HackerNews 编译，转载请注明出处： 黑客在披露后数小时内开始利用 OttoKit（原名 SureTriggers）插件中的一个高危漏洞，该漏洞允许绕过认证。 强烈建议用户立即将 OttoKit/SureTriggers 升级到最新版本 1.0.79，该版本于本月初发布。 OttoKit WordPress 插件允许用户无需编写代码即可连接插件和外部工具（如 WooCommerce、Mailchimp 和 Google Sheets），并自动化发送邮件、添加用户或更新客户关系管理（CRM）系统等任务。统计数据显示，该产品在 100,000 个网站上处于活跃状态。 昨天，Wordfence 披露了 OttoKit 中的一个认证绕过漏洞，编号为 CVE-2025-3102。该漏洞影响所有版本的 SureTriggers/OttoKit，最高版本为 1.0.78。 漏洞源于 authenticate_user() 函数中缺少对空值的检查，该函数负责处理 REST API 认证。如果插件未配置 API 密钥，则存储的 secret_key 将保持为空，从而可能被利用。 攻击者可以通过发送一个空的 st_authorization 头来绕过检查，从而获得对受保护 API 端点的未授权访问权限。 本质上，CVE-2025-3102 允许攻击者在无需认证的情况下创建新的管理员账户，这可能导致网站被完全接管的高风险。 Wordfence 在 3 月中旬收到了来自安全研究员 “mikemyers” 的漏洞报告，该研究员因此发现获得了 1,024 美元的赏金。 插件供应商于 4 月 3 日收到完整的漏洞利用细节，并于同一天通过版本 1.0.79 发布了修复补丁。 然而，黑客迅速抓住了这一机会，利用管理员更新插件的延迟来利用该安全问题。 WordPress 安全平台 Patchstack 的研究人员警告称，在漏洞披露后仅数小时，就记录到了首次实际利用尝试。 “攻击者迅速利用了这一漏洞，首次记录的尝试发生在我们将其作为 vPatch 添加到数据库后仅四小时，”Patchstack 报告称。 “这种快速的漏洞利用突显了在此类漏洞公开披露后立即应用补丁或缓解措施的紧迫性，”研究人员表示。 威胁行为者尝试使用随机的用户名/密码和电子邮件地址组合创建新的管理员账户，这是任务自动化的迹象。 如果您正在使用 OttoKit/SureTriggers，请尽快升级到版本 1.0.79，并检查日志以查看是否有意外的管理员账户或其他用户角色、插件/主题安装、数据库访问事件以及安全设置的修改。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 臭名昭著的高级持续性威胁（APT）组织ToddyCat近期采用了一种复杂的攻击策略，通过利用ESET命令行扫描器中的安全漏洞，将恶意代码悄无声息地植入目标系统。 该漏洞现已编号为CVE-2024-11859。攻击者借此得以在受信任的安全软件环境中执行恶意负载，从而绕过安全监测工具的检测。 2024年初，调查人员在多台被入侵设备的临时目录中发现名为“version.dll”的可疑文件。进一步分析确认，这些文件是一个名为TCESB的复杂攻击工具的组成部分，专为规避安全机制与监控系统而开发。 这一工具此前未在ToddyCat的武器库中出现过，其主要利用了ESET命令行扫描器（ecls）在加载DLL文件时的安全缺陷。ESET已将该问题注册为CVE-2024-11859，并于2025年1月21日发布补丁，随后于4月4日发布安全公告。 漏洞利用链的技术分析 卡巴斯基的报告指出，攻击者使用了MITRE ATT&CK框架中T1574类别的技术——DLL代理（DLL Proxying），借此执行恶意代码。TCESB工具导出所有合法version.dll文件的函数接口，但在后台重定向调用至原始DLL的同时执行恶意操作。 该漏洞利用了ESET命令行扫描器的不安全加载机制：该程序在查找version.dll时会优先搜索当前目录，再搜索系统目录。因此，攻击者可以将恶意DLL文件伪装为version.dll，从而被程序优先加载。 分析还显示，TCESB基于开源工具EDRSandBlast修改而来，在其功能上进行了拓展。恶意程序可修改Windows内核结构，禁用关键系统事件（如进程创建）的通知机制。 