首页 > 安全研究 > 安全通报 > 安全简讯

D-Link NAS的任意命令注入和硬编码后门

发布时间 2024-04-08
1. D-Link NAS的任意命令注入和硬编码后门


4月6日,威胁研究人员披露了多个不在支持的 D-Link 网络附加存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门缺陷。该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。导致该缺陷(编号为 CVE-2024-3273)的两个主要问题是通过硬编码帐户(用户名:“messagebus”和空密码)促成的后门以及通过“system”参数的命令注入问题。命令注入缺陷是由于通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数,然后执行该命令而引起的。D-Link为旧设备建立了 专门的支持页面 ,用户可以在其中浏览档案以查找最新的安全和固件更新。


https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/


2. 超过1.6万个IVANTI VPN仍然易受到CVE-2024-21894的攻击


4月6日,Shadowserver 研究人员报告称,大约 16500 个 Ivanti Connect Secure 和 Poly Secure 网关容易受到最近报告的 RCE CVE-2024-21894的影响。该公司已发布了安全更新,以解决影响 Connect Secure 和策略安全网关的四个安全漏洞,这些漏洞可能导致代码执行和拒绝服务 (DoS),包括CVE-2024-21894。CVE-2024-21894(CVSS 评分 8.2)是 Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure 的 IPSec 组件中的堆溢出漏洞,允许未经身份验证的恶意用户在以下位置发送特制请求:命令 - 使服务崩溃从而导致 DoS 攻击。在某些情况下,这可能会导致执行任意代码。Shadowserver 研究人员扫描了互联网上是否存在易受 CVE-2024-21894 影响的实例,并报告称约有 16,500 个实例仍然容易受到攻击。大多数易受攻击的系统位于美国(截至撰写本文时有 4686 个),其次是日本(2009 年)和英国(1032 个)。


https://securityaffairs.com/161544/security/ivanti-16500-vulnerable-istances.html


3. 美国卫生部警告医院 IT 服务台易遭到黑客攻击


4月6日,美国卫生与公众服务部 (HHS) 警告称,黑客现在正在使用社会工程策略来攻击医疗保健和公共卫生 (HPH) 领域的 IT 服务台。卫生部门网络安全协调中心 (HC3) 本周发布的部门警报称,这些策略允许攻击者通过注册自己的多重身份验证 (MFA) 设备来访问目标组织的系统。在这些攻击中,威胁行为者使用本地区域代码致电冒充财务部门员工的组织,并提供窃取的身份验证详细信息,包括公司 ID 和社会安全号码。他们利用这些敏感信息并声称自己的智能手机已损坏,说服 IT 帮助台在攻击者的控制下在 MFA 中注册新设备。这使他们能够访问公司资源,并允许他们在商业电子邮件泄露攻击中重定向银行交易。


https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/


4. 以色列司法部在黑客活动分子声称入侵后审查网络事件


4月6日, 以色列司法部表示,正在调查一起网络事件,范围仍在审查中,需要时间来检查泄露文件的内容和范围及其来源。一个名为 Anonymous for Justice 的组织声称对此次泄露负责,并称此次泄露包括检索近 300 GB 的数据。该组织在其网站上表示,将继续攻击以色列,“直到加沙战争停止”。该组织公布了据称在攻击活动中获得的文件,例如法律文件,包括标记为机密的双边协议和合同草案。路透社无法独立核实泄露文件的真实性。司法部在帖子中表示,已针对这种情况提前做好准备,并且其行动不会中断。国家网络局本周早些时候表示,预计伊朗年度圣城日周末的网络攻击尝试将会增加。


https://www.reuters.com/world/middle-east/israels-justice-ministry-reviewing-cyber-incident-after-hacktivists-claim-breach-2024-04-05/


5. 日本 Hoya 的 IT 系统遭受攻击后暂停生产


4月5日,日本的 Hoya——一家眼镜和隐形眼镜制造商,以及用于制造半导体制造、平板显示器和硬盘驱动器的套件—— IT 系统遭受攻击后,该公司已停止部分生产和销售活动。官方对所发生事件的看法是模糊的。该公司承诺“将采取措施恢复生产和销售活动所需的系统,并尽快恢复向客户提供产品的供应系统”。Hoya 目前尚不清楚“公司持有的机密或个人信息是否已被泄露或被第三方访问”,并警告称“全面分析预计需要相当长的时间”。


https://www.theregister.com/2024/04/05/hoya_infosec_incident/


6. 黑客利用 Magento 漏洞窃取电子商务网站支付数据


4月6日,该攻击利用了CVE-2024-20720(CVSS 评分:9.1),Adobe 将其描述为“特殊元素的不当中和”案例,可能为任意代码执行铺平道路。公司在 2024 年 2 月 13 日发布的安全更新中解决了这个问题。Sansec 表示,它在数据库中发现了一个“精心设计的布局模板”,该模板被用来自动注入恶意代码以执行任意命令。攻击者将 Magento 布局解析器与 beberlei/assert 包(默认安装)结合起来执行系统命令。由于布局块与结帐车相关联,因此每当请求 <store>/checkout/cart 时都会执行此命令。有问题的命令是sed,它用于插入一个代码执行后门,然后负责提供 Stripe支付浏览器以捕获财务信息并将其泄露到另一个受感染的 Magento 商店。


https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html

上一篇 下一篇