CISA警告FortiOS严重RCE漏洞正被积极利用

宣布时间 2024-10-11

1. CISA警告FortiOS严重RCE漏洞正被积极利用


10月9日,CISA透露攻击者正在积极利用一个严重的FortiOS远程代码执行(RCE)漏洞(CVE-2024-23113)。该漏洞由fgfmd守护进程接受外部控制的格式字符串作为参数引起,使得未经身份验证的威胁行为者能够在未修补的设备上执行命令或任意代码,且无需用户交互。此漏洞影响FortiOS 7.0及以上版本、FortiPAM 1.0及以上版本、FortiProxy 7.0及以上版本以及FortiWeb 7.4。Fortinet已于二月份披露并修补了该漏洞,并建议删除所有接口对fgfmd守护法式的访问权限作为缓解措施。然而,CISA已将此漏洞添加到其已知被利用漏洞目录中,要求美国联邦机构在10月30日之前�;て渫缟系腇ortiOS设备免受这些正在进行的攻击。网络宁静机构警告称,此类漏洞是恶意网络行为者频繁攻击的媒介,对联邦企业组成重大风险。


https://www.bleepingcomputer.com/news/security/cisa-says-critical-fortinet-rce-flaw-now-exploited-in-attacks/


2. 印度Star Health保险公司遭网络攻击,客户数据疑遭泄露


10月9日,印度最大的健康保险公司之一Star Health and Allied Insurance证实遭受了恶意网络攻击,导致某些数据被未经授权和非法访问,但公司运营未受影响,服务仍在继续。Star Health提供多种保险服务,拥有凌驾1.7亿医疗保险客户。此前,网络犯罪分子声称在网上宣布了客户的健康记录和其他敏感数据,黑客组织在Telegram上创建了聊天机器人,泄露了3100万投保人和凌驾580万份保险索赔的个人数据。Star Health已提起诉讼控告Telegram和Cloudflare,并指出其首席信息宁静官一直在积极配合视察,未发现其有任何不妥行为。此次入侵的细节和黑客如何获取数据仍不清楚,保险公司未透露是否可以确认谁访问了数据以及哪些数据已被访问或窃取。


https://techcrunch.com/2024/10/09/indias-star-health-confirms-data-breach-after-cybercriminals-post-customers-health-data-online/


3. 朝鲜威胁者针对科技求职者推广恶意软件


10月9日,与朝鲜有联系的威胁行为者将目标锁定在科技行业的求职者身上,通过求职平台联系软件开发人员,冒充潜在雇主邀请他们加入在线面试,并试图说服他们下载并安装恶意软件,这是名为“熏染性访谈”的活动的一部门。该活动集群被追踪为CL-STA-0240,涉及已知恶意软件家族BeaverTail和InvisibleFerret的更新版本。第一阶段熏染涉及BeaverTail下载法式和信息窃取法式,该法式专为Windows和Apple macOS平台设计,充当基于Python的InvisibleFerret后门的管道。尽管该活动已被果然披露,但仍有证据表明它仍然活跃。宁静研究员和网络宁静公司详细描述了利用假视频会议应用法式MiroTalk和FreeConference.com渗透到开发人员系统中的攻击链。BeaverTail恶意软件能够窃取浏览器密码、从多个加密货币钱包中收集数据,并下载并执行InvisibleFerret后门,该后门包罗指纹识别、远程控制、键盘记录、数据泄露等功效。Unit 42体现,这次活动可能出于经济动机,因为BeaverTail恶意软件能够窃取13个差异的加密货币钱包,朝鲜威胁者会进行金融犯罪以筹集资金来支持朝鲜政权。


https://thehackernews.com/2024/10/n-korean-hackers-use-fake-interviews-to.html


4. 黑客声称攻击Dr.Web窃取10TB数据,引发网络宁静行业担忧


10月9日,据Cyber Security News报道,一名黑客在黑客论坛DumpForums上声称对俄罗斯著名网络宁静公司Dr.Web进行了攻击,并窃取了高达10TB的数据。黑客声称此次攻击经过精心筹谋,历时数天,乐成渗透到Dr.Web的当地网络,并逐步入侵其服务器和资源,甚至渗透到了其最宁静的基础设施部门。黑客还声称从GitLab服务器、公司邮件服务器、Confluence、Redmine、Jenkins、Mantis系统、RocketChat通信平台等多个要害系统中破解并泄露了数据,并在一个月内未被发现的情况下访问并上传了客户端数据库,可能袒露了Dr.Web用户的敏感信息。然而,Dr.Web官方声明称,尽管其系统资源遭受了有针对性的攻击,但已乐成挫败了破坏其基础设施的企图,用户端产物未受影响。为预防起见,Dr.Web已断开所有资源与网络的连接进行验证,并暂停了病毒库的宣布。若此泄露行为得到证实,将对Dr.Web乃至整个网络宁静行业造成重大攻击,并引发用户对当前�;ご胧┯行缘闹室�。


https://cybersecuritynews.com/dumpforums-10tb-data-dr-web/


5. Akira和Fog勒索软件利用要害的Veeam RCE漏洞


10月10日,勒索软件团伙利用Veeam Backup & Replication (VBR) 服务器上的一个严重宁静漏洞(CVE-2024-40711),实现了远程代码执行(RCE)。该漏洞由Code White宁静研究员Florian Hauser发现,源于不受信任数据反序列化的弱点,允许未经身份验证的攻击者以较低庞大度发动攻击。Veeam在9月4日披露了该漏洞并宣布了宁静更新,而watchTowr Labs则在9月9日宣布技术分析,但延迟至9月15日才果然看法验证漏洞代码,以确保管理员有足够时间加强防护。由于VBR软件广泛用于数据�;ず驮帜鸦指�,成为恶意行为者觊觎的目标。Sophos X-Ops事件响应人员发现,该漏洞迅速被Akira和Fog勒索软件攻击利用,结合之前泄露的凭据,将“点”当地帐户添加到管理员和远程桌面用户组。攻击者通常通过未启用多因素身份验证的受熏染VPN网关访问目标,部门VPN运行不受支持的软件版本。在Fog勒索软件事件中,攻击者还利用未�;さ腍yper-V服务器和实用法式rclone窃取数据。这些攻击显示出高度的重叠性和相似性,表明勒索软件团伙正积极利用这一漏洞进行攻击。


https://www.bleepingcomputer.com/news/security/akira-and-fog-ransomware-now-exploiting-critical-veeam-rce-flaw/


6. 富达投资系统遭入侵,77,000名客户信息泄露


10月10日,总部位于波士顿的跨国金融服务公司富达投资,近期遭遇了一次系统入侵事件,导致凌驾77,000名客户的个人信息被泄露。作为全球最大的资产管理公司之一,富达管理的资产总额高达14.1万亿美元。据富达透露,这次入侵发生在8月17日至19日期间,一名身份不明的攻击者利用最近建立的两个客户账户窃取了数据。富达在发现这一活动后迅速接纳措施终止了访问,并在外部宁静专家的协助下展开了视察。尽管富达没有透露除了姓名和其他个人身份信息外还有哪些信息被窃取,但它已向受影响的客户提供了两年的免费信用监控和身份恢复服务。富达还体现,没有证据表明被盗的客户数据被滥用,但仍建议受影响的客户保持警惕,定期检查账户报表,监控信用陈诉,并及时陈诉任何可疑活动。


https://www.bleepingcomputer.com/news/security/fidelity-investments-says-data-breach-affects-over-77-000-people/