HackerNews

美国成瘾治疗中心（AAC）是一家营利性成瘾治疗连锁机构，其遭遇网络安全事件，导致 422,424 人的个人记录泄露。 根据该公司发送给受影响人员的通知函，泄露的数据可能包括姓名、地址、电话号码、出生日期、医疗记录号和其他标识符。 ACC 表示，社会安全号码和健康保险信息也可能被泄露，但患者的治疗信息或支付卡数据不会泄露。 这家总部位于田纳西州布伦特伍德的公司在今年 9 月 26 日左右发现了一起网络安全事件，并表示已立即展开调查。该公司已通知执法部门并聘请第三方网络安全专家提供帮助。 调查确定，9 月 23 日至 9 月 26 日期间，“未经授权的一方”从 AAC 系统中窃取了一些数据。 该公司告诉客户：“我们对受影响的数据进行了彻底审查，以确定涉及哪些信息以及与数据相关的个人。”该公司还表示，“目前”尚未发现与该事件有关的任何身份盗窃或欺诈行为。 此次泄密事件影响了 AAC 及其附属供应商的客户，包括 AdCare、Greenhouse、Desert Hope Center、Oxford Treatment Center、Recovery First、Sunrise House、River Oaks Treatment Center 和 Laguna Treatment Hospital。 近期一系列网络安全事件让多家医疗服务提供商成为攻击目标。Regional Care 的数据泄露事件发生于 9 月中旬，本月初已报告此事，影响 22.5 万人。 总部位于马里兰州的静脉修复中心 (CVR)遭遇重大数据泄露，影响了 446,000 人的数据；而位于马萨诸塞州的安娜雅克医院 (AJH) 遭遇的攻击则导致超过 316,000 人的数据受到影响。 攻击者针对医疗保健机构主要有两个原因：这些机构通常保护不力，而且他们保存的数据非常有价值。例如，攻击者可以利用泄露的信息进行健康身份欺诈，使恶意攻击者能够获得处方药。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WVVU9xYidj3jr_xORgV7sA 封面来源于网络，如有侵权请联系删除

据观察，名为 Charming Kitten （迷人小猫）的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP，该公司表示，它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案，该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten （迷人小猫）黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten （迷人小猫）多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC)，也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm（以前称为 Phosphorus）、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件，但研究发现，涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示：“BellaCiao 是一个基于 .NET 的恶意软件家族，它为入侵增添了独特的变化，将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件，它实现与其祖先类似的功能，包含用于加载另一个未知 DLL（“D3D12_1core.dll”）的代码，该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示：“从高层角度来看，这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”，并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络，如有侵权请联系删除

近期CloudSEK的TRIAD团队发现了Postman Workspaces（一个流行的基于云的API开发和测试平台）的严重安全漏洞和风险。 在为期一年的调查中，研究人员发现超过30,000个公开可访问的工作区泄露了关于第三方API的敏感信息，包括访问令牌、刷新令牌和第三方API密钥。 根据该公司与Hackread.com分享的报告，泄露的数据涵盖了各个行业从小型企业到大型企业，影响GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务，使组织面临众多威胁和安全风险。 研究人员指出，导致这些数据泄露的常见做法包括无意中共享Postman集合、访问控制配置错误、与公开可访问的存储库同步，以及在未经加密的情况下以明文形式存储敏感数据。 这些漏洞可能导致严重后果。泄露的数据包括管理员凭据、支付处理API密钥和对内部系统的访问权限，可能导致受影响组织遭受财务和声誉损害。 Postman中的敏感数据泄露对个人开发者和整个组织都可能产生重大影响。据报道，像api.github.com、slack.com和hooks.slack.com这样的顶级API服务拥有更多的暴露秘密。Salesforce.com、login.microsoftonline.com和graph.facebook.com等高知名度服务也已被曝光。 ZenDesk凭据泄露和Razorpay API密钥泄露 （来源CloudSec） 泄露的API密钥或访问令牌可以为攻击者提供对关键系统和数据的直接访问权限，可能导致数据泄露、未经授权的系统访问以及增加网络钓鱼和社会工程攻击。 Postman通常存储敏感信息，如API密钥、秘密和个人身份信息（PII）。为确保数据安全，组织应明智地使用环境变量，限制权限，避免使用长期令牌，使用外部秘密管理，并在共享任何集合或环境之前进行双重检查。 为了防止此类暴露，CloudSEK敦促组织采取更可靠的安全措施，例如使用环境变量以避免硬编码敏感数据，限制权限，频繁轮换令牌，利用机密管理工具，并在共享之前仔细检查集合。 此外，Postman在披露这些发现后实施了一项秘密保护策略，以防止敏感数据在公共工作区中被暴露。该策略会在检测到机密时提醒用户，提供解决方案，并促进过渡到私有或团队工作区。 “从本月开始，我们将从公有API网络中移除那些已知含有暴露密钥的公共工作区。随着我们推出这项政策变更，含有密钥的公共工作区的所有者将会被通知，并有机会在他们的工作区被从网络中移除之前，先移除那些暴露的密钥。”公司指出。     转自E安全，原文链接：https://mp.weixin.qq.com/s/KoI6XjgpBfL_2fZn_1qo4w 封面来源于网络，如有侵权请联系删除

