VMware vCenter Server 漏洞被广泛利用 

VMware 警告客户，CVE-2023-34048（2023 年 10 月修补的一个关键 vCenter Server 漏洞）正在被广泛利用。

CVE-2023-34048 被描述为与 DCERPC 协议实施相关的越界写入问题。它可以允许具有 vCenter Server 网络访问权限的攻击者远程执行任意代码。

该问题由趋势科技零日计划的 Grigory Dorodnov 发现，该问题被认为非常严重，以至于 VMware 决定在 10 月份发布补丁，即使该产品的版本已达到生命周期终止 (EoL) 状态。

VMware 现已更新其初始安全公告，通知客户其已确认 CVE-2023-34048 已被利用。 

截至撰写本文时，似乎还没有关于利用 vCenter Server 漏洞进行攻击的信息。     

公开的 PoC 漏洞似乎并不存在，但技术细节自 12 月初以来就已公开。

根据Shadowserver Foundation 的数据，目前有数百个暴露于互联网的 VMware vCenter Server 实例可能存在漏洞。

VMware 产品成为恶意攻击者攻击目标的情况并不少见。美国安全机构 CISA 维护的已知被利用漏洞目录目前包括 21 个VMware 产品缺陷。 

美国政府发布供水和污水处理设施网络安全指南  

美国政府周四发布了新指南，旨在帮助水和废水处理 (WWS) 领域的组织提高网络弹性和事件响应能力。

该指南的发布是为了应对美国 WWS 领域出于经济和政治动机的威胁行为者日益增长的兴趣，该指南概述了水务公司所有者和运营商如何与联邦合作伙伴互动，以准备、减轻和应对事件。   

“WWS 行业受到各种网络事件的影响，包括未经授权的访问和勒索软件。WWS 部门的持续妥协或失败可能会对关键基础设施造成连锁影响，”美国网络安全机构 CISA 表示。

水和废水部门 - 事件响应指南(PDF)，由 CISA、FBI 和环境保护局 (EPA) 在联邦机构和 WWS 部门合作伙伴的协助下制定，详细介绍了整个过程中涉及的联邦角色、资源和责任事件响应生命周期。

为了改善水务部门的网络安全，该文件制定了事件报告指南，详细介绍了可用资源、服务和免费培训，帮助组织建立网络安全基线，并鼓励他们与当地网络社区互动。

在之前针对 WWS 组织的一些网络攻击中，威胁行为者部署了勒索软件并试图篡改设施的正常运行。在其他情况下，国家资助的黑客破坏了公用事业公司使用的设备。

为了提高关键基础设施的网络安全，美国政府鼓励 WWS 组织向 CISA、FBI、EPA、国家情报总监办公室 (ODNI) 和 DHS 情报与分析办公室等联邦合作伙伴提供网络攻击信息（I＆A）。

此外，他们应该实施和加强事件响应计划，确保该过程包括四个阶段：准备；检测与分析；遏制、根除和恢复；以及事件后的活动。

根据该指南，供水设施应首先制定事件响应计划，提高基线，并与社区合作。在检测到事件时，他们应该评估受影响的系统，验证攻击，报告攻击，并与联邦合作伙伴一起分析攻击，这也有助于共享信息和减轻攻击。   

“在任何网络事件结束时，所有相关合作伙伴都必须对事件以及响应人员的处理方式进行回顾性分析。事件后活动的总结决定了‘吸取的教训’”，指南中写道。

CISA 表示，WWS 公用事业公司应优先考虑将资源用于确保其供水系统的正常运行，而不是用于网络安全。然而，我们鼓励他们尽可能参与集体应对工作，无论他们是否是事件的受害者。

VF Corp 表示勒索软件攻击造成的数据泄露影响了 3500 万人  

服装和鞋类品牌所有者兼运营商 VF Corporation 周四透露，2023 年 12 月的勒索软件攻击导致 3550 万客户的个人信息被盗。

12 月中旬，这家总部位于科罗拉多州丹佛市的公司（拥有 Dickies、The North Face、Smartwool、Timberland 和 Vans 等品牌）宣布，为了应对影响其运营的勒索软件攻击，该公司关闭了某些系统。

VF Corp 从一开始就表示，攻击者能够访问某些公司和个人信息，并且预计该事件会产生重大影响。   

在 1 月 18 日向美国证券交易委员会 (SEC) 提交的 8-K 表中，该公司透露黑客窃取了约 3550 万个人消费者的个人信息。

虽然没有具体说明数据泄露中哪些类型的信息被泄露，但 VF Corp 指出，它没有存储社会安全号码、银行账户信息和支付卡详细信息，并且没有发现客户密码被盗的证据。

该公司还表示，“威胁行为者已于 2023 年 12 月 15 日从 VF 的 IT 系统中逐出”，此后该公司已恢复所有受影响的系统，尽管它仍然受到一些轻微的运营影响。

