10 月 24 日,黑客一直在利用 Roundcube Webmail 客户端中的漏洞来攻击独立国家联合体 (CIS) 地区(前苏联继承国)的政府组织。
俄罗斯网络安全公司 Positive Technologies 于 9 月发现了一次攻击,但研究人员确定黑客的活动早在 6 月就已开始。
Roundcube Webmail 是一个基于 PHP 的开源网络邮件解决方案,支持插件来扩展其功能,深受商业和政府实体的欢迎。
黑客利用了 CVE-2024-37383 存储型 XSS(跨站点脚本)漏洞,该漏洞允许在打开特制的电子邮件时在 Roundcube 页面上执行恶意 JavaScript 代码。该问题是由电子邮件中 SVG 元素的不当处理引发的,它绕过了语法检查并允许在用户页面上执行恶意代码。
Positive Technologies报告称,攻击使用的电子邮件没有可见内容,只有一个 .DOC 附件。然而,黑客在代码中嵌入了一个隐藏的有效载荷,客户端会处理该有效载荷,但根据特定标签(在本例中为“
”),该有效载荷不会显示在邮件正文中。有效载荷是一段伪装成“href”值的 base64 编码的 JavaScript 代码。它会从邮件服务器下载诱饵文档(Road map.doc)来分散受害者的注意力。同时,它会在 HTML 页面中注入未经授权的登录表单,以从邮件服务器请求消息。
据研究人员称,黑客希望手动或自动填写这两个字段,从而获取目标的帐户凭证。如果他们愿意,数据就会被发送到“libcdn[.]org”的远程服务器,该服务器是最近注册的,并托管在 Cloudflare 基础设施上。
5 月 19 日发布的 Roundcube Webmail 1.5.7和1.6.7 版本已修复此漏洞。最新可用版本(即推荐升级)是9 月 1 日发布的1.6.9 版本。由于重要组织使用该开源工具,Roundcube 漏洞经常成为黑客的目标。CVE-2024-37383 影响 Roundcube 1.5.6 之前的版本和 1.6 到 1.6.6 版本,因此建议仍使用这些版本的系统管理员尽快更新。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-exploit-roundcube-webmail-flaw-to-steal-email-credentials/
3.
Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)
10 月 23 日,Fortinet 公开披露了一个严重的 FortiManager API 漏洞,编号为 CVE-2024-47575,该漏洞被零日攻击利用来窃取包含受管设备配置、IP 地址和凭据的敏感文件。
Mandiant 与 Fortinet 合作,调查了各行业 50 多台可能受到攻击的 FortiManager 设备中 FortiManager 设备的大规模利用情况。漏洞CVE-2024-47575 / FG-IR-24-423允许黑客使用未经授权、受黑客控制的 FortiManager 设备对易受攻击的 FortiManager 设备执行任意代码或命令。
Mandiant 观察到一个新的威胁集群,将其追踪为 UNC5820,它早在 2024 年 6 月 27 日就利用了 FortiManager 漏洞。UNC5820 准备并窃取了被利用的 FortiManager 管理的 FortiGate 设备的配置数据。这些数据包含受管设备的详细配置信息以及用户及其 FortiOS256 哈希密码。UNC5820 可以使用这些数据进一步入侵 FortiManager,横向移动到 Fortinet 设备,并最终瞄准企业环境。
目前,Mandiant 分析的数据源未记录黑客利用 FortiManager 漏洞的具体请求。此外,在调查的这个阶段,没有证据表明 UNC5820 利用获得的配置数据横向移动并进一步破坏环境。因此,在发布时,缺乏足够的数据来评估黑客的动机或位置。Shodan 搜索显示,有 59,534 台 FortiManager 设备的 FGFM 端口(TCP 端口 531)在线暴露,其中大多数位于美国。
Fortinet 在其CVE-2024-47575 (FG-IR-24-423) 公告中分享了更多信息,包括缓解和恢复方法。该公告还包含其他 IOC,包括攻击者使用的其他 IP 地址和用于检测受感染的 FortiManager 服务器的日志条目。
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575/
4.
Mozilla Firefox Animation timelines 释放后重用漏洞(CVE-2024-9680)
10 月 22 日,美国网络安全和基础设施安全局(CISA) 将Microsoft SharePoint 反序列化漏洞CVE-2024-38094 (CVSS v4 评分:7.2)添加到其已知被利用漏洞(KEV)目录中。具有站点所有者权限的攻击者可以利用漏洞在 SharePoint Server 上注入并执行任意代码。
微软发布的公告称:“经过身份验证且拥有站点所有者权限的攻击者可以利用此漏洞注入任意代码并在 SharePoint Server 环境中执行此代码。”
该漏洞是由于 SharePoint Server Search 组件中的输入验证错误造成的。未经身份验证的用户可以通过向存在漏洞的 SharePoint 服务器发送特制的 HTTP 请求来利用此漏洞。这可能允许攻击者在服务器上执行任意代码,从而可能接管系统。
SOCRadar表示:“PoC 脚本使用 NTLM 自动对目标 SharePoint 站点进行身份验证,创建特定的文件夹和文件,并发送精心设计的 XML 负载以触发 SharePoint 客户端 API 中的漏洞。”
目前尚无关于 CVE-2024-38094 在实际攻击中如何被利用的报告。谷歌威胁分析小组 (TAG) 透露,三星移动处理器中现已修补的零日漏洞已被武器化,成为漏洞利用链的一部分,以实现任意代码执行。虽然三星的简短公告中并未提及该漏洞是否已被利用,但谷歌 TAG 研究人员 Xingyu Jin 和 Clement Lecigne 表示,针对该漏洞的零日漏洞已被用作权限提升链的一部分。
鉴于该漏洞被在野高频利用,建议受影响客户在 2024 年 11 月 12 日之前应用最新修复程序,以保护其网络。
参考链接:
https://thehackernews.com/2024/10/mozilla-warns-of-active-exploitation-in.html
5.
ScienceLogic SL1 远程代码执行漏洞(CVE-2024-9537)
