Ngioweb 僵尸网络助长 NSOCKS 住宅代理网络利用物联网设备 网络相关
Lumen Technologies 的最新发现显示,名为 Ngioweb 的恶意软件已被用于支持臭名昭著的住宅代理服务 NSOCKS,以及 VN5Socks 和 Shopsocks5 等其他服务。
Lumen Technologies 的 Black Lotus Labs 团队在与 The Hacker News 分享的一份报告中表示:“我们遥测的 NSOCKS 机器人中至少有 80% 来自 Ngioweb 僵尸网络,主要利用小型办公室/家庭办公室 (SOHO) 路由器和物联网设备。”“这些代理中有三分之二位于美国”
“该网络平均每天维持大约 35,000 个工作机器人,其中 40% 的机器人活跃时间长达一个月或更长时间。”
Ngioweb最早于 2018 年 8 月被 Check Point 记录在案,与传播恶意软件的Ramnit 木马活动有关。近几周, LevelBlue和Trend Micro对 Ngioweb 进行了广泛分析,其中后者正在追踪该行动背后以经济为动机的威胁行为者 Water Barghest。
该恶意软件能够针对运行 Microsoft Windows 和 Linux 的设备,其名称取自 2018 年注册的命令和控制 (C2) 域,名称为“ngioweb[.]su”。
据 Trend Micro 称,截至 2024 年 10 月,该僵尸网络包含超过 20,000 台物联网设备,Water Barghest 利用它来查找和渗透易受攻击的物联网设备,使用自动脚本并部署 Ngioweb 恶意软件,将其注册为代理。受感染的机器人随后被列入住宅代理市场上出售。
研究人员 Feike Hacquebord 和 Fernando Mercês 表示:“从最初的感染到设备作为代理在住宅代理市场上可用,整个货币化过程只需 10 分钟,这表明这是一个高度高效和自动化的操作。”
使用该恶意软件的攻击链利用了一系列漏洞和零日漏洞,用于攻击路由器和家用物联网设备,如摄像头、吸尘器和门禁等。该僵尸网络采用两层架构:第一层是加载器网络,由 15-20 个节点组成,它将机器人引导到加载器 C2 节点以检索和执行 Ngioweb 恶意软件。
按设备类型对住宅代理提供商的代理进行细分,结果显示僵尸网络运营商针对的是广泛的供应商,包括 NETGEAR、Uniview、Reolink、Zyxel、Comtrend、SmartRG、Linear Emerge、Hikvision 和 NUUO。
LevelBlue 和 Lumen 的最新披露显示,感染 Ngioweb 木马的系统被作为 NSOCKS 的住宅代理服务器出售,而 NSOCKS 此前曾被威胁行为者用于针对 Okta 的凭证填充攻击。
“NSOCKS 在世界各地销售 SOCKS5 代理的访问权限,买家可以根据位置(州、城市或邮政编码)、ISP、速度、受感染设备类型和新旧程度进行选择,”LevelBlue 表示。“24 小时访问的价格在 0.20 美元到 1.50 美元之间,取决于设备类型和感染时间。”
受害设备还被发现与由域生成算法 (DGA) 创建的第二阶段 C2 域建立长期连接。这些域在任何时候都约为 15 个,充当“守门人”,确定机器人是否值得添加到代理网络中。
如果设备符合资格标准,DGA C2 节点会将它们连接到反向连接 C2 节点,进而通过 NSOCKS 代理服务使它们可供使用。
Lumen Technologies 表示:“NSOCKS 用户通过 180 多个‘反向连接’ C2 节点路由其流量,这些节点充当入口/出口点,用于掩盖或代理其真实身份。”“这项服务背后的参与者不仅为其客户提供了代理恶意流量的手段,而且该基础设施还经过精心设计,使各种威胁行为者能够创建自己的服务。”
更糟糕的是,由 NSOCKS 提供支持的开放代理也已成为各种行为者大规模发起强大的分布式拒绝服务 (DDoS) 攻击的途径。该电信公司表示,已采取措施阻止所有进出与 Ngioweb 僵尸网络相关的专用基础设施的流量,以阻止该活动。
住宅代理服务的商业市场和代理的地下市场预计在未来几年将会增长,部分原因是受到高级持续威胁 (APT) 组织和网络犯罪组织的需求推动。
