美国联邦调查局于近日警告称，梭子鱼电子邮件安全网关（ESG）的一个重要远程命令注入漏洞的补丁 “无效”，已打补丁的设备仍在不断受到攻击。 该漏洞被追踪为CVE-2023-2868，于2022年10月首次被发现。不法分子通过该漏洞入侵了ESG设备并从被入侵系统中窃取数据。 攻击者部署了以前未知的恶意软件 SeaSpy 和 Saltwater 以及恶意工具 SeaSide，以建立远程访问的反向外壳。 随后CISA 分享了在相同攻击中部署的 Submariner 和 Whirlpool 恶意软件的更多细节。 5月27日，美国网络安全机构还将该漏洞添加到其在野外被积极利用的漏洞目录中，并警告联邦机构检查其网络是否存在漏洞证据。 尽管梭子鱼在5月20日，也就是发现漏洞的第二天，就对所有设备进行了远程修补，并阻止了攻击者对被入侵设备的访问。但可能由于它无法确保完全清除攻击中部署的恶意软件，所以其在6月7日向客户发出了新的警告，称必须立即更换所有受影响的设备， 联邦调查局也警告梭子鱼客户更换设备 联邦调查局现在加强了警告，告知梭子鱼客户应立即隔离和更换被黑客攻击的设备。由于补丁无效，所以客户们即使给设备打好补丁也有被入侵的风险。 联邦执法机构在周三发布的紧急警报[PDF]中警告说：强烈建议客户立即隔离和更换所有受影响的 ESG 设备，并立即扫描所有网络与所提供的入侵指标列表的连接。 联邦调查局观察此次的主动入侵行为后认为梭子鱼 ESG 设备极易容易受到该漏洞的攻击。 另外，FBI已经证实所有被利用的ESG设备，即使是那些由梭子鱼推送补丁的设备，仍然存在被利用的风险。 此外，该机构还建议梭子鱼客户通过扫描与咨询中共享的入侵指标（IOC）列表中的 IP 的出站连接，调查其网络是否存在潜在的其他入侵。 那些在梭子鱼设备上使用企业特权凭据，如活动目录域管理员等用户也被敦促撤销和轮换这些凭据，以确保网络安全。 梭子鱼表示，其安全产品已被全球20多万家企业使用，其中包括三星、达美航空、三菱和卡夫亨氏等知名企业。     转自Freebuf，原文链接:https://www.freebuf.com/news/376173.html 封面来源于网络，如有侵权请联系删除

Group-IB 的最新发现显示，自 2023 年 4 月以来， WinRAR 压缩软件中一个最近修补的安全漏洞已被利用为零日漏洞。 该漏洞被标记为 CVE-2023-38831，允许威胁者仿用文件扩展名，从而在伪装成看似无害的图像或文本文件的压缩包中启动恶意脚本。2023 年 8 月 2 日发布的 6.23 版本修补了这一漏洞，同时修复的还有 CVE-2023-40477。 在新加坡公司于 2023 年 7 月发现的攻击中，通过 Forex Station 等交易相关论坛分发的特制 ZIP 或 RAR 压缩文件被用于传播 DarkMe、GuLoader 和 Remcos RAT 等多种恶意软件。 Group-IB 恶意软件分析师安德烈-波罗文金（Andrey Polovinkin）说：在感染设备后，网络犯罪分子会从经纪人账户中提取资金。目前尚不清楚受害者总人数和由此造成的经济损失。 诱杀压缩文件的创建方式是包含一个图像文件和一个同名文件夹。 因此，当受害者点击图片时，文件夹中的批处理脚本就会被执行，然后用于启动下一阶段，即用于提取和启动其他文件的 SFX CAB 存档。与此同时，脚本还会加载诱饵图片，以免引起怀疑。 波罗文金告诉《黑客新闻》：CVE-2023-38831 是由于在打开 ZIP 压缩包中的文件时出现处理错误造成的。武器化的 ZIP 压缩包已在至少 8 个流行的交易论坛上传播，因此受害者的地理位置非常广泛，攻击并不针对特定的国家或行业。 目前还不知道谁是利用 WinRAR 漏洞进行攻击的幕后黑手。尽管如此，DarkMe 是一种 Visual Basic 木马，归属于 EvilNum 组织，NSFOCUS 于 2022 年 9 月首次记录到它与一个代号为 DarkCasino 的针对欧洲在线赌博和交易服务的网络钓鱼活动有关。 同样使用这种手段传播的还有一种名为 GuLoader（又名 CloudEye）的恶意软件，它随后会尝试从远程服务器获取 Remcos RAT。 Polovinkin 说：最近利用 CVE-2023-38831 的案例提醒我们，与软件漏洞相关的风险始终存在。攻击者手段资源丰富，他们总能找到新的方法来发现并利用漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/376183.html 封面来源于网络，如有侵权请联系删除