为了进一步提升隐蔽性，TCESB还采用了“自带易受攻击驱动程序”（BYOVD，T1211）的方式，使用存在CVE-2021-36276漏洞的Dell驱动程序DBUtilDrv2.sys，在内核层执行高权限操作。 负载执行机制 该工具实现了一个复杂的负载执行系统，每隔两秒检查当前目录中是否存在名为“kesp”或“ecore”的特定文件。一旦发现，便使用AES-128加密算法进行解密，解密密钥则存储在载荷文件的前32字节内。 这一多阶段执行机制展现了ToddyCat在作战安全性方面的高度专业性。攻击者确保仅在渗透成功后才部署真正的负载，有效提升了攻击的隐蔽性和持久性。 安全专家建议：应重点监控系统中涉及使用已知漏洞驱动程序的安装行为。资源平台如loldrivers项目可用于识别这类驱动。同时，还应监测Windows系统中内核调试符号加载事件，尤其是在无需进行内核调试的设备上。 这一事件再次凸显出高级威胁行为者战术的不断演进：他们甚至能够利用受信任的安全软件，长期、隐蔽地控制目标系统。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“disgrasya”的恶意PyPI包被发现，该包滥用合法的WooCommerce商店来验证被盗信用卡，并已在开源软件包平台上被下载超过34,000次。 该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证信用卡，这是卡农行为者评估从暗网转储和泄露数据库中获取的数千张被盗卡的价值和潜在利用的关键步骤。 尽管该包已被从PyPI中移除，但其高下载量显示了此类恶意操作的滥用规模。 “与依赖欺骗或拼写错误的典型供应链攻击不同，disgrasya没有试图显得合法，”Socket研究人员的一份报告解释道。 “它公然恶意，滥用PyPI作为分发渠道，以接触更广泛的欺诈者受众。” 特别值得注意的是，disgrasya公然滥用PyPI托管一个包，其创建者在描述中明确指出该包用于恶意活动。 “一个利用多线程和代理通过多个网关检查信用卡的工具，”disgrasya包的描述中写道。 Socket指出，该包的恶意功能从7.36.9版本开始引入，可能是为了逃避安全检查，因为初始提交的安全检查可能比后续更新更严格。 恶意包包含一个Python脚本，该脚本访问合法的WooCommerce网站，收集产品ID，然后通过调用商店的后端将商品添加到购物车。 接下来，它导航到网站的结账页面，在那里窃取CSRF令牌和捕获上下文，这是CyberSource用户用于安全处理卡数据的代码片段。 Socket表示，这两个信息通常在页面上是隐藏的，并且很快过期，但脚本会立即抓取它们，同时用虚构的客户信息填充结账表单。 在下一步中，而不是将窃取的卡直接发送到支付网关，它将卡发送到攻击者控制的服务器（railgunmisaka.com），该服务器假装是CyberSource并返回一个假令牌。 POST请求将卡数据发送到外部   最后，带有令牌化卡的订单在网店中提交，如果订单通过，则验证卡是有效的。如果失败，则记录错误并尝试下一张卡。 打印的交易结果   使用这样的工具，威胁行为者能够以自动化的方式验证大量被盗信用卡。 这些经过验证的卡随后可能被用于进行金融欺诈或在网络犯罪市场上出售。 Socket评论说，这种端到端的结账模拟过程特别难以被目标网站上的欺诈检测系统检测到。 “从收集产品ID和结账令牌，到将窃取的卡数据发送给恶意第三方，以及模拟完整的结账流程，整个工作流程都是高度针对性和有条理的，”Socket表示。 “它旨在融入正常的流量模式，使传统欺诈检测系统极难检测。” 尽管如此，Socket表示有一些方法可以缓解这个问题，比如阻止低于5美元的非常低价值订单，这些订单通常用于卡农攻击，监控具有异常高失败率的多个小额订单，或与单一IP地址或地区相关的高结账量。 Socket还建议在结账流程中添加CAPTCHA步骤，这可能会中断卡农脚本的操作，并在结账和支付端点上应用速率限制。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名使用化名 “CoreInjection” 的黑客声称对以色列网络安全公司 Check Point 进行入侵，声称获得了敏感的内部数据和网络系统访问权限。 