D-Link NAS的任意命令注入和硬编码后门
发布时间 2024-04-084月6日,威胁研究人员披露了多个不在支持的 D-Link 网络附加存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门缺陷。该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。导致该缺陷(编号为 CVE-2024-3273)的两个主要问题是通过硬编码帐户(用户名:“messagebus”和空密码)促成的后门以及通过“system”参数的命令注入问题。命令注入缺陷是由于通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数,然后执行该命令而引起的。D-Link为旧设备建立了 专门的支持页面 ,用户可以在其中浏览档案以查找最新的安全和固件更新。
https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/
2. 超过1.6万个IVANTI VPN仍然易受到CVE-2024-21894的攻击
https://securityaffairs.com/161544/security/ivanti-16500-vulnerable-istances.html
3. 美国卫生部警告医院 IT 服务台易遭到黑客攻击
4月6日,美国卫生与公众服务部 (HHS) 警告称,黑客现在正在使用社会工程策略来攻击医疗保健和公共卫生 (HPH) 领域的 IT 服务台。卫生部门网络安全协调中心 (HC3) 本周发布的部门警报称,这些策略允许攻击者通过注册自己的多重身份验证 (MFA) 设备来访问目标组织的系统。在这些攻击中,威胁行为者使用本地区域代码致电冒充财务部门员工的组织,并提供窃取的身份验证详细信息,包括公司 ID 和社会安全号码。他们利用这些敏感信息并声称自己的智能手机已损坏,说服 IT 帮助台在攻击者的控制下在 MFA 中注册新设备。这使他们能够访问公司资源,并允许他们在商业电子邮件泄露攻击中重定向银行交易。
https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/
4. 以色列司法部在黑客活动分子声称入侵后审查网络事件
4月6日, 以色列司法部表示,正在调查一起网络事件,范围仍在审查中,需要时间来检查泄露文件的内容和范围及其来源。一个名为 Anonymous for Justice 的组织声称对此次泄露负责,并称此次泄露包括检索近 300 GB 的数据。该组织在其网站上表示,将继续攻击以色列,“直到加沙战争停止”。该组织公布了据称在攻击活动中获得的文件,例如法律文件,包括标记为机密的双边协议和合同草案。路透社无法独立核实泄露文件的真实性。司法部在帖子中表示,已针对这种情况提前做好准备,并且其行动不会中断。国家网络局本周早些时候表示,预计伊朗年度圣城日周末的网络攻击尝试将会增加。
https://www.reuters.com/world/middle-east/israels-justice-ministry-reviewing-cyber-incident-after-hacktivists-claim-breach-2024-04-05/
5. 日本 Hoya 的 IT 系统遭受攻击后暂停生产
4月5日,日本的 Hoya——一家眼镜和隐形眼镜制造商,以及用于制造半导体制造、平板显示器和硬盘驱动器的套件—— IT 系统遭受攻击后,该公司已停止部分生产和销售活动。官方对所发生事件的看法是模糊的。该公司承诺“将采取措施恢复生产和销售活动所需的系统,并尽快恢复向客户提供产品的供应系统”。Hoya 目前尚不清楚“公司持有的机密或个人信息是否已被泄露或被第三方访问”,并警告称“全面分析预计需要相当长的时间”。
https://www.theregister.com/2024/04/05/hoya_infosec_incident/
6. 黑客利用 Magento 漏洞窃取电子商务网站支付数据
4月6日,该攻击利用了CVE-2024-20720(CVSS 评分:9.1),Adobe 将其描述为“特殊元素的不当中和”案例,可能为任意代码执行铺平道路。公司在 2024 年 2 月 13 日发布的安全更新中解决了这个问题。Sansec 表示,它在数据库中发现了一个“精心设计的布局模板”,该模板被用来自动注入恶意代码以执行任意命令。攻击者将 Magento 布局解析器与 beberlei/assert 包(默认安装)结合起来执行系统命令。由于布局块与结帐车相关联,因此每当请求 <store>/checkout/cart 时都会执行此命令。有问题的命令是sed,它用于插入一个代码执行后门,然后负责提供 Stripe支付浏览器以捕获财务信息并将其泄露到另一个受感染的 Magento 商店。
https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html