Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险

admin 2024年11月14日11:36:20评论9 views字数 4381阅读14分36秒阅读模式
Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险

1114日,星期四 ,您好!中科汇能与您分享信息安全快讯:

Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险

01

MFA保护也会失效!黑客利用Cookie窃取突破MFA防线

Malwarebytes的网络安全研究人员近期发现,黑客正在通过窃取会话Cookie来绕过多因素认证(MFA),从而入侵受MFA保护的电子邮件账户。虽然MFA通过要求用户提供密码之外的额外验证来增强电子邮件账户的安全性,但这种新型攻击方式展示了其潜在的脆弱性。

当用户登录任何网站时,服务器会创建一个唯一的会话ID,并将其以Cookie的形式保存在浏览器中。这个会话Cookie通常有30天的有效期,作为登录信标帮助用户实现无障碍登录。然而,一旦威胁行为者窃取了这个特定的登录会话Cookie,他们就能绕过MFA要求的额外认证步骤,直接访问账户,这是因为被窃取的Cookie包含了有效的会话信息。

研究人员表示,会话Cookie可能通过多种方式被窃取,包括在不安全网络上的中间人攻击,或针对用户设备的恶意软件感染。特别是信息窃取类恶意软件,这种更为复杂的变体专门用于渗透和窃取会话Cookie以及infected设备中的其他重要数据。

为防范此类攻击,安全专家建议用户在所有设备上安装安全软件并保持更新,谨慎使用"记住我"选项,并定期检查重要账户的登录历史。此外,企业应加强对Cookie安全管理的重视,建立相应的安全策略和监控机制。

02

黑客投放山寨 GitHub 桌面版应用,实为勒索软件

安全公司 Trellix 发文,报告有黑客将勒索软件 Fickle Stealer 伪造成 GitHub 桌面端应用,通过钓鱼邮件、搜索引擎竞价排名广告等方式向外界投放,用户稍有不慎下载就会中招。

安全公司解析这一山寨 GitHub 应用发现,黑客为了加强可信度,还冒用“GitHub, Inc”、“Microsoft Public RSA Time Stamping Authority”的名义对应用进行签名以蒙蔽用户。

而在 Fickle Stealer 勒索软件本身方面,IT之家获悉该勒索软件使用 Rust 语言开发,据称能够从受害者浏览器和多种应用程序中收集账号密码、浏览记录、信用卡信息等多项个人数据。

值得注意的是,该勒索软件还会利用 PowerShell 脚本绕过用户账户控制(UAC),同时具备规避安全软件检测的功能,甚至能够在攻击行为暴露后能通过伪造错误信息进行掩盖并自我删除。

研究人员还提到,Fickle Stealer 的一项关键机制是利用自制的打包工具混淆恶意代码,使得静态分析工具和传统检测方法无法识别。黑客还引入了反沙盒技术,避免相关软件能够在沙盒环境中被安全公司所分析,具备一定的反侦察意识。

03

黑客通过伪装npm包针对Roblox开发者发起攻击

研究人员最近发现,五个针对Roblox开发者的恶意npm包通过传播恶意软件来窃取凭证和个人信息。这些包包括autoadv、ro.dll、node-dlls,以及两个版本的rolimons-api,它们被设计成模仿Roblox开发者社区常用的合法模块。

根据数据显示,截至2024年第二季度,在线平台和游戏制作系统Roblox拥有7950万日活跃用户,其中58%的用户年龄在13岁或以上,开发者社区规模达到260万。平台的巨大人气使其成为网络犯罪分子窃取敏感信息和非法访问用户账户的诱人目标。

Socket的威胁研究团队向网络安全新闻透露,这些恶意包中包含混淆代码,用于下载和执行Skuld信息窃取器和Blank Grabber恶意软件。其中,用Go语言编写的Skuld信息窃取器专门用于从Windows系统中获取敏感数据,特别是来自Discord、基于Chromium和Firefox的浏览器以及加密货币钱包等程序的数据。而基于Python的Blank Grabber恶意软件则通过其易用的GUI设计器,允许威胁行为者修改恶意软件的行为以绕过用户账户控制(UAC)或禁用Windows Defender。被盗取的数据随后通过Telegram或Discord webhooks传送给攻击者。

04

新型勒索软件Ymir现身,与RustyStealer组成危险攻击联盟

卡巴斯基实验室近期在一次事件响应中发现了一个名为"Ymir"的全新勒索软件家族。该软件专门针对此前已被RustyStealer信息窃取恶意软件入侵的系统发起加密攻击。这种协同作战模式凸显了网络犯罪组织日益紧密合作的新趋势。

据卡巴斯基研究人员介绍,这种新型勒索软件具有多个显著特征:采用内存执行技术、在代码注释中使用非洲林加拉语、使用PDF文件进行勒索通知,并提供扩展名配置选项。虽然研究人员发现Ymir会连接到可能用于数据窃取的外部服务器,但该勒索软件本身并不具备数据窃取功能。而在Ymir部署前,RustyStealer就会入侵了目标基础设施中的多个系统。RustyStealer作为一款凭证收集工具,通过窃取高权限账户的合法凭证,为攻击者实现横向移动提供了便利。

