HackerNews 编译，转载请注明出处： Bishop Fox 的研究人员发现超过 178,000 个 SonicWall 下一代防火墙 (NGFW) 被公开利用。 SonicWall 下一代防火墙 (NGFW) 6 和 7 系列设备存在两个未经身份验证的拒绝服务漏洞（分别为 CVE-2022-22274 和 CVE-2023-0656），可能会导致远程代码执行。尽管 CVE-2023-0656 的PoC已公开发布，但截至目前，供应商尚未收到这些漏洞在野攻击利用的报告。 研究人员利用 BinaryEdge源数据扫描了管理界面暴露于互联网的 SonicWall 防火墙，发现其中76%容易受到1-2个安全问题的潜在影响。 这两个漏洞在本质上相同，都是由于重用了易受攻击的代码模式，但可以在不同的 HTTP URI 路径上进行利用。 研究人员还研发了一个测试脚本，用于在不引起设备崩溃的情况下评估设备是否容易受到攻击。这表明，可能存在大规模攻击对系统造成严重影响的风险。 在默认配置下，SonicOS 在崩溃后会自动重新启动。然而，如果在短时间内发生了3次崩溃，系统将进入维护模式，需要管理员进行操作才能恢复正常功能。   根据ZoomEye网络空间搜索引擎的测绘数据，目前有超过200万个 SonicWall 防火墙暴露在网络上，其中美国占比超过 50%。 研究人员建议易受攻击设备的管理员将 Web 管理界面限制在内部网络，并确保及时升级设备固件至最新版本。 报告还指出：“攻击者目前可以轻松利用漏洞进行拒绝服务攻击，但正如 SonicWall 在其建议中所述，存在潜在可能性使攻击者能够远程执行代码。虽然设计出可执行任意命令的漏洞是可能的，但要克服一些挑战，包括 PIE、ASLR 和stack canaries，需要进一步的研究。” 报告总结道：“对于攻击者而言，更大的挑战在于攻击前确定目标使用的具体固件和硬件版本，因为攻击需要根据这些参数进行个性化定制，由于目前尚无已知技术可以对SonicWall防火墙进行远程指纹识别，因此我们估计攻击者利用RCE的可能性仍然较低。 消息来源：securityaffairs，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

1月14日，拥有A+H双融资平台的领先跨国制药企业海普瑞（002399.SZ，股价10.25元，市值150.4亿元）公告称，其全资子公司Techdow Pharma Italy S.R.L.（简称“天道意大利”）近期遭遇犯罪团伙电信诈骗，涉案金额约1170余万欧元，按照当前汇率，约合人民币超9200万元。而海普瑞2022年归属母公司股东的净利润为7.27亿元，相当于12.63%的利润被骗。一般而言，损失占比超过最新一个会计年度净利的5％，基本就判断属于重大事项。1月15日上午，海普瑞A股股价一度跌近7%。 海普瑞称其已向当地警方报案，并全力配合警方工作，争取最大限度避免损失。同时，公司管理层也表示已派人前往子公司处理该事项，并将加强内部控制管理，提高规范治理水平，提升风险防范意识。 2022年报还显示，海普瑞的营业收入主要依赖国外市场，2021年和2022年国外营收占比均在90%以上，从产品来看，肝素钠以及低分子肝素钠原料药2022年营收占营收的比重为37.35%，制剂占44.84%，上述两类产品的毛利率分别为27.74%和35.32%。 公开资料显示，海普瑞于1998年成立于深圳，是拥有A+H双融资平台的领先跨国制药企业，主要业务覆盖肝素全产业链、生物大分子CDMO和创新药物的投资、开发及商业化。 受到肝素行业去库存、投资项目公允价值变动等方面影响，海普瑞2023年前三季度业绩下滑。公司2023年前三季度营业收入40.63亿元，同比减少24.69%；归属于母公司所有者的净利润1.43亿元，同比减少78.05%。 海普瑞表示，公司2023年前三季度净利润主要受到肝素行业去库存、投资项目公允价值变动等方面影响。公司汇兑损益的产生与外币业务及外币报表折算有关，涉及美元、欧元、英镑、波兰币等多种外币，公司将持续通过外币资产和负债的自然对冲来管理好业务本身由于汇率波动造成的汇兑损益。   