绿盟科技威胁周报(2024.09.09-2024.09.15)

一、威胁通告

1.微软9月安全更新多个产品高危漏洞通告

【发布时间】2024-09-18 17:00:00 GMT

【概述】

9月11日,绿盟科技CERT监测到微软发布9月安全更新补丁,修复了79个安全问题,涉及Windows、Microsoft SQL Server、Microsoft Office、Microsoft SharePoint Server、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

二、热点资讯

1.VMware vCenter Server漏洞让攻击者能够执行远程代码

【标签】CVE-2024-38812

【概述】

据Cyber Security News消息,VMware披露了两个影响其vCenter Server和Cloud Foundation产品的关键安全漏洞,这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。其中一个漏洞被追踪为CVE-2024-38812,是在vCenter Server中实施DCERPC协议时存在的堆溢出漏洞,CVSS评分高达9.8。根据VMware的公告,具有网络访问权限的攻击者对易受攻击的vCenter Server可以通过发送特制网络数据包来触发此漏洞,从而导致远程代码执行。

【参考链接】

    https://ti.nsfocus.com/security-news/IlORj

 

2.GitLab修复一个9.9分漏洞,允许未经授权执行管道作业

【标签】CVE-2024-6678

【概述】

GitLab本周三发布了一个安全更新,以修复多个安全漏洞,其中最严重的漏洞(CVE-2024-6678,CVSS评分9.9)允许攻击者在特定条件下以任意用户身份触发管道。GitLab管道是一种自动化工作流程,用于构建、测试和部署代码,是GitLab的CI/CD(持续集成/持续交付)系统的一部分。它们旨在通过自动化重复任务并确保对代码库的更改得到一致的测试和部署,从而简化软件开发过程。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOR5

 

3.对BP机发起网络攻击,竟可以制造全国性大爆炸?

【标签】巴以冲突

【概述】

据《华尔街日报》等多家媒体报道,9月17日,黎巴嫩看守政府召开部长会议期间,黎巴嫩境内发生了一场巨大的爆炸事件,真主党(Hezbollah)成员携带的寻呼机在全国范围内几乎同时爆炸,导致9人丧生、近2800人受伤,其中约200人伤情危重。黎真主党发表声明认为以色列对寻呼机爆炸负有“全部责任”。据悉,黎真主党武装人员近来较为普遍地使用寻呼机,通过这种技术含量较低的通信设备避免以色列追踪他们的位置,以及应对通信安全挑战。但此次发生爆炸的BP机基本都集中在真主党成员,意味着其通信系统很有可能被渗透,凸显出设备安全方面的巨大漏洞。

【参考链接】

    https://ti.nsfocus.com/security-news/IlORg

 

4.提升军事数据管理与运用能力

【标签】数据管理

【概述】

当前,数据正全面融入军事领域,成为军事建设与管理的核心要素、战争制胜的重要资源。军事指挥员要努力探索构建军事数据管理体系的方法路径,深入挖掘和充分释放数据资源的潜在价值,深入融合军事数据资源,整合多维信息平台,进一步实现数据资源全流程精细化闭环管理,为推动国防和军队建设高质量发展提供坚实保障支撑。

【参考链接】

    https://ti.nsfocus.com/security-news/IlORy

 

5.大蜘蛛发现针对安卓机顶盒的Android.Vo1d病毒,感染超过130万台设备

【标签】Android.Vo1d

【概述】

大蜘蛛发现针对安卓机顶盒的木马病毒Android.Vo1d,该病毒目前感染全球197个国家或地区中的130万台设备。不过暂时还不清楚这个病毒如何从8月份开始大规模传播的,通常情况下用户也不太可能在机顶盒上频繁下载各种应用。网络安全公司大蜘蛛 (Dr.Web) 在最新发布的博客中提到有一款针对安卓机顶盒的恶意软件正在广泛传播,该恶意软件被命名为Android.Vo1d,在全球 197 个国家或地区中感染超过 130 万台设备。该事件自 2024年8月开始,当时大蜘蛛接到多个用户反馈称该安全软件检测到设备系统文件分区发现变化。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOR0

