HackerNews 编译，转载请注明出处： 苹果公司近日紧急发布安全更新，修复编号为CVE-2025-24201的零日漏洞。该漏洞存在于WebKit跨平台网页浏览器引擎中，影响Safari浏览器及多款运行于macOS、iOS、Linux和Windows系统的应用程序。 “此次更新是对iOS 17.2版本已防御攻击的补充修复。”苹果在周二发布的安全公告中表示，”我们确认该漏洞在iOS 17.2之前版本中，已被用于针对特定人群实施高度复杂的定向攻击。” 经证实，攻击者可通过特制恶意网页内容突破Web内容沙箱限制。目前苹果已通过强化检测机制修复了该越界写入漏洞，相关补丁包含在iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1更新中。 受影响的设备型号包括： – iPhone XS及后续机型 – iPad Pro全系（13英寸/12.9英寸第三代起/11英寸第一代起） – iPad Air第三代起 – iPad第七代起 – iPad mini第五代起 – 运行macOS Sequoia系统的Mac设备 – Apple Vision Pro 苹果暂未透露漏洞发现者信息，也未披露相关攻击行动的具体细节。虽然该漏洞目前主要用于定向攻击，但安全专家强烈建议用户立即更新系统以防范潜在攻击。 这是苹果本年度修复的第三个零日漏洞，此前分别于1月（CVE-2025-24085）和2月（CVE-2025-24200）修复两处漏洞。2024全年苹果共修复6个野外利用漏洞，而2023年漏洞修复量达20个，其中包含： – 11月：CVE-2023-42916、CVE-2023-42917 – 10月：CVE-2023-42824、CVE-2023-5217 – 9月：5个漏洞（CVE-2023-41061等） – 7月：CVE-2023-37450、CVE-2023-38606 – 6月：CVE-2023-32434等3个 – 5月：CVE-2023-32409等3个 – 4月：CVE-2023-28206等2个 – 2月：WebKit漏洞CVE-2023-23529   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据国际特赦组织的一份新报告，一名 23 岁的塞尔维亚青年活动人士的安卓手机成为 Cellebrite 开发的零日漏洞的目标，该漏洞被用于解锁其设备。 “一名学生抗议者的安卓手机被一个针对安卓 USB 驱动程序的复杂零日漏洞链利用并解锁，该漏洞链由 Cellebrite 开发，” 这家国际非政府组织表示，并补充说该漏洞的痕迹是在 2024 年年中的一起单独案件中发现的。 此次漏洞事件涉及的漏洞是 CVE-2024-53104（CVSS 评分：7.8），这是一个名为 USB 视频类（UVC）驱动程序的内核组件中的提权漏洞。2024 年 12 月，Linux 内核发布了该漏洞的补丁，并于本月早些时候在安卓系统中得到修复。 据悉，CVE-2024-53104 被与其他两个漏洞结合使用——CVE-2024-53197 和 CVE-2024-50302，这两个漏洞已在 Linux 内核中得到解决，但尚未包含在安卓安全公告中。 CVE-2024-53197（CVSS 评分：暂无）：Extigy 和 Mbox 设备的越界访问漏洞 CVE-2024-50302（CVSS 评分：5.5）：一个未初始化资源使用漏洞，可用于泄露内核内存 “该针对 Linux 内核 USB 驱动程序的漏洞利用使 Cellebrite 的客户能够在拥有物理访问权限的情况下，绕过安卓手机的锁屏并获得设备的特权访问权限，” 国际特赦组织表示。 “此案例突显了现实世界中的攻击者如何利用安卓的 USB 攻击面，利用 Linux 内核中支持的广泛传统 USB 内核驱动程序。” 这名活动人士化名为 “Vedran”，以保护其隐私。2024 年 12 月 25 日，他参加了一场在贝尔格莱德的学生抗议活动后，被带往警察局，手机被没收。 国际特赦组织的分析发现，该漏洞被用于解锁他的三星 Galaxy A32 手机，当局试图安装一个未知的安卓应用程序。