Lumen 表示:“这些网络经常被寻找漏洞或窃取凭证的犯罪分子利用,为他们提供了一种无缝方法来部署恶意工具,而无需透露他们的位置或身份。”
“尤其令人担忧的是 NSOCKS 等服务的使用方式。使用 NSOCKS,用户可以选择 180 个不同的国家作为其终端。此功能不仅允许恶意行为者在全球范围内传播其活动,还使他们能够通过域名(例如 .gov 或 .edu)瞄准特定实体,这可能导致更有针对性且可能更具破坏性的攻击。”
Oracle 警告 Agile PLM 漏洞目前正受到积极利用 网络相关
Oracle 警告称,影响敏捷产品生命周期管理 (PLM) 框架的高严重性安全漏洞已被广泛利用。
该漏洞的编号为CVE-2024-21287(CVSS 评分:7.5),可在无需身份验证的情况下被利用来泄露敏感信息。
该公司在一份公告中表示: “此漏洞无需身份验证即可被远程利用,也就是说,它可以通过网络被利用,无需用户名和密码。如果成功利用,此漏洞可能会导致文件泄露。”
CrowdStrike 安全研究人员 Joel Snape 和 Lutz Wolf 因发现并报告该漏洞而受到赞誉。
目前尚无关于谁在利用此漏洞、恶意活动的目标是谁以及这些攻击的范围有多广的信息。
Oracle 安全保障副总裁 Eric Maurice表示: “如果成功利用该漏洞,未经身份验证的犯罪者可以从目标系统下载可在 PLM 应用程序使用的权限下访问的文件。”
鉴于积极利用,建议用户尽快应用最新补丁以获得最佳保护。
Hacker News 已联系 Oracle 和 CrowdStrike 征求意见。如果收到回复,我们将更新此报道。
苹果发布紧急更新,修复被积极利用的零日漏洞 网络相关
Apple 发布了针对 iOS、iPadOS、macOS、visionOS 及其 Safari 网络浏览器的安全更新,以解决两个已被广泛利用的零日漏洞。
这些缺陷如下:
CVE-2024-44308 - JavaScriptCore 中的漏洞,在处理恶意 Web 内容时可能导致任意代码执行
CVE-2024-44309 - WebKit 中的 cookie 管理漏洞,在处理恶意 Web 内容时可能导致跨站点脚本 (XSS) 攻击
这家 iPhone 制造商表示,它分别通过改进检查和改进状态管理解决了 CVE-2024-44308 和 CVE-2024-44309 问题。
目前关于漏洞利用的具体性质尚不清楚,但苹果承认,这两个漏洞“可能在基于 Intel 的 Mac 系统上被积极利用”。
谷歌威胁分析小组 (TAG) 的 Clément Lecigne 和 Benoît Sevens 因发现和报告这两个漏洞而受到赞誉,这表明这两个漏洞很可能被用于高度针对性的政府支持或雇佣兵间谍软件攻击。
更新适用于以下设备和操作系统 -
iOS 18.1.1 和 iPadOS 18.1.1 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 7 代及更新机型、iPad mini 第 5 代及更新机型
iOS 17.7.2 和 iPadOS 17.7.2 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型、iPad mini 第 5 代及更新机型
macOS Sequoia 15.1.1 - 运行 macOS Sequoia 的 Mac
visionOS 2.1.1 -Apple Vision Pro
Safari 18.1.1 - 运行 macOS Ventura 和 macOS Sonoma 的 Mac
到目前为止,苹果今年已修复了其软件中的四个零日漏洞,其中一个 ( CVE-2024-27834 ) 在 Pwn2Own 温哥华黑客大赛上进行了展示。另外三个漏洞分别于2024 年1 月和3 月进行了修补。
建议用户尽快将其设备更新到最新版本,以防范潜在威胁。
警告:VMware vCenter 和 Kemp LoadMaster 漏洞正受到积极利用 网络相关
据了解,影响 Progress Kemp LoadMaster 和 VMware vCenter Server 的安全漏洞现已得到修补,并正在遭到广泛利用。
