绿盟科技威胁周报(2022.12.12-2022.12.18)

一、 威胁通告

  • Citrix ADC和Citrix Gateway远程代码执行漏洞(CVE-2022-27518)

【发布时间】2022-12-15 15:00:00 GMT

【概述】

12月14日,绿盟科技CERT监测到Citrix官方发布了一个存在于Citrix ADC 和 Gateway的远程代码执行漏洞(CVE-2022-27518)。由于系统在资源的生命周期内的控制存在缺陷,当Citrix ADC和Citrix Gateway配置为安全断言标记语言(SAML)服务提供商(SP)或SAML身份提供商(IdP)时,未经身份验证的远程攻击者可利用此漏洞在目标系统上执行任意代码。CVSS评分9.8。目前已监测到在野利用,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Fortinet FortiOS sslvpnd远程代码执行漏洞(CVE-2022-42475)

【发布时间】2022-12-15 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Fortinet官方修复了一个FortiOS sslvpnd中的远程代码执行漏洞(CVE-2022-42475)。由于sslvpnd对用户输入的内容验证存在缺陷,未经身份验证的攻击者通过发送特制数据包触发缓冲区溢出,最终可实现在目标系统上执行任意代码。CVSS评分为9.8,目前已监测到在野利用,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • 微软12月安全更新多个产品高危漏洞(CVE-2022-41127、CVE-2022-47211、CVE-2022-47212)

【发布时间】2022-12-15 15:00:00 GMT

【概述】

12月14日,绿盟科技CERT监测到微软发布12月安全更新补丁,修复了48个安全问题,涉及.NET Framework、Microsoft Bluetooth Driver、Microsoft Office等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有6个,重要(Important)漏洞有42个,其中包括2个0day漏洞。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. 黑客组织MirrorFace针对日本政治机构进行鱼叉式网络钓鱼

【标签】政府

【概述】

代号为MirrorFace的威胁(APT)行为者被归咎于针对日本政治机构的鱼叉式网络钓鱼活动。这项活动被安全研究院称为Operation LiberalFace,专门针对该国一个未具名政党的成员,目标是提供一个名为LODEINFO的植入物和迄今为止从未见过的名为MirrorStealer的凭据窃取者。安全研究员表示,LODEINFO被用来提供额外的恶意软件,泄露受害者的凭据,并窃取受害者的文件和电子邮件。安全研究员还表示在本次攻击活动中,该组织专门针对政治实体,利用当时即将举行的参议院选举为自己谋利。目前,他们还没有找到证据将这些攻击与先前已知的APT组织联系起来,而是将其作为一个独立的实体进行跟踪。

【参考链接】

https://ti.nsfocus.com/security-news/IlOj2

 

  1. 瑞典两个城市使用的联合IT系统被确认入侵

【标签】政府

【概述】

瑞典博里霍尔姆和默比隆加市在发生网络攻击后宣布出现危机局势,因为两个城市使用的联合IT系统已被确认入侵。博里霍尔姆的市政经理表示,作为预防措施,工作人员通宵工作,将该地区的两个官方系统与互联网断开连接,并且外部参与者已被引入作为议会事件管理响应的一部分。虽然默比隆加市的网站不可用,但博里霍尔姆 由外部提供商托管,仍然可以访问。然而,这两个城市提供的一系列公民服务现在都不可用,包括电子邮件和一些医疗保健服务。他还表示议会的系统可能需要几天时间才能恢复工作,市政公司可能会受到影响。

【参考链接】

https://ti.nsfocus.com/security-news/IlOj0

 

  1. 国际乓联泄露数百名运动员护照和疫苗接种证书

【标签】国际乒乓球联合会

【概述】

由于国际乒乓球联合会(ITTF)的服务器出现安全问题,数百名乒乓球运动员的护照细节和疫苗接种证明等信息被泄露。报道称,运动员护照和疫苗接种证书被在线储存,由云托管服务配置不当,数据暴露了三年多,任何人都可以查看并下载这些信息。而泄露的数据中有疫苗接种证书,其中包含医疗数据,还有泄露的护照复印件,它们可能会被滥用于身份欺诈。泄露原因可能是国际乓联的云储存是开放状态,每个人都可以搜索文件夹文档/medical_information。目前,国际乓联泄露了世界排名前10的运动员的护照或疫苗接种证书,而国际乒乓球联合会表示他们正在进行彻底的安全审查和调查。

【参考链接】

https://ti.nsfocus.com/security-news/IlOiY

 

  1. 黑客通过入侵Web服务器漏洞进行投毒并对企业进行勒索

【标签】企业

【概述】

近期企业部分用户反馈,公司Web服务器被黑客入侵并受到勒索病毒的攻击。安全研究员分析发现,本次攻击中黑客主要通过Web服务漏洞进行投毒,且使用了变形手段躲避安全软件的检测。安全研究员表示,黑客可以利用远程代码执行漏洞,通过服务页面在用户的Web服务器中执行任意命令,并投放病毒。经排查,在部分服务器中搭建了软件站点的用户现场中,也发现有被漏洞攻击的痕迹,漏洞信息暂未明确。安全研究员建议用户根据官方提供的安全漏洞声明进行预防性自查。

