绿盟科技威胁周报(2024.04.01-2024.04.07)

一、威胁通告

  1. JumpServer远程代码执行漏洞(CVE-2024-29201/CVE-2024-29202)通告

【标签】CVE-2024-29201,CVE-2024-29202

【发布时间】2024-04-02 17:00:00 GMT

【概述】

近日,绿盟科技CERT监测到JumpServer发布安全公告,修复了两个远程代码执行漏洞,目前漏洞PoC已公开,请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

2.XZ-Utils工具库后门漏洞(CVE-2024-3094)通告

【标签】CVE-2024-3094

【发布时间】2024-04-01 11:00:00 GMT

【概述】

近日,绿盟科技CERT监测到安全社区披露XZ-Utils存在供应链后门漏洞(CVE-2024-3094),CVSS评分10。由于SSH底层依赖了liblzma,当满足一定条件时,攻击者可利用此漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,从而执行任意系统命令。经排查后发现为xz的tarball上游软件包中感染后门程序,该后门在构建过程中从伪装的测试文件中提取.o文件,然后使用提取的文件修改liblzma中特定的函数,导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它拦截并修改与此库的数据交互。目前漏洞PoC已公开,请相关用户尽快采取措施进行排查与防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

二、热点资讯

1.ScreenConnect管理员应尽快修补关键的RCE漏洞

【标签】RCE

【概述】

ConnectWise提醒ScreenConnect管理员应立即修补其服务器,以防止威胁分子用远程代码执行(RCE)攻击。据悉,此安全错误是由于身份验证绕过弱点造成的,攻击者可以利用该弱点来访问机密数据,或在不需要用户交互的低复杂性攻击中在服务器上远程执行任意代码。该公司还修复了远程桌面软件中的一个路径漏洞,该漏洞只能被具有高权限的攻击者滥用。ConnectWise称:“没有证据表明这些漏洞已被广泛利用,但内部部署合作伙伴必须立即采取行动,以解决这些已识别的安全风险。”ConnectWise尚未为影响所有运行ScreenConnect 23.9.7及更早版本的服务器的两个安全缺陷分配CVE ID。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8I

 

2.PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

【标签】PyPI

【概述】

早前蓝点网提到由于Ubuntu Snap Store商店里近期多次出现恶意软件,尤其是针对加密货币钱包之类的恶意软件,为此Canonical不得不抽调人手修改流程,同时开发者提交应用不再是自动化的,而是需要Canonical工程团队的成员进行人工审核后才允许发布。这种做法虽然很麻烦但也是没有办法的事情,比如3月30日知名存储库PyPI就遭到黑客攻击,黑客使用自动化工具向PyPI批量提交恶意软件。PyPI中出现恶意软件已经是个超级平常的事情,这些恶意软件一方面针对开发者进行供应链攻击,另一方面也会窃取敏感信息包括加密钱包的数据等。尽管PyPI官方并未透露为什么暂停注册和提交软件,不过事后安全公司Checkmarx称,在关闭注册前几个小时,PyPI遭到了黑客攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8D

 

3.动视暴雪正在调查黑客通过恶意软件盗取玩家账号密码以及加密钱包

【标签】恶意软件

【概述】

目前有部分动视暴雪的游戏玩家账号存在被盗的情况,从泄露的样本数据来看这些账号和密码是有效的,确实可以登录玩家的游戏账号并查看一些数据。这些恶意软件版外挂的主要目标是窃取数据,包括游戏玩家的账号和密码,如果玩家电脑上也安装了加密货币钱包之类的软件,那么黑客也会窃取加密钱包的数据。针对该问题Zebleer联系了动视暴雪官方提交了报告,他也注意到他的买家里也有玩家中招,这些玩家可能还下载安装过其他带有后门程序的外挂。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8m

 

4.黑客利用WordPress插件缺陷感染了3300个网站

【标签】CVE-2023-6000

【概述】

黑客利用Popup Builder插件过时版本中的漏洞入侵了WordPress网站后,用恶意代码感染了3300多个网站。攻击中利用的缺陷被追踪为CVE-2023-6000,这是一个影响Popup Builder版本4.2.3及更早版本的跨站点脚本 (XSS) 漏洞,最初于2023年11月披露。今年年初发现的Balada Injector活动利用该特定漏洞感染了6700多个网站,许多网站管理员都没能足够快地修补补丁。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8Z

 