Openfire是一款广泛使用的基于Java的开源聊天（XMPP）服务器，下载量达900万次。但成千上万的Openfire服务器仍然容易受到CVE-2023-32315的攻击，这是一个被积极利用的路径漏洞，允许未经身份验证的用户创建新的管理员帐户。 该漏洞影响了2015年4月发布的3.10.0版本，Openfire开发人员发布了4.6.8、4.7.5和4.8.0版本的安全更新来解决这个问题。尽管如此，在6月份，该漏洞仍被积极利用，在未修补的服务器上创建管理用户并上传恶意插件。 正如VulCheck漏洞研究人员在一份报告中强调的那样，OpenFire社区并没有急于应用安全更新，有3000多台服务器仍然存在漏洞。更糟糕的是，有一种方法可以利用该漏洞，在不创建管理帐户的情况下上传插件。 太多未修补的服务器 VulCheck报告称，Shodan扫描显示6324台面向互联网的Openfire服务器，其中50%（3162台服务器）由于运行过时的版本，仍然容易受到CVE-2023-32315的攻击。 只有20%的用户进行了修补，25%的用户使用的版本早于3.10.0，也就是漏洞被引入软件的时候，另有5%的用户运行的开源项目分支可能会受到影响，也可能不会受到影响。虽然这个数字可能并不令人印象深刻，但考虑到这些服务器在通信基础设施、处理敏感信息等方面所扮演的角色，这个数字是巨大的。 更好的PoC CVE-2023-32315利用依赖于创建一个管理员用户，以允许攻击者上传恶意Java JAR插件，这些插件打开反向外壳或在受损服务器上执行命令。     转自E安全，原文链接:https://mp.weixin.qq.com/s/9qvaRZ4ludjdtZzq5rh-4w 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据观察，与朝鲜有关的黑客集团Lazarus利用了影响Zoho ManageEngine ServiceDesk Plus的一个现已修补的关键漏洞，分发了一种名为QuiteRAT的远程访问木马。 网络安全公司Cisco Talos在今天发布的一份分析报告中称，该组织的攻击目标包括欧洲和美国的互联网骨干基础设施和医疗机构。 更重要的是，对在网络攻击中回收的攻击基础设施进行更仔细的检查后，研究人员发现了一种名为CollectionRAT的新威胁软件。 Talos指出，尽管这些组件多年来被充分记录，但Lazarus仍然依赖于相同的间谍技术，这一事实突显了威胁行为者对其行动的信心。 QuiteRAT据说是MagicRAT的后继产品，MagicRAT本身是TigerRAT的后续产品，而CollectionRAT似乎与EarlyRAT(又名Jupiter)有重叠之处。EarlyRAT是一种用PureBasic编写的植入物，具有在终端上运行命令的能力。 安全研究人员Asheer Malhotra、Vitor Ventura和Jungsoo An表示:“QuiteRAT具有与Lazarus组织更知名恶意软件MagicRAT相同的许多功能，但其文件大小要小得多。这两个植入都是基于Qt框架构建的，并有任意命令执行之类的功能。” Qt框架的使用被认为是攻击者有意为之，这使分析更具挑战性，因为它“增加了恶意软件代码的复杂性”。 该活动于2023年初检测到，涉及CVE-2022-47966的利用。在该漏洞的概念验证(Poc)在线出现仅五天之后，黑客就直接从恶意URL部署QuiteRAT二进制文件了。 研究人员表示：“QuiteRAT显然是MagicRAT的进化版本。MagicRAT是一个更大、更笨重的恶意软件家族，平均大小约为18MB，而QuiteRAT的实现要小得多，平均大小约为4到5MB。” 两者之间的另一个关键区别是QuiteRAT中缺乏内置的持久化机制，因此必须从服务器发出命令，以确保软件在受损主机上继续运行。 这一发现也与WithSecure在今年2月早些时候发现的另一个行为相重叠，在那次黑客活动中，未打补丁的Zimbra设备中的安全漏洞被用来入侵受害者系统，并最终安装QuiteRAT。 