美国网络安全机构 CISA 周二警告称，多款 Zyxel 防火墙设备中的路径遍历漏洞已被利用。 该漏洞编号为 CVE-2024-11667（CVSS 评分为 7.5），是一个高严重性漏洞，影响 Zyxel ATP、USG FLEX 和 USG20(W)-VPN 系列设备的 Web 管理界面。 NIST 公告称，成功利用此安全漏洞可能允许攻击者使用精心设计的 URL 下载或上传文件。 Qualys周二警告称： “攻击者可能利用该漏洞获得系统的未经授权访问、窃取凭证并创建后门 VPN 连接。” 本地模式下的 Zyxel ATP 和 USG FLEX 系列防火墙以及运行 ZLD 固件版本 4.32 至 5.38 且启用了远程管理或 SSL VPN 的设备受到影响。 11 月 27 日，感恩节前夕，Zyxel 更新了针对之前披露的针对其防火墙的攻击的公告，警告称该漏洞正在被广泛利用。 更新后的公告称：“我们确认，2024 年 9 月 3 日发布的防火墙固件版本 5.39 及更高版本不受该漏洞影响，因为我们已经解决了所有已知漏洞，包括 CVE-2024-11667，并在版本 5.39 中执行了一系列安全增强功能。 ” 该通报引用了 Sekoia 的一份报告（https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/），该报告介绍了 Helldown 勒索软件攻击中利用另一个 Zyxel 防火墙漏洞（编号为 CVE-2024-42057）的情况。针对 CVE-2024-42057 和其他六个安全缺陷的补丁已于 9 月 3 日发布。 Zyxel 在其更新的公告中警告称：“为了保护设备，我们强烈建议用户更新固件并更改管理员密码。这些更新对于降低威胁行为者利用 Zyxel 安全设备中先前披露的漏洞的风险至关重要。” 11 月 22 日，德国计算机应急响应小组 (CERT-Bund) 透露，一些组织在应用 Zyxel 的补丁后，没有更改管理密码或检查新创建的账户，就受到了攻击。 CERT-Bund 的公告(https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032.pdf) 中写道：“进一步的调查显示，仅更新受影响的设备不足以永久防止入侵。相反，攻击者可以使用创建的账户来侵入网络。” 12 月 3 日，CISA 将 CVE-2024-11667 添加到其已知利用漏洞(KEV) 目录中，敦促联邦机构在 12 月 24 日之前应用可用的补丁，以符合具有约束力的操作指令 (BOD) 22-01。 该机构还警告称，Proself 电子邮件安全和数据清理设备漏洞 CVE-2023-45727 和开源应用程序 ProjectSend 中的漏洞CVE-2024-11680 正受到野蛮利用。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XBzixhmkXunI4B1c2QgJOA 封面来源于网络，如有侵权请联系删除

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。 俄罗斯黑客组织被称为 Turla 或 Secret Blizzard，征用了 33 个由巴基斯坦黑客操作的C2服务器，这些黑客自己也曾入侵过阿富汗和印度政府的目标，有时还使用市售的 Hak5 渗透测试硬件设备。 据Black Lotus 称，俄罗斯黑客闯入了巴基斯坦 APT组织（被追踪为 Storm-0156）使用的C2服务器，并利用该访问权限启动自己的恶意软件并劫持敏感数据。 研究人员表示：“最近一次活动持续了两年，是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来，第四次有记录的 [Turla] 嵌入其他组织行动的案例。” 去年，Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。 Turla 是一种攻击性较强的俄罗斯 APT，其目标是世界各地的大使馆和政府办公室。据观察，它还控制了 Hak5 Cloud C2 节点，这是一个为合法渗透测试而设计的平台，但在这里被用于间谍活动。 在俄罗斯黑客组织控制其行动之前， Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构，包括其外交部。 