此前，Fortinet在今年的6月8日更新FortiOS作业系统，以修补旗下防火墙设备FortiGate的多个安全漏洞，其中风险最高的CVE-2023-27997在修补当时已遭到黑客利用，而根据另一个网络安全公司Bishop Fox的调查，在全球曝露于网络上的49万台FortiGate中，现今仍有多达33.6万台尚未修补该漏洞，占比69%。 调查发现，一个问题 ( FG-IR-23-097 ) 可能在有限的案例中被利用，我们正在与客户密切合作以监控情况。”  Fortinet 发布的报告指出 。因此，如果客户启用了 SSL-VPN，Fortinet 建议客户立即采取行动升级到最新的固件版本。如果客户没有运行 SSL-VPN，则此问题的风险会减轻 – 但是，Fortinet 仍然建议升级。 Bishop Fox的能力发展总监Caleb Gross指出，有别于坊间以SSL凭证进行搜寻，找到了全球25万台位于公开网路上的FortiGate，他们使用不同的搜寻字串，利用Shodan发现49万台曝露SSL-VPN介面的FortiGate，再检查这些设备的韧体更新日期，却发现部署最新更新的只有153,414台，等于尚有69%并未修补安全漏洞。 对 Last-Modified 标头值的分析显示，2018 年及之前存在很多 异常值，研究人员注意到互联网上有少数设备运行 8 年前的 FortiOS。这些设备存在多个严重漏洞，该公司多年来已解决这些漏洞，并且具有公开的概念验证漏洞利用代码。 有很多版本 7（2021 年初发布），还有大量版本 6 正在 逐渐达到生命周期的终点。专家建议使用 FortiGate 防火墙或由 FortiOS 提供支持的其他任何设备的组织遵循 Fortinet 针对此问题的建议并立即升级其固件。     转自E安全，原文链接：https://mp.weixin.qq.com/s/-VL8UGtZgWaNKXxTiexKUQ 封面来源于网络，如有侵权请联系删除

日本名古屋港位于伊势湾，是日本最大和最繁忙的贸易港口，占全国总贸易量的10%左右。值得注意的是，这个港口还是日本最大的汽车出口国，丰田汽车公司的大部分汽车都在这里出口。 近日该港口遭遇了一次勒索软件攻击，影响了集装箱码头的运作。名古屋港口运输协会也已经证实，此次网络攻击扰乱了集装箱进出港口的工作。 据名古屋港口管理协会透露，7月4日上午6时30分左右，日本网站FNN报道称该港口得到集装箱码头发生了系统故障。除了在拖车上装卸集装箱外，装卸工作已经停止。 目前，还没有任何勒索软件组织声称对这次攻击负责，究竟是谁导致该港口的系统故障目前仍然未知。 BleepingComputer分享了名古屋港当局发布的一份最新通知，该通知称此次故障或与“名古屋港统一码头系统”(NUTS)的操作问题有关，该系统是控制基础设施中所有集装箱码头的中央系统。但在调查事故原因后，名古屋港当局与负责运营该系统的名古屋港口运营协会码头委员会以及爱知县警察总部举行了会议，发现问题是由勒索软件攻击导致的。 这次安全事件将对港口造成巨大的经济影响。专家预估，此次攻击事件还可能影响全国各地的货物运输。 但这已经不是日本港口第一次成为网络攻击的受害者。早在2022年9月，亲俄罗斯组织Killnet就曾发动了大规模的DDoS攻击，导致该港口的网站关闭。     转自Freebuf，原文链接：https://www.freebuf.com/news/371259.html 封面来源于网络，如有侵权请联系删除

