六方云 安全态势周刊丨第328期

1、2024年度最活跃的勒索软件组织TOP 10

2024年勒索软件领域经历了重大变化，尽管ALPHV/BlackCat和LockBit等主要勒索软件集团受到执法打击，勒索软件即服务（RaaS）显示出强大韧性，新组织不断涌现。Infosecurity根据Ransomware.live、RansomLook、Corvus Insurance和Recorded Future等来源数据，评选出本年度最活跃的10大勒索软件组织，包括RansomHub、Play、Akira、Hunters International、Medusa、Qilin、BlackBasta、BianLian、INC Ransom和BlackSuit。这些组织通过利用漏洞、供应链攻击和数据泄露等手段对全球组织造成威胁。特别值得注意的是RansomHub，它在2024年2月出现，迅速成为最活跃的RaaS品牌之一。此外，LockBit 3.0虽然遭受打击，但依然保持活跃。这些组织的成功展示了勒索软件生态系统的适应性和持续威胁，预示着2025年网络安全领域需继续保持警惕，加强防御策略和国际合作。
https://www.secrss.com/articles/74100

2、Windows Defender成黑客武器，可禁用EDR

据Cyber Security News消息，安全专家发现了一种复杂的攻击技术，能利用 Windows Defender 应用程序控制 (WDAC) 来禁用 Windows 设备上的端点检测和响应 (EDR) 传感器，攻击者可以此绕过安全检测对系统发动攻击。WDAC 是 Windows 10 和 Windows Server 2016 引入的一项技术，旨在让组织对 Windows 设备上的可执行代码进行精细控制。利用WDAC的攻击技术属于 MITRE ATT&CK 框架的 "损害防御 "类别（T1562），允许拥有管理权限的攻击者制定和部署专门设计的 WDAC 策略。这些策略可以有效阻止 EDR 传感器在系统启动时加载，使其无法工作，让攻击者可以在不受这些关键安全解决方案限制的情况下进行操作。攻击方式多种多样，既可以针对单个设备，也可以攻击整个域。在最严重的情况下，拥有域管理员权限的攻击者可以在整个组织内分发恶意 WDAC 策略，系统性地禁用所有端点上的 EDR 传感器。

1、日本航空遭黑客攻击，大量航班延误

当地时间12月26日，据日本航空公司消息，当天7时30分左右，连接该公司内部与外部的网络设备遭遇网络攻击，导致与外部通信的系统出现故障。日本航空公司方面称，截至当天10时，受网络攻击影响，至少有9个日本国内航班出现延误，最长约1小时，预计影响范围可能会进一步扩大。

https://www.freebuf.com/news/418557.html

2、罗克韦尔自动化 PowerMonitor 1000 设备存在严重漏洞

罗克韦尔自动化（Rockwell Automation）发布重要安全公告，强调了影响其 PowerMonitor 1000 设备的三个严重漏洞。这些漏洞由 Claroty Research – Team82 的 Vera Mens 发现，具有重大风险，包括远程代码执行、拒绝服务 (DoS) 和设备接管。这些漏洞被追踪为 CVE-2024-12371、CVE-2024-12372 和 CVE-2024-12373，每个漏洞的 CVSS v3.1 基本分值均为 9.8/10，凸显了其严重性。

CVE-2024-12371：该漏洞使攻击者能够通过未经验证的 API 调用配置新的特权 “保单持有人 ”用户。正如罗克韦尔自动化所指出的，“保单持有人用户是权限最高的用户，可以执行编辑操作、创建管理员用户和执行出厂重置”。

CVE-2024-12372：此漏洞涉及堆内存损坏，可能危及系统完整性。利用此漏洞可能导致远程代码执行或拒绝服务攻击。

CVE-2024-12373：缓冲区溢出问题，可能导致拒绝服务情况，中断设备功能，并可能导致工业运行。

https://www.anquanke.com/post/id/302929

03.

