研究人员指出,他们看到利用这种URL触发漏洞的攻击手法,最早可追溯到去年1月,换言之,黑客运用这项漏洞的时间已长达一年半。Check Point研究小组经理Eli Smadja透露,他们至少看到两起攻击行动,其中有人利用上述漏洞散布名为Atlantida的窃资软件。
他们在今年5月中旬,发现使用Atlantida的黑客利用这项漏洞,锁定土耳其及越南的用户。这些黑客入侵含有弱点的WordPress网站,然后通过HTA及PowerShell文件从事攻击。
黑客锁定以色列政府机关及企业组织,意图散布以开源工具打造的恶意程序GrassHopper
资安业者HarfangLab在调查锁定以色列政府、企业组织的攻击行动过程里,找到先前未曾揭露的可疑网域,攻击者将其用于设置C2服务器,但特别的是,这个网域存在的时间相当长,引起了研究人员的注意。
他们循线调查黑客在攻击过程使用的相关工具,发现对方使用可公开的恶意软件,也有部分作案工具是自行开发,相关攻击行动具有高度针对性,他们散布恶意酬载的管道,是利用专门为目标基础设施量身打造的WordPress网站,研究人员指出,这些攻击仰赖开源的恶意软件,影响范围甚至扩及了不同领域的垂直产业。
针对上述的攻击行动,研究人员怀疑是资安人员的渗透测试所致,但由于相关的攻击基础设施并未与市面上的渗透测试业者有关,因此他们认为应该向资安社群公布相关发现。
其他攻击与威胁
◆中东国家的军事人员遭到恶意程序GuardZoo锁定,逾450人安卓手机遭到监控
◆拉丁美洲矿业、制造业遭到锁定,黑客对其散布木马程序Poco RAT
◆电脑制造商Zotec不慎曝露申请退货授权请求的相关文档,进一步导致客户数据曝光
◆电玩游戏Roblox传出供应商数据外泄,开发者大会与会者数据流出
【漏洞与修补】
Citrix修补应用程序交付平台NetScaler高风险漏洞,若不处理恐面临信息泄露、阻断服务风险
7月9日Citrix针对旗下多项产品发布资安公告,总共修补9项漏洞,其中又以出现在应用程序交付平台NetScaler主控台组件、NetScaler SVM的漏洞最为危险,而值得留意。
这些漏洞分别是:重大层级的敏感信息泄露漏洞CVE-2024-6235,高风险层级的阻断服务(DoS)漏洞CVE-2024-6236,CVSS风险评分为9.4、7.1。
值得留意的是,虽然CVE-2024-6235较为危险,但CVE-2024-6236影响范围较广。CVE-2024-6235影响14.1版NetScaler Console(原名NetScaler ADM),而另一个漏洞不仅影响13.0、13.1、14.1版NetScaler Console,也影响NetScaler SDX、NetScaler Agent组件。
VMware揭露自动化处理平台存在高风险漏洞,攻击者可对其发动SQL注入攻击
7月10日VMware修补旗下云端自动化平台Aria Automation高风险漏洞CVE-2024-22280,此为SQL注入漏洞,起因是并未套用正确的输入验证产生,CVSS风险评分为8.5,影响8.17.0版以下的Aria Automation,以及4.x版、5.x版Cloud Foundation。
攻击者若要利用这项漏洞,可在通过身分验证的情况下,输入伪造的SQL查找指令,从而进行未经授权的数据库读取及写入作业。
研究发现RADIUS协定存在漏洞Blast RADIUS,可让黑客发动中间人攻击
由微软、Cloudflare等资安产学专家组成的研究团队针对RADIUS通信协定进行调查,发现安全漏洞Blast RADIUS(CVE-2024-3596),有可能被攻击者用于发动中间人(MitM)攻击,呼吁IETF等标准组织应翻新设计,设备厂商应考虑使用更安全的传输技术。
这项通信协定漏洞,可让非授权者攻击者通过验证、以存取远程设备,或是取得任意网络权限,包括管理员对设备权限,即可对网络上其他设备发动中间人攻击,而且过程中完全无需使用暴力破解、窃取密码或共享密钥。
研究人员表示,这项研究目的在证明RADIUS安全防护不足,呼吁设备厂商和标准组织IETF汰除RADIUS over UDP,并要求在更安全的信道传输RADIUS,如TLS。
其他漏洞与修补
◆西门子、施耐德电机、CISA针对工业控制系统发布资安公告
近期资安日报
【7月10日】微软发布本月例行更新,修补超过140个漏洞,其中包含4个零时差漏洞引起关注
【7月9日】留意BEC诈骗攻击,恶意软件沙箱服务业者遭网钓攻击后,查出邮件备份程序PerfectData恐泄漏电子邮件
【7月8日】勒索软件Eldorado同时锁定Windows与Linux电脑、虚拟化平台VMware ESXi发动攻击