一周全球重大网络安全事件速递(第四十八期)
2024-11-30 08:1:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

工信部提示:

防范Remcos RAT恶意软件新变种

时间:11月25日

近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测到一种 Remcos RAT 恶意软件新变种持续活跃,主要以 Windows 用户为攻击目标,可能导致敏感信息泄露、勒索攻击、业务中断等风险。

建议相关单位和用户立即组织排查,及时更新防病毒软件,实施全盘病毒查杀,警惕来源不明的邮件或文档,防范网络攻击风险。

Blue Yonder 遭到勒索软件攻击,

对星巴克等大型客户产生直接影响

时间:11月25日

总部位于亚利桑那州的 Blue Yonder 于 11 月 21 日透露,由于勒索软件攻击,其托管服务一直处于中断状态。Blue Yonder 是一家供应链管理软件提供商,其客户包括星巴克、雀巢等大型零售商,此次攻击对该公司的一些客户造成了重大干扰。

遭到攻击后,该公司立即展开调查,并开始着手恢复受影响的服务。11 月 24 日,在其官网上分享的最新资讯中,Blue Yonder 表示,它聘请了一家网络安全公司来协助其调查和恢复工作,目前工作正在持续进行,但目前无法给出明确的恢复时间。

此次事件已影响了星巴克支付咖啡师费用和管理员工日程安排的能力。英国两家最大的杂货连锁店——Morrisons 和 Sainsbury's——同样受到了影响。

英国WUTH医院网络遭到攻击,

系统中断

时间:11月28日

英国主要医疗保健提供商 Wirral University Teaching Hospital (WUTH)遭受网络攻击导致系统中断,预约和预定程序都受到了影响。

这次攻击于本周一公开披露,迫使 WUTH 部分 IT 系统下线并切换到人工操作,不可避免地导致了延迟和服务中断。

医院方发表的声明表示:“在检测到可疑活动后,我们采取了隔离系统的措施,确保攻击不会蔓延,因此导致了一些 IT 系统离线。我们已经发起了保障业务连续性的流程,并在受影响的地区开始使用人工纸质登记来替代线上系统。”

尽管医院的服务仍然可用,但预约和紧急治疗的等待时间都有所延长。医院敦促公众在遇到真正的紧急情况时才去急诊科就诊,以避免给系统带来负担。目前,医院无法进行 X 光检查、治疗和手术,并且无法估计医院何时才能恢复正常运营。

常用网站插件中发现严重漏洞,

200,000个活跃用户可能受到影响

时间:11月26日

Defiant 警告说,CleanTalk 的 WordPress 反垃圾邮件插件中存在两个关键漏洞,它们允许攻击者远程执行任意代码,而无需进行身份验证。

这两个漏洞被命名为 CVE-2024-10542 和 CVE-2024-10781,影响了“Spam protection, Anti-Spam,FireWall by CleanTalk”插件,这两个漏洞都可能允许未经身份验证的远程攻击者安装和激活任意插件,包括可能被用于远程代码执行(RCE)的插件,非常容易遭到网络攻击。

根据 WordPress 的数据,截至 11 月 26 日,这些插件累计安装次数超过 200,000 次,并且活跃安装中大约有一半还没有运行修补版本,这意味着它们极有可能会遭到网络攻击者的利用。官方建议用户尽快更新到版本 6.45,新版本中包含针对这两个安全缺陷的修复程序。

Zello 或遭数据泄露,

要求用户重置密码

时间:11月27日

Zello 警告客户,如果他们的帐户是在 11 月 2 日之前创建的,请重置密码,这似乎是另一个安全漏洞。

Zello 是一项拥有 1.4 亿用户的移动服务提供商,在过去的两周里,许多人收到了 Zello 的安全通知,要求他们重置他们的应用程序密码。

Zello 的警告中写道:“作为预防措施,凡是 2024 年 11 月 2 日之前创建的帐户,我们要求您重置应用程序密码,同时如果您再其他应用程序上使用相同密码,建议您同样进行修改。”

Zello 安全通知已发送给客户(来源:CyberIL)