5.2023年跟踪软件状态:12%的人曾在伴侣手机上安装跟踪软件

【标签】跟踪软件

【概述】

《跟踪软件状态》(The State of Stalkerware)是卡巴斯基的一份年度报告,旨在更好地了解全球受这种数字跟踪形式影响的人数。卡巴斯基最新数据揭示,2023年,全球共有31031名个人用户受到跟踪软件的影响,较2022年(29312名受影响用户)有所增加。这种趋势突出了全球范围内的数字跟踪状态,并表明这个问题不会自行消失。“跟踪软件”是一种商用软件,通常作为合法的防盗或家长控制型应用程序销售,适用于智能手机、平板电脑和台式机,但实际上,它们是非常不同的东西。这些应用程序会在用户不知情或未经用户同意的情况下安装并秘密运行。一旦安装,跟踪软件就可以从任何地方访问智能手机。入侵者不仅可以通过监视受害者的活动来侵犯他们的隐私,而且还可以使用该软件访问大量的个人数据。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8V

 

6.网信办重拳出击!严打凭空抹黑诋毁企业及企业家等行为

【标签】企业

【概述】

网信中国发布公告表示,为集中整治涉企侵权信息乱象,切实维护企业和企业家网络合法权益,近日,中央网信办印发通知,部署开展“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动。中央网信办有关负责人表示,本次专项行动聚焦侵犯企业和企业家合法权益的网络信息内容乱象,通过压实网站平台主体责任,规范网站平台受理处置涉企信息举报工作。重点整治无事实依据凭空抹黑诋毁企业和企业家形象声誉、炮制传播虚假不实信息、敲诈勒索谋取非法利益、干扰企业正常生产经营秩序和恶意炒作涉企公开信息等问题。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8n

 

7.NIST成立新联盟来运营美国家漏洞数据库(NVD)

【标签】NVD

【概述】

美国国家标准与技术研究院 (NIST) 正式宣布将把世界上使用最广泛的软件漏洞存储库的部分管理工作移交给行业联盟。NIST是美国商务部的一个机构,于2005年推出了美国国家漏洞数据库 (NVD) 并一直运营至今。这种情况预计会发生变化,数据库最早从2024年4月开始将交由经过审查的组织集体管理。NVD项目经理Tanya Brewer在VulnCon会议上正式宣布了这一消息。VulnCon是由事件响应和安全团队论坛(FIRST)主办,于2024年3月25日至27日在北卡罗来纳州罗利举行的网络安全会议。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8x

 

8.为什么XDR是网络安全的未来

【标签】XDR

【概述】

在威胁日趋复杂和多种安全设备并存的网络环境,基于XDR构建统一安全运营中心,整合已有的安全产品/安全能力、SIEM/SOC、威胁情报、遥测数据等分散元素,缩短从检测到响应的时间,成为最可行的方向,被视为安全的未来。不仅企业混合架构变得越来越复杂,攻击方法也变得越来越复杂。除了利用零日漏洞之外,网络攻击者现在还转向高级攻击方法,例如,利用无文件恶意软件可以逃避检测并且不留下任何痕迹;多阶段攻击允许黑客在网络内长时间横向移动以执行侦察,从而提高攻击目标的成功率;利用供应链攻击下游企业和消费者;利用加密和数据泄露的双重勒索攻击;以及利用人工智能工具开展攻击。日趋复杂高级的网络攻击给目前各种针对单一防护目的的工具,带来严峻的安全挑战,告警疲劳成为行业普遍现象。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8U

 

9.关于Cuckoo Filter的动态网络流量分析与安全防护方案

【标签】Cuckoo Filter

【概述】

今天主要是给大家分享一个如何从两个维度去制定CC的安全防护策略;如何根据IP或者cookie限制URI个数的安全策略?如何根据IP或者cookie限制UID个数的安全限制策略?关于cuckoo_filter和bloom_filter是我们日常生活中常用的过滤器,最大的特点是可以快速判断一个元素是否存在某个集合中,特点是快速并且准确。相比cuckoo_filter优化了bloom_filter误判的缺点!由于算法是二进制向量的一种映射逻辑,所以存储空间小却能判断集合,正好满足安全策略的性能和存储特。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8E

 

10.集中加密行业,macOS用户再遭信息窃取攻击

【标签】macOS

【概述】

恶意广告和虚假网站充当了传递两种不同窃取恶意软件的渠道,包括针对苹果macOS用户的原子窃取器。Jamf威胁实验室在发布的一份报告中表示,针对macOS用户正在进行的信息窃取攻击可能采用了不同的方法来破坏受害者的Mac电脑,但最终目标是窃取敏感数据。其中一个攻击链的目标是在谷歌等搜索引擎上搜索Arc Browser的用户,为他们提供虚假广告,将用户重定向到提供恶意软件的类似网站(“airci[.]net”)。安全研究人员Jaron Bradley、Ferdous Saljooki和Maggie Zirnhelt说:“有趣的是,恶意网站无法直接访问,因为它会返回错误。”“它只能通过生成的赞助链接访问,大概是为了逃避检测。”从伪造网站(“ArcSetup.dmg”)下载的磁盘映像文件会传播原子窃取器,据称它会要求用户通过虚假提示输入系统密码,最终促进信息盗窃。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO8S

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。

上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author