安全事件

1、欧洲航天局官方商店遭黑客攻击

近日，欧洲航天局官方商店在圣诞节购物季遭黑客攻击，黑客在网页中植入恶意代码，在用户结账时窃取信用卡信息。恶意代码利用ESA官方商店的合法外观进行伪装，使得用户难以察觉异常。攻击者通过在代码中加载Stripe SDK的混淆HTML版本，呈现了一个视觉上毫无破绽的假支付页面，并将数据发送至攻击者控制的外部域名。Sansec表示，这一攻击不仅影响购买ESA商品的消费者，也可能对ESA内部系统构成威胁。由于该商店似乎与ESA的某些系统有集成关系（需使用ESA员工邮箱登陆），黑客可能通过恶意代码间接获取敏感数据，甚至威胁ESA员工的数字安全。

https://www.secrss.com/articles/73944

2、新型恶意软件针对中文地区展开网络攻击活动

网络安全厂商Elastic Security最近观察到一个新的攻击入侵活动，目标直指讲中文的地区，跟踪命名为REF3864。这些有组织的活动通过伪装成合法软件，如网络浏览器或社交媒体信息服务，来瞄准受害者。背后的攻击组织在跨多个平台（包括Linux、Windows和Android）传播恶意软件方面表现出了一定的多样性。

https://www.secrss.com/articles/74099

04.

漏洞事件

1、Apache Traffic Control 中发现9.9分严重 SQL 注入漏洞

Apache Traffic Control 是一个流行的开源平台，用于构建大规模内容交付网络 (CDN)。该漏洞被认定为 CVE-2024-45387，CVSS 得分为 9.9，攻击者可利用该漏洞执行恶意 SQL 代码，从而可能危及敏感数据并中断关键服务。该漏洞源于 Apache Traffic Control 8.0.0 和 8.0.1 版本的 Traffic Ops 组件中的 SQL 注入漏洞。“官方漏洞报告解释说：”Traffic Ops 中的 SQL 注入漏洞……允许角色为‘admin’、‘federation’、‘operations’、‘portal’或‘steering’的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL。这意味着拥有一定权限访问 Traffic Ops 的恶意行为者可以利用这个漏洞操纵底层数据库。后果可能包括数据泄露和未经授权的访问，甚至完全接管系统。

https://www.anquanke.com/post/id/303009

2、Adobe最新漏洞被披露，已有PoC代码流出

Adobe近期发布了紧急安全更新，针对ColdFusion中的一个关键漏洞，该漏洞已有概念验证（PoC）代码流出。根据周一的公告，这个编号为CVE-2024-53961的漏洞源于路径遍历弱点，影响了Adobe ColdFusion 2023和2021版本，攻击者可借此读取易受攻击服务器上的任意文件。Adobe指出，鉴于该漏洞已有可用的PoC代码，可能导致任意文件系统读取，因此将其评为“优先级1”严重等级，警示用户该漏洞面临更高的被攻击风险。Adobe建议管理员尽快安装当天发布的紧急安全补丁（ColdFusion 2021更新18和ColdFusion 2023更新12），最好在72小时内完成，并按照ColdFusion 2023和ColdFusion 2021锁定指南中的安全配置设置进行操作。

https://www.freebuf.com/news/418426.html

3、锐捷网络云管理平台爆出严重漏洞，可从云端劫持WiFi热点

近日，网络安全研究人员在锐捷网络的云管理平台中发现多个严重漏洞，这些漏洞可能使攻击者全面控制网络设备，进而对企业和个人用户的网络安全构成重大威胁。来自工控安全公司Claroty的研究人员NoamMoshe和Tomer Goldschmidt指出，这些漏洞不仅影响锐捷的睿易云管理平台（Reyee），还波及基于Reyee OS的网络设备。研究团队不仅发现了多达10个漏洞，还设计了一种名为“Open Sesame”的攻击方式，可通过云端入侵物理附近的接入点，从而未经授权访问网络。在发现的10个漏洞中有三个高危漏洞，如下：

CVE-2024-47547，评分：9.4（高危漏洞），问题：弱密码恢复机制，使身份验证机制易受暴力破解攻击。

CVE-2024-48874，评分：9.8（高危漏洞），问题：服务端请求伪造（SSRF）漏洞，攻击者可利用其访问AWS云元数据服务，渗透锐捷的内部云基础设施。

CVE-2024-52324，评分：9.8（高危漏洞），问题：使用高风险功能，允许攻击者发送恶意MQTT消息，导致设备执行任意操作系统命令。

https://www.secrss.com/articles/74010