Apache 软件基金会（ASF）发布了一项安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞在特定条件下可能导致远程代码执行（RCE）。 被追踪为 CVE-2024-56337 的漏洞，被描述为对 CVE-2024-50379（CVSS 评分：9.8）的不完整修复，这是同一产品中先前在 2024 年 12 月 17 日解决的另一个关键安全缺陷。 项目维护者在上周的咨询中表示：“在大小写不敏感的文件系统上运行 Tomcat，并且默认 servlet 写入功能启用（readonly 初始化参数设置为非默认值 false）的用户，可能需要根据他们与 Tomcat 一起使用的 Java 版本进行额外配置，以完全缓解 CVE-2024-50379。” 这两个漏洞都是检查时间与使用时间（TOCTOU）竞态条件漏洞，当默认 servlet 被设置为允许写入时，可能会导致在大小写不敏感的文件系统上执行代码。 Apache 在 CVE-2024-50379 的警报中指出：“在负载下对同一文件进行并发读取和上传可以绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。” CVE-2024-56337 影响以下版本的 Apache Tomcat： – Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复） – Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复） – Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复） 此外，根据运行的 Java 版本，用户需要进行以下配置更改： – Java 8 或 Java 11 – 明确设置系统属性 sun.io.useCanonCaches 为 false（默认为 true） – Java 17 – 如果已经设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false） – Java 21 及更高版本 – 不需要采取行动，因为系统属性已被移除 ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 识别并报告了这两个缺陷。它还感谢知道创宇404 团队独立报告了 CVE-2024-56337 并提供了概念验证（PoC）代码。 这一披露是在 Zero Day Initiative（ZDI）分享了 Webmin（CVE-2024-12828，CVSS 评分：9.9）的一个关键漏洞细节时发布的，该漏洞允许经过身份验证的远程攻击者执行任意代码。 ZDI 表示：“特定的漏洞存在于处理 CGI 请求的过程中。”“问题是由于在使用用户提供的字符串执行系统调用之前，没有进行适当的验证。攻击者可以利用这个漏洞，在 root 权限下执行代码。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据Fortinet FortiGuard 实验室的最新发现，网络安全研究人员标记了两个恶意软件包，这两个恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库，并具备从受感染主机窃取敏感信息的功能。 这两个名为zebo和cometlogger 的软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据，这些下载大部分来自美国、中国、俄罗斯和印度。 安全研究员 Jenna Wang 表示，Zebo 是“恶意软件的典型例子，具有用于监视、数据泄露和未经授权的控制的功能”，并补充说 cometlogger“还显示出恶意行为的迹象，包括动态文件操纵、webhook 注入、窃取信息和反 [虚拟机] 检查”。 这两个软件包中的第一个 zebo 使用混淆技术（例如十六进制编码字符串）来隐藏通过 HTTP 请求与之通信的命令和控制 (C2) 服务器的 URL。 它还包含大量用于收集数据的功能，包括利用 pynput 库捕获击键和利用 ImageGrab 每小时定期抓取屏幕截图并将其保存到本地文件夹，然后使用从 C2 服务器检索的 API 密钥将其上传到免费图像托管服务 ImgBB。 除了窃取敏感数据外，该恶意软件还通过创建批处理脚本在机器上设置持久性，该脚本启动 Python 代码并将其添加到 Windows 启动文件夹，以便在每次重新启动时自动执行。 另一方面，Cometlogger 功能丰富，可以窃取各种信息，包括来自 Discord、Steam、Instagram、X、TikTok、Reddit、Twitch、Spotify 和 Roblox 等应用程序的 cookie、密码、令牌和帐户相关数据。 它还能够收集系统元数据、网络和 Wi-Fi 信息、正在运行的进程列表以及剪贴板内容。此外，它还包含检查以避免在虚拟化环境中运行，并终止与 Web 浏览器相关的进程以确保不受限制的文件访问。 Jenna Wang 说：“通过异步执行任务，该脚本可以最大限度地提高效率，在短时间内窃取大量数据。” “虽然某些功能可能是合法工具的一部分，但缺乏透明度和可疑功能使其执行起来不安全。在运行代码之前务必仔细检查，并避免与来自未经验证来源的脚本进行交互。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/FOgDVffQIhU4SBJe3cVOZA 封面来源于网络，如有侵权请联系删除

一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞，该漏洞尚未得到CVE编号，也没有在 DigiEver DS-2105 Pro NVR 中修补。 僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。 TXOne 研究员 Ta-Lun Yen 记录了该活动所利用的漏洞之一，并于去年在罗马尼亚布加勒斯特举行的 DefCamp 安全会议上进行了展示。该研究员当时表示，该问题影响了多台 DVR 设备。 Akamai 的研究人员观察到，僵尸网络在 11 月中旬开始利用该漏洞，但发现证据表明该活动至少从 9 月份就开始活跃。 除了 DigiEver 漏洞之外，新的 Mirai 恶意软件变种还针对TP-Link 设备上的CVE-2023-1389和 Teltonika RUT9XX 路由器上的 CVE-2018-17532。 针对 DigiEver NVR 的攻击 被用来攻击 DigiEver NVR 的漏洞是一个远程代码执行 (RCE) 缺陷，黑客的目标是“/cgi-bin/cgi_main.cgi”URI，该 URI 会不正确地验证用户输入。 这允许远程未经身份验证的攻击者通过某些参数（例如 HTTP POST 请求中的 ntp 字段）注入“curl”和“chmod”等命令。 