美国网络安全机构 CISA 周二警告称，多款 Zyxel 防火墙设备中的路径遍历漏洞已被利用。 该漏洞编号为 CVE-2024-11667（CVSS 评分为 7.5），是一个高严重性漏洞，影响 Zyxel ATP、USG FLEX 和 USG20(W)-VPN 系列设备的 Web 管理界面。 NIST 公告称，成功利用此安全漏洞可能允许攻击者使用精心设计的 URL 下载或上传文件。 Qualys周二警告称： “攻击者可能利用该漏洞获得系统的未经授权访问、窃取凭证并创建后门 VPN 连接。” 本地模式下的 Zyxel ATP 和 USG FLEX 系列防火墙以及运行 ZLD 固件版本 4.32 至 5.38 且启用了远程管理或 SSL VPN 的设备受到影响。 11 月 27 日，感恩节前夕，Zyxel 更新了针对之前披露的针对其防火墙的攻击的公告，警告称该漏洞正在被广泛利用。 更新后的公告称：“我们确认，2024 年 9 月 3 日发布的防火墙固件版本 5.39 及更高版本不受该漏洞影响，因为我们已经解决了所有已知漏洞，包括 CVE-2024-11667，并在版本 5.39 中执行了一系列安全增强功能。 ” 该通报引用了 Sekoia 的一份报告（https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/），该报告介绍了 Helldown 勒索软件攻击中利用另一个 Zyxel 防火墙漏洞（编号为 CVE-2024-42057）的情况。针对 CVE-2024-42057 和其他六个安全缺陷的补丁已于 9 月 3 日发布。 Zyxel 在其更新的公告中警告称：“为了保护设备，我们强烈建议用户更新固件并更改管理员密码。这些更新对于降低威胁行为者利用 Zyxel 安全设备中先前披露的漏洞的风险至关重要。” 11 月 22 日，德国计算机应急响应小组 (CERT-Bund) 透露，一些组织在应用 Zyxel 的补丁后，没有更改管理密码或检查新创建的账户，就受到了攻击。 CERT-Bund 的公告(https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032.pdf) 中写道：“进一步的调查显示，仅更新受影响的设备不足以永久防止入侵。相反，攻击者可以使用创建的账户来侵入网络。” 12 月 3 日，CISA 将 CVE-2024-11667 添加到其已知利用漏洞(KEV) 目录中，敦促联邦机构在 12 月 24 日之前应用可用的补丁，以符合具有约束力的操作指令 (BOD) 22-01。 该机构还警告称，Proself 电子邮件安全和数据清理设备漏洞 CVE-2023-45727 和开源应用程序 ProjectSend 中的漏洞CVE-2024-11680 正受到野蛮利用。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XBzixhmkXunI4B1c2QgJOA 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）扩充了其已知漏洞（KEV）目录，突出强调了目前在野外被利用的五个安全漏洞。这些漏洞横跨微软、思科、Atlassian 和 Metabase 产品，对处理敏感数据或暴露于公共网络的系统构成重大风险。 1. CVE-2024-43451 (CVSS 6.5)： NTLM 哈希值泄露漏洞 该漏洞因其触发简单而特别令人担忧。据微软称，与恶意文件的最小交互（如单击或右键单击操作）可能会将用户的 NTLMv2 哈希值暴露给远程攻击者。NTLM 哈希值是用户的加密凭据，攻击者可以通过它验证被攻击用户的身份，从而访问敏感资源。 2. CVE-2024-49039 (CVSS 8.8)： Windows 任务调度程序权限提升漏洞 由 Google 的威胁分析小组发现，此漏洞允许攻击者执行特制的应用程序，将权限从低完整性 AppContainer 环境提升到中完整性级别。这种权限升级可使攻击者运行通常仅限于高权限账户的 RPC 功能，从而在未经授权的情况下访问原本受保护的资源。 3. CVE-2021-41277 (CVSS 10)： Metabase GeoJSON API 本地文件包含漏洞 Metabase 是一个广泛使用的开源商业智能平台，它隐藏着一个关键漏洞，允许攻击者利用 GeoJSON API 进行本地文件包含。该漏洞可导致未经授权的数据访问和系统泄露，突出表明了及时进行软件更新和安全配置实践的重要性。 4. CVE-2014-2120： Cisco ASA WebVPN 跨站脚本漏洞 该漏洞存在于 Cisco Adaptive Security Appliance (ASA) 软件的 WebVPN 登录页面中，攻击者可利用该漏洞注入恶意脚本，从而可能泄露用户凭据并为会话劫持提供便利。