网络攻击中断了 Varta 电池工厂的生产

德国电池制造商瓦尔塔 (Varta) 2 月 13 日透露，其五家工厂的生产因网络攻击而中断。

该攻击于 2 月 12 日被发现，迫使该公司关闭 IT 系统并断开其与互联网的连接，从而导致生产和管理流程中断。 

“目前无法确定实际损失的程度，”瓦尔塔说。“根据此类情况的应急预案，立即采取了必要的预防措施。” 

声明补充说：“此外，我们还立即成立了一个工作组，以尽快恢复正常运营，并在网络安全专家和数据取证专家的支持下处理该事件。”

Varta 为汽车、消费和工业领域生产电池。公司业务遍及全球45个国家和地区，在德国、中国、罗马尼亚和印度尼西亚设有生产工厂。 

瓦尔塔代表告诉德国媒体，受到网络攻击影响的生产基地位于德国、罗马尼亚和印度尼西亚。据报道，生产仍于 2 月 14 日停止，该公司无法估计何时恢复。 

该公司对该事件的简要描述表明这可能是勒索软件攻击。似乎没有已知的勒索软件组织声称对瓦尔塔的攻击负责，但受害者通常只有在谈判陷入僵局或失败后才会被命名。 

Microsoft 使用 ChatGPT 捕获 APT 进行漏洞研究和恶意软件脚本编写

微软的威胁情报团队已经捕获了外国政府支持的黑客团队与 OpenAI 的 ChatGPT 交互的证据，以自动执行恶意漏洞研究、目标侦察和恶意软件创建任务。

在周三发布的一份研究报告中，微软表示，它与 OpenAI 合作研究恶意行为者对 LLM 的使用，并发现多个已知的 APT 正在尝试使用流行的 ChatGPT 工具来了解潜在受害者、改进恶意软件脚本任务并识别公共安全建议。

虽然该研究没有发现使用受监控的 LLM 进行的重大攻击，但微软表示，它发现了来自俄罗斯、朝鲜和伊朗的黑客团队在主动 APT 操作中使用 LLM。

在一个案例中，雷德蒙德的威胁猎手看到了名为“森林暴雪”( APT28/FancyBear )的俄罗斯 APT 使用法学硕士对可能与乌克兰常规军事行动相关的各种卫星和雷达技术进行研究，以及旨在支持其攻击的通用研究。网络行动。 

在另一个案例中，微软表示，它发现臭名昭著的朝鲜 APT Emerald Sleet（又名 Kimsuky）使用 LLM 生成可能用于鱼叉式网络钓鱼活动的内容。此外，平壤黑客被发现利用法学硕士来了解众所周知的漏洞、解决技术问题以及寻求使用各种网络技术的帮助。 

微软表示：“交互涉及社会工程方面的支持请求、错误故障排除帮助、.NET 开发以及攻击者在受感染的计算机上逃避检测的方式。”

雷蒙德还发现 APT 组织使用生成式 AI 技术“更好地理解公开报告的漏洞，例如 CVE-2022-30190 Microsoft 支持诊断工具 (MSDT) 漏洞（称为“Follina”）的证据。” 

微软表示，在所有观察到的案例中，它与 OpenAI 合作禁用了与高级威胁参与者相关的所有帐户和资产。

韩称朝黑客泄露其总统工作人员的个人电子邮件

韩国总统尹锡烈的办公室周三表示，朝鲜黑客在尹锡烈 11 月访问欧洲之前泄露了他一名工作人员的个人电子邮件。

尹的办公室表示，网络攻击仅影响了这名身份不明的员工的个人账户，该员工部分使用商业电子邮件服务来处理公务，违反了安全协议。官员们没有具体说明该工作人员的个人电子邮件中被盗的信息类型，但强调办公室的整体安全系统没有受到影响。

尹的办公室在给记者的一份声明中表示：“我们在（尹）访问之前发现了这一病例，并采取了必要的措施。”该办公室表示，它一直在监视和防御被认为与朝鲜有关的“持续”黑客攻击，但“并不是青瓦台的安全系统遭到黑客攻击。”