Akamai 表示，它所看到的基于 Mirai 的僵尸网络发起的攻击与 Ta-Lun Yen 演示中描述的攻击类似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加 cron 作业实现持久性。 一旦设备受到攻击，就会利用漏洞集和凭证列表进行分布式拒绝服务 (DDoS) 攻击或传播到其他设备。 Akamai 表示，新的 Mirai 变种因使用 XOR 和 ChaCha20 加密以及针对包括 x86、ARM 和 MIPS 在内的广泛系统架构而著称。 Akamai 评论道：“尽管采用复杂的解密方法并不是什么新鲜事，但它表明基于 Mirai 的僵尸网络运营商的策略、技术和程序正在不断发展。” 研究人员表示：“这一点尤其值得注意，因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码版本中包含的回收代码中的原始字符串混淆逻辑。” 研究人员指出，该僵尸网络还利用了 Teltonika RUT9XX 路由器中的漏洞CVE-2018-17532以及影响 TP-Link 设备的漏洞CVE-2023-1389 。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/C-qEWotE2KDXBxKH2kMMyQ 封面来源于网络，如有侵权请联系删除

美国和日本当局将价值 3.08 亿美元的重大加密货币盗窃案归咎于曹县黑客。 美国联邦调查局、国防部网络犯罪中心和日本国家警察厅发出的警报称，2024 年 5 月对日本加密货币公司 DMM 的盗窃案是由一个曹县高级威胁组织实施的，该组织被追踪为TraderTraitor，又名 Jade Sleet、UNC4899 和 Slow Pisces。 机构透露，TraderTraitor 进行了有针对性的社会工程攻击，以访问和窃取加密货币资金。该活动始于 2024 年 3 月下旬，当时攻击者伪装成 LinkedIn 上的招聘人员，联系了日本企业加密货币钱包软件公司 Ginco 的一名员工。 该员工之所以成为攻击目标，是因为他们有权访问 Ginco 的钱包管理系统。 TraderTraitor 以 GitHub 页面上的入职前测试为幌子，向员工发送了一个指向恶意 Python 脚本的 URL 链接。受害者将 Python 代码复制到他们的个人 GitHub 页面上，随后遭到入侵。 2024 年 5 月中旬之后，黑客利用会话 cookie 信息冒充受感染的员工，成功获取了 Ginco 未加密通信系统的访问权限。 2024 年 5 月下旬，攻击者可能利用此访问权限操纵 DMM 员工的合法交易请求，导致 4,502.9 比特币损失，在攻击时价值 3.08 亿美元。 被盗资金随后被转移到 TraderTraitor 控制的钱包。 区块链分析公司 Chainalysis 于 12 月 19 日发布的一份报告发现，2024 年期间，与曹县有关的黑客在 47 起事件中窃取了价值 13.4 亿美元的加密货币。 这占全年被盗加密货币总量的 61%。 新的警报称，联邦调查局、日本国家警察厅和其他美国政府和国际合作伙伴将继续揭露和打击曹县的非法活动，包括网络犯罪和加密货币盗窃。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LtJX1rkcoRjao_kQS3qWew 封面来源于网络，如有侵权请联系删除

12月23日，Adobe发布紧急安全更新，以解决一个ColdFusion严重漏洞，已存在概念验证（PoC）漏洞利用。 漏洞被标识为CVE-2024-53961，影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件，暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的，源于对受限目录的路径名限制不当。通过利用这个缺陷，攻击者可以绕过安全限制，未经授权地访问预期目录之外的文件。 概念验证PoC漏洞利用已存在 令人担忧的是，Adobe已确认CVE-2024-53961的概念验证漏洞利用已经存在。这意味着攻击者有可能积极利用这个漏洞，因此用户必须立即更新ColdFusion安装。 受影响的版本和补救措施 以下ColdFusion版本受到影响： ColdFusion 2023：更新11及更早版本 ColdFusion 2021：更新17及更早版本 Adobe已发布更新解决漏洞，强烈建议用户升级到最新版本： ColdFusion 2023：更新12 ColdFusion 2021：更新18 Adobe尚未披露此漏洞是否已被广泛利用。公司建议客户查看Adobe更新的串行过滤器文档，以便获取更多关于如何阻止不安全的Wddx反序列化攻击的信息。     转自E安全，原文链接：https://mp.weixin.qq.com/s/oO5YQIVgwD5yicAeY8z3kw 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）将其已知被利用漏洞（KEV）目录中增加了一个Acclaim Systems USAHERDS漏洞，该漏洞被追踪为CVE-2021-44207（CVSS评分：8.1）。 USAHERDS是由Acclaim Systems开发的基于网络的应用程序，旨在协助美国州政府追踪和管理动物健康和疾病爆发。它是AgraGuard产品套件的一部分，该套件包括USAHERDS、USALIMS、USAPlants、USAFoodSafety和USAMeals，旨在支持农业和食品安全运营。 该漏洞被中国网络间谍组织APT41利用，入侵了多个美国州政府网络。 这个漏洞源于硬编码凭证漏洞，影响了Acclaim USAHERDS网络应用程序7.4.0.1及更早版本。知道静态ValidationKey和DecryptionKey值的攻击者可以利用它们在运行应用程序的系统上执行任意代码。 攻击者可以制作恶意ViewState数据以绕过MAC检查，并触发服务器端代码执行。 “Acclaim USAHERDS网络应用程序7.4.0.1及更早版本，在2021年11月之前构建的版本使用了静态的ValidationKey和DecryptionKey值。”咨询报告中写道。“高风险——知道ValidationKey和DecryptionKey可以用来在运行应用程序的系统上实现远程代码执行。” 安全研究人员Douglas Bienstock来自Mandiant，他向公司报告了这个问题。Acclaim Systems通过在2021年11月发布补丁来解决这个问题，以修复漏洞。 根据《约束性操作指令》（BOD）22-01：减少已知被利用漏洞的重大风险，联邦民事机构必须在截止日期前解决已识别的漏洞，以保护他们的网络不受目录中漏洞被利用的攻击。 