绿盟威胁情报周报（2023.10.23-2023.10.29）

标签：CVE-2023-46747

发布时间：2023-10-27 17:00:00 GMT

概述：近日，绿盟科技CERT监测到F5公司发布安全公告修复了BIG-IP中的一个远程代码执行漏洞（CVE-2023-46747），由于F5 BIG-IP通过Apache httpd转发AJP协议时存在问题导致请求走私，从而可绕过权限验证。未经身份验证的远程攻击者通过BIG-IP管理界面或自身IP地址对BIG-IP系统进行网络访问，实现任意系统命令执行。CVSS评分为9.8，请相关用户尽快采取措施进行防护。

链接：https://nti.nsfocus.com/threatNotice

标签：Apache

发布时间：2023-10-25 14:00:00 GMT

概述：近日，绿盟科技CERT监测发现Apache软件基金会研发的开源消息中间件ActiveMQ存在XML外部实体注入漏洞，由于ActiveMQ安装启动后默认开放61616端口，且TcpTransport函数未对数据进行必要的检查，攻击者可通过构造恶意数据包利用该漏洞，最终实现远程代码执行。请受影响用户采取措施进行防护。

链接：https://nti.nsfocus.com/threatNotice

标签：CVE-2023-4966

发布时间：2023-10-25 14:00:00 GMT

概述：近日，绿盟科技CERT监测到Citrix NetScaler ADC与Gateway敏感信息泄露漏洞（CVE-2023-4966）。当设备配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器时，未经身份验证的远程攻击者利用该漏洞可访问敏感信息，造成信息泄露。CVSS评分9.4，目前该漏洞的细节与PoC已公开，且存在在野利用。请受影响的用户尽快采取措施进行防护。

链接：https://nti.nsfocus.com/threatNotice

标签：EtherHidingWS_FTP, CVE -2023-40044, CVE -2023-42657

概述：从2023年9月30日开始，SentinelOne观察到一伙威胁分子利用Progress的WS_FTP最近披露的漏洞，攻击运行该软件高危版本的Windows服务器。两个最严重的漏洞是CVE -2023-40044和CVE -2023-42657，CVSS评分分别为10分和9.9分。我们观察到至少有三种类型的多阶段攻击链，它们从漏洞利用开始，然后下达命令从远程服务器下载攻击载荷，常常通过IP地址URL，这种活跃的漏洞利用标志着Progress Software产品在2023年遭到第三波攻击。虽然漏洞利用可能是伺机下手，但信息技术托管服务提供商（IT MSP)、软件和技术、法律服务、工程和建筑、石油和天然气、医疗保健和非营利等行业部门的组织都受到了影响。

链接：https://ti.nsfocus.com/security-news/IlNvo

标签：CVE-2022-43677

概述：趋势科技 研究人员发现了 下一代应用协议 (NGAP) 实施中的漏洞，该协议用于在基站（gNodeB 或 gNB）和 5G 核心之间传输控制消息。协议中的消息解码问题可能会导致网络功能失败，进而中断网络通信。特别值得关注的是DoS漏洞 CVE-2022-43677 （CVSS：5.5），该漏洞允许黑客通过用户设备在控制平面造成拒绝服务。该问题于 2023 年 5 月得到部分解决，但趋势科技发现了与用户消息路由相关的其他问题。

链接：https://ti.nsfocus.com/security-news/IlNvs

标签：泄露, NEB

概述：新英格兰生物实验室(NEB)是一家生产和供应重组和天然酶试剂的公司，主要服务于生命科学研究领域。该公司在2023年9月18日被发现在公开的网络上暴露了两个环境文件(.env)，其中包含了许多敏感信息，如数据库凭证、SMTP服务器登录信息、企业支付处理信息等。这些文件都是用于生产环境的，意味着它们可能在实时场景中用于处理该公司加拿大分部的业务。如果网络犯罪分子先发现了这些文件，他们就能够以该组织的名义发送电子邮件、访问和利用敏感数据，甚至尝试授权支付。研究人员在发现这一漏洞后，及时与NEB进行了沟通，并在10月5日之前将环境文件进行了保护，不再对外开放。这一泄露事件对NEB构成了严重的威胁，可能导致数据泄露、篡改、未经授权的访问、财务损失、声誉损害以及法律和合规问题。因此，网络管理员应该将.env文件放在不可访问的目录中，通常是根目录，并在手动设置、更新、配置后，检查文件是否仍然安全。