尹于11月对英国进行了为期三天的访问，在那里他会见了国王查理三世和首相里希·苏纳克，随后访问了法国。

朝鲜运行着一个由政府支持的庞大黑客计划，该计划被指控窃取大量资金（通常是加密货币），以资助其非法核武器和导弹计划，无视美国主导的国际制裁。朝鲜支持的黑客还被指控从外部政府、企业和智库窃取信息。

据美联社上周获得的一份报告称，联合国专家小组表示，他们正在调查 2017 年至 2023 年间发生的 58 起疑似朝鲜网络攻击事件，价值约 30 亿美元，据报道，这些资金被用来帮助资助朝鲜研发武器。大规模破坏。

尽管该国否认参与其中，但朝鲜在过去几年中一直与重大网络攻击有关，包括 2013 年导致韩国金融机构服务器瘫痪的活动、2014 年索尼影业遭受的黑客攻击以及 2017 年 WannaCry 恶意软件攻击。

保德信金融集团披露数据泄露事件

保险巨头保德信金融集团本周通知美国证券交易委员会，该公司本月早些时候成为数据泄露的受害者。

该公司在一份8-K 表格文件中表示，该事件是在 2 月 5 日发现的，一天前，一名威胁行为者未经授权访问了其部分系统。

该公司表示：“在外部网络安全专家的协助下，我们立即启动了网络安全事件响应流程，以调查、遏制和补救该事件。”

保德信金融集团表示，攻击者能够访问存储在受感染系统上的公司管理和用户数据，以及与员工和承包商相关的用户帐户。

该公司没有透露全球约 40,000 名员工中有多少人可能受到该事件的影响。

然而，该公司指出，网络犯罪组织可能对此次攻击负责。这可能意味着勒索软件组织是此次入侵的幕后黑手。

该公司告诉 SEC：“我们将继续调查事件的严重程度，包括威胁行为者是否访问了任何其他信息或系统，以确定事件的影响。”

保德信金融还表示，尚未发现客户或客户数据被盗的证据，并已将该事件报告给执法和监管机构。

该公司指出，该事件不应对其运营、财务状况或经营业绩产生重大影响。

保德信金融集团是美国财富世界 500 强和财富 500 强公司，为美国、欧洲、亚洲和拉丁美洲的客户提供保险、投资管理、退休计划和其他产品和服务。

AMD 和英特尔修补了 100 多个漏洞

芯片制造商 AMD 和英特尔周二发布了针对 100 多个漏洞的补丁，其中包括 21 个导致权限升级、代码执行或拒绝服务 (DoS) 的高严重性错误。

AMD 发布了五份公告，详细介绍了嵌入式处理器、处理器、SEV 固件以及 UltraScale 和 UltraScale+ FPGA 系列设备中的漏洞。

该芯片制造商解决了其嵌入式处理器中的 20 个错误，其中包括由参数处理不当、保护不足、检查不足、访问控制不当和验证失败引起的 7 个高严重性缺陷，这些缺陷可能导致权限升级和任意代码执行。

AMD 还发布了针对其处理器中其他四个高严重性漏洞的补丁，这些漏洞可能导致权限升级、DoS、任意代码执行或保护绕过。AMD 表示，其中一些问题可能是在运行过时固件或软件的机器上发现的。

该公司宣布针对两个中度和低度 SEV 固件漏洞发布补丁，这些漏洞可能导致信息泄露和客户完整性丢失。

AMD 表示，UltraScale 和 UltraScale+ FPGA 系列设备受到 RSA 身份验证问题的影响，该问题可能允许攻击者加载任意比特流而不触发身份验证错误。

这个被称为 JustSTART 的漏洞只有在未加密的情况下使用 RSA 身份验证或未强制执行加密时才可被利用。

“AMD 认为，即使对手能够将任意比特流加载到设备上，由于没有读回路径，比特流的机密性或存储在 eFUSE 或电池支持 RAM (BBRAM) 中的 AES 密钥的机密性也不会受到影响。AES 密钥是存在的，如果该问题被利用，安全检查可以阻止对 AES 引擎的任何访问。” AMD 表示。

周二，英特尔发布了34 份公告，详细介绍了影响各种驱动程序、设备固件、以太网工具和众多软件产品的 80 个漏洞，其中包括适用于 Windows 的 Thunderbolt DCH 驱动程序和适用于英特尔 SoC FPGA、PROSet/Wireless 和 Killer Wi 的 Arm DS 的高严重性错误-Fi、PCM、DSA 和 SUR 软件产品。