专家们还建议私营组织审查目录，并解决其基础设施中的漏洞。 CISA命令联邦机构在2025年1月13日之前修复此漏洞。     消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基研究人员观察到，与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。 专家们认为，这些攻击是网络间谍活动“梦想工作行动”（Operation Dream Job，又称NukeSped）的一部分，该行动自至少2020年以来一直在进行。 攻击者使用了复杂的感染链，包括多种类型的恶意软件，如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。 Lazarus Group利用恶意ISO文件来逃避检测，部署了木马化的VNC软件，以传递如Ranid Downloader、MISTPEN、RollMid和LPEClient等恶意软件。 研究人员还在受感染的主机上发现了CookieTime恶意软件，该恶意代码在LPEClient安装后以SQLExplorer服务激活，最初执行C2命令，但现在主要用于下载有效载荷。 攻击者使用CookieTime下载了多种恶意软件，包括LPEClient、Charamel Loader、ServiceChanger和更新版的CookiePlus。Charamel Loader使用ChaCha20算法解密并加载如CookieTime、CookiePlus和ForestTiger等恶意软件。 攻击者使用ServiceChanger恶意软件停止了一个合法服务，在磁盘上存储恶意文件，并重启服务以通过侧加载加载恶意DLL。Lazarus Group针对ssh-agent服务使用了libcrypto.dll，与Kimsuky APT组织利用现有服务而不是注册新服务的方法不同。在某些情况下，CookieTime也通过DLL侧加载被加载，并且支持多种加载方法和不同的入口点。 “由于CookiePlus充当下载器，它的功能有限，并且只从受感染的主机向C2服务器传输最少的信息。在其与C2的初始通信中，CookiePlus生成了一个32字节的数据数组，其中包括其配置文件中的ID、特定偏移量和计算步骤标志数据。”报告中写道。 研究人员认为CookiePlus可能是MISTPEN的继任者。尽管两者没有代码重叠，但都伪装成Notepad++插件，并使用类似的策略，如利用TBaseInfo.dll和hiber.dll等插件。CookiePlus在2024年6月被编译和使用，看起来更为先进，与2024年初已知的MISTPEN样本相比，支持额外的执行选项。 Lazarus Group APT组织在大部分活动中使用了被破坏的WordPress网络服务器作为C2。这些服务器被MISTPEN、LPEClient、CookiePlus和RollMid恶意软件用作C2。然而，CookieTime只使用了一个基于WordPress的C2。所有已识别的C2托管了分布在不同国家的基于PHP的网络服务。 “在其历史上，Lazarus Group只使用了少量的模块化恶意软件框架，如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们确实引入了新的模块化恶意软件，如CookiePlus，这表明该组织正在不断努力改进他们的武器库和感染链，以逃避安全产品的检测。”报告总结道。“对于防御者来说，问题是CookiePlus可以表现得像一个下载器。这使得调查CookiePlus是否只下载了一个小插件或下一个有意义的有效载荷变得困难。从我们的分析来看，它似乎仍在积极开发中，这意味着Lazarus Group未来可能会添加更多插件。”       消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

哈马斯与以色列的冲突已经爆发一年多了，两大实体之间的网络战仍在继续，其中涉及各种各样的网络攻击者，并借鉴了其他全球冲突的剧本。 以下是此次网络战争期间的一些重大发展以及可以预期在 2025 年看到的形势。 初始阶段 哈马斯对以色列发动袭击后不久，十多个威胁组织宣布准备对巴勒斯坦、以色列及其各自的支持者发动网络攻击。这些组织包括 Killnet、Anonymous Sudan、Team insane、Mysterious Team Bangladesh 和 Indian CyberForce。 在最初的日子里， 首批遭受网络攻击的受害者是耶路撒冷邮报，它遭到了Anonymous Sudan（匿名者苏丹）的攻击，以及特拉维夫索拉斯基医疗中心遭到西尔赫特团伙的攻击，最终导致其运营中断。 随着网络攻击的持续，  Krypton 网络向有意攻击以色列组织的黑客分子出售其分布式拒绝服务 (DDoS) 功能。 攻击也从另一边袭来，据报道，ThreatSec 攻击了巴勒斯坦互联网服务提供商 AlfaNet，导致该公司的服务器关闭，并在此过程中控制了加沙 5,000 多台服务器。 随后，在 X 上的第一篇帖子中，亲以色列的黑客组织 Predatory Sparrow 再次出现在人们的视野中。 该组织对其追随者说：“你觉得这很可怕吗？我们回来了。我们希望你们关注加沙事件。”——并附上了一份关于美国派遣战斗机和军舰支持以色列的报道链接。 全球范围的网络战 冲突开始后大约一个月，美国联邦调查局局长克里斯托弗·雷 (Christopher Wray) 警告称，中东战争增加了针对美国的网络攻击威胁，并指出针对美国海外军事基地的袭击有所增加，预计未来将出现物理攻击和网络攻击。 联邦调查局再次发出警告，这次警告涉及网络犯罪分子伪装成筹款人和慈善机构，通过电子邮件、社交媒体、电话和众筹网站联系个人，所有这些都是为了让受害者相信他们的加密货币资金将流向以色列或巴勒斯坦受害者。 Netcraft 的一份报告追踪到这些虚假账户中有 160 万美元的加密货币，这是他们影响力的一次盛大展示。 到 2023 年底，以色列公司 CyTaka 雇佣了来自世界各地的网络黑客网络来对抗反以色列的在线活动，而被称为加沙网络帮 (Gaza Cybergang) 的网络攻击者则使用了Pierogi++ 后门恶意软件的变种来攻击巴勒斯坦和以色列目标。 年度回顾 去年年初，土耳其黑客在特拉维夫一家客流量很大的电影院里传播有关以色列和加沙冲突的政治暴力信息。 7 月，以色列陆军参谋长报告称，自冲突开始以来，已挫败约 30 亿次网络攻击 。针对以色列国防军 (IDF) 的网络攻击包括针对军队运作所必需的操作系统，但并未提供有关攻击性质的详细信息。 随后在 10 月，安全公司 ESET 报告了一起影响其以色列合作伙伴公司的 “安全事件”。该公司称，有一起恶意电子邮件活动已被拦截，并最终否认其系统存在任何真正的危害。 就在上个月，有报道称支持哈马斯及其议程的高级持续性威胁 (APT)“Wirte”正在对中东各国政府进行间谍活动 ，并对以色列进行擦除器攻击。 