一、威胁通告
1.大华智慧园区综合管理平台远程代码执行漏)
【发布时间】2023-06-02 16:00:00 GMT
【概述】
近日,绿盟科技CERT监测到网上公开披露了一个大华智慧园区综合管理平台远程代码执行漏洞。由于该系统对用户发送的数据包的验证存在缺陷,未经身份验证的攻击者可利用该漏洞实现在目标系统上执行任意代码。请受影响的用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.GitLab任意文件读取漏洞(CVE-2023-2825)
【发布时间】2023-05-30 10:00:00 GMT
【概述】
近日,绿盟科技CERT监测到GitLab官方发布安全通告,修复了GitLab社区版(CE)和企业版(EE)中的一个任意文件读取漏洞(CVE-2023-2825)。当嵌套在至少五个组中的公共项目中存在附件时,未经身份验证的远程攻击者通过上传功能实现路径遍历,最终导致读取服务器上的任意文件。CVSS评分为10.0,请受影响的用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.Dark Pink APT Group危害了9个国家和地区的13个组织
【标签】Dark Pink APT
【概述】
整个2023年,臭名昭著的黑客组织Dark Pink APT一直保持着高活动水平。他们的重点是渗透印尼、文莱和越南的各种组织已经成功攻击了9个国家的13个组织,凸显了其恶意活动的程度。
【参考链接】
https://ti.nsfocus.com/security-news/79vRkl
2.CVE-2023-33733: ReportLab Python库中的RCE漏洞
【标签】RCE
【概述】
在充满活力的Python库生态系统中,ReportLab长期以来一直是创建Adobe的可移植文档格式(PDF)文件和制作各种位图、矢量格式以及PDF格式的图表和数据图形的强大工具。然而,在这个实用的闪亮外表下,一个被识别为CVE-2023-33733的潜伏漏洞可能会将这个资源丰富的库变成恶意实体手中的秘密武器。
【参考链接】
https://ti.nsfocus.com/security-news/79vRkt
3.技嘉系统中的关键固件漏洞影响约700万台设备
【标签】不区分行业
【概述】
网络安全研究人员在技嘉系统中发现了“类似后门的行为”,他们说这使得设备的UEFI固件能够删除Windows可执行文件并以不安全的格式检索更新。
【参考链接】
https://ti.nsfocus.com/security-news/IlP4h
4.警报:黑客利用梭鱼电子邮件安全网关0-Day漏洞长达7个月
【标签】CVE-2023-2868
【概述】
企业安全公司Barracuda周二披露,其电子邮件安全网关(ESG)设备最近修补了一个零日漏洞,自2022年10月以来,威胁行为者一直在利用该漏洞对设备进行后门攻击。最新的调查结果显示,这个被追踪为CVE-2023-2868 (CVSS评分:N/A)的关键漏洞在被发现之前至少已经被积极利用了7个月。
【参考链接】
https://ti.nsfocus.com/security-news/IlP4b
5.研究人员发现利用GoogleAds传播RomCom恶意软件的攻击活动
【标签】RomCom
【概述】
一项传播RomCom后门恶意软件的新活动正在冒充知名或虚构软件的网站,诱使用户下载并启动恶意安装程序。自2022年夏季以来一直关注RomCom的趋势科技发现了最新的活动。研究人员报告说,恶意软件背后的威胁行为者通过使用有效载荷加密和混淆来升级其规避,并通过引入新的强大命令来扩展该工具的功能。大多数用于向受害者分发RomCom的网站都涉及远程桌面管理应用程序,这增加了攻击者利用网络钓鱼或社会工程接近其目标的可能性。这些虚假网站通过谷歌广告和高度针对性的网络钓鱼电子邮件进行推广,大多数受害者位于东欧。
【参考链接】
https://ti.nsfocus.com/security-news/IlP4l
6.D-Link Go-RT-AC750 命令注入漏洞(CVE-2023-26822)复现
【标签】CVE-2023-26822
【概述】
D-Link Go-RT-AC750是一款双频无线路由器。D-Link Go-RT-AC750在固件版本为revA_v101b03中存在命令注入漏洞,漏洞编号:CVE-2023-26822。未经授权的攻击者可以请求 /soap.cgi 路由通过携带的参数进行命令拼接,从而控制路由器。
【参考链接】
https://ti.nsfocus.com/security-news/IlP43
7.新的网络钓鱼攻击利用.Zip域在浏览器中模拟虚假的WinRAR
【标签】不区分行业
【概述】
谷歌最近发布了新的顶级域名(TLD),如.dad,.phd,.mov和.zip,由于文件扩展名的潜在混淆,特别是.mov和.zip,引起了安全社区的担忧。一种新的网络钓鱼工具包“浏览器中的文件存档器”通过在浏览器中显示欺诈性WinRAR或Windows文件资源管理器窗口来利用ZIP域,诱骗用户执行恶意文件。
【参考链接】
https://ti.nsfocus.com/security-news/IlP3H
8.俄罗斯新一代攻击电网的恶意软件宇宙能源
【标签】宇宙能源
【概述】
安全专家发现了一种名为“宇宙能源”的新型恶意软件,它具有对关键基础设施系统和电力网络造成严重破坏的潜力。Mandiant的研究人员发现了这种恶意软件,他们声称这种恶意软件的功能类似于俄罗斯政府支持的“沙虫”黑客团队在2016年破坏乌克兰电力供应时使用的破坏性工业恶意软件。有趣的是,恶意软件是通过Mandiant的主动威胁搜索发现的,而不是对关键基础设施进行网络攻击的结果。根据Mandiant的说法,CosmicEnergy于2021年12月由一家俄罗斯提交者提交给VirusTotal, VirusTotal是谷歌旗下的恶意软件和病毒检测工具。
【参考链接】
https://ti.nsfocus.com/security-news/IlP2R
9.免费VPN服务SuperVPN泄露3.6亿用户数据记录
【标签】SuperVPN
【概述】
近日,一款流行的免费VPN服务SuperVPN(该App在谷歌和苹果应用商店中下载量超过1亿次)被曝泄露了超过3.6亿条用户数据记录。泄露的数据包括用户的电子邮件地址、原始IP地址、地理位置等敏感信息。据了解,该安全事件最初由网络安全研究人员Jeremiah Fowler发现并向vpnmentor报告。Fowler发现了与SuperVPN应用程序相关的公开数据库,其中包含133GB的数据,共360308817条记录,包括用户电子邮件地址、原始IP地址、地理位置、所用服务器、用户在线活动、设备型号、操作系统等详细信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlP3R
10.勒索软件团伙使用泄露的勒索软件代码攻击 Windows、Linux 系统
【标签】Buhti
【概述】
一个新的勒索软件操作名为“Bhuti”,使用 LockBit 和 Babuk 勒索软件家族的泄露代码分别针对 Windows 和 Linux 系统进行攻击。虽然 Buhti 背后的威胁行为者(现在被称为“Blacktail”)尚未开发出自己的勒索软件,但他们创建了一个自定义数据渗漏实用程序,用于勒索受害者,这种策略被称为“双重勒索”。Buhti 于 2023 年 2 月首次被 Palo Alto Networks 的Unit 42 团队发现 ,该团队将其确定为基于 Go 的以 Linux 为目标的勒索软件。赛门铁克威胁猎手团队今天发布的一份报告显示,Buhti 还针对 Windows,使用代号为“LockBit Black”的略微修改的 LockBit 3.0 变体。
【参考链接】
https://ti.nsfocus.com/security-news/IlP3L
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。