思科智能许可实用程序的严重漏洞现已被利用于攻击
发布时间 2025-03-211. 思科智能许可实用程序的严重漏洞现已被利用于攻击
3月20日,攻击者已开始针对存在未修补安全漏洞的思科智能许可实用程序(CSLU)发起攻击,该漏洞可能导致内置后门管理员帐户暴露。CSLU是思科开发的Windows应用程序,允许管理员在本地管理许可证和链接产品,无需连接至其云解决方案。思科于9月发布了安全补丁(CVE-2024-20439),修复了这一问题,并指出这是一个未记录的静态用户凭证漏洞,可使攻击者远程登录未修补的系统。同时,思科还解决了另一个严重的信息泄露漏洞(CVE-2024-20440),该漏洞允许攻击者通过精心设计的HTTP请求访问敏感数据。这两个漏洞仅影响运行易受攻击CSLU版本的系统,且仅当用户启动应用程序时才能被利用。然而,在思科发布补丁后不久,Aruba威胁研究员逆向工程了该漏洞,并公布了技术细节,包括硬编码的静态密码。SANS技术研究所的研究主任报告称,威胁行为者正在利用这两个漏洞对互联网上的CSLU实例进行攻击。尽管这些攻击的最终目标尚不清楚,但攻击者还试图利用其他安全漏洞,如影响广州盈科电子DVR的信息泄露漏洞(CVE-2024-0305)。值得注意的是,这并非思科首次从其产品中删除后门帐户,之前的硬编码凭证也曾存在于其多个产品中。
https://www.bleepingcomputer.com/news/security/critical-cisco-smart-licensing-utility-flaws-now-exploited-in-attacks/
2. 以色列间谍软件Graphite利用WhatsApp零日漏洞
3月20日,多伦多大学公民实验室的网络安全研究人员揭露了以色列公司Paragon Solutions开发的Graphite间谍软件的使用情况,该软件通过WhatsApp针对知名人士进行攻击。研究人员发现,WhatsApp中存在一个未知的零日漏洞,允许间谍软件在无需用户任何操作的情况下安装在设备上,从而实现对目标手机的未经授权访问。Paragon Solutions声称自己与其他间谍软件供应商不同,遵守道德标准,然而公民实验室的研究却揭示了该公司在多个国家针对记者、人权活动家和政府批评者疑似部署间谍软件的情况。调查还发现,加拿大安大略省警察局系统性地使用间谍软件功能。意大利政府最初否认与Paragon的牵连,但后来承认与其签订了合同。此外,调查还涉及Paragon确认目标的亲密伙伴收到的Apple威胁通知,证实了新型间谍软件的存在。Meta、苹果和谷歌合作解决了该安全漏洞,WhatsApp实施了服务器端修复,苹果也发布了iOS操作系统补丁。
https://hackread.com/israeli-spyware-graphite-hit-whatsapp-0-click-exploit/
3. RansomHub勒索软件使用新的Betruger多功能后门
3月20日,赛门铁克研究人员发现了一种名为Betruger的新恶意软件,它是一种多功能后门,很可能是为勒索软件攻击而设计的。Betruger具有广泛的功能,包括键盘记录、网络扫描、权限提升、凭证转储、截图以及文件上传等,旨在减少在目标网络上投放的新工具数量。这种后门与RansomHub勒索软件即服务(RaaS)运营附属机构有关,该团伙于2024年2月出现,并专注于基于数据盗窃的勒索,而非简单加密数据。RansomHub已攻击了多家知名企业,包括哈里伯顿、佳士得拍卖行、Frontier Communications、Rite Aid连锁药店等,并泄露了Change Healthcare被盗的数据,影响了超过1.9亿人。此外,该团伙还声称入侵了北美最大的成瘾治疗提供商BayMark Health Services。据美国联邦调查局统计,截至2024年8月,RansomHub已入侵美国多个关键基础设施部门的200多名受害者,包括政府、关键基础设施和医疗保健等领域。Betruger后门的发现进一步揭示了勒索软件团伙在攻击手段上的不断创新和复杂性。
