Fortinet澄清CVE-2025-24472非零日漏洞,仅CVE-2024-55591被利用

发布时间 2025-02-13

1. Fortinet澄清CVE-2025-24472非零日漏洞,仅CVE-2024-55591被利用


2月11日,Fortinet近日警告称,攻击者正在利用FortiOS和FortiProxy中的漏洞来劫持防火墙并侵入企业网络。但随后Fortinet通知,新披露的CVE-2025-24472漏洞并非零日漏洞,且已在一月份修复。同时确认,只有CVE-2024-55591漏洞被实际利用。若客户已根据先前指导升级,则已受保护。CVE-2025-24472漏洞允许远程攻击者通过恶意CSF代理请求获得超级管理员权限,影响FortiOS 7.0.0至7.0.16及FortiProxy部分版本,已在更新版本中修复。攻击者还利用CVE-2024-55591漏洞在设备上创建随机管理员账户,修改配置,并通过恶意帐户访问SSLVPN。网络安全公司Arctic Wolf报告了相关攻击活动,包括漏洞扫描、侦察、SSL VPN配置及横向移动等阶段,并建议禁用公共接口上的防火墙管理访问。Fortinet建议无法立即更新的管理员禁用HTTP/HTTPS管理界面或限制访问IP地址作为临时解决方法。


https://www.bleepingcomputer.com/news/security/fortinet-discloses-second-firewall-auth-bypass-patched-in-january/


2. 利用旧版 ThinkPHP 和 ownCloud 漏洞的攻击激增


2月12日,近期黑客活动呈现增长趋势,他们主要针对易受2022年和2023年旧安全问题影响的、维护不善的设备发起攻击。据威胁监控平台GreyNoise报告,利用CVE-2022-47945和CVE-2023-49103漏洞的攻击行为者数量激增。CVE-2022-47945涉及ThinkPHP框架的本地文件包含(LFI)问题,允许未经身份验证的远程攻击者执行任意操作系统命令;而CVE-2023-49103则影响开源文件共享软件ownCloud,黑客可通过该漏洞窃取敏感信息。尽管这些漏洞的漏洞预测评分系统(EPSS)评分较低,且未全部列入CISA的已知利用漏洞(KEV)目录,但GreyNoise已观察到大量唯一IP试图利用这些漏洞,且活动有所增加。为保护系统,建议用户升级到ThinkPHP 6.0.14或更高版本,将ownCloud GraphAPI升级到0.3.1及更新版本,并将潜在易受攻击的实例脱机或置于防火墙后面。


https://www.bleepingcomputer.com/news/security/surge-in-attacks-exploiting-old-thinkphp-and-owncloud-flaws/


3. Kimsuky采用ClickFix策略发起新型网络攻击


2月12日,朝鲜国家演员“Kimsuky”近期采用了一种受ClickFix活动启发的新策略进行网络攻击。ClickFix是一种社会工程策略,通过欺骗性错误消息或提示诱导受害者执行恶意代码,常用于传播信息窃取恶意软件。Kimsuky伪装成韩国政府官员,与目标建立信任后,发送带有PDF附件的鱼叉式网络钓鱼电子邮件。然而,这些PDF文档实际上引导受害者访问虚假设备注册链接,要求他们以管理员身份运行PowerShell并粘贴攻击者提供的代码。一旦执行,该代码会安装远程桌面工具,下载证书,并将受害者设备注册到远程服务器,使攻击者能够直接访问并窃取数据。微软自2025年1月起在有限范围的攻击中观察到这种策略,目标涉及国际事务组织、非政府组织、政府机构和媒体公司的个人。微软已通知受影响客户,并警告其他人注意这一新策略,谨慎对待所有未经请求的通信。用户应特别小心在线复制并执行代码的请求,尤其是在以管理员权限执行时。


https://www.bleepingcomputer.com/news/security/dprk-hackers-dupe-targets-into-typing-powershell-commands-as-admin/