英特尔总共解决了 Windows 的 Thunderbolt DCH 驱动程序中的 20 个错误，其中包括三个导致权限升级的高严重性缺陷。英特尔表示，88 版之前的所有驱动程序版本都会受到影响。

该芯片制造商在 2022.2 版本之前标记了适用于英特尔 SoC FPGA 软件的 Arm DS 中的三个高度严重的错误，这三个错误均导致权限升级。

另一个高严重性问题已在 PROSet/Wireless 软件版本 22.240 和 Killer Wi-Fi 软件版本 3.1423.712 中修复。该错误可能会导致 DoS，并已与九个中等严重程度的安全缺陷一起得到解决。

本周解决的其他高严重性错误包括版本 202307 之前的 PCM 软件中的 DoS 缺陷，以及版本 23.4.33 之前的 DSA 软件和版本 2.4.10587 之前的 SUR 软件中的权限升级缺陷。

AMD 和英特尔没有提及任何这些漏洞被用于恶意攻击。

KeyTrap DNS 攻击可能导致大部分互联网瘫痪

一组研究人员披露了一个与 DNS 相关的新漏洞，据称该漏洞可被用来禁用大部分互联网。 

该漏洞名为KeyTrap，官方编号为 CVE-2023-50387，被描述为域名系统安全扩展 (DNSSEC) 设计中的严重缺陷，DNSSEC 是一种对域名查找响应进行身份验证的 DNS 功能。

DNSSEC 的目标是防止攻击者操纵或毒害对 DNS 请求的响应。然而，德国 ATHENE 国家应用网络安全研究中心的研究人员发现，设计缺陷可能允许恶意行为者使用单个特制 DNS 数据包造成严重的互联网中断，从而导致 CPU 资源耗尽。 

使用 DNSSEC 验证 DNS 解析器的系统会受到影响，研究人员声称截至 2023 年 12 月，超过 31% 的网络客户端使用过此类解析器。 

“利用这种攻击将对任何使用互联网的应用程序造成严重后果，包括无法使用网络浏览、电子邮件和即时消息等技术。通过 KeyTrap，攻击者可以完全禁用全球互联网的大部分内容，”研究人员在一份新闻稿中表示。 

据称，一些 DNS 供应商将 KeyTrap 描述为迄今为止发现的最糟糕的攻击方法。 

KeyTrap 攻击影响广泛使用的 DNS 实施以及 Google 和 Cloudflare 等 DNS 服务提供商。然而，据研究人员称，受影响的供应商在几个月前就收到了通知，他们一直在发布补丁，最后一个补丁已于 2 月 13 日发布。

另一方面，研究人员指出，完全防止 KeyTrap 攻击需要改变“DNSSEC 的底层设计理念”。

这个潜在的弱点已经存在了二十多年，但没有迹象表明它已被广泛利用。 

Microsoft、BIND、PowerDNS和NLnet （未绑定）已发布 CVE-2023-50387 的安全公告。

就 BIND 而言，研究人员声称“它可以停滞长达 16 小时”。

“我们意识到了这个漏洞，并与报告研究人员协调推出了修复程序。目前没有证据表明存在利用行为，用户也无需采取任何行动。”

Cloudflare 告诉 SecurityWeek，“作为协调披露的一部分，Cloudflare 意识到了 KeyTrap 漏洞，我们的系统立即得到了修补。”

Windows 零日攻击金融市场交易者

据趋势科技称，微软通过最新的周二补丁更新修复的零日漏洞之一已被追踪为 Water Hydra 和 DarkCasino 的威胁组织用于针对金融市场交易者的攻击。

微软周二宣布了针对 70 多个漏洞的补丁，其中包括两个被用作零日攻击的漏洞。其中两个零日漏洞 CVE-2024-21412 和 CVE-2024-21351 被描述为安全功能绕过。

趋势科技发布了一篇博客文章，描述了利用 CVE-2024-21412 的攻击。值得注意的是，除了趋势科技的零日计划外，微软还将报告此漏洞的机构归功于 Aura Information Security 和 Google 的威胁分析小组。 

