安全热点周报:HAProxy 漏洞 CVE-2024-45506 正在被利用需要紧急修补
安全热点周报:HAProxy 漏洞 CVE-2024-45506 正在被利用需要紧急修补
奇安信 CERT 2024-09-09 18:50
| 安全资讯导视 |
|---|
|
• 工信部《电子认证服务管理办法》修订版公开征求意见 |
|
• 美国AI医疗公司服务器配置错误,泄露5.3TB心理健康记录 |
|
• 网络攻击影响国家金融稳定!伊朗被迫支付超2000万元赎金 |
PART01
漏洞情报
1.Apache OFBiz远程代码执行漏洞安全风险通告
9月6日,奇安信CERT监测到官方修复Apache OFBiz远程代码执行漏洞(CVE-2024-45195),Apache OFBiz存在远程代码执行漏洞,远程攻击者可通过控制请求从而写入恶意文件获取服务器权限。目前该漏洞技术细节与PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2.Apache OFBiz服务端请求伪造漏洞安全风险通告
9月4日,奇安信CERT监测到官方修复Apache OFBiz服务端请求伪造漏洞(CVE-2024-45507),该漏洞是由于Apache OFBiz在从Groovy加载文件时对URL的验证不足,导致远程攻击者可以通过服务器端请求伪造的方式向任意系统发起请求,并可能导致远程代码执行,成功利用此漏洞可能允许攻击者完全控制受影响的系统,包括访问敏感数据、执行任意命令或进行进一步的网络攻击。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
3.Jenkins Remoting任意文件读取漏洞安全风险通告
9月3日,奇安信CERT监测到Jenkins Remoting任意文件读取漏洞(CVE-2024-43044),由于Remoting库ClassLoaderProxy#fetchJar方法没有限制代理请求从控制器文件系统读取的路径,可能导致拥有Agent/Connect权限的攻击者从Jenkins控制器文件系统读取任意文件(如凭证、配置文件等敏感信息)并进一步利用导致远程代码执行。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为138868个,关联IP总数为57359个。目前该漏洞PoC已在互联网上公开,建议客户尽快做好自查及防护。
PART02
新增在野利用
1.HAProxy 拒绝服务漏洞(CVE-2024-45506)
9月8日,在最新的安全公告中,HAProxy 透露,其流行的负载平衡和代理软件中的一个漏洞 CVE-2024-45506 目前正在被积极利用。该漏洞的 CVSS 评分为 7.5,影响 HAProxy 中的 HTTP/2 多路复用器。在某些情况下,它可能导致无限循环,从而导致系统崩溃和远程拒绝服务 (DoS) 攻击。此缺陷影响多种 HAProxy 产品,包括 Enterprise、ALOHA 和 Kubernetes Ingress Controllers。
该漏洞源于 HTTP/2 多路复用器与零拷贝转发(一种旨在优化数据流的系统)结合使用时出现的问题。在极少数情况下,攻击者可以利用此漏洞在函数中创建无限循环h2_send()。如果处理错误触发 GOAWAY 帧,但系统的输出缓冲区几乎已满,并且由于帧不完整而无法在输入缓冲区上取得任何进展,则会出现此问题。使情况更加复杂的是,多个流可能同时以零拷贝模式传输数据,从而进一步增加系统的负担。
HAProxy 开发人员指出,尽管这种情况很难重现,但至少有一个主动利用案例表明这种情况会导致 HAProxy 在高负载下崩溃。在这种情况下,拒绝服务攻击可能会破坏高可用性服务并影响依赖于 HAProxy 负载平衡功能的关键操作。
尽管 CVE-2024-45506 据称很难被利用,但一个确认的主动利用实例证明了此漏洞的严重性。随着越来越多的攻击者瞄准基础设施级漏洞,对知名 HAProxy 用户(包括 GitHub、Reddit 和 Twitter 等主要网站)的风险持续增加。在这种情况下,DoS 攻击可能会破坏这些服务的负载平衡功能,并可能导致整个系统在高流量期间瘫痪。对于依赖 HAProxy 进行流量分配和高可用性的组织来说,即使是暂时的崩溃也可能导致重大的财务和运营损失。
HAProxy 敦促所有用户立即更新到这些版本,以防止潜在的漏洞。这些补丁旨在解决 HTTP/2 多路复用器中的循环问题,从而恢复系统的稳定性和安全性。对于无法立即应用补丁的组织,HAProxy 提供了一种解决方法,即禁用零拷贝转发系统(这是导致漏洞的一个功能)。
参考链接:
HAProxy Vulnerability CVE-2024-45506 Under Active Exploit: Urgent Patching Required
PART03
安全事件
1.美国AI医疗公司服务器配置错误,泄露5.3TB心理健康记录
9月6日vpnMentor消息,美国人工智能医疗公司Confidant Health的服务器配置错误,泄露了5.3TB的敏感心理健康记录,其中包括个人信息、心理评估和医疗信息等,对患者构成严重的隐私风险。vpnMentor网络安全研究员Jeremiah Fowler发现了一个未受密码保护的服务器,其中包含来自Confidant Health的机密记录,Jeremiah Fowler通过博客文章披露了这一发现。Confidant Health为美国康涅狄格州、佛罗里达州、新罕布什尔州、德克萨斯州和弗吉尼亚州的居民提供心理健康和成瘾治疗服务。
原文链接:
https://www.vpnmentor.com/news/report-confidanthealth-breach/
2.网络攻击影响国家金融稳定!伊朗被迫支付超2000万元赎金