在关闭系统以遏制攻击后，该公司无法补充零售店库存，订单履行也被延迟，从而导致订单取消、某些网上商店的需求减少以及一些批发发货的延迟。

该公司表示，VF Corp 零售店、品牌电子商务网站和配送中心目前运营中几乎没有出现问题。

该公司还指出：“虽然 VF 仍受到网络事件的轻微影响，但 VF 已恢复零售店库存补充和产品订单履行，并正在抓紧履行因网络事件而延迟的订单。”

VF还表示，预计此次攻击除了12月披露的“对VF业务运营的重大影响”之外不会产生其他重大影响，并且该事件可能不会影响其财务状况和运营业绩。 

美国指控俄罗斯参与 2013 年对 Neiman Marcus 和 Michaels 的黑客攻击   

美国司法部本周宣布对两名涉嫌参与网络犯罪活动的俄罗斯公民提出单独指控，其中一名男子涉嫌参与 2013 年黑客攻击零售商 Michaels 和 Neiman Marcus 的事件。

其中一名被起诉者是阿列克谢·季莫费耶维奇·斯特罗加诺夫 (Aleksei Timofeyevich Stroganov)，也称为阿列克谢·斯特罗加诺夫 (Aleksei Stroganov)、弗林特 (Flint)、Flint24、古尔斯基·奥列格 (Gursky Oleg) 和奥列格·古尔斯基 (Oleg Gurskiy)。据称，他和他的同伙侵入了公司和个人的计算机，以窃取个人信息，包括信用卡和借记卡数据。 

Stroganov 等人获取了数亿条支付卡和银行账户记录，并在网络犯罪论坛上出售，给受影响的金融机构造成了总计 3500 万美元的损失。 

起诉书提供了网络犯罪分子如何通过出售被盗信息赚取数百万美元的具体例子  。

起诉书称，斯特罗加诺夫参与了2013年针对高端百货商店Neiman Marcus和工艺品连锁店Michaels Stores 的黑客攻击。  

法庭文件还显示，斯特罗加诺夫的合伙人之一是俄罗斯议员的儿子罗曼·瓦列里耶维奇·谢列兹涅夫(Roman Valeryevich Seleznev)，他因网络犯罪活动于2017年和2018年在美国  多次被判入狱，最长的为27年。   

2020 年，作为打击重大诈骗团伙的一部分，斯特罗加诺夫被俄罗斯当局逮捕，但目前尚不清楚他是否被判刑。 

网络安全博主布莱恩·克雷布斯当时报道了这一消息，并将斯特罗加诺夫描述为“一个主要的梳理头目，被认为与数十家梳理店以及过去十年针对西方零售商的一些更大规模的数据泄露事件有关。”

本周在美国受到指控的第二名俄罗斯公民是蒂姆·斯蒂加尔（Tim Stigal），据称他参与了涉及贩运被盗支付卡信息的四项不同行动。

起诉书描述了对斯蒂格尔的指控，重点针对三名未透露姓名的受害者，这些受害者被描述为总部位于宾夕法尼亚州、加利福尼亚州和弗吉尼亚州的公司。

“就其中一项阴谋而言，为了勒索一名企业受害者，斯蒂格尔还发出威胁，如果不向斯蒂格尔支付赎金，就会损害企业受害者客户被盗个人数据的机密性， “司法部说。

斯特罗加诺夫被指控串谋实施影响金融机构的电汇欺诈、电汇欺诈、银行欺诈和严重身份盗窃。斯蒂加尔被指控犯有串谋电信欺诈、电信欺诈、计算机欺诈勒索、访问设备欺诈和严重身份盗窃等罪名。 

他们每人都面临数十年的监禁，但他们是否能真正被绳之以法还有待观察。

开源 AI/ML 平台中发现的严重漏洞    

在过去的一个月里，人工智能 (AI) 和机器学习 (ML) 的 Huntr 漏洞赏金平台的成员在 MLflow、ClearML 和 Hugging Face 等流行解决方案中发现了多个严重漏洞。

CVSS 得分为 10，其中最严重的问题是 MLflow 中的四个关键问题，MLflow 是一个用于简化 ML 开发的平台，提供一组支持现有 ML 应用程序和库的 API。

其中一个问题 CVE-2023-6831 被描述为根源于工件删除的路径遍历错误，该操作在使用前对路径进行规范化，允许攻击者绕过验证检查并删除服务器上的任何文件。

第二个漏洞 CVE-2024-0520 存在于 mlflow.data 模块中，该漏洞可被精心设计的数据集滥用，生成未经清理的文件路径，从而允许攻击者访问信息或覆盖文件，并可能实现远程代码执行 (RCE) ）。

第三个严重缺陷 CVE-2023-6977 被描述为路径验证绕过，可能允许攻击者读取服务器上的敏感文件，而第四个严重缺陷 CVE-2023-6709 可能导致在加载恶意软件时远程执行代码。配方配置。

MLflow 2.9.2中解决了所有四个漏洞，该漏洞还修复了一个高严重性的服务器端请求伪造 (SSRF) 错误，该错误可能允许攻击者访问内部 HTTP(S) 服务器并可能在受害者计算机上实现 RCE。

