(10/28--11/03）

LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险

WordPress 一款流行插件LiteSpeed Cache 的免费版本最近修复了一个高危的权限提升缺陷，该漏洞可能允许未经身份验证的网站访问者获得管理员权限。

LiteSpeed Cache 是一个缓存插件，被超过 600 万个 WordPress 网站使用，有助于加速和改善用户浏览体验。

新发现的被跟踪为 CVE-2024-50550 的高严重性漏洞是由插件的“角色模拟”功能中的弱哈希检查引起的，该功能旨在模拟用户角色，以帮助爬虫从不同的用户级别进行站点扫描。

该功能的函数 （'is_role_simulation（）'） 使用存储在 cookie 中的弱安全哈希值（'litespeed_hash' 和 'litespeed_flash_hash'）执行两个主要检查。但是，这些哈希值的生成具有有限的随机性，因此在某些配置下是可预测的。

要使 CVE-2024-50550 可被利用，需要在爬网程序中配置以下设置：

1. 运行持续时间和间隔设置在 2500 到 4000 秒之间。

2. 服务器负载限制设置为 0。

3. 角色模拟设置为 administrator。

Patchstack 的安全研究员称，尽管哈希值有 32 个字符长度，但攻击者可以在 100 万种可能性的集合中进行暴力破解。

成功利用此漏洞的攻击者可以模拟管理员角色，这意味着他们可以上传和安装任意插件或恶意软件、访问后端数据库、编辑网页等。

10 月 17 日，供应商 LiteSpeed Technologies 在插件的 6.5.2 版本中发布了针对 CVE-2024-50550 的修复程序，提高了哈希值的随机性，并使暴力破解变得几乎无效。但根据 WordPress.org 下载统计数据，自补丁发布以来，大约有 200 万个网站进行了升级，仍有 400 万个网站暴露在漏洞中。

Windows 11任务管理器出Bug了

能伪造通话界面，FakeCall恶意软件变种在安卓手机中传播

据Hackread消息，Zimperium's zLabs 的网络安全研究人员发现了 FakeCall 恶意软件的一个新变种，能够诱导受害者拨打诈骗电话，导致身份信息被窃取。

FakeCall 是一种语音钓鱼类型的网络钓鱼恶意软件，一旦安装，就能完全控制住安卓系统手机。而最新的变种还具备了几项新功能：选择性上传特定图像、远程控制屏幕、模拟用户操作、捕获和传输实时视频以及远程解锁设备，这些功能可以捕获敏感文件或用户个人照片。

FakeCall 恶意软件通常从受到攻击的网站或钓鱼邮件中渗透到设备，并请求成为默认呼叫处理程序的权限， 如果获得许可，恶意软件就会获得大量权限。

根据 Zimperium 与 Hackread分享的博文，攻击者在攻击过程中使用了一种名为 "电话监听器服务 "的功能，这项服务是恶意软件的重要组成部分，使其能够操纵设备的通话功能，从而拦截和控制所有来电和去电，并窃取敏感信息，如一次性密码（OTP）或账户验证码。

恶意软件还能操纵设备显示屏，显示虚假的通话界面，诱骗受害者提供敏感信息。它还可以操纵通话记录来隐藏其恶意活动并控制通话时间。攻击者可以利用这些功能欺骗受害者，使其泄露敏感信息并进一步造成经济上的损失。

此外，该恶意软件还利用安卓辅助功能服务捕获屏幕内容并操纵设备显示屏，在模仿合法手机应用的同时创建欺骗性用户界面。 通过监控来自Stock Dialer 应用程序的事件，并检测来自系统权限管理器和系统 UI 的权限提示。在检测到特定事件时，该恶意软件可以绕过用户同意授予的权限，让远程攻击者控制受害者的设备 UI，从而模拟用户交互并精确操纵设备。

目前谷歌已经调查了受 Scary 恶意软件模仿影响到的应用程序，并表示Google Play 上的所有应用程序都受到保护，不受新变体的影响。为了防范此类恶意软件，建议用户从可信来源下载应用程序，谨慎处理权限请求，并使用具有设备检测功能的移动安全软件。

