绿盟科技威胁周报(2023.06.26-2023.07.02)

一、威胁通告

1.Grafana 身份认证绕过漏洞(CVE-2023-3128)通告(CVE-2023-3128)

【标签】Grafana、身份认证绕过

【发布时间】2023-06-28 09:00:00 GMT

【概述】

近日,绿盟科技 CERT 监测到 Grafana 身份验证绕过漏洞(CVE-2023-3128)。Azure AD 可支持多用户拥有相同的电子邮件地址,在配置 Azure AD 支持多用户时,未经身份验证的攻击者可通过创建恶意电子邮件账户请求来利用该漏洞,由于 Grafana 根据电子邮件地址未对 Azure AD 邮箱帐户进行唯一性身份验证,导致攻击者可绕过身份验证接管目标用户的 Grafana 账户,攻击者控制用户帐户后可访问敏感数据信息。CVSS 评分 9.4,请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

2.VMware vCenter Server多个高危漏洞通告(CVE-2023-20892、CVE-2023-20893、CVE-2023-20894……)

【标签】vCenter Server、Cloud Foundation

【发布时间】2023-06-28 09:00:00 GMT

【概述】

近日,绿盟科技 CERT 监测到 VMware 官方发布安全通告披露了 VMware vCenter Server 中的多个漏洞,攻击者可利用这些漏洞造成远程代码执行、越界写入读取等。目前官方已更新版本修复,请相关用户采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

3.Fortinet FortiNAC远程代码执行漏洞(CVE-2023-33299)通告(CVE-2023-33299)

【标签】Fortinet、FortiNAC、远程代码执行

【发布时间】2023-06-28 09:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Fortinet官方修复了一个Fortinet FortiNAC远程代码执行漏洞(CVE-2023-33299),未经身份验证的远程攻击者可以通过向运行在TCP端口1050上的服务发送特制请求来利用此漏洞,成功利用该漏洞的攻击者最终可实现在目标系统上执行任意代码。CVSS评分9.6,请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

二、热点资讯

1.NHS:黑客可以完全访问英国医院数百万台医疗设备

【标签】医疗

【概述】

在英格兰的NHS信托医院,数以百万计的医疗设备现在完全容易受到网络犯罪组织的勒索软件攻击。这些表面上安全的在线设备,如监控摄像头和血压计,要么无法运行安全软件,要么依赖于过时的版本。他们经常得不到任何监督。当黑客从这些设备进入医院网络的关键领域时,他们可以摧毁整个医院系统,并在他们之后留下技术大屠杀的道路。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRqH

 

2.BIND补丁修复了可远程利用的DoS漏洞

【标签】BIND

【概述】

Internet Systems Consortium (ISC)发布了针对DNS软件套件BIND中三个可远程利用的拒绝服务(DoS)漏洞的补丁。这些高危漏洞被跟踪为CVE-2023-2828、CVE-2023-2829和CVE-2023-2911,可被利用来耗尽可用内存,或导致named(BIND的守护程序,既可作为递归解析器,也可作为权威名称服务器)崩溃。ISC在一份公告中解释说,CVE-2023-2828影响了一个名为“named函数”的功能,该函数负责清理内存缓存,以防止其达到最大允许值(默认值为主机上可用内存总量的90%)。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRrb

 

3.关键的SQL注入缺陷使Gentoo Soko面临远程代码执行

【标签】不区分行业

【概述】

Gentoo Soko中披露了多个SQL注入漏洞,这些漏洞可能导致易受攻击系统上的远程代码执行(RCE)。研究员说:“尽管使用了对象关系映射(ORM)库和准备好的语句,但这些SQL注入还是发生了。”他补充说,由于“数据库配置错误”,它们可能会导致Soko上的RCE。这两个问题是在Soko的搜索功能中发现的,被统称为CVE-2023-28424 (CVSS评分:9.1)。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRrJ

 

4.威胁追捕:杀手网络的DDoS Head Flood攻击-cc.py

【标签】Killnet

【概述】

Killnet是一个总部位于俄罗斯的黑客组织,至少从2015年开始活跃。该组织以对包括州和地方政府、电信和国防在内的各种行业发动DDoS攻击而闻名。Killnet与几起备受瞩目的攻击有关,包括针对美国机场和埃隆·马斯克(Elon Musk)的Starlink卫星宽带服务的分布式拒绝服务(DDoS)攻击。这些攻击背后的动机各不相同,但最近,它们主要针对的是那些对乌克兰及其政治议程最直言不讳的支持者。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRsl

 

5.霍尼韦尔服务器被MOVEit黑客攻破

【标签】MOVEit

【概述】

一个流行的第三方在线转账应用程序Progress MOVEit Transfer被发现了一个漏洞。通过利用这个漏洞,攻击者攻击了包括美国政府机构在内的多个组织。霍尼韦尔是MOVEit黑客最近的受害者,他们未经授权访问了MOVEit的一台服务器。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRsd

 

6.UPS警告客户数据访问后的网络钓鱼企图

【标签】不区分行业

【概述】

加拿大联合包裹警告加拿大客户潜在的数据暴露和网络钓鱼风险。人们已经开始收到像下面这封来自UPS的信件,一些人认为这“只是”常规的网络钓鱼警报。事实证明,这封信是专门针对通过查找工具暴露数据的潜在风险。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRqB

 

7.Ruby on Rails应用程序存在Ransack搜索漏洞可能导致数据被窃取

【标签】不区分行业

【概述】

安全公司警告称,Ransack库与Ruby on Rails (RoR)应用程序集成不当,可能会让攻击者从后端数据库窃取信息。Ransack允许开发人员在Rails应用程序中添加基于对象的搜索。它的便利性和灵活性使得它被广泛使用,但也存在问题,至少从安全的角度来看是这样。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRrL

 

8.因第三方供应商遭黑客攻击,导致全球最大航空公司数据泄露!

【标签】航空

【概述】

6月23日,全球最大的两家航空公司美国航空(American Airlines)和西南航空(Southwest Airlines)披露了一起数据泄露事件。泄露原因是航空飞行员管理招聘平台Pilot Credentials遭遇了黑客入侵。此次攻击事件仅影响到了Pilot Credentials的系统,对航空公司的网络或系统并未造成损害或影响。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRqF

 

9.微软警告俄罗斯黑客大规模窃取凭据攻击

【标签】Midnight Blizzard

【概述】

微软透露,俄罗斯国家支持的黑客组织Midnight Blizzard发起的盗取凭证的攻击有所增加。这些入侵利用住宅代理服务来混淆攻击来源的IP地址,针对政府、IT服务提供商、非政府组织、国防和关键制造业等领域。该科技巨头的威胁情报团队表示。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRr5

 

10.MOVEit Transfer漏洞和CL0P勒索软件团伙的常见问题(FAQ)

【标签】MOVEit

【概述】

这是有关MOVEit Transfer漏洞的常见问题,包括一个被广泛使用的CL0P勒索软件团伙利用的漏洞。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRqT

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author