转自Freebuf，原文链接：https://www.freebuf.com/news/389679.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，Sems and Specials Incorporated 遭 8Base 组织勒索，称将于 2024年1月19日公开数据。 据了解，此次泄露的数据包含发票、收据、会计凭证、个人资料、证书、雇佣合同、大量机密信息、保密协议、个人档案等。 勒索组织声称将于 2024年1月19日公开数据。 Sems and Specials Incorporated（简称SSI）是一家总部位于美国纽约州纽约市的公司，成立于1990年。该公司主要从事特殊螺钉、垫圈和金属制品等高精度零件的生产和销售，服务的行业包含海军陆战队和军队。 8Base 勒索软件组织自 2022 年 3 月以来一直表现活跃，在 2023 年 6 月的攻击活动显著增加。该组织还采用了双重勒索策略，通过多种手段迫使受害者支付赎金。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据The Record网站消息，1月11日，勒索软件组织美杜莎（Medusa）在其暗网受害名单网站上列出了 Water for People——一家专为贫困地区提供清洁饮用水的非盈利组织。 美杜莎向该组织索要30万美元赎金，否则将公布被盗信息。Water for People 的一位发言人表示：“被盗的数据均早于2021年，财务系统未受损害，也没有影响任何业务运营。我们正在与顶级事件响应公司以及我们的保险公司合作，并与我们的安全团队一起强化我们的系统，以防止未来再发生类似事件。” “虽然最近来自美杜莎勒索软件的网络攻击并未影响我们的工作，但它确实反映出，即使是像我们这样的非营利组织也成为了攻击目标。我们尝试进行善意谈判，但没有结果。”该发言人补充道。 Water for People目前在9个不同的国家开展业务，包括拉美地区的危地马拉和洪都拉斯、非洲的莫桑比克和亚洲的印度，目标是在未来八年内改善超过 2 亿人的用水状况。此次勒索攻击发生前，该组织获得了亚马逊创始人杰夫·贝佐斯（Jeff Bezos）的亿万富翁前妻麦肯齐·斯科特 (MacKenzie Scott) 1500 万美元资助。 根据 Unit 42 的最新分析，这已不是美杜莎第一次攻击与供水相关的组织，去年，一家为近50万人提供饮用水的意大利公司就曾遭到该组织的袭击。 勒索软件组织正越发“不分青红皂白” 尽管非营利和非政府组织部门的许多组织缺乏财务保障，其中大部分依赖捐款才能运营，但近来它们也未能幸免于勒索软件组织的攻击。 Unit 42 的研究数据表明，非营利部门与媒体、娱乐和农业行业一样经常受到美杜莎的攻击。英国数据保护监管机构的安全事件趋势数据显示，自 2020 年以来，英国慈善志愿部门已报告了 100 多起勒索软件事件。就在去年 9 月，国际救助儿童会也遭到了攻击。 Unit 42 分析指出，美杜莎不分青红皂白地发起攻击，凸显了此类勒索软件组织已经构成了一种相当普遍的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/articles/network/371593.html 封面来源于网络，如有侵权请联系删除

自 12月初以来，黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。 这些安全问题被标识为CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。 与 Ivanti 合作调查该事件的Mandiant的一份报告指出，攻击背后的攻击者从事间谍活动，目前在内部追踪为 UNC5221。 Shadowserver扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备，其中大部分位于美国。 