该 APT 使用包含文档、合法资源和恶意软件的网络钓鱼攻击，有时使用 IronWind 加载程序，该加载程序采用多阶段感染链来投放恶意负载。 未来展望 观察人士和业内专家预计，2025 年还会出现更多类似的情况。冲突加剧了网络威胁，国家背景的黑客组织和自发黑客团体会继续利用全球紧张局势。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 在发给 Dark Reading 的电子邮件声明中表示：“我们可以预见复杂的网络钓鱼活动、虚假信息和对关键基础设施的攻击将会升级。”“组织应该优先考虑实时威胁情报和先进的人工智能检测系统，以保持领先于不断发展的策略。” 此外，他建议各组织做好强有力的员工培训，并实施多层次的安全措施，以减轻未来的攻击。 Kowski 补充道：“这对于防御预计将激增的社会工程学和有针对性的恶意软件攻击至关重要。” Bambenek Consulting 总裁约翰·巴姆贝内克 (John Bambenek) 则持不同看法。巴姆贝内克在发给 Dark Reading 的电子邮件声明中表示：“目前，哈马斯遭受了巨大损失，他们更注重生存，甚至在网络领域的能力也大大减弱。” 他认为，2025 年，人们的注意力应该集中在伊朗身上，因为伊朗是这场冲突中的主要力量。 “如果最近的报道属实，以色列正在考虑在短期内对伊朗进行军事打击，那么这很可能很容易升级为网络战。”他说。“  Team82 最近的研究表明，如果事态升级，伊朗政府已经决定进行实地测试，并预先部署广泛发动 ICS/OT 攻击的能力，而这些攻击很可能包括美国和欧洲。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/izjiorVaHiRLNaGFNGV_ow 封面来源于网络，如有侵权请联系删除

Sophos在上周发布的新报告中表示：“似乎运营[Rockstar2FA]服务的团队至少经历了基础设施的部分崩溃，与该服务相关的页面不再可访问。这似乎并非因为被取缔行动，而是因为服务后端的某些技术故障。” Rockstar2FA最初由Trustwave在上月底记录为一种PhaaS服务，允许犯罪分子发起能够窃取Microsoft 365账户凭证和会话cookie的网络钓鱼攻击，从而绕过多重因素认证（MFA）保护。 该服务被评估为DadSec网络钓鱼工具包的更新版本，微软将其追踪为Storm-1575。大多数网络钓鱼页面被发现托管在.com、.de、.ru和.moscow顶级域名上，尽管人们相信.ru域名的使用量随时间减少。 Rockstar2FA似乎在2024年11月11日遭受了技术中断，当时重定向到中间诱饵页面时产生了Cloudflare超时错误，伪造的登录页面无法加载。 虽然尚不清楚导致中断的原因，但PhaaS工具包留下的空白导致与FlowerStorm相关的网络钓鱼活动激增，FlowerStorm自2024年6月以来一直活跃。 Sophos表示，这两种服务在网络钓鱼门户页面的格式和连接后端服务器以收集凭证的方法上存在相似之处，这引发了它们可能有共同起源的可能性。它们还滥用Cloudflare Turnstile，以确保传入页面请求不是来自机器人。 人们怀疑11月11日的中断可能代表其中一个团队的战略转变、运营人员的变动，或是有意将两个操作分开的努力。目前没有确凿的证据将这两个服务联系起来。 使用FlowerStorm最频繁的目标国家包括美国、加拿大、英国、澳大利亚、意大利、瑞士、波多黎各、德国、新加坡和印度。 Sophos表示：“服务行业是最受攻击的行业，特别是那些提供工程、建筑、房地产和法律服务及咨询的公司。” 如果有什么不同的话，这些发现再次说明了攻击者使用网络犯罪服务和商品工具在不需要太多技术专长的情况下，也能大规模进行网络攻击的持续趋势。     消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员发现，可以使用大型语言模型 (LLM) 大规模生成恶意 JavaScript 代码的新变种，以更好地逃避检测。 Palo Alto Networks Unit 42 研究人员在一项新报告中表示： “尽管 LLM 很难从头开始创建恶意软件，但犯罪分子可以很容易地使用它们来重写或混淆现有的恶意软件，使其更难检测。” “犯罪分子可以促使 LLM 执行看起来更自然的转换，这使得检测这种恶意软件更具挑战性。” 随着时间的推移，经过足够多的转换，该方法可以降低恶意软件分类系统的性能，诱使它们相信一段恶意代码实际上是良性的。 尽管 LLM 提供商已不断加强安全防护，以防止其出轨并产生意外输出，但恶意开发人员却宣传使用WormGPT等工具来自动编写令人信服的网络钓鱼电子邮件，这些电子邮件针对潜在目标，甚至会创建新的恶意软件。 早在 2024 年 10 月，OpenAI就披露它阻止了 20 多项试图使用其平台进行侦察、漏洞研究、脚本支持和调试的操作和欺骗网络。 Unit 42 表示，它利用 LLM 的强大功能迭代重写现有的恶意软件样本，目的是绕过“无罪推定”（IUPG）或PhishingJS等机器学习（ML）模型的检测，从而有效地为创建 10,000 种新型 JavaScript 变体铺平了道路，同时又不改变其功能。 对抗性机器学习技术旨在每次将恶意软件作为输入输入系统时，使用各种方法对其进行转换——即变量重命名、字符串拆分、垃圾代码插入、删除不必要的空格以及完全重新实现代码。 该公司表示：“最终的输出是恶意 JavaScript 的新变种，它保持了与原始脚本相同的行为，但恶意分数几乎总是低得多。”并补充说，算法在 88% 的时间内将其恶意软件分类器模型的判定从恶意转变为良性。 更糟糕的是，这些重写的 JavaScript 工件在上传到 VirusTotal 平台时也会逃避其他恶意软件分析器的检测。 基于 LLM 的混淆提供的另一个关键优势是，它的大量重写看起来比 obfuscator.io 等库实现的重写自然得多，后者由于它们对源代码引入更改的方式，更容易可靠地检测和指纹识别。 Unit 42 表示：“在生成式人工智能的帮助下，新的恶意代码变种的规模可能会增加。不过，我们可以使用相同的策略来重写恶意代码，以帮助生成可以提高机器学习模型稳健性的训练数据。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/iSCmefHzaCwcHO0tuNkk2w 封面来源于网络，如有侵权请联系删除

