HackerNews 编译，转载请注明出处： Ivanti发布了针对Ivanti Connect Secure（ICS）、Ivanti Policy Secure（IPS）和Ivanti Secure Access Client（ISAC）的安全更新，修复了多个漏洞，其中包括三项严重漏洞。 该公司通过其负责任的披露计划，收到了来自CISA、Akamai的安全研究人员以及HackerOne漏洞赏金平台的报告，才得知这些漏洞。 Ivanti在安全公告中指出，尚未收到这些问题在实际环境中被积极利用的报告。然而，Ivanti建议用户尽快安装安全更新。 三个关键的安全漏洞 Ivanti修复的三项关键安全漏洞如下： CVE-2025-22467：ICS中的基于堆栈的缓冲区溢出漏洞，允许具有低权限的远程认证攻击者执行代码（严重性评分：9.9）。 CVE-2024-38657：外部控制文件名漏洞，允许远程认证攻击者在ICS和IPS中执行任意文件写入（严重性评分：9.1）。 CVE-2024-10644：代码注入漏洞，允许远程认证攻击者在ICS和IPS中执行远程代码（严重性评分：9.1）。 利用这三项漏洞可以从远程位置进行攻击，但攻击者需要先进行身份认证。并且，其中两项漏洞需要管理员权限才能执行远程代码或写入任意文件。 尽管如此，风险仍然相当大，因为内部威胁或通过钓鱼、先前的泄露或暴力破解密码窃取凭证的攻击者，依然可以利用这些漏洞进行恶意操作。 此外，公告中还列出了五个中到高严重性的漏洞，包括跨站脚本（XSS）漏洞、硬编码密钥、敏感数据以明文存储以及权限不足等问题。 影响版本 这些漏洞影响的版本包括： ICS 22.7R2.5及更早版本 IPS 22.7R1.2及更早版本 ISAC 22.7R4及以下版本 每个漏洞影响的具体产品版本详情，请参见下表。 这些问题已经在ICS 22.7R2.6、IPS 22.7R1.3和ISAC 22.8R1中修复，系统管理员应升级至这些版本。 Pulse Connect Secure 9.x Ivanti还确认该问题也影响Pulse Connect Secure 9.x版本，但表示由于这些产品的支持期已经结束，因此不会为这些版本提供修复。 Ivanti解释称：“Pulse Connect Secure 9.x版本于2024年6月达到了工程结束，并且自2024年12月31日起已结束支持。” “因此，9.x版本的Connect Secure不再接收回溯修复，”公司补充道，并鼓励客户升级到Ivanti Connect Secure 22.7版本。 Ivanti未提供对已修复漏洞的任何缓解措施，安装最新更新是推荐的解决方案。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月12日，Bill Toulas报道——一个名为“Sarcoma”的新型勒索病毒组织近日声称对中国台湾大型印刷电路板（PCB）制造商Unimicron发起了攻击。 黑客发布了他们声称从该公司系统中窃取的文件样本，并威胁如果不支付赎金，将于下周泄露所有数据。 在Sarcoma的泄密网站上，黑客于昨日更新了新的信息，称他们目前掌握着从Unimicron公司窃取的377GB SQL文件和文档。 Unimicron被列入Sarcoma受害者名单 Unimicron是一家公开上市公司，主要生产刚性和柔性印刷电路板（PCB）、高密度互连（HDI）板以及集成电路（IC）载体。 该公司是全球最大的PCB制造商之一，在中国、德国和日本设有工厂和服务中心。其产品广泛应用于LCD显示器、计算机、外设以及智能手机等领域。 Unimicron在台湾证券交易所（TWSE）公告中披露称，2月1日公司遭遇了一次勒索病毒攻击，造成运营中断。 根据公告，该事件发生在1月30日，影响了Unimicron旗下的中国子公司——深圳市友米科技有限公司。 该公司表示，攻击的影响范围有限，并已聘请外部网络取证团队进行事件分析并协助实施防御措施。 然而，Unimicron并未确认是否发生了数据泄露。与此同时，Sarcoma在勒索平台上泄露的样本看起来似乎是真实的。 BleepingComputer已联系Unimicron，要求其就Sarcoma的指控发表更新声明，但尚未得到回复。 Sarcoma勒索病毒于2024年10月首次发动攻击，并迅速成为当月最活跃和高产的勒索病毒团伙之一，声称已攻陷36个受害者。 2024年11月，网络安全专家CYFIRMA警告称：“Sarcoma勒索病毒因其激进的攻击手法和不断增加的受害者数量，正迅速成为一个重大威胁。” 