CISA警告SonicWallSMA设备漏洞正在被积极利用
发布时间 2025-04-181. CISA警告SonicWallSMA设备漏洞正在被积极利用
4月17日,美国网络安全和基础设施安全局(CISA)于周三将影响SonicWall安全移动访问(SMA)100系列网关的高严重性安全漏洞CVE-2021-20035(CVSS评分:7.2)添加至已知被利用漏洞(KEV)目录中。此漏洞与操作系统命令注入有关,可能导致代码执行。SonicWall在2021年9月发布的安全公告中指出,SMA100管理界面中特殊元素的不当中和,允许远程经过身份验证的攻击者以'nobody'用户身份注入任意命令,进而可能导致代码执行。该漏洞影响运行特定版本的SMA200、SMA210、SMA400、SMA410和SMA500v(ESX、KVM、AWS、Azure)设备,具体包括10.2.1.0-17sv及更早版本、10.2.0.7-34sv及更早版本和9.0.0.10-28sv及更早版本。这些版本已在后续的更新中得到修复,分别为10.2.1.1-19sv及更高版本、10.2.0.8-37sv及更高版本和9.0.0.11-31sv及更高版本。尽管目前尚不清楚该漏洞的具体利用细节,但SonicWall已修改公告,承认此漏洞可能正在被野外利用。为此,联邦民事行政部门(FCEB)机构被要求在2025年5月7日之前采取必要的缓解措施,以保护其网络免受主动威胁。
https://thehackernews.com/2025/04/cisa-flags-actively-exploited.html
2. TheLoop平台210万份敏感信息泄露
4月16日,由MTV高管创立的澳大利亚曾经最热门的创意工作平台TheLoop于2024年关闭,然而其用户敏感数据泄露危机至今未解。2025年2月,安全研究人员发现,该平台错误配置的GoogleCloud存储桶导致210万份文件泄露,包括含全名、地址、电话号码、邮箱及完整职业履历的简历。这些数据为诈骗者提供了极大便利。诈骗者可利用泄露信息实施高度定向的钓鱼攻击、语音钓鱼和短信钓鱼。凭借详细简历,诈骗者能制作极度逼真的个性化钓鱼邮件,提及受害者真实职位名称、过往客户甚至日常使用工具,还可能附带虚假职位邀约、待签署合同或要求验证身份(需提供护照复印件)。当诈骗者掌握电话号码和背景信息时,语音钓鱼和短信钓鱼极具说服力,如自称来自受害者曾应聘的创意机构,要求最终确认银行信息。此外,诈骗者还能伪装成受害者向客户或雇主发送虚假发票。安全研究人员尝试联系该公司及计算机应急响应组,但未收到回应。
https://cybernews.com/security/loop-leaks-personal-data-creatives-exposed/
3. 勒索软件利用AWS密钥攻击AWSS3存储桶
4月16日,近日,一起罕见且可能史无前例的协同勒索活动曝光,涉及超过1.2亿条泄露的AWS密钥记录,最终指向1,229个唯一凭证。攻击者利用这些凭证对S3存储桶中的数据应用了服务器端加密(SSE-C),随后留下勒索信要求以比特币支付赎金,每位受害者勒索金额为0.3BTC(约25,000美元)。此次恶意活动高度自动化,且没有明确的归属。威胁行为者在每个加密的S3存储桶中留下名为warning.txt的勒索信息,并附带唯一的比特币地址和awsdecrypt[@]techie.com的电子邮件地址用于联系。攻击者利用AWS原生服务器端加密(使用客户提供的密钥)来加密S3存储桶数据,生成自己的AES-256加密密钥锁定数据,使得受害者无法恢复。这种攻击模式允许“静默入侵”,入侵时不会发出警报或报告,也不会留下文件删除日志,威胁者保留存储桶结构,甚至未窃取数据进行双重勒索。此前,攻击者还曾设置S3生命周期策略,在7天内删除加密数据,进一步向受害者施压。令人震惊的是,在多个情况下,受影响的AWS环境仍在继续运行,表明受害者可能仍未意识到这一漏洞。研究人员指出,攻击者获取AWS密钥的具体方法尚未证实。
https://cybernews.com/security/aws-cloud-storage-bucket-ransomware-attacks/
4. 娱乐服务巨头LegendsInternational披露数据泄露事件
4月17日,LegendsInternational是全球体育和娱乐服务公司,业务涵盖场地规划、销售、合作、接待、商品和技术解决方案,年收入超11亿美元。该公司管理着五大洲350多个场馆,像洛杉矶的SoFi体育场、纽约的一号世界观景台等知名场馆均在其列。近期,它还通过收购ASMGlobal扩大了业务规模。LegendsInternational发出警告,其于2024年11月发生数据泄露,旗下员工与场所访客受影响。在与当局的通知函里,该公司称11月9日在IT系统检测到未经授权活动,随即在外部网络安全专家协助下展开调查。调查证实入侵者窃取了个人数据文件,但信件未明确泄露数据类型。目前,此次数据泄露的范围和受影响人数不明,但鉴于公司庞大的运营规模和管理的海量敏感数据,担忧情绪难免。在致受影响用户的信函中,LegendsInternational表示事件前已采取安全措施,系统恢复后也实施了额外措施,但未提供具体细节。信件收件人可通过Experian获得24个月的身份盗窃检测服务保障,需在2025年7月31日前注册。公司称未发现个人信息被滥用的证据,但建议用户保持警惕。
https://www.bleepingcomputer.com/news/security/entertainment-services-giant-legends-international-discloses-data-breach/
5. INCRansom勒索软件攻击后,AholdDelhaize确认数据被盗
4月17日,阿霍德德尔海兹(AholdDelhaize)是跨国零售和批发巨头,在欧美经营近8000家商店,拥有超41万名员工,年收入约1000亿美元,在美国经营FoodLion等品牌。2024年11月,该公司公开披露网络安全事件,并关闭IT系统保护。其称问题及缓解措施已影响美国某些品牌和服务,包括部分药店和电商业务。昨日,勒索软件组织INCRansom将AholdDelhaize添加至其暗网数据泄露勒索网站,并公布疑似窃取的文件样本。AholdDelhaize发言人证实数据泄露,但未评论勒索软件是否参与此次攻击。目前,该公司对事件的调查仍在进行中,若确认客户数据受影响,将通知相关人员。同时,其所有商店和电商服务仍正常运营,顾客不受影响。
https://www.bleepingcomputer.com/news/security/ahold-delhaize-confirms-data-theft-after-inc-ransomware-claims-attack/
6. CISA警告Oracle传统云服务器遭入侵加剧凭证泄露风险
4月17日,CISA发出警告,今年早些时候Oracle传统云服务器遭入侵后,违规风险加剧,企业网络面临重大威胁。CISA指出,所报告活动对组织和个人构成潜在风险,凭证材料可能泄露、重复使用或嵌入系统,虽其范围和影响尚未证实,但凭证材料一旦嵌入就难以发现,暴露后或致长期未经授权访问,对企业环境构成重大风险。为此,CISA发布指南,敦促网络防御者重置受影响用户密码,替换硬编码或嵌入式凭证,实施防网络钓鱼的多因素身份验证,并监控身份验证日志。此前,甲骨文确认一名威胁行为者泄露了从“两台过时的服务器”中窃取的凭证,不过其云服务器未受攻击,事件未影响云服务或客户数据。攻击者窃取了旧客户凭证,并在BreachForums上发布2025年更新记录,与媒体共享2024年底数据,且泄露数据样本经多位Oracle客户确认有效。3月底,CybelAngel透露Oracle告知客户,早在2025年1月,攻击者就在部分Gen1服务器上部署了WebShell和其他恶意软件,直至2月底发现漏洞,攻击者从OracleIdentityManager数据库中窃取了数据。此外,上个月媒体报道称甲骨文健康公司1月份也发生数据泄露事件,影响多家美国医疗机构和医院的患者数据。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-increased-breach-risks-following-oracle-cloud-leak/
京公网安备11010802024551号