尽管该安卓应用程序的确切性质尚不清楚，但其操作方式与 2024 年 12 月中旬报告的 NoviSpy 间谍软件感染一致。 本周早些时候，Cellebrite 表示，其工具并非旨在促进任何类型的进攻性网络活动，并且公司积极遏制其技术的滥用。 这家以色列公司还表示，将不再允许塞尔维亚使用其软件，称 “我们认为此时停止相关客户使用我们的产品是合适的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rapid7 的漏洞研究团队表示，攻击者在 12 月份利用 PostgreSQL 的安全漏洞作为零日漏洞，攻破了特权访问管理公司 BeyondTrust 的网络。 BeyondTrust 透露，攻击者在 12 月初利用两个零日漏洞（CVE-2024-12356 和 CVE-2024-12686）以及一个被盗的 API 密钥，攻破了其系统和 17 个远程支持 SaaS 实例。 不到一个月后，1 月初，美国财政部披露其网络被威胁行为者攻破，这些行为者利用被盗的远程支持 SaaS API 密钥，攻破了其 BeyondTrust 实例。 此后，财政部的被攻破事件被追溯到黑客组织 Silk Typhoon，该组织是一个网络间谍组织，以侦察和数据窃取攻击而闻名，2021 年初因利用 Microsoft Exchange Server ProxyLogon 零日漏洞攻击约 68,500 台服务器而广为人知。 黑客特别攻击了美国外国投资委员会（CFIUS），该委员会审查外国投资的国家安全风险，以及外国资产控制办公室（OFAC），该办公室管理贸易和经济制裁计划。 他们还入侵了财政部金融研究办公室的系统，但此次事件的影响仍在评估中。 据信，Silk Typhoon 利用了对财政部 BeyondTrust 实例的访问权限，窃取了“与潜在制裁行动和其他文件有关的非机密信息”。 12 月 19 日，CISA 将 CVE-2024-12356 漏洞添加到其已知被利用漏洞目录中，要求美国联邦机构在一周内保护其网络免受持续攻击。该网络安全机构还于 1 月 13 日下令联邦机构修补其系统以防范 CVE-2024-12686 漏洞。 PostgreSQL 零日漏洞与 BeyondTrust 被攻破事件有关 在分析 CVE-2024-12356 时，Rapid7 团队发现 PostgreSQL 中一个新的零日漏洞（CVE-2025-1094），该漏洞于 1 月 27 日报告，并在周四修补。CVE-2025-1094 允许在 PostgreSQL 交互工具读取不受信任的输入时进行 SQL 注入，因为它错误地处理了无效 UTF-8 字符的特定无效字节序列。 “PostgreSQL libpq 函数 PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn() 中的引用语法中和不当处理，允许数据库输入提供者在某些使用模式下实现 SQL 注入，”PostgreSQL 安全团队解释道。 “具体来说，SQL 注入需要应用程序使用函数结果来构建 psql 的输入，即 PostgreSQL 交互终端。同样，当 client_encoding 为 BIG5 且 server_encoding 为 EUC_TW 或 MULE_INTERNAL 时，PostgreSQL 命令行实用程序程序中引用语法的不当处理允许命令行参数来源实现 SQL 注入。” Rapid7 的测试表明，成功利用 CVE-2024-12356 实现远程代码执行需要使用 CVE-2025-1094，这表明与 BeyondTrust RS CVE-2024-12356 相关的漏洞利用依赖于对 PostgreSQL CVE-2025-1094 的利用。 此外，尽管 BeyondTrust 表示 CVE-2024-12356 是一个命令注入漏洞（CWE-77），但 Rapid7 认为将其更准确地归类为参数注入漏洞（CWE-88）。 Rapid7 安全研究人员还发现了一种方法，可以独立于 CVE-2024-12356 参数注入漏洞，在易受攻击的 BeyondTrust 远程支持（RS）系统中利用 CVE-2025-1094 实现远程代码执行。 