2024年12月，工业网络威胁情报公司Dragos将Sarcoma列为全球工业组织最重要的新兴威胁之一。 RedPiranha的报告提供了关于Sarcoma的更多细节，解释了该组织利用钓鱼邮件和n天漏洞利用手段获得初步访问权限，并且已通过供应链攻击从服务供应商转向其客户。 在渗透成功后，Sarcoma进行RDP利用、横向移动和数据窃取等活动。 然而，虽然该威胁团伙的行动显示出其在该领域的经验，但其具体工具尚未被分析，因此其操作的来源和战术仍未完全解码。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据微软报告，与俄罗斯有关的威胁组织Seashell Blizzard已指派其一个分支获取面向互联网的基础设施的初始访问权，并在目标组织中建立长期驻留。 Seashell Blizzard也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear，自 2009 年以来一直活跃，据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。 该威胁组织以从事间谍活动、信息行动和网络破坏而闻名，例如破坏性的 KillDisk (2015)、MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和 Prestige (2022) 攻击。 Seashell Blizzard针对关键基础设施发起攻击，包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统，并已在军事行动中得到利用，尤其是在乌克兰。 微软在周三的一份报告中指出：“自 2023 年 4 月以来，Seashell Blizzard已加大了对该地区军事社区的攻击力度，可能是为了获取战术情报。他们持续瞄准乌克兰，这表明Seashell Blizzard的任务是获取并保留对高优先级目标的访问权，为俄罗斯军事和政府提供一系列未来行动选项。” 在过去四年中，Seashell Blizzard内部的一个小组一直致力于一项广泛的初始访问行动，称为“BadPilot 活动”，目的是在高价值目标中建立持久性，以支持定制的网络操作。 微软解释说：“Seashell Blizzard内部的这个小组至少从 2021 年就开始活跃，他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动，有时会导致严重的区域网络入侵。” 微软表示，该子组织的活动使Seashell Blizzard能够接触多个领域的全球目标（包括国际政府），从而横向扩大业务规模。 去年，该小组扩大了其目标列表，包括美国和英国的组织，主要通过利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 的漏洞。 微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改，以被动收集网络凭据，并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。 微软指出：“鉴于Seashell Blizzard是俄罗斯在乌克兰的网络先锋，微软威胁情报评估认为，这个访问小组将继续创新新的扩展技术，入侵乌克兰和全球网络，以支持俄罗斯的战争目标和不断变化的国家优先事项。”   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化货币借贷平台 zkLend 遭受了一次安全漏洞攻击，攻击者利用智能合约漏洞窃取了 3600 枚以太坊，当时价值 950 万美元。 zkLend 是建立在 Starknet 上的去中心化货币市场协议，而 Starknet 是以太坊的第二层扩展解决方案。该平台允许用户存入、借入和借出各种资产。 此次攻击发生在昨天下午，zkLend 在 X 平台上警告称其遭受了一起网络安全事件。 据 EthSecurity Telegram 频道消息，攻击者利用了 zkLend 智能合约中的取整错误漏洞。 该频道的一篇帖子写道：“攻击者将‘lending_accumulator’操纵为一个非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的取整错误，反复存入 4.069297906051644021 wstETH，获得 2 wei，随后提取 4.069297906051644020*1.5 – 1 = 6.103946859077466029 wstETH，仅消耗 1 wei。” Starkware 是 Starknet 网络的开发者，其确认该漏洞并非 Starknet 技术的一部分，而是特定于应用程序的漏洞。 