这一遗留漏洞的持续存在强调了全面漏洞管理计划的重要性，以及解决所有系统漏洞（无论其使用年限长短）的必要性。 5. CVE-2021-26086 (CVSS 5.3)： Atlassian Jira 服务器和数据中心路径遍历漏洞 Atlassian Jira Server and Data Center 存在此漏洞，攻击者可利用路径遍历漏洞，在未经授权的情况下访问敏感文件。该漏洞凸显了安全编码实践的重要性，以及进行持续安全测试以识别和修复软件应用程序漏洞的必要性。 减轻威胁 CISA 要求联邦经济与商业委员会各机构在 2024 年 12 月 3 日前修补这些漏洞，这是对各行业组织优先进行漏洞管理的重要提醒。     转自安全客，原文链接：https://www.anquanke.com/post/id/301822 封面来源于网络，如有侵权请联系删除  

美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。 美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞： CVE-2024-43047 高通多个芯片组使用后免费漏洞 CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞 CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞 高通公司本周解决了其产品中的 20 个漏洞，其中包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “使用后免费”（use-after-free）错误。 该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。 “目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配，则可能导致免费使用（UAF）漏洞。作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。” 谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。 谷歌威胁分析小组称，CVE-2024-43047 可能正受到有限的、有针对性的利用，Wang 也证实了野外活动。 研究人员还没有公布利用 CVE-2024-43047 的攻击细节，但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 关于CISA添加到KEV目录中的微软漏洞，IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。 微软证实，这两个问题正在被恶意利用。 CVE-2024-43572 (CVSS score: 7.8) – 微软管理控制台远端执行程式码漏洞： 如果用户加载恶意的 MMC snap-in，Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限，但管理员应立即应用更新以减轻潜在危害。 CVE-2024-43573（CVSS 得分：6.5）- Windows MSHTML 平台欺骗漏洞： 尽管该漏洞被评为中度，但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善，因此建议及时测试和部署此更新。 根据约束性操作指令 (BOD) 22-01： FCEB 机构必须在规定日期前处理已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私营机构审查目录并解决其基础设施中的漏洞。 CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300813 封面来源于网络，如有侵权请联系删除

近日，商业智能/数据分析软件厂商 Sisense 遭遇了数据泄露事件， CISA 敦促该公司的客户尽快重置信息，以尽量避免其用于访问 Sisense 服务的凭证和机密被黑客利用。目前，此次安全事件的细节并未进一步公布。 网络安全记者Brian Krebs分享了该公司首席信息安全官的一则通知，通知称该公司已经注意到某些 Sisense 公司信息已在受限访问的服务器上可用，正常情况下这些信息在互联网上通常是不可用的。目前公司正在外部网络安全专家的帮助下调查这起事件，并敦促客户尽快更换他们在 Sisense 应用程序中使用的任何凭证。 美国网络安全机构表示：CISA正在积极与企业合作伙伴通力应对这一事件，特别是与受影响的关键基础设施部门组织有关的事件。