攻击面的影响范围 部署的恶意软件 Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具，其中包括五种自定义恶意软件，用于植入 Webshell、执行命令、删除有效负载和窃取凭据。 以下是攻击中使用的工具的摘要： Zipline     Passive Backdoor：自定义恶意软件，可以拦截网络流量，支持上传/下载操作，创建反向 shell、代理服务器、服务器隧道 Thinspool     Dropper：自定义     shell 脚本 dropper，将 Lightwire Web shell 写入 Ivanti CS，确保持久性 Wirefire     Web shell：基于 Python 的自定义 Web shell，支持未经身份验证的任意命令执行和负载删除 Lightwire     Web shell：嵌入合法文件中的自定义 Perl Web shell，可实现任意命令执行 Warpwire     harverster：基于 JavaScript 的自定义工具，用于在登录时收集凭据，并将其发送到命令和控制（C2）服务器 PySoxy     隧道器：促进网络流量隧道的隐蔽性 BusyBox：多调用二进制文件，结合了各种系统任务中使用的许多     Unix 实用程序 Thinspool     实用程序 (sessionserver.pl)：用于将文件系统重新挂载为“读/写”以启用恶意软件部署 “ZIPLINE 是这些家族中最著名的一个，它是一个被动后门，可以劫持 libsecure\.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理。 ”Mandiant 安全研究员表示。 Zipline (Mandiant)支持的命令 Mandiant 还发现，攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器，并将其位置设置在与目标相同的区域，以逃避检测。 Volexity 此前曾报道称，有迹象表明这些攻击是由某国背景的黑客组织发起。Mandiant 的报告没有明确任何归属，也没有提供有关该黑客组织的潜在来源或从属关系的信息。 谷歌公司表示，没有足够的数据来自信地评估 UNC5221 的来源，并指出其活动与任何先前已知的威胁组织无关。 Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。 安全专家提醒系统管理员，目前没有解决这两个0day漏洞的安全更新，Ivanti 提供了应立即实施的缓解措施。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/MLzP72_NsdOZnGE8iFO0gg 封面来源于网络，如有侵权请联系删除

CISA 警告说，攻击者现在正在利用一个关键的 Microsoft SharePoint 权限提升漏洞，该漏洞可以与另一个关键漏洞相结合以实现远程代码执行。 该安全漏洞的编号为CVE-2023-29357，该安全漏洞使远程攻击者能够通过使用欺骗性 JWT 身份验证令牌绕过身份验证，从而在未修补的服务器上获得管理员权限。 微软在公告中解释说：“获得欺骗性 JWT 身份验证令牌的攻击者可以使用它们来执行网络攻击，绕过身份验证并允许他们获得经过身份验证的用户的权限。” “成功利用此漏洞的攻击者可以获得管理员权限。攻击者不需要任何权限，用户也不需要执行任何操作。” 将此缺陷与CVE-2023-24955 SharePoint Server 远程代码执行漏洞链接起来时，远程攻击者还可以通过命令注入在受感染的 SharePoint 服务器上执行任意代码。 STAR Labs 研究员Jang (Nguyễn Tiến Giang)在去年 2023 年 3 月于温哥华举行的 Pwn2Own 竞赛中成功演示了这个 Microsoft SharePoint Server 漏洞链，并获得了 100,000 美元的奖励。 研究人员于 9 月 25 日发布了一份技术分析报告，详细描述了利用过程。