据 Cyvers 称，攻击者试图通过 RailGun 隐私协议洗钱，但由于协议政策被阻止。 zkLend 现已向黑客发出消息，表示如果对方归还 90% 的被盗以太坊（即 3300 枚 ETH），他们可以保留剩余的 10%，并且不会因此次攻击承担任何责任。 zkLend 在链上向黑客发送的消息中写道：“我们知道你对今天 zkLend 的攻击负责。你可以保留 10% 的资金作为白帽赏金，并将剩余的 90%，即 3300 枚 ETH，归还到这个以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C。” “在收到转账后，我们同意放弃与此次攻击相关的所有责任。” “我们目前正在与安全公司和执法部门合作。如果我们没有在 2025 年 2 月 14 日世界协调时 00:00 之前收到你的回复，我们将采取下一步行动来追踪和起诉你。” 加密货币窃贼需在 2 月 13 日下午 7:00（美国东部标准时间）之前归还 90% 的被盗资金，之后 zkLend 将采取法律行动。 目前尚未收到黑客的任何回复，这在类似情况下通常是如此。尚未有威胁行为者被认定为此次攻击的幕后黑手。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于本周二发布了针对其软件产品的安全更新，修复了63个漏洞，其中包括2个已被积极利用的漏洞。 这63个漏洞中，3个被评为严重（Critical），57个为重要（Important），1个为中等（Moderate），2个为低危（Low）。除此之外，微软还解决了自上个月补丁星期二更新以来，针对其基于Chromium的Edge浏览器的23个漏洞。 此次更新的重点是修复了两个被积极利用的漏洞： CVE-2025-21391（CVSS评分：7.1）——Windows存储权限提升漏洞 CVE-2025-21418（CVSS评分：7.8）——Windows辅助功能驱动程序（WinSock）权限提升漏洞 微软在关于CVE-2025-21391的警报中表示：“攻击者仅能删除系统上的特定文件。该漏洞不会泄露任何机密信息，但可能允许攻击者删除数据，导致服务不可用。” Action1公司总裁兼联合创始人Mike Walters指出，该漏洞可能与其他漏洞结合使用，从而提升权限并执行后续操作，复杂化恢复工作，攻击者也可能通过删除重要的取证资料来掩盖其行踪。 另一方面，CVE-2025-21418是涉及AFD.sys的权限提升漏洞，攻击者可利用该漏洞获得系统级权限（SYSTEM权限）。 值得注意的是，去年8月，Gen Digital披露了相同组件中的类似漏洞CVE-2024-38193，该漏洞已被朝鲜黑客组织Lazarus Group利用。2024年2月，微软也修复了一个影响AppLocker驱动程序（appid.sys）的Windows内核权限提升漏洞CVE-2024-21338，该漏洞也曾被Lazarus Group利用。 这些攻击链之所以引人注目，是因为它们超越了传统的“带入易受攻击驱动程序”（BYOVD）攻击，而是利用了Windows本地驱动程序中的安全漏洞，从而无需在目标环境中引入其他驱动程序。 目前尚不清楚CVE-2025-21418的滥用是否与Lazarus Group有关。美国网络安全和基础设施安全局（CISA）已将这两个漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在2025年3月4日前应用相关补丁。 此次更新中，微软解决的最严重漏洞是CVE-2025-21198（CVSS评分：9.0），一个高性能计算（HPC）包中的远程代码执行（RCE）漏洞。 微软表示：“攻击者可通过向目标头节点或Linux计算节点发送特制的HTTPS请求，进而执行远程代码，并能够在连接到目标头节点的其他集群或节点上执行代码。” 此外，另一个远程代码执行漏洞CVE-2025-21376（CVSS评分：8.1）影响Windows轻量目录访问协议（LDAP），攻击者可通过发送特制请求执行任意代码。不过，成功利用该漏洞需要攻击者在竞争条件下获胜。 Immersive Labs的网络安全工程师Ben McCarthy表示：“鉴于LDAP是Active Directory的核心组件，后者支撑着企业环境中的身份验证和访问控制，若被攻破，可能导致横向渗透、权限提升以及广泛的网络入侵。” 