越来越多接受过安全意识培训的员工不再轻易点击邮件中的可疑链接，但是网络钓鱼攻击者又找到了新的方法：二维码钓鱼邮件。 近日，安全公司Inky的研究人员发现，网络钓鱼攻击者开始发送大量包含二维码图片的钓鱼邮件，这些电子邮件将二维码嵌入邮件正文，以成功绕过安全保护，并可针对目标进行某种程度的定制，从而更容易欺骗收件人。研究人员表示，在许多情况下，这些钓鱼邮件来自收件人工作的企业内部被盗电子邮件账户，这种来自内部（可信）邮件地址的钓鱼邮件会进一步提高攻击的成功率。 Inky检测到的二维码钓鱼邮件的主题大多是要求员工解决安全问题（下图），例如缺少双因素身份验证注册或更改密码，并警告如果收件人未能及时操作，可能会产生后果。上当受骗的员工会用手机扫描邮件中的二维码并被引导至一个伪装成该公司合法站点的钓鱼网站，用户在钓鱼网站输入的账户密码会被发送给攻击者。 研究人员指出，此类二维码钓鱼邮件多为“喷射攻击”，攻击者会将邮件发送给尽可能多的目标用户，以期待提高攻击成功率。Inky的研究人员观察到多个行业都受到了二维码钓鱼邮件的攻击。在Inky检测到的545封二维码钓鱼邮件中，目标受害者主要位于美国和澳大利亚，其中包括非营利组织、多家财富管理公司、管理顾问、土地测量师、建材公司等。 二维码钓鱼邮件的两大特点 首先，二维码钓鱼邮件邮件不包含任何文本，只有一个图片文件附件，能够绕过基于文本分析的电子邮件安全方案。由于默认情况下，某些电子邮件程序和服务会自动直接在正文中显示附件图片，收件人通常不会意识到自己看到的邮件“正文”实际上是图片（不包含文本）。二维码钓鱼邮件的另一个显著特征是：图像中嵌入了一个二维码，指向凭证收集站点。这加快的访问钓鱼站点的速度，并能够有效降低员工意识到问题的可能性。二维码指向的钓鱼网站往往还会在登录框的用户名字段中预填收件人的电子邮件地址，这进一步产生安全错觉，让员工相信钓鱼网站是合法站点。 对于注重隐私的人来说，修改电子邮件设置阻止加载远程存储的图像不但是可行的，而且是值得推荐的。钓鱼邮件攻击者通过使用外部图像来确定他们发送的消息是否已被打开，因为收件人的设备会与托管图像的服务器建立连接。一些电子邮件服务，例如Gmail和Thunderbird不会在正文中显示附件图片，但其它很多邮件客户端或服务会显示图片附件。如果可能，建议企业和个人关闭此类客户端或服务的图片显示功能。（编者：禁止在电子邮件正文中显示图片是柄双刃剑，可能会产生用户体验问题或麻烦。） 二维码钓鱼邮件的防范 对于二维码钓鱼邮件的防御，安全专家们给出如下建议： 格外警惕含有二维码的电子邮件 通过其它渠道（即通过电子邮件以外的渠道）与发件人核实，确认消息是否真实 小心检查发件人地址，确保电子邮件来自其声称的地址 单击电子邮件正文，查看是否可以复制和粘贴文本。如果没有可复制的文本，需要格外警惕 在相关网络安全意识培训中增加对新型钓鱼邮件内容和攻击方法的培训内容 人们往往误以为网络钓鱼攻击并不复杂，只要稍加注意（培训）就能避免上当受骗。事实上，调查研究表明网络钓鱼是网络攻击最有效和最具成本效益的手段之一。根据AGG IT Services的数据，全球每天发送高达34亿封垃圾邮件，而Tessian的数据显示，四分之一的员工表示他们在工作中点击过网络钓鱼电子邮件。 无论企业投入多少预算构筑强大的网络安全防线，都可能因为一封钓鱼邮件而土崩瓦解。因此，企业安全团队需要对新型钓鱼邮件攻击的技术和策略保持高度关注。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/58x3NvnF8nyzJ1gPNqqv3w 封面来源于网络，如有侵权请联系删除

据BleepingComputer 6月28日消息，8Base 勒索软件团伙正在针对世界各地的企业组织进行双重勒索攻击，自 6 月初以来，新增受害者正源源不断地增加。 该勒索软件团伙于 2022 年 3 月首次出现，最开始时相对低调，较少发生明显的攻击行为。但到了6 月，攻击活动开始激增，到目前为止，8Base 已在其暗网勒索网站上列出了 35 名受害者，有时甚至会同时公布多达 6 名受害者。 自 2022 年 3 月以来的基本活动趋势 8Base于今年5月推出了据泄露网站，且自称是“诚实而简单”的渗透测试人员，主要目标是针对那些忽视员工和客户数据的隐私和重要性的公司。 