安全热点周报：本周新增四个在野利用漏洞，针对政府和关基设施

安全资讯导视
• 商务部印发《数字商务三年行动计划（2024-2026年）》
• 因遭受勒索软件攻击，医疗诊断巨头Synlab在意大利全国暂停运营
• 美国知名电信运营商遭网络攻击，部分系统关停致使运营中断

PART 01

漏洞情报

1.禅道项目管理系统身份认证绕过漏洞安全风险通告

4月26日，奇安信CERT监测到禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)在互联网上公开。禅道项目管理系统存在身份认证绕过漏洞，远程攻击者利用该漏洞可以绕过身份认证，调用任意API接口并修改管理员用户的密码，并以管理员用户登录该系统，配合其他漏洞进一步利用后，可以实现完全接管服务器。奇安信CERT分析并复现此漏洞，鉴于该漏洞利用难度较低、影响范围较大，建议客户尽快做好自查及防护。

2.CrushFTP服务器端模板注入漏洞安全风险通告

4月25日，奇安信CERT监测到CrushFTP服务器端模板注入漏洞(CVE-2024-4040)在互联网上公开，由于CrushFTP存在服务器端模板注入漏洞，未经身份验证的远程攻击者可以逃避虚拟文件系统(VFS)沙箱，绕过身份验证获得管理访问权限，泄露敏感信息或执行代码。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.Cisco ASA 和 FTD 拒绝服务漏洞(CVE-2024-20353)

&Cisco ASA 和 FTD 权限提升漏洞(CVE-2024-20359)

思科最近发现了一项复杂的网络间谍活动 ArcaneDoor，其目标是政府和关键基础设施部门使用的外围网络设备。该活动涉及国家资助的攻击者利用两个零日漏洞（ CVE-2024-20353 和 CVE-2024-20359 ），主要目的是通过名为 Line Runner 和 Line Dancer 的复杂恶意软件进行间谍活动。

ArcaneDoor 操纵外围网络设备（例如思科自适应安全设备 (ASA)）来重启路由或监控网络流量，从而为间谍活动提供战略优势。这项调查是在 2024 年初警惕的客户报告的推动下进行的，调查显示这些设备已被破坏，以便在未经事先身份验证的情况下进行间谍活动，使用复杂的技术来修改配置和拦截数据。

攻击者将 Line Dancer 恶意软件部署为内存中 shellcode 解释器，以直接在设备上执行任意命令。这种技术可以避免留下法医痕迹并使检测变得复杂。Line Runner 是一个持久性后门，通过操纵设备启动过程来安装，以便在重新启动和更新后仍能幸存，这表明对 Cisco ASA 操作机制的高度理解和操纵。

思科对此做出了回应，发布了针对被利用漏洞的补丁，并提供详细的建议，敦促所有用户立即更新其设备以防范这些攻击。此外，建议网络管理员密切监控其设备是否有受到损害的迹象，例如意外重启或异常的传出网络流量。

参考链接：

https://www.bleepingcomputer.com/news/security/arcanedoor-hackers-exploit-cisco-zero-days-to-breach-govt-networks/

2.CrushFTP 服务器端模板注入漏洞(CVE-2024-4040)

超过 1,400 个在线暴露的 CrushFTP 服务器被发现容易受到攻击，目前针对的是先前被用作零日漏洞的严重服务器端模板注入 (SSTI) 漏洞。

虽然 CrushFTP 将 CVE-2024-4040 描述为其托管文件传输软件中的 VFS 沙箱逃逸，可实现任意文件读取，但未经身份验证的攻击者可以利用它在未修补的系统上获得远程代码执行 (RCE)。该公司周五警告客户“立即更新”，以阻止攻击者试图逃离用户的虚拟文件系统（VFS）并下载系统文件。

成功利用该漏洞不仅可以以 root 身份读取任意文件，还可以绕过身份验证以进行管理员帐户访问和完全远程代码执行。在 CrushFTP 披露了被积极利用的零日漏洞并发布补丁后，网络安全公司 CrowdStrike 于周五发布了一份情报报告，显示攻击者将多个美国组织的 CrushFTP 服务器作为目标，这看起来像是一场出于政治动机的情报收集活动。根据 CrowdStrike 的 Falcon OverWatch 和 Falcon Intelligence 团队发现的证据，CrushFTP 零日漏洞正在被用于有针对性的攻击。