此外，更新还修复了一个NTLMv2哈希泄露漏洞CVE-2025-21377（CVSS评分：6.5），如果成功利用，攻击者可冒充目标用户进行身份验证。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的黑客组织Kimsuky近日被发现使用一种新策略，通过欺骗目标以管理员身份运行PowerShell，随后指示受害者粘贴并执行其提供的恶意代码。 微软威胁情报团队在X平台上发布的一系列帖子中表示：“为了执行这一战术，黑客伪装成韩国政府官员，并与目标建立信任关系，之后通过钓鱼邮件发送带有PDF附件的邮件。” 受害者被说服点击包含Windows系统注册步骤链接的URL，以查看所谓的PDF文档。该注册链接要求受害者以管理员身份启动PowerShell并将显示的代码片段复制并粘贴到终端中执行。 如果受害者照做，恶意代码将下载并安装基于浏览器的远程桌面工具，并从远程服务器下载包含硬编码PIN的证书文件。 微软表示：“该代码随后向远程服务器发送网页请求，使用下载的证书和PIN注册受害者的设备。这使得黑客能够访问该设备并进行数据外泄。” 微软还表示，自2025年1月以来，该攻击方法在少数攻击中得到了应用，并称其与Kimsuky黑客组织以往的攻击手法有所不同。 值得注意的是，Kimsuky并非唯一采用这种攻击策略的朝鲜黑客组织。2024年12月，调查显示，与“传染性面试”活动相关的黑客组织也通过类似方式欺骗用户，在Apple macOS系统的终端应用中复制并执行恶意命令，声称是为了解决浏览器无法访问摄像头和麦克风的问题。 此类攻击在近几个月内迅速增加，部分原因在于它们依赖目标自行感染机器，从而绕过了安全防护。 亚利桑那州女子承认为朝鲜IT工人运营“笔记本电脑农场” 与此同时，美国司法部（DoJ）宣布，亚利桑那州一名48岁女子因参与诈骗IT工人计划认罪，该计划使朝鲜黑客能够冒充美国公民和居民，在超过300家美国公司获得远程工作机会。 司法部表示，从2020年10月到2023年10月，这一活动为Christina Marie Chapman和朝鲜非法获利超过1710万美元，违反了国际制裁。 司法部称：“作为美国公民，Chapman与海外IT工人合作，从2020年10月到2023年10月，盗取美国国民的身份，并利用这些身份申请远程IT工作，进一步实施计划时，向国土安全部传递虚假文件。” “Chapman和她的同谋在数百家美国公司获得了工作机会，包括财富500强公司，通常是通过临时工作人员公司或其他承包机构。” 被告于2024年5月被捕，她还被指控通过在家中设置多个笔记本电脑，运营一个“笔记本电脑农场”，制造出朝鲜工人正在国内工作的假象，实际上这些工人位于中国和俄罗斯，通过远程连接到公司的内部系统。 司法部补充道：“由于Chapman及其同谋的行为，超过300家美国公司受影响，超过70个美国公民身份被泄露，超过100次向DHS传递虚假信息，超过70名美国人被错误地创建了税务责任。” 随着执法部门加大对这一IT工人计划的审查，相关的数据外泄和勒索行为不断升级。 美国联邦调查局（FBI）在上个月发布的通报中表示：“在被发现连接到公司网络后，朝鲜IT工人通过扣押窃取的专有数据和代码进行勒索，直到公司满足赎金要求。”FBI还表示：“在某些情况下，朝鲜IT工人已公开发布受害公司专有代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe公司在周二发布了针对多个产品中至少45个已记录漏洞的补丁，并警告称这些软件缺陷会使用户面临远程代码执行攻击的风险。 其中最严重的问题是Adobe Commerce中存在的一大批关键漏洞，可能导致任意代码执行、安全功能绕过和权限提升。 位于加利福尼亚州圣何塞的软件供应商对Adobe Commerce的安全公告给出了“严重”评级，并敦促企业客户紧急应用可用的补丁。 该公司还为Adobe InDesign修复了至少4个严重级别的漏洞，警告称内存安全问题（如越界写入和缓冲区溢出）会带来重大的代码执行风险。 Adobe Illustrator、Adobe InCopy和Substance 3D Designer产品也获得了安全更新，以修复多个关键的远程代码执行漏洞。 在周二的补丁更新中，Adobe还涉及了广受欢迎的Adobe Photoshop和Photoshop Elements应用程序，并警告存在权限提升风险。 此外，Adobe公司还警告称其Substance 3D Stager工具容易受到拒绝服务攻击的影响。 