思科Talos表示，攻击者“在攻击的初始访问阶段越来越依赖于开源工具和框架，而不是在入侵后阶段使用。” 这包括基于GoLang的开源DeimosC2框架，用于获得持久访问，CollectionRAT主要用于收集元数据、运行任意命令、管理受感染系统上的文件，并提供额外的有效负载。 目前还不清楚CollectionRAT是如何传播的，但有证据表明，托管在同一基础设施上的PuTTY Link (Plink)实用程序的木马副本被用来建立到系统的远程隧道并为恶意软件提供服务。 研究人员表示:“Lazarus组织之前依赖于使用定制的植入物，如MagicRAT、VSingle、Dtrack和YamaBot，作为在成功入侵的系统上建立持久初始访问的手段。” “然后，这些植入物被用来部署各种开源或两用工具，在受感染的企业网络中执行大量恶意的键盘操作活动。” 这一事态发展表明，Lazarus正在不断改变策略，扩大其恶意武器库，同时将新披露的软件漏洞武器化，造成毁灭性的影响。     消息来源：thehakernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

美国 IT 软件公司 Ivanti 今天提醒客户，一个关键的 Sentry API 身份验证绕过漏洞正在被恶意利用。 Ivanti Sentry（前身为 MobileIron Sentry）在 MobileIron 部署中充当 Microsoft Exchange Server 等企业 ActiveSync 服务器或 Sharepoint 服务器等后端资源的守门员，它还可以充当 Kerberos 密钥分发中心代理（KKDCP）服务器。 网络安全公司 mnemonic 的研究人员发现并报告了这个关键漏洞（CVE-2023-38035），未经身份验证的攻击者可以通过 MobileIron 配置服务（MICS）使用的 8443 端口访问敏感的管理门户配置 API。 攻击者利用限制性不足的 Apache HTTPD 配置绕过身份验证控制后，就可以实现这一点。 成功利用后，他们就可以在运行 Ivanti Sentry 9.18 及以前版本的系统上更改配置、运行系统命令或写入文件。 Ivanti 建议管理员不要将 MICS 暴露在互联网上，并限制对内部管理网络的访问。   Ivanti 表示：”截至目前，我们仅发现少数客户受到 CVE-2023-38035 的影响。该漏洞不会影响其他 Ivanti 产品或解决方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM”。 随后，该公司补充说：”在得知该漏洞后，我们立即调动资源修复该问题，并为所有支持版本提供了RPM脚本。我们建议客户首先升级到支持的版本，然后应用专门为其版本设计的 RPM 脚本”。 四月份以来被攻击利用的其他 Ivanti 漏洞 自 4 月份以来，国家支持的黑客已经利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前称为 MobileIron Core）中的另外两个安全漏洞。 其中一个（被追踪为 CVE-2023-35078）是一个重要的身份验证绕过漏洞，该漏洞作为零日漏洞被滥用，入侵了挪威多个政府实体的网络。 该漏洞还可与一个目录遍历漏洞（CVE-2023-35081）结合，使具有管理权限的威胁行为者能够在被入侵系统上部署网络外壳。 CISA在8月初发布的一份公告中说：高级持续威胁（APT）组织至少在2023年4月至2023年7月期间利用CVE-2023-35078作为零日漏洞，从多个挪威组织收集信息，并访问和入侵了一个挪威政府机构的网络。 在CISA与挪威国家网络安全中心（NCSC-NO）发布联合公告之前，本月早些时候曾发布命令，要求美国联邦机构在8月15日和8月21日前修补这两个被主动利用的漏洞。 一周前，Ivant 还修复了其企业移动管理（EMM）解决方案 Avalanche 软件中的两个关键的基于堆栈的缓冲区溢出，被追踪为 CVE-2023-32560，利用后可能导致崩溃和任意代码执行。     转自Freebuf，原文链接:https://www.freebuf.com/news/375839.