美国网络安全和基础设施安全局 (CISA) 周一将Progress Kemp LoadMaster 中最高严重性安全漏洞CVE-2024-1212 (CVSS 评分:10.0)添加到其已知被利用漏洞 ( KEV ) 目录中。Progress Software 早在2024 年 2 月就解决了这个问题。
该机构表示:“Progress Kemp LoadMaster 包含一个操作系统命令注入漏洞,允许未经身份验证的远程攻击者通过 LoadMaster 管理界面访问系统,从而执行任意系统命令。”
发现并报告该漏洞的Rhino 安全实验室表示,如果攻击者可以访问管理员 Web 用户界面,则成功利用该漏洞可以在 LoadMaster 上执行命令,从而授予他们对负载均衡器的完全访问权限。
CISA 添加 CVE-2024-1212 的同时,博通也发出警告称,攻击者目前正在利用 VMware vCenter Server 中最近披露的两个安全漏洞。今年 6 月,在中国举行的 Matrix Cup 网络安全竞赛中展示了这两个漏洞。
这两个漏洞分别为 CVE-2024-38812(CVSS 评分:9.8)和 CVE-2024-38813(CVSS 评分:7.5),最初于 2024 年 9 月得到解决,但该公司上个月第二次对前者进行了修复,并表示之前的补丁“并未完全解决”问题。
CVE-2024-38812 - DCERPC 协议实现中存在堆溢出漏洞,可能允许具有网络访问权限的恶意行为者获取远程代码执行权限
CVE-2024-38813 - 一个权限提升漏洞,可能允许具有网络访问权限的恶意行为者将权限提升至 root
虽然目前还没有关于在现实世界的攻击中观察到的利用这些漏洞的详细信息,但 CISA 建议联邦民事行政部门 (FCEB) 机构在 2024 年 12 月 9 日之前修复 CVE-2024-1212,以确保其网络的安全。
几天前,Sophos披露,网络犯罪分子正在积极利用 Veeam Backup & Replication 中的一个严重漏洞(CVE-2024-40711,CVSS 评分:9.8)来部署一种之前未记录的勒索软件 Frag。
Ubuntu Needrestart 软件包中发现数十年之久的安全漏洞 网络相关
Ubuntu Server(自 21.04 版起)默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞,这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权限。
Qualys 威胁研究部门 (TRU)于上个月初发现并报告了这些漏洞,并表示这些漏洞很容易被利用,因此用户必须迅速采取行动来修复。据信这些漏洞自 2014 年 4 月 27 日发布的needrestart 0.8引入解释器支持以来就一直存在。
Ubuntu 在一份公告中表示:“这些 needrestart 漏洞允许本地权限提升 (LPE),这意味着本地攻击者能够获得 root 权限”,并指出这些问题已在 3.8 版本中得到解决。
Needrestart 是一个实用程序,它可以扫描系统以确定在应用共享库更新后需要重新启动的服务,以避免整个系统重新启动。
以下列出了五个缺陷——
CVE-2024-48990(CVSS 评分:7.8) - 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 PYTHONPATH 环境变量运行 Python 解释器,从而以 root 身份执行任意代码
CVE-2024-48991(CVSS 评分:7.8) - 该漏洞允许本地攻击者通过赢得竞争条件并诱骗 needrestart 运行自己的伪 Python 解释器,以 root 身份执行任意代码
CVE-2024-48992(CVSS 评分:7.8) - 一个漏洞,允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 RUBYLIB 环境变量运行 Ruby 解释器,从而以 root 身份执行任意代码