建议 CrushFTP 用户定期检查供应商的网站以获取最新说明并优先进行修补，以保护自己免受持续的攻击。

参考链接：

https://www.bleepingcomputer.com/news/security/over-1-400-crushftp-servers-vulnerable-to-actively-exploited-bug/

3.Windows 打印后台处理程序特权提升漏洞 (CVE-2022-38028)

微软警告称，俄罗斯 APT28 威胁组织利用 Windows Print Spooler 漏洞升级权限，并使用一种名为 GooseEgg 的先前未知的黑客工具窃取凭据和数据。APT28 “至少从 2020 年 6 月开始，可能最早从 2019 年 4 月开始”就一直在使用该工具来利用 CVE-2022-38028 漏洞。

Microsoft 发现攻击者将此后泄露工具作为名为：

“execute.bat”或“doit.bat”的 Windows 批处理脚本删除，该脚本会启动 GooseEgg 可执行文件，并通过添加启动“servtask”的计划任务来在受感染系统上获得持久性.bat，写入磁盘的第二个批处理脚本。

他们还使用 GooseEgg 在具有 SYSTEM 权限的 PrintSpooler 服务上下文中释放嵌入的恶意 DLL 文件（在某些情况下称为“wayzgoose23.dll”）。

该 DLL 实际上是一个应用程序启动器，可以使用系统级权限执行其他有效负载，并允许攻击者部署后门、在受害者网络中横向移动以及在受破坏的系统上运行远程代码。

微软于 2022 年 10 月发布了针对该漏洞的补丁，随后 CISA 将CVE-2022-38028 添加到 KEV 目录。

参考链接：

https://www.bleepingcomputer.com/news/security/microsoft-russian-apt28-hackers-exploit-windows-flaw-reported-by-nsa-using-gooseegg-tool

PART 03

安全事件

1.因遭受勒索软件攻击，医疗诊断巨头Synlab在意大利全国暂停运营

4月22日Bleeping Computer消息，国际医疗诊断和试验巨头Synlab的意大利分公司因遭受勒索软件攻击，被迫关闭其IT系统，目前所有医学诊断和试验服务均已暂停，该分公司年营收超4亿美元。Synlab在声明中透露，4月18日凌晨遭到安全入侵，为限制破坏活动，所有计算机不得不关闭。声明还称：“在发现入侵事件后，IT部门立即执行了公司的安全程序，从网络中隔离了公司的所有基础设施，并关闭了所有机器。”尽管公司尚未确认，但一些敏感的医疗数据可能已经被攻击者获取。

原文链接：

https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack/

2.美国知名电信运营商遭网络攻击，部分系统关停致使运营中断

4月18日Bleeping Computer消息，美国知名电信运营商边疆通信（Frontier Communications）在SEC报告中披露，部分IT系统被不明网络犯罪团伙入侵，目前正在努力恢复系统。边疆通信表示攻击者可能访问了一些个人可识别信息（PII），但并未透露这些数据是属于客户、员工还是两者都有。在发现攻击事件后，边疆通信被迫部分关闭一些系统，以防威胁行为者通过网络横向移动。该公司表示，系统关闭导致“相当严重的”运营中断。不过公司认为，该事件不会对公司财务状况或经营业绩产生重大影响。

原文链接：

https://www.bleepingcomputer.com/news/security/frontier-communications-shuts-down-systems-after-cyberattack/

PART 04

政策法规

1.商务部印发《数字商务三年行动计划（2024-2026年）》

4月26日，商务部印发《数字商务三年行动计划（2024-2026年）》，提出推动商务各领域数字化发展的具体举措。该文件提出，建立商务领域数据分类分级保护制度，形成重要数据目录，提升数据处理者安全意识和防护能力，支持北京、上海、天津等自由贸易试验区探索建立合法安全便利的数据跨境流动机制。该文件还要求，守住安全底线，保障商务领域数据安全和网络安全，坚决维护国家主权、安全、发展利益，严格落实“三管三必须”责任，防范数字商务领域安全生产风险。

原文链接：

http://interview.mofcom.gov.cn/mofcom_interview/front/opdata/downlodePdf?id=20240403506347

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！