1. Struts 2严重漏洞难修复,遗留系统面临高风险
12月20日,Apache Struts 2框架中发现了一个严重的新漏洞(CVE-2024-53677),其修复难度远超简单补丁。尽管Struts 2已过时,但在众多行业的旧版系统中仍广泛存在,这使得新漏洞的修复变得棘手。由于Struts 2组件的枯竭和新技术的发展,修复此漏洞需要更多的手动操作和时间,导致漏洞窗口延长,增加了攻击者利用此弱点的风险。该漏洞是去年相同时间公开的Struts 2漏洞(CVE-2023-50164)的再生版本,位于文件上传拦截器组件中,可启用远程代码执行(RCE)。组织需要升级到最新版本的Struts 6.7.0或至少6.4.0,但此修复并不向后兼容,需要重写代码和调整配置,可能会破坏现有逻辑和依赖关系,进一步加剧了修复的复杂性。澳大利亚、比利时、加拿大、新加坡和英国的国家网络安全中心都发布了紧急安全警告。Struts 2在遗留系统中非常普遍,尤其是在保守行业中,如金融、保险、政府和大型制造或物流。企业需要可靠的攻击面管理和生命周期管理策略,以确保定期更新关键框架并迅速淘汰弃用的组件。
/application-security/actively-exploited-bug-struts-2
2. 追踪公司Hapn泄露了数千名GPS追踪客户的信息
12月18日,GPS追踪公司Hapn(前身为Spytec)因网站漏洞泄露了数千名客户姓名及相关信息。11月底,安全研究人员向TechCrunch发出警告,称客户姓名和所属信息从Hapn的一台服务器中泄露。Hapn允许用户远程监控GPS追踪设备的实时位置,这些设备可连接到车辆或其他物品上。据称,Hapn能追踪超过460,000台设备,客户包括财富500强企业。该漏洞使任何人都能登录Hapn帐户并查看暴露的数据,泄露信息包含8600多个GPS追踪器的IMEI号码及数千名客户的姓名和业务关系,但不包括位置数据。尽管TechCrunch多次联系Hapn,但未获回复。Hapn首席执行官Joe Besdin在文章发表后表示,公司在文章发表前对此次泄露事件毫不知情,数据仅限于三个客户账户,泄露记录涉及2024年4月的数据,并称安全问题已解决。当联系到姓名和所属机构被列在泄露数据中的个人时,有人确认了信息但拒绝谈论GPS追踪器使用情况。此外,安全研究人员开始调查这款GPS追踪器是因为发现客户在网上推荐用其监控配偶或伴侣。
/2024/12/18/tracker-firm-hapn-spilling-names-of-thousands-of-gps-tracking-customers/
3. 乌克兰国家登记处遭史上最大网络攻击,俄被指为幕后黑手
12月20日,乌克兰司法部管理的国家登记处近期遭遇了前所未有的大规模网络攻击,乌克兰安全局(SSU)已对此展开刑事调查,并指责俄罗斯为幕后黑手。据国家安全局证实,俄罗斯武装部队总参谋部主要情报局(GRU)下属的一个黑客组织涉嫌参与此次攻击。乌克兰副总理兼司法部长奥尔加·斯特凡尼什娜也在社交媒体上公开指责俄罗斯,称此次袭击旨在破坏国家关键基础设施并制造恐慌。俄罗斯方面尚未回应。此次攻击导致乌克兰司法部管辖的统一登记处和国家登记处工作暂停,斯特凡尼希娜表示正与内部团队和其他部门专家协调应对网络攻击并恢复系统。SSU网络安全部门已介入遏制攻击,并指出工作重点为击退攻击、恢复基础设施和记录战争罪行。初步评估显示,其他资源未受威胁。斯特凡尼什娜强调,正在控制局势,并尽全力尽快恢复服务,首个要恢复的登记册包括公民民事身份行为国家登记册、企业法人和个人国家登记册以及不动产权利登记册,预计恢复时间约为两周。
/news/ukraines-probes-gru-linked/
4. Ascension医疗系统遭勒索软件攻击,560万数据泄露
12月20日,Ascension是美国最大的私人医疗保健系统之一,近期遭受了与Black Basta勒索软件行动相关的网络攻击,导致近560万名患者和员工的个人及健康数据被盗。该公司在美国运营着140家医院和40家老年护理机构,年收入高达283亿美元。Ascension已向受影响个体邮寄了数据泄露通知,并提供24个月的免费IDX身份盗窃保护服务。据Ascension透露,攻击源于一名员工在公司设备上下载了恶意文件,尽管公司认为这可能是无意之举。此次攻击影响了Ascension的MyChart电子健康记录系统等多个关键系统,导致员工需在纸上记录手术和用药情况,并暂停了一些非紧急手术和检查。尽管Ascension未直接将攻击与Black Basta联系起来,但CNN和Health-ISAC均指出,Black Basta近期加快了对医疗行业的攻击,而该勒索软件团伙已多次成功入侵知名企业网络并勒索巨额资金。
/news/security/ascension-health-data-of-56-million-stolen-in-ransomware-attack/
5. Lazarus组织利用复杂感染链部署CookiePlus后门攻击
12月20日,Lazarus组织是一个与朝鲜有关联的威胁行为者,在2024年1月利用复杂的感染链针对至少两名核相关组织员工进行攻击,部署了名为CookiePlus的新模块化后门,这是长期网络间谍活动“梦想工作行动”的一部分。该组织通过向目标发送恶意文档或木马化的远程访问工具,诱使目标连接到特定服务器进行技能评估,进而传播恶意软件。最新攻击涉及分发木马化的VNC实用程序,以ISO映像和ZIP文件的形式分发。此外,Lazarus组织还使用了名为MISTPEN的后门,以及LPEClient、ServiceChanger、Charamel Loader等恶意软件。CookiePlus恶意软件充当下载器,从C2服务器检索加密的有效负载并执行。人们怀疑CookiePlus是MISTPEN的继承者。这一发现表明,Lazarus组织一直在努力改进其武器库和感染链,以逃避安全产品的检测。
/2024/12/lazarus-group-spotted-targeting-nuclear.html
6. ACE捣毁全球最大体育赛事直播盗版团伙Markkystreams
12月20日,创意与娱乐联盟(ACE)成功捣毁了全球最大的体育赛事直播盗版团伙之一Markkystreams ,该团伙去年点击量超过8.21亿次,主要针对美国和加拿大观众。ACE表示,此次行动得到了其所有成员的支持,包括DAZN、beIN Sports和Canal+等体育级成员。美国电影协会执行副总裁对此表示赞赏,称这是打击体育赛事直播盗版的一次巨大胜利。反盗版组织指出,该团伙的运营商已将控制权移交给138个域名,被查封的网站上贴有因侵犯版权而关闭的横幅。ACE是一个由50多家媒体和娱乐公司组成的联盟,自2017年以来一直致力于关闭非法流媒体服务,并已成功关闭多个盗版平台。此外,ACE还与多个执法机构合作,针对大规模非法流媒体团伙开展行动,今年已帮助关闭多个盗版流媒体服务,包括一个自2015年推出以来赚取了数百万美元的盗版电视流媒体网络和拥有超过2200万用户的盗版流媒体服务。
/news/security/massive-live-sports-piracy-ring-with-812-million-yearly-visits-taken-offline/
[来源: 启明星辰]