趋势科技表示，它在对 2023 年 12 月下旬开始跟踪的 Water Hydra 活动进行分析时发现了 CVE-2024-21412。这些攻击涉及滥用互联网快捷方式 (.url) 和基于 Web 的分布式创作和版本控制 (WebDAV) 组件。 

攻击者利用 CVE-2024-21412 绕过 Microsoft Defender SmartScreen 并向金融市场交易者传送名为 DarkMe 的恶意软件。

据 Microsoft 称，此漏洞影响 Windows Server 2019、Windows Server 2022、Windows 10 和 Windows 11。可以通过让目标用户打开旨在绕过显示的安全检查的特制文件来利用该漏洞。 

趋势科技表示，Water Hydra 至少从 2021 年就已经存在，主要针对金融行业，包括赌博网站、赌场、外汇和股票交易平台、银行和加密货币服务。

Water Hydra 最初与一个名为EvilNum的俄语黑客雇佣组织有联系，但现在认为它是一个独立的网络犯罪组织。此前曾观察到该威胁行为者利用 WinRAR 零日漏洞。 

趋势科技的博客文章包含有关攻击者如何诱骗用户单击伪装成无害图像文件的恶意互联网快捷方式文件的详细信息。

“我们的结论是，在另一个快捷方式中调用快捷方式足以逃避 SmartScreen，而 SmartScreen 无法正确应用 Mark-of-the-Web (MotW)，这是一个关键的 Windows 组件，可在用户打开或运行来自不受信任来源的文件时发出警报。”趋势科技解释道。 

此活动中提供的 DarkMe 恶意软件使攻击者能够枚举文件夹内容、创建和删除文件夹、执行 shell 命令、获取系统信息以及从给定路径生成 ZIP 文件。

SAP 修补了暴露用户和业务数据的严重漏洞

企业软件制造商 SAP 宣布在 2024 年 2 月安全补丁日发布 13 个新安全说明和 3 个更新安全说明，其中一个解决 SAP ABA 跨应用程序组件中的一个关键漏洞。

关键问题是被跟踪为 CVE-2024-22131（CVSS 评分为 9.1）的代码注入错误，具有远程执行授权的攻击者可能会利用易受攻击的接口来调用应用程序功能并在未经许可的情况下执行操作。

NIST 公告称：“根据执行的功能，攻击者可以读取或修改任何用户/业务数据，并使整个系统不可用。”

据企业应用安全公司 Onapsis 称，该缺陷的存在是因为对功能模块的外部调用缺乏足够的检查。

SAP中的Web Survey功能提供了一个支持RFC的功能模块，允许动态调用系统的任何静态方法，而无需检查任何特定的授权。功能模块的外部调用仅受隐式 S_RFC 检查的保护，” Onapsis 说。

SAP 通过添加对功能模块的外部调用的可配置检查来解决该缺陷。默认情况下启用，该检查会阻止外部呼叫，但客户可以调整其配置以便能够使用 Web Survey 远程功能。

SAP 在其公告中解释说，该漏洞影响 SAP ABA（应用程序基础）版本 700、701、702、731、740、750、751、752、75C 和 75I 。

该软件制造商还发布了五个新的安全说明，涉及高严重性错误，包括 NetWeaver AS Java 中的跨站脚本 (XSS) 和 XML 外部实体 (XEE) 注入错误、CRM (WebClient UI) 中的 XSS 问题、代码IDES 系统中的注入缺陷以及云连接器中的证书验证不正确。

影响银行账户管理、Companion、NetWeaver 应用程序服务器 ABAP（SAP 内核）、HTML 的 NetWeaver 业务客户端、Fiori、主数据治理材料和 CRM（WebClient UI）的七个中等严重性缺陷也已得到解决。

周二，SAP 还宣布更新了一份热门新闻说明，为 Business Client 的 Chrome 浏览器中的 33 个漏洞提供补丁，一份高优先级说明解决了 NetWeaver Application Server ABAP 中的信息泄露错误，还有一份低优先级说明修复了一个目录主数据治理中的遍历问题。