该黑客于 2025 年 3 月 30 日星期日在 Breach Forums 论坛上发布了这一声明，并宣布以 5 枚比特币（约 434,570 美元）的价格出售所窃取的内容。黑客强调，该价格”固定且不可协商”，且仅接受加密货币付款。有兴趣的买家需通过 TOX 消息平台联系。   在论坛的帖子中，CoreInjection 声称出售的数据包括：   – 内部项目文档   – 用户凭据（包括哈希和明文形式）   – 内部网络地图和架构图   – 专有软件的源代码和编译二进制文件   – 员工联系方式，包括电话号码和电子邮件地址   Check Point 公司的回应   在该帖子引起关注后不久，Check Point 发表声明，否认近期发生过如此规模的入侵事件。公司表示，该黑客的说法涉及的是”一个已知的、非常有限的旧事件”，该事件影响的仅是少数组织，且未涉及核心系统。   “此事件在几个月前就已得到处理，并不包含暗网论坛帖子中描述的内容，”Check Point 在声明中表示。”受影响的组织当时已得到通知和妥善处理，此次曝光不过是对旧信息的再度炒作。”   公司坚称，其客户、基础设施或内部运营均未受到安全威胁，并澄清称，受影响的门户网站并未涉及生产环境或包含敏感架构的系统。   CoreInjection 是谁？   CoreInjection 是网络犯罪领域的一个相对新面孔，但已迅速因针对关键基础设施和高端网络（特别是以色列的目标）而声名鹊起。该黑客于 2025 年 3 月 15 日首次出现在 Breach Forums 上，并自那时起已发布了 5 条出售企业网络访问权限的帖子。   其最早的一条帖子是出售对一家总部位于美国的工业机械和设备公司管理面板的访问权限，标价 100,000 美元。然而，不久之后，黑客的攻击目标展现出了一个明显的地理倾向——以色列。   2025 年 3 月 16 日，CoreInjection 声称在出售某以色列国际汽车公司的网络和管理电子邮件访问权限。据称，该访问权限包含对该公司”以色列网络基础设施的完全控制权”，售价 50,000 美元。   两天后的 3 月 18 日，黑客又发布了一条帖子，出售对一家以色列”知名数字屏幕公司”的”完整系统访问权限”。该帖子称，黑客可访问管理大型商场中的数字显示屏服务器，售价 100,000 美元，并强调该权限可实现”即时内容修改和传播”，也就是说，可以实时控制公共显示屏的内容。   这一细节引起了网络安全专家的警觉。过去，与伊朗、真主党和巴勒斯坦黑客组织有关的团体曾多次攻击 CCTV 摄像头、电视信号和公共显示屏，通常用于政治宣传。如果 CoreInjection 的声明属实，这类访问权限的出售可能会为类似的高曝光度攻击提供可乘之机。   2025 年 3 月 20 日，该黑客又发布了一条帖子，出售某以色列电气产品公司的客户和订单数据库，并声称数据”独家且最新”，售价 30,000 美元。   综合来看，CoreInjection 的一系列出售信息显示出明确的攻击模式：高价值访问权限、关键系统以及对以色列基础设施的强烈兴趣。无论其是独立行动，还是隶属于更广泛的组织，该黑客的活动都已引起地下论坛和网络安全界的关注。   仍存疑问   尽管 Check Point 试图安抚公众，但黑客对被窃数据的详细描述仍然引发了担忧。如果这些数据属实，其中提到的内部网络架构、明文凭据和专有软件，可能表明黑客的访问权限比 Check Point 公开承认的要深得多。   此外，仍有几个关键问题未得到解答。如果这确实是一个旧事件，为什么当时未被公开披露？对于一家规模如此庞大的网络安全公司来说，透明度应当是基本要求。而且，Check Point 尚未提供任何关于事件发生方式的细节，这使得外界无法判断其攻击路径究竟是什么——是错误配置的门户？凭据泄露？内部威胁？还是其他原因？   同时，Check Point 也未说明是否已查明黑客的入侵方式，或是否已锁定任何可能的嫌疑人。在缺乏这些信息的情况下，外界难以评估此次攻击是否已被完全遏制，或者仍然存在持续威胁。   这一事件发生之际，网络犯罪分子正越来越多地将网络安全公司本身作为攻击目标，往往利用微小的安全漏洞，进而引发更大规模的数据泄露。无论 CoreInjection 的声明是否属实，该事件都表明，即使是专门从事网络安全防御的公司，也无法完全免受黑客攻击的威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对Palo Alto Networks PAN-OS GlobalProtect网关的可疑登录扫描活动激增，近24000个唯一IP地址试图访问这些门户。 