当前位置: 首页 > 行业资讯 > 网络安全日报 2024年06月24日

网络安全日报 2024年06月24日

发表于:2024-06-24 08:41 作者: 合天网安实验室 阅读数(1910人)

1、Mailcow开源邮件套件存在远程代码执行漏洞

https://www.sonarsource.com/blog/remote-code-execution-in-mailcow-always-sanitize-error-messages/

研究人员披露了开源邮件服务器套件Mailcow存在的两个安全漏洞,威胁行为体可以利用这些漏洞在易受攻击的实例上执行任意代码。这两个安全漏洞影响2024年4月4日发布的Mailcow开源邮件服务器套件2024-04版之前的所有软件版本,攻击者可以利用漏洞通过使用特制的输入触发异常将恶意脚本注入管理面板,从而劫持会话并在管理员面板中执行特权操作。

2、T-Mobile称泄露数据源自于其第三方供应商

https://www.bleepingcomputer.com/news/security/t-mobile-denies-it-was-hacked-links-leaked-data-to-vendor-breach/

名为IntelBroker的攻击组织声称已窃取并正在出售德国电信公司T-Mobile的数据,并在黑客论坛上发布了几个截图显示攻击者能够以管理权限访问Confluence服务器和公司内部供开发人员使用的Slack频道,威胁行为体将他们出售的数据内容描述为“源代码、SQL 文件、图像、Terraform数据、t-mobile.com认证、Siloprograms”。T-Mobile否认其系统遭到入侵或源代码被盗,攻击组织售卖的实际上是T-Mobile留存在第三方供应商的服务器上旧数据,T-Mobile企业自身未遭入侵。

3、网络犯罪组织利用免费软件诱饵传播窃密软件

https://www.trellix.com/blogs/research/how-attackers-repackaged-a-threat-into-something-that-looked-benign/

研究人员发现威胁行为者使用免费或盗版的商业软件作为诱饵攻击毫无戒心的用户,例如攻击者设法诱骗用户下载受密码保护的存档文件,其中包含了被木马感染的Cisco Webex Meetings应用程序,Cisco Webex Meetings应用程序会秘密加载隐秘的名为Hijack Loader的恶意软件加载程序,然后部署名为Vidar Stealer的信息窃取程序,甚至利用额外的有效载荷在受感染的主机上部署加密货币挖矿程序。

4、新型Fickle窃密木马可绕过系统UAC防护

https://www.fortinet.com/blog/threat-research/fickle-stealer-distributed-via-multiple-attack-chain

研究人员披露一种名为Fickle Stealer的基于Rust语言的新型信息窃取恶意软件正通过多种攻击链进行传播,已发现四种不同的传播方法包括VBA投放器、VBA下载器、链接下载器和可执行下载器,其中一些使用PowerShell脚本绕过用户帐户控制(UAC)来执行Fickle Stealer。PowerShell脚本(如名为“bypass.ps1”或“u.ps1”)还会定期向攻击者控制的Telegram机器人发送有关受害者的信息,包括国家、城市、IP地址、操作系统版本、计算机名称和用户名。

5、高风险CosmicSting漏洞影数百万商务网站

https://sansec.io/research/cosmicsting

CosmicSting(又名CVE-2024-34102)是两年来Magento和Adobe Commerce商店遭遇的最严重的漏洞,数百万个网站在“CosmicSting”漏洞安全更新发布九天后仍未得到修补,这使它们面临XML外部实体注入(XXE)和远程代码执行(RCE)的风险。漏洞允许任何人读取私人文件(例如带有密码的文件),结合Linux中最近的iconv错误可以组合实现远程代码执行。

6、研究人员发现影响多款英特尔CPU的UEFI漏洞

https://eclypsium.com/blog/ueficanhazbufferoverflow-widespread-impact-from-vulnerability-in-popular-pc-and-server-firmware

研究人员披露了影响多个系列的英特尔酷睿台式机和移动处理器,这些现已修复的安全漏洞存在于Phoenix SecureCore UEFI 固件中。UEFIcanhazbufferoverflow漏洞的编号为CVE-2024-0762(CVSS 评分:7.5),它被描述为一种缓冲区溢出的类型,源于在受信任平台模块 (TPM)配置中使用不安全变量可能导致执行恶意代码。此类攻击途径能够使攻击者能够在设备中持续驻留,并且通常能够逃避在操作系统和软件层面中运行的更高级别的安全措施。

7、RansomHub勒索软件针对VMware ESXi虚拟机

https://www.recordedfuture.com/ransomhub-draws-in-affiliates-with-multi-os-capability-and-high-commission-rates

RansomHub勒索软件于2024年2月开始活跃,其代码与组织成员与ALPHV/BlackCat和Knight 勒索软件有关联。由于可以更好地管理CPU、内存和存储资源,大量企业采用虚拟机来托管其服务器,研究人员近期发现RansomHub威胁组织在其武器库中还有一个专门针对VMware ESXi虚拟机Linux环境的变体,在加密完成后还会禁用系统日志和其他关键服务以阻碍日志记录,并可配置执行后自行删除,以避免被检测和分析。

8、美国以国家安全风险理由封杀卡巴斯基软件

https://www.bis.gov/press-release/commerce-department-prohibits-russian-kaspersky-software-us-customers

美国商务部工业安全局(BIS)周四宣布了一项“史无前例”的禁令,禁止卡巴斯基实验室美国子公司直接或间接在该国提供其安全软件商业活动,封锁还扩展到该网络安全公司的附属公司、子公司和母公司。根据禁令,从7月20日起,卡巴斯基将被禁止向美国消费者和企业销售其软件。不过,该公司仍可在9月29日之前向现有客户提供软件和防病毒签名更新。

9、未修补漏洞允许冒充微软企业电子邮件账户

https://securityaffairs.com/164675/hacking/expert-warns-of-a-spoofing-bug.html

研究人员Vsevolod Kokorin(@Slonser)发现漏洞允许攻击者冒充微软公司电子邮件帐户并发起网络钓鱼攻击,并已向微软报告了该漏洞,但微软公司回复称无法重现他的发现。随后该研究人员在X上公开了的这一漏洞,但并未透露该漏洞的技术细节,以防止恶意黑客利用它。目前该问题尚未得到解决,并且尚不清楚是否有威胁行为体已在野外攻击中利用该漏洞。

10、黑客组织窃取埃森哲企业3万员工数据

https://hackread.com/hacker-leaks-accenture-employees-data-breach/

代号为“888”的黑客组织最近泄露了一份文件包含埃森哲32828名现任和前任员工个人联系方式与信息。埃森哲企业总部位于爱尔兰都柏林,是一家全球专业服务公司,专门从事IT服务和咨询,业务遍及120多个国家。2024年6月19日星期三,这些数据被发布在臭名昭著的黑客论坛Breach Forums上,此次泄露事件中没有涉及用户的密码凭证,黑客组织声称这些数据是在一次涉及埃森哲第三方合作公司的入侵中获得的。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。