演示视频链接：https://youtu.be/x0DPpVh8fO4 就在一天后，一名安全研究人员还在 GitHub 上发布了 CVE-2023-29357 概念验证漏洞。 尽管该漏洞无法在目标系统上远程执行代码，但由于它不是 Pwn2Own 演示的链的完整漏洞，其作者表示，攻击者可以将其与 CVE-2023-24955 漏洞本身链接起来进行 RCE。 PoC 漏洞利用的开发人员表示：“该脚本会输出管理员用户的详细信息，并且可以在单一和大规模利用模式下运行。该脚本不包含执行 RCE 的功能，并且仅用于教育目的以及合法和授权的测试。” 之后，该漏洞利用链的其他 PoC 漏洞在网上出现，降低了漏洞利用门槛，甚至允许技能较低的攻击者在野外利用中部署它。 虽然尚未提供有关 CVE-2023-29357 主动利用的更多详细信息，但 CISA 已将该漏洞添加到其已知被利用的漏洞目录中，现在要求美国联邦机构在本月底（即 1 月 31 日）之前修复该漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5wNwPmKzFjfYqB-D6wc-QA 封面来源于网络，如有侵权请联系删除

近日，肯尼亚数据保护专员办公室（ODPC）发布了新的指导文件，旨在加强教育、通讯和数字信贷领域的数据保护措施，并提供了一个处理健康数据的通用指南。 这些指导意见是基于《数据保护法》（DPA）制定的，该法是肯尼亚的主要数据保护立法（也是成立ODPC的动力），它于2019年11月25日生效。 为了帮助机构更好地实施规定， ODPC此前已经发布了四份所谓的指导文件，涉及同意、选举、数据控制者与数据处理者的注册，以及数据保护影响评估。 非洲信息与通讯技术联盟（AfICTA）东非地区副主席雷切尔·希坦达表示：“我们的法律还不成熟，希望随着数据保护专员办公室工作的推进，我们的政策控制体系能够得到进一步完善。” Dark Reading就ODPC这一事件发表了评论。 肯尼亚加强数据保护 《数据保护法》（DPA）开始施行到现在已经四年多了，希坦达指出，由于受到世界上发生的许多事情的影响，近年来，该保护法才真正发挥了它的作用。 举几个例子，ODPC根据《数据保护法》对一家餐厅处以大约12500美元（以肯尼亚先令计）的罚款，原因是他们在社交媒体上发布了顾客的照片；对一家数字信贷提供商处以大约20000美元的罚款，因为他们未经用户同意收集了第三方联系信息；对一所学校处以30000美元的罚款，因为他们未经父母同意发布了孩子的照片，这些都是按照《数据保护法》进行的。 希坦达表示，肯尼亚企业与新数据法规之间的冲突至少可以归结于几个因素： 一方面是存在很多合规性的抵触。普通人试图逃避规定或者让法律看起来过于限制性。但对于企业来说，当涉及到它们能被规范到什么程度时，总是会有冲突的。 另一方面是因为这项法律是在2019年颁布的，距今已经四年多了，所以很多人不了解这项法律，或者对它的实际含义只有一个模糊的概念。 在全国范围内提高意识 为特定行业制定指导意见是传播肯尼亚新数据法律意识的一个重要步骤。 在谈到政府监管机构时，希坦达指出，机构需要将新数据法规变成一个公开讨论的话题。以西方国家为例，英国人或美国人都非常了解自己在数据共享和个人信息方面拥有哪些权利，以及如何保护自己，在他们的权利被侵犯时应该如何通过诉讼维权。这些需要尤其注意。 “另外，还需要增强商界对我们信心，以便他们在遇到问题时能够及时上报，因为在信息资产管理方面，企业扮演着至关重要的角色，这是一种公开透明的交流方式。” 希坦达补充到。 目前，公众和企业对新数据法规的接受度很好，政府正在传播有关个人数据保护法的信息，公众对自己的权利也会更加了解。   转自Freebuf，原文链接：https://www.freebuf.com/news/389498.html 封面来源于网络，如有侵权请联系删除

