利用GitLab漏洞，美国比特币ATM巨头Byte Federal数据泄露

汇能云安全 2024-12-17 01:30

12月17日，星期二，您好！中科汇能与您分享信息安全快讯：

01

利用GitLab漏洞，美国比特币ATM巨头Byte Federal数据泄露

近期，美国最大的比特币ATM运营商Byte Federal披露了数据泄露事件，黑客利用GitLab漏洞入侵系统，泄露了58000名客户数据
。GitLab是全球开发者广泛使用的第三方软件平台，用于项目管理和协作，具有全面的安全特性。

2024年11月18日，Byte Federal发现一名恶意行为者通过利用GitLab的漏洞，未经授权访问了一台服务器。发现事件后，Byte Federal团队立即关闭了平台，隔离了恶意行为者，并保护了被入侵的服务器。作为对事件的响应，公司对所有客户账户进行了“硬重置”，更新了所有内部密码和账户管理系统，并撤销了用于内部网络访问的令牌和密钥。

Byte Federal通知强调，这次泄露没有导致任何用户资金或数字资产受损，但攻击者访问了敏感信息，包括：全名、出生日期、物理地址、电话号码、电子邮件地址、身份证件、社会安全号码（SSN）、交易活动、用户照片。上述信息对于加密货币持有者来说特别敏感且非常具有揭示性，可能使他们面临SIM卡交换攻击、帐户接管或其他有针对性的网络钓鱼攻击的风险
。数据泄露通知建议，如果尚未重置访问Byte Federal服务的登录凭据，请立即重置，并要定期查看您的账户报表和监控您的信用报告，保持警惕，防范可能影响您金融安全的欺诈和身份盗窃事件。

02

超 30 万 Prometheus 服务器暴露：凭证和 API 密钥在线泄露

网络安全研究人员警告称，数千台托管Prometheus监控和告警工具包的服务器面临信息泄露以及拒绝服务（DoS）和远程代码执行（RCE）攻击的风险。

Aqua安全研究人员Yakir Kadkoda和Assaf Morag在一份新报告中对The Hacker News表示，Prometheus服务器或导出器常常缺乏适当的身份验证，允许攻击者轻松收集敏感信息，如凭证和API密钥。据估计，多达296,000个Prometheus Node Exporter实例和40,300个Prometheus服务器可以通过互联网公开访问，这使得它们成为一个巨大的攻击面，可能危及数据和服务。

该云安全公司还表示，用于确定堆内存使用、CPU使用等的“/debug/pprof”端点的暴露，可能成为DoS攻击的向量，使服务器无法操作。研究人员发现“/metrics”端点不仅可以揭示内部API端点，还可以揭示子域、Docker注册表和镜像的数据——这些都是攻击者进行侦察并寻求在网络内扩大影响力的宝贵信息，攻击者可以向“/debug/pprof/heap”等端点发送多个同时请求，以触发CPU和内存密集型的堆剖析任务，这些任务可以压垮服务器并导致它们崩溃。

Aqua进一步指出了供应链威胁，涉及使用repojacking技术利用与已删除或重命名的GitHub仓库相关联的名称，并引入恶意第三方导出器。具体来说，Aqua发现Prometheus官方文档中列出的八个导出器容易受到RepoJacking攻击，从而允许攻击者重新创建具有相同名称的导出器，并托管一个恶意版本。截至2024年9月，这些问题已由Prometheus安全团队解决。

03

Ivanti最严重的 CSA 认证绕过