袒露的环境变量文件导致云环境遭受大规模勒索

首页 > 宁静研究 > 宁静通报 > 宁静简讯

袒露的环境变量文件导致云环境遭受大规模勒索

宣布时间 2024-08-20

1. 袒露的环境变量文件导致云环境遭受大规模勒索

8月16日，一场针对多个组织的大规模勒索活动利用了可果然访问的环境变量文件（.env），这些文件包罗云和社交媒体应用法式的敏感凭据。Palo Alto Networks Unit 42在陈诉中指出，此次攻击袒露了环境变量、恒久凭证使用及最小特权架构缺失等宁静漏洞。攻击者通过受熏染的Amazon Web Services (AWS)环境设置了基础设施，扫描凌驾2.3亿个目标以收集敏感数据。他们从110,000个域名的.env文件中提取了90,000多个唯一变量，包罗云服务和社交媒体账户凭据。攻击者未加密数据即窃取，并在云存储容器中放置勒索信。利用AWS IAM权限，攻击者扩大立足点，创建新Lambda函数进行互联网范围扫描，寻找袒露的环境文件。乐成获取凭据后，攻击者将其存储在公共S3存储桶中。特别地，他们关注含有Mailgun凭据的.env文件，企图发送网络钓鱼邮件。尽管实验非法加密货币挖掘失败，但经济动机明显。攻击者使用VPN和TOR隐藏身份，Unit 42检测到乌克兰和摩洛哥的IP地址与活动相关。此次活动显示了攻击者利用自动化技术在云环境中迅速展开行动的高明技能。

https://thehackernews.com/2024/08/attackers-exploit-public-env-files-to.html

2. WPS Office漏洞CVE-2024-7262遭利用，危及2亿用户

8月16日，WPS Office是一款拥有凌驾2亿用户的办公套件，近期曝出两个高危漏洞CVE-2024-7262和CVE-2024-7263，CVSS评分高达9.3，揭示了极高的宁静风险和易被利用性。这两个漏洞均位于其promecefpluginhost.exe组件中，通过不充实的路径验证机制，使攻击者能够诱导用户打开特制电子表格文档，进而加载并执行任意Windows库。CVE-2024-7262影响12.2.0.13110至12.2.0.13489版本，允许远程代码执行，可能引发数据泄露、勒索软件攻击或系统深度入侵。尽管金山毒霸宣布了12.2.0.16909版本作为CVE-2024-7262的补丁，但随后又发现了CVE-2024-7263，该漏洞存在于12.2.0.17153以下版本，由于未彻底清理特别参数，使得原补丁失效，再次袒露宁静风险。尤为严重的是，CVE-2024-7262已被恶意利用，通过分发伪装成合法文档的恶意文件，攻击者正积极展开攻击。因此，强烈建议所有WPS Office用户立即升级至12.2.0.17153或更高版本，以防范潜在的宁静威胁。

https://securityonline.info/wps-office-vulnerabilities-expose-200-million-users-cve-2024-7262-exploited-in-the-wild/

3. Ailurophile：源自越南的定制化信息窃取恶意软件揭秘

8月19日，G DATA网络宁静团队揭露了一款名为“Ailurophile”的新型PHP基信息窃取恶意软件，疑似源自越南并以订阅模式销售。Ailurophile配备了一个功效富厚的网络面板，允许买家高度自界说恶意软件，包罗命名、图标设置、Telegram通知配置，甚至使软件更难被检测、绕过Windows Defender防御，并从远程URL部署特别恶意负载。其强大的数据窃取能力聚焦于Chrome、Edge等主流浏览器，能窃取包罗自动填凑数据、cookies、密码、浏览历史、信用卡信息及加密货币钱包数据在内的敏感信息。Ailurophile通过“ExeOutput”和“BoxedApp”技术封装和虚拟化，使其在内存中运行，增加了隐蔽性和逃避检测的能力。恶意软件由多个PHP脚本组成，各司其职，从收集系统信息、终止竞争进程，到精准提取并上传用户数据，每个脚本都饰演着要害角色。特别是其针对特定文件和要害字的数据搜索功效，进一步拓宽了信息窃取范围。G DATA指出，Ailurophile正处于活跃开发阶段，不停引入新功效与革新，通过恶意软件破解等方式流传，对网络宁静组成连续威胁。

https://securityonline.info/new-infostealer-ailurophile-discovered-poses-significant-risk-to-user-privacy/