CVE-2024-11003(CVSS 评分:7.8)和CVE-2024-10224(CVSS 评分:5.3)- 两个漏洞允许本地攻击者利用 libmodule-scandeps-perl 软件包(版本 1.36 之前)中的问题以 root 身份执行任意 shell 命令
成功利用上述缺陷可以允许本地攻击者为 PYTHONPATH 或 RUBYLIB 设置特制的环境变量,从而导致在运行 needrestart 时执行指向威胁行为者环境的任意代码。
Ubuntu 指出:“在 CVE-2024-10224 中,[...] 攻击者控制的输入可能导致 Module::ScanDeps Perl 模块通过 open() 一个‘讨厌的管道’(例如通过传递‘commands|’作为文件名)或通过将任意字符串传递给 eval() 来运行任意 shell 命令。”
“就其本身而言,这不足以实现本地权限提升。然而,在 CVE-2024-11003 中,needrestart 将攻击者控制的输入(文件名)传递给 Module::ScanDeps,并以 root 权限触发 CVE-2024-10224。CVE-2024-11003 的修复消除了 needrestart 对 Module::ScanDeps 的依赖。”
虽然强烈建议下载最新的补丁,但 Ubuntu 表示用户可以根据需要禁用解释器扫描器,重新启动配置文件作为临时缓解措施,并确保在应用更新后恢复更改。
Qualys 公司 TRU 产品经理 Saeed Abbasi 表示:“needrestart 实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限,其中 needrestart 通常以 root 用户身份运行。”
“利用这些漏洞的攻击者可以获得 root 访问权限,从而损害系统完整性和安全性。”
PostgreSQL 中的高严重性缺陷允许黑客利用环境变量 网络相关
网络安全研究人员披露了 PostgreSQL 开源数据库系统中的一个高严重性安全漏洞,该漏洞可能允许非特权用户更改环境变量,并可能导致代码执行或信息泄露。
该漏洞的编号为CVE-2024-10979,CVSS 评分为 8.8。
环境变量是用户定义的值,可让程序在运行时动态获取各种信息,例如访问密钥和软件安装路径,而无需对其进行硬编码。在某些操作系统中,它们在启动阶段初始化。
PostgreSQL在周四发布的一份公告中表示: “PostgreSQL PL/Perl 中对环境变量的错误控制允许非特权数据库用户更改敏感的进程环境变量(例如PATH)。”
“即使攻击者没有数据库服务器操作系统用户,这通常也足以实现任意代码执行。”
该漏洞已在 PostgreSQL 版本 17.1、16.5、15.9、14.14、13.17 和 12.21 中得到解决。发现该问题的 Varonis 研究人员 Tal Peleg 和 Coby Abrams表示,根据攻击场景,该漏洞可能会导致“严重的安全问题”。
这包括但不限于通过修改 PATH 等环境变量来执行任意代码,或通过运行恶意查询来提取机器上的有价值的信息。
目前尚未公布该漏洞的更多详细信息,以便用户有足够的时间修复。还建议用户限制允许的扩展。
“例如,将 CREATE EXTENSIONS 权限授予特定扩展,并另外设置 shared_preload_libraries 配置参数以仅加载所需的扩展,通过限制 CREATE FUNCTION 权限来限制角色按照最小特权原则创建函数,”Varonis 说。
网络犯罪分子利用 Excel 漏洞传播无文件 Remcos RAT 恶意软件 网络相关
网络安全研究人员发现了一种新的网络钓鱼活动,该活动传播已知商业恶意软件Remcos RAT的新型无文件变种。
Fortinet FortiGuard Labs 研究员张晓鹏在上周发表的分析报告中表示, Remcos RAT“为买家提供了一系列先进功能,可远程控制买家的计算机”。
“然而,威胁行为者滥用 Remcos 收集受害者的敏感信息并远程控制他们的计算机来执行进一步的恶意行为。”
攻击的起点是一封网络钓鱼电子邮件,使用以采购订单为主题的诱饵来诱使收件人打开 Microsoft Excel 附件。