2022 年底，Black Lotus 实验室的研究人员表示，俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置，Turla 部署了专有恶意软件（标记为 TwoDash 和 Statuezy），窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。 Turla 渗透 Storm-0156 和阿富汗政府网络 “通过这个渠道，他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证，以及从之前的行动中收集到的泄露数据。”研究人员指出。 Black Lotus 实验室表示，Storm-0156 历史上曾以印度和阿富汗政府网络为目标，并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。 Black Lotus 实验室表示，到 2024 年中期，Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件（Wasicot 和 CrimsonRAT）。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标，研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。 Black Lotus 实验室警告称： “该组织有一个显著特点：他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出，该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具。 Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接 该公司补充道：“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或使用现有访问权限来扩大收集范围并将其代理部署到网络中。” Black Lotus 实验室表示，在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时，它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。 研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互，这些节点之前曾被用来攻击印度政府和军队。 值得注意的是，Black Lotus 实验室表示，尽管还有更多可用节点，但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。” 2024 年 12 月 4 日，微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla（被追踪为 Secret Blizzard）自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。 Turla（Secret Blizzard） 和 Storm-0156 攻击链 微软解释说，这符合 Turla 既定的模式，此前它曾接管过伊朗（Hazel Sandstorm）、哈萨克斯坦（Storm-0473）和其他威胁组织的基础设施。微软的分析表明，这种“间谍对间谍”的方法是 FSB 的一种蓄意策略，目的是进行间谍活动，同时将其活动隐藏在其他黑客的行动背后。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Iyhpu2urTa-lpYa4vI_FuQ 封面来源于网络，如有侵权请联系删除

