安全简讯（2025.01.08）

1. 阿根廷频遭网络攻击：机场安全警察数据泄露成最新事件

1月7日，阿根廷机场安全警察（PSA）近期遭受网络攻击，导致其官员和文职人员的个人及财务数据泄露。据当地媒体报道，一名身份不明的黑客通过国家银行系统漏洞获取了PSA的工资记录，并从员工工资中扣除了2000至5000比索（约合100至245美元）不等的资金，这些欺诈性扣款被列在如“DD mayor”和“DD seguros”等虚假标签下。尽管尚未确定此次攻击是从国外还是阿根廷境内发起，且可能涉及内部同伙，但PSA已封锁部分服务并启动内部网络安全宣传以应对。此外，阿根廷在12月还遭遇了两起电子政务平台遭黑客入侵的事件，导致数百万公民信息泄露。7月，阿根廷电信也报告了勒索软件攻击，多达18000个工作站被加密。4月，黑客声称获取了阿根廷中央银行数据库的访问权限。

https://therecord.media/hackers-target-airport-security-payroll

2. LDAP安全漏洞引发DoS攻击风险，微软已修复并警示

1月3日，网络上近日发布了一个针对Windows轻量级目录访问协议（LDAP）的安全漏洞利用程序，名为LDAPNightmare，该程序可能引发拒绝服务（DoS）攻击。该漏洞为越界读取漏洞，编号为CVE - 2024 - 49113，CVSS评分为7.5，已被微软在2024年12月的补丁日更新中修复。同时，微软还修复了同一组件中的另一个严重漏洞CVE - 2024 - 49112，该漏洞可导致远程代码执行，CVSS评分高达9.8。LDAPNightmare漏洞利用程序通过向未打补丁的Windows Server发送精心构造的DCE/RPC请求，导致本地安全机构子系统服务（LSASS）崩溃，并在发送带有“lm_referral”非零值的特制CLDAP转介响应数据包时强制服务器重启。此外，攻击者还可以利用相同的漏洞利用链，通过修改CLDAP数据包内容，实现远程代码执行。微软建议企业/组织立即修复该漏洞，并实施检测措施以监控可疑的CLDAP转介响应、DsrGetDcNameEx2调用以及DNS SRV查询，以防止被攻击者利用。

https://thehackernews.com/2025/01/ldap nightmare-poc-exploit-crashes-lsass.html

3. 卡西欧遭勒索软件攻击，8500人数据遭泄露

1月7日，日本电子产品巨头卡西欧在2024年10月遭遇了一次严重的勒索软件攻击。攻击者通过网络钓鱼手段于10月5日成功入侵卡西欧的网络系统，导致IT服务中断。10月10日，Underground勒索软件团伙宣称对此次攻击负责，并威胁泄露敏感信息。卡西欧随后证实，员工、商业伙伴及少量客户的个人数据被窃取。经过调查，卡西欧公布了具体的数据泄露细节，包括6456名员工的个人信息、1931名商业伙伴的资料以及91名客户的送货和服务信息。尽管部分员工收到了与此次事件相关的钓鱼邮件，但卡西欧表示，其员工、合作伙伴或客户尚未遭受进一步的损害。卡西欧强调，客户的数据库未受影响，因此信用卡信息未被泄露。在与执法机构、律师和安全专家协商后，卡西欧决定不与网络犯罪分子进行谈判。目前，大多数受影响的服务已恢复正常，但仍有部分服务尚未恢复。值得注意的是，尽管卡西欧的CASIO ID和ClassPad.net平台未受勒索软件直接影响，但在同一时间段也遭遇了其他攻击。

https://www.bleepingcomputer.com/news/security/casio-says-data-of-8-500-people-exposed-in-october-ransomware-attack/

4. 基于Mirai的僵尸网络利用零日漏洞发起全球攻击

1月7日，一个基于Mirai的僵尸网络正在变得日益复杂，它利用零日漏洞攻击工业路由器和智能家居设备的安全漏洞。据Chainxin X Lab研究人员监测，该僵尸网络自2024年11月开始利用以前未知的漏洞，其中包括Four-Faith工业路由器的CVE-2024-12856漏洞。该僵尸网络名称具有恐同的暗指，每天有15,000个活跃节点，主要位于中国、美国、俄罗斯等地，针对指定目标进行分布式拒绝服务(DDoS)攻击以牟利。它利用超过20个公共和私人漏洞传播到互联网暴露的设备，目标包括华硕、华为路由器，Neterbit、LB-Link、Four-Faith路由器，PZT相机，凯卫数字视频录像机，Lilin DVR，通用DVR以及Vimar智能家居设备等。该僵尸网络具有针对弱Telnet密码的暴力破解模块，使用自定义UPX打包，并实现基于Mirai的命令结构。X Lab报告称，其DDoS攻击持续时间短但强度高，流量超过100 Gbps。用户应安装最新设备更新，禁用远程访问，并更改默认管理员帐户凭据以保护设备。

https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/

5. Illumina iSeq 100 DNA测序仪存BIOS/UEFI漏洞，或致设备被禁用

1月7日，美国生物技术公司Illumina的iSeq 100 DNA测序仪被发现存在BIOS/UEFI漏洞，这可能会让攻击者禁用该设备，进而影响疾病检测和疫苗开发。固件安全公司Eclypsium在分析中发现，iSeq 100运行的是过时的BIOS固件版本，且未通过安全启动技术进行保护，存在多个漏洞，包括BIOS写保护缺失、易受LogoFAIL、Spectre 2和微架构数据采样(MDS)攻击等。这些漏洞允许攻击者修改启动设备的代码，甚至篡改测试结果。Eclypsium强调，这些问题不仅限于iSeq 100，使用相同主板的其他医疗或工业设备也可能存在类似问题。Illumina已向受影响的客户发布了补丁，但公司表示初步评估认为这些问题并不具有高风险。然而，Eclypsium警告称，能够覆盖iSeq 100固件的威胁行为者可以轻易禁用该设备，这对于勒索软件参与者来说很有吸引力，因为破坏高价值系统可以迫使受害者支付赎金。此外，国家行为者也可能发现DNA测序系统很有吸引力，因为它们对于疾病检测、疫苗生产等至关重要。

https://www.bleepingcomputer.com/news/security/bios-flaws-expose-iseq-dna-sequencers-to-bootkit-attacks/

6. CISA警告：Oracle WebLogic与Mitel MiCollab系统存在严重漏洞

1月7日，CISA已向美国联邦机构发出警告，要求加强系统防护，以防范Oracle WebLogic Server和Mitel MiCollab系统中存在的严重漏洞。其中，Mitel的MiCollab统一通信平台被发现存在关键路径遍历漏洞（CVE-2024-41713），允许攻击者执行未经授权的管理操作并访问用户和网络信息，无需身份验证即可利用。同时，另一个Mitel MiCollab路径遍历漏洞（CVE-2024-55550）允许具有管理员权限的攻击者读取易受攻击的服务器上的任意文件，但影响有限。此外，Oracle WebLogic Server的一个严重漏洞（CVE-2020-2883）也于四年前得到修补，但未修补的服务器仍面临远程入侵风险。CISA将这三个漏洞添加到其已知被利用漏洞目录中，并标记为被积极利用，要求联邦民事行政部门机构在规定时间内保护其网络。虽然该目录重点关注美国联邦机构，但建议所有组织优先缓解这些安全漏洞，以阻止正在进行的攻击。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-oracle-mitel-flaws-exploited-in-attacks/