更重要的是，他们发现虽然 BeyondTrust 对 CVE-2024-12356 的修补程序没有解决 CVE-2025-1094 的根本原因，但它成功地防止了这两个漏洞的利用。 “我们还了解到，可以在 BeyondTrust 远程支持中利用 CVE-2025-1094，而无需利用 CVE-2024-12356，”Rapid7 表示。“然而，由于 CVE-2024-12356 修补程序采用了一些额外的输入消毒措施，利用仍然会失败。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   Rapid7 的安全研究人员周四发现了一个新的 PostgreSQL 零日漏洞，该漏洞似乎是一个针对 BeyondTrust 远程支持产品的攻击链中的关键组成部分。 这个漏洞被标记为 CVE-2025-1094，影响 PostgreSQL 交互终端 psql，允许包含不受信任但正确转义的输入的 SQL 语句触发 SQL 注入。 有趣的是，Rapid7 直接将 PostgreSQL 漏洞的利用与针对 BeyondTrust 远程支持系统的远程代码执行攻击联系起来。这些攻击已经成功入侵了美国财政部的机器。 在所有检查的情景中，Rapid7 研究人员表示，BeyondTrust 漏洞（CVE-2024-12356）的利用都需要借助这个 PostgreSQL 漏洞。尽管 BeyondTrust 已经发布了其漏洞的补丁，包括 CVE-2024-12356 和另一个漏洞（CVE-2024-12686），但 PostgreSQL 中的基础漏洞仍然是攻击者的一个令人担忧的切入点。 根据 Rapid7 的公开文档，该漏洞存在于 psql 处理无效字节序列的方式中，这些序列来自格式错误的 UTF-8 字符。在测试中，Rapid7 研究人员发现，精心制作的无效序列可以提前终止 SQL 命令，允许攻击者注入额外的语句，甚至通过 psql 的元命令触发 shell 执行。 在受控测试中，Rapid7 研究人员表示，他们能够注入一个命令，在系统上执行 id 命令，确认了完全系统被攻破的可能性。 PostgreSQL 团队发布了一个紧急补丁，并警告称，在 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本中存在受影响的情况。该项目在感谢 Rapid7 发现该漏洞的同时，并未承认零日漏洞的利用情况。 Rapid7 还发布了一个 Metasploit 模块，该模块可以识别易受攻击的 BeyondTrust 系统，并自动化有效载荷的传递。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 更新（2025 年 2 月 11 日 19:32）：在发布报道后，Fortinet 告知我们，今日新增至 FG-IR-24-535 的 CVE-2025-24472 漏洞并非零日漏洞，已于 1 月修复。尽管今日更新的公告显示两个漏洞均被用于攻击，并为新发现的 CSF 代理请求利用路径提供了临时解决方案，但 Fortinet 表示只有 CVE-2024-55591 被利用。Fortinet 向 BleepingComputer 表示，如果客户此前根据 FG-IR-24-535/CVE-2024-55591 的指导进行了升级，则已对新披露的漏洞具备防护能力。本报道标题已更新以反映这一新信息，原文如下： Fortinet 今日警告称，攻击者正在利用 FortiOS 和 FortiProxy 中的另一个已修复的零日漏洞，劫持 Fortinet 防火墙并入侵企业网络。成功利用该认证绕过漏洞（CVE-2025-24472）可使远程攻击者通过构造恶意的 CSF 代理请求获得超级管理员权限。该漏洞影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0.19 以及 FortiProxy 7.2.0 至 7.2.12 版本。Fortinet 已在 FortiOS 7.0.17 及以上版本以及 FortiProxy 7.0.20/7.2.13 及以上版本中修复了该漏洞。 