Stoli集团在美国的子公司因8月份遭受的勒索软件攻击，以及俄罗斯当局没收其在俄剩余酿酒厂而不得不申请破产保护。 Stoli美国公司及其子公司肯塔基猫头鹰公司的总裁兼全球首席执行官克里斯·考德威尔在上周五提交的文件中指出，这一决定是在8月的网络攻击严重破坏了公司的IT系统，包括企业资源规划（ERP）平台之后作出的。 这场网络攻击迫使整个集团不得不依赖手动操作，严重影响了会计等关键业务流程，预计要到2025年初才能完全恢复正常。 考德威尔表示：“2024年8月，Stoli集团的IT基础设施在数据泄露和勒索软件攻击后遭受了严重破坏。” 他进一步解释说：“这次攻击导致Stoli集团内的所有公司都遭遇了重大的运营挑战，包括Stoli美国公司和KO，因为ERP系统被禁用，导致大多数内部流程（包括会计职能）被迫转为手动操作。” 此外，这一事件还阻止了Stoli美国子公司向贷款人提供财务报告，后者声称这两家公司拖欠了7800万美元的债务。 就在一个月前的2024年7月，Stoli集团在俄罗斯的最后两家价值1亿美元的酿酒厂也被没收，这一行动与Stoli集团及其创始人尤里·谢夫勒被俄罗斯政府标记为“极端分子”有关。这一标记与他们在乌克兰战争期间对乌克兰难民提供的人道主义援助和营销活动的支持有关。 Stoli集团还与俄罗斯国有企业FKP Sojuzplodoimport就Stolichnaya和Moskovskaya伏特加商标的权益进行了长达23年的法律斗争，这场斗争跨越了多个司法管辖区，包括美国。这场法律战始于2000年3月，当时普京总统发布了一项行政命令，旨在“恢复和保护国家在1990年代被私人公司购买的伏特加商标的权利”。 Stoli集团的创始人谢夫勒因对普京政权的批评和所谓的“捏造”指控，于2002年被迫逃离俄罗斯。在2010年代，俄罗斯的引渡请求被拒绝后，谢夫勒获得了瑞士的庇护和英国公民身份。     转自Freebuf，原文链接：https://www.freebuf.com/news/416924.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，最近，独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053，当程序为一种数据类型分配内存，却错误地将其视为另一种数据类型时，就会出现类型混淆漏洞。 攻击者可能利用此漏洞在受影响的系统上执行远程代码，从而导致系统受损和数据盗窃。 谷歌已在其最新的 Chrome 更新中迅速解决了该问题，包括适用于 Windows 和 Mac 的 131.0.6778.108/.109版本 ，以及适用于 Linux 的 131.0.6778.108版本。这些更新将在未来几天至几周内推出。 虽然谷歌没有提供利用这一漏洞进行攻击的具体细节，但该公司通常会限制此类信息，直到大多数用户更新了浏览器以降低潜在风险。 Chrome 浏览器的安全团队强调了他们正在进行的内部安全工作的重要性，通过审计、模糊处理和其他措施，他们已经修复了各种问题。 而该漏洞的发现者“gal1ium”和“chluo”因此获得了8000美元奖金，他们于2024 年 11 月 14 日对这一问题进行了报告。根据今年谷歌新发布的Chrome 漏洞赏金计划，新的奖励机制将发现重大漏洞的最高奖金提高到了25万美元，相比之前最高4万美元有了大幅提升。 谷歌Chrome 今年已修复了10个零日漏洞 截至今年8月26日，谷歌Chrome 已经修复了今年的第10个零日漏洞。这些漏洞包括： CVE-2024-0519：Chrome 浏览器 V8 JavaScript 引擎存在一个严重的越界内存访问漏洞，允许远程攻击者通过特制的 HTML 页面利用堆破坏，导致未经授权访问敏感信息。 CVE-2024-2887：WebAssembly (Wasm) 标准中的高严重性类型混乱漏洞。该漏洞可导致利用伪造的 HTML 页面进行远程代码执行 (RCE) 的漏洞。 CVE-2024-2886：网络应用程序用于编码和解码音频和视频的 WebCodecs API 存在使用后即释放漏洞。 CVE-2024-4671：在处理浏览器中内容的呈现和显示的 Visuals 组件中存在一个高严重性的 use-after-free 缺陷。 CVE-2024-3159：Chrome V8 JavaScript 引擎中的越界读取导致的高严重性漏洞。 CVE-2024-4761：Chrome 浏览器的 V8 JavaScript 引擎中存在越界写入问题，该引擎负责在应用程序中执行 JS 代码。 CVE-2024-4947：Chrome V8 JavaScript 引擎中的类型混乱，可安装任意代码。 CVE-2024-5274：Chrome 浏览器 V8 JavaScript 引擎的一种混乱，可能导致崩溃、数据损坏或任意代码执行。 CVE-2024-7965：Chrome  V8 JavaScript 引擎中的一个不恰当实现，可让远程攻击者通过制作 HTML 页面造成堆内存损坏。 CVE-2024-7971：Chrome  V8 JavaScript 引擎中存在类型混乱，可让远程攻击者通过制作 HTML 页面造成堆内存损坏。     转自Freebuf，原文链接：https://www.freebuf.com/news/416908.html 封面来源于网络，如有侵权请联系删除