9月4日Politico消息,多位知情人士透露,8月伊朗遭遇的大规模网络攻击,导致银行系统稳定性受到威胁,伊朗被迫支付了数百万美元赎金以平息事态。伊朗IT厂商Tosan 8月向一个匿名黑客组织支付了至少300万美元(约合人民币2130万元)赎金,以阻止该组织泄露多达20家国内银行的个人账户数据。加密货币情报厂商Chainalysis表示,涉事钱包已收到至少2个不同伊朗交易所的付款,这与受害者的付款可能一致。这次攻击被认为是伊朗史上最严重的网络安全事件之一。据称,曾多次攻击伊朗企业的黑客组织IRLeaks对此次事件负责。
原文链接:
https://www.politico.eu/article/iran-millions-ransom-massive-cyberattack-banks/
PART04
政策法规
1.欧洲委员会发布《人工智能与人权、民主和法治框架公约》
9月5日,欧洲委员会宣布《人工智能与人权、民主和法治框架公约》(下称《AI公约》)正式向全球各国开放签署,这是该领域全球首部具有法律约束力的公约。《AI公约》共8章36个条款,为AI规定了一系列原则,包括保护隐私和个人数据、平等和非歧视、不损害人的尊严和自主等,并要求签署国对AI产生的任何有害和歧视性结果负责,并要求AI侵权的受害者拥有法律追索权。《AI公约》由欧洲委员会牵头制定,46个欧盟成员国与美英澳等11个非成员国参与了讨论过程,目前欧盟、英国、美国、以色列等10个国家和组织已正式签署,其他国家均可加入签署。
原文链接:
https://www.coe.int/en/web/portal/-/council-of-europe-opens-first-ever-global-treaty-on-ai-for-signature
2.澳大利亚工业、科学和资源部发布自愿性人工智能安全标准
9月5日,澳大利亚工业、科学和资源部(DISR)发布自愿性人工智能安全标准,为该国所有组织建立了一套统一的实践,以确保安全和负责任地开发和部署人工智能。该文件共10条内容,包括建立、实施和发布问责流程;建立和实施风险管理流程以识别和降低风险;保护AI系统并实施数据治理措施,以管理数据质量和来源;测试AI模型和系统以评估模型性能并在部署后监控系统;使人工控制或干预AI系统以实现有意义的人工监督;告知最终用户支持AI的决策、与AI的交互以及AI生成的内容;为受AI系统影响的人们建立流程,以质疑其使用或结果;对AI供应链中的其他组织保持数据、模型和系统的透明性,以帮助他们有效应对风险;保存和维护记录,以便第三方评估对护栏的遵守情况;让利益相关者参与进来,评估其需求和情况,重点关注安全、多样性、包容性和公平性。
原文链接:
https://www.industry.gov.au/publications/voluntary-ai-safety-standard
3.十一部门发布《关于推动新型信息基础设施协调发展有关事项的通知》
9月4日,工业和信息化部、中央网信办、教育部、财政部、自然资源部、住房城乡建设部、农业农村部、国家卫生健康委、中国人民银行、国务院国资委、中国国家铁路集团有限公司等十一部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》,以推动新型信息基础设施跨区域、跨网络、跨行业协同建设为重点方向,提出了“1统筹6协调”等7方面主要工作,即全国统筹布局、跨网络协调、发展与安全协调等。该文件单章要求增强全方位安全保障能力,包括提升网络和数据安全保障能力,增强跨行业安全服务赋能,增强信息基础设施稳定安全运行能力。
原文链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_b0927b0d4cba4ff89652bb64f74899d1.html
4.美国白宫网络总监办公室发布《增强互联网路由安全路线图》
9月3日,美国白宫网络总监办公室发布《增强互联网路由安全路线图》,旨在解决边界网关协议(BGP)的安全漏洞。该文件建议采用资源公钥基础设施(RPKI)方案来缓解BGP缺乏安全验证机制的问题,目前欧洲的RPKI采用率较高,而美国采用率较低,仅39%。该文件提出了一系列建议行动,包括提供采用协议模版,设立公私合作的利益相关者工作组,制定采用框架等,以提高联邦政府及关键基础设施的RPKI采用度。
原文链接:
https://www.whitehouse.gov/wp-content/uploads/2024/09/Roadmap-to-Enhancing-Internet-Routing-Security.pdf
5.工信部《电子认证服务管理办法》修订版公开征求意见
9月2日,工业和信息化部修订了《电子认证服务管理办法》,现予以公示征求意见。该文件共7章56条,包括总则、资质认定、行为规范、监督管理、投诉举报、跨境互认、附则。据介绍,此次修订一方面是解决部分电子认证服务机构“持证不经营”、服务不合规等问题,另一方面引导电子认证服务行业高质量发展。
原文链接:
https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20248/201349d0450941b6b95410b8a6319f49.pdf
6.韩国政府发布2024版国家网络安全战略实施计划
9月1日,韩国国家安保室发布了由韩国国家情报院、外交部、国防部、科学技术信息通信部、大检察厅和警察厅等14个政府部门和机构联合制定的《韩国国家网络安全基本计划》。该计划是韩国政府2月1日公布的《韩国国家网络安全战略》的后续措施,包括落实该战略五大战略任务的具体实施措施,共计包含100项行动任务,其中14个部委分别承担93项单独任务和7项联合任务。五大战略任务包括加强进攻性网络防御活动、建立全球网络合作框架、提高关键基础设施的网络弹性、确保关键和新兴技术的竞争优势、强化运营基础。
原文链接:
https://eng.president.go.kr/download/66d51508c5923
往期精彩推荐
【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2024-45195)安全风险通告
公开的隐秘:CVE-2024-30051在野提权漏洞研究
Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!