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国政府和国防承包商Belcan将其超级管理员证书向公众开放，一个失误就可能导致严重的供应链攻击。 Belcan是一家政府、国防和航空航天网络承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道，该公司在2022年的收入为9.5亿美元，是40多个美国联邦机构信赖的战略合作伙伴。 5月15日，Cybernews研究小组发现了一个开放的Kibana实例，其中包含有关Belcan员工和其内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量的数据。 虽然泄露的信息突显了Belcan通过实施渗透测试和审计来保证信息安全的承诺，但攻击者可能会利用开放的测试结果的漏洞，以及用bcrypt散列的管理凭据。 在开放的Kibana实例中泄露的Belcan数据包含以下内容: 管理员电子邮件 管理员密码(使用bcrypt散列，成本设置为12) 管理员用户名 管理角色(他们被分配到什么组织) 内部网络地址 内部基础设施主机名和IP地址 内部基础设施漏洞和采取的补救/不补救措施。 Bcrypt是一种安全的散列算法，它增加了一层防范攻击者的安全防护。但是，哈希仍然可以被破解，并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。 在这种情况下，攻击者可能需要长达22年的时间才能破解一个非常强大的管理密码。如果密码较弱，容易受到词汇攻击，则可能在几天内被破解。 攻击者还可以查看该公司修复已发现漏洞的进度。数据显示，并不是所有漏洞都得到了解决。 Cybernews研究团队写道:“这些信息可以帮助攻击者识别未打补丁的易受攻击的系统，并为他们提供具有特权访问权限的帐户凭证，从而使针对组织的潜在攻击变得更加容易和快速。” 最重要的风险是由间谍、影响或代理战争等政治和军事目标驱动的国家支持的高级持续威胁(APT)。 Cybernews向Belcan通报了发现的漏洞，在漏洞发布之前，该公司已经实施了安全措施来解决这个问题。截稿前，Belcan没有发表任何额外的声明。 整个供应链都面临风险 Belcan的泄密给更广泛的组织带来了重大风险。 攻击者可以绕过身份验证机制，访问开放的凭据和其他信息，从而极大地促进组织的破坏。 然后，黑客可以访问敏感的客户信息，包括航空航天、国防公司和政府机构信息。 “这种攻击通常是APT组织在情报收集行动中实施的，目的是窃取专有信息，以使他们能够复制先进产品的设计和程序、获取经济利益等。”研究人员写道。 这些信息对于攻击者来说特别有价值，因为它可以用于技术间谍活动、获取秘密军事信息，甚至可以破坏政府机构。 Belcan最敏感的客户位于美国，因此，一次成功的攻击将特别关系到美国公民的安全。 泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性，因为它们通常具有访问敏感信息的特权，攻击者可以利用这些信息。这包括公司的基础设施、存储在其中的数据、内部网络子网、端点。 数据显示，泄露的源头很可能是Belcan用来扫描和跟踪其基础设施漏洞的安全工具。“应该不惜一切代价保护对这些工具的访问。”研究人员警告道。 他们还注意到，泄露数据的条目表明，该公司发现了一些漏洞，但没有修补。 一个成功的供应链攻击的突出案例是发生在2020年的SolarWinds攻击。在这次事件中，俄罗斯政府支持的攻击者渗透到公司的软件开发环境中，并在软件更新中植入恶意代码。这些被攻击的更新随后被发送给数千名客户，其中包括政府机构和大公司。 其他臭名昭著的攻击包括NotPetya、Asus Live Update和Kaseya VSA供应链勒索软件攻击。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