Redline、Meta信息窃取恶意软件被警方查获

E安全消息，荷兰警察“马格努斯行动”（Operation Magnus）查封了Redline和Meta信息窃取恶意软件网络基础设施并已警告网络犯罪分子。

马格努斯行动在网站上宣布了对Redline和Meta行动的破坏，并表示目前正在根据查获的数据采取法律行动。

Redline和Meta是信息窃取软件，从被感染设备上的浏览器窃取存储信息的恶意软件，包括凭证、认证cookie、浏览历史、敏感文件、SSH密钥和加密货币钱包。

然后，这些数据被威胁行为者出售或用于大规模网络入侵，导致数据盗窃、勒索软件攻击和网络间谍活动。

荷兰的警察部门（Politie）表示，他们借助包括FBI、NCIS、美国司法部、Eurojust、NCA以及葡萄牙和比利时警察部队在内的国际执法合作伙伴的帮助，破坏了这一操作。

当局称，Meta和Redline共享相同的基础设施，因此很可能是同一个创造者/操作者在背后。另外，他们获得了源代码的访问权限，包括许可服务器、REST-API服务、面板、窃取者二进制文件和Telegram机器人。

恶意软件研究员告诉外媒，Redline和Meta都是通过Telegram上的机器人出售的，这些机器人现在已经被删除。

#03 数据安全

利用Windows漏洞，攻击者能降级系统组件恢复漏洞

谷歌威胁分析小组（TAG）警告称，三星存在一个零日漏洞，被追踪为 CVE-2024-44068（CVSS 得分为 8.1），且该漏洞已被发现存在被利用的情况。

攻击者可利用该漏洞在安卓设备上提升权限。专家称该漏洞存在于三星移动处理器中，且已与其他漏洞连锁，可在易受攻击的设备上实现任意代码执行。

今年 10 月，三星已正式发布安全更新，解决了这一漏洞。其集团发布的公告中写道：移动处理器中的‘自由使用’（Use-After-Free）会导致权限升级。公司并未证实该漏洞在野外被积极利用。

受到该漏洞影响的版本包括：Exynos 9820、9825、980、990、850 和 W920。

该漏洞最早是由谷歌设备与服务安全研究部门的研究人员金星宇（Xingyu Jin）和谷歌威胁分析小组的克莱门特-莱西金（Clement Lecigene）发现的。

谷歌 TAG 发现该漏洞的事实表明，商业间谍软件供应商可能已经利用该漏洞瞄准了三星设备。谷歌零项目发布的公告警告说，零日漏洞是权限提升链的一部分。行为者能够在有权限的进程中执行任意代码。该漏洞还将进程名称重命名为 “[email protected]”，可能是出于反取证目的。

谷歌研究人员在报告中解释说，该漏洞存在于一个为 JPEG 解码和图像缩放等媒体功能提供硬件加速的驱动程序中。

通过IOCTL M2M1SHOT_IOC_PROCESS交互，为JPEG解码和图像缩放等媒体功能提供硬件加速的驱动程序可能会将用户空间页面映射到 I/O 页面，执行固件命令并删除映射的 I/O 页面。

该漏洞通过取消映射 PFNMAP 页来工作，从而导致‘释放后使用’漏洞，即 I/O 虚拟页可能映射到已释放的物理内存。然后，漏洞利用代码使用特定的固件命令复制数据，可能会覆盖页表中的页中间目录（PMD）条目。这可以通过向页表发送垃圾邮件、操纵内核内存和利用释放的页面来导致内核空间镜像攻击 （KSMA）。

美国超大型数据泄露事件曝光：超1亿人数据被盗

联合健康（UnitedHealth）首次证实，在 Change Healthcare 勒索软件攻击中，有超过 1 亿人的个人信息和医疗保健数据被盗，这是近年来最大的医疗保健数据泄露事件。

今年 5 月，UnitedHealth 首席执行官安德鲁-威蒂（Andrew Witty）在国会听证会上警告说，“可能有三分之一 ”的美国人健康数据在这次攻击中暴露。

一个月后，Change Healthcare 发布了一份数据泄露通知，警告称 2 月份针对 Change Healthcare 的勒索软件攻击暴露了 “相当一部分美国人 ”的 “大量数据”。

今天，美国卫生与公众服务部公民权利办公室数据泄露门户网站将受影响的总人数更新为 1 亿人，这也是 Change Healthcare 的母公司 UnitedHealth 首次为此次数据泄露事件提供官方数字。