在 VMware Carbon Black 团队的一份新报告中，针对最近 8Base 的攻击策略表明，这很可能与一个成熟的勒索软件组织（可能是 RansomHouse）存在关联。RansomHouse从不直接进行攻击，而是单纯进行数据泄露。 VMware 怀疑 8Base 是 RansomHouse 的一个分支，因为这两个组织使用了相同的勒索字条，并且在各自的泄露站点中看到了非常相似的语言和内容，甚至连常见问题解答页面似乎都是复制粘贴。然而，没有足够的证据来确定 8Base 是否是由 RansomHouse 成员产生的，或者只是单纯的复刻，这在勒索软件行为中并不罕见。 在加密文件时，勒索软件会在攻击中附加 .8base 扩展名，并使用“admlogs25[.]xyz”域进行有效负载托管。该域与 SystemBC相关，SystemBC 是多个勒索软件组织用于 C2 混淆的代理恶意软件。 调查结果表明，8Base 进行加密勒索攻击已至少一年，直到最近推出数据泄露网站后才声名鹊起。由于8Base 最近才开始受到分析师的关注，因此其技术本质的许多方面仍然未知。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370632.html 封面来源于网络，如有侵权请联系删除

近日，Suncor Energy遭遇了一次网络攻击。其子公司加拿大石油公司Petro-Canada在各地的加油站也受到了影响，导致客户无法使用信用卡或奖励积分付款。 Suncor Energy是全球排名第48的上市公司，也是加拿大最大的合成原油生产商之一，年收入达310亿美元。 该公司表示现已采取措施以减轻网络攻击带来的影响，并向有关部门通报了情况。Suncor Energy称在事件解决之前，该公司与客户和供应商的交易或将受到负面影响。不过目前还没有发现任何证据表明，客户、供应商或员工的数据因此而遭到泄露或滥用。 该公司没有提供有关网络安全事件类型的任何细节，以及这是否是影响其系统的勒索软件攻击。 加拿大石油公司系统瘫痪 Petro-Canada在推特上发文告知其客户称目前无法通过应用程序或网站登录自己的账户，对此造成的不便表示歉意。此次攻击也导致其客户无法在公司加油站加油时获得积分。 无法通过网站登录 来源:BleepingComputer 但情况似乎比该公司通知的要糟糕得多。 自上周五（6月23日）以来，许多人在Twitter发帖称目前在加拿大石油公司的加油站无法使用信用卡或借记卡付款，现金是唯一的选择。 加拿大石油公司的技术问题也使“洗车季卡”的持有者无法在该公司的洗车中心使用他们的特权，这些洗车中心现在要求退还他们的卡费。 BleepingComputer已经联系了Suncor能源公司和加拿大石油公司，要求其提供有关网络安全事件和报告的服务中断的更多信息。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370401.html 封面来源于网络，如有侵权请联系删除

6月25日上午11点，有游戏玩家反应Blizzard Battle.net无法登入、连线缓慢及网站问题，暴雪也证实其电玩平台遭到DDoS攻击。 暴雪娱乐的 Battle.net在线服务遭到分布式拒绝服务（DDoS）攻击，导致玩家无法正常登录游戏或游戏中断，受影响的游戏包括《暗黑破坏神4》、《魔兽世界》等。 当在 PC 上启动 Battle.net时，会出现一个通知：“我们目前正遭受 DDoS 攻击，可能造成游戏高延迟以及断线情况。我们正在努力减缓此次攻击所造成的影响。” 而本次暴雪娱乐（Blizzard）的电玩平台遭遇分散式阻断服务（DDoS）攻击，导致周末假期许多用户无法连上最新的《暗黑破坏神IV》（Diablo IV）或《魔兽》等线上游戏。 暴雪于6月25日下午通过官方推特帐号公告，其电玩平台Battle.net遭到DDoS攻击，导致线上游戏连线迟缓甚至无法连上。除了美国站，欧洲站点也发出了DDoS攻击公告。 本月初上市的《暗黑破坏神IV》发生重大伺服器连线错误，致各地用户接到错误代码。 据统计，至少从25日上午11:00起已有用户发生连线问题，包括无法登入、连线缓慢及网站问题，持续了数小时。 在Reddit上，有用户表示至少有10到12小时无法存取该平台。这也引发了一些玩家对暴雪公司是否应该为《暗黑破坏神 4》增加离线模式的建议。 根据DownDetector，影响的游戏除了《暗黑破坏神》及《魔兽》外，还包括《星海争霸StarCraft》、《炉石战记Heartstone》、《暴雪英霸Heroes of the Storm》等。受这波连线影响的用户分布美国、欧洲，及部分亚洲地区。 暴雪称其在当天早些时候遇到的 DDoS 攻击已经结束。不过据部分用户反应，现在登录游戏后会显示“验证你的账号时出现问题（代码 75）”，登录问题还未彻底修复。 暴雪公司还没有透露这次攻击的来源和动机。 值得一提的是，暴雪官方宣布本周将进行暴雪游戏的例行维护，其中目前正热的《暗黑破坏神 4》将在北京时间 6 月 27 日 0 点~5 点维护，本次维护属于停机维护，期间玩家无法登录游戏。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/QxWm6ExuRLHvtryaRj0bEw 封面来源于网络，如有侵权请联系删除

一项新的研究显示，许多企业在重命名项目时，不知不觉地将其代码库的用户暴露在重载劫持之下。 GitHub上数以百万计的企业软件存储库容易受到劫持，这是一种相对简单的软件供应链攻击，攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。 Aqua Security的研究人员在本周的一份报告中说，这个问题与GitHub如何处理依赖关系有关，当GitHub用户或组织更改项目名称或将其所有权转让给另一个实体时，容易受到重新劫持。 改名的风险 为了避免破坏代码的依赖性，GitHub在原 repo 名称和新名称之间建立了一个链接，因此所有依赖原 repo 的项目都会自动重定向到新更名的项目。然而，如果一个组织未能充分保护旧的用户名，攻击者可以简单地重新使用它来创建一个原始仓库的木马版本，这样任何依赖该存储库的项目将重新开始从该存储库下载。 Aqua公司的研究人员在本周的博客中说：当版本库所有者改变他们的用户名时，对于任何从旧版本库下载依赖项的人来说，在旧名称和新名称之间会产生一个链接。然而，任何人都有可能创建旧的用户名并破坏这个链接。 普遍性问题 Aqua发现了两个问题：一是，GitHub上有数百万个这样的软件库，包括属于谷歌和Lyft等公司的软件库；二是，攻击者很容易找到这些软件库以及劫持它们的工具。其中一个工具是GHTorrent，这个工具对GitHub上的所有公共事件（如提交和请求）进行了几乎完整的记录。攻击者可以使用GHTorrent来获取组织之前使用的GitHub仓库的名称。然后他们可以用这个旧用户名注册存储库，并向任何使用该存储库的项目传输恶意软件。 任何直接引用GitHub存储库的项目，如果存储库的所有者改变或删除了他们存储库的用户名，就会受到攻击。 因此，组织不应假定他们的旧名称不会被披露，而是要在GitHub上认领并保留他们的旧用户名。同时企业可以通过扫描他们的代码、存储库和关联性的GitHub链接来减轻他们面临的劫持威胁。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370289.html 封面来源于网络，如有侵权请联系删除

俄勒冈州 DMV 和路易斯安那州 OMV 的网络攻击已泄露近 1000 万驾照持有者的敏感数据。 此次泄露事件归因于与俄罗斯有关的 Clop 勒索软件团伙，利用了两个 DMV 使用的 MOVEit Transfer 安全文件传输服务中的零日漏洞CVE-2023-34362 。 此次数据泄露可能影响了全球数百个组织，其中包括几个美国联邦机构。 路易斯安那州 OMV 网络攻击影响了该州所有身份证持有者 据路易斯安那州 OMV（机动车辆办公室）称，网络攻击影响了该州所有驾驶执照、身份证或汽车登记号码的持有者。 暴露的数据包括受害者的姓名、地址、社会安全号码、出生日期、身高、眼睛颜色、驾驶执照号码、车辆登记信息和残障标牌信息。 路易斯安那州 OMV 网络攻击影响了至少 600 万驾照持有者。路易斯安那州打算通知所有潜在的受害者。 与此同时，路易斯安那州 OMV 没有发现任何证据表明威胁行为者出售、使用、共享或发布暴露的数据。Clop 勒索软件团伙还承诺删除从政府机构窃取的所有个人信息。 路易斯安那州州长国土安全和应急准备办公室 (GOHSEP) 推出了一个专门网站，帮助该州驾照持有者减轻网络攻击的影响。 GOHSEP 建议潜在受害者采取额外措施，通过重置所有在线帐户的密码（包括银行、电子邮件和社交媒体）并监控其信用档案，保护自己免受在线身份盗窃。 信用报告机构还允许免费冻结个人的信用档案，以防止欺诈者使用个人信息获取信用卡或贷款。 此外，可能受影响的驾驶执照持有者应从美国国税局 (IRS) 获取“身份保护密码”，以防止网络犯罪分子代表受害者欺诈性地提交纳税申报表或接收退税。 路易斯安那州 OMV 建议：“如果您怀疑涉及您的数据（包括财务信息）的任何异常活动，请致电 1-877-FTC-HELP 联系联邦贸易委员会或立即访问 www.ReportFraud.FTC.gov。” 俄勒冈州DMV网络攻击暴露了350万驾照持有者的信息 俄勒冈州DMV 透露，MOVEit 攻击导致 350 万人暴露了他们的许可证、驾驶执照和身份证。 “如果您拥有有效的俄勒冈州驾驶执照、许可证或身份证，您应该假设您的个人信息已被泄露。我们建议您立即采取措施保护您的信息，避免滥用。”俄勒冈州 DMV 的MOVEit 数据泄露通知指出。 俄勒冈州DMV数据泄露事件中暴露的其他详细信息包括驾驶执照持有者的姓名、家庭和邮寄地址以及社会安全号码的最后四位数字。 尽管此次泄露并未暴露银行、信用卡或财务信息，但俄勒冈州机动车辆管理局建议该州驾照持有者监控并可能冻结他们的信用档案，以防止身份盗窃。 MOVEit 网络攻击受害者名单不断扩大 路易斯安那州 OMV 和俄勒冈州 DMV 网络攻击是影响全球数百个实体的更广泛漏洞的一部分。 网络安全和基础设施安全局 (CISA) 透露，它正在支持受 MOVEit 网络攻击影响的多个联邦机构，其中包括美国能源部。 受 MOVEit 网络攻击影响的其他组织包括：加拿大新斯科舍省地方政府；美国密苏里州、伊利诺伊州和明尼苏达州；美国内科医学委员会；极进网络；壳；Zellis，也影响了 BBC 和英国航空公司；英国药店靴子；约翰霍普金斯大学；罗切斯特大学；佐治亚大学和佐治亚大学系统。 Emsisoft 威胁分析师 Brett Callow 表示，至少有63 个组织已确认 MOVEit 数据泄露。 Coro联合创始人 Dror Liwer 表示：“公民可以选择离开那些未能保护其数据的公司。当涉及到政府机构时，人们没有这样的选择，这更有理由让这些机构比私营部门更认真地对待机密信息。” 这个俄语团伙列出了数十个涉嫌违规的组织，但避免提及路易斯安那州 OMV、俄勒冈州 DMV 以及其他联邦和州机构。该组织威胁称，除非支付赎金，否则将泄露被盗数据。然而，没有任何联邦或州机构证实收到任何赎金要求。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/pJbAKt3LYjzetnamlh-ISQ 封面来源于网络，如有侵权请联系删除

