列警察部队发动了网络攻击,声称成功窃取了2.1TB的敏感数据,包括人事记录、武器清单、医疗和心理档案等,并公开传播了其中35万份文件。尽管以色列警方否认系统直接遭入侵,但此次数据泄露事件范围广泛,涉及大量敏感信息,如电子邮件地址、持枪证、警官照片和个人联系方式等。同时,Handala还指控其获取了警察的心理评估等私人数据,并侵入了以色列国家安全部的服务器。此次事件是Handala针对以色列实体实施破坏性网络行动的典型案例,特别是在以色列与哈马斯冲突升级后,以色列已成为伊朗网络行动的主要目标。Handala的活动频繁,不仅涉嫌参与针对以色列组织网络安全人员的网络钓鱼活动,还针对以色列的Soreq核研究中心发动勒索软件攻击,最近又入侵了以色列电子公司运营的紧急警报系统,引发大范围恐慌。该组织在帖子中嘲讽以色列,强调其成功突破防御并揭露秘密,重申其“不会忘记,不会原谅”的口号。
https://hackread.com/handala-hackers-israeli-police-breach-data-leak/
3. 警方逮捕 4 名 Phobos 勒索软件嫌疑人,查封 8Base 网站
2月10日,全球执法行动“Phobos Aetor”针对Phobos勒索软件团伙展开,已在泰国普吉岛逮捕四名欧洲黑客嫌疑人,并查封8Base暗网网站。这些嫌疑人被指控对全球超过1000名受害者进行了网络攻击,勒索了价值1600万美元的比特币。此次行动涉及多个国家和地区的警方协同突袭,缴获了电子设备和加密货币钱包。8Base勒索软件团伙自2022年3月成立以来,一直相对沉寂,直到2023年6月开始泄露受害者数据。该团伙会入侵企业网络,窃取数据并使用Phobos勒索软件加密器加密设备,要求支付高额赎金以换取解密密钥和不发布数据的承诺。知名受害者包括日本电产株式会社和联合国开发计划署。此次行动表明,全球执法部门正在加强合作打击勒索软件犯罪。
https://www.bleepingcomputer.com/news/legal/police-arrests-4-phobos-ransomware-suspects-seizes-8base-sites/
4. Lee Enterprises报业集团遭网络攻击致运营中断
2月10日,美国报业集团Lee Enterprises在2025年2月3日遭受了一次网络攻击,导致其业务运营中断。此次攻击迫使该公司关闭了许多网络,扰乱了数十种报纸的印刷和发行,并且使得记者和编辑无法访问他们的文件。该公司在向美国证券交易委员会提交的文件中确认了此次攻击,并表示正在调查哪些信息可能受到影响。多家Lee Enterprises出版物在网站顶部显示维护横幅,向读者道歉并表示正在努力解决问题。Lee Enterprises在26个州出版77份日报和350份周刊及专业刊物,拥有超过120万的日发行量和超过4400万的数字版独立访客。五年前,该集团也曾遭受网络攻击,当时伊朗黑客入侵了其网络作为传播虚假信息活动的一部分。
https://www.bleepingcomputer.com/news/security/cyberattack-disrupts-lee-newspapers-operations-across-the-us/
5. Facebook成网络钓鱼新目标,数百家企业邮件地址遭劫持
2月10日,Check Point Research的最新研究显示,全球领先的社交媒体平台Facebook成为了新一轮网络钓鱼活动的目标,该活动旨在窃取数百家企业的12,000多个电子邮件地址。此次攻击活动始于2024年12月20日左右,主要针对欧盟、美国和澳大利亚的公司,但也影响到了全球其他地区。诈骗者利用Salesforce的自动邮件服务发送欺骗性电子邮件,邮件中带有假冒的Facebook徽标,并指控收件人侵犯版权。除非收件人在短时间内提出异议,否则将面临账户限制的威胁。邮件中包含虚假的Facebook支持页面链接,诱骗受害者输入登录凭据,从而提取敏感信息。这种欺骗行为威胁着全球依赖Facebook的企业,可能导致其管理员账户被控制、内容被更改、消息被操纵、帖子被删除和安全设置被修改,进而造成客户信任度下降、客户流失和潜在的法律诉讼等后果。对于医疗保健和金融等受监管行业的企业来说,还可能导致不合规、罚款和法律挑战。因此,组织应实施明确的事件响应计划,以降低受到攻击的风险。
https://hackread.com/scammers-use-fake-facebook-copyright-notices-to-hijack-accounts/
6. 纪念医院遭勒索软件攻击,12万患者信息遭泄露
2月10日,佐治亚州班布里奇的一家小型乡村医院纪念医院和庄园在2024年11月遭遇了勒索软件攻击,导致其系统瘫痪,不得不采用纸质流程记录患者信息。尽管运营未中断,但等待时间延长。攻击者据称从医院系统中窃取了1.15TB的数据,并在Tor泄密网站上公开,其中包括120,085人的个人信息和健康信息,如姓名、出生日期、社会安全号码、病史、治疗信息和健康保险信息。Embargo勒索软件组织声称对此次攻击负责。纪念医院已向受影响个人发送书面通知,并提供12个月的免费身份保护和信用监控服务。尽管目前没有证据表明个人信息被滥用,但由于数据可公开下载,受影响人群可能面临网络钓鱼和其他类型攻击的风险。
https://www.securityweek.com/information-of-120000-stolen-in-ransomware-attack-on-georgia-hospital/
京公网安备11010802024551号