安全热点周报：本周新增两个在野利用漏洞，Rejetto HFS 和 Cisco NX-OS 成攻击新...

奇安信 CERT · 公众号 · · 2024-07-08 17:30

正文

请到「今天看啥」查看全文

3.GeoServer远程代码执行漏洞安全风险通告

7月3日，奇安信CERT监测到官方修复GeoServer远程代码执行漏洞(CVE-2024-36401)，由于该系统不安全地将属性名称解析为XPath表达式，未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码，从而获取服务器权限。目前该漏洞技术细节与EXP已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

4.OpenSSH远程代码执行漏洞安全风险通告

7月1日，奇安信CERT监测到官方修复OpenSSH远程代码执行漏洞(CVE-2024-6387)，该漏洞是由于OpenSSH服务器（sshd)中的信号处理程序竞争问题，未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。目前该漏洞技术细节和POC已在互联网上公开，该漏洞为之前CVE-2006-5051的二次引入，当前的漏洞利用代码仅针对在32位Linux系统上运行的OpenSSH，64位Linux系统上利用该漏洞的难度会更大，在Linux系统上以Glibc编译的OpenSSH上成功利用，不过利用过程复杂、成功率不高且耗时较长。平均要大于10000次才能赢得竞争条件，需要6~8小时才能获得远程root shell。在以非Glibc编译的OpenSSH上利用此漏洞也是可能的，但尚未证实。虽然目前还没有发现真正实现远程代码执行的POC，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 0 2

新增在野利用

1. Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)

7月 4 日，黑客瞄准 Rejetto 的旧版本 HTTP 文件服务器 (HFS)，以投放恶意软件和加密货币挖掘软件。该漏洞于 2024 年 5 月披露，此后被攻击者利用来安装恶意软件并控制易受攻击的系统。Rejetto HTTP 文件服务器（包括 2.3m 版本）存在模板注入漏洞。此漏洞允许远程未经身份验证的攻击者通过发送特制的 HTTP 请求在受影响的系统上执行任意命令。

安全公司 AhnLab 的威胁研究人员发现威胁行为者正在积极利用 CVE-2024-23692，这是一个严重程度极高的安全漏洞，允许在无需身份验证的情况下执行任意命令。

研究人员表示，在攻击期间，黑客会收集有关系统的信息，安装后门和各种其他类型的恶意软件。攻击者执行“whoami”和“arp”等命令来收集有关系统和当前用户的信息，发现连接的设备，并通常计划后续操作。在许多情况下，攻击者在将新用户添加到管理员组后会终止 HFS 进程，以防止其他威胁行为者使用它。

在攻击的下一阶段，ASEC 观察到用于挖掘门罗币加密货币的 XMRig 工具的安装。研究人员指出，XMRig 至少在四次不同的攻击中被部署，其中一次是由 LemonDuck 威胁组织实施的。

传送到受感染计算机的其他有效载荷包括：

XenoRAT – 与 XMRig 一起部署，实现远程访问和控制。

Gh0stRAT – 用于从被攻破的系统中实施远程控制和窃取数据。