袒露的情形变量文件导致云情形遭受大规模勒索

首页 > 清静研究 > 清静转达 > 清静简讯

袒露的情形变量文件导致云情形遭受大规模勒索

宣布时间 2024-08-20

1. 袒露的情形变量文件导致云情形遭受大规模勒索

8月16日，一场针对多个组织的大规模勒索活动使用了可果真会见的情形变量文件（.env），这些文件包括云和社交媒体应用程序的敏感凭证。Palo Alto Networks Unit 42在报告中指出，此次攻击袒露了情形变量、恒久凭证使用及最小特权架构缺失等清静误差。攻击者通过受熏染的Amazon Web Services (AWS)情形设置了基础设施，扫描凌驾2.3亿个目的以网络敏感数据。他们从110,000个域名的.env文件中提取了90,000多个唯一变量，包括云服务和社交媒体账户凭证。攻击者未加密数据即窃取，并在云存储容器中安排勒索信。使用AWS IAM权限，攻击者扩大驻足点，建设新Lambda函数举行互联网规模扫描，寻找袒露的情形文件。乐成获取凭证后，攻击者将其存储在公共S3存储桶中。特殊地，他们关注含有Mailgun凭证的.env文件，妄想发送网络垂纶邮件。只管实验不法加密钱币挖掘失败，但经济念头显着。攻击者使用VPN和TOR隐藏身份，Unit 42检测到乌克兰和摩洛哥的IP地址与活动相关。此次活动显示了攻击者使用自动化手艺在云情形中迅速睁开行动的高明手艺。

https://thehackernews.com/2024/08/attackers-exploit-public-env-files-to.html

2. WPS Office误差CVE-2024-7262遭使用，危及2亿用户

8月16日，WPS Office是一款拥有凌驾2亿用户的办公套件，近期曝出两个高危误差CVE-2024-7262和CVE-2024-7263，CVSS评分高达9.3，展现了极高的清静危害和易被使用性。这两个误差均位于其promecefpluginhost.exe组件中，通过不充分的路径验证机制，使攻击者能够诱导用户翻开特制电子表格文档，进而加载并执行恣意Windows库。CVE-2024-7262影响12.2.0.13110至12.2.0.13489版本，允许远程代码执行，可能引发数据泄露、勒索软件攻击或系统深度入侵。只管金山毒霸宣布了12.2.0.16909版本作为CVE-2024-7262的补丁，但随后又发明了CVE-2024-7263，该误差保存于12.2.0.17153以下版本，由于未彻底整理特殊参数，使得原补丁失效，再次袒露清静危害。尤为严重的是，CVE-2024-7262已被恶意使用，通太过发伪装成正当文档的恶意文件，攻击者正起劲睁开攻击。因此，强烈建议所有WPS Office用户连忙升级至12.2.0.17153或更高版本，以提防潜在的清静威胁。

https://securityonline.info/wps-office-vulnerabilities-expose-200-million-users-cve-2024-7262-exploited-in-the-wild/

3. Ailurophile：源自越南的定制化信息窃取恶意软件揭秘

8月19日，G DATA网络清静团队揭破了一款名为“Ailurophile”的新型PHP基信息窃取恶意软件，疑似源自越南并以订阅模式销售。Ailurophile配备了一个功效富厚的网络面板，允许买家高度自界说恶意软件，包括命名、图标设置、Telegram通知设置，甚至使软件更难被检测、绕过Windows Defender防御，并从远程URL安排特殊恶意负载。其强盛的数据窃取能力聚焦于Chrome、Edge等主流浏览器，能窃取包括自动填充数据、cookies、密码、浏览历史、信用卡信息及加密钱币钱包数据在内的敏感信息。Ailurophile通过“ExeOutput”和“BoxedApp”手艺封装和虚拟化，使其在内存中运行，增添了隐藏性和逃避检测的能力。恶意软件由多个PHP剧本组成，各司其职，从网络系统信息、终止竞争历程，到精准提取并上传用户数据，每个剧本都饰演着要害角色。特殊是其针对特定文件和要害字的数据搜索功效，进一步拓宽了信息窃取规模。G DATA指出，Ailurophile正处于活跃开发阶段，一直引入新功效与刷新，通过恶意软件破解等方法撒播，对网络清静组成一连威胁。

https://securityonline.info/new-infostealer-ailurophile-discovered-poses-significant-risk-to-user-privacy/

