绿盟科技威胁周报(2022.12.19-2022.12.25)

一、 威胁通告

  • Splunk Enterprise 远程代码执行漏洞(CVE-2022-43571)

【发布时间】2022-12-23 10:00:00 GMT

【概述】

12月22日,绿盟科技CERT监测到网上公开披露了Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)的PoC。由于Splunk Enterprise中SimpleXML仪表板存在代码注入,拥有低权限的远程攻击者可以通过构造特制的数据包,进行PDF导出操作,最终实现任意代码执行。CVSS评分为8.8,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Foxit PDF Reader远程代码执行漏洞(CVE-2022-28672)

【发布时间】2022-12-23 10:00:00 GMT

【概述】

12月22日,绿盟科技CERT监测到网上公开披露了一个Foxit PDF Reader远程代码执行漏洞(CVE-2022-28672)的PoC。由于Foxit PDF Reader/Editor中存在释放后使用的缺陷,未经身份验证的攻击者通过诱导用户打开特制的PDF文档,最终实现在目标系统上执行任意代码。CVSS评分为7.8,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Apache Dubbo反序列化漏)

【发布时间】2022-12-22 17:00:00 GMT

【概述】

12月22日,绿盟科技CERT监测到网上发布了一个存在于Apache Dubbo中的反序列化超危漏洞。由于Apache Dubbo在解析 Native_Java 协议时,未对用户输入的反序列化数据包进行过滤,导致反序列化过程被恶意控制,最终可实现任意代码执行。请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. 鞋类品牌Ecco在500天内泄露超60GB敏感数据

【概述】

安全研究人员发现全球鞋类制造商和零售商Ecco,在500天内暴露了数百万份敏感文件,共计60GB。安全研究人员表示不仅任何人都可能修改数据,而且服务器的配置错误很可能会使公司遭受攻击,从而波及世界各地的客户。据了解,Ecco从销售数据到系统信息的数百万份敏感文档都处于可在线访问状态,任何有权限的人都可以查看、编辑、复制、窃取或删除数据。安全研究员称历史数据表明,被暴露的数据库至少有506天是可以访问的,威胁行为者可能通过修改代码、命名和url进行网络钓鱼,或者让受害者在浏览器和设备上安装勒索软件加载程序或远程访问工具,进行远程攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlOl6

 

  1. 蔚来汽车遭遇勒索攻击导致车主数据已泄露

【概述】

蔚来汽车发布了一则关于数据安全事件的声明,称蔚来公司收到外部勒索邮件,对此表示拥有蔚来内部数据,并以数据泄露勒索225万美元的比特币。经过蔚来汽车内部初步的调查,承认被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息。关于此次数据泄露事件,蔚来汽车向对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任,并协调执法机关深入调查。同时,蔚来表示,已对公司网络信息安全进行排查和强化,后续将加强技术力量,提升信息系统的安全防护能力,充分保护用户信息安全。

【参考链接】

https://ti.nsfocus.com/security-news/IlOkE

 

  1. 餐厅平台SevenRooms确认数据泄露

【概述】

SevenRooms是食品企业和酒店组织的客户体验和保留平台,已确认它已成为第三方供应商数据泄露的受害者。Seven Rooms主要以其客户管理平台而闻名,在地下论坛上看到被盗数据出售后,Seven Rooms的违规行为被曝光。SevenRooms表示在论坛上发布的样本数据是真实的,此数据选择包含数千个文件,其中包含有关SevenRooms客户的数据,该数据库重达427GB,包含促销代码,付款报告,预订列表等,以及以知名连锁餐厅命名的文件夹。但SevenRooms 声称没有人设法直接破坏自己的系统,所有出错的地方都归结于传输工具。在禁用对该工具的访问后,该组织进行了调查,目前没有发现其系统被访问或以其他方式篡改的证据。

【参考链接】

https://ti.nsfocus.com/security-news/IlOkI

 

  1. 德国连锁酒店 H-Hotels遭 Play 勒索软件攻击

【概述】

近日,Play 勒索软件团伙发表称对 H-Hotels (h-hotels.com) 进行了网络攻击,该攻击导致该公司通信中断。该组织声称在其 Tor 网站上列出了该公司,并称在网络攻击期间窃取了未公开数量的数据。这些数据包括私人和个人数据、客户文件、护照、身份证等,但是尚无任何证据表明他们真的窃取了这些数据。对此H-Hotels表示根据内部和外部 IT 专家的初步调查结果显示,本次恶意活动没有影响客人的预订,但酒店工作人员仍然无法接收或回复客户通过电子邮件发送的请求,因此建议必要时通过电话联系H-Hotels。该公司已将此事件告知德国调查当局,并正在与一家 IT 取证公司合作,以尽快恢复系统。

【参考链接】

https://ti.nsfocus.com/security-news/IlOkg

 