谷歌旗下的网络威胁情报巨头 Mandiant 分享了其官方 X 账户被劫持事件的调查结果，此前该公司发生了一波与加密货币相关的 X 账户遭遇黑客攻击的事件。 2024 年 1 月 3 日，Google Cloud 子公司 Mandiant 的 X（以前的 Twitter）账户被攻击者接管，之后开始向其 123,5000 名关注者发送指向加密货币 Drainer 钓鱼页面的链接。 该公司第二天恢复了其帐户，并在社交媒体上发布了以下帖子：“正如您可能注意到的那样，昨天，Mandiant 失去了对这个启用了 2FA 的 X 帐户的控制。目前，除了受影响的 X 帐户之外，没有任何迹象表明存在恶意活动，该帐户已回到我们的控制之下。一旦得出结论，我们将分享我们的调查结果。” 1 月 11 日，该公司公布了此次调查的结果，确定此次劫持很可能是由于暴力密码攻击造成的，并且仅限于该公司的主 X 帐户 @Mandiant。 调查发现“没有证据表明任何 Mandiant 或 Google Cloud 系统上存在恶意活动或受到损害，从而导致该帐户受到损害。” Mandiant 指责：都是 X 的错 Mandiant 在其沟通中指出，其账户的双因素身份验证 (2FA) 配置错误，该公司将部分责任归咎于 X。 “通常情况下，2FA 会缓解这种情况，但由于一些团队的过渡以及 X 2FA 政策的变化，我们没有得到充分的保护。我们已经对流程进行了更改，以确保这种情况不会再次发生。”该公司在社交媒体上发帖称。 尽管网络安全提供商没有具体说明它指的是哪些 X 更改，但 2FA 最近成为 X Premium 订阅者的专有功能。 以前，所有用户都可以启用 2FA 以提高安全性，但现在，只有那些支付订阅服务费用的用户才能访问此功能的元素。 具体来说，2023 年 2 月，非 Twitter Blue 用户禁用了 2FA 的短信/短信方法，身份验证应用程序和安全密钥方法仍然可用。 这一决定在用户群中引发了相当大的争议，因为 2FA 被认为是一项重要的安全措施，限制其可用性引发了对潜在漏洞的担忧。 @Mandiant 帐户的 X 上没有黄金复选标记，这可能意味着该公司尚未订阅社交媒体的高级计划。 事件背后的黑客组织 Mandiant 已使用 CLINKSINK 加密钱包 Drainer 识别出与 Drainer-as-a-service (DaaS) 组相关的 35 个 ID，CLINKSINK 是一种利用智能合约漏洞或用户错误窃取资金的恶意软件。 CLINKSINK 用户专门针对 Solana (SOL) 钱包。 这些数字诈骗者使用被劫持的 X 和 Discord 帐户来共享以加密货币为主题的网络钓鱼页面，这些页面冒充 Phantom、DappRadar 和 BONK，并带有虚假代币主题。 以 $PHNTM 空投为主题的网络钓鱼页面示例 他们利用这些被盗用的帐户，以免费代币的承诺来引诱受害者，部署伪装成流行加密平台令人信服的网络钓鱼页面。 他们并没有让自己的目标变得更加富有，而是直接将资金转移到自己的腰包中，其中 20% 归自己所有，其余的则留给了幕后人物。 Mandiant 估计，这一邪恶计划已对毫无戒心的加密货币爱好者造成了至少 90 万美元的损失。 自 2023 年 12 月以来，这 35 个附属 ID 一直在使用 CLINKSINK 在不同的活动中窃取 Solana 用户的资金和代币。 一波与加密货币相关的 X 账户劫持事件 包括Netgear、Hyundai 和 Certik 在内的几家公司的 X 社交媒体帐户最近也被攻击者劫持并用于加密货币诈骗。 1 月 10日，美国证券交易委员会的 X 账户@SECGov 遭到入侵，并发布了有关批准比特币交易所交易基金（ETF）在证券交易所上市的虚假公告，导致比特币价格短暂飙升。 X 的安全团队后来表示，此次接管是由于在 SIM 卡交换攻击中与 @SECGov 帐户相关的电话号码被劫持所致。X 还指出，SEC 的帐户在遭到黑客攻击时并未启用双因素身份验证 (2FA)。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Pbz3fzy0thTm-xo8F6-sSA 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，沙特阿拉伯外交部 140万数据泄露，泄露文件大小600MB。它包含 ID、GUID、阿拉伯姓名、全名、相关部门、职务、办公室电话号码、手机号码、电子邮件、家庭电话号码、职位等信息。 黑客发布的截图 发布者提供的样本量共 90 条，从样本来看数据包含 2008 年至2013年的数据。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

沙特工业和矿产资源部系统的环境文件在公网暴露，其中包含邮件凭据、数据库凭据、加密配置等关键信息，如遭攻击者利用，可被用于在已进入内网后窃取所有数据。 有消息称：沙特阿拉伯工业与矿产资源部（MIM）的环境文件遭到暴露，敏感细节可随意获取。研究团队认为，这些敏感数据曾处于可随意访问的暴露状态时间长达15个月。 环境（env.）文件作为计算机程序的一组指令，是各类系统的关键组成部分。这些文件如果对任何人开放访问，会暴露关键数据，为黑客提供各种攻击选项。 暴露的MIM环境文件现在已经停止访问。然而，攻击者可以利用已经泄露的信息在部门系统内实现横向移动，甚至完成接管帐号、勒索软件攻击等各类高级攻击。 MIM是沙特阿拉伯负责工业和矿产资源运营的政府机构，成立于2019年，旨在让沙特经济摆脱对石油和天然气的依赖。沙特是最早响应、支持和参与共建“一带一路”的国家之一。 研究团队表示，环境文件在2022年3月首次被物联网搜索引擎索引，这意味着数据至少暴露了15个月。该文件目前已关闭，公众无法继续访问。 研究人员表示，“网络犯罪分子可能利用泄露的凭据获取政府系统的初始访问权，并发起勒索软件攻击。他们可能会加密关键政府数据，要求支付赎金才能交还数据，否则将公开泄露敏感信息。” MIM的哪些数据暴露了 暴露的环境文件泄露了多种类型数据库凭据、邮件凭据和数据加密密钥。比如，研究人员发现了暴露的SMTP（邮件协议）凭据。 研究人员表示，“拥有政府SMTP凭据的攻击者，可以冒充政府官员或员工进行社交工程攻击。他们可能会欺骗受害者透露其他敏感信息，实施欺诈行为，或获取对其他系统或资源的访问权。” 环境文件中还包含了Laravel APP_Key。APP_Key是用于加密的配置设置，可以用来保护会话数据和Cookies。利用暴露的APP_Key，攻击者能够解密敏感信息，破坏数据的保密性。 研究团队还发现了MySQL和Redis数据库的凭据。各大组织使用MySQL数据库存储、管理和检索数据，利用Redis对应用程序进行实时分析和消息传递。 研究团队表示，这两个数据库仅在本地网络上可用。这意味着，如果攻击者已经在MIM的系统中建立了立足点，就可以利用这些泄露的凭据。 一旦拥有政府数据库的凭据，攻击者就能够暴露敏感的政府信息、机密文件、个人可识别信息（PII）或其他保密记录。   泄露数据样本 Cybernews已经联系MIM征求评论，但在本文发布之前未收到回复。 安全防范建议 泄露上述信息将带来深远而广泛的影响，因为攻击者可以发动帐号接管攻击。利用泄露的凭据，恶意行为者能够未经授权地访问政府电子邮件帐号和数据库系统，藉此劫持通信、篡改数据、发送恶意电子邮件，或获取对其他系统或资源的进一步访问权限。 研究团队称，泄露的数据库凭据会带来数据泄露和外泄等真实风险，因为攻击者可以利用泄露的凭据访问基于政府的系统。 研究人员表示，“可能被窃取的数据包括公民的个人可识别信息（PII）、机密信息、财务记录或其他敏感的政府数据。窃取的数据可用于身份盗用、勒索或在黑市上出售。” 为了避免类似问题，建议组织采取以下措施： 评估基础设施的整体安全性，包括数据库服务器。识别可能导致凭据泄露的漏洞或配置错误，并采取措施加以解决。 评估现有的安全措施，并考虑实施额外的保护措施，例如网络分割、入侵检测系统、敏感数据加密，以及定期安全审计。 立即更改受影响的MySQL和Redis数据库以及电子邮件帐号的密码，并撤销任何已泄露的凭据。 设置强健、唯一的密码策略，启用多因素身份验证。 建立强大的监控系统，负责检测政府电子邮件系统中的任何异常或未经授权的活动，并加以应对。设置警报，提醒异常的登录尝试、电子邮件转发或大规模删除行为。   转自安全内参，原文链接：https://www.secrss.com/articles/62637 封面来源于网络，如有侵权请联系删除