 

6.Apple Vision Pro漏洞向攻击者暴露了虚拟键盘输入

【标签】CVE-2024-40865

【概述】

有关影响Apple Vision Pro混合现实耳机的现已修补的安全漏洞的详细信息已经浮出水面,如果成功利用该漏洞,可能会允许恶意攻击者推断在设备的虚拟键盘上输入的数据。这次名为GAZEploit的攻击已被分配CVE标识符CVE-2024-40865。“一种新颖的攻击,可以从头像图像中推断出与眼睛相关的生物识别技术,以重建通过凝视控制打字输入的文本,”来自佛罗里达大学、CertiK Skyfall团队和德克萨斯理工大学的一组学者说。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOQY

 

7.使用Joern进行漏洞挖掘

【标签】Joern

【概述】

Joern是一个开源的代码分析平台,可以通过多种不同的前端将源代码转换为代码属性图(Code Property Graph),简称CPG,然后通过Joern内置的查询语法对CPG进行查询和分析。如果读者对CodeQL比较了解的话,可以将Joern理解成开源版的CodeQL。Joern通过不同的前端引擎支持不同的代码,比如使用CDT支持C/C++代码的fuzzing parsing,使用Ghidra支持二进制文件的解析,使用Soot支持Java字节码的解析等等。不同前端的成熟度有所不同

【参考链接】

    https://ti.nsfocus.com/security-news/IlOQW

 

8.卡巴斯基TDSSKiller工具被勒索软件RansomHub滥用来关闭EDR软件

【标签】RansomHub

【概述】

最近,安全公司Malwarebytes发现了一种新的勒索软件攻击案例。——勒索软件RansomHub通过利用卡巴斯基的TDSSKiller工具,关闭了目标系统上的端点检测和响应服务(EDR)。这种攻击方式使得RansomHub可在目标系统上部署其他恶意工具,比如本例中的LaZagne,用于窃取登录凭据。据了解,TDSSKiller是Kaspersky开发的一款免费工具,用于扫描系统中的rootkit和bootkit(这两种类型的恶意软件非常难以检测,且可以躲避标准的安全工具)。而TDSSKiller则可以与内核级服务交互,关闭或删除服务。由于TDSSKiller是由卡巴斯基签名的合法工具,因此不会被安全解决方案标记为恶意软件。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOQX

 

9.CVE-2024-21096:MySQLDump提权漏洞分析

【标签】CVE-2024-21096

【概述】

CVE-2024-21096是一个中等严重性的漏洞,它影响Oracle MySQL Server产品中的mysqldump组件。成功利用此漏洞的未认证攻击者可能对MySQL Server的数据进行未授权的更新、插入或删除操作,还可以读取MySQL Server可访问数据的一部分,并可能导致MySQL Server部分拒绝服务(partial DOS)。利用该漏洞的攻击需要在MySQL Server的本地进行,因此利用条件有限,利用复杂性也较高,该漏洞主要影响8.0.0版本至8.0.36版本之间的MySQL Server。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOR3

 

10.黑客自8月以来频繁利用公开漏洞攻击WhatsUp Gold

【标签】CVE-2024-6670

【概述】

黑客一直在利用Progress Software的WhatsUp Gold网络可用性和性能监控解决方案中两个严重漏洞的公开漏洞代码。自8月30日以来,攻击中利用的两个漏洞是SQL注入漏洞,跟踪编号为CVE-2024-6670和CVE-2024-6671,漏洞允许在未经身份验证的情况下检索加密密码。尽管相关工作人员在两周前就解决了安全问题,但许多客户仍然需要更新软件,而威胁者正在利用这一漏洞发起攻击。Progress Software于8月16日发布了针对该问题的安全更新,并于9月10日在安全公告中添加了如何检测潜在危害的说明。安全研究员Sina Kheirkhah发现了这些漏洞,并于5月22日将其报告给零日计划。8月30日,该研究员发布了概念验证(PoC)漏洞。

【参考链接】

    https://ti.nsfocus.com/security-news/IlORw

Spread the word. Share this post!

Meet The Author