4. 俄罗斯黑客组织APT44分支“贝壳暴雪”全球攻击活动揭秘


2月12日,俄罗斯政府支持的黑客组织APT44的一个分支,被称为“贝壳暴雪”或“沙虫”,自2021年以来一直活跃于针对重要组织和政府的网络攻击中,特别是在能源、石油和天然气、电信、航运和武器制造领域。该组织致力于获取目标系统的初始访问权限,并建立持久性以维持存在,以便其他APT44子组接管。微软威胁情报团队观察到,该组织针对乌克兰、欧洲、中亚、南亚和中东地区的关键领域开展机会性行动,特别是在俄罗斯入侵乌克兰后,加强了对乌克兰关键基础设施的攻击。此外,该组织还利用多种技术破坏网络,包括利用n日漏洞、凭证盗窃和供应链攻击等。在获取访问权限后,黑客通过部署自定义Web shell建立持久性,并使用合法的IT远程管理工具执行命令,同时冒充IT管理员以逃避检测。对于初始访问后的活动,威胁行为者窃取凭据、泄露数据,并通过Tor网络隐藏连接。最后,该组织进行横向移动,修改基础设施以满足其运营需求。微软表示,该俄罗斯黑客小组的影响力接近全球,并分享了狩猎查询、攻击指标和YARA规则,以帮助防御者及时捕获并阻止该威胁行为者的活动。


https://www.bleepingcomputer.com/news/security/badpilot-network-hacking-campaign-fuels-russian-sandworm-attacks/


5. Hipshipper数百万运输标签曝光,个人信息安全告急


2月11日,Hipshipper是为eBay、Shopify和亚马逊卖家提供国际运输服务的平台,近期遭遇了一起严重的数据泄露事件。在2024年12月这个国际运输高峰月,Cybernews研究团队发现Hipshipper的一个未受保护的AWS存储桶暴露了超过1430万条记录,主要包括运输标签和海关申报表,泄露了买家的全名、家庭住址、电话号码及订单详情等个人详细信息。这些泄露的数据可能被网络犯罪分子用于策划高级诈骗、网络钓鱼攻击或有针对性的恶意软件攻击,增加了受害者遭受欺诈、骚扰、盗窃和经济损失的风险。幸运的是,在Cybernews联系Hipshipper后,该公司及时关闭了暴露的存储桶,防止了数据的进一步泄露。为了避免类似事件再次发生,研究人员建议企业加强访问控制、监控访问日志、启用服务器端加密、实施SSL/TLS安全通信,并考虑定期审计、自动安全检查和员工培训等安全最佳实践。此次数据泄露的发现日期为2024年12月2日,首次披露于2024年12月9日,并于2025年1月8日结束泄露。


https://cybernews.com/security/hipshipper-data-leak-exposed-shipping-records/


6. CISA将Windows和Zyxel设备漏洞添加到已知被利用漏洞目录


2月12日,美国网络安全和基础设施安全局(CISA)近期更新了其已知被利用漏洞(KEV)目录,新增了涉及Windows和Zyxel设备的多个漏洞。其中包括Zyxel DSL CPE OS的命令注入漏洞CVE-2024-40891和CVE-2024-40890,以及Microsoft Windows的两个漏洞:辅助功能驱动程序的WinSock基于堆的缓冲区溢出漏洞CVE-2025-21418和存储链接跟踪漏洞CVE-2025-21391。CVE-2024-40891和CVE-2024-40890允许攻击者在未经验证的情况下执行任意命令,可能导致设备接管等严重后果,且CVE-2024-40891已被观察到数千次攻击尝试。而Windows的两个漏洞也被积极利用,CVE-2025-21391允许攻击者删除文件并可能结合代码执行接管系统,CVE-2025-21418则允许经过身份验证的用户获取系统特权。微软已在2025年2月的安全更新中修复了这两个Windows漏洞,但Zyxel设备的漏洞尚未得到供应商修复和公开披露。


https://securityaffairs.com/174135/security/u-s-cisa-adds-microsoft-windows-zyxel-device-flaws-known-exploited-vulnerabilities-catalog.htm