当前位置: 首页 > 行业资讯 > 网络安全日报 2024年11月22日

网络安全日报 2024年11月22日

发表于:2024-11-22 08:49 作者: 合天网安实验室 阅读数(4855人)

1、研究人员披露ngioweb僵尸网络代理服务器架构

https://blog.lumen.com/one-sock-fits-all-the-use-and-abuse-of-the-nsocks-botnet/

Lumen Technologies的Black Lotus Labs团队深入研究了“ngioweb”僵尸网络的架构,并揭示其作为犯罪代理服务NSOCKS核心技术的角色。NSOCKS是最常用的犯罪代理之一,日均活跃超35,000台僵尸设备,分布在全球180个国家,其中约80%的设备由Ngioweb网络控制。大部分僵尸网络设备为SOHO路由器和物联网设备,其中三分之二的代理节点位于美国。通过对全球互联网流量的深入分析,研究人员追踪了这些网络活跃及历史的C2(指挥与控制)节点,部分节点自2022年中期以来一直在使用。NSOCKS的用户通过180多个“反向连接”C2节点隐藏真实身份,这些节点为用户代理恶意流量并支持攻击者建立自定义服务。此网络还为强力DDoS攻击提供支持。

2、攻击者利用社交媒体虚假广告传播恶意软件

https://www.malwarebytes.com/blog/news/2024/11/free-ai-editor-lures-in-victims-installs-information-stealer-instead-on-windows-and-mac

近日,一场大规模社交媒体宣传活动以“免费AI视频编辑器”为幌子,诱导用户下载信息窃取恶意软件。攻击者利用X、Facebook和YouTube等平台发布链接,吸引用户进入一个看似专业的网站。然而,下载链接实际隐藏着Lumma Stealer(针对Windows用户)和Atomic Stealer(针对macOS用户)这两种恶意软件。攻击者搭建了一个外观专业的伪装网站,诱导用户下载文件“Edit-ProAI-Setup-newest_release.exe”或“EditProAi_v.4.36.dmg”。研究表明,Lumma Stealer通过恶意软件即服务(MaaS)模式分发,窃取加密钱包、浏览器扩展数据及双重身份验证信息。Atomic Stealer则以窃取信用卡信息、登录凭据和认证Cookie为目标,同时可利用浏览器插件获取更多敏感数据。

3、Windows Kerberos漏洞可能导致数百万服务器遭受攻击

https://hackread.com/windows-kerberos-flaw-millions-of-servers-attack/

微软近日在其“补丁星期二”更新中修复了Windows Kerberos认证协议中的一项关键漏洞(CVE-2024-43639)。该漏洞具有9.8的CVSS评分(严重级别),允许攻击者通过特制的请求实现未经授权的访问和远程代码执行(RCE)。由于Windows Server的广泛应用以及漏洞的易用性,这一漏洞对全球企业构成了重大威胁。Censys的研究表明,目前超过227万台Windows服务器暴露在互联网上,其中121万台可能受此漏洞影响,尤其是配置为Kerberos KDC Proxy协议服务器的系统。通过KDC Proxy服务,客户端可通过HTTPS与KDC服务器通信,这一功能常用于远程桌面网关和DirectAccess等服务。然而,该配置也为攻击者提供了入侵途径。研究发现,34%的受影响服务器位于美国,11%与Armstrong Enterprise Communications相关。微软和安全专家强烈建议系统管理员立即为配置为KDC Proxy的Windows服务器安装补丁,同时关闭不必要的KDC Proxy服务,并采用网络分段和防火墙等额外安全措施。

