主要观点总结
本文介绍了最新的安全资讯,包括漏洞情报、新出现的安全威胁、安全事件、政策法规等。
关键观点总结
关键观点1: 漏洞情报
关键观点2: 新出现的安全威胁
关键观点3: 政策法规
正文
12月19日,CISA公开了特权访问管理公司 BeyondTrust 在12月初遭受网络攻击,威胁行为者入侵了其部分远程支持 SaaS 实例。
BeyondTrust 是一家网络安全公司,专门提供特权访问管理 (PAM) 和安全远程访问解决方案。其产品被政府机构、科技公司、零售和电子商务实体、医疗保健组织、能源和公用事业服务提供商以及银行业使用。
该公司表示,2024 年 12 月 2 日,它在其网络上检测到了“异常行为”。初步调查证实,威胁行为者入侵了其部分远程支持 SaaS 实例。经过进一步调查,发现黑客获得了远程支持 SaaS API 密钥的访问权限,从而可以重置本地应用程序帐户的密码。公告中写道:“BeyondTrust 发现了一起涉及有限数量的远程支持 SaaS 客户的安全事件。”
2024年12月5日,对远程支持 SaaS 问题的根本原因分析发现,远程支持 SaaS 的 API 密钥已被泄露。BeyondTrust 立即撤销了 API 密钥,通知了已知受影响的客户,并在同一天暂停了这些实例,同时为这些客户提供替代的远程支持 SaaS 实例。
目前尚不清楚威胁行为者是否能够利用受损的远程支持 SaaS 实例来攻击下游客户。
BeyondTrust 表示,他们已自动在所有云实例上应用了针对这个漏洞的补丁,但运行自托管实例的用户需要手动应用安全更新。最后,该公司指出,对该安全事件的调查仍在进行中,当有更多信息时,将在其页面上提供更新。
参考链接:
https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/
2.
Cleo 多款产品任意文件上传漏洞(CVE-2024-55956)
12月17日,Clop 勒索软件团伙证实,他们是最近的 Cleo 数据盗窃攻击的幕后黑手,利用被追踪为 CVE-2024-50623 和 CVE-2024-55956 的零日漏洞侵入公司网络并窃取数据。
Cleo 是托管文件传输平台 Cleo Harmony、VLTrader 和 LexiCom 的开发商,公司使用这些平台在业务合作伙伴和客户之间安全地交换文件。
12 月攻击中使用的新漏洞现被追踪为 CVE-2024-55956,并已在 Cleo Harmony、VLTrader 和 LexiCom 5.8.0.24 中修复。
在利用此漏洞时,威胁行为者上传了一个名为“Malichus”的 JAVA 后门,允许攻击者窃取数据、执行命令并进一步访问受感染的网络。
CISA 确认 Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的关键安全漏洞 CVE-2024-50623 已被用于勒索软件攻击,但未透露任何其他细节。
Rapid7 现已确认 CVE-2024-55956 不是 CVE-2024-50623 的补丁绕过,因为它们利用了 Cleo 端点中的单独问题。Rapid7 的报告中写道:“CVE-2024-50623 和 CVE-2024-55956 都是未经身份验证的文件写入漏洞,原因是 /Synchronization 端点中存在不同的问题。”
因此,CVE-2024-55956 不是CVE-2024-50623 的补丁绕过,而是一个新的漏洞。值得一提的是,虽然 CVE-2024-50623 允许读取和写入任意文件,但 CVE-2024-55956 仅允许写入任意文件。
Clop 勒索软件团伙(又名 TA505 和 Cl0p)于 2019 年 3 月成立,当时它首次使用CryptoMix 勒索软件的变种开始针对企业进行攻击 。与其他勒索软件团伙一样,Clop 会入侵企业网络,并在窃取数据和文件的同时慢慢向系统内部扩散。窃取到所有有价值的东西后,他们会在网络上部署勒索软件来加密设备。
为了缓解这一严重威胁,Cleo 发布了补丁版本 5.8.0.24,该版本解决了 CVE-2024-55956。
参考链接:
https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-cleo-data-theft-attacks/
3.
Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)
12月16日,CISA 添加了一个严重的 Adobe ColdFusion 漏洞(跟踪为CVE-2024-20767),Adobe 已于3月修复了该漏洞。从那时起,网上已经发布了几个漏洞 PoC。
CVE-2024-20767 是由于访问控制不当导致的漏洞,允许未经身份验证的远程攻击者读取系统和其他敏感文件。根据 SecureLayer7 的说法,成功利用在线暴露管理面板的 ColdFusion 服务器还可以让攻击者绕过安全措施并执行任意文件系统写入。
Fofa 搜索引擎追踪了超过 145,000 台暴露在互联网上的 ColdFusion 服务器,但无法通过远程访问的管理面板精确地定位到具体的服务器。
网络安全机构表示:“这类型的漏洞是恶意网络行为者频繁攻击的媒介,对企业构成重大风险。”
建议受影响用户升级至最新版本:ColdFusion 2023 Update 7、ColdFusion 2021 Update 13。以规避漏洞带来的风险。
参考链接:
https://www.securityweek.com/cisa-warns-of-exploited-adobe-coldfusion-windows-vulnerabilities/
4.
Windows 内核模式驱动程序权限提升漏洞(CVE-2024-35250)
12月16日,CISA 已警告美国联邦机构,要求其系统防范针对高严重性 Windows 内核漏洞的持续攻击。
该安全漏洞被标记为 CVE-2024-35250,是由于不受信任的指针取消引用弱点造成的,该弱点允许本地攻击者在不需要用户交互的低复杂度攻击中获得 SYSTEM 权限。
虽然微软在 6 月份发布的安全公告中没有分享更多细节,但发现该漏洞并通过趋势科技的零日计划向微软报告的 DEVCORE 研究团队表示,易受攻击的系统组件是 Microsoft Kernel Streaming Service (MSKSSRV.SYS)。
DEVCORE 安全研究人员在今年 Pwn2Own Vancouver 2024 黑客大赛的第一天利用此 MSKSSRV 权限提升安全漏洞入侵了已全面修补的 Windows 11 系统。
微软在2024年6月的补丁日修复了该漏洞,并于四个月后在 GitHub 上发布了其漏洞 PoC。该公司在尚未更新的安全公告中表示:“成功利用此漏洞的攻击者可以获得系统权限”,这表明该漏洞正在被积极利用。DEVCORE 发布了视频演示,展示了其 CVE-2024-35250 PoC 如何用于破解 Windows 11 23H2 设备。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://www.bleepingcomputer.com/news/security/windows-kernel-bug-now-exploited-in-attacks-to-gain-system-privileges/