英国软件公司Swan Retail遭受网络攻击，导致超过300家英国商户无法处理付款或完成订单。 安全内参8月21日消息，英国IT软件公司Swan Retail在上周日遭受网络攻击，导致超过300家英国商户无法处理付款或完成订单。截至当前，该公司服务器仍处于离线状态，尚无明确迹象表明该公司何时能重新提供服务。 Swan Retail主要服务于零售和餐饮行业，提供处理在线订单、销售点（POS）交易、库存管理和会计服务的软件。该公司正在与与执法机构、英国国家欺诈和网络犯罪报告中心（Action Fraud）以及英国国家网络安全中心（NCSC）合作，对此次攻击展开调查。 攻击事件影响多达300名客户 Swan Retail发言人表示，上周日，公司系统遭“未经授权的第三方”访问。 攻击发生后，公司已尽快通知了内部团队和受影响的零售商，目前正与执法部门以及外部顾问团队（Action Fraud和NCSC等）保持联系，对此次数据泄露事件进行全面取证调查。 发言人表示：“Swan Retail遭遇了一起犯罪网络攻击事件，严重破坏了我们的服务，影响了部分客户的业务。我们正在全天候工作，努力解决这个问题，并与执法部门保持联络。”公司表示，调查“取得了良好的进展”，但尚不能确认服务何时能够恢复正常。 这家IT服务供应商尚未公开披露遭受的网络攻击类型，但是攻击造成服务中断，影响了百货商店和园艺中心等一系列独立零售商。 2020年11月，Swan Retail被技术品牌集团ClearCourse收购，该集团提供综合性软件解决方案和综合性支付平台。 第三方支付安全问题不断 Swan Retail平台整合了多项领先的在线支付服务，其中不少服务在近年来都遇到过网络安全问题。 最近几周，其中一项名为WooCommerce的服务一直在应对相关问题。7月14日，研究人员在WordPress的WooCommerce支付插件中发现了漏洞。根据记录，尝试破坏该插件的行为已经超过一百万字。自曝光以来，漏洞在短短几天内就被用来对157000个站点发动了130万次攻击。 目前，该漏洞编号为CVE-2023-28121，严重程度评级为9.8（严重）。根据安全供应商Wordfence发布的新闻稿，该漏洞是WooCommerce支付身份验证绕过漏洞，“允许未经身份验证的攻击者冒充任意用户，以假身份执行一些操作，可能导致网站被接管。” 参考资料：https://techmonitor.ai/technology/cybersecurity/swan-retail-cyberattack   转自安全内参，原文链接:https://www.secrss.com/articles/57997 封面来源于网络，如有侵权请联系删除

AMD 最近披露了一个新发现的”Inception”CPU 漏洞，但没有透露任何关于应用缓解措施后性能影响的信息。不过，Phoronix 已经测试了新微码的效果，结果显示性能显著下降。 “Inception”的目的是通过创建一条指令，将 CPU 引导到一个重复函数中，从而误导处理器。这可能会导致潜在的数据泄露，对拥有”敏感数据”的企业来说是灾难性的。此外，该漏洞还扩展到所有 Zen CPU，这给 AMD平台上的消费者带来了令人担忧的局面。 听到 AMD 还没有发布缓解措施，你一定会感到失望；不过，基于内核的缓解措施可以解决 Zen 1 和 Zen 2 CPU 的问题，而 Zen 3 和 Zen 4 用户可能需要等待。不过，AMD 已经发布了针对”Family 19h”处理器（即 EPYC 处理器）的缓解微代码。Phoronix 利用 AMD EPYC 7763 上的微代码获得了基准测试结果，结果确实很有趣。 在深入研究基准测试之前，您将看到在”安全 RET”和其他条件下获得的多种结果。需要说明的是，这些都是 AMD 发布的分级”缓解措施”，其中一些是”基于内核”的，而另一些则完全基于新发布的微代码，因此性能各不相同。 Phoronix 进行了大量测试，尤其是在 Blender 和 Mozilla Firefox 等流行应用程序中。结果显示，新的”缓解措施”对用户应用程序几乎没有影响。下降幅度最大的是 7zip 压缩，性能下降了近 13%。由此得出结论，普通消费者不必担心应用该缓解措施。 然而，在更”密集”的应用程序（如 MariaDB）中却出现了明显的性能下降。性能折损超过了 50%，表明微代码严重影响了基于数据处理的应用程序。 新漏洞层出不穷是业界的常态，性能下降也是其缓解的结果。最近英特尔的”Downfall”就是一个典型的例子，它导致性能下降超过 50%。我们希望这些漏洞能尽快得到解决，因为如果修复时间过长，这些漏洞可能会导致非常惨痛的后果。     转自cnBeta，原文链接:https://www.toutiao.com/article/7268090281315009063/?log_from=723dd0372b274_1692260070216 封面来源于网络，如有侵权请联系删除