同时，该机构还要求Sisense客户调查并向CISA报告任何涉及可能暴露于或用于访问Sisense服务的凭证的可疑活动。 Sisense 的客户包括纳斯达克、加拿大航空公司、Hive 等公司。根据被泄露的信息，这有可能是一件大事。如果客户的凭证/机密被泄露和滥用，威胁者可能已经获得了这些组织的企业数据。 上周五（4 月 12 日），Sisense CISO Sangram Dash向公司客户发出了另一份通知，就哪些密码、令牌、证书、参数等必须更换、重置或轮换提出了更具体的建议。 Sisense 客户通知 DEF CON 安全主管、CTI 联盟创始人 Marc Rogers 指出，Sisense 的性质决定了他们需要访问客户的机密数据源。他们可以直接访问 JDBC 连接、SSH 以及 Salesforce 等 SaaS 平台。这也意味着他们拥有令牌、凭据、证书，而且经常需要升级。 此次被窃取的数据包含所有这些令牌、凭证和访问配置。这对许多 Sisense 客户来说是很糟糕的事情，也是极其严重的事件。 Sisense 目前尚未证实此次事件发生的原因，但有几位内部人士告诉 Brian Krebs，此次泄露事件可能是因为攻击者获得了对该公司 Gitlab 代码存储库的访问权限，在那里他们找到了允许他们访问该公司的 Amazon S3 存储桶的令牌或凭证。   转自Freebuf，原文链接：https://www.freebuf.com/news/397912.html 封面来源于网络，如有侵权请联系删除

3月25日（本周一），网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了 “安全设计 “警报。他们将 SQL 注入漏洞（SQLi）归入”不可饶恕的 “一类漏洞。 警报指出：尽管在过去二十年中，人们普遍了解并记录了 SQLi 漏洞，而且也有了有效的缓解措施，但软件制造商仍在继续开发存在这一缺陷的产品，这使许多客户面临风险。 在 SQL 注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。 因与目标数据库交互的 web 应用或软件中的输入验证和清理不当，这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管，CISA 和 FBI 建议使用实现写好语句的参数化査询，阻止SQL注入漏洞。 这种方法将SQL代码与用户数据加以区分，使得恶意输入不可能被解释为 SQL语句。与输入清理技术相比，参数化査询时设计安全方法的更好选择，因为前者可被绕过且难以大规模执行。 SQL注入漏洞在MITRE 于2021年和2022年发布的“前25个最危险的漏洞”中排行第三，仅次于越界写入漏洞和跨站脚本攻击。越界写入漏洞是一种软件漏洞，会导致程序在分配的内存区域边界之外写入。端点崩溃，或者执行任意代码等后果。威胁行为者通常通过写入比分配的内存区域的大小更大的数据或将数据写入内存区域内的错误位置来滥用此漏洞。 CISA 和 FBI 指出，”如果他们发现代码存在漏洞，高管们应当确保所在组织机构的软件开发人员立即开始执行缓解措施，从所有当前和未来软件产品中消除整个缺陷类型。在设计阶段直到开发、发布和更新阶段集成该缓解措施，可以缓解客户的网络安全负担以及公众所面临的风险。 几十年来，软件行业一直知道如何大规模消除 SQLi 缺陷。然而，威胁分子去年就利用了开发商 Progress 的 MOVEit 文件传输软件中的这样一个漏洞，造成了毁灭性的后果。 去年5月， Clop 勒索团伙利用了 Progress MOVEit Transfer文件传输管理 app 中的一个 SQLi 零日漏洞，该漏洞影响全球数千家组织机构，随后 CISA 和 FBI 立即发布了联合告警。尽管此案的受害者众多，但Coveware认为仅有少部分受害者可能会支付赎金。即便如此，据估计该勒索团伙可能获得的赎金仍在750万到1亿美元之间。 据 CISA 称，SQLi 攻击之所以能够得逞，是因为开发人员没有将用户提供的内容视为潜在的恶意内容。它不仅会导致敏感数据被盗，还会使坏人篡改、删除数据库中的信息或使其不可用。 警报敦促技术制造商遵循三项指导原则： 通过执行正式的代码审查并使用“带有参数化查询的预制语句”作为标准做法，对客户安全结果负责 通过确保 CVE 记录的正确性和完整性、记录漏洞的根本原因并努力消除整个类别的漏洞，实现“彻底”的透明度和问责制 将业务目标重新调整为安全设计软件开发，包括进行正确的投资和建立激励结构。这最终有助于降低财务和生产力成本以及复杂性 CISA 和 FBI 督促技术制造企业管理层对所在组织机构的软件提起正式审计并执行缓解措施，在软件交付前消除SQL注入(SQLi) 漏洞。   转自会freebuf，原文链接：https://www.freebuf.com/news/396035.html 封面来源于网络，如有侵权请联系删除