上周二（10月22日） ，Change Healthcare通知OCR，已就此次数据泄露事件发出约1亿份个人通知，"OCR网站上更新的常见问题中写道。

Change Healthcare 自 6 月份以来发送的数据泄露通知称，在 2 月份的勒索软件攻击中，大量敏感信息被盗，其中包括：

• 健康保险信息（如主要、次要或其他健康计划/保单、保险公司、会员/团体 ID 编号以及医疗补助-医疗保险-政府付款人 ID 编号）；

• 健康信息（如医疗记录编号、医疗服务提供者、诊断、药品、检查结果、图像、护理和治疗）；

• 账单、索赔和付款信息（如索赔号、账号、账单代码、付款卡、财务和银行信息、已付款项和应付余额）；

• 和/或其他个人信息，如社会安全号、驾照或州身份证号码或护照号码。

每个人的信息可能不同，并非每个人的病史都会被暴露。

这次数据泄露事件是由 UnitedHealth 子公司 Change Healthcare 2 月份遭受的勒索软件攻击引起的，该攻击导致美国医疗系统大面积中断。该公司 IT 系统的中断导致医生和药店无法提交报销申请，药店也无法接受折扣处方卡，导致患者不得不支付全额药费。

BlackCat 勒索软件团伙（又名 ALPHV）使用窃取的凭证入侵了该公司的 Citrix 远程访问服务，而该服务没有启用多因素身份验证。在攻击过程中，威胁者窃取了 6 TB 的数据，并最终加密了网络上的计算机，导致公司关闭 IT 系统以防止攻击扩散。

联合健康集团承认支付了赎金，以获得解密器并让威胁者删除被盗数据。据实施攻击的 BlackCat 勒索软件附属公司称，支付的赎金据称为 2200 万美元。这笔赎金本应由附属公司和勒索软件运营公司平分，但 BlackCat 突然关闭，将全部赎金据为己有，并实施了退出骗局。

然而，Change Healthcare 的问题并没有就此结束，因为该联盟声称他们仍然拥有该公司的数据，并且没有按照承诺删除这些数据。该联盟与一个名为 RansomHub 的新勒索软件合作，开始泄露部分被盗数据，并要求支付额外费用才能不公开数据。

几天后，RansomHub 数据泄漏网站上的 Change Healthcare 条目神秘消失，这可能表明联合健康支付了第二笔赎金。

4月，联合健康曾表示，Change Healthcare 勒索软件攻击造成了 8.72 亿美元的损失，而截至 9 月 30 日损失预计增加到 24.5 亿美元。

黑莓公司宣布，在马来西亚建立亚太地区网络安全总部

遭勒索攻击后，秘鲁国际银行承认数据泄露

秘鲁最大的金融机构之一，秘鲁国际银行 （Interbank）承认遭勒索组织攻击，攻击者成功入侵其IT系统，并窃取了相关用户数据。泄露的数据包括客户的全名、账户ID、出生日期、地址、电话号码、电子邮件、信用卡信息及其他敏感信息。

秘鲁国际银行成立于1897年，是秘鲁历史悠久的金融机构之一，目前拥有客户数量超过500万，主要为企业和中小企业提供储蓄、贷款等银行服务，涉及保险、零售、房地产和金融领域。

10月31日，秘鲁国际银行发布公告称，目前已确认黑客窃取了大量的用户数据，我们立即部署相应安全措施来保障用户的金融和信息安全。尽管该银行App在31日和前两周都发生过一次宕机情况，但银行表示中断后大部分操作已恢复在线，客户存款的安全性没有问题，并强调当安全调查工作完成后，银行所有的服务都将恢复运营。

尽管银行尚未披露在泄露中被盗或曝光的客户的确切数量，但Dark Web Informer发现，一个昵称为“kzoldyck”的勒索组织正在暗网上售卖，据称是从秘鲁国际银行系统中窃取的数据。该勒索组织称已经掌握了超过300万客户的信息，并上传了3.7TB的数据样本至暗网，其中包含很多内部API凭证、LDAP、Azure凭证等 。

该勒索组织称前两周和秘鲁国际银行高层谈判，但最终银行选择不支付赎金。在勒索目标失败后，攻击者将数据放到暗网上售卖。这将会给客户带来了严重的隐私和安全风险，包括个人信息被盗用和财产损失的可能性。

这个健身App意外泄露多位总统的位置信息

位置打卡、路径分享近来已成为不好运动类应用的标配功能，但这些数据在记录自己锻炼历程的同时，也可能不经意间泄露个人行动数据，如果有用户身居要职，那这些数据将不再是侵犯个人隐私那么简单。

做为一款全球拥有1.2亿用户的流行健身应用程序，Strava能够记录跑步和骑行等在内的运动轨迹，但法国媒体《世界报》发现，一些国家政要的贴身安保人员也是用户之一，其轨迹能够反映这些政要去了哪里，在做什么，给国家安全留下严重隐患。