据Cyber News 6月20日消息，云安全公司 Orca Security 的研究表明，在针对云的网络攻击中，攻击者能够在短短两分钟内发现配置错误和易受攻击的资产，并立刻开始对其进行利用。 Orca Security 为此进行了为期6个月的研究，在9个不同的云环境中设置了蜜罐，这些蜜罐旨在模拟错误配置的资源以吸引攻击者，每个蜜罐都包含一个 AWS 密钥。 随后，Orca 密切监视每个蜜罐，以观察攻击者是否以及何时会上钩，目的是收集对最常见的目标云服务、攻击者访问公共或易于访问的资源所需的时间，以及他们发现和利用泄露的数据所需的时间。 根据Orca的报告，GitHub、HTTP和SSH上暴露的敏感信息仅在5分钟内就被发现，AWS S3则在一小时内被发现。Orca Security 云威胁研究团队负责人 Bar Kaduri 表示，虽然每种资源的策略有所不同，但研究清楚地表明如果，只要敏感信息被泄露，就会被攻击者利用。 密钥使用时间因资产类型而异。研究人员在两分钟内就观察到 GitHub 上的密钥使用情况，这意味着暴露的密钥几乎立即被泄露。 其他资产的过程相对较慢，对于 S3 Buckets，密钥泄露大约需要8个小时，而对于 Elastic Container Registry，该过程则将近4个月。 每个蜜罐的访问时间、密钥使用、热门操作和攻击向量流行度的比较（Orca Security） 尽管所有观察到的AWS密钥暴露使用情况有50%发生在美国，但包括加拿大、亚太、欧洲和南美在内的地区也均有涉及。攻击者更倾向于对那些流行的、容易获得的、可能包含敏感信息的资源进行侦察。特别是像SSH这样的资产，由于其价值高，经常成为恶意软件的目标。 Kaduri表示，攻击者发现暴露的敏感信息的速度令人难以置信，而且他们不需要花很长时间就能将其武器化。在这种环境下，管理人员必须确保其资产在非必要的情况下不被公开访问，并确保敏感信息得到妥善管理。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370014.html 封面来源于网络，如有侵权请联系删除

美国官员15日称，俄罗斯勒索软件组织Clop利用MOVEit文件传输软件的零日漏洞发动攻击，窃取并高价售卖美国能源部在内的多个联邦机构用户数据。 美国联邦机构网络安全与基础设施安全局（CISA）公布了这起入侵事件。CISA局长Jen Easterly认为此次入侵具有“高度随机性”，既没有专注于“特定的高价值信息”，也没有像之前针对美国政府机构的网络攻击那样具有破坏性。“这次攻击不像SolarWinds供应链攻击事件一样具有系统性风险。”SolarWinds事件发生于2020年，这起大规模入侵事件对多个美国情报机构带来严重破坏。 联邦地方机构纷纷被黑，海量公民数据遭勒索 美国能源部证实，旗下两家机构对数据记录遭到入侵，并已通知国会和CISA。美国农业部发言人表示，他们可能遭到了Clop的攻击，该部门将首次因为数据泄露接受调查。 美国劳工部、教育部和内政部的发言人表示，这些部门未受影响。国务院、国防部和联邦调查局（FBI）代表拒绝对是否受到影响发表评论，其他几家联邦机构也未回应置评请求。 美国国会能源和商业委员会主席Cathy McMorris Rodgers和高级委员Frank Pallone已要求白宫和能源部就此事进行简报。 多个州级组织也宣布遭遇MOVEit漏洞相关的数据泄露事件。伊利诺伊州、密苏里州和明尼苏达州表示正在调查可能影响数千人的与MOVEit有关的数据泄露事件。俄勒冈州和路易斯安那州的机动车部门确认受到了这些攻击的影响。 路易斯安那州发表声明称，所有持有该州发行的驾驶执照、身份证明或车辆注册证的居民的个人信息“可能”被窃取。俄勒冈州交通部确认，大约350万持俄勒冈州身份证身份证明或驾驶执照的居民遭到数据泄漏。 根据CISA和FBI的评估，这次入侵是俄罗斯勒索软件组织Clop所为。他们利用MOVEit软件漏洞攻击了多个地方政府、大学和企业。CISA高级官员表示，虽然只有少数联邦机构受到了影响，但私营机构的初步报告显示，至少有几百家公司和组织受到了影响。