美国政府网络安全机构 CISA 采取前所未有的举措，要求联邦机构在 48 小时内断开 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的所有实例。 该机构在一份新的紧急指令中表示：“尽快且不晚于 2024 年 2 月 2 日星期五晚上 11:59，断开所有 Ivanti Connect Secure 和 Ivanti Policy Secure 解决方案产品实例与机构网络的连接”，该指令加大了压力，帮助防御者缓解至少三个在野外被积极利用的 Ivanti 安全漏洞。 CISA 正在推动联邦民事行政部门 (FCEB) 机构“继续对连接到或最近连接到受影响的 Ivanti 设备的任何系统进行威胁搜寻”，并监控可能暴露的身份验证或身份管理服务。 该机构表示，联邦网络管理员还必须在 48 小时内最大程度地将系统与任何企业资源隔离，并继续审核特权级别访问帐户。 为了使产品重新投入使用，CISA 表示，各机构需要导出设备配置设置，按照 Ivanti 的说明完成出厂重置，并重建设备并升级到完全修补的软件版本。 在努力满足自己的补丁交付时间表后，Ivanti 于周三开始按交错时间表推出修复程序，并披露了面向企业的 VPN 设备中的两个新安全缺陷。 Ivanti 记录了四个独立的漏洞风险： CVE-2023-46805——Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 Web组件中存在身份验证绕过漏洞，允许远程攻击者绕过控制检查来访问受限资源。CVSS 严重性评分 8.2/10。已确认被利用为0Day漏洞。 CVE-2024-21887 ——Ivanti Connect Secure（9.x、22.x）和Ivanti Policy Secure Web 组件中的命令注入漏洞允许经过身份验证的管理员发送特制请求并在设备上执行任意命令。该漏洞可通过互联网被利用。CVSS 评分9.1/10。已确认被利用。 CVE-2024-21888 ——Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure（9.x、22.x）的Web组件中存在权限提升漏洞，允许用户将权限提升至行政人员。CVSS评分 8.8/10。 CVE-2024-21893 ——Ivanti Connect Secure（9.x、22.x）、Ivanti Policy Secure（9.x、22.x）和 Ivanti     Neurons for ZTA 的 SAML 组件中存在服务器端请求伪造漏洞，允许攻击者无需身份验证即可访问某些受限资源。CVSS 严重性评分8.2/10。已确认有针对性的利用。 三周前，Volexity 首次发现了对这些问题的利用，并警告说，某国背景的 APT 黑客团队已经建立了一条漏洞链来侵入美国组织。 Mandiant 的恶意软件猎人报告通过自动化方法进行的“广泛的利用活动”，并指出与某国有关的黑客早在 2023 年 12 月 3 日就已经发现了这些漏洞。《安全周刊》消息人士称，网络犯罪组织已利用公开的漏洞部署加密器和后门。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/b5IKSQpozAIokvnp_P6pjg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，CISA 近期警告称，一个影响苹果 iPhone、Mac、 TVs 和手表的内核安全漏洞正在被威胁攻击者积极利用。 据悉，漏洞被追踪为 CVE-2022-48618，由苹果公司的安全研究人员发现并上报，但令人疑惑的是直到2024 年 1 月 9 日才在 2022 年 12 月发布的安全公告更新中披露。目前，苹果公司尚未透露 CVE-2022-48618 漏洞是否在两年前首次发布安全公告时被悄悄修补过。 苹果公司方面透露，具有任意“读写”能力的威胁攻击者能够利用 CVE-2022-48618 漏洞绕过指针验证，该安全功能旨在阻止试图利用内存损坏漏洞的网络攻击，在 iOS 15.7.1 之前发布的 iOS 版本中，CVE-2022-48618 漏洞可能已经被利用了。 受 CVE-2022-48618 漏洞影响的苹果设备非常多，主要包括以下几种型号： iPhone 8 及更新机型、iPad Pro（所有机型）、iPad Air 第三代及更新机型、iPad 第五代及更新机型和 iPad mini 第五代及更新机型； 运行 macOS Ventura 的 Mac； Apple TV 4K、Apple TV 4K（第二代及更新机型）和 Apple TV HD； Apple Watch Series 4 及更高版本。 