Adobe表示，目前尚未发现这些已记录漏洞在现实环境中被利用的情况，但强烈建议用户和IT管理员通过Creative Cloud桌面应用程序或使用每个产品的内置更新机制安装修复补丁。 对于托管企业部署，组织应利用Adobe管理控制台或Creative Cloud打包器，迅速将修复程序推送给最终用户。 鉴于本月披露的漏洞严重性，安全专家建议安全团队在打补丁后进行后续评估，包括常规系统监控和应用程序测试。   消息来源：Security Week, 编译：zhongx； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 远程连接管理解决方案的领先提供商 Devolutions 发布安全公告，称其 Remote Desktop Manager（RDM）产品在多个平台上存在严重漏洞。这些漏洞可能允许攻击者拦截和篡改加密通信，进而危及敏感数据和系统安全。 漏洞源于 RDM 证书验证逻辑的缺陷。在 Windows 平台上（CVE-2025-1193，CVSSv4 评分为 8.5），证书验证未能校验主机；而在其他平台上（CVE-2024-11621，CVSSv4 评分为 8.6），证书验证完全缺失，会无提示地接受任何证书。 公告指出：“具体来说，在 Windows 平台上，证书验证未校验主机。在其他平台上，证书验证缺失，会无提示地接受任何证书。” 这些漏洞可能使攻击者发动中间人攻击，拦截并篡改用户与远程系统之间的加密流量，从而导致凭据被盗和未经授权访问敏感数据。 Devolutions 已为所有受影响平台发布补丁，强烈建议用户和管理员立即升级： 平台 受影响版本 修复版本 Windows 2024.3.19 及更早版本 2024.3.20.0+ macOS 2024.3.9.0 及更早版本 2024.3.10.3+ Linux 2024.3.2.5 及更早版本 2024.3.2.9+ Android 2024.3.3.7 及更早版本 2024.3.4.2+ iOS 2024.3.3.0 及更早版本 2024.3.4.0+ PowerShell 2024.3.6.0 及更早版本 2024.3.7.0+ 依赖 Remote Desktop Manager 的组织应立即采取行动，确保运行最新安全版本。   消息来源：Security Online；编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 EclecticIQ 威胁分析师披露，俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰的 Windows 用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行攻击。这些攻击可能始于 2023 年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的 ProtonMail 账号注册攻击域名，被 EclecticIQ 确认为与 Sandworm 黑客相关。 攻击者还利用 BACKORDER 加载器部署 DarkCrystal RAT（DcRAT）恶意软件（此前 Sandworm 攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。 EclecticIQ 识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和 TTPs。最近一次是在 2025 年 1 月 12 日，分析师观察到攻击者利用拼写错误的域名，通过 DcRAT 远程访问木马进行数据泄露攻击。 一旦在受害者的设备上部署，假冒的 KMS 激活工具会显示一个伪造的 Windows 激活界面，在后台安装恶意软件加载器，并禁用 Windows Defender，随后传递最终的 RAT 负载。 这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器 Cookie、浏览历史记录、保存的凭据、FTP 凭据、系统信息和屏幕截图。 Sandworm 使用恶意 Windows 激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。EclecticIQ 表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为 Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。 