Fortinet 在上月发布的安全公告中新增了该漏洞的 CVE 编号，此前公告已警告客户有攻击者正在利用 FortiOS 和 FortiProxy 中的零日漏洞（编号 CVE-2024-55591），该漏洞影响相同版本的软件。然而，已修复的 CVE-2024-55591 漏洞可通过向 Node.js websocket 模块发送恶意请求进行利用。 据 Fortinet 介绍，攻击者利用这两个漏洞在受影响设备上生成随机管理员或本地用户账号，并将其添加到新的或现有的 SSL VPN 用户组中。攻击者还被发现修改防火墙策略及其他配置，并使用之前建立的恶意账号登录 SSLVPN 实例，“从而获得通往内部网络的隧道”。尽管 Fortinet 未提供更多关于此次攻击活动的信息，但网络安全公司 Arctic Wolf 发布了一份包含匹配入侵指标（IoC）的报告，称自 2024 年 11 月中旬以来，暴露在互联网上的 Fortinet FortiGate 防火墙管理接口一直受到攻击。 “该攻击活动涉及未经授权的管理员登录防火墙管理界面、创建新账号、通过这些账号进行 SSL VPN 认证以及各种其他配置变更，”Arctic Wolf Labs 表示。“虽然尚未最终确认初始攻击向量，但零日漏洞的可能性极高。各组织应尽快紧急禁用公开界面上的防火墙管理访问权限。” Arctic Wolf Labs 还提供了 CVE-2024-55591 大规模利用攻击的时间线，称其包含四个独特阶段： 漏洞扫描阶段（2024 年 11 月 16 日至 23 日） 侦察阶段（2024 年 11 月 22 日至 27 日） SSL VPN 配置阶段（2024 年 12 月 4 日至 7 日） 横向移动阶段（2024 年 12 月 16 日至 27 日） “鉴于不同入侵事件之间在手法和基础设施方面存在细微差别，可能有多个个人或团体参与了此次攻击活动，但 jsconsole 使用情况是贯穿始终的共同点。”此外，Arctic Wolf Labs 表示已于 2024 年 12 月 12 日通知 Fortinet 关于此次攻击的情况，并在五天后收到来自该公司产品安全事件响应团队（PSIRT）的确认，称该活动已知且正在调查中。 Fortinet 建议无法立即部署安全更新的管理员，通过禁用 HTTP/HTTPS 管理界面或通过本地策略限制可访问该界面的 IP 地址，作为临时解决方案来保护易受攻击的防火墙。BleepingComputer 已联系 Fortinet 发言人征求意见，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，苹果公司发布了紧急安全更新，修复了一个被利用于“极其复杂”的针对性攻击的零日漏洞（CVE-2025-24200）。该漏洞可能被攻击者用于在锁定设备上禁用USB限制模式。 USB限制模式是苹果在iOS 11.4.1中引入的一项安全功能，旨在阻止未经授权的设备通过Lightning接口访问数据。该功能会在设备锁定超过一小时后禁用USB配件的数据连接，但不影响充电功能。 此次修复的零日漏洞影响以下设备： iPhone XS及后续型号； iPad Pro 13英寸、iPad Pro 12.9英寸（第三代及后续）、iPad Pro 11英寸（第一代及后续）、iPad Air（第三代及后续）、iPad（第七代及后续）以及iPad mini（第五代及后续）； iPad Pro 12.9英寸（第二代）、iPad Pro 10.5英寸和iPad（第六代）。 苹果建议用户尽快安装iOS 18.3.1、iPadOS 18.3.1和iPadOS 17.7.5更新，以修复该漏洞并增强安全性。 背景信息 攻击目标：该漏洞被用于针对特定个体的复杂攻击，可能涉及商业间谍软件的传播，目标包括记者、反对派政治人士和异议人士。 漏洞细节：该漏洞是一个授权问题，通过改进状态管理得到修复。 类似事件：2023年9月，苹果曾修复了两个零日漏洞（CVE-2023-41061和CVE-2023-41064），这些漏洞被用于零点击攻击链（BLASTPASS），以在最新版iOS的iPhone上安装NSO集团的Pegasus间谍软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，据网络安全公司Intezer和Solis Security的研究报告，一个名为XE Group的黑客组织被发现利用VeraCore软件中的多个零日漏洞，部署Web后门并维持对受感染系统的持久性远程访问。 