  1. 澳大利亚维多利亚州的消防和救援服务证实网络攻击

【概述】

澳大利亚维多利亚州的消防和救援服务部门在网络攻击后关闭了其网络并转向手动操作。维多利亚消防救援局代理专员表示,网络攻击正在影响大多数 FRV 系统,包括网络、电子邮件和调度。但是值得庆幸的是,社区安全没有受到损害,FRV 能够继续通过手机、寻呼机和收音机派遣工作人员和设备。根据初步调查证实,这是外部第三方的网络攻击,但是还不清楚 FRV 是否遭受了勒索软件攻击。代理专员表示虽然FRV系统受到影响,但FRV将转向手动操作继续正常运营。

【参考链接】

https://ti.nsfocus.com/security-news/IlOjA

 

  1. 黑客利用僵尸网络 MCCrash 对私人Minecraft服务器发起 DDoS 攻击

【概述】

安全研究院发现了一个名为MCCrash的僵尸网络正在对私人Minecraft服务器发起分布式拒绝服务(DDoS)攻击。安全研究员表示,僵尸网络起源于Windows设备上的恶意软件下载,但它支持感染多个基于Linux的设备的一种传播机制。安全研究员表示,最初的感染是由安装旨在获得非法Windows许可证的恶意破解工具引起的。一旦craking tool启动,它就会执行PowerShell命令来下载并启动svchost.exe的伪造版本。svchost.exe启动 malicious.py,这是包含所有僵尸网络逻辑的主Python脚本。恶意代码扫描 Web 以查找运行 Debian、Ubuntu、CentOS 和 IoT 工作负载(如 Raspbian)的系统,然后发起字典攻击进行传播。

【参考链接】

https://ti.nsfocus.com/security-news/IlOju

 

  1. 新型跨平台僵尸网络正感染《我的世界》游戏服务器

【概述】

安全研究员发现一种名为MCCrash的新型跨平台恶意软件僵尸网络正在感染 Windows、Linux 和物联网设备,对我的世界游戏服务器进行分布式拒绝服务(DDoS)攻击。安全研究员表示一旦它感染了设备,就可以通过强制 SSH 凭证自行传播到网络上的其他系统。这种威胁利用物联网设备的独特能力,即这些设备通常不被作为僵尸网络的一部分进行监控,从而大大增加了它的影响并降低了被检测到的风险。安全研究院建议用户保证固件均为最新版本,设置强密码而非系统默认密码,并在不需要时禁用 SSH 连接。

【参考链接】

https://ti.nsfocus.com/security-news/IlOjO

 

  1. 麒麟勒索软件即服务(RaaS)组织使用双重勒索模式攻击制造业和IT行业

【概述】

安全研究人员发现了Agenda勒索软件的新变种,它是用跨平台编程语言Rust编写的。在 Rust 中重写恶意软件的主要原因是,与用大多数常用语言编写的恶意软件相比,AV 检测率较低,并且针对多种架构。麒麟勒索软件即服务(RaaS)组织使用双重勒索模式,大多数受害者来自制造业和IT行业。安全研究员表示,威胁行为者能够更快加密和检测逃避是通过使用机密信息(例如泄露的帐户和唯一的公司 ID 作为附加的文件扩展名)为目标受害者定制了以前的勒索软件二进制文件,而Rust 变体也使用间歇性加密。安全研究员表示,Agenda正在将他们的勒索软件代码迁移到 Rust,因其更难分析,并且防病毒引擎的检测率更低。

【参考链接】

https://ti.nsfocus.com/security-news/IlOjU

 

  1. 黑客利用Raspberry Robin恶意软件攻击电信和政府

【概述】

安全研究员发现了一个据称能够连接到 Tor 网络以传递其有效载荷的恶意软件样本。安全研究员表示被该恶意软件影响的大多数受害者是来自拉丁美洲,大洋洲(澳大利亚)和欧洲的政府机构或电信实体。经过安全研究员对恶意软件的初步分析表明,虽然主要的恶意软件例程包含真实和虚假的有效载荷,但一旦检测到沙盒工具,它就会加载假有效载荷,以逃避安全和分析工具检测和研究恶意软件的真实例程。同时,真正的有效载荷仍然在包装层下被混淆,随后连接到 Tor 网络。该活动和恶意软件被成为Raspberry Robin,似乎通过受感染的USB传播到具有类似蠕虫功能的系统(由于使用了.lnk文件)。

【参考链接】

https://ti.nsfocus.com/security-news/IlOkk

 

  1. 攻击者冒充韩国著名银行应用程序的对用户发起网络钓鱼攻击

【概述】

安全研究员发现,攻击者已经创建了多个针对金融部门正常网站的恶意域。他们检测到多个冒充 Naver 帮助的网络钓鱼电子邮件分发案例。安全研究员表示,此恶意应用程序伪装成金融机构,并包含以下功能:如果安装了此应用程序的设备呼叫特定号码,则拨出呼叫将被劫持并路由到威胁参与者指定的号码。打开应用后,它会引导用户下载并安装伪装成V3 Mobile plus应用的应用,其中包含恶意功能。由于用户可能会通过使用网络钓鱼电子邮件通过这种巧妙的方法被引导到恶意 URL,因此安全研究员提醒用户必须避免打开来自未知来源的电子邮件或短信。

【参考链接】

https://ti.nsfocus.com/security-news/IlOla

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author