安全简讯（2025.01.10）

1. Ivanti 警告：黑客利用 Connect Secure 零日漏洞安装恶意软件

1月8日，Ivanti 警告称，黑客正在利用 Connect Secure 远程代码执行漏洞（CVE-2025-0282）进行零日攻击，在设备上安装恶意软件。该漏洞存在于 Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 网关的旧版本中，允许未经身份验证的攻击者远程执行代码。Ivanti 通过其完整性检查工具（ICT）检测到恶意活动后，确认了这一威胁。目前，只有 Ivanti Connect Secure 设备被确认受到利用。Ivanti 已紧急发布针对 Connect Secure 的安全补丁，并计划在 2025 年 1 月 21 日发布针对 Policy Secure 和 Neurons for ZTA 网关的补丁。尽管 Policy Secure 和 Neurons ZTA 网关被认为被利用的风险较低，Ivanti 仍建议客户确保其设备按建议配置，并不暴露在互联网上。同时，Ivanti 建议所有 Connect Secure 管理员执行内部和外部 ICT 扫描，并在必要时恢复出厂设置以删除恶意软件。

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-connect-secure-flaw-used-in-zero-day-attacks/

2. Garmin Connect遭遇全球范围严重中断

1月8日，Garmin Connect是一款广受欢迎的在线运动追踪工具，近期遭遇了严重的服务中断，导致全球范围内数十万用户无法正常使用。当Cybernews主编展示其应用中的统计数据时，我们惊讶地发现，包括Garmin连接、潜水、高尔夫在内的多个平台已处于离线状态，且众多功能如活动详情、上传、挑战与联系、心电图、Garmin教练等也已被关闭。尽管Garmin手表可以独立于应用运行，但用户无法上传活动记录或参与挑战，相关统计数据也可能因此丢失。这一事件引起了用户的强烈不满，他们纷纷在社交媒体上表达愤怒，并有人猜测是否再次遭遇了黑客攻击。据DownDector网站报道，此次中断已波及澳大利亚、加拿大、美国、英国等多个国家。尤为尴尬的是，此次中断恰好发生在Garmin发布最新款手表Instinct 3之后，无疑给品牌形象带来了负面影响。

https://cybernews.com/news/garmin-connect-major-outage/

3. 乌克兰黑客宣布入侵俄罗斯ISP Nodex并清除系统

1月8日，乌克兰网络联盟的一个黑客组织周二宣布成功入侵了俄罗斯互联网服务提供商Nodex的网络，窃取敏感文件后清除了被黑系统。黑客在Telegram上发布了攻击过程中针对Nodex的VMware、Veeam备份和惠普企业虚拟基础设施的截图作为证据。Nodex随后在VKontakte上证实了这一攻击，表示其基础设施遭到攻击，网络已被摧毁，并正在从备份中恢复。互联网监控组织NetBlocks也发现Nodex的网络服务连接在攻击后崩溃。尽管Nodex努力恢复系统，但其网站一度瘫痪，且无法提供恢复时间表。然而，Nodex随后发布了恢复过程的更新信息，表示网络核心已恢复，DHCP服务器已上线，许多客户可以重新连接互联网。乌克兰网络联盟自2016年起活跃，声称发生了多起影响俄罗斯各组织的入侵事件，包括政府机构和媒体等。2023年10月，乌克兰黑客还入侵了Trigona勒索软件团伙的服务器，窃取所有数据后将其清除。

https://www.bleepingcomputer.com/news/security/russian-isp-confirms-ukrainian-hackers-destroyed-its-network/

4. 黑客试图利用CRLF注入攻击GFI KerioControl防火墙

1月8日，黑客正在利用CVE-2024-52875这一严重的CRLF注入漏洞，对GFI KerioControl防火墙产品发动一键远程代码执行(RCE)攻击。KerioControl是一种专为中小型企业设计的网络安全解决方案，融合了多种安全功能。2024年12月16日，安全研究员Egidio Romano发布了关于该漏洞的详细报告，指出一个看似低严重性的HTTP响应拆分问题可以升级为RCE攻击。该漏洞影响KerioControl 9.2.5至9.4.5版本，由于处理不当的换行符导致，允许通过注入有效载荷操纵HTTP标头和响应。攻击者可以利用此漏洞在受害者浏览器上执行恶意JavaScript，提取cookie或CSRF令牌，进而上传包含根级shell脚本的恶意文件，利用Kerio升级功能打开反向shell。威胁扫描平台Greynoise已检测到针对该漏洞的攻击尝试，而Censys报告了数万个暴露在互联网上的KerioControl实例，但尚不清楚易受攻击的数量。GFI Software已发布修复该漏洞的补丁版本，建议用户尽快应用。若无法立即修补，管理员应限制对KerioControl Web管理界面的访问，并配置有效的缓解措施。

https://www.bleepingcomputer.com/news/security/hackers-exploit-keriocontrol-firewall-flaw-to-steal-admin-csrf-tokens/

5. CrowdStrike警告：网络钓鱼活动冒充招聘诱骗用户感染XMRig矿工

1月9日，CrowdStrike于2025年1月7日发现一项网络钓鱼活动，该活动冒充网络安全公司，通过发送虚假的工作邀请电子邮件，诱骗求职者下载并感染门罗币加密货币矿工（XMRig）。这些电子邮件声称来自CrowdStrike的就业代理，感谢求职者申请开发人员职位，并指示他们从一个看似合法的CrowdStrike门户网站上下载所谓的“员工CRM应用程序”。该网站（cscrm-hiring[.]com）提供适用于Windows或macOS的下载链接。下载的工具会执行沙盒检查以避免在分析环境中运行，一旦检查通过，就会生成虚假错误消息，同时后台下载并解压包含挖矿机的ZIP文件到系统临时目录。该矿工被设置为后台低负荷运行，以避免被发现，并通过添加批处理脚本到启动目录和在注册表中写入自动启动键来保持持久性。CrowdStrike提醒求职者，应验证电子邮件地址的真实性，并通过官方渠道联系招聘人员，警惕紧急或不寻常的请求、过于诱人的提议，以及要求下载可执行文件的招聘流程。雇主很少要求应聘者下载第三方应用程序，更不会要求预付款。

https://www.bleepingcomputer.com/news/security/fake-crowdstrike-job-offer-emails-target-devs-with-crypto-miners/

6. BayMark Health Services遭遇数据泄露，RansomHub团伙声称负责

1月9日，BayMark Health Services，北美最大的物质使用障碍治疗与康复服务提供商，近期遭遇了一次数据泄露事件。2024年9月，攻击者入侵了BayMark的系统，并在9月24日至10月14日期间访问了包含患者个人和健康信息的文件。BayMark在10月11日IT系统中断后得知此事，并立即采取措施保护系统，同时展开调查并通知了执法部门。泄露的信息包括患者的姓名、社会安全号码、驾驶执照号码、出生日期、服务记录、保险信息以及治疗提供者和治疗/诊断信息。尽管BayMark未公开受影响患者的总数，但RansomHub勒索软件团伙声称对此次攻击负责，并称从BayMark系统中窃取了1.5TB的文件，这些数据随后被上传到暗网泄密网站上。BayMark为可能暴露社会安全号码或驾驶执照号码的患者提供了一年的免费Equifax身份监控服务。

https://www.bleepingcomputer.com/news/security/largest-us-addiction-treatment-provider-notifies-patients-of-data-breach/