威胁情报公司GreyNoise表示：“这种模式表明有协调的努力来探测网络防御并识别暴露或易受攻击的系统，可能作为针对性利用的前奏。” 据称，这次激增始于2025年3月17日，每天约有20000个唯一IP地址参与，直到3月26日才减少。在高峰期，估计有23958个唯一IP地址参与了此次活动。其中，只有154个IP地址被标记为恶意。 美国和加拿大成为流量的主要来源，其次是芬兰、荷兰和俄罗斯。此次活动主要针对美国、英国、爱尔兰、俄罗斯和新加坡的系统。 目前尚不清楚是什么驱动了这一活动，但它表明了一种系统性地测试网络防御的方法，这很可能为后续的利用铺平道路。 “在过去的18到24个月里，我们观察到一种一致的模式，即有针对性地针对旧漏洞或特定技术的成熟攻击和侦察尝试，”GreyNoise的数据科学副总裁鲍勃·鲁迪斯表示。“这些模式通常与2到4周后出现的新漏洞相吻合。” 鉴于这种不寻常的活动，拥有面向互联网的Palo Alto Networks实例的组织必须采取措施来保护其登录门户。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新的分析表明，RansomHub的关联组织与其他勒索软件团伙Medusa、BianLian和Play之间存在关联。 根据ESET的报告，这种联系源自一个名为EDRKillShifter的自定义工具。该工具专门用于在受感染设备上禁用终端检测和响应（EDR）软件。RansomHub的攻击者首次被发现使用EDRKillShifter是在2024年8月。 EDRKillShifter通过一种名为“带上你自己的漏洞驱动程序”（BYOVD）的已知策略实现其目标。该策略利用合法但存在漏洞的驱动程序来终止保护终端的安全解决方案。 攻击者使用此类工具的目的在于确保勒索软件加密程序能够顺利执行，而不会被安全软件检测和阻止。 “在一次入侵过程中，攻击者的目标是获得管理员或域管理员权限。”ESET研究人员Jakub Souček和Jan Holman在与《The Hacker News》分享的报告中表示。 他们进一步指出：“勒索软件运营商通常不会频繁更新加密器，因为代码更新容易引发缺陷，可能损害他们的声誉。因此，安全厂商对这些加密器的检测能力相对较强。为了应对这一点，攻击者会在执行加密程序前使用EDR杀软工具移除安全防护。” 值得注意的是，EDRKillShifter原本是RansomHub专为其附属成员开发的定制工具。像这样专门提供给附属组织的工具本身并不常见，而现在该工具也被用于Medusa、BianLian和Play等其他勒索软件攻击中。 尤其值得关注的是，Play和BianLian采用的是**封闭式勒索软件即服务（RaaS）**模式。在这种模式下，运营者不会主动招募新成员，而是基于长期的信任关系与少量合作者合作。 “Play和BianLian的可信成员正在与竞争对手合作，甚至与像RansomHub这样的新兴团伙合作，并将从他们那里获得的工具重新用于自身的攻击中。”ESET推测，“这尤其值得注意，因为这些封闭式团伙通常在攻击中使用一套固定的核心工具。” 研究人员怀疑，这些勒索软件攻击可能由同一威胁行为者发起。该行为者被称为QuadSwitcher，由于其战术与Play的典型入侵手法极为相似，因此被认为与Play关系最为密切。 此外，EDRKillShifter还被观察到由另一个勒索软件关联组织CosmicBeetle使用。CosmicBeetle利用该工具在三起涉及RansomHub和假冒LockBit的攻击中禁用了安全软件。 这一发现正值勒索软件团伙广泛使用BYOVD技术，通过部署EDR杀软工具来攻击受感染系统的趋势上升之际。 去年，勒索软件团伙Embargo被发现使用名为MS4Killer的程序来中和安全软件。而在本月，Medusa勒索软件组织被指使用了一种名为ABYSSWORKER的自定义恶意驱动程序。 ESET强调：“攻击者需要管理员权限才能部署EDR杀软工具，因此应在他们获得权限前及时检测和阻止其活动。” 为此，ESET建议企业用户确保开启潜在不安全应用的检测功能，从而有效阻止带有漏洞的驱动程序安装。