D-Link NAS的恣意下令注入和硬编码后门

首页 > 清静研究 > 清静转达 > 清静简讯

D-Link NAS的恣意下令注入和硬编码后门

宣布时间 2024-04-08

1. D-Link NAS的恣意下令注入和硬编码后门

4月6日，威胁研究职员披露了多个不在支持的 D-Link 网络附加存储 (NAS) 装备型号中保存新的恣意下令注入和硬编码后门缺陷。该问题保存于“/cgi-bin/nas_sharing.cgi”剧本中，影响其 HTTP GET 请求处置惩罚程序组件。导致该缺陷（编号为 CVE-2024-3273）的两个主要问题是通过硬编码帐户（用户名：“messagebus”和空密码）促成的后门以及通过“system”参数的下令注入问题。下令注入缺陷是由于通过 HTTP GET 请求将 Base64 编码的下令添加到“system”参数，然后执行该下令而引起的。D-Link为旧装备建设了专门的支持页面，用户可以在其中浏览档案以查找最新的清静和固件更新。

https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/

2. 凌驾1.6万个IVANTI VPN仍然易受到CVE-2024-21894的攻击

4月6日，Shadowserver 研究职员报告称，约莫 16500 个 Ivanti Connect Secure 和 Poly Secure 网关容易受到最近报告的 RCE CVE-2024-21894的影响。该公司已宣布了清静更新，以解决影响 Connect Secure 和战略清静网关的四个清静误差，这些误差可能导致代码执行和拒绝服务 (DoS)，包括CVE-2024-21894。CVE-2024-21894（CVSS 评分 8.2）是 Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 IPSec 组件中的堆溢出误差，允许未经身份验证的恶意用户在以下位置发送特制请求：下令 - 使服务瓦解从而导致 DoS 攻击。在某些情形下，这可能会导致执行恣意代码。Shadowserver 研究职员扫描了互联网上是否保存易受 CVE-2024-21894 影响的实例，并报告称约有 16,500 个实例仍然容易受到攻击。大大都易受攻击的系统位于美国（阻止撰写本文时有 4686 个），其次是日本（2009 年）和英国（1032 个）。

https://securityaffairs.com/161544/security/ivanti-16500-vulnerable-istances.html

3. 美国卫生部忠言医院 IT 服务台易遭到黑客攻击

4月6日，美国卫生与公众服务部 (HHS) 忠言称，黑客现在正在使用社会工程战略来攻击医疗保健和公共卫生 (HPH) 领域的 IT 服务台。卫生部分网络清静协调中心 (HC3) 本周宣布的部分警报称，这些战略允许攻击者通过注册自己的多重身份验证 (MFA) 装备来会见目的组织的系统。在这些攻击中，威胁行为者使用外地区域代码致电冒充财务部分员工的组织，并提供窃取的身份验证详细信息，包括公司 ID 和社会清静号码。他们使用这些敏感信息并声称自己的智能手机已损坏，说服 IT 资助台在攻击者的控制下在 MFA 中注册新装备。这使他们能够会见公司资源，并允许他们在商业电子邮件泄露攻击中重定向银行生意。

https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/

4. 以色列司法部在黑客运动分子声称入侵后审查网络事务

4月6日，以色列司法部体现，正在视察一起网络事务，规模仍在审查中，需要时间来检查泄露文件的内容和规模及其泉源。一个名为 Anonymous for Justice 的组织声称对此次泄露认真，并称此次泄露包括检索近 300 GB 的数据。该组织在其网站上体现，将继续攻击以色列，“直到加沙战争阻止”。该组织宣布了据称在攻击运动中获得的文件，例如执法文件，包括标记为神秘的双边协媾和条约草案。路透社无法自力核实泄露文件的真实性。司法部在帖子中体现，已针对这种情形提前做好准备，并且其行动不会中止。国家网络局本周早些时间体现，预计伊朗年度圣城日周末的网络攻击实验将会增添。

https://www.reuters.com/world/middle-east/israels-justice-ministry-reviewing-cyber-incident-after-hacktivists-claim-breach-2024-04-05/

5. 日本 Hoya 的 IT 系统遭受攻击后暂停生产

4月5日，日本的 Hoya——一家眼镜和隐形眼镜制造商，以及用于制造半导体制造、平板显示器和硬盘驱动器的套件—— IT 系统遭受攻击后，该公司已阻止部学生产和销售运动。官方对所爆发事务的看法是模糊的。该公司允许“将接纳步伐恢复生产和销售运动所需的系统，并尽快恢复向客户提供产品的供应系统”。Hoya 现在尚不清晰“公司持有的神秘或小我私家信息是否已被泄露或被第三方会见”，并忠言称“周全剖析预计需要相当长的时间”。

https://www.theregister.com/2024/04/05/hoya_infosec_incident/

6. 黑客使用 Magento 误差窃取电子商务网站支付数据

4月6日，该攻击使用了CVE-2024-20720（CVSS 评分：9.1），Adobe 将其形貌为“特殊元素的不当中和”案例，可能为恣意代码执行铺平蹊径。公司在 2024 年 2 月 13 日宣布的清静更新中解决了这个问题。Sansec 体现，它在数据库中发明了一个“全心设计的结构模板”，该模板被用来自动注入恶意代码以执行恣意下令。攻击者将 Magento 结构剖析器与 beberlei/assert 包（默认装置）团结起来执行系统下令。由于结构块与结帐车相关联，因此每当请求 <store>/checkout/cart 时都会执行此下令。有问题的下令是sed，它用于插入一个代码执行后门，然后认真提供 Stripe支付浏览器以捕获财务信息并将其泄露到另一个受熏染的 Magento 市肆。

https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究