近日，网络安全研究员Jeremiah Fowler透露，一家总部位于英国伦敦的人工智能开发平台Builder.ai，由于数据库配置错误，该平台遭遇了重大数据泄露事件，共计泄露数据超过300万条，1.29TB。 Builder.ai是Microsoft Power Platform的一部分，在全球多个地区设有分支机构，它允许企业通过自动执行流程和预测结果来提高业务绩效。Builder.ai可以与Microsoft Dataverse以及各种云数据源（如SharePoint、OneDrive或Azure）集成，方便用户访问和管理业务数据。Builder.ai提供了多种预生成的AI模型，用户可以直接使用这些模型，而无需从头开始构建，用户可以根据业务需求创建自定义的AI模型，用于分析文本、图像、结构化数据等。 根据Fowler在Website Planet的报告，泄露的敏感信息包括客户成本提案、保密协议、发票、税务文件、内部沟通记录、秘密访问密钥、客户个人信息以及电子邮件往来截图。数据库中约有337434个发票（18GB）和32,810个文件（4GB），标记为主服务协议。 “将文档和访问密钥以明文形式存储在同一数据库中，可能造成严重的安全漏洞。如果数据库意外曝光或被未经授权访问，恶意攻击者可能利用这些密钥访问链接系统、云存储或其他敏感资源，无需额外身份验证。” 数据库配置错误是常见问题，但最新报告显示，即使是ShinyHunters和Nemesis这样的黑客组织也在积极入侵暴露的数据库，这表明如果数据库落入恶意威胁攻击者手中，可能会危及公司声誉和用户隐私。 泄露的文档对黑客来说是宝贵的资源，可以用于社交工程攻击。例如制作含有恶意软件的虚假发票，以欺骗Builder.ai的客户。此外数据中的内部信息可能被用来对Builder.ai员工发起有针对性的钓鱼攻击，泄露的云存储访问密钥还可能允许未经授权访问其他位置存储的更敏感数据。 更糟糕的是，Builder.ai 应急响应流程十分迟缓。在研究人员通知后，Builder.ai花了整整一个月才保护数据库，并称“复杂的系统依赖”是延迟的原因。尽管解释不够明确，但这表明数据库曝光可能涉及第三方承包商。 研究人员强调，在构建系统时减少依赖性的重要性，以避免妨碍应急响应。为了最小化风险，Fowler建议组织应安全存储管理凭据和访问密钥，对其进行加密，存储在专用系统中，并与其他敏感数据隔离，以防止被利用。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418279.html 封面来源于网络，如有侵权请联系删除

Wiz Threat Research 揭示了一个由讲罗马尼亚语的威胁组织 Diicot（又称 Mexals）策划的新恶意软件活动。该活动以 Linux 环境为目标，采用了先进的恶意软件技术，标志着其能力显著升级。该组织一直利用 Linux 系统进行加密劫持，使用 XMRig 等工具和复杂的自传播机制。 据 Wiz Research 称，与早期迭代版本相比，更新后的恶意软件显示出惊人的复杂程度，凸显了攻击者适应和完善其战术的能力。报告指出：“我们分析的恶意软件包括一些显著的改进，反映了更高的复杂程度。”主要的进步包括引入了新的指挥控制（C2）基础设施，从基于 Discord 的 C2 过渡到 HTTP，以及采用 Zephyr 协议和 Monero 挖矿。 Diicot 图表 | 来源：Wiz Research Wiz Research 该恶意软件还改进了混淆技术。例如，修改后的 UPX 标头现在包括损坏的校验和，使标准解包工具失效。这些变化表明，该恶意软件正在努力绕过现代安全措施，阻挠自动检测。 该活动的一个突出特点是它能够根据环境调整自己的行为。在云环境中，恶意软件会优先向其他主机传播，而在传统环境中，它会部署加密有效载荷。报告解释说，“云检测逻辑”“基于远程机器的 Linux 发行版和版本”，显示了该组织对目标的细致关注。 调查中发现的有效载荷包括： Brute-Spreader： 在网络中传播并保持持久性的主要有效载荷。 反向外壳 (client.go)： 允许攻击者完全远程控制被入侵的机器。 SSH 标记扫描器： 识别弱 SSH 凭据以获得初始访问权限。 该活动对运行 OpenSSH 的 Linux 系统构成重大风险。薄弱的凭证和错误配置的安全设置很容易成为这种高级恶意软件的入口点。Wiz 研究人员强调：“如果你的系统依赖 SSH 且没有适当的安全保护，它们很容易成为攻击目标。” 加密劫持仍然是 Diicot 行动的核心动机。攻击者从 Monero 挖矿中赚取了超过 16,000 美元，还从 Zephyr 协议中赚取了更多难以追踪的收入。除了经济损失，企业还面临数据外渗、系统受损和潜在运营中断的风险。 随着 Diicot 集团的不断发展，防御策略也必须与时俱进。Wiz Research 建议加强 SSH 配置，强制执行强密码，并部署能够识别混淆有效载荷的高级检测机制。   转自安全客，原文链接：https://www.anquanke.com/post/id/302932 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 上周五，美国北加州联邦法官认定NSO集团——这家开发了臭名昭著的Pegasus间谍软件的公司，对其在今年早些时候成功入侵并感染1400名WhatsApp用户设备的行为负有不可推卸的责任。 这一裁决可能会对NSO集团带来巨额的赔偿。据悉，该公司的间谍软件被多个匿名政府客户在全球范围内广泛使用，且多次被曝出滥用行为。 尽管NSO的间谍软件已被发现潜藏于数百名活动家、记者及其他社会公民的手机中，但在此之前，法院从未判定该公司需为其滥用行为承担法律责任。NSO集团一直坚称，其工具仅供国家安全官员和执法人员用于调查情报事务和打击犯罪活动。 Meta旗下的WhatsApp早在2019年便提起了诉讼，指控NSO集团发现了其系统漏洞，并利用该漏洞在用户设备上秘密安装了间谍软件。记者、人权活动家、政治异见者、外交官及高级外国政府官员等，这些常成为Pegasus攻击目标的群体，均不幸成为了WhatsApp的受害者。 WhatsApp在诉讼中指出，NSO集团多次调整漏洞利用方式，以突破WhatsApp在长达两年时间内设置的防御屏障。 北加州联邦法官Phyllis Hamilton在裁决中明确表示，NSO集团的行为违反了联邦计算机欺诈和滥用法（CFAA）以及加利福尼亚州的综合计算机数据访问和欺诈法（CDAFA），并为其所实施的攻击提供了有力支持。此外，法官还判定NSO集团因违反WhatsApp的服务条款而需承担违约责任。 “历经五年的诉讼，我们对今天的裁决深感欣慰。”WhatsApp在声明中表示，“NSO集团将不再能够逃避其对WhatsApp、记者、人权活动家及公民社会所实施的非法攻击的责任。” “随着这一裁决的作出，间谍软件公司应清醒地认识到，他们的非法行为将不再被社会所容忍。” NSO集团的发言人未立即对请求置评的请求作出回应。 间谍软件的受害者及其支持者纷纷对这一裁决表示欢迎。 “这是首次成功地对NSO集团提起诉讼，并判定其因使用Pegasus间谍软件破坏了数百万人的数字安全基础设施而负有责任。”