一家知名日本加密货币平台遭遇黑客攻击，损失了价值数亿美元的加密货币，开业不到6个月便宣布关闭。 12月2日，DMM Bitcoin宣布，计划将所有客户账户及公司资产转移至另一家加密货币公司SBI VC Trade。后者是日本金融服务巨头思佰益（SBI）集团的子公司。 DMM Bitcoin表示，此决定源于今年5月31日的重大事件。当日，黑客侵入平台并盗取了4502.9枚比特币。事件发生时，这些比特币价值3.08亿美元（约合人民币22.39亿元），截至12月2日，其价值已增至超过4.29亿美元（约合人民币31.19元）。 DMM Bitcoin解释称，相关事件的调查仍在进行中，并透露平台已持续限制客户提取加密货币及提交购买订单。 公司表示：“我们认为，若长期维持现状，将严重影响客户的便利性。基于此情况，我们决定优先保护客户利益，将所有账户及资产转移至另一家公司。对此造成的长期不便，我们深表歉意。转移完成后，公司计划终止业务运营。” DMM Bitcoin成立于2018年1月。公司与SBI VC Trade已于近日（11月29日）签署协议，预计将在2025年3月之前完成所有账户及资产的转移。目前，双方仍在处理交易的具体细节，并将于未来发布进一步公告。SBI VC Trade也在声明中确认了这一交易。 调查显示交易所风险管理存在严重问题 5月底此次攻击发生后，DMM Bitcoin不得不通过贷款筹集巨额资金以弥补损失。6月，该公司获得了550亿日元（约合3.67亿美元）的贷款。 自9月以来，公司未就此事件提供进一步更新，也未公开完整说明事件细节，包括黑客身份及被盗资金的具体流向。 日本金融厅已介入调查，并在9月表示：“我们发现公司在系统风险管理及应对加密资产泄漏风险方面存在严重问题。” 调查显示，公司未指派专人负责风险管理，相关职责被集中在少数人员手中。此外，公司部门间进行了内部自我审计，但并未接受独立审计。 金融厅指出，DMM Bitcoin违反了多项有关加密货币公司处理资产转移的规定，且未保存有助于调查盗窃事件的日志记录。 金融厅表示：“公司未采取有效措施防止因欺诈行为等导致的加密资产外流，未能确保内部和外部的安全性。其在加密资产转移管理方面存在松散行为。此外，内部审计形同虚设，容忍这些管理漏洞，未能建立健全的风险防控体系。” 金融厅已向公司发出“业务改善命令”，但未明确是否会采取其他处罚措施。 分析认为攻击者为朝黑客组织Lazarus 区块链安全公司Elliptic的研究人员指出，被盗资金已迅速被分散，其中部分资金被转入至少10个不同的钱包中。 知名加密货币研究员ZachXBT于7月表示，这些资金中有部分通过一家有争议的柬埔寨支付平台Huione Guarantee进行洗钱。该平台与有组织犯罪及柬埔寨执政家族中的某成员存在关联。 ZachXBT根据资金转移方式及其他线索推测，此次攻击可能由臭名昭著的朝鲜黑客组织Lazarus Group发起。该组织以多起高调的网络攻击闻名，据称在过去10年内为朝鲜政府获取了超过30亿美元的资金。 根据区块链研究公司Chainalysis的报告，2024年上半年，网络犯罪分子通过加密货币盗窃获取了近16亿美元，高于2023年同期的8.57亿美元。 今年下半年也发生了多起重大盗窃事件。其中包括：印度加密货币平台WazirX被盗至少2.3亿美元，新加坡加密货币平台BingX被盗超过4400万美元；此外，印尼最大的加密货币平台于2024年9月被盗2000万美元，新加坡另一家加密货币平台Penpie报告称损失2700万美元。     转自安全内参，原文链接：https://www.secrss.com/articles/73079 封面来源于网络，如有侵权请联系删除