XE Group是一个自2010年活跃至今的网络犯罪团伙，可能起源于越南。该团伙最初以信用卡信息窃取和供应链攻击为主，但近年来已转向针对制造业和分销行业的供应链攻击，利用新的漏洞和高级技术实施信息窃取。 此次攻击涉及的漏洞包括： CVE-2024-57968（CVSS评分：9.9）：文件上传验证漏洞，允许远程认证用户将文件上传到未指定的文件夹（已在VeraCore 2024.4.2.1版本中修复）。 CVE-2025-25181（CVSS评分：5.8）：SQL注入漏洞，允许远程攻击者执行任意SQL命令（目前尚无补丁）。 研究人员发现，XE Group通过这些漏洞部署了ASPXSpy Web后门，用于未经授权地访问受感染系统，并在某些情况下自2020年起就开始利用CVE-2025-25181漏洞。这些Web后门具备文件系统枚举、文件窃取和压缩（使用7z工具）等功能，并且可以用来投放Meterpreter负载，尝试通过Windows套接字连接到攻击者控制的服务器（如“222.253.102[.]94:7979”）。 此外，该团伙还利用这些漏洞维持对受感染系统的长期访问。例如，XE Group在2020年入侵了一个组织的系统，并在2024年重新激活了多年前部署的Web后门，继续窃取敏感配置文件并尝试执行远程访问木马（RAT）。 XE Group的攻击手段不断演变，从早期的信用卡信息窃取转向利用零日漏洞实施更广泛的数据窃取，这标志着其攻击能力的提升。该团伙还利用定制化的ASPXSpy Web后门，通过伪装成图像文件的可执行文件来隐藏恶意行为。 研究人员指出，XE Group通过长期维持对系统的访问，展示了其对长期目标的承诺。通过攻击制造业和分销行业的供应链，XE Group不仅最大化了其行动的影响，还展示了其对系统性漏洞的深刻理解。 相关背景 CVE-2019-18935：该漏洞曾被英国和美国政府机构列为2021年最常被利用的漏洞之一，最近也被用于加载反向Shell并执行后续侦察命令。 CISA更新已知漏洞目录：美国网络安全和基础设施安全局（CISA）近期将5个漏洞加入其已知被利用漏洞（KEV）目录，其中包括7-Zip的Mark of the Web绕过漏洞（CVE-2025-0411）和Sophos XG防火墙缓冲区溢出漏洞（CVE-2020-15069）。 安全建议 使用VeraCore的组织应尽快更新至最新版本，并实施全面的安全控制措施，包括定期进行漏洞评估和监控异常行为。 针对零日漏洞的利用，企业需加强主动防御策略，以应对日益复杂的网络犯罪威胁。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress的RealHome主题和Easy Real Estate插件存在两个严重漏洞，允许未经身份验证的用户获取管理员权限。 虽然Patchstack研究人员在2024年9月发现了这两个漏洞，并多次尝试联系供应商InspiryThemes，但至今未收到任何回复。同时，Patchstack指出，自2024年9月以来，供应商发布了三个版本，但未修复这些关键问题。因此，这些漏洞依然存在并可被利用。 RealHome主题和Easy Real Estate插件是房地产网站中最受欢迎的主题和插件之一。根据Envanto Market数据显示，RealHome主题目前用于32,600个网站。 第一个漏洞影响RealHome主题，是一个未经身份验证的权限提升问题，编号为CVE-2024-32444，CVSS评分为9.8。漏洞源于主题的inspiry_ajax_register函数允许用户注册新账户，但未正确验证授权或实现随机数验证。如果网站启用了注册功能，攻击者可通过特制的HTTP请求将自己的角色设为“管理员”，从而绕过安全检查。一旦注册为管理员，攻击者即可完全控制WordPress站点，包括篡改内容、植入脚本以及访问用户或其他敏感数据。 