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，一些加密货币相关的npm包遭到劫持，攻击者通过这些包从受感染的系统中窃取环境变量等敏感信息。 Sonatype研究员Ax Sharma表示：”其中一些包已在npmjs.com上存在超过9年，为区块链开发者提供了合法功能。然而，这些包的最新版本中被植入了混淆的恶意脚本。” 受影响的npm包及版本： country-currency-map (2.1.8) bnb-javascript-sdk-nobroadcast (2.16.16) @bithighlander/bitcoin-cash-js-lib (5.2.2) eslint-config-travix (6.3.1) @crosswise-finance1/sdk-v2 (0.1.21) @keepkey/device-protocol (7.13.3) @veniceswap/uikit (0.65.34) @veniceswap/eslint-config-pancake (1.6.2) babel-preset-travix (1.2.1) @travix/ui-themes (1.1.5) @coinmasters/types (4.8.16) 软件供应链安全公司对这些包的分析显示，攻击者在”package/scripts/launch.js”和”package/scripts/diagnostic-report.js”中植入了高度混淆的恶意代码。这些脚本会在包安装后立即运行，专门窃取API密钥、访问令牌、SSH密钥等数据，并将其发送到远程服务器（”eoi2ectd5a5tn1h.m.pipedream[.]net”）。 有趣的是，相关库的GitHub代码库并未被篡改，攻击者是如何成功推送恶意代码的仍是一个谜。目前尚不清楚此攻击活动的最终目的。 Sharma表示，他们推测这些劫持事件可能是由于旧版npm维护者账户被攻破所致。攻击者可能通过凭证填充攻击（使用此前数据泄露中的用户名和密码在其他网站上尝试登录）或接管过期域名的方式，取得了这些账户的控制权。 鉴于多个项目的维护者账户几乎在同一时间受到攻击，研究人员认为账户接管的可能性高于精心策划的网络钓鱼攻击。 此次事件凸显了为账户启用双因素认证（2FA）以防止账户接管的必要性。它还反映出在开源项目达到生命周期末期或停止维护时，实施安全防护措施的难度。 Sharma强调：”这次事件进一步表明了加强供应链安全措施的紧迫性。开发者和企业在开发过程的每个阶段都应优先考虑安全性，以降低第三方依赖带来的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Abnormal Security 的研究发现，威胁者正在利用一种名为 Atlantis AIO Multi-Checker 的电子犯罪工具，来自动化针对 140 多个平台的凭证填充攻击。 “Atlantis AIO 已经成为网络犯罪分子武器库中的强大武器，能够使攻击者快速连续地测试数百万个被盗凭证，”网络安全公司在分析中表示。 凭证填充是一种网络攻击类型，攻击者收集被盗的账户凭证，通常是用户名或电子邮件地址和密码的列表，然后通过大规模的自动化登录请求，利用这些凭证在不相关的系统上获取未经授权的访问权限。 这些凭证可能来自社交媒体服务的数据泄露，也可能从地下论坛获取，由其他威胁者出售。凭证填充与暴力破解攻击不同，后者围绕使用试错法破解密码、登录凭证和加密密钥。 据 Abnormal Security 称，Atlantis AIO 为威胁者提供了通过预配置模块大规模发起凭证填充攻击的能力，目标是各种平台和基于云的服务，从而促进欺诈、数据盗窃和账户接管。 “Atlantis AIO Multi-Checker 是一种旨在自动化凭证填充攻击的网络犯罪工具，”该公司表示，“它能够大规模测试被盗凭证，能够迅速在 140 多个平台上尝试数百万个用户名和密码组合。” 该程序背后的威胁者还声称，它建立在“经过验证的成功基础之上”，并且他们有成千上万满意的客户，同时向客户保证平台的安全性，以保持他们的购买隐私。 “每个功能、更新和交互都经过精心设计，以超越预期的方式提升您的体验，”他们在官方广告中表示，并补充说“我们不断开创推动前所未有成果的解决方案。” Atlantis AIO 的目标包括像 Hotmail、Yahoo、AOL、GMX 和 Web.de 这样的电子邮件提供商，以及电子商务、流媒体服务、VPN、金融机构和食品配送服务。 