该恶意 Excel 文档旨在利用 Office 中已知的远程代码执行漏洞(CVE-2017-0199,CVSS 评分:7.8)从远程服务器(“192.3.220[.]22”)下载 HTML 应用程序(HTA)文件(“cookienetbookinetcahce.hta”)并使用 mshta.exe 启动它。
而 HTA 文件则被多层 JavaScript、Visual Basic Script 和 PowerShell 代码包裹,以逃避检测。它的主要职责是从同一台服务器检索可执行文件并执行它。
随后,该二进制文件继续运行另一个经过混淆的 PowerShell 程序,同时还采用了一系列反分析和反调试技术来使检测工作变得复杂。下一步,恶意代码利用进程挖空技术最终下载并运行 Remcos RAT。
“它不是将 Remcos 文件保存到本地文件并运行,而是直接在当前进程的内存中部署 Remcos,”张说。“换句话说,它是 Remcos 的无文件版本。”
Remcos RAT 能够从受感染主机收集各种信息,包括系统元数据,并可以通过命令和控制 (C2) 服务器远程执行攻击者发出的指令。
这些命令允许程序收集文件、枚举和终止进程、管理系统服务、编辑 Windows 注册表、执行命令和脚本、捕获剪贴板内容、更改受害者的桌面壁纸、启用摄像头和麦克风、下载其他有效负载、记录屏幕,甚至禁用键盘或鼠标输入。
与此同时,Wallarm 披露,威胁行为者正在滥用 Docusign API发送看似真实的虚假发票,试图欺骗毫无戒心的用户并大规模开展网络钓鱼活动。
攻击需要创建一个合法的付费 Docusign 账户,这样攻击者就可以更改模板并直接使用 API。然后,这些账户会被用来创建特制的发票模板,模仿 Norton Antivirus 等知名品牌对文档进行电子签名的请求。
该公司表示:“与依赖欺骗性电子邮件和恶意链接的传统网络钓鱼诈骗不同,这些事件使用真正的 DocuSign 帐户和模板来冒充信誉良好的公司,让用户和安全工具措手不及。”
“如果用户以电子方式签署该文档,攻击者可以使用签署的文档向 DocuSign 以外的组织请求付款,或者通过 DocuSign 将签署的文档发送到财务部门进行付款。”
我们还观察到网络钓鱼活动利用一种名为 ZIP 文件串联的非常规策略来绕过安全工具并向目标分发远程访问木马。
该方法涉及将多个 ZIP 存档附加到单个文件中,这会引入安全问题,因为 7-Zip、WinRAR 和 Windows 文件资源管理器等不同程序对此类文件的解压和解析存在差异,从而导致忽略恶意负载的情况。
Perception Point在最近的一份报告中指出: “通过利用 ZIP 阅读器和档案管理器处理连接 ZIP 文件的不同方式,攻击者可以嵌入专门针对某些工具用户的恶意软件。”
“威胁行为者知道这些工具通常会错过或忽略隐藏在连接档案中的恶意内容,从而使他们能够在不被发现的情况下传递有效载荷,并瞄准使用特定程序处理档案的用户。”
与此同时,一个名为 Venture Wolf 的威胁行为者涉嫌使用MetaStealer(RedLine Stealer 恶意软件的一个分支)针对俄罗斯制造业、建筑业、IT 和电信行业发起网络钓鱼攻击。
OvrC 平台漏洞使物联网设备面临远程攻击和代码执行风险 网络相关
OvrC 云平台的安全分析发现了 10 个漏洞,这些漏洞可以串联起来,让潜在攻击者在连接的设备上远程执行代码。
Claroty 研究员 Uri Katz在一份技术报告中表示: “成功利用这些漏洞的攻击者可以访问、控制和破坏 OvrC 支持的设备;其中包括智能电源、摄像头、路由器、家庭自动化系统等。”
Snap One 的 OvrC(发音为“oversee”)被宣传为“革命性支持平台”,可让房主和企业远程管理、配置和排除网络上的物联网设备故障。据其网站称,OvrC 解决方案已部署在 500,000 多个终端用户位置。
根据美国网络安全和基础设施安全局 (CISA) 发布的协调咨询,成功利用已发现的漏洞可能允许攻击者“冒充和声明设备、执行任意代码并泄露有关受影响设备的信息”。
这些漏洞被发现影响 OvrC Pro 和 OvrC Connect,该公司于 2023 年 5 月发布了对其中 8 个漏洞的修复,并于 2024 年 11 月 12 日发布了对其余两个漏洞的修复。
