Ivanti 忠言：黑客使用 Connect Secure 零日误差装置恶意软件

首页 > 清静研究 > 清静转达 > 清静简讯

Ivanti 忠言：黑客使用 Connect Secure 零日误差装置恶意软件

宣布时间 2025-01-10

1. Ivanti 忠言：黑客使用 Connect Secure 零日误差装置恶意软件

1月8日，Ivanti 忠言称，黑客正在使用 Connect Secure 远程代码执行误差（CVE-2025-0282）举行零日攻击，在装备上装置恶意软件。该误差保存于 Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 网关的旧版本中，允许未经身份验证的攻击者远程执行代码。Ivanti 通过其完整性检查工具（ICT）检测到恶意运动后，确认了这一威胁。现在，只有 Ivanti Connect Secure 装备被确认受到使用。Ivanti 已紧迫宣布针对 Connect Secure 的清静补丁，并妄想在 2025 年 1 月 21 日宣布针对 Policy Secure 和 Neurons for ZTA 网关的补丁。只管 Policy Secure 和 Neurons ZTA 网关被以为被使用的危害较低，Ivanti 仍建议客户确保其装备按建议设置，并不袒露在互联网上。同时，Ivanti 建议所有 Connect Secure 治理员执行内部和外部 ICT 扫描，并在须要时恢复出厂设置以删除恶意软件。

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-connect-secure-flaw-used-in-zero-day-attacks/

2. Garmin Connect遭遇全球规模严重中止

1月8日，Garmin Connect是一款广受接待的在线运动追踪工具，近期遭遇了严重的服务中止，导致全球规模内数十万用户无法正常使用。当Cybernews主编展示其应用中的统计数据时，我们惊讶地发明，包括Garmin毗连、潜水、高尔夫在内的多个平台已处于离线状态，且众多功效如运动详情、上传、挑战与联系、心电图、Garmin教练等也已被关闭。只管Garmin手表可以自力于应用运行，但用户无法上传运动纪录或加入挑战，相关统计数据也可能因此丧失。这一事务引起了用户的强烈不满，他们纷纷在社交媒体上表达恼怒，并有人推测是否再次遭遇了黑客攻击。据DownDector网站报道，此次中止已波及澳大利亚、加拿大、美国、英国等多个国家。尤为尴尬的是，此次中止恰恰爆发在Garmin宣布最新款手表Instinct 3之后，无疑给品牌形象带来了负面影响。

https://cybernews.com/news/garmin-connect-major-outage/

3. 乌克兰黑客宣布入侵俄罗斯ISP Nodex并扫除系统

1月8日，乌克兰网络同盟的一个黑客组织周二宣布乐成入侵了俄罗斯互联网服务提供商Nodex的网络，窃取敏感文件后扫除了被黑系统。黑客在Telegram上宣布了攻击历程中针对Nodex的VMware、Veeam备份和惠普企业虚拟基础设施的截图作为证据。Nodex随后在VKontakte上证实了这一攻击，体现其基础设施遭到攻击，网络已被摧毁，并正在从备份中恢复�；チ嗫刈橹疦etBlocks也发明Nodex的网络服务毗连在攻击后瓦解。只管Nodex起劲恢复系统，但其网站一度瘫痪，且无法提供恢复时间表。然而，Nodex随后宣布了恢复历程的更新信息，体现网络焦点已恢复，DHCP服务器已上线，许多客户可以重新毗连互联网。乌克兰网络同盟自2016年起活跃，声称爆发了多起影响俄罗斯各组织的入侵事务，包括政府机构和媒体等。2023年10月，乌克兰黑客还入侵了Trigona勒索软件团伙的服务器，窃取所有数据后将其扫除。

https://www.bleepingcomputer.com/news/security/russian-isp-confirms-ukrainian-hackers-destroyed-its-network/