第二个漏洞影响Easy Real Estate插件，是通过社交登录实现的另一种未经身份验证的权限提升问题，编号为CVE-2024-32555，CVSS评分为9.8。该漏洞源于插件的社交登录功能，允许用户通过电子邮件地址登录，但未验证该地址是否属于请求者。如果攻击者知道管理员的电子邮件地址，则无需密码即可登录。成功利用该漏洞的后果与CVE-2024-32444类似。 由于InspiryThemes尚未发布修复补丁，建议使用上述主题或插件的网站所有者和管理员立即禁用它们。同时，限制用户注册功能可以防止未经授权的账户创建，从而降低漏洞被利用的风险。 鉴于这些问题已被公开，威胁行为者可能会尝试扫描易受攻击的网站，因此快速响应以减轻威胁至关重要。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织正在利用Cambium Networks cnPilot路由器中的未披露零日漏洞，部署一种名为AIRASHI的AISURU僵尸网络变种，用于发动分布式拒绝服务（DDoS）攻击。 据奇安信XLab披露，这些攻击自2024年6月起就已利用该漏洞实施。为防止漏洞被进一步滥用，相关技术细节暂未公开。除此之外，该僵尸网络还利用了多个已知漏洞，包括CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、CVE-2022-3573、CVE-2022-40005、CVE-2022-44149、CVE-2023-28771，以及针对AVTECH摄像机、LILIN DVR设备和深圳天网科技设备的漏洞。 奇安信XLab指出，“AIRASHI的运营者在Telegram上发布了DDoS攻击能力测试结果。从历史数据来看，AIRASHI僵尸网络的攻击能力稳定在1-3 Tbps之间。” 大部分受感染设备位于巴西、俄罗斯、越南和印度尼西亚，而主要攻击目标包括中国、美国、波兰和俄罗斯。 AIRASHI是AISURU（又称NAKOTNE）僵尸网络的变种。2024年8月，奇安信首次检测到该僵尸网络在Steam平台发起DDoS攻击，时间与游戏《黑神话：悟空》上线相吻合。 AIRASHI僵尸网络持续更新，其中部分变种还整合了代理功能，显示威胁组织意图将其服务范围扩展至DDoS攻击之外。据悉，AISURU在2024年9月一度暂停活动，随后于10月卷土重来，并在11月底再次更新功能，此时已更名为AIRASHI。 XLab表示，“名为‘kitty’的样本在2024年10月初开始传播。与以往AISURU样本相比，kitty简化了网络协议，并在10月底开始使用SOCKS5代理与C2服务器通信。” AIRASHI至少存在两种版本： AIRASHI-DDoS（2024年10月底首次检测），主要用于DDoS攻击，同时支持任意命令执行和反向Shell访问。 AIRASHI-Proxy（2024年12月初首次检测），是AIRASHI-DDoS的修改版，新增代理功能。 该僵尸网络通过DNS查询不断调整方法获取C2服务器信息，并采用全新网络协议，使用HMAC-SHA256和CHACHA20算法进行通信。此外，AIRASHI-DDoS支持13种消息类型，而AIRASHI-Proxy仅支持5种。 研究显示，黑客持续利用物联网设备漏洞作为初始入侵点，并通过这些设备组建僵尸网络，助推大规模DDoS攻击的实施。 与此同时，奇安信还披露了一种跨平台后门程序alphatronBot，该恶意软件自2023年初起活跃，目标包括中国政府及企业，其利用被感染的Windows和Linux系统组建僵尸网络。此后门程序采用合法的开源点对点（P2P）聊天应用PeerChat与其他感染节点通信。 P2P协议的去中心化特性使得攻击者无需通过单一C2服务器，即可通过任意受感染节点发布命令，从而大幅提高僵尸网络对拆除行动的抵抗力。 “该后门程序内置的700多个P2P网络涵盖80个国家和地区的感染设备，包括MikroTik路由器、海康威视摄像机、VPS服务器、DLink路由器和CPE设备等。”奇安信指出。 此外，XLab去年还详细分析了一种名为DarkCracks的复杂隐秘载荷投递框架，该框架利用受感染的GLPI和WordPress网站充当下载器和C2服务器。 “其主要目标是收集受感染设备的敏感信息，维持长期访问，并利用受感染的高性能设备作为中继节点控制其他设备或分发恶意载荷，从而有效掩盖攻击者的痕迹。”XLab补充道，“被感染的系统涉及多个国家的重要基础设施，包括学校网站、公共交通系统和监狱访客系统。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁追踪者关注到一场新行动，目标直指Fortinet FortiGate防火墙设备，其管理接口暴露在公共互联网上。 “该行动涉及在防火墙管理接口上进行未授权的管理员登录、创建新账户、通过这些账户进行SSL VPN认证，以及进行各种其他配置更改。”网络安全公司Arctic Wolf在上周发布的分析中表示。 据信，恶意活动始于2024年11月中旬，未知威胁行为者通过未授权访问受影响防火墙的管理接口来更改配置，并使用DCSync提取凭证。 目前尚不清楚确切的初始访问向量，但鉴于受影响组织和固件版本的“压缩时间线”，已“高度确信”这很可能是利用零日漏洞所致。 受影响设备的固件版本介于2024年2月和10月发布的7.0.14和7.0.16之间。 该行动已观察到从2024年11月16日左右开始的四个不同攻击阶段，允许攻击者从漏洞扫描和侦察进展到配置更改和横向移动。 “与合法防火墙活动相比，这些活动的突出之处在于，它们广泛使用了来自少数不寻常IP地址的jsconsole接口。”Arctic Wolf研究人员表示。 “鉴于入侵之间的手法和基础设施存在细微差异，可能有多个人或团体参与了此次行动，但jsconsole的使用是贯穿始终的共同线索。” 简而言之，这些数字入侵涉及攻击者登录防火墙管理接口以进行配置更改，包括将输出设置从“标准”更改为“更多”，作为早期侦察工作的一部分，然后在2024年12月初进行更广泛的更改，创建新的超级管理员账户。 据说这些新创建的超级管理员账户随后被用来为每台设备设置多达六个新的本地用户账户，并将它们添加到受害者组织先前为SSL VPN访问创建的现有组中。在其他事件中，现有账户被劫持并添加到具有VPN访问权限的组中。 “还观察到威胁行为者创建新的SSL VPN门户，并直接向其中添加用户账户。”Arctic Wolf指出。“在进行必要更改后，威胁行为者与受影响设备建立了SSL VPN隧道。所有隧道的客户端IP地址均来自少数几家VPS托管提供商。” 该行动以对手利用SSL VPN访问权限，通过称为DCSync的技术提取凭证以进行横向移动告终。不过，目前尚无法了解他们的最终目标，因为他们在攻击进入下一阶段之前就被清除了。 为缓解此类风险，至关重要的是，组织不要将防火墙管理接口暴露在互联网上，并限制对可信用户的访问。 网络安全 “此次行动中的受害者并不局限于任何特定行业或组织规模。”该公司表示。“受害者组织概况的多样性，加上自动化登录/注销事件的出现，表明此次行动的针对性是机会主义的，而非有意识、有方法地针对。” Fortinet确认新零日漏洞 Fortinet已发布有关FortiOS和FortiProxy中新的关键认证绕过漏洞的详细信息（CVE-2024-55591，CVSS评分：9.6），该公司表示该漏洞被用来劫持防火墙和入侵企业网络。 “一个认证绕过使用替代路径或通道的漏洞[CWE-288]，影响FortiOS和FortiProxy，可能允许远程攻击者通过向Node.js websocket模块发送精心构造的请求来获得超级管理员权限。”该公司在2025年1月14日发布的咨询中表示。 该缺陷影响以下版本： FortiOS 7.0.0至7.0.16（升级至7.0.17或更高版本） FortiProxy 7.0.0至7.0.19（升级至7.0.20或更高版本），以及 FortiProxy 7.2.0至7.2.12（升级至7.2.13或更高版本） 它还表示，该漏洞已被未知威胁行为者利用来创建管理员和本地用户账户、设置新的用户组或把新创建的本地用户添加到现有SSL VPN用户组，并更改防火墙策略，这与Arctic Wolf的发现相呼应。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文