波兰政府一直在调查上届政府涉嫌滥用Pegasus 间谍软件的情况，并逮捕了波兰前内务安全局局长 Piotr Pogonowski。 英国《金融时报》最先报道了皮奥特·波格诺夫斯基被捕的消息 。 波兰前内务安全局局长于周一被捕，并被带到议会作证，指控政府此前使用间谍软件监视数百人。 据TechCrunch报道， “据称，Pogonowski 未能回应三次出席波兰议会委员会的传票。” 2023年3月，路透社报道称，一名与反对派有关的波兰市长的手机感染了Pegasus 间谍软件。据传言，波兰特工部门正在使用间谍软件监视政府反对者。 此次黑客攻击事件由《选举报》 (Gazeta Wyborcza) 报道，不幸的是，这并不是 Pegasus 间谍软件第一次在该国被使用。 2021 年，多伦多大学公民互联网实验室 报告称 ，波兰反对派二人组遭到 NSO 间谍软件攻击。PiS 政府承认使用过该间谍软件，但指出 Pegasus 从未用于对付政治对手。 据《选举报》报道，2018 年至 2019 年，这款间谍软件被用来监听索波特市市长雅采克·卡诺夫斯基的电话。当时，这位波兰市长正在为反对派的参议院选举活动工作。 2023 年，波兰参议院宣布使用 Pegasus 间谍软件是非法的。 2022 年 6 月，备受争议的以色列监控供应商 NSO 集团向欧盟议员表示，其Pegasus 间谍软件被该地区至少五个国家使用。 当时，NSO 集团总法律顾问 Chaim Gelfand 承认公司“犯了错误”，但在其软件滥用事件成为头条新闻后，公司已经取消了多份合同。 2022 年 4 月，议会成立了一个新的调查委员会，调查使用 Pegasus 间谍软件和同等监视软件监视政客、外交官和民间社会成员的手机的情况。 Pegasus 间谍软件被用来针对多位欧洲领导人，包括西班牙首相佩德罗·桑切斯 (Pedro Sánchez)以及西班牙政治团体、 匈牙利和波兰。 如果您想了解有关 Pegasus 间谍软件的更多信息，请参阅欧洲委员会在议会夏季会议期间发布的一份调查 Pegasus 间谍软件对人权影响的报告(https://rm.coe.int/pegasus-spyware-report-en/1680a6f5d8)。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hXma0CqAa_wEkn4cW-XctQ 封面来源于网络，如有侵权请联系删除

ThreatBook研究与响应团队揭露了APT35的复杂网络攻击活动。活动针对美国、泰国、阿联酋等多个国家的航空航天和半导体行业。 APT35也称为Magic Hound或Charming Kitten，这个由伊朗支持、与伊斯兰革命卫队（IRGC）有关联的组织，自2014年以来就有着一系列高调的网络攻击历史。 在其一个活动中，APT35推出一个虚假招聘网站，针对泰国航空航天领域的无人机设计专家。网站发布高薪职位，增加了骗局的合法性。 根据ThreatBook的说法，攻击者在他们的“授权访问”服务中混合了合法程序和恶意模块，“该网站提供的授权访问程序混合了两个白色和黑色的恶意样本，其中SignedConnection.exe是合法的OneDrive程序，secur32.dll，Qt5Core.dll分别是第一阶段和第二阶段的恶意程序。” 用C#编写的恶意模块secur32.dll，悄无声息地加载了恶意软件的后续阶段，采用了字符串重构等混淆技术来逃避检测。 APT35的方法包括通过重命名文件和注册表键操作来部署复杂的多阶段有效载荷，以实现持久性。该组织还利用Google Cloud、GitHub和OneDrive等合法平台进行命令与控制（C&C）通信。 “通过对相关样本、IP和域名的分析，提取了多个相关的IOC，用于威胁情报检测。”ThreatBook报告称。 恶意软件还利用GitHub存储库和预配置的备份C&C域名，以确保在主要地址被封锁时保持连通性。这种适应性表明APT35致力于保持运营的弹性。 另一个值得注意的策略是针对半导体公司的假冒VPN程序。VPN安装程序被设置为加载一个名为msvcp.dll的恶意DLL模块，该模块充当下载器，攻击者能够从合法云平台上的C&C服务器获取额外的有效载荷。 “利用VPN访问程序加载恶意DLL模块msvcp.dll，它与Qt5Core.dll是同类型的下载器。”ThreatBook指出。 APT35的行动展示了其利用知名品牌和工具（如OneDrive和GitHub）的信任，渗透到高价值行业的能力。该组织广泛使用社会工程学策略，加上技术复杂性，这凸显了处理敏感技术的行业需要提高警惕。       转自E安全，原文链接：https://mp.weixin.qq.com/s/RX8gQ8UqXv_lTZTcskX69g 封面来源于网络，如有侵权请联系删除