建议用户尽快应用补丁。SAP 没有提及任何这些漏洞在攻击中被利用，但已知威胁行为者在 SAP 产品中存在针对性缺陷，并已发布修复程序。

300 万把牙刷真的被用于 DDoS 攻击吗？

据报道，有 300 万支电动牙刷遭到黑客攻击和滥用，引发了一场极具破坏性的分布式拒绝服务 (DDoS) 攻击，但网络安全专家纷纷对这一说法提出质疑。

瑞士德语日报《阿尔高报》1 月 30 日发表文章描述了此次袭击事件。 

根据该文章的机器翻译，网络犯罪分子在 300 万支电动牙刷上安装了恶意软件，并使用受感染的设备同时访问一家瑞士公司的网站，导致该网站离线四个小时，并造成数百万美元的损失。受害者。 

文章写道：“这个看似好莱坞场景的例子确实发生了。”这表明该信息来自网络安全供应商 Fortinet 的代表。 

一些主流甚至一些更注重技术和网络安全的出版物都报道了这个故事，但没有质疑这些说法。然而，网络安全界的一些成员立即对这个故事的真实性表示怀疑。

“三百万个牙刷僵尸网络的故事不是真的，”著名网络安全研究员 Kevin Beaumont在 Mastodon 上写道，后来将其描述为“完全是胡说八道”。

另一位著名的网络安全专家 Robert Graham 也对这个故事发表了评论，指出来自 Fortinet 的信息可能被误解了。

格雷厄姆等人强调，智能电动牙刷通过蓝牙而不是通过互联网连接到智能手机和平板电脑，这使得它们不可能通过网络直接发起 DDoS 或任何其他类型的攻击。 

网络安全公司 Malwarebytes 发表了一篇题为“如何判断您的牙刷是否正在遭受 DDoS 攻击”的博客文章。博客文章的正文写着“事实并非如此”。

事实上，Fortinet 澄清说，“在一次采访中，我们提出了用于 DDoS 攻击的牙刷的主题，作为特定类型攻击的说明，它并非基于 Fortinet 或 FortiGuard 实验室的研究。” 

该公司解释说：“由于翻译的原因，有关该主题的叙述似乎已经被延伸到假设场景和实际场景变得模糊的程度。” 

Fortinet 一直在跟踪Mirai等物联网僵尸网络，这些僵尸网络对重大 DDoS 攻击负有责任，但澄清说，尚未观察到这些僵尸网络针对牙刷或类似的嵌入式设备。 

Ivanti 修补 VPN 设备中的高严重性漏洞

Ivanti 周四发布了针对影响企业 VPN 和网络访问产品的高严重性漏洞的补丁。

该安全缺陷被跟踪为 CVE-2024-22024（CVSS 评分为 8.3）并被描述为 XML 外部实体 (XXE) 问题，是在 Ivanti Connect Secure、Policy Secure 和 ZTA 网关设备的 SAML 组件中发现的。

据 Ivanti 称，成功利用该漏洞可能允许未经身份验证的攻击者访问某些受限资源。

“此漏洞仅影响有限数量的受支持版本 - Ivanti Connect Secure（版本 9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2 和 22.5R1.1）、Ivanti Policy Secure 版本 22.5R1。IT 安全和服务公司在其公告中指出：“ZTA 版本 22.6R1.1 和 ZTA 版本 22.6R1.3” 。

Connect Secure 版本 9.1R14.5、9.1R17.3、9.1R18.4、22.4R2.3、22.5R1.2、22.5R2.3 和 22.6R2.2、Policy Secure 版本 9.1R17.3、 9.1R18.4和22.5R1.2，以及ZTA网关版本22.5R1.6、22.6R1.5和22.6R1.7。

Ivanti 还指出，1 月 31 日发布的补丁旨在解决针对政府和军事实体的攻击中利用的两个零日漏洞，以及其企业 VPN 产品中的其他四个安全缺陷，也可以缓解 CVE-2024-22024 的影响。

“我们没有证据表明该漏洞在野外被利用，因为它是在我们对代码进行内部审查和测试期间发现的，”Ivanti 说。

尽管没有证据表明 CVE-2024-22024 被其客户利用，但 Ivanti 敦促他们确保拥有最新的补丁。

战区老鼠被执法部门关闭，两人被捕

美国司法部周五宣布，通过国际执法行动，战区 RAT 网络犯罪企业已被捣毁。

美国当局还公布了对两名涉嫌销售恶意软件并为用户提供支持的个人的指控。 

在技术方面，当局查获了四个用于销售 Warzone RAT 的互联网域名。这些域名现在会显示删除通知，告知访问者这些网站已因美国、加拿大、荷兰、德国、克罗地亚、马耳他、罗马尼亚、芬兰、澳大利亚和尼日利亚机构的执法行动而被查封，并得到了支持来自欧洲刑警组织。