https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-uses-new-betruger-multi-function-backdoor/
4. HellCat黑客组织利用Jira凭证攻击Ascom等全球企业
3月20日,瑞士全球解决方案提供商Ascom确认其IT基础设施遭受了名为HellCat的黑客组织发起的网络攻击。黑客通过窃取的凭证攻击了全球的Jira服务器,侵入了Ascom的技术票务系统,并声称窃取了约44GB的数据,涉及该公司的所有部门。然而,Ascom表示此次事件对公司的业务运营没有影响,客户和合作伙伴无需采取预防措施,目前调查正在进行中。HellCat黑客组织以攻击Jira服务器为常用手段,该平台通常包含敏感数据,如源代码、身份验证密钥等。此前,HellCat已成功攻击了施耐德电气、西班牙电信、Orange Group和捷豹路虎等公司,窃取并泄露了大量内部文件。研究人员表示,这些攻击的核心在于HellCat利用从被信息窃取程序感染的受感染员工那里获取的Jira凭证。最近,HellCat还宣布入侵了营销公司Affinitiv的Jira系统,窃取了包含大量电子邮件和记录的数据库。由于信息窃取者收集的凭证容易找到,且公司未能将其纳入定期轮换流程,此类攻击可能会变得更加频繁。专家警告称,Jira由于其在企业工作流程中的核心地位及其存储的大量数据而成为攻击者的主要目标。
https://www.bleepingcomputer.com/news/security/hellcat-hackers-go-on-a-worldwide-jira-hacking-spree/
5. Oberlin Marketing数十万份敏感健康财务信息遭泄露
3月18日,保险经纪公司Oberlin Marketing因未保护其AWS S3存储桶,导致数十万份包含客户健康状况和财务信息的敏感文件遭泄露。这些文件涉及超过320,000名用户,包括姓名、家庭住址、出生日期、性别、电话号码、签名、健康信息和财务详情等。尽管多次尝试通知该公司,但存储桶仍长时间暴露在外,增加了客户面临欺诈、身份盗窃和其他网络威胁的风险。泄露的数据主要是医疗保险申请,攻击者可以利用这些信息进行身份盗窃、开设欺诈性银行账户、申请贷款或进行其他非法活动。此外,网络犯罪分子还可以利用泄露的信息进行有针对性的网络钓鱼和社会工程攻击,制作极具说服力的消息,欺骗个人透露更多敏感信息或下载恶意软件。为了防止类似的数据泄露,建议更改访问控制、更新权限、监控访问日志、启用服务器端加密并使用AWS密钥管理服务安全地管理加密密钥。
https://cybernews.com/security/oberlin-marketing-medicare-applications-leaked/
6. CISA警告NAKIVO漏洞CVE-2024-48248正被积极利用
3月20日,CISA已向美国联邦机构发出警告,要求加强网络安全防范,针对NAKIVO备份和复制软件中存在的高严重漏洞CVE-2024-48248进行防护。该漏洞为绝对路径遍历漏洞,可使未经身份验证的攻击者读取易受攻击设备上的任意文件。NAKIVO在11月发布的Backup & Replication v11.0.0.88174版本中已悄悄修补此漏洞,但此前网络安全公司watchTowr已发现此漏洞近两个月。watchTowr指出,利用此漏洞可能暴露敏感数据,甚至解锁整个基础设施环境。CISA已将CVE-2024-48248添加到其已知被利用的漏洞目录中,联邦民事行政部门机构需在三周内保护其系统免受攻击。虽然该指令仅适用于联邦机构,但建议所有组织尽快修补此漏洞以阻止攻击。NAKIVO在全球拥有众多合作伙伴和客户,业务遍及多个国家,其中包括本田、思科、可口可乐和西门子等知名公司。
https://www.bleepingcomputer.com/news/security/cisa-tags-nakivo-backup-flaw-as-actively-exploited-in-attacks/
京公网安备11010802024551号