安全厂商Emsisoft的威胁分析师Brett Callow称，已统计到63名已知/确认受害者和数量不详的政府机构。 受到此次攻击影响的软件用户包括美国伊利诺伊州、加拿大新斯科舍省和英国伦敦的公职人员，以及英国航空公司和英国广播公司（BBC）。约翰·霍普金斯大学、佐治亚州大学系统和壳牌公司也发布了类似的被攻击声明。 根据GovSpend公司的数据，美国航空航天局（NASA）、财政部、卫生部、国防部等众多联邦政府机构购买了MOVEit软件，但目前尚不清楚有多少机构正积极使用该软件。 Log4shell式灾难：一连串漏洞曝光 MOVEit是一款十分流行的商业文件传输工具，由美国上市公司Progress Software生产。此次遭利用的MOVEit SQL注入零日漏洞CVE-2023-34362。 CISA通报称，Clop组织在5月27日开始利用该漏洞发起攻击。该组织此前曾使用Accellion、GoAnywhere等多种文件传输工具的漏洞实施入侵。 Progress Software在6月1日修复了CVE-2023-34362。但6月9日又曝光了SQL注入漏洞CVE-2023-35036，该公司于次日修复。6月16日曝光了SQL注入漏洞CVE-2023-35708（基于第一个漏洞的补丁绕过），该公司于次日修复。 MOVEit发言人表示，目前尚未看到新漏洞被利用的迹象。Progress在公告中强调，所有MOVEit客户应“立即采取行动，解决这个重大问题”。客户需要先修补最初的漏洞，然后再应用最新的修复程序。CISA也呼吁各大组织阅读Progress针对这个漏洞的公告。 第二个漏洞的披露者Huntress高级安全研究员John Hammond表示，推特用户@MCKSys Argentina 在检查此前研究成果时，找到了第三个漏洞。他们注意到，最新的修补程序仍然抵御不了其他攻击方法，随即发现了第三个零日漏洞。Clop勒索软件黑客使用的攻击方法涉及三个单独的步骤，利用最新漏洞能减少一个步骤。他建议用户继续修补程序，而Progress建议完全关闭HTTP组件。 John Hammond指出，黑客可以通过多种方式攻击MOVEit文件传输应用程序，因此发现更多问题“并不奇怪”。越来越多的安全研究人员正在详细研究MOVEit软件，试图找到更多漏洞。在这一过程中，可能会继续发现更多绕过技术。Huntress正与Progress密切合作，帮助后者更新、加固遗留代码库。 勒索软件威胁态势严峻 Clop组织此前声称对之前一波入侵负责。该组织表示对政府或警察办公室窃取的数据不感兴趣，而是专注于窃取商业信息。 美国网络安全公司Cloudera的政府解决方案总裁Robert J. Carey指出，勒索软件攻击窃取数据很容易被出售给其他非法分子。 MOVEit的公司代表表示，他们已经与联邦执法部门和其他机构合作，打击网络犯罪分子利用常见软件产品的漏洞。 俄罗斯勒索软件组织对政府机构的网络犯罪行为并非个案，近期频繁发生的勒索软件攻击已导致医院、能源系统和城市服务等关键民用基础设施陷入瘫痪。 一些攻击主要出于财务动机，例如2021年影响全球多达1500家企业的勒索软件攻击。然而，最近几个月，俄罗斯勒索软件组织得到俄罗斯政府默许，针对支持乌克兰的国家发起了政治色彩明确的攻击。俄乌战争伊始，哥斯达黎加27个政府机构受到俄罗斯组织Conti的勒索软件攻击，该国总统被迫宣布全国紧急状态。 早在俄乌战争之前，俄罗斯发起对网络攻击已成为美俄关系重要争议点。2021年，美国总统拜登与俄罗斯总统普京会面时，白宫将这一问题列为首要讨论议题。两位总统会晤前一个月，一家据信来自俄罗斯的黑客组织对美国最大的燃油管道发动了勒索软件攻击，迫使运营商支付500万美元恢复被窃取的数据。美国联邦调查人员后来表示，他们通过网络行动，追回了大部分赎金。     转自 安全内参，原文链接：https://www.secrss.com/articles/55768 封面来源于网络，如有侵权请联系删除