托管 Warzone RAT 基础设施的服务器也成为执法行动的目标。

Warzone 是一种远程访问木马，允许用户秘密连接到受感染的设备并进行各种活动，例如浏览文件、记录击键、截取屏幕截图、窃取凭据以及通过计算机摄像头进行间谍活动。Warzone RAT 许可证的费用在每月 16 美元到 38 美元之间。

该恶意软件也被称为 Ave Maria RAT，在众多攻击中被发现，其中包括与可疑的国家支持的威胁行为者有关的攻击。

27 岁的马耳他丹尼尔·梅利 (Daniel Meli) 是因参与战区 RAT 行动而被指控的个人之一。他被指控对受保护的计算机造成未经授权的损坏、非法销售和宣传电子拦截设备以及参与阴谋入侵计算机。 

当局表示，Meli 至少从 2012 年起就一直在网络犯罪论坛上销售恶意软件和相关服务。除了 Warzone RAT 之外，据说他还出售 Pegasus RAT，并据称为这两种恶意软件的客户提供在线支持。 

第二名嫌疑人是 31 岁的尼日利亚王子奥尼奥齐里·奥迪纳卡奇 (Onyeoziri Odinakachi)，他被指控获得受保护计算机的授权访问权限以获取信息，并对受保护计算机造成未经授权的损坏。 

调查人员认为，Odinakachi 至少在 2019 年 6 月至 2023 年 3 月期间向 Warzone RAT 客户提供了在线支持。 

Odinakachi 和 Meli 均于 2 月 7 日在本国被捕，美国正在寻求引渡他们。如果罪名成立，他们最高可被判处 10 年监禁，并被责令支付巨额罚款。 

司法部还宣布了一个专门网站，Warzone RAT 的受害者可以向 FBI 提交报告。

西门子解决了 270 个漏洞

工业巨头西门子和施耐德电气在 2024 年 2 月 ICS 周二补丁中共发布了 18 条新安全公告。

西门子

根据 SecurityWeek 的分析，  西门子发布了 15 份新公告，描述了该公司产品中发现的总计 270 个独特漏洞。

该通报涵盖了其中一半以上，描述了Scalance XCM-/XRM-300交换机中的漏洞。这些缺陷影响第三方组件，其中大部分是在 2022 年和 2023 年发现的。其中大多数问题的严重程度评级为“严重”或“高”，它们的利用可能导致任意代码执行、DoS 攻击或信息泄露。

Sinec工业网络管理解决方案还解决了 60 多个漏洞。这些问题也主要影响第三方组件，其严重程度评级为“严重”或“高”。

Scalance W1750D 接入点（Aruba 的品牌设备）中的多个漏洞（包括严重问题）已得到解决。

Sidis Prime、Location Intelligence 和 Scalance SC-600 产品中的严重漏洞也已得到解决。Simatic CP 343-1、Parasolid、Polarion ALM、Simatic RTLS、Simcenter Femap、Unicam FX 和 Tecnomatix Plant Simulation 产品中的高严重性问题已得到解决。

西门子已经发布了可以修复大部分漏洞的更新，但这家工业巨头并不打算发布针对某些受影响产品的修复程序。

还值得一提的是，西门子已开始在其公告中添加CVSS 4.0严重性评级。 

西门子每月解决大量漏洞的事实更多地证明了该公司在网络安全方面的投资，而不是表明其产品不安全，特别是考虑到许多缺陷影响第三方产品。 

施耐德电气

施耐德电气发布了三份新公告，共描述了五个漏洞。

在 EcoStruxure Control Expert、EcoStruxure Process Expert 以及 Modicon M340、M580 和 M580 安全 PLC 中发现并修补了三个高严重性缺陷。它们可被用来获得对 PLC 的未经授权的访问。