苹果公司改进了对运行 iOS 16.2 或更高版本、iPadOS 16.2 或更晚版本、macOS Ventura 或更新版本、tvOS 16.2 或更低版本以及 watchOS 9.2 或更高级别的设备检查，解决了 CVE-2022-48618 漏洞问题。 美国勒令联邦机构在 2 月 21 日前打补丁 虽然苹果公司尚未分享有关 CVE-2022-48618 漏洞在野外是否被利用的更多细节，但 CISA 已将该漏洞添加到其已知漏洞目录中，并且命令美国联邦机构按照 2021 年 11 月发布的约束性操作指令 (BOD 22-01) 的要求，在 2 月 21 日前修补 CVE-2022-48618 漏洞。 近期，苹果漏洞频出。上周，苹果公司发布了安全更新，修补了今年首个在网络攻击中被利用的零日漏洞（CVE-2024-23222）。该漏洞是一个 WebKit 混乱问题，威胁攻击者可利用其在有漏洞的 iPhone、Mac 和苹果电视上执行代码。 同一天，苹果公司还向旧版 iPhone 和 iPad 机型回传了针对另外两个 WebKit 零日漏洞的安全更新补丁，这两个漏洞分别被追踪为 CVE-2023-42916 和 CVE-2023-42917，已经在 11 月份为较新的设备打上更新补丁了。   转自Freebuf，原文链接：https://www.freebuf.com/news/391136.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在周四将一个已经修复的关键漏洞添加到其已知被利用漏洞（KEV）目录中，该漏洞影响了 Ivanti Endpoint Manager Mobile（EPMM）和 MobileIron Core ，并正在被广泛利用。 有问题的漏洞是 CVE-2023-35082（CVSS 分数：9.8），这是一个身份验证绕过漏洞，是对同一解决方案中另一个漏洞 CVE-2023-35078（CVSS 分数：10.0）的修补绕过。 Ivanti 在 2023 年 8 月指出：“如果此漏洞被利用，未经授权的远程（面向互联网）黑客能够潜在地访问用户的个人身份信息，并对服务器进行有限的更改。” 漏洞影响到所有版本的 Ivanti Endpoint Manager Mobile（EPMM），包括 11.10、11.9 和 11.8，还有 MobileIron Core 的 11.7 及以下版本。 发现并报告该漏洞的网络安全公司 Rapid7 表示，它可以与 CVE-2023-35081 链接，以允许黑客将恶意 Web Shell 文件写入设备。 目前还没有关于该漏洞如何在实际攻击中被武器化的详细信息。建议联邦机构在 2024 年 2 月 8 日之前应用供应商提供的修复程序。 Ivanti Connect Secure （ICS）虚拟专用网络（VPN）设备中的另外两个零日漏洞（CVE-2023-46805 和 CVE-2024-21887）也遭到大规模利用， 用于投放 Web Shell 和设置被动后门，该公司预计将在下周发布更新。 Ivanti 在一份咨询中表示：“我们已经观察到黑客瞄准系统的配置和运行缓存，其中包含对 VPN 操作至关重要的秘密。” “虽然我们没有在每个实例中观察到这种情况，但出于谨慎起见，Ivanti 建议您在重建后更换这些秘密。” 本周早些时候，Volexity 透露已经能够找到全球 1,700 多种设备遭到入侵的证据。虽然最初的攻击与一名疑似中国黑客（代号 UTA0178）有关，但后来还有其他黑客加入了攻击行列。 Assetnote 对这两个相关漏洞进行了深入的逆向工程分析，发现了一个额外的端点（”/api/v1/totp/user-backup-code”），通过该端点，身份验证绕过漏洞（CVE-2023-46805）可在旧版本的 ICS 上被滥用并获得反向 shell。 安全研究人员 Shubham Shah 和 Dylan Pindur 将其描述为“由于相对简单的安全错误而导致安全 VPN 设备暴露于大规模利用的另一个例子”。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站披露，CISA 将 Progress MOVEit Transfer 管理文件传输（MFT）解决方案中一个安全漏洞添加到其已知被利用漏洞列表中，并命令美国联邦机构在 6 月 23 日前修补其系统。 该关键安全漏洞被追踪为 CVE-2023-34362，是一个 SQL 注入漏洞，未经身份验证的远程攻击者能够利用其访问 MOVEit Transfer 的数据库并执行任意代码。 根据具有约束力的操作指令（BOD 22-01），一旦将某个安全漏洞添加到 CISA 已知被利用漏洞目录中，联邦民事行政分支机构（FCEB）必须修补该漏洞。