【参考链接】

https://ti.nsfocus.com/security-news/IlOiG

 

  1. 联邦调查局信息共享网络InfraGard被黑客入侵

【标签】互联网

【概述】

InfraGard是美国联邦调查局(FBI)运营的一个项目,旨在与私营部门建立网络和物理威胁信息共享伙伴关系,近日,其超过80,000名成员的联系信息数据库在英语网络犯罪论坛上出售。通过调查发现,黑客使用一家极有可能获得InfraGard会员资格的公司首席执行官的姓名,社会安全号码,出生日期和其他个人详细信息申请新帐户,从而获得了FBI的InfraGard系统的访问权限。联邦调查局表示知道与InfraGard门户网站相关的潜在虚假帐户,并正在积极调查此事,但目前无法提供任何其他信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlOiE

 

  1. 攻击者利用恶意应用程序冒充安卓文件管理器窃取用户信息

【标签】不区分行业

【概述】

安全研究人员发现一批新的恶意安卓应用程序冒充无害的文件管理器,渗入到了官方的Google Play应用程序商店中,用Sharkbot银行木马感染众多用户。这些应用程序在安装时并不携带恶意攻击载荷,以便在Google Play上提交时躲避检测,而是之后从远程资源获取攻击载荷。安全研究员表示,恶意应用程序请求用户授予有风险的权限,比如读写外部存储、安装新软件包、访问帐户详细信息和删除软件包(以清除痕迹)等。但这些权限在文件管理应用程序中看起来很正常,也属意料之中,因此使用户放松了警惕。

【参考链接】

https://ti.nsfocus.com/security-news/IlOhn

 

  1. 朝鲜黑客冒充研究人员窃取情报

【标签】不区分行业

【概述】

安全研究员发现黑客没有使用鱼叉式网络钓鱼电子邮件或隐蔽的信息窃取恶意软件,而是使用相当简单的模拟策略来获取他们想要的信息。黑客通过向研究人员和外交事务分析师发送电子邮件来做到这一点,这些电子邮件被欺骗得好像是由记者和业内同行发送的。这些信件会直接询问专家对朝鲜安全问题的看法,甚至为他们提供撰写报告的钱。安全研究院将本次事件归因于朝鲜的Kimsuky集团。他们开发恶意软件,然后在受感染的电子邮件收件箱中跋涉以获取正确的情报。

【参考链接】

https://ti.nsfocus.com/security-news/IlOh3

 

  1. 新西兰政府机构MSP Mercury IT遭勒索攻击

【标签】政府

【概述】

司法部和Te Whatu Ora(新西兰卫生部)是宣布受到第三方IT支持提供商网络攻击影响的公共当局之一。这次袭击使司法部无法访问与运送死者尸体有关的14,500份文件,以及从2020年3月至11月进行的大约4,000次验尸。而卫生部表示,本次攻击事件对丧亲和心脏服务相关数据的访问受到影响。大约有8,500条关于丧亲护理服务的记录无法访问,以及来自心脏和遗传疾病登记处的5,500条记录。但他们均表示,虽然上述记录目前无法访问,但现阶段没有证据表明它们受到未经授权的访问或下载。

【参考链接】

https://ti.nsfocus.com/security-news/IlOgX

 

  1. 丹麦国防部称遭到网络攻击

【标签】国防

【概述】

丹麦国防部在推特上表示他们遭到网络攻击后无法访问其网站,但网络攻击对丹麦国防部的行动没有造成影响。丹麦国防部表示,网站遭到所谓分布式拒绝服务(DDoS)的攻击。这种攻击方式将大量流量引向目标服务器,目的是让服务器下线。但丹麦国防部在推特上表示目前除了无法访问门户网站之外,其他影响尚未发现,因此没有对国防部造成行动上的影响。

【参考链接】

https://ti.nsfocus.com/security-news/IlOgV

 

  1. 美国卫生与公众服务部遭受皇家勒索软件攻击

【标签】医疗

【概述】

安全研究院发现皇家勒索软件攻击对医疗保健和公共医疗保健(HPH)部门发起攻击。由于勒索软件伤害医疗保健界的历史性质,皇家应被视为对HPH部门的威胁。一旦破坏了受害者的网络,威胁行为者就会部署开发后工具Cobalt Strike来保持持久性并执行横向移动。该勒索软件是用C++编写的,它感染了Windows系统并删除了所有卷影副本以防止数据恢复,勒索软件使用 AES 算法加密本地网络和本地驱动器上的网络共享。

【参考链接】

https://ti.nsfocus.com/security-news/IlOgx

 

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author