4. 丰田遭黑客入侵，240GB数据档案泄露

8月19日，一名黑客在论坛上果然了从丰田系统非法获取的240GB数据档案，确认丰田遭遇了网络宁静入侵。丰田官方回应称已知晓此事，并强调问题范围有限，非系统性问题。公司正积极与受影响用户相同，提供须要援助，但具体细节如漏洞发现时间、攻击路径及受影响的用户数量等信息尚未对外宣布。泄露被盗数据的威胁者ZeroSevenGroup自称入侵了丰田位于美国的分支机构，窃取了包罗员工信息、客户信息、合同及财政记录在内的海量数据。他们还声称使用了开源工具ADRecon收集网络基础设施情报及凭证，进一步展示了从Active Directory中提取信息的能力。该组织不仅分享了数据内容概览，如联系人、计划、员工照片等，还提供了带密码的AD-Recon结果，供人随意查阅。值得注意的是，尽管丰田未明确泄密事件的具体日期，但技术分析指出相关文件至少在2022年12月25日已被创建或获取，体现攻击者可能已渗透至存储数据的备份服务器系统。

https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-stolen-data-leaks-on-hacking-forum/

5. Jenkins CLI漏洞CVE-2024-23897被CISA列为已知利用风险

8月19日，美国网络宁静和基础设施宁静局（CISA）已将Jenkins命令行界面（CLI）的一项严重路径遍历漏洞（CVE-2024-23897，CVSS评分高达9.8）纳入其已知利用漏洞（KEV）目录，凸显了该漏洞的紧急性与严重性。Jenkins，作为广受欢迎的开源自动化服务器，维护着全球数十万安装实例，用户超百万。近期披露的CVE-2024-23897漏洞允许攻击者通过CLI利用默认启用的文件内容扩展功效，读取Jenkins控制器上的任意文件，甚至可能执行远程代码，对系统宁静组成重大威胁。该漏洞源于Jenkins对CLI命令参数的处置方式，特别是args4j库中的“expandAtFiles”功效，未能在较新版本中被有效禁用。拥有“Overall/Read”权限的攻击者能无限制地读取文件，而无此权限者也能读取前三行内容，包罗可能存储敏感信息的加密密钥文件。多个研究员已宣布看法验证（PoC）漏洞，警示该漏洞可能遭到大规模利用，Shodan上的查询结果显示超75,000个Jenkins实例直接袒露于互联网，风险极高。为应对此威胁，CISA已向联邦机构发出指令，要求在2024年9月9日前修复此漏洞。

https://securityaffairs.com/167267/hacking/cisa-adds-jenkins-command-line-interface-cli-bug-to-its-known-exploited-vulnerabilities-catalog.html

6. FlightAware配置错误致客户信息泄露

8月19日，航班跟踪服务巨头FlightAware遭遇了一起严重的个人数据泄露事件，据称这是由于公司内部的配置错误所导致。该公司在其官方通知中认可，自2021年1月起，其系统存在宁静隐患，可能泄露了包罗客户姓名、电子邮件、账单与送货地址、IP地址、社交媒体信息、电话号码、出生年份、信用卡尾号、飞机所有权详情、职业信息及账户活动记录等敏感数据。更令人担忧的是，部门客户的社会宁静号码和密码也可能受到影响。FlightAware迅速响应，要求所有潜在受影响的用户重置账户密码，但关于密码的加密情况及是否存在进一步的滥用行为，公司并未在通知中详细说明。此次泄露事件的时间跨度长达三年多，显示出公司在数据宁静管理和监控上的重大疏漏。尽管FlightAware坚称这是内部失误而非外部恶意攻击，但数据的实际利用情况仍不明朗，公司也未能确认是否有第三方非法访问或下载了这些数据。面对公众的质疑和关切，FlightAware发言人保持沉默，未就具体受影响客户数量或进一步的调停措施提供任何信息。

https://techcrunch.com/2024/08/19/flightaware-warns-that-some-customers-info-has-been-exposed-including-social-security-numbers/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究