美国网络安全和基础设施安全局 (CISA) 将影响Zyxel、North Grid Proself、ProjectSend和Cyber​​Panel产品的多个安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明这些漏洞正在被积极利用。

漏洞列表如下：

CVE-2024-51378（CVSS 评分：10.0） - 一个不正确的默认权限漏洞，允许绕过身份验证并使用 statusfile 属性中的 shell 元字符执行任意命令
CVE-2023-45727（CVSS 评分：7.5）- XML 外部实体 (XXE) 引用漏洞的不当限制，可能允许远程、未经身份验证的攻击者进行 XXE 攻击
CVE-2024-11680（CVSS 评分：9.8） - 一种不当身份验证漏洞，允许未经身份验证的远程攻击者创建帐户、上传 Web Shell 并嵌入恶意 JavaScript
CVE-2024-11667（CVSS 评分：7.5）- Web 管理界面中的路径遍历漏洞，可能允许攻击者通过精心设计的 URL 下载或上传文件

CVE-2023-45727 被纳入 KEV 目录是在趋势科技于 2024 年 11 月 19 日发布的一份报告之后，该报告将其积极利用与一个名为 Earth Kasha（又名 MirrorFace）的中国网络间谍组织联系起来。

上周，网络安全供应商 VulnCheck透露，恶意行为者最早在 2024 年 9 月就试图利用 CVE-2024-11680 来投放后利用有效载荷。

另一方面，根据Censys和Sekoia 的说法， CVE-2024-51378和 CVE-2024-11667的滥用被归因于各种勒索软件 活动，例如 PSAUX 和 Helldown 。

建议联邦民事行政部门 (FCEB) 机构在 2024 年 12 月 25 日之前修复已发现的漏洞，以确保其网络的安全。

IO DATA 路由器存在多个漏洞，遭攻击#
此前，JPCERT/CC警告称，IO DATA 路由器 UD-LT1 和 UD-LT1/EX 中的三个安全漏洞正被未知威胁行为者利用。

CVE-2024-45841（CVSS 评分：6.5）- 关键资源漏洞的权限分配不正确，允许具有访客帐户访问权限的攻击者读取敏感文件，包括包含凭据的文件
CVE-2024-47133（CVSS 评分：7.2） - 一种操作系统 (OS) 命令注入漏洞，允许使用管理帐户登录的用户执行任意命令
CVE-2024-52564（CVSS 评分：7.5） - 包含未记录的功能漏洞，允许远程攻击者禁用防火墙功能，并执行任意操作系统命令或更改路由器配置

虽然 CVE-2024-52564 的补丁已在固件 Ver2.1.9 中提供，但其余两个缺陷的修复预计要到 2024 年 12 月 18 日（Ver2.2.0）才会发布。

与此同时，这家日本公司建议客户通过禁用远程管理、更改默认访客用户密码以及确保管理员密码不容易猜到来限制设置屏幕暴露在互联网上。

继报告称该漏洞在野外被积极利用后，美国网络安全和基础设施安全局 (CISA) 周一将一个影响 Array Networks AG 和 vxAG 安全访问网关的严重安全漏洞（现已修复）添加到其已知被利用漏洞 ( KEV ) 目录中。

该漏洞的编号为CVE-2023-28461（CVSS 评分：9.8），涉及缺少身份验证的情况，可被利用来实现远程任意代码执行。网络硬件供应商于 2023 年 3 月发布了针对此安全漏洞的修复程序（版本 9.4.0.484）。

Array Networks 表示：“Array AG/vxAG 远程代码执行漏洞是一种网络安全漏洞，攻击者可以利用该漏洞浏览文件系统或在 SSL VPN 网关上使用 HTTP 标头中的标志属性执行远程代码，而无需进行身份验证。该产品可通过易受攻击的 URL 加以利用。”

此前不久，网络安全公司趋势科技披露，一个与中国有关的网络间谍组织 Earth Kasha（又名 MirrorFace）一直在利用面向公众的企业产品中的安全漏洞，例如 Array AG（CVE-2023-28461）、Proself（CVE-2023-45727）和 Fortinet FortiOS/FortiProxy（CVE-2023-27997），进行初始访问。在被列入 KEV 目录之前，该组织还未披露其安全漏洞。