链接：https://ti.nsfocus.com/security-news/IlNvW

标签：CVE-2023-42793

概述：微软警告称，朝鲜威胁行为者正在积极利用软件开发中使用的持续集成/持续部署（CI/CD）应用程序中的一个关键漏洞。这家科技巨头表示，自 2023 年 10 月初以来，它观察到两个朝鲜民族国家行为者——Diamond Sleet 和 Onyx Sleet——利用远程代码执行漏洞 CVE-2023-42793。该漏洞的 CVSS 严重等级为 9.8，影响组织用于 DevOps 和其他软件活动的多个版本的 JetBrains TeamCity 服务器。

链接：https://ti.nsfocus.com/security-news/IlNv6

标签：EtherHiding

概述：Guardio Labs研究人员Nati Tal和Oleg Zaytsev发现黑客使用了一种名为EtherHiding的代码分发技术，滥用币安智能链（BSC）的智能合约来隐藏恶意脚本。在该网络攻击活动中，攻击者使用劫持的WordPress网站误导用户下载恶意虚造的浏览器更新，然后将用户重定向到Cloudflare Worker主机来注入恶意脚本到被黑的网站。由于滥用的Cloudflare Worker主机被拦截，随后攻击者转向使用去中心化、匿名的公开区块链系统提供更加可靠和隐蔽的分发信道，使用区块链系统使得攻击活动难以检测和拦截。

链接：https://ti.nsfocus.com/security-news/IlNuA

标签：俄乌冲突

概述：乌克兰与美国网络司令部的合作始于俄罗斯网络攻击前几周。俄罗斯军事情报部门对这些袭击负有责任，维蒂克表示俄罗斯认为乌克兰的基础设施将会崩溃，但事态并没有按照莫斯科计划的方式发展。因为乌克兰花了数年时间强化其系统以抵御攻击，而且来自美国和乌克兰的一个网络运营商团队已经秘密删除了数十个攻击乌克兰关键网络的俄罗斯软件。

链接：https://ti.nsfocus.com/security-news/IlNvm

标签：Retch，S.H.O

概述：实验室每两周收集一次感兴趣的勒索软件变体的数据，并发布有关报告，旨在让读者了解不断发展的勒索软件形势以及抵御这些变体的缓解措施，本文要讲的是Retch和S.H.O勒索软件。Retch是2023年8月中旬首次发现的一种新的勒索软件变体，它在受攻击设备上加密文件，并留下两张勒索信，要求受害者支付赎金来解密文件。

链接：https://ti.nsfocus.com/security-news/IlNwe

标签：qBit RaaS

概述：在最新的暗网新闻中，一个威胁行为者宣布推出 qBit Ransomware-as-a-Service (RaaS)，这是一种用 Go 编程语言编写的创新型、高适应性恶意软件。qBit 勒索软件的设计目标是 Windows（从 Win 7 到 Win 11）和各种 Linux 发行版，目前正在开发 ESXi 变种。它的功能包括通过混合逻辑、多种加密模式、快速执行和几种独特的安全功能进行闪电般快速加密。

链接：https://ti.nsfocus.com/security-news/IlNwc

标签：政府

概述：安全内参10月24日消息，据美国华盛顿邮报报道，相关组织和机构近日对内嵌在“X”社交网站（原推特网站）贴文以及多份文档中的链接进行了甄别检查，结果发现今年以来越南政府工作人员曾多次试图向美国国会议员、政策专家以及新闻记者的手机内植入间谍软件。

链接：https://ti.nsfocus.com/security-news/IlNvu

标签：DarkGate

概述：有关消息称：越南的网络犯罪分子是使用 DarkGate 恶意软件进行攻击的幕后黑手，这些恶意软件自 2018 年以来一直针对英国、美国和印度的组织。WithSecure 研究人员使用 Ducktail infostealer 追踪到了活跃的网络犯罪分子集群的这些攻击，该攻击已在最近针对元企业帐户的活动中使用。根据研究人员观察到的非技术指标，DarkGate 和 Ducktail 活动被联系在一起。其中包括诱饵文件、主题、定位和交付方法。例如，初始向量通常是 LinkedIn 消息，它将受害者重定向到 Google Drive 上的恶意文件。

链接： https://ti.nsfocus.com/security-news/IlNve