另一个值得注意的方面是该工具能够对上述电子邮件平台进行暴力破解攻击，并自动化与 eBay 和 Yahoo 相关的账户恢复流程。 “像 Atlantis AIO 这样的凭证填充工具为网络犯罪分子提供了一条直接的路径，将被盗凭证变现，”Abnormal Security 表示。 “一旦攻击者在各个平台上获得账户访问权限，他们可以以多种方式利用这些账户，例如在暗网市场上出售登录详情、进行欺诈或使用被攻破的账户分发垃圾邮件和发起网络钓鱼活动。” 为了缓解此类攻击带来的账户接管风险，建议实施严格的密码规则，并采用抗网络钓鱼的多因素认证（MFA）机制。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名名为“rose87168”的威胁行为者声称从Oracle云服务器窃取了600万条记录。 据称，被盗数据包括Java密钥库（JKS）文件、加密的单点登录（SSO）密码、哈希的轻量级目录访问协议（LDAP）密码、密钥文件以及企业管理器Java平台安全（JPS）密钥。 此次漏洞据称影响了全球超过14万名租户，引发了对云安全的严重担忧。 黑客声称利用了Oracle云登录基础设施中的一个漏洞，特别是针对login.(region-name).oraclecloud.com这个端点。 据称，这个子域名托管了过时的Oracle融合中间件软件，该软件可能容易受到CVE-2021-35587的攻击，这是一个已知的影响Oracle访问管理器的漏洞。 被盗数据正在暗网论坛上兜售，包括漏洞论坛。“rose87168”正在向受影响的组织索要赎金，以防止其数据被出售或曝光。 此外，威胁行为者通过提供奖励，刺激其他人帮助解密加密的SSO和LDAP密码。 Oracle否认其云基础设施遭到入侵。在2025年3月21日发布的一份声明中，该公司声称没有客户数据被泄露，发布的凭据与其系统无关。 自2025年1月以来一直活跃的“rose87168”在策划此次攻击时展示了复杂的方法。黑客声称在将被盗数据在线兜售前约40天就已获得访问权限。 使用Oracle云的组织被建议立即采取行动： 重置凭据：更改所有SSO、LDAP及相关密码，并强制执行强密码策略和多因素认证（MFA）。 监控系统：部署安全监控工具，以检测未授权访问或异常活动。 调查漏洞：进行法医调查，以识别漏洞并减轻风险。 与Oracle联系：向Oracle报告事件，并寻求关于保护系统的指导。 加强安全：实施严格的访问控制和增强的日志记录机制。 此次漏洞事件凸显了针对云环境的网络攻击日益复杂。它强调了定期更新软件、主动监控威胁以及实施强大的安全措施以减轻风险的重要性。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SANS 技术研究所的互联网风暴中心（Internet Storm Center）近期观察到针对两个思科（Cisco）智能许可工具（Smart Licensing Utility）漏洞的利用尝试，这两个漏洞已于半年前修复。 2024 年 9 月初，思科披露其智能许可工具存在两个关键漏洞（CVE-2024-20439 和 CVE-2024-20440），并发布了相关补丁。这两个漏洞可能允许未经身份验证的远程攻击者收集敏感信息或管理受影响系统上的相关服务。 CVE-2024-20439：这是一个静态凭证漏洞，攻击者可以通过一个硬编码的密码访问该软件。 CVE-2024-20440：该漏洞与一个记录过多信息的日志文件有关，攻击者在利用第一个漏洞后可以访问该日志文件。 SANS 的研究员 Johannes Ullrich 报告称，观察到攻击者尝试使用默认凭据访问思科智能许可工具实例。攻击者的目标尚不明确，但 Ullrich 指出，同一威胁行为者似乎也在尝试入侵其他类型的系统，包括一些暴露在互联网上的物联网设备。 目前，尚无公开报告表明这两个思科漏洞在野外被利用的情况。思科的安全公告显示，这两个漏洞是内部发现的，截至本文撰写时，尚未提及野外利用情况。 消息来源：SecurityWeek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文