“我们发现许多问题都是由于忽视了设备到云的接口而引起的,”Katz 说。“在许多情况下,核心问题是由于标识符薄弱或类似的错误而导致物联网设备交叉认领的能力。这些问题包括访问控制薄弱、身份验证绕过、输入验证失败、硬编码凭证和远程代码执行缺陷。”
因此,远程攻击者可以滥用这些漏洞绕过防火墙并获得对基于云的管理界面的未授权访问。更糟糕的是,随后可以利用此访问权限来枚举和分析设备、劫持设备、提升权限,甚至运行任意代码。
最严重的缺陷如下:
CVE-2023-28649(CVSS v4 评分:9.2),允许攻击者冒充集线器并劫持设备
CVE-2023-31241(CVSS v4 评分:9.2),允许攻击者绕过序列号要求来认领任意无人认领的设备
CVE-2023-28386(CVSS v4 评分:9.2),允许攻击者上传任意固件更新,从而导致代码执行
CVE-2024-50381(CVSS v4 评分:9.1),允许攻击者冒充集线器并任意取消认领设备,随后利用其他漏洞来认领它
“随着每天有越来越多的设备上线,云管理成为配置和访问服务的主要方式,制造商和云服务提供商比以往任何时候都更需要确保这些设备和连接的安全,”Katz 表示。“负面影响可能会影响连接的电源、商业路由器、家庭自动化系统以及更多与 OvrC 云连接的设备。”
此次披露之际,Nozomi Networks详细介绍了影响 EmbedThis GoAhead 的三个安全漏洞,EmbedThis GoAhead 是一款用于嵌入式和物联网设备的紧凑型 Web 服务器,在特定条件下可能导致拒绝服务 (DoS)。这些漏洞 (CVE-2024-3184、CVE-2024-3186 和 CVE-2024-3187) 已在 GoAhead 6.0.1 版中得到修补。
最近几个月,江森自控的 exacqVision Web 服务中还发现了多个安全漏洞,这些漏洞可以结合起来控制连接到该应用程序的监控摄像头的视频流并窃取凭证。
AndroxGh0st 恶意软件整合 Mozi 僵尸网络,攻击物联网和云服务 网络相关
AndroxGh0st 恶意软件背后的威胁行为者现在正在利用影响各种面向互联网的应用程序的更广泛的安全漏洞,同时还部署 Mozi 僵尸网络恶意软件。
CloudSEK在一份新报告中表示: “该僵尸网络利用远程代码执行和凭证窃取方法来维持持续访问,利用未修补的漏洞渗透关键基础设施。”
AndroxGh0st是一种基于 Python 的云攻击工具的名称,该工具以针对 Laravel 应用程序而闻名,目标是获取与 Amazon Web Services (AWS)、SendGrid 和 Twilio 等服务相关的敏感数据。
该恶意软件至少自 2022 年开始活跃,之前曾利用 Apache Web 服务器 ( CVE-2021-41773 )、Laravel 框架 ( CVE-2018-15133 ) 和 PHPUnit ( CVE-2017-9841 ) 中的漏洞获取初始访问权限、提升权限并建立对受感染系统的持续控制。
今年 1 月初,美国网络安全和情报机构透露,攻击者正在部署 AndroxGh0st 恶意软件来创建僵尸网络,以“在目标网络中识别和利用受害者”。
CloudSEK 的最新分析显示,该恶意软件正在战略性地扩大攻击范围,利用一系列漏洞进行初始访问 -
CVE-2014-2120(CVSS 评分:4.3)- Cisco ASA WebVPN 登录页面 XSS 漏洞
CVE-2018-10561(CVSS 评分:9.8)- Dasan GPON 身份验证绕过漏洞
CVE-2018-10562(CVSS 评分:9.8)- Dasan GPON 命令注入漏洞
CVE-2021-26086(CVSS 评分:5.3)- Atlassian Jira 路径遍历漏洞
CVE-2021-41277(CVSS 评分:7.5)- Metabase GeoJSON 地图本地文件包含漏洞
CVE-2022-1040(CVSS 评分:9.8)——Sophos 防火墙身份验证绕过漏洞
CVE-2022-21587(CVSS 评分:9.8)- Oracle E-Business Suite(EBS)未经身份验证的任意文件上传漏洞