Access Now的高级技术法律顾问Natalia Krapiva表示，“尽管法院仍需确定NSO应支付的赔偿金额，但这一裁决对WhatsApp来说无疑是一次重大胜利，同时也为全球数百名受害者带来了正义，他们的生活因Pegasus和其他间谍软件而遭受了严重破坏。” Krapiva补充说，全球的间谍软件公司都应引起警觉，“无罪时代已经结束，他们将为破坏我们的设备和平台安全以及侵犯人权的行为承担法律责任。” 在裁决中，法官严厉批评了NSO集团，指出其多次未能按照法院命令提供完整的Pegasus源代码。法官在命令中强调，NSO提交的源代码仅限于以色列公民在以色列境内查看，并指出NSO未能以可访问的方式提供完整源代码是其决定支持WhatsApp请求制裁的主要原因之一。 法官进一步指出，NSO集团利用了一个名为“WhatsApp安装服务器”（WIS）的工具，使客户能够发送“加密”文件，并通过“安装向量”对目标实施监视。法官表示，NSO集团似乎“完全承认WIS通过WhatsApp服务器发送消息，导致Pegasus被安装到目标用户的设备上，并且WIS随后能够通过WhatsApp服务器获取受保护的信息，并将其传回WIS。” 在此案中出庭作证的NSO高级执行人员在宣誓证词中承认了他们开发了针对WhatsApp黑客攻击中使用的漏洞利用方式。最近公开的法院文件还显示，WhatsApp的安全团队多次成功阻止了Pegasus的入侵，但NSO集团仍继续研发新型恶意软件以突破其防御系统。 这场备受瞩目的诉讼为我们提供了一个难得的机会，得以深入了解这家神秘间谍软件制造商的内部运作。公司高管在证词中承认，与过去的声明相反，NSO集团实际上完全控制了从目标设备提取数据以及将间谍软件植入目标设备的过程。 “NSO的客户角色微不足道，”WhatsApp的一份文件表示，引用了一位高级高管的证词，“NSO通过其Pegasus的设计控制了数据检索和交付过程的每一个方面。” 这家间谍软件制造商曾试图阻止证词公开，但法官驳回了其请求，并命令上个月解封了这些文件。 案件中的证据还显示，即使在WhatsApp起诉NSO集团涉嫌违反联邦反黑客法之后，NSO集团仍继续开发新的恶意软件，通过WhatsApp账户感染受害者。 根据法院档案，关于赔偿金额的辩论将于三月展开。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种全新的Microsoft 365钓鱼即服务（PaaS）平台，名为“FlowerStorm”，正在网络空间中迅速崛起，并成功填补了此前Rockstar2FA网络犯罪服务平台因意外关闭而留下的市场空缺。 据Trustwave的记录显示，Rockstar2FA作为一种专门支持大规模中间人攻击（AiTM）的PaaS平台，其主要目标是窃取Microsoft 365用户的凭证信息。该平台以其先进的规避技术、直观易用的控制面板以及多样化的钓鱼选项，向网络犯罪分子提供了为期两周的访问权限，费用高达200美元。 然而，在2024年11月11日，Rockstar2FA遭遇了部分基础设施的重大故障，导致多个服务页面无法正常访问。Sophos的研究员Sean Gallagher和Mark Parsons指出，此次故障似乎并非由执法机构的行动引发，而更可能源于技术层面的失误。 就在Rockstar2FA陷入困境的几周后，FlowerStorm这一新平台悄然出现在网络上，并迅速吸引了大量关注。   Rockstar2FA的检测情况 Sophos的研究发现，新兴的FlowerStorm服务与之前的Rockstar2FA在多个方面存在显著共性，这引发了人们对其是否为同一运营者为了降低曝光风险而改名的猜测。具体而言，Sophos识别出以下相似之处： 两个平台都使用模拟合法登录页面（如Microsoft）的钓鱼门户来窃取凭证和多因素认证（MFA）令牌，依赖于托管在.ru和.com等域名上的后台服务器。Rockstar2FA使用随机PHP脚本，而FlowerStorm则统一使用next.php。 钓鱼页面的HTML结构非常相似，包含随机文本注释、Cloudflare“旋转门”安全功能和类似“初始化浏览器安全协议”的提示。Rockstar2FA使用汽车主题，而FlowerStorm则改为植物主题，但底层设计保持一致。 凭证收集方法高度一致，使用诸如电子邮件、密码和会话跟踪令牌等字段。两个平台都支持通过后台系统进行电子邮件验证和MFA认证。 域名注册和托管模式有显著重叠，广泛使用.ru和.com域名及Cloudflare服务。它们的活动模式在2024年底显示出同步的波动，可能暗示有协调行动。 两个平台都出现了操作失误，暴露了后台系统，并展示了高度可扩展性。Rockstar2FA管理超过2000个域名，而FlowerStorm在Rockstar2FA崩溃后迅速扩展，暗示共享框架。 Sophos总结道：“尽管我们不能完全确定Rockstar2FA与FlowerStorm之间存在直接的关联，但两者在工具包内容上的高度相似性表明它们至少有着共同的起源或技术背景。”同时，Sophos也指出，“域名注册的相似模式可能反映了FlowerStorm和Rockstar在某种程度上的协调合作，但也有可能是市场力量驱动的结果。” 无论FlowerStorm的崛起背后有何种故事，对于用户和组织而言，它都是一个不容忽视的新威胁。该平台支持破坏性的钓鱼攻击，可能导致全面的网络入侵和数据泄露。 Sophos的遥测数据显示，约63%的组织和84%的FlowerStorm攻击目标用户位于美国。其中，服务、制造业、零售和金融服务等行业成为最受攻击的目标。 为了有效防范钓鱼攻击，建议用户和组织采取以下措施： 使用支持AiTM抗性FIDO2令牌的多因素认证（MFA）技术； 部署电子邮件过滤解决方案以拦截恶意邮件； 使用DNS过滤技术来阻止对可疑域名的访问（如.ru、.moscow和.dev等）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 已修复的Fortinet FortiClient EMS严重安全漏洞CVE-2023-48788（CVSS评分高达9.3）目前正被恶意攻击者利用。该漏洞是一种SQL注入漏洞，允许攻击者通过发送精心构造的数据包来执行未经授权的代码或命令。 据俄罗斯网络安全公司Kaspersky透露，2024年10月，一家未透露名称的公司因Windows服务器暴露在互联网上且存在两个与FortiClient EMS相关的开放端口而成为了攻击目标。这家公司使用Fortinet技术为员工提供安全的VPN访问权限，并允许员工将特定的策略下载到公司设备上。 攻击者首先利用CVE-2023-48788漏洞作为初始访问途径，随后通过部署远程桌面软件如AnyDesk和ScreenConnect获得远程访问受损主机的权限。Kaspersky的分析指出，在初次安装后，攻击者开始向受感染系统上传额外的有效载荷，进行发现与横向移动活动，如枚举网络资源、尝试获取凭证、执行防御规避技术，并通过AnyDesk远程控制工具生成进一步的持久性。 攻击过程中部署的一些其他重要工具包括： webbrowserpassview.exe，一款密码恢复工具，用于显示存储在Internet Explorer（版本4.0至11.0）、Mozilla Firefox（所有版本）、Google Chrome、Safari和Opera中的密码。 Mimikatz netpass64.exe，一款密码恢复工具 netscan.exe，一款网络扫描工具 据信，这场攻击的幕后黑手针对了多家位于不同国家的公司，包括巴西、克罗地亚、法国、印度、印尼、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋等，并利用了不同的ScreenConnect子域名。 Kaspersky还表示，它在2024年10月23日检测到了另一起利用CVE-2023-48788漏洞的攻击。这次攻击执行了一个托管在webhook[.]site域名上的PowerShell脚本，旨在扫描易受该漏洞影响的系统并“收集来自易受攻击目标的响应”。 这一披露发生在网络安全公司Forescout在8个月前揭露类似的攻击活动后，后者也利用了CVE-2023-48788漏洞，部署了ScreenConnect和Metasploit Powerfun有效载荷。 “对这一事件的分析帮助我们确定了攻击者当前用于部署远程访问工具的技术，正在不断更新和增加复杂性，”研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sophos发布了热修复程序，修复了其防火墙产品中的三个安全漏洞，这些漏洞可能被利用来实现远程代码执行，并在特定条件下允许特权系统访问。 其中两个漏洞的严重性被评为“关键”，但截至目前，没有证据表明这些漏洞已被大规模地利用以进行攻击。以下是漏洞的详细信息： CVE-2024-12727 (CVSS评分：9.8)：在电子邮件保护功能中存在一个未经身份验证的SQL注入漏洞，攻击者如果启用了特定配置的Secure PDF eXchange（SPX），并且防火墙运行在高可用（HA）模式下，可能导致远程代码执行。 CVE-2024-12728 (CVSS评分：9.8)：在高可用（HA）集群初始化过程中，由于建议的非随机SSH登录密码短语，存在一个弱口令漏洞，即使在HA建立过程完成后，该密码仍然有效，从而暴露了特权访问帐户（如果SSH已启用）。 CVE-2024-12729(CVSS评分：8.8)：在用户门户中存在一个身份验证后代码注入漏洞，允许经过身份验证的用户获得远程代码执行权限。 该安全厂商表示，CVE-2024-12727 影响大约0.05%的设备，而 CVE-2024-12728 影响约0.5%的设备。这三种漏洞都影响Sophos Firewall 21.0 GA（21.0.0）及更早版本，修复版本如下： CVE-2024-12727 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2） CVE-2024-12728 – v20 MR3、v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2） CVE-2024-12729 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3） 为了确保热修复程序已应用，用户被建议执行以下步骤： CVE-2024-12727 – 从Sophos防火墙控制台启动设备管理>高级Shell，运行命令“cat /conf/nest_hotfix_status”（如果值为320或更高，则表示已应用热修复程序） CVE-2024-12728 和CVE-2024-12729  – 从Sophos防火墙控制台启动设备控制台，运行命令“system diagnostic show version-info”（如果值为HF120424.1或更高，则表示已应用热修复程序） 作为临时解决方法，直到应用补丁，Sophos建议客户将SSH访问限制为仅通过物理隔离的专用HA链路，和/或重新配置HA，使用足够长且随机的自定义密码短语。 用户还可以采取的另一个安全措施是禁用WAN上的SSH访问，并确保用户门户和Web管理界面不暴露在WAN上。 这一安全修复发生在约一周前美国政府对中国公民关天峰提出指控之后，该指控称关天峰利用零日安全漏洞（CVE-2020-12271，CVSS评分高达9.8）侵入了全球大约81,000台Sophos防火墙。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rspack开发者近日透露，其两个npm包——@rspack/core与@rspack/cli，不幸遭遇了供应链攻击。攻击者利用未授权的npm发布权限，将含有加密货币挖矿恶意软件的版本上传至官方包管理库中。 在发现该问题后，Rspack团队迅速行动，将存在风险的1.1.7版本从npm注册表中下架，并发布了最新的安全版本1.1.8。 安全供应链领域的专家公司Socket对此进行了分析，指出：“这些被攻击者发布的版本，内含恶意脚本，对系统安全构成严重威胁。” Rspack，这一由字节跳动公司开发的高性能JavaScript打包工具，凭借其Rust编写的高效性，受到了阿里巴巴、亚马逊、Discord和微软等众多公司的青睐。数据显示，受影响的npm包每周下载量分别超过30万和14.5万次。 深入分析感染版本后发现，恶意代码会秘密地将敏感配置信息（如云服务凭证）通过HTTP请求发送至远程服务器（”80.78.28[.]72″），同时还会收集IP地址和位置信息。值得注意的是，此次攻击还特别针对了中国、俄罗斯、中国香港、白俄罗斯和伊朗等地区的机器。 而攻击的最终目的，是在受感染的Linux主机上，通过安装包中的postinstall脚本，自动下载并执行XMRig加密货币挖矿程序。Socket公司表示：“恶意软件通过自动运行的postinstall脚本执行，确保恶意负载无需用户操作即可嵌入目标环境中。” 面对此次攻击，Rspack项目维护者除了发布无恶意代码的新版本外，还采取了多项措施，包括废除所有现有的npm和GitHub令牌、检查代码库和npm包的权限、对源代码进行审计等。目前，针对令牌盗窃的根本原因仍在调查中。 此次事件再次凸显了包管理工具在安全防护方面的不足，需要加强认证检查等保护措施，但即便如此，也无法完全避免此类攻击。 此外，研究还发现，另一npm包vant也遭受了此次供应链攻击的波及。该包每周下载量超过4.1万次。Sonatype公司表示，攻击者成功将多个受感染版本发布至npm注册表，版本范围覆盖2.13.3至4.9.14。 vant项目维护者对此回应称：“此版本旨在修复一个安全问题。我们发现团队成员的npm令牌被窃取，并被用于发布多个含有安全漏洞的版本。我们已经采取措施修复问题，并重新发布了最新版本。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文