绿盟威胁情报周报（2023.10.09-2023.10.15）

标签：不区分行业

发布时间：2023-10-11 17:00:00 GMT

概述：近日，绿盟科技监测到curl官方发布安全公告，修复了SOCKS5堆缓冲区溢出漏洞（CVE-2023-38545）和cookie注入漏洞（CVE-2023-38546）。漏洞细节已公开，请受影响用户尽快升级版本进行防护。

链接：https://nti.nsfocus.com/threatNotice

标签：不区分行业

发布时间：2023-10-11 17:00:00 GMT

概述：10月11日，绿盟科技CERT监测到微软发布10月安全更新补丁，修复了104个安全问题，涉及Microsoft WordPad、Skype for Business、Windows Layer 2 Tunneling Protocol、Microsoft Message Queuing等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。

链接：https://nti.nsfocus.com/threatNotice

标签：不区分行业

发布时间：2023-10-9 17:00:00 GMT

概述：近日，绿盟科技CERT监测到Exim 远程代码执行漏洞（CVE-2023-42115）。在开启外部身份验证的情况下，由于用户输入验证不当，未经身份验证的攻击者可通过越界写入数据远程利用该漏洞，最终实现在目标服务器上执行任意代码。目前漏洞细节已公开，请相关用户及时采取措施进行防护。

链接：https://nti.nsfocus.com/threatNotice

标签：巴以冲突

概述：当地时间10月7日凌晨，巴勒斯坦伊斯兰抵抗运动（“哈马斯”）武装人员对以色列占领区发动突然袭击，在短时间内发射5000枚火箭弹，并造成大量人员伤亡。以国防部承认被俘的军民数量“史无前例”，全国宣布进入“战争状态”。随后，以色列军方对加沙地带进行大规模空袭，截止到10月8日晚双方死亡人数超600人。

链接：https://ti.nsfocus.com/security-news/IlNqD

标签：REMCOS

概述：2023年10月，全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2023 年 9 月《全球威胁指数》报告。研究人员报告了一起针对哥伦比亚企业的新型隐秘网络钓鱼攻击活动，该攻击活动旨在秘密传播 Remcos 远程访问木马 (RAT)。与此同时，在 Qbot 关闭后，Formbook 成为最猖獗的恶意软件，教育行业仍是首要攻击目标。

链接：https://ti.nsfocus.com/security-news/IlNs3

标签：CURL

概述：Curl库是一个用于传输数据的流行命令行工具，支持多种协议，如FTP、HTTP、IMAP等。该库的维护者发布了一个预警，称将在10月11日发布更新，修复两个已被利用的安全漏洞。这两个漏洞分别被标记为CVE-2023-38545和CVE-2023-38546，严重程度分别为高和低。由于担心泄露信息可能会帮助攻击者准确地识别出问题所在，维护者没有透露漏洞的具体细节和受影响的版本范围。但据称，该库的近几年的版本都存在问题。CVE-2023-38545影响了libcurl和curl，而CVE-2023-38546只影响了libcurl。这些漏洞可能会导致远程代码执行、权限提升或信息泄露等风险。建议使用Curl库的用户尽快更新到最新版本，以防止遭受攻击。

链接：https://ti.nsfocus.com/security-news/IlNqr

标签：不区分行业

概述：X.Org 项目披露了五个漏洞，其中之一 CVE-2023-43785 属于内存越界访问漏洞，位于 libX11 库中，相关代码可追溯到 1996 年。第二个漏洞 CVE-2023-43786 同样位于 libX11 库中，为 PutSubImage()函数无限递归导致栈耗尽，相关代码可追溯到 1988 年 2 月。第三个漏洞 CVE-2023-43787 则是 XCreateImage() 函数整数溢出导致堆溢出，相关代码同样可追溯到 1988 年。另外两个漏洞是 libXpm 中的越界读取，相关代码可追溯到 1998 年。

链接：https://ti.nsfocus.com/security-news/IlNqF

标签：不区分行业

概述：研究报告显示，26%的人认为可以绕过大多数已知网络安全措施的恶意AI将在2024年发生，50%的人认为可以绕过大多数已知网络安全措施的恶意AI将在未来5年内发生。

链接：https://ti.nsfocus.com/security-news/IlNrZ

标签：WS_FTP

概述：从 2023 年 9 月 30 日开始，SentinelOne 观察到参与者利用最近披露的 Progress's WS_FTP中的漏洞来对抗运行该软件易受攻击版本的 Windows 服务器。两个最严重的漏洞（CVE-2023-40044 和 CVE-2023-42657）的 CVSS 评分分别为 10 和 9.9。我们观察到至少三种类型的多阶段攻击链，它们从利用开始，然后命令从远程服务器下载有效负载，通常通过IP文字URL。

链接：https://ti.nsfocus.com/security-news/IlNr5

标签：OPENFIRE

概述：2023年9月末，黑客正在大肆利用 Openfire 消息传递服务器中的一个高严重性漏洞，使用勒索软件加密服务器并部署加密挖矿程序。Openfire 是一种广泛使用的基于 Java 的开源聊天 (XMPP) 服务器，下载量达 900 万次，广泛用于安全的多平台聊天通信。该漏洞编号为 CVE-2023-32315，是一种影响 Openfire 管理控制台的身份验证绕过方式，允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。尽管 Openfire在 2023 年 5 月发布的版本 4.6.8、4.7.5 和 4.8.0 中修复了该问题 ，但 VulnCheck 报告称，到 2023 年 8 月中旬，超过 3,000 台 Openfire 服务器仍在 运行易受攻击的版本。

链接：https://ti.nsfocus.com/security-news/IlNq0

标签：金融

概述：据报道，攻击者对Safexpay发动攻击后进行非法操作，系统性地从各种银行账户中挪去资金，其中一些已经非法转移到国外，转移过程持续了很长一段时间。印度马哈拉施特拉邦塔那警察当局披露了STPL公司遭遇的网络攻击事件。

链接：https://ti.nsfocus.com/security-news/IlNrt

标签：政府

概述：北约官方表示，正在调查一个名为SiegedSec的黑客组织声称对其系统进行的网络攻击，并在网上泄露了一批未分类的文件。这些文件涉及高超音速武器、无人机威胁、放射性废物测试等话题。北约表示，这些事件只影响了一些未分类的北约网站，没有影响北约的任务、行动和军事部署。北约还表示，已经采取了额外的网络安全措施，并且认真对待网络威胁。SiegedSec是一个以政治动机为驱动的黑客组织，曾经多次攻击美国的州和地方政府网站。该组织在7月23日和10月3日分别在Telegram上发布了两批据称来自北约的文件，并自豪地宣布了他们的行动。

链接：https://ti.nsfocus.com/security-news/IlNqz

标签：不区分行业

概述：来自四所美国大学的研究人员发表了一项研究，详细介绍了对计算机图形子系统的潜在、有趣的攻击——专门针对AMD和英特尔制造的常见集成GPU。该攻击被命名为GPU.zip，暗指其两个主要特征：（i）从图形系统中窃取机密，以及（ii）利用数据压缩算法漏洞。在这篇文章中，我们像往常一样尝试尽可能简单地解释新研究。但主要是，我们只会惊叹于它的优雅和复杂——同时我们也会畏缩于它最终（以目前的形式）完全不切实际。

链接： https://ti.nsfocus.com/security-news/IlNrb