英伟达™（NVIDIA®）近日发布固件更新，以解决影响其 UFM Enterprise、UFM Appliance 和 UFM CyberAI 产品的高严重性漏洞。该漏洞被识别为 CVE-2024-0130，可允许攻击者获得升级权限、篡改数据、拒绝服务并披露敏感信息。 该漏洞源于一个不恰当的身份验证问题，可通过以太网管理接口发送畸形请求加以利用。成功利用漏洞后，攻击者可在未经授权的情况下访问和控制受影响的系统。 通用漏洞计分系统（CVSS）对该漏洞的基本分值为 8.8，将其归类为 “高 ”严重性。受影响的产品包括不同版本的 UFM Enterprise、UFM Enterprise Appliance、UFM SDN Appliance 和 UFM CyberAI。 英伟达敦促用户立即更新系统。固件更新可从英伟达企业支持门户网站下载。 虽然该漏洞被认为很严重，但值得注意的是，UFM 系统的以太网管理接口通常与公共网络隔离，从而限制了攻击的可能性。不过，采取积极措施并通过安装安全更新来降低风险至关重要。 最新更新解决了该漏洞，并增强了 UFM 产品的安全性。我们建议用户访问英伟达企业支持门户网站，了解详细信息并下载必要的更新。     转自安全客，原文链接：https://www.anquanke.com/post/id/302229 封面来源于网络，如有侵权请联系删除

研究人员发现了Palo Alto Networks（CVE-2024-5921）和SonicWall（CVE-2024-29014）企业VPN客户端更新过程中的漏洞，这些漏洞可能被利用来远程执行代码。 CVE-2024-5921 CVE-2024-5921影响Palo Alto的GlobalProtect App在Windows、macOS和Linux上的多个版本，起因是认证验证不足。 该公司确认，这使得攻击者能够将GlobalProtect应用连接到任意服务器，并且指出这可能导致攻击者在终端安装恶意根证书，随后安装由这些证书签名的恶意软件。 AmberWolf研究人员Richard Warren和David Cash解释说：“GlobalProtect VPN客户端的Windows和macOS版本都容易受到远程代码执行（RCE）和权限提升的影响，这是通过自动更新机制实现的。虽然更新过程要求MSI文件必须签名，但攻击者可以利用PanGPS服务安装一个恶意信任的根证书，从而实现RCE和权限提升。更新执行时具有服务组件的权限级别（Windows上的SYSTEM和macOS上的root）。” “默认情况下，用户可以在VPN客户端的用户界面组件（PanGPA）中指定任意端点。这种行为可以被利用于社交工程攻击中，攻击者诱骗用户连接到恶意VPN服务器。这些服务器可以捕获登录凭证，并通过恶意客户端更新破坏系统。” Palo Alto表示：“这个问题在GlobalProtect应用6.2.6及所有后续的6.2版本中已修复。”该公司还引入了一个额外的配置参数（FULLCHAINCERTVERIFY），应该启用以加强对系统信任证书库的证书验证。 根据PAN的安全咨询，目前还没有针对macOS或Linux版本的应用的修复。 不过，有一个权宜之计/缓解措施，即在端点上为GlobalProtect应用启用FIPS-CC模式（并在GlobalProtect门户/网关上启用FIPS-CC模式）。 AmberWolf研究人员表示，还可以实施基于主机的防火墙规则，以防止用户连接到恶意VPN服务器。 CVE-2024-29014 CVE-2024-29014影响SonicWall的NetExtender VPN客户端在Windows版本10.2.339及更早版本，当处理端点控制（EPC）客户端更新时，允许攻击者以SYSTEM权限执行代码。该漏洞源于签名验证不足。 有几种利用场景可能导致这种情况。例如，用户可能被诱骗将他们的NetExtender客户端连接到恶意VPN服务器，并安装假冒的（恶意的）EPC客户端更新。 AmberWolf研究人员解释了另一种方法：“当安装了SMA Connect代理时，攻击者可以利用自定义URI处理程序强制NetExtender客户端连接到他们的服务器。用户只需要访问恶意网站并接受浏览器提示，或打开恶意文档，攻击就可以成功。” SonicWall在今年早些时候已经在NetExtender Windows（32位和64位）10.2.341及更高版本中修补了这个漏洞，并敦促用户升级。 