在其 EcoStruxure IT 网关中，Schneider 修复了一个高严重性的硬编码凭据问题，该问题可被利用来进行本地权限升级。 

在 Harmony Relay NFC 产品中，该公司修复了一个身份验证旁路，可能允许攻击者篡改设备的配置。

Ivanti 漏洞被利用来提供新的“DSLog”后门

安全服务提供商 Orange Cyberdefense 报告称，Ivanti 企业 VPN 中最近修补的零日漏洞已被用于部署名为“DSLog”后门的攻击。

该问题编号为 CVE-2024-21893，是 Ivanti Connect Secure、Policy Secure 和 Neurons for ZTA 的 SAML 组件中发现的服务器端请求伪造 (SSRF) 错误，无需身份验证即可利用该错误泄露敏感信息。

Ivanti 于 1 月 31 日披露了该漏洞，同时发布了针对其企业 VPN 设备中其他三个漏洞的补丁，其中两个漏洞在 1 月初被标记为被利用的零日漏洞。

Ivanti 在其公告中指出：“我们知道受 CVE-2024-21893 影响的客户数量有限。”

Orange Cyberdefense在一份新报告(PDF) 中表示，在 Rapid7 和 AssetNote 发布针对该漏洞的概念验证 (PoC) 代码后不久，它就观察到攻击者利用该漏洞。

“Orange Cyberdefense 发现攻击者利用此 SAML 漏洞将后门注入到 Ivanti 设备的组件中，从而为攻击者提供了持久的远程访问。攻击者还采取了措施来控制对后门的访问，”该网络安全公司表示。

2 月 3 日，Orange 发现了一台受到感染的设备，该设备已应用 Ivanti 发布的初步缓解措施，但未应用补丁。

对设备的分析显示，攻击者进行了侦察，以确定他们是否仍然拥有设备的 root 访问权限，并且他们部署了一个新的后门，Orange 将其称为 DSLog。

该后门允许攻击者在受感染的设备上执行命令并记录所有 Web 请求，包括经过身份验证的用户和管理员请求以及系统日志。

据 Orange 称，后门对每个设备使用唯一的哈希值，并且在尝试联系它时不会返回状态/代码，从而阻止其直接检测。

Orange 在寻找利用 SSRF 漏洞时创建的工件时，发现了 700 个受感染的设备。超过一百个在针对其他两个零日漏洞（CVE-2023-46805 和 CVE-2024-21887）的攻击中受到损害，但其余的已应用了初始 XML 缓解措施。

建议组织安装 Ivanti 于 1 月 31 日和 2 月 1 日发布的补丁，这些补丁取代了最初的缓解措施并防止所有三个零日漏洞被利用，并将其设备恢复出厂设置以完成升级过程。

他们还应该安装 Ivanti 于 2 月 8 日发布的安全更新，以解决其 VPN 设备的 SAML 组件中的另一个漏洞。在该漏洞被公开披露后不久， 攻击者就开始利用该漏洞，该漏洞的编号为 CVE-2024-22024。

肯尼迪机场出租车黑客被判入狱

美国司法部周一宣布，两名被控参与针对约翰·肯尼迪国际机场出租车调度系统的黑客计划的出租车司机已被判入狱。

这些人是被判处四年监禁的丹尼尔·阿巴耶夫（Daniel Abayev）和被判处两年监禁的彼得·莱曼（Peter Leyman）。他们还被判处三年监管释放，并被勒令每人支付 16 万美元的没收款和近 350 万美元的赔偿金。

阿巴耶夫和莱曼都是居住在纽约的美国公民，他们于 2023 年 10 月承认共谋计算机入侵罪。

据调查人员称，阿巴耶夫和莱曼至少在 2019 年 9 月至 2021 年 9 月期间与两名俄罗斯公民 Aleksandr Derebenetc 和 Kirill Shipulin 合作。俄罗斯公民侵入了肯尼迪机场的出租车调度系统，并将司机付费的出租车转移到了阿巴耶夫和莱曼走在队伍的最前面。

在肯尼迪机场，出租车必须在等候区等候，然后按照到达的顺序被派往航站楼。出租车可能需要等待几个小时才能被调度，但该计划使一些司机可以插队。

当局表示，通过这一计划，每天有多达 1000 辆出租车被排在队伍前面，司机每次越线需支付 10 美元。 

美国司法部表示，黑客试图通过各种方法控制出租车调度系统，包括通过 Wi-Fi 连接、窃取连接到调度系统的平板电脑，以及贿赂某人在连接到系统的计算机上植入恶意软件。

司法部表示，俄罗斯黑客仍然逍遥法外。

Adobe 警告广泛部署的软件存在严重缺陷

软件制造商 Adobe 周二针对多个产品中至少 30 个已记录的安全漏洞发布了补丁，警告用户可能面临代码执行、安全功能绕过和应用程序拒绝服务攻击。

作为预定周二补丁发布的一部分，Adobe 呼吁紧急关注 Adobe Acrobat 和 Reader、Adobe Commerce 和 Magento Open Source、Substance 3D Painter 和 FrameMaker 中的严重缺陷。

Adobe 记录了Adobe Acrobat 和 Reader 更新中涉及的至少 13 个严重安全缺陷，并警告 Windows 和 macOS 用户都面临风险。

Adobe 表示：“成功利用该漏洞可能会导致任意代码执行、应用程序拒绝服务和内存泄漏。”  

该公司还标记了需要紧急关注的Adobe Commerce 更新，警告未修补的安装存在任意代码执行、安全功能绕过和应用程序拒绝服务的风险。

Adobe 还修复了 Adobe Substance 3D Painter、Adobe FrameMaker Publishing Server、Adobe Audition 和 Adobe Substance 3D Designer 中的代码执行错误。

该公司表示，目前尚未发现任何针对 2 月份补丁中解决的问题的任何漏洞。

微软确认 Windows 利用绕过安全功能的漏洞

微软周二推出了大量以安全为主题的软件更新，并呼吁紧急关注至少三个在实时恶意软件攻击中被利用的漏洞。

全球最大的软件制造商记录了Windows生态系统中的72个安全漏洞，并警告用户存在远程代码执行、安全功能绕过、信息泄露和权限升级攻击的风险。

微软在“已利用”栏中标记了三个漏洞，并警告网络犯罪分子正在发起绕过操作系统安全保护的网络钓鱼和欺骗攻击。

其中一个被利用的错误 - CVE-2021-43890 - 可以追溯到 2021 年，雷蒙德的安全团队表示，他们已经意识到尝试通过使用特制软件包（包括名为 Emotet/Trickbot/Bazaloader 的恶意软件系列）来利用此漏洞的攻击。

该公司表示：“近几个月来，微软威胁情报发现威胁行为者利用社会工程和网络钓鱼技术来瞄准 Windows 操作系统用户的活动有所增加。”并指出，该公司已在 Windows 上默认禁用 ms-appinstaller 协议。

微软还敦促 Windows 管理员注意恶意软件攻击中利用的两个安全功能绕过错误 - CVE-2024-21412和CVE-2024-21351。 

星期二补丁发布还包括修复 Microsoft Office 中的远程代码执行错误 ( CVE-2024-21413 )，该错误可通过该软件的预览窗格安全缓解措施进行利用。 

微软警告说：“成功利用此漏洞将允许攻击者绕过 Office 受保护的视图并以编辑模式而不是保护模式打开。”该缺陷的 CVSS 严重性评分为 9.8 分（满分 10 分）。

另外，软件制造商 Adobe 周二修补了多个产品中至少 30 个记录在案的安全漏洞，并警告说，未修补的计算机可能会遭受代码执行、安全功能绕过和拒绝服务攻击。

Adobe 记录了Adobe Acrobat 和 Reader 更新中涉及的至少 13 个严重安全缺陷，并警告 Windows 和 macOS 用户都面临风险。

Adobe 表示：“成功利用该漏洞可能会导致任意代码执行、应用程序拒绝服务和内存泄漏。”  

该公司还标记了需要紧急关注的Adobe Commerce 更新，并表示 Adobe Substance 3D Painter、Adobe FrameMaker Publishing Server、Adobe Audition 和 Adobe Substance 3D Designer 中的错误可能会带来代码执行风险。

Adobe 表示，目前尚未发现任何针对 2 月份补丁中解决的问题的任何漏洞。

原文始发于微信公众号（河南等级保护测评）：国外网络安全春节杂记0217