CVE-2023-1389(CVSS 评分:8.8)- TP-Link Archer AX21 固件命令注入漏洞
CVE-2024-4577(CVSS 评分:9.8)——PHP CGI 参数注入漏洞
CVE-2024-36401(CVSS 评分:9.8)- GeoServer 远程代码执行漏洞
该公司表示:“僵尸网络会循环使用常见的管理用户名并使用一致的密码模式。目标 URL 会重定向到 /wp-admin/,这是 WordPress 网站的后端管理仪表板。如果身份验证成功,它就会获得对关键网站控制和设置的访问权限。”
我们还观察到,攻击利用 Netgear DGN 设备和 Dasan GPON 家用路由器中未经身份验证的命令执行漏洞,从不同的外部服务器(“200.124.241[.]140”和“117.215.206[.]216”)投放名为“Mozi.m”的有效载荷。
Mozi 是另一个著名的僵尸网络,它曾多次攻击物联网设备,将其纳入恶意网络,实施分布式拒绝服务 (DDoS) 攻击。
虽然恶意软件作者于 2021 年 9 月被中国执法官员逮捕,但直到 2023 年 8 月,不明身份的一方发出终止开关命令以终止该恶意软件时,Mozi 活动才出现急剧下降。人们怀疑僵尸网络创建者或中国当局发布了更新以拆除它。
AndroxGh0st 与 Mozi 的整合提高了建立运营联盟的可能性,从而使其能够传播到比以往更多的设备。
CloudSEK 表示:“AndroxGh0st 不仅与 Mozi 合作,还将 Mozi 的特定功能(例如物联网感染和传播机制)嵌入到其标准操作集中。”
“这意味着 AndroxGh0st 已经扩展到利用 Mozi 的传播能力来感染更多的物联网设备,并使用 Mozi 的有效载荷来实现原本需要单独感染程序才能实现的目标。”
“如果两个僵尸网络都使用相同的命令基础架构,则表明其操作集成程度很高,这可能意味着 AndroxGh0st 和 Mozi 都受同一网络犯罪集团控制。这种共享基础架构将简化对更广泛设备的控制,从而提高其联合僵尸网络操作的有效性和效率。”
CISA 警告 Palo Alto Networks 关键漏洞遭主动利用 网络相关
美国网络安全和基础设施安全局 (CISA) 周四将影响 Palo Alto Networks Expedition 的严重安全漏洞(现已修复)添加到其已知被利用漏洞 ( KEV ) 目录中,并指出有证据表明该漏洞存在主动利用。
该漏洞被标记为CVE-2024-5910(CVSS 评分:9.3),涉及 Expedition 迁移工具中缺少身份验证的情况,可能导致管理员帐户被接管。
CISA 在警报中表示:“Palo Alto Expedition 包含一个缺少身份验证的漏洞,该漏洞允许具有网络访问权限的攻击者接管 Expedition 管理员帐户并可能访问配置机密、凭据和其他数据。”
该缺陷影响了 Expedition 1.2.92 版本之前的所有版本,该版本于 2024 年 7 月发布,以解决该问题。
目前尚无关于该漏洞如何在实际攻击中被利用的报告,但 Palo Alto Networks 此后修改了其原始公告,承认其“注意到 CISA 的报告,有证据表明该漏洞正在被积极利用”。
KEV 目录中还添加了另外两个漏洞,其中包括 Android 框架组件中的权限提升漏洞 ( CVE-2024-43093 )。谷歌本周披露,该漏洞已受到“有限的、有针对性的利用”。
另一个安全缺陷是CVE-2024-51567(CVSS 评分:10.0),这是一个影响 CyberPanel 的严重缺陷,允许远程未经身份验证的攻击者以 root 身份执行命令。该问题已在 2.3.8 版本中得到解决。
据LeakIX和网名为Gi7w0rm的安全研究员称,2023 年 10 月下旬,有发现恶意行为者大规模利用该漏洞,在超过 22,000 个暴露在互联网上的 CyberPanel 实例上部署了 PSAUX 勒索软件。
LeakIX 还指出,三个不同的勒索软件组织迅速利用了该漏洞,在某些情况下文件被多次加密。
建议联邦民事行政部门 (FCEB) 机构在 2024 年 11 月 28 日之前修复已发现的漏洞,以保护其网络免受主动威胁。