Hugging Face Transformers 中发现了另一个严重缺陷，它提供了用于构建 ML 应用程序的工具。   

该问题 CVE-2023-7018 的存在是因为用于从远程存储库自动加载 vocab.pkl 文件的函数没有实施任何限制，这可能允许攻击者加载恶意文件并实现 RCE。Transformers版本 4.36 解决了该漏洞。

Huntr 社区的成员还发现ClearML中存在高严重性的存储跨站脚本 (XSS) 缺陷，ClearML 是一个用于在统一环境中自动化 ML 实验的端到端平台。

该问题被追踪为 CVE-2023-6778，是在项目描述和报告部分的 Markdown 编辑器组件中发现的，如果将未经过滤的数据传递给该组件，则允许注入恶意 XSS 有效负载，从而可能导致用户帐户泄露。

Protect AI 尚未公开有关严重性Paddle命令注入错误 (CVE-2024-0521) 的详细信息，该公司表示，所有漏洞均在报告发布前 45 天报告给项目维护人员。

CISA 发布针对 Ivanti 零日漏洞的紧急指令    

美国政府网络安全机构 CISA 正在加大对组织的压力，要求其紧急修复 Ivanti Connect Secure VPN 设备中的两个关键漏洞。

CISA 信件为运行 Ivanti Connect Secure 和 Ivanti Policy Secure 的联邦民事行政部门 (FCEB) 机构设定了严格的最后期限，以应用可用的缓解措施、寻找感染并共享妥协指标。

该紧急指令还要求从网络中删除受感染的产品，并向 CISA 提交报告，提供受感染设备的清单以及所采取行动的详细信息。

CISA 指令解释了风险：

“当同时被利用时，这些漏洞允许恶意威胁者在易受攻击的产品上执行任意命令。Ivanti 已通过 XML 文件发布了临时缓解措施，该文件可以导入到受影响的产品中以进行必要的配置更改，直到永久更新可用。   

“该指令要求各机构立即对受影响的产品实施 Ivanti 发布的缓解措施，以防止未来的利用。由于这一初步行动无法补救当前或过去的危害，因此各机构还需要运行 Ivanti 的外部完整性检查工具，并在检测到危害迹象时采取额外措施。”

在上周发布的一份研究报告中，Volexity 将这两个漏洞标记为 CVE-2023-46805 和 CVE-2024-21887，并警告说，它们正被面向互联网的 Ivanti Connect Secure VPN 设备（以前称为 Pulse Secure）利用。

Ivanti 是一家一直在与重大安全问题作斗争的公司，它已经发布了针对新漏洞的补丁前缓解措施，但表示将从 1 月 22 日开始分阶段发布全面的修复程序。

“在补丁开发过程中，我们现在正在提供缓解措施，以优先考虑客户的最大利益。至关重要的是，您必须立即采取行动，确保您受到充分保护。”伊万蒂说。

Volexity 研究人员表示，他们发现攻击者修改合法的 ICS 组件并对系统进行更改以逃避 Ivanti 的完整性检查工具；并在 ICS VPN 设备上设置合法 CGI 文件 (compcheck.cgi) 后门以允许命令执行。 

微软称俄罗斯政府黑客窃取了高级管理人员的电子邮件数据    

该公司周五晚间透露，俄罗斯政府支持的黑客团队成功侵入了微软的公司网络，窃取了网络安全和法律部门高级管理人员以及目标的电子邮件和附件。

这家华盛顿州雷德蒙德的软件巨头表示，名为Midnight Blizzard/Nobelium的 APT 组织利用密码喷射攻击破坏了遗留的非生产测试租户帐户并获得立足点，然后利用该帐户的权限访问了一个非常小的组织。Microsoft 公司电子邮件帐户的百分比。

“[他们]窃取了一些电子邮件和附加文件，”微软在向美国证券交易委员会（SEC） 提交的文件中表示。

该公司表示，其安全团队于 2024 年 1 月 12 日检测到对其企业系统的民族国家攻击，并将感染追溯到 2023 年 11 月。

该公司表示，受害者包括其高级领导团队成员，并指出黑客最初的目标是电子邮件帐户，以获取与雷德蒙德自己对 APT 操作的了解相关的信息。     

“这次攻击不是微软产品或服务中的漏洞造成的。迄今为止，没有证据表明威胁行为者可以访问客户环境、生产系统、源代码或人工智能系统。如果需要采取任何行动，我们将通知客户，”这家全球最大的软件制造商表示。

微软表示：“我们将立即采取行动，将我们当前的安全标准应用于微软拥有的遗留系统和内部业务流程，即使这些变化可能会导致现有业务流程中断。”并指出，这些变化“可能会造成一定程度的中断，同时我们适应这个新的现实。”

微软补充道：“我们正在继续调查，并将根据调查结果采取更多行动，并将继续与执法部门和适当的监管机构合作。”  

—— 铸盾安全整理自网络