8月14日，波多黎各自治区最大的银行——人民银行向缅因州司法部长提交了一份客户信息泄露报告。该报告指出，由于供应商普华永道使用的MOVEit软件存在安全漏洞，导致银行82217名储户的个人信息被泄露。 目前，波多黎各人民银行已经陆续通知了数千名银行用户，向其告知数据泄露的安全风险，并表示普华永道会计师事务所一直为银行提供相应的审计服务，双方已经连续合作超过二十年。 由于其工作性质和要求，使得该银行必须要和普华永道贡献客户信息，以便后者可以完成财务报表方面的独立审计工作，从而造成了此次客户数据泄露事件。 MoveIt作为软件公司Progress Software旗下一款产品，是被多国企业和政府客户广泛使用的文件共享工具。由于其产品本身存在漏洞，被俄罗斯勒索软件组织 Clop发现并进行攻击，引发多个企业出现数据泄露的危机。 自从6月初爆发以来，Clop 勒索软件团伙已经利用这个漏洞渗透和利用了100多个组织，其中包括施耐德和西门子这样的实体能源巨头，也有提供行业并购数据服务的虚拟数据室服务商 。 此外，德勤(Deloitte)、安永(EY)、高盛(Goldman Sachs)、杰富瑞(Jefferies)、摩根大通(JPMorgan)、毕马威(KPMG)和瑞银(UBS)等多家金融巨头，此外，杰克逊国家银行、美国联邦地方在内的政府机构也没有幸免。 报告指出，波多黎各人民银行泄露的个人信息包括姓名、社会安全号码、抵押贷款号码以及其他抵押相关字段等。在发现漏洞后，普华永道表示已经及时停止使用该软件，并在企业内部开展相关安全调查。 报告最后部分指出，银行将会为存在数据泄露风险的客户免费提供两年的 Equifax安全风险监控服务，同时分享了几种可有效缓解数据泄露带来安全威胁的方法。     转自Freebuf，原文链接:https://www.freebuf.com/news/375127.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 近日，2000余个思杰(Citrix) NetScaler实例被一个后门所破坏。该后门将最近披露的一个武器化后的关键安全漏洞，作为黑客大规模攻击的一部分。 NCC集团在周二发布的一份报告中表示:“攻击者似乎以自动的方式利用了CVE-2023-3519漏洞，在易受攻击的NetScaler上放置了web shell，以获得持久访问权限。” “攻击者可以用这个webshell执行任意命令，即使NetScaler打了补丁和/或重新启动也无济于事。” CVE-2023-3519是指影响NetScaler ADC和网关服务器的关键代码注入漏洞，可能导致未经身份验证的远程代码执行。思杰(Citrix)公司于上个月打了补丁。 一周前，Shadowserver基金会表示，他们发现了近7000个易受攻击、未打补丁的NetScaler ADC和网关实例。“该漏洞正在被滥用，在易受攻击的服务器上投放PHP web shell以进行远程访问。” NCC集团的后续分析显示，1,828台NetScaler服务器仍然存在后门，其中大约1,248台已经针对该漏洞打了补丁。 该公司表示:“这表明，虽然大多数管理员都意识到了这个漏洞，并且已经将他们的NetScaler打了补丁，安装为不受攻击的版本，但他们并没有(适当地)检查安装是否成功。” 总的来说，该公司在1952个不同的NetScaler设备中发现了多达2,491个web shell。大多数被泄露的实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。 除了欧洲之外，另一个值得注意的方面是，虽然加拿大、俄罗斯和美国上个月底有数千个易受攻击的NetScaler服务器，但没有在其中任何一个服务器上发现web shell。 截至2023年7月21日，在31,127个易受CVE-2023-3519影响的NetScaler实例中，有6.3%受到了大规模攻击。 Mandiant还发布了一个开源工具，帮助组织扫描他们的思杰设备，寻找与CVE-2023-3519相关的开发后活动的证据。   消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文