根据调查发现，即使是在特朗普被暗杀未遂后的几周内，一些美国特勤局特工活跃在 Strava 上。《世界报》称，这意味着至少可以在网上轻松追踪总统竞选人特朗普、哈里斯，以及现任总统拜登的一些保密动向。此外，他们还在Strava上找到了署于法国总统马克龙、俄罗斯总统普京的安保人员。

该报一共确定了 26 名美国特工、12 名法国 GSPR（共和国总统安全小组）成员和 6 名俄罗斯 FSO（联邦保护局）成员，他们都负责总统安全，并在 Strava 上拥有公共账户。

在浏览这12名马克龙安保人员的他们的 Strava 记录后，发现了马克龙将要出访日本、俄罗斯、以色列的行程行程。因为在正式访问数天前，这些安保人员已经提前抵达，提前确认相关行程的安全性。

Strava 记录甚至还曝光了马克龙入驻的酒店。例如在马克龙2020年9月28日抵达立陶宛维尔纽斯的三天前，安保人员已在当地留下足迹，并最后在一家五星级酒店门口停留。而这家酒店，刚好是马克龙随后入驻的酒店，并在这里与流亡立陶宛的白俄罗斯反对派主要人物交谈。

法国总统官方机构也回应称GSPR的某些成员在跑步时使用了Strava软件，但对总统的安全没有任何影响，安全风险完全不存在。美国特勤局告诉《世界报》，其工作人员在执勤时不允许使用个人设备，但警卫可以在下班后使用社交媒体，并表示这不会对安保行动构成威胁。

在 Strava 上可供跟踪的数据无疑可能会导致安全漏洞，除了安全人员通常会提前前往领导人下榻和举行会议的地点，即便是在非工作时间，识别出这些人员的个人生活细节和轨迹，也可能被用来向他们施加压力以达到恶意目的。《世界报 》 警告说 ，这些人员可能因此遭威胁，从而影响总统的人身安全。

而这也不是 Strava第一次卷入泄露国家机密行动的漩涡中。早在2017年，Strava 发布的全球健身热区图就曾被指暴露了美军人员在中东地区的机密活动位置、基地位置、补给线和巡逻路线。因为在战乱地区，当地人鲜有使用健身手环这种“高端”的设备，因此美军的这些运动轨迹就会显得异常显著。

2018年，法国也发现该应用内存有派驻海外的法国士兵的相关信息，从而可以定位到他们位于马里、尼日尔等国的法国军事基地。

对此，美国五角大楼曾表示将严肃处理，法国军方也表示，已向部队方面发布严密指令，尤其禁止相关人员在社交媒体上发布个人信息，以及在外执行任务期间发布消息。

法国第二大互联网服务商遭遇数据泄露，波及1900万用户

据BleepingComputer消息，法国主要互联网服务提供商 （ISP） Free 在上周末证实，稍早前有黑客入侵了其系统并窃取了用户的个人信息。

Free是法国第二大电信公司，也是欧洲第六大移动运营商 Iliad Group 的子公司，截至今年 6 月底，其移动和固话用户超过 2290 万。

Free 告诉 BleepingComputer，事后已向检察官提起了刑事诉讼，并将该事件通知了法国国家信息技术和公民自由委员会 （CNIL） 和国家信息系统安全局 （ANSSI）。对于受影响的用户将很快收到电子邮件通知。

Free声称，这次攻击的目标是窃取用户数据的管理工具。但是，攻击者无法访问用户密码、银行卡信息和通信内容。另外，公司没有观察到黑客的攻击对服务和运营的影响，并立即采取了一切必要措施来加强对信息系统的保护。

但这些被窃取的数据已经出现在了黑客论坛，在 BreachForums 上，这些数据正在被拍卖。被称为“drussellx”的黑客声称，该泄露影响了1920 万用户（约占法国近三分之一的人口），包含超过 511 万个 IBAN（国际银行账户）号码 。

黑客论坛上发布出售的被盗数据

这些被盗的数据还被展示出一个档案库，其中包含一些据称被盗的数据、截图和数据库标题，以显示这些数据的真实性。

关于被盗的 IBAN，Free 表示，黑客只能窃取某些固定用户的 IBAN，而且这些 IBAN不足以让黑客从中窃取到资金。如果用户发现不寻常的扣款，可以有13个月的时间报告遭遇了欺诈行为，银行有义务对资金进行偿还。

消息由湖南省网络空间安全协会整理编辑，涉及版权请联系删除，如有转载请标明出处。