Aggregator

HackerNews 编译，转载请注明出处： 一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷，攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。 网络安全公司c/side的研究人员在对一家客户的事件响应中发现，恶意活动利用wp3[.]xyz域名进行数据外泄，但尚未确定最初的感染途径。 在攻击目标沦陷后，从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户，其凭据直接写在代码中。 创建非法管理员账户（图片来源：c/side） 随后，脚本会从同一域名下载恶意插件（plugin.php），并在沦陷网站上激活它。 据c/side称，该插件旨在收集敏感数据，如管理员凭据和日志，并以一种混淆方式将其发送到攻击者服务器，伪装成图片请求。 攻击还包括多个验证步骤，如在创建非法管理员账户后记录操作状态，并验证恶意插件的安装情况。 阻止攻击 c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。 此外，管理员应审查其他特权账户和已安装插件的列表，识别未经授权的活动，并尽快删除。 最后，建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间，以限制其有效期。 同时，为已泄露凭据的账户实施多因素身份验证，也可增强账户安全性。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： 威胁追踪者关注到一场新行动，目标直指Fortinet FortiGate防火墙设备，其管理接口暴露在公共互联网上。 “该行动涉及在防火墙管理接口上进行未授权的管理员登录、创建新账户、通过这些账户进行SSL VPN认证，以及进行各种其他配置更改。”网络安全公司Arctic Wolf在上周发布的分析中表示。 据信，恶意活动始于2024年11月中旬，未知威胁行为者通过未授权访问受影响防火墙的管理接口来更改配置，并使用DCSync提取凭证。 目前尚不清楚确切的初始访问向量，但鉴于受影响组织和固件版本的“压缩时间线”，已“高度确信”这很可能是利用零日漏洞所致。 受影响设备的固件版本介于2024年2月和10月发布的7.0.14和7.0.16之间。 该行动已观察到从2024年11月16日左右开始的四个不同攻击阶段，允许攻击者从漏洞扫描和侦察进展到配置更改和横向移动。 “与合法防火墙活动相比，这些活动的突出之处在于，它们广泛使用了来自少数不寻常IP地址的jsconsole接口。”Arctic Wolf研究人员表示。 “鉴于入侵之间的手法和基础设施存在细微差异，可能有多个人或团体参与了此次行动，但jsconsole的使用是贯穿始终的共同线索。” 简而言之，这些数字入侵涉及攻击者登录防火墙管理接口以进行配置更改，包括将输出设置从“标准”更改为“更多”，作为早期侦察工作的一部分，然后在2024年12月初进行更广泛的更改，创建新的超级管理员账户。 据说这些新创建的超级管理员账户随后被用来为每台设备设置多达六个新的本地用户账户，并将它们添加到受害者组织先前为SSL VPN访问创建的现有组中。在其他事件中，现有账户被劫持并添加到具有VPN访问权限的组中。 “还观察到威胁行为者创建新的SSL VPN门户，并直接向其中添加用户账户。”Arctic Wolf指出。“在进行必要更改后，威胁行为者与受影响设备建立了SSL VPN隧道。所有隧道的客户端IP地址均来自少数几家VPS托管提供商。” 该行动以对手利用SSL VPN访问权限，通过称为DCSync的技术提取凭证以进行横向移动告终。不过，目前尚无法了解他们的最终目标，因为他们在攻击进入下一阶段之前就被清除了。 为缓解此类风险，至关重要的是，组织不要将防火墙管理接口暴露在互联网上，并限制对可信用户的访问。 网络安全 “此次行动中的受害者并不局限于任何特定行业或组织规模。”该公司表示。“受害者组织概况的多样性，加上自动化登录/注销事件的出现，表明此次行动的针对性是机会主义的，而非有意识、有方法地针对。” Fortinet确认新零日漏洞 Fortinet已发布有关FortiOS和FortiProxy中新的关键认证绕过漏洞的详细信息（CVE-2024-55591，CVSS评分：9.6），该公司表示该漏洞被用来劫持防火墙和入侵企业网络。 “一个认证绕过使用替代路径或通道的漏洞[CWE-288]，影响FortiOS和FortiProxy，可能允许远程攻击者通过向Node.js websocket模块发送精心构造的请求来获得超级管理员权限。”该公司在2025年1月14日发布的咨询中表示。 该缺陷影响以下版本： FortiOS 7.0.0至7.0.16（升级至7.0.17或更高版本） FortiProxy 7.0.0至7.0.19（升级至7.0.20或更高版本），以及 FortiProxy 7.2.0至7.2.12（升级至7.2.13或更高版本） 它还表示，该漏洞已被未知威胁行为者利用来创建管理员和本地用户账户、设置新的用户组或把新创建的本地用户添加到现有SSL VPN用户组，并更改防火墙策略，这与Arctic Wolf的发现相呼应。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

腾讯云安全中心推出24年12月安全漏洞必修清单，漏洞介绍及修复建议详见全文。

腾讯云安全中心推出24年12月安全漏洞必修清单，漏洞介绍及修复建议详见全文。

腾讯云安全中心推出24年12月安全漏洞必修清单，漏洞介绍及修复建议详见全文。

腾讯云安全中心推出24年12月安全漏洞必修清单，漏洞介绍及修复建议详见全文。

腾讯云安全中心推出24年12月安全漏洞必修清单，漏洞介绍及修复建议详见全文。

所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，被黑客利用并发生入侵事件后，会造成十分严重的后果。腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社

New Identity Infrastructure Streamlines Compliance Adherence in Regulated Settings
Identity management startup Orchid Security raised $36 million in a seed round led by Team8 and Intel Capital to tackle compliance challenges. The company's infrastructure addresses complex compliance and security needs for enterprises, enabling efficient application onboarding and integration.

US CISA Releases Guidance to Streamline AI Cyber Incident Information Sharing
The Cybersecurity and Infrastructure Security Agency released a playbook Tuesday through its flagship public-private collaborative to help guide public-private information sharing around artificial intelligence cybersecurity incidents while detailing federal actions to strengthen shared defense.

Threat Actor 'Codefinger' Targets Cloud Environments
A ransomware group is targeting Amazon S3 buckets, exploiting the data stored there using AWS's server-side encryption with customer keys and demanding a ransom in exchange for the encryption key needed to unlock the data. The group uses compromised or publicly exposed AWS account credentials.

Executive Order Paves Way for Data Centers on Federal Land, Clean Energy Progress
The U.S. federal government will open up sites to developers of AI frontier models to build gigawatt-scale data centers with clean energy under an executive order signed Tuesday by President Joe Biden. AI applications are expected to drive soaring energy demands well beyond 2030.

“SecureNexusLab供应链安全”战队解题报告。

“SecureNexusLab供应链安全”战队解题报告。

“SecureNexusLab供应链安全”战队解题报告。