目前,尚不清楚 Zello 是否遭受了数据泄露或攻击,但该通知表明,威胁行为者可能可以访问公司客户的密码。

黑客滥用流行的 Godot 游戏引擎

感染数千台 PC

时间:11月27日

黑客使用新的 GodLoader 恶意软件,利用广泛使用的 Godot 游戏引擎来逃避检测,并在短短三个月内感染了 17,000 多个系统。正如 Check Point Research 在调查时发现的那样,威胁行为者可以使用此恶意软件来针对所有主要平台(包括 Windows、macOS、Linux、Android 和 iOS)上的游戏玩家。

Check Point 表示:“从 2024 年 6 月 29 日开始,网络犯罪分子一直在利用 Godot 引擎执行精心设计的 GDScript 代码,从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具都没有检测到这种技术,所以在短短几个月内感染了 17,000 多台机器。“

Godot 拥有一个充满活力且不断壮大的开发人员社区,他们重视其开源性质和强大的功能,在 Discord、YouTube 和其他社交媒体平台上,Godot 引擎拥有大约 80,000 名关注者。对于 Godot 来说,应当重视这一事件并对此做出积极应对。

攻击链(来源:bleepingcomputer)
 

VMware 修补了五个高严重性漏洞

时间:11月26日

虚拟化软件供应商 VMware 周二发布了一份高严重性公告,称修补了其 Aria Operations 产品中至少五个安全缺陷。该公司记录了云 IT 运营平台中的五个不同漏洞,并警告说,黑客可能会利用这些漏洞来发起跨站点脚本攻击。

以下是 VMware 的 VMSA-2024-0022 公告中的详细信息:

  • CVE-2024-38830 – 本地权限提升漏洞 (CVSS 7.8)。具有本地管理权限的行为者可利用此漏洞来获取设备的 root 访问权限。
  • CVE-2024-38831 – 本地权限提升漏洞 (CVSS 7.8)。通过修改属性文件启用恶意命令,从而允许将权限提升到 root。
  • CVE-2024-38832 – 存储的跨站点脚本漏洞 (CVSS 7.1)。允许对视图具有编辑权限的用户注入脚本。
  • CVE-2024-38833 – 存储的跨站点脚本漏洞 (CVSS 6.8)。允许通过电子邮件模板注入恶意脚本。
  • CVE-2024-38834 – 存储的跨站点脚本漏洞 (CVSS 6.5)。以用于脚本注入的云提供商编辑功能为目标。

该公司表示,这些漏洞会影响 VMware Aria Operations(版本 8.x)和 VMware Cloud Foundation(使用 Aria Operations 的版本 4.x 和 5.x),同时敦促企业用户尽快应用可用的补丁。

ProjectSend 漏洞可能遭到利用

时间:11月27日

VulnCheck 警告说,威胁行为者可能正在利用未修补的 ProjectSend 服务器漏洞。ProjectSend 是一款用 PHP 编写的开源应用程序,专为文件共享而设计,使用户能够创建客户端组、分配用户角色以及访问统计信息、详细日志、通知等。

被利用的问题被命名为 CVE-2024-11680,可能允许未经身份验证的远程攻击者修改应用程序的配置。NIST 公告中写道,攻击者可以向 options.php 端点发送精心设计的 HTTP 请求,以创建流氓帐户、上传 Webshell 并可能嵌入恶意 JavaScript 代码。

Synacktiv 于 2023 年 1 月发现并报告了该漏洞,并于 2023 年 5 月将补丁提交推送到 ProjectSend 的 GitHub 存储库,但有数据表明,目前仅有1%的使用者运行修补后的版本。

渠道合作咨询   田先生 15611262709
稿件合作   微信:shushu12121

文章来源: https://mp.weixin.qq.com/s?__biz=MzAwNTgyODU3NQ==&mid=2651129340&idx=1&sn=0478c74ef5bc9ce2bb92fa193ad60d2d&chksm=80e71f4cb790965ae32f229e9b31a75eb91baccdf833b388ec07f54dffdb01bbbb43722f90e8&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh