Fortra GoAnywhere MFT高危漏洞遭活跃利用
发布时间 2025-09-291. Fortra GoAnywhere MFT高危漏洞遭活跃利用
9月26日,黑客正积极利用Fortra GoAnywhere管理文件传输软件中的最高严重性漏洞CVE-2025-10035发起攻击。该漏洞源于许可证Servlet的反序列化缺陷,允许未经身份验证的攻击者通过伪造许可证响应签名远程注入命令,实现预授权远程代码执行。Fortra于9月18日正式披露该漏洞,但实际早在9月10日便已存在野外利用证据。WatchTowr Labs安全研究人员证实,攻击者自9月10日起已利用此零日漏洞,比官方公告提前8天。漏洞利用过程中,攻击者会创建名为"admin-go"的后门管理员账户,并上传"zato_be.exe"和"jwunst.exe"(合法远程访问工具SimpleHelp的恶意滥用版本)等有效载荷,收集用户权限信息并保存至test.txt文件,为横向移动做准备。Fortra建议系统管理员立即升级至修复版本7.8.4或7.6.3,并采取缓解措施:消除GoAnywhere管理控制台的公共互联网暴露,检查日志中"SignedObject.getObject"错误以确认是否受影响。
https://www.bleepingcomputer.com/news/security/maximum-severity-goanywhere-mft-flaw-exploited-as-zero-day/
2. 马里兰州交通部MDOT遭Rhysida勒索软件攻击
9月25日,美国马里兰州交通部(MDOT)遭遇与俄罗斯有关的Rhysida勒索软件团伙攻击,该组织通过暗网博客发布被盗数据截图,包含护照、身份证件、背景调查、社会保障卡及犯罪背景信息,并索要30比特币(约330万美元)赎金。MDOT作为马里兰州交通核心管理机构,监管州交通管理局(MTA)、港务局、航空管理局等六大部门,其运营的华盛顿-巴尔的摩交通系统年客流量超6700万人次。根据MDOT官方通知,攻击仅影响MTA部分系统,核心服务仍正常运行,但部分公交车实时数据中断。调查确认存在数据丢失,具体涉及员工及乘客敏感信息,可能引发身份盗窃和社会保险欺诈风险。研究团队分析显示,被盗数据还包括内部财务报告和预算文件,但因MDOT预算透明度较高,此类文件私人信息风险较低。Rhysida团伙自2023年初开始活跃,已攻击超220个组织,被溯源至俄罗斯或独联体国家,与Vice Society勒索软件团伙存在技术关联及收益分成。目前,MDOT正联合执法机构及第三方网络安全专家调查事件,但尚未明确数据泄露全貌。
https://cybernews.com/security/hackers-claim-maryland-transportation-rhysida/
3. 德州卡车司机数据泄露:超万名司机敏感信息遭暴露
9月25日,德克萨斯州AJT Compliance, LLC公司运营的驾驶员合规平台“DOT SHIELD”发生大规模数据泄露事件,暴露超过一万名卡车司机的个人文件,涉及药物测试、雇佣合同、背景调查等高度敏感信息。经Cybernews研究团队调查,泄露根源在于该公司使用的Amazon S3存储桶被错误配置为公共读取和列表权限,导致超过18,000张社会保障卡照片、23,000张驾照图像、责任保险卡、车辆检验结果等文件外泄。这些数据自2022年起持续上传,部分敏感文件在调查期间仍被主动上传。受影响司机主要来自德克萨斯州或受雇于该州注册的物流公司。作为美国物流重镇,德州拥有超21.2万名重型卡车司机及7.272万名轻型卡车司机,此次泄露可能影响该州约10%的卡车司机。泄露的敏感信息若落入不法分子手中,可能被用于开设信用账户、盗取社保福利或实施人肉搜索等欺诈行为,对受害者造成严重身份盗窃风险。AJT Compliance在收到匿名举报后确认存储桶配置错误,并已通过负责任披露修复漏洞,确保数据安全。
https://cybernews.com/security/texas-truck-drivers-data-leak/
4. SonicWall SSL VPN设备遭Akira勒索软件持续攻击
9月28日,针对SonicWall SSL VPN设备的Akira勒索软件攻击持续升级,尽管账户已启用OTP多因素认证(MFA),但威胁行为者仍能成功登录。研究人员推测,这可能源于攻击者窃取了OTP种子或利用了2024年9月披露的CVE-2024-40766不当访问控制漏洞。该漏洞虽在2024年8月已修复,但攻击者仍通过此前从易受攻击设备中窃取的凭据持续入侵。网络安全公司Arctic Wolf报告指出,攻击者在启用OTP MFA的情况下仍能登录账户,登录尝试时多次触发OTP质询后成功,暗示OTP种子可能被盗或存在其他生成有效令牌的方法。SonicWall已将此类攻击与CVE-2024-40766关联,并敦促管理员重置所有SSL VPN凭据并升级至最新SonicOS固件。
https://www.bleepingcomputer.com/news/security/akira-ransomware-breaching-mfa-protected-sonicwall-vpn-accounts/
5. Medusa勒索软件攻击康卡斯特,834GB数据遭窃
9月29日,Medusa勒索软件组织宣称对全球媒体技术巨头康卡斯特公司发起网络攻击,并要求支付120万美元赎金以阻止窃取的834.4GB数据泄露或出售。该组织在暗网泄密网站发布约20张内部文件截图及包含167,121项文件的清单,涉及精算报告、产品管理数据、保险建模脚本、理赔分析数据及SQL脚本等敏感信息,路径示例包括Esur_rerating_verification.xlsx、Claim Data Specifications.xlsm等文件,暗示已获取保险计算、客户数据处理及索赔管理系统权限。康卡斯特作为拥有NBCUniversal的企业,旗下涵盖NBC、Telemundo、环球影业、流媒体平台Peacock及欧洲Sky业务。尽管该公司未因大规模网攻成为焦点,但2015年曾有超20万用户凭证在暗网泄露,当时康卡斯特称数据可能源于凭证聚合而非系统直接入侵。Medusa以发布部分文件证据施压受害者闻名。此次攻击中,文件性质指向财务与精算数据集,若属实,康卡斯特或面临监管审查风险。
https://hackread.com/medusa-ransomware-comcast-data-breach/
6. Notepad++ v8.8.3被披露存在高危DLL劫持漏洞
9月29日,Notepad++ v8.8.3版本被披露存在高危DLL劫持漏洞(CVE-2025-56383),CVSS评分达6.5分。该漏洞源于Notepad++在启动时自动加载特定DLL文件的机制缺陷,攻击者可利用此特性替换受信任的DLL文件(如NppExport.dll),注入恶意代码实现任意代码执行。技术分析显示,攻击者只需将恶意DLL文件放置于Notepad++安装目录的plugins\NppExport\路径下,并确保其导出函数转发至原始DLL文件。当用户启动Notepad++时,程序会优先加载该恶意DLL,在转发合法功能调用的同时执行恶意代码,形成“功能完整+安全破坏”的双重渗透。GitHub已公开概念验证(PoC),包含完整的攻击链演示,验证了漏洞在本地环境下的可利用性。该漏洞的攻击影响范围广泛,需本地访问权限或安装路径写入能力,但一旦成功利用,可实现持久化驻留与权限提升,显著增加供应链攻击、木马化安装程序及内部威胁风险。建议用户立即升级至修复版本,并定期检查安装目录文件完整性。
https://securityonline.info/dll-hijacking-flaw-cve-2025-56383-found-in-notepad-allowing-arbitrary-code-execution-poc-available/
京公网安备11010802024551号