Hackernews 编译，转载请注明出处： 乌克兰计算机紧急响应小组（CERT-UA）警告称，当地关键基础设施可能受到古巴勒索软件攻击。 2022年10月21日，乌克兰CERT-UA发现了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼邮件包括一个第三方网站的链接，用于下载标题为“Наказ_309.pdf”的文档。 该网页旨在诱骗读者更新软件（PDF阅读器）来阅读文档。 单击“下载”按钮后，名为“AcroRdrDCx642200120169_uk_UA.exe”的可执行文件将下载到计算机。 运行上述可执行文件将解码并运行“rmtpak.dll”DLL文件，即ROMCOM RAT。 研究人员将RomCom后门的使用与黑客Tropical Scorpius（又名UNC2596）联系在一起，CERT-UA将其追踪为UAC-0132，负责古巴勒索软件的分发。 乌克兰发布的警报称：“考虑到RomCom后门的使用以及相关文件的其他功能，我们认为可以将检测到的活动与Tropical Scorpius (Unit42)，又名UNC2596（Mandiant）的活动联系起来，该集团负责古巴勒索软件的分发；CERT-UA 在标识符UAC-0132下监视活动。” 从2022年5月初开始，Palo Alto Network的第42分队观察到Tropical Scorpius黑客使用新颖的工具和技术部署了古巴勒索软件，包括定制后门RomCom。 警报还包括此次活动的妥协指标。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 自今年年初以来，苹果已经解决了在野外攻击中利用的第九个零日漏洞。该漏洞被跟踪为CVE-2022-42827，是一个越界写入漏洞，攻击者可以利用该漏洞以内核特权执行任意代码。 一位匿名研究人员向苹果报告了该漏洞，该公司通过改进iOS 16.1和iPadOS 16中的边界检查解决了该漏洞。 苹果公司发布的公告中写道：“苹果公司知道一份报告称，这个漏洞可能被积极利用。” 该漏洞影响了iPhone 8及更高版本、iPad Pro（所有型号）、iPad Air第3代及更高版本、iPad第5代及更高版本、iPad mini第5代及更高版本。 建议苹果用户立即更新其设备，以减少遭受攻击的风险。 自1月份以来，苹果已经解决了其他8个零日漏洞，下面是已修复问题的列表： 2022 年 1 月：CVE-2022-22587和CVE-2022-22594 2022 年 2 月：CVE-2022-22620 2022 年 3 月：CVE-2022-22674和CVE-2022-22675 2022 年 5 月：CVE-2022-22675 2022 年 8 月：CVE-2022-32894 2022 年 9 月：CVE-2022-32917   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 国际批发零售巨头麦德龙（METRO）本周遭受网络攻击，导致IT基础设施中断。Metro在全球拥有681家门店，员工人数超过95000人，其中大部分在德国，2020年的销售额达到248亿欧元。 该公司在官方声明中证实了网络攻击，并在外部专家的帮助下调查了这起事件： “METRO/MAKRO目前正经历部分IT基础设施中断，因为多项技术服务。麦德龙的IT团队与外部专家一起，立即展开了彻底调查，以确定服务中断的原因。最新的分析结果证实，对麦德龙系统的网络攻击是IT基础设施中断的原因。 这家批发巨头通知了相关部门，并警告客户，服务中断可能会导致延迟。 为了应对服务中断，商店的团队建立了离线系统来处理付款。 该公司没有提供攻击的技术细节，但Metro面临的问题表明，它是勒索软件攻击的受害者。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 周二，美国网络安全和基础设施安全局（CISA）发布了两份工业控制系统（ICS）报告，涉及Advantech R-SeeNet和日立能源APM Edge设备的严重漏洞。 这包括R-SeeNet监控解决方案中的三个漏洞，成功利用这些漏洞“可能导致未经授权的攻击者远程删除系统上的文件或允许远程代码执行”。 影响R-SeeNet 2.4.17及更早版本的问题列表如下： CVE-2022-3385 和 CVE-2022-3386（CVSS评分：9.8）：两个基于堆栈的缓冲区溢出漏洞，可能导致远程执行代码 CVE-2022-3387（CVSS评分：6.5）：一种路径遍历漏洞，可使远程攻击者删除任意PDF文件 2022年9月30日发布的R-SeeNet版本2.4.21中提供了补丁。 2021年12月，CISA还发布了一份更新建议，该公告涉及日立能源变压器资产性能管理（APM）边缘产品中存在多个漏洞，这些漏洞可能导致其无法访问。 这29个漏洞（CVSS评分为8.2）源于开源软件组件（如 OpenSSL、LibSSL、libxml2 和 GRUB2 引导加载程序）中的安全漏洞。建议用户更新到APM Edge 4.0版本以修复这些漏洞。 在CISA于2022年10月13日发布25个ICS公告不到一周后，这两个警报就发布了，这些公告提到了西门子，日立能源和三菱电机等设备中的多个漏洞。 