地球卡莎 (Earth Kasha) 以广泛攻击日本实体而闻名，尽管近年来，它也被发现攻击台湾、印度和欧洲。

本月早些时候，ESET 还披露了一项 Earth Kasha 活动，该活动针对欧盟一个未具名的外交实体，利用即将于 2025 年 4 月在日本大阪举行的 2025 年世界博览会作为诱饵，提供名为 ANEL 的后门。

鉴于漏洞正被积极利用，建议联邦民事行政部门 (FCEB) 机构在 2024 年 12 月 16 日之前应用补丁，以确保其网络安全。

据 VulnCheck 称，在总共 60 名指定威胁行为者中，有 15 个不同的中国黑客组织与滥用2023 年最常被利用的 15 个漏洞中的至少一个有关。

该网络安全公司表示，已发现超过 440,000 台可能受到攻击的互联网主机。

VulnCheck 的 Patrick Garrity 表示：“企业应该评估这些技术的风险暴露程度，增强对潜在风险的可见性，利用强大的威胁情报，保持强大的补丁管理实践，并实施缓解控制措施，例如尽可能减少这些设备面向互联网的暴露。 ”

美国网络安全和基础设施安全局 (CISA) 周四将影响 Palo Alto Networks Expedition 的严重安全漏洞（现已修复）添加到其已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞存在主动利用。

该漏洞被标记为CVE-2024-5910（CVSS 评分：9.3），涉及 Expedition 迁移工具中缺少身份验证的情况，可能导致管理员帐户被接管。

CISA 在警报中表示：“Palo Alto Expedition 包含一个缺少身份验证的漏洞，该漏洞允许具有网络访问权限的攻击者接管 Expedition 管理员帐户并可能访问配置机密、凭据和其他数据。”

该缺陷影响了 Expedition 1.2.92 版本之前的所有版本，该版本于 2024 年 7 月发布，以解决该问题。

目前尚无关于该漏洞如何在实际攻击中被利用的报告，但 Palo Alto Networks 此后修改了其原始公告，承认其“注意到 CISA 的报告，有证据表明该漏洞正在被积极利用”。

KEV 目录中还添加了另外两个漏洞，其中包括 Android 框架组件中的权限提升漏洞 ( CVE-2024-43093 )。谷歌本周披露，该漏洞已受到“​​有限的、有针对性的利用”。

另一个安全缺陷是CVE-2024-51567（CVSS 评分：10.0），这是一个影响 Cyber​​Panel 的严重缺陷，允许远程未经身份验证的攻击者以 root 身份执行命令。该问题已在 2.3.8 版本中得到解决。

据LeakIX和网名为Gi7w0rm的安全研究员称，2023 年 10 月下旬，有发现恶意行为者大规模利用该漏洞，在超过 22,000 个暴露在互联网上的 Cyber​​Panel 实例上部署了 PSAUX 勒索软件。

LeakIX 还指出，三个不同的勒索软件组织迅速利用了该漏洞，在某些情况下文件被多次加密。

建议联邦民事行政部门 (FCEB) 机构在 2024 年 11 月 28 日之前修复已发现的漏洞，以保护其网络免受主动威胁。

此前有报道称 ScienceLogic SL1 存在一个严重安全漏洞，该漏洞被积极利用为零日漏洞。周一，美国网络安全和基础设施安全局 (CISA)将影响 ScienceLogic SL1 的严重安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中。

该漏洞的编号为CVE-2024-9537（CVSS v4 评分：9.3），指的是涉及未指定的第三方组件的错误，可能导致远程代码执行。

此问题已在 12.1.3、12.2.3 和 12.3 及更高版本中得到解决。版本 10.1.x、10.2.x、11.1.x、11.2.x 和 11.3.x 也已提供修复。

几周前，云托管提供商 Rackspace承认“已发现 ScienceLogic EM7 门户存在问题”，并于上个月底将其仪表板下线。

一个名为 ynezzor 的账户在 2024 年 9 月 28 日的 X 帖子中表示： “我们已经确认，该第三方应用程序的漏洞导致了对三个内部 Rackspace 监控网络服务器的访问。”

目前尚不清楚此次攻击的幕后黑手是谁，但 Rackspace 已向Bleeping Computer证实，零日漏洞导致未经授权访问其内部性能报告系统，并且已通知所有受影响的客户。The Register最先报道了此次入侵事件。

联邦民事行政部门 (FCEB) 机构必须在 2024 年 11 月 11 日之前应用修复程序，以应对其网络可能面临的威胁。

Fortinet 修补可能被利用的漏洞#
目前，Fortinet 已发布 FortiManager 安全更新，以修复据称被与中国有关的威胁行为者利用的漏洞。

目前尚不清楚该漏洞的详细信息，但 Fortinet 过去曾提前发送机密客户通信，以帮助他们在漏洞向更广泛的受众发布之前加强防御。Hacker News 已联系该公司，如果收到回复，我们将更新该报道。

安全研究员 Kevin Beaumont 在 Mastodon上表示：“FortiGate 发布了 FortiManager 的六个新版本之一，修复了产品中被积极利用的零日漏洞……但他们尚未发布 CVE 或在发布说明中记录存在的问题。也许下周？”

“Fortigate 目前拥有中国使用的世界上最不秘密的零日漏洞，包括在 FortiManager Cloud 中……但每个人都很困惑。”

本月初，CISA根据野外利用的证据，在其 KEV 目录中添加了另一个影响 Fortinet FortiOS、FortiPAM、FortiProxy 和 FortiWeb 的严重漏洞（CVE-2024-23113 ，CVSS 评分：9.8）。

美国网络安全和基础设施安全局 (CISA) 警告称，其发现威胁行为者利用 F5 BIG-IP 本地流量管理器 (LTM) 模块管理的未加密持久 cookie 对目标网络进行侦察。

据称，该模块被用来枚举网络上其他非互联网设备。然而，该机构并未透露此次活动的幕后黑手是谁，也未透露此次活动的最终目标是什么。

CISA在一份咨询报告中表示：“恶意网络行为者可以利用从未加密的持久性 cookie 收集的信息来推断或识别额外的网络资源，并可能利用网络上其他设备中发现的漏洞。”

它还建议各组织通过在 HTTP 配置文件中配置 cookie 加密来加密 F5 BIG-IP 设备中使用的持久性 cookie。此外，它还敦促用户通过运行 F5 提供的名为BIG-IP iHealth的诊断实用程序来验证其系统的保护情况，以识别潜在问题。

F5 在一份支持文件中指出：“BIG-IP iHealth 系统的 BIG-IP iHealth 诊断组件会根据已知问题、常见错误和已发布的 F5 最佳实践的数据库，评估 BIG-IP 系统的日志、命令输出和配置。”

“优先结果提供了有关配置问题或代码缺陷的定制反馈，并提供了问题描述和解决建议。”

与此同时，英国和美国网络安全机构发布联合公告，详细说明了俄罗斯国家支持的行为者针对外交、国防、技术和金融部门收集外国情报并为未来的网络行动提供支持的企图。

此次活动被归咎于一个被追踪为APT29 的威胁行为者，该组织也被称为 BlueBravo、Cloaked Ursa、Cozy Bear 和 Midnight Blizzard。据了解，APT29 是俄罗斯军事情报机器中的关键一环，隶属于对外情报局 (SVR)。

“SVR 网络入侵高度重视保持匿名和不被发现。攻击者在整个入侵过程中广泛使用 TOR——从最初的目标锁定到数据收集——以及整个网络基础设施，”该机构表示。

“这些攻击者使用各种虚假身份和低信誉电子邮件账户来租赁运营基础设施。SVR 从主要托管服务提供商的经销商处获得基础设施。”

APT29 发起的攻击被归类为旨在收集情报和建立持久访问权限以促进供应链入侵的攻击（即意图目标），以及允许他们托管恶意基础设施或利用公开已知的缺陷、弱凭证或其他错误配置从受入侵账户进行后续操作的攻击（即机会目标）。

重点指出的一些重大安全漏洞包括CVE-2022-27924（Zimbra Collaboration 中的命令注入漏洞）和CVE-2023-42793（允许在 TeamCity Server 上执行远程代码的严重身份验证绕过漏洞）。

APT29 是一个相关的例子，威胁行为者不断创新他们的策略、技术和程序，试图保持隐秘并绕过防御，甚至会破坏他们的基础设施并抹去任何证据，以防怀疑他们的入侵被受害者或执法部门发现。

另一种值得注意的技术是广泛使用代理网络，包括移动电话提供商或住宅互联网服务，与位于北美的受害者进行互动并融入合法流量。

该机构表示：“为了阻止这种活动，组织应该对授权设备进行基准检查，并对不遵守基准的访问其网络资源的系统进行额外审查。”