AmberWolf建议：“如果立即升级不可行，考虑使用客户端防火墙限制对已知合法VPN端点的访问，以防止用户无意中连接到恶意服务器。” VPN在许多场景下被视为不可或缺的工具，它提供了加密通道，使得用户可以在公共网络上安全地传输数据，同时也能绕过地理限制访问被封锁的内容。例如对于需要远程工作的员工，VPN提供了安全访问公司内部网络的能力，确保了数据传输的保密性和完整性。 但不可否认的是，VPN的存在也给企业带来了更多的攻击面，并且成为黑客攻击的跳板。     转自Freebuf，原文链接：https://www.freebuf.com/news/416278.html 封面来源于网络，如有侵权请联系删除

Aqua Nautilus 研究人员发现了一个由 Matrix 发起的一系列大规模 DDoS 攻击活动，该活动可能是俄罗斯威胁组织发起。 Aqua Nautilus 的网络安全研究人员发现了一个名为 Matrix 的威胁组织发起的新型分布式拒绝服务 ( DDoS ) 活动，利用现成的工具和最低限度的技术专长。 根据 Aqua Nautilus 的调查结果，Matrix（研究人员将其称为脚本小子）的目标是庞大的互联网IoT设备，包括物联网设备、摄像头、路由器、DVR 和企业系统。 攻击者使用不同的技术，主要依靠暴力攻击，利用弱密码和错误配置来获取初始访问权限。 一旦被入侵，设备就会被纳入更大的僵尸网络。攻击者还利用各种公开脚本和工具来扫描易受攻击的系统、部署恶意软件并执行攻击。 根据 Aqua Nautilus 的博客文章，尽管最初有迹象表明该攻击与俄罗斯有关，但乌克兰目标的缺失表明该攻击主要关注的是经济利益，而非政治目的。 Matrix 创建了一个 Telegram 机器人 Kraken Autobuy，以销售针对第 4 层（传输层）和第 7 层（应用层）攻击的 DDoS 攻击服务，进一步强调了该攻击活动的商业化。 该活动利用了近期和之前的一系列漏洞，其中包括： CVE-2014-8361 CVE-2017-17215 CVE-2018-10562 CVE-2022-30525 CVE-2024-27348 CVE-2018-10561 CVE-2018-9995 CVE-2018-9995 CVE-2017-18368 CVE-2017-17106 这些漏洞与广泛存在的弱凭证相结合，为恶意攻击者创造了巨大的攻击面。大多数活动（约 95%）发生在工作日。 Matrix 使用 GitHub 帐户来存储和管理恶意工具和脚本，主要用 Python、Shell 和 Golang 编写。 研究人员指出：“我们重点关注了scanner、gggggsgdfhgrehgregswegwe、musersponsukahaxuidfdffdf和DHJIF等存储库。这些存储库包含各种用于在物联网设备和服务器上扫描、利用和部署恶意软件（主要是 Mirai 和其他 DDoS 相关工具）的工具。” 截图显示使用弱凭证成功登录摄像头面板（通过 Aqua Nautilus） 另一方面，Virus Total 发现用于发起 DDoS 攻击的各种工具，包括 DDoS Agent、SSH Scan Hacktool、PyBot、PYnet、DiscordGo Botnet、HTTP/HTTPS Flood Attack 和 Homo Network。 这些工具可用于控制受感染的设备、针对选定目标发起大规模 DDoS 攻击，以及利用 Discord 进行通信和远程控制。 此次攻击活动的潜在影响十分巨大，数千万台联网设备可能面临风险。 研究人员指出：“近 3500 万台设备存在风险。如果 1% 的设备受到攻击，僵尸网络可能覆盖 35 万台设备；如果 5% 的设备受到攻击，僵尸网络可能覆盖 170 万台设备，与过去发生的重大攻击不相上下。” 主要影响是服务器拒绝服务，扰乱企业和在线运营。服务器被入侵可能导致服务提供商停用，影响依赖它们的企业。观察到针对 ZEPHYR 的有限加密货币挖掘操作，但产生的经济收益微乎其微。 为了保证安全，组织应该优先考虑强有力的安全实践，如定期修补、强密码策略、网络分段、入侵检测系统、Web 应用程序防火墙和定期安全审核，以减少遭受DDoS 攻击和其他网络威胁的风险。 技术报告：https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/xx3FkgaS4rGsEhZwmMHvCQ 封面来源于网络，如有侵权请联系删除