这种"双刃剑"式的攻击模式体现了网络犯罪分工的专业化:RustyStealer负责前期渗透和信息窃取,为后续Ymir的勒索攻击铺平道路。这种新型协同攻击方式的出现,为企业信息安全防护敲响了警钟,也凸显了多层次防御体系的重要性。

05

Remcos RAT新型变种出现,可通过多层加密技术规避安全检测

据Fortinet研究员最新研究显示,网络攻击者已对商业版远程访问工具Remcos进行了恶意改造,通过多层脚本语言包装恶意代码,包括JavaScript、VBScript和PowerShell,以规避检测和分析,最终实现对Microsoft Windows设备的完全控制。

这个最新攻击活动利用了未修补的Microsoft Office和WordPad文件解析远程代码执行漏洞(CVE-2017-0199)。攻击链始于一封钓鱼邮件,诱使用户点击伪装成商业订单的Excel文件。一旦文件被激活,就会利用该漏洞下载恶意负载。

新版Remcos采用了多项复杂的规避分析技术。其代码使用不同的脚本语言和编码方法进行多层包装,包括JavaScript、VBScript、Base64编码、URL编码和PowerShell,以此保护自身免受检测和分析。该恶意软件随后运行经过大量混淆的PowerShell代码。

值得注意的是,这些代码仅在32位PowerShell进程中运行。在攻击链的各个环节,该软件都设置了多重分析障碍,包括安装向量化异常处理程序、以不规则方式获取和调用系统API,并使用工具检查调试器。一旦准备就绪,威胁行为者会下载一个加密文件,其中包含在当前进程内存中运行的Remcos RAT恶意版本,这使得最新变体实现了无文件化运行。

06

Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险

安全研究人员发现,威胁行为者正在积极利用Veeam备份与复制软件中的一个高危漏洞(CVE-2024-40711)部署名为“Frag”的新型勒索软件。该漏洞允许未经身份验证的远程代码执行,在CVSS中的评分为9.8。

Sophos X-Ops研究人员报告称,这些攻击是他们命名为STAC 5881的威胁活动一部分。该组织先通过入侵VPN设备获得网络初始访问权限,随后利用Veeam漏洞创建恶意管理员账户。这个严重漏洞影响Veeam备份与复制软件12.1.2.172及更早版本。值得注意的是,作为一款被全球超过55万客户使用的主流备份解决方案(包括74%的全球2000强企业),Veeam已于2024年9月初发布了漏洞补丁。

Frag勒索软件通过命令行执行,攻击者需要指定文件加密的百分比,并为加密文件添加“.frag”扩展名。Sophos已将Frag二进制文件的检测功能添加到其终端保护软件中。研究人员注意到Frag操作者与Akira和Fog勒索软件背后的组织使用了相似的战术和技术,这表明可能存在关联或有新的攻击者采用了已确立的攻击策略。

07

D-Link NAS存储设备曝命令注入漏洞,超6万台设备或面临远程劫持风险

安全研究机构NetSecFish最近披露了一个影响D-Link网络附加存储(NAS)设备的高危安全漏洞CVE-2024-10914。这个命令注入漏洞可能允许攻击者远程劫持联网存储设备,不仅可以访问存储的数据,还可能将设备作为跳板入侵本地网络中的其他系统。

该漏洞的CVSS评分为9.2,被列为严重安全风险。根据NetSecFish的研究,这个漏洞源于某些D-Link设备处理通过GET命令发送的CGI命令的方式。具体来说,漏洞存在于CGI脚本cgi_user_add命令中name参数的处理过程中。未经身份验证的攻击者可以通过精心构造的HTTP GET请求注入任意shell命令,目前互联网上有超过61,000台设备受到影响。

威胁行为者可以向存在漏洞的NAS设备发送包含任意命令的GET请求,由于设备未能正确验证输入,这些指令会被执行,从而导致远程代码执行,也就是实现对设备的完全控制。更棘手的是,由于很多受影响设备都已被D-Link列为进入服务终止(EOS)或生命周期终止(EOL)阶段,因此不会提供相关漏洞的补丁更新,而是建议更换新设备。

08

Epson打印机设备曝严重安全漏洞,攻击者可创建恶意管理员账户

近日,安全研究人员发现多款Epson设备存在一个较严重的安全漏洞(CVE-2024-47295),影响范围包括打印机、扫描仪和网络接口产品。这个漏洞源于设备管理员密码配置的重大疏忽,可能导致设备被未经授权的攻击者完全控制。

据报道,当Epson设备的管理员密码为空时,攻击者可以通过Web Config接口设置恶意管理员账户,从而获得对设备的完全控制权限。这种安全漏洞可能导致设备被非法使用、数据泄露,甚至被用作进一步入侵网络的跳板。受影响的产品范围广泛,涉及Epson多个产品线,包括:喷墨打印机、激光打印机、针式打印机、照片打印机和网络接口产品。

尽管尚未发现该漏洞被实际利用,但Epson公司仍然敦促所有用户立即配置强密码,并强调了遵循行业标准安全实践的重要性,包括使用强密码替换默认密码、确保设备位于防火墙之后,以及定期更新设备固件并关注安全公告。

Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险

信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险

本文版权归原作者所有,如有侵权请联系我们及时删除

原文始发于微信公众号(汇能云安全):Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月14日11:36:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Veeam备份软件曝远程代码执行漏洞,55万用户或面临勒索攻击风险https://cn-sec.com/archives/3394968.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息