4、D-Link警告用户停用受RCE漏洞影响的VPN路由器

https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10415

D-Link近日发布公告,敦促用户停止使用已到服务期限的VPN路由器型号,包括DSR-150、DSR-150N、DSR-250和DSR-250N。这些设备存在未经身份验证的远程代码执行(RCE)漏洞,该问题将不会得到修复。漏洞由安全研究员“delsploit”发现并报告,目前未公开技术细节,以防止大规模恶意利用的发生。漏洞影响固件版本从3.13到3.17B901C的所有硬件和固件修订版本。这些路由器广泛用于家庭办公和小型企业环境,但已于2024年5月1日结束支持。D-Link建议用户尽快更换设备,并明确表示不会为受影响型号提供安全更新。此外,虽然第三方开源固件可能适用于这些设备,但D-Link不支持也不推荐这种做法,使用此类软件将使产品保修失效。公告强调,继续使用这些设备可能对连接到其上的设备构成安全风险。如果用户在美国继续使用,D-Link建议至少确保路由器运行最后一个已知固件版本,并通过其遗留网站获取相关信息。

5、苹果修复两个针对Intel Mac系统的零日漏洞

https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-used-in-attacks-on-intel-based-macs/

苹果公司近日发布紧急安全更新,修复了两处被攻击者利用的零日漏洞。这些漏洞存在于macOS Sequoia操作系统中的JavaScriptCore(CVE-2024-44308)和WebKit(CVE-2024-44309)组件中,主要影响基于Intel芯片的Mac设备。CVE-2024-44308漏洞允许攻击者通过恶意网页实现远程代码执行,而CVE-2024-44309漏洞则可用于跨站脚本(CSS)攻击。苹果已通过macOS Sequoia 15.1.1更新修复了这些问题,同时也在其他系统中完成了修复,包括iOS 17.7.2和18.1.1、iPadOS 17.7.2和18.1.1,以及visionOS 2.1.1。这两处漏洞由谷歌威胁分析小组的Clément Lecigne和Benoît Sevens发现。尽管苹果确认这些漏洞已被利用,但并未公布具体的利用细节。

6、Ubuntu needrestart软件包存在10年之久的漏洞可用于提权

https://cybersecuritynews.com/10-year-old-flaws-in-ubuntu-server/

在 Ubuntu Server 的默认软件包 Needrestart 组件中发现了五个严重的本地权限升级 (LPE) 漏洞后,网络安全社区处于高度戒备状态。这些缺陷存在了近十年,可能允许任何非特权用户在无需用户交互的情况下获得完全的 root 访问权限,从而对系统安全构成重大威胁。

7、严重的 AnyDesk 漏洞可泄露用户 IP 地址

https://cybersecuritynews.com/critical-anydesk-vulnerability-let-attackers-uncover-user-ip-address/

流行的远程桌面应用程序 AnyDesk 中发现了一个严重漏洞,该漏洞可能允许攻击者暴露用户的 IP 地址。该漏洞编号为 CVE-2024-52940,影响 Windows 系统上的 AnyDesk 版本 8.1.0 及更早版本。

8、175个国家超 145,000 个工控系统被发现暴露在互联网

https://thehackernews.com/2024/11/over-145000-industrial-control-systems.html

新研究发现,175 个国家/地区有超过 145,000 个暴露于互联网的工业控制系统 (ICS),其中仅美国就占暴露总数的三分之一以上。来自攻击面管理公司 Censys 的分析发现,38% 的设备位于北美,35.4% 位于欧洲,22.9% 位于亚洲,1.7% 位于大洋洲,1.2% 位于南美洲,0.5% 位于欧洲。非洲。

9、Google AI工具OSS-Fuzz在开源项目中发现了 26 个漏洞

https://thehackernews.com/2024/11/googles-ai-powered-oss-fuzz-tool-finds.html

谷歌透露,其人工智能驱动的模糊测试工具 OSS-Fuzz 已被用来帮助识别各种开源代码存储库中的 26 个漏洞,其中包括 OpenSSL 加密库中的一个中等严重性缺陷。

10、微软将举办大型线下黑客大会,400万美元悬赏云计算与 AI漏洞

https://www.ithome.com/0/811/750.htm

微软宣布将举办一场名为“零日探索”(Zero Day Quest)的线下黑客大会,旨在鼓励研究人员发现影响云计算和人工智能工作负载的软件中的高危安全漏洞。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。