4. 丰田遭黑客入侵，240GB数据档案泄露

8月19日，一名黑客在论坛上果真了从丰田系统不法获取的240GB数据档案，确认丰田遭遇了网络清静入侵。丰田官方回应称已知晓此事，并强调问题规模有限，非系统性问题。公司正起劲与受影响用户相同，提供须要援助，但详细细节如误差发明时间、攻击路径及受影响的用户数目等信息尚未对外宣布。泄露被盗数据的威胁者ZeroSevenGroup自称入侵了丰田位于美国的分支机构，窃取了包括员工信息、客户信息、条约及财务纪录在内的海量数据。他们还声称使用了开源工具ADRecon网络网络基础设施情报及凭证，进一步展示了从Active Directory中提守信息的能力。该组织不但分享了数据内容概览，如联系人、妄想、员工照片等，还提供了带密码的AD-Recon效果，供人随意查阅。值得注重的是，只管丰田未明确泄密事务的详细日期，但手艺剖析指出相关文件至少在2022年12月25日已被建设或获取，体现攻击者可能已渗透至存储数据的备份服务器系统。

https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-stolen-data-leaks-on-hacking-forum/

5. Jenkins CLI误差CVE-2024-23897被CISA列为已知使用危害

8月19日，美国网络清静和基础设施清静局（CISA）已将Jenkins下令行界面（CLI）的一项严重路径遍历误差（CVE-2024-23897，CVSS评分高达9.8）纳入其已知使用误差（KEV）目录，凸显了该误差的紧迫性与严重性。Jenkins，作为广受接待的开源自动化服务器，维护着全球数十万装置实例，用户超百万。近期披露的CVE-2024-23897误差允许攻击者通过CLI使用默认启用的文件内容扩展功效，读取Jenkins控制器上的恣意文件，甚至可能执行远程代码，对系统清静组成重大威胁。该误差源于Jenkins对CLI下令参数的处置惩罚方法，特殊是args4j库中的“expandAtFiles”功效，未能在较新版本中被有用禁用。拥有“Overall/Read”权限的攻击者能无限制地读取文件，而无此权限者也能读取前三行内容，包括可能存储敏感信息的加密密钥文件。多个研究员已宣布看法验证（PoC）误差，警示该误差可能遭到大规模使用，Shodan上的盘问效果显示超75,000个Jenkins实例直接袒露于互联网，危害极高。为应对此威胁，CISA已向联邦机构发出指令，要求在2024年9月9日前修复此误差。

https://securityaffairs.com/167267/hacking/cisa-adds-jenkins-command-line-interface-cli-bug-to-its-known-exploited-vulnerabilities-catalog.html

6. FlightAware设置过失致客户信息泄露

8月19日，航班跟踪服务巨头FlightAware遭遇了一起严重的小我私家数据泄露事务，据称这是由于公司内部的设置过失所导致。该公司在其官方通知中认可，自2021年1月起，其系统保存清静隐患，可能泄露了包括客户姓名、电子邮件、账单与送货地址、IP地址、社交媒体信息、电话号码、出生年份、信用卡尾号、飞机所有权详情、职业信息及账户活动纪录等敏感数据。更令人担心的是，部分客户的社会清静号码和密码也可能受到影响。FlightAware迅速响应，要求所有潜在受影响的用户重置账户密码，但关于密码的加密情形及是否保存进一步的滥用行为，公司并未在通知中详细说明。此次泄露事务的时间跨度长达三年多，显示出公司在数据清静管理和监控上的重大疏漏。只管FlightAware坚称这是内部失误而非外部恶意攻击，但数据的现实使用情形仍不清朗，公司也未能确认是否有第三方不法会见或下载了这些数据。面临公众的质疑和关切，FlightAware讲话人坚持默然，未就详细受影响客户数目或进一步的调解步伐提供任何信息。

https://techcrunch.com/2024/08/19/flightaware-warns-that-some-customers-info-has-been-exposed-including-social-security-numbers/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究