根据OT网络安全和资产监测公司SynSaber的数据，2022年上半年，通过CISA报告了681个ICS产品漏洞，其中152个被评为严重漏洞，289个被评为了高危漏洞，2015年被评为中等漏洞。 此外，54个关键/高评级CVE没有供应商提供的补丁或任何缓解措施，占报告漏洞总数和剩余的“永久漏洞”的13%。 SynSaber说：“对于资产所有者和那些保护关键基础设施的人来说，了解何时可以采取补救措施，以及这些补救措施应该如何实施和确定优先级是很重要的。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员分享了有关Azure服务结构资源管理器 （SFX） 中现已修补的安全漏洞的详细信息，该漏洞可能使攻击者获得群集上的管理员权限。 该漏洞被跟踪为CVE-2022-35829，CVSS评分6.2，微软上周在周二补丁更新中解决了该漏洞。 Orca Security于2022年8月11日发现并向科技巨头报告了该漏洞，称其为FabriXss（发音为“fabrics”）。它会影响Azure结构资源管理器8.1.316及更早版本。 微软将SFX描述为用于检查和管理Azure服务结构群集的开源工具，Azure服务结构群集是一个分布式系统平台，用于构建和部署基于微服务的云应用程序。 该漏洞的根源在于，具有通过SFX客户端“创建撰写应用程序”权限的用户可以利用这些权限创建恶意应用程序，并滥用“应用程序名称”字段中存储的跨站点脚本 （XSS） 漏洞来传递有效负载。 利用此漏洞，攻击者可以在应用程序创建步骤中发送特制输入，最终导致其执行。 Orca Security研究人员Lidor Ben Shitrit和Roee Sagi说：“这包括执行群集节点重置，删除所有自定义设置，如密码和安全配置，允许攻击者创建新密码并获得完全的管理员权限。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Fortinet证实，许多系统仍然容易受到CVE-222-40684零日漏洞的攻击。 Fortinet敦促客户修复最近发现的CVE-2022-40684零日漏洞。不幸的是，仍有很多设备尚未修复。 Fortinet在过去一周多次通知后，仍有大量设备需要修复，并且在外部方发布POC代码后，该漏洞得到了积极利用。基于这一发展，Fortinet再次建议客户和合作伙伴立即采取公开咨询中所述的紧急行动。 几周前，安全供应商解决了影响FortiGate防火墙和FortiProxy web代理的关键身份验证绕过漏洞。攻击者可以利用此漏洞登录易受攻击的设备。 “在FortiOS和FortiProxy中使用备用路径或通道[CWE-88]的身份验证绕过漏洞，可能允许未经身份验证的攻击者通过特制的HTTP或HTTPS请求在管理接口上执行操作。”PSIRT公司发布的通报中写道。 由于存在远程利用该漏洞的风险，该公司敦促客户立即解决此关键漏洞。 该漏洞会影响从7.0.0到7.0.6以及从7.2.0到7.2.1的FortiOS版本。从7.0.0至7.0.6和7.2.0的FortiProxy版本也会受到影响。 这家网络安全公司通过发布FortiOS/FortiProxy版本7.0.7或7.2.2解决了该漏洞。该公司还为那些无法立即部署安全更新的人提供了解决方法。 无法升级其系统的客户应禁用HTTP/HTTPS管理接口或限制可以访问该接口的IP地址。 Fortinet知道有一个实例利用了此漏洞，建议立即根据设备日志中的以下危害指标验证您的系统：user=”Local_Process_Access” CVE-2022-40684漏洞的概念验证 （PoC） 攻击代码已在线发布。PoC攻击代码的公开可用性可能会助长针对Fortinet设备的攻击浪潮。 安全公司警告说，黑客已经在野外积极利用这个漏洞，威胁情报公司GreyNoise报告说，有人试图利用这个漏洞进行攻击。这些攻击源于数百个独特的IP地址，其中大多数位于美国、中国和德国。 发布PoC攻击代码的Horizin3专家指出，还有其他方法可以触发此漏洞，并且可能存在其他条件。这意味着黑客可以开发自己的漏洞，并将其用于野外攻击，因此，必须立即解决该漏洞。 Shadowserver Foundation报告称，在线曝光的17000多台Fortinet设备容易受到CVE-222-40684漏洞的攻击，其中大多数在德国和美国。 用户可以在组织提供的Dashboard上跟踪CVE-2022-40684的攻击活动。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 视频消息公司Zoom修复了macOS的会议Zoom客户端中的一个高严重性漏洞，跟踪为CVE-2022-28762。 适用于macOS的会议Zoom客户端（标准版和IT管理员版）受调试端口配置错误的影响，该漏洞被跟踪为CVE-2022-28762，CVSS评分为7.3。当通过运行特定的Zoom应用程序作为Zoom App Layers API的一部分启用相机模式渲染上下文时，客户端会打开一个本地调试端口。本地恶意用户可以利用调试端口连接并控制Zoom客户端中运行的应用程序。 