Sandworm（也被追踪为 UAC-0113、APT44 和 Seashell Blizzard）是一个自 2009 年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第 74455 军事单位，主要针对乌克兰发动破坏性和破坏性攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 更新（2025 年 2 月 11 日 19:32）：在发布报道后，Fortinet 告知我们，今日新增至 FG-IR-24-535 的 CVE-2025-24472 漏洞并非零日漏洞，已于 1 月修复。尽管今日更新的公告显示两个漏洞均被用于攻击，并为新发现的 CSF 代理请求利用路径提供了临时解决方案，但 Fortinet 表示只有 CVE-2024-55591 被利用。Fortinet 向 BleepingComputer 表示，如果客户此前根据 FG-IR-24-535/CVE-2024-55591 的指导进行了升级，则已对新披露的漏洞具备防护能力。本报道标题已更新以反映这一新信息，原文如下： Fortinet 今日警告称，攻击者正在利用 FortiOS 和 FortiProxy 中的另一个已修复的零日漏洞，劫持 Fortinet 防火墙并入侵企业网络。成功利用该认证绕过漏洞（CVE-2025-24472）可使远程攻击者通过构造恶意的 CSF 代理请求获得超级管理员权限。该漏洞影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0.19 以及 FortiProxy 7.2.0 至 7.2.12 版本。Fortinet 已在 FortiOS 7.0.17 及以上版本以及 FortiProxy 7.0.20/7.2.13 及以上版本中修复了该漏洞。 Fortinet 在上月发布的安全公告中新增了该漏洞的 CVE 编号，此前公告已警告客户有攻击者正在利用 FortiOS 和 FortiProxy 中的零日漏洞（编号 CVE-2024-55591），该漏洞影响相同版本的软件。然而，已修复的 CVE-2024-55591 漏洞可通过向 Node.js websocket 模块发送恶意请求进行利用。 据 Fortinet 介绍，攻击者利用这两个漏洞在受影响设备上生成随机管理员或本地用户账号，并将其添加到新的或现有的 SSL VPN 用户组中。攻击者还被发现修改防火墙策略及其他配置，并使用之前建立的恶意账号登录 SSLVPN 实例，“从而获得通往内部网络的隧道”。尽管 Fortinet 未提供更多关于此次攻击活动的信息，但网络安全公司 Arctic Wolf 发布了一份包含匹配入侵指标（IoC）的报告，称自 2024 年 11 月中旬以来，暴露在互联网上的 Fortinet FortiGate 防火墙管理接口一直受到攻击。 “该攻击活动涉及未经授权的管理员登录防火墙管理界面、创建新账号、通过这些账号进行 SSL VPN 认证以及各种其他配置变更，”Arctic Wolf Labs 表示。“虽然尚未最终确认初始攻击向量，但零日漏洞的可能性极高。各组织应尽快紧急禁用公开界面上的防火墙管理访问权限。” Arctic Wolf Labs 还提供了 CVE-2024-55591 大规模利用攻击的时间线，称其包含四个独特阶段： 漏洞扫描阶段（2024 年 11 月 16 日至 23 日） 侦察阶段（2024 年 11 月 22 日至 27 日） SSL VPN 配置阶段（2024 年 12 月 4 日至 7 日） 横向移动阶段（2024 年 12 月 16 日至 27 日） “鉴于不同入侵事件之间在手法和基础设施方面存在细微差别，可能有多个个人或团体参与了此次攻击活动，但 jsconsole 使用情况是贯穿始终的共同点。”此外，Arctic Wolf Labs 表示已于 2024 年 12 月 12 日通知 Fortinet 关于此次攻击的情况，并在五天后收到来自该公司产品安全事件响应团队（PSIRT）的确认，称该活动已知且正在调查中。 Fortinet 建议无法立即部署安全更新的管理员，通过禁用 HTTP/HTTPS 管理界面或通过本地策略限制可访问该界面的 IP 地址，作为临时解决方案来保护易受攻击的防火墙。BleepingComputer 已联系 Fortinet 发言人征求意见，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文