4. 黑客试图使用CRLF注入攻击GFI KerioControl防火墙

1月8日，黑客正在使用CVE-2024-52875这一严重的CRLF注入误差，对GFI KerioControl防火墙产品发动一键远程代码执行(RCE)攻击。KerioControl是一种专为中小型企业设计的网络清静解决计划，融合了多种清静功效。2024年12月16日，清静研究员Egidio Romano宣布了关于该误差的详细报告，指出一个看似低严重性的HTTP响应拆分问题可以升级为RCE攻击。该误差影响KerioControl 9.2.5至9.4.5版本，由于处置惩罚不当的换行符导致，允许通过注入有用载荷使用HTTP标头和响应。攻击者可以使用此误差在受害者浏览器上执行恶意JavaScript，提取cookie或CSRF令牌，进而上传包括根级shell剧本的恶意文件，使用Kerio升级功效翻开反向shell。威胁扫描平台Greynoise已检测到针对该误差的攻击实验，而Censys报告了数万个袒露在互联网上的KerioControl实例，但尚不清晰易受攻击的数目。GFI Software已宣布修复该误差的补丁版本，建议用户尽快应用。若无法连忙修补，治理员应限制对KerioControl Web治理界面的会见，并设置有用的缓解步伐。

https://www.bleepingcomputer.com/news/security/hackers-exploit-keriocontrol-firewall-flaw-to-steal-admin-csrf-tokens/

5. CrowdStrike忠言：网络垂纶运动冒充招聘诱骗用户熏染XMRig矿工

1月9日，CrowdStrike于2025年1月7日发明一项网络垂纶运动，该运动冒充网络清静公司，通过发送虚伪的事情约请电子邮件，诱骗求职者下载并熏染门罗币加密钱币矿工（XMRig）。这些电子邮件声称来自CrowdStrike的就业署理，谢谢求职者申请开发职员职位，并指示他们从一个看似正当的CrowdStrike门户网站上下载所谓的“员工CRM应用程序”。该网站（cscrm-hiring[.]com）提供适用于Windows或macOS的下载链接。下载的工具会执行沙盒检查以阻止在剖析情形中运行，一旦检查通过，就会天生虚伪过失新闻，同时后台下载并解压包括挖矿机的ZIP文件到辖档唾时目录。该矿工被设置为后台低负荷运行，以阻止被发明，并通过添加批处置惩罚剧本到启动目录和在注册表中写入自动启动键来坚持长期性。CrowdStrike提醒求职者，应验证电子邮件地点的真实性，并通过官方渠道联系招聘职员，小心紧迫或不寻常的请求、过于诱人的提议，以及要求下载可执行文件的招聘流程。雇主很少要求应聘者下载第三方应用程序，更不会要求预付款。

https://www.bleepingcomputer.com/news/security/fake-crowdstrike-job-offer-emails-target-devs-with-crypto-miners/

6. BayMark Health Services遭遇数据泄露，RansomHub团伙声称认真

1月9日，BayMark Health Services，北美最大的物质使用障碍治疗与康复服务提供商，近期遭遇了一次数据泄露事务。2024年9月，攻击者入侵了BayMark的系统，并在9月24日至10月14日时代会见了包括患者小我私家和康健信息的文件。BayMark在10月11日IT系统中止后得知此事，并连忙接纳步伐�；は低�，同时睁开视察并通知了执法部分。泄露的信息包括患者的姓名、社会清静号码、驾驶执照号码、出生日期、服务纪录、包管信息以及治疗提供者和治疗/诊断信息。只管BayMark未果真受影响患者的总数，但RansomHub勒索软件团伙声称对此次攻击认真，并称从BayMark系统中窃取了1.5TB的文件，这些数据随后被上传到暗网泄密网站上。BayMark为可能袒露社会清静号码或驾驶执照号码的患者提供了一年的免费Equifax身份监控服务。

https://www.bleepingcomputer.com/news/security/largest-us-addiction-treatment-provider-notifies-patients-of-data-breach/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究