受影响的版本范围在5.10.6和5.12.0之间（不包括在内）。 该漏洞是由该公司内部安全团队在例行评估中发现的。 该公司还解决了一个中等严重程度的问题，被跟踪为CVE-2022-28761（CVSS评分6.5），该漏洞影响了Zoom内部部署会议连接器多媒体路由器（MMR）。 “版本4.8.20220916.131之前的Zoom内部部署会议连接器（MMR）包含一个不正确的访问控制漏洞。因此，在他们有权参加的会议或网络研讨会中，黑客可能会阻止参与者接收音频和视频，从而导致会议中断。”公告中写道。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 日本科技公司Oomiya的IT基础设施感染了LockBit 3.0勒索软件。 LockBit 3.0 RaaS的一家附属公司攻击了日本科技公司Oomiya。Oomiya专注于微电子和设施系统设备的设计和制造。 Omiya Kasei的业务分为四大领域，化学和工业产品的制造和设计、电子材料设计、药物开发和工厂制造。 Lockbit 3.0运营商声称窃取了该公司的数据，并威胁说，如果该公司不支付赎金，他们将在2022年10月20日前泄露数据。目前，勒索软件团伙尚未公布涉嫌被盗文件的样本。 这起事件可能会对第三方组织产生重大影响，因为Oomiya在全球多个行业的主要组织的供应链中，包括制造业、半导体、汽车、通信和医疗保健。 Lockbit附属公司是这一时期最活跃的，DarkFeed共享的数据显示恶意软件已经袭击了数百个组织。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 新的研究揭示了Microsoft 365中所谓的安全漏洞，由于使用了损坏的加密算法，该漏洞可能被利用来推断邮件内容。 芬兰网络安全公司WithSecure在上周发布的一份报告中表示：“[Office 365消息加密]消息是在不安全的电子密码本（ECB）操作模式下加密的。” Office 365邮件加密（OME）是一种安全机制，用于在组织内外的用户之间发送和接收加密的电子邮件，而不会透露任何有关通信本身的信息。 新披露的问题的影响是，获得加密电子邮件访问权限的流氓第三方可能能够破译这些消息，从而有效地破坏了机密性保护。 电子密码本是最简单的加密模式之一，其中每个消息块由密钥单独编码，这意味着相同的明文块将被转换为相同的密文块，因此不适合作为加密协议。 事实上，美国国家标准与技术研究院（NIST）今年早些时候指出，“欧洲央行模式独立加密明文块，无需随机化；因此，检查任何两个密文块可以揭示相应的明文块是否相等。” 也就是说，WithSecure发现的缺陷与单个消息本身的解密无关，而是依靠分析加密被盗邮件的的泄漏模式，然后对内容进行解码。 该公司表示：“拥有大型消息数据库的攻击者可以通过分析截获消息重复部分的相对位置来推断其内容（或部分内容）。” 这些发现加剧了人们的担忧，即以前泄露的加密信息可能会被解密并在未来用于攻击，这种威胁被称为“现在入侵，稍后解密”，这促使人们需要切换到抗量子算法。 就微软而言，OME是一个遗留系统，该公司建议客户使用名为Purview的数据管理平台，通过加密和访问控制来保护电子邮件和文档。 Redmond在其文档中指出:“尽管两个版本可以共存，但我们强烈建议您编辑使用规则操作的旧邮件流规则，应用上一个版本的OME以使用Microsoft权限消息加密。” WithSecure说：“由于微软没有修复此漏洞的计划，唯一的缓解措施是避免使用微软Office 365邮件加密。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

2022 年 7 月，sentinelone报道了8220 Gang，这是众多低技能犯罪软件团伙之一，通过已知漏洞和远程访问暴力强迫感染媒介感染云主机。报告表示8220 Gang已将其云服务僵尸网络扩展到全球约的30000台主机。最近几周，该组织轮换了其攻击基础设施，继续将受感染的主机纳入其僵尸网络中，并分发加密货币挖掘恶意软件。 8220 Gang的攻击速度与之前报告的一致。大多数活动受害者仍在操作过时或配置错误的Docker、Apache、WebLogic版本以及各种Log4J易受攻击的服务版本。 报告发现8220 Gang使用PureCrypter恶意软件即服务。目前，8220 Gang正在尝试新的装载机和矿工，同时尝试对公开服务进行传统开采。围绕8220 Gang活动的脚本、矿工和基础设施源于对已知工具的普遍重用，对工具和脆弱性的高层分析揭示了更广泛的非法活动。 8220 Gang仍在继续他们的僵尸网络扩散工作，转向新的基础设施。该小组继续使用相同的采矿代理服务器，防御者应调查到该目的地的任何持续流量。此外，随着对PureCrypter MaaS的实验，该组织显然试图改进其攻击手段。由于云基础设施和常见的公共可访问服务仍然易受到攻击，该报告预计8220 Gang将在未来继续发展。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1986/ 消息来源：sentinelone，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。