值得一提的是，虽然 BOD 22-01 主要针对联邦机构，但强烈建议私营公司同样优先保护其系统免受 MOVEit 传输漏洞的影响。 Progress 建议所有客户给他们的 MOVEit Transfer 实例打补丁，以阻止潜在的安全风险，对于那些不能立即应用安全更新的客户也可以禁用所有通往其 MOVEit Transfer 环境的 HTTP 和 HTTPS 流量。 受影响的 MOVEit Transfer 版本和固定版本列表如下。 目前，互联网上有超过 2500 台 MOVEit 传输服务器，其中大部分位于美国。据 Mandiant 公司首席技术官 Charles Carmakal 称至少从 5 月 27 日开始，网络攻击者就一直在利用 CVE-2023-34362 漏洞，这一时间比 Progress 公司公开披露并测试脆弱系统安全补丁的节点早四天。 Carmakal 告诉 BleepingComputer，在过去几天发生多起大规模漏洞利用和数据盗窃事件，Mandiant 还不清楚攻击者的犯罪动机，企业应该为数据泄露和潜在的勒索做好心里准备。 网络攻击者能够利用漏洞进行多种攻击 BleepingComputer 获悉，在新发现的网络外壳（Mandiant 称之为 LemurLoot）的帮助下，攻击者已经攻破多个组织，盗取了大量数据。LemurLoot 能够帮助攻击者获取包括可用于从受害者的 Azure Blob Storage 容器中渗出数据登录凭证等在内的多个 Azure Blob Storage 账户信息。 Mandiant 还发现针对 MOVEit 传输服务器的攻击与 FIN11威胁团伙之间可能存在联系，该组织以在其他文件传输系统中利用零日漏洞后，通过 Clop 勒索软件的泄漏网站进行数据盗窃勒索而闻名。 截至目前，由于攻击者还没有开始勒索受害者，对于他们的详细身份信息尚不可知。此外，对于 CVE-2023-34362 漏洞的利用与 2020 年 12 月对 Accelion FTA 服务器的零日漏洞利用和 2023 年 1 月对 GoAnywhere MFT 零日漏洞大规模利用高度相似。 GoAnywhere MFT 和 Accelion FTA 被臭名昭著的 Clop 勒索软件团伙盯上后，被窃取了大量数据并成为了勒索攻击受害者。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368491.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，CISA 发布警告称上周有一个打补丁的零日漏洞（CVE-2023-2868）被网络攻击者用来入侵 Barracuda电子邮件安全网关（ESG）设备。目前，美国网络安全局已将该漏洞添加到其野外利用的安全漏洞目录中。 Barracuda 已经发布安全补丁 Barracuda 的安全解决方案在全球范围内有很大的市场份额，约 20 多万个实体组织使用，其中包括三星、三菱、卡夫亨氏和达美航空等知名公司。 Barracuda 指出根据调查结果显示，内部已经确定 CVE-2023-2868 漏洞可导致网络攻击者对电子邮件网关设备子集的未经授权访问，Barracuda 已通过周末发布的两个安全补丁修补了有该漏洞的设备。 值得一提的是，CISA 要求联邦民用行政部门机构（FCEB）机构必须按照 BOD 22-01 约束性操作指令的命令修补或缓解（CVE-2023-2868）漏洞。 受漏洞影响的客户应尽快检查其网络是否被破坏 Barracuda 公司表示对受感染的设备调查仅限于其 ESG 产品，并建议受影响的客户尽快审查其环境，以确保攻击者不会访问其网络上的其他它设备，联邦机构必须重视 CISA 的警报，立刻检查其网络是否有入侵迹象。 此外，尽管只需要美国联邦机构来修复添加到 CISA 已知漏洞（KEV）列表中的漏洞，但也强烈建议私营公司优先修复这些漏洞。CISA 强调这些漏洞是恶意网络行为者的常见攻击载体，并对联邦企业构成重大风险。 近期，CISA 在其漏洞列表中增加多个安全漏洞。当地时间周一，CISA 警告联邦机构要保护其环境中的iPhone 和 Mac 免受三个 iOS 和 macOS 零日攻击，其中一个由 Google TAG 和 Amnesty International 安全研究人员报告，并可能在国家支持的间谍软件攻击中被利用。 一周前，CISA 还在其 KEV 目录中增加了一个三星 ASLR 绕过漏洞，该漏洞作为利用链的一部分被网络攻击滥用，在运行Android 11、12 和 13 的三星移动设备上部署间谍软件套件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367823.html 封面来源于网络，如有侵权请联系删除