安全简讯（2024.09.13）

1. Ruby-SAML库曝漏洞CVE-2024-45409，危及身份验证安全

9月11日，Ruby-SAML库作为实施SAML（安全断言标记语言）授权的重要工具，近期被曝出严重安全漏洞CVE-2024-45409，其CVSS评分高达10，表明其极高的危害性。此漏洞存在于Ruby-SAML的多个版本中，主要因XPath选择器错误导致，使得SAML响应的签名验证失效。SAML作为单点登录（SSO）的核心协议，其签名完整性的缺失直接威胁到系统的安全性。攻击者无需身份验证，仅通过伪造或篡改包含任意数据的SAML响应，即可轻松绕过身份验证机制，假冒任何用户身份登录系统，从而获取对敏感数据和关键系统的未授权访问权限。这一漏洞的广泛影响不容忽视，因为众多组织依赖SAML身份验证来保障应用访问安全，一旦遭到利用，将可能导致用户数据泄露和企业资产受损。提醒所有Ruby-SAML用户立即采取行动，更新至最新安全版本，以防范潜在的安全风险。

https://securityonline.info/cve-2024-45409-cvss-10-critical-ruby-saml-flaw-leaves-user-accounts-exposed/

2. 查尔斯·达尔文学校遭勒索软件攻击紧急停课

9月9日，英国伦敦南部的查尔斯·达尔文学校因遭受勒索软件攻击，宣布本周前三天将关闭校园进行网络安全清理工作，此举影响了约1300名学生的正常学习。自9月5日起，学生被迫离校，校长Aston Smith随后向家长通报，此次IT问题实为严重的勒索软件攻击，导致所有员工设备被移除以进行安全处理。因此，学校决定在下周一、二、三暂停授课，以便教师重新规划课程，管理层则致力于构建新系统以恢复学校运营。同时，学生的微软Office 365账户被暂时禁用，以防进一步风险。校长强调，在此期间，家长与学生应通过官方学习平台Satchel One获取最新通知，切勿轻信任何未经核实的邮件或链接。鉴于数据泄露的可能性，学校正与网络安全专家紧密合作，但具体损失细节尚待调查完成后公布。校长还指出，尽管学校已采取先进的安全措施，此类网络攻击仍日益猖獗，与近期英国多起知名机构遭袭事件相似，凸显了网络安全挑战的严峻性。

https://therecord.media/ransomware-attack-forces-london-high-school-to-close

3. 百万安卓电视盒遭Vo1d后门恶意软件攻击，全球多国沦陷

9月12日，威胁者利用新型Vo1d后门恶意软件，成功感染了全球超过130万台运行Android系统的电视流媒体盒，主要集中于巴西、摩洛哥等多国，赋予攻击者对这些设备的完全控制权。这款恶意软件源自Android开源项目（AOSP），由Google主导，广泛用于多种设备。Dr.Web的研究揭示，Vo1d恶意软件通过篡改Android的启动脚本（如install-recovery.sh、daemonsu等），实现在设备上的持久存在与自动启动。其主要功能由vo1d和wd两个组件协同完成，vo1d负责wd的启动与控制，并能执行来自C&C服务器的命令；wd则负责安装守护进程，监视目录并安装APK文件。感染途径虽尚不明确，但推测可能涉及操作系统漏洞的利用或非官方固件中的root权限漏洞。为防止进一步感染，Android用户应定期检查并安装固件更新，同时避免使用来自非官方渠道的APK应用。鉴于受感染设备实际运行的是AOSP而非Android TV，这一发现强调了即使是基于开源项目的设备也需保持警惕，以防遭受类似攻击。

https://www.bleepingcomputer.com/news/security/new-vo1d-malware-infects-13-million-android-streaming-boxes/

4. Hadooken恶意软件瞄准Oracle WebLogic服务器

9月13日，Aqua的研究团队最近揭示了针对Oracle WebLogic服务器的系列攻击，这些攻击利用弱密码作为突破口，部署了一种新兴的Linux恶意软件Hadooken。Aqua在监控中捕获到数十起此类入侵，表明攻击活动活跃且频繁。Hadooken 很可能以《街头霸王》电子游戏系列中的一次攻击命名，集成了加密矿工与潜在的Tsunami DDoS僵尸网络功能。Hadooken通过创建cronjob实现持久化，并包含窃取用户凭证的脚本，便于攻击者横向扩展至其他服务器。Aqua追踪到Hadooken下载源自两个IP地址之一与英国某托管公司相关，但无直接证据表明该公司涉恶。进一步分析显示，Hadooken与RHOMBUS和NoEscape勒索软件存在技术关联，暗示攻击者可能同时瞄准Windows端点执行勒索软件，并利用Linux服务器部署后门和加密矿工，针对大型企业实施复合型威胁。

https://www.theregister.com/2024/09/13/hadooken_attacks_oracle_weblogic/

5. 黑客利用Azure SharePoint漏洞导致Fortinet 440GB数据泄露

9月12日，黑客“Fortibitch”在地下论坛Breach Forum上声称从网络安全巨头Fortinet的Azure SharePoint实例中窃取了440GB的数据，该漏洞被命名为“Fortileak”。黑客指责Fortinet的Azure SharePoint暴露并被入侵，导致数据泄露，并分享了访问凭证以便下载这些数据。黑客还提到Fortinet的CEO谢肯拒绝了赎金要求，并嘲笑其态度。Fortinet官方回应称，一名未授权个体访问了存储在第三方云端共享文件驱动器上的有限文件，这些文件涉及“一小部分”客户数据，但公司运营、产品和服务未受影响，且已与客户沟通。此前，Fortinet也遭遇过安全事件，包括被利用零日漏洞和FortiOS操作系统漏洞的攻击。目前，此次数据泄露的严重程度及赎金谈判进展尚不明朗，客户和网络安全领域正密切关注事态发展。

https://hackread.com/fortinet-confirms-data-breach-hacker-data-leak/

6. DockerSpy：自动扫描Docker Hub镜像，守护敏感数据安全

9月11日，DockerSpy 是一款专为解决 Docker 镜像中敏感数据泄露问题而设计的工具，它能自动扫描 Docker Hub 上的图像，快速检索出包括身份验证机密、私钥等在内的敏感信息。创建者 Alisson Moretto 表示，随着 Docker 镜像的广泛使用，尤其是公共镜像库中潜在的安全隐患日益凸显，DockerSpy 的诞生旨在提供一层额外的安全屏障，帮助开发者及时发现并清除镜像中的敏感数据，增强安全性和合规性。DockerSpy 的独特优势在于其与 Docker Hub 的无缝集成，实现了自动化提取和分析镜像的功能，无需手动干预。其先进的扫描引擎能够识别多种形式的机密信息，无论是硬编码的凭证还是隐藏在代码及环境变量中的复杂模式，都能有效捕捉并详细分析潜在风险。目前，DockerSpy 已在 GitHub 上开放下载，供开发者免费使用。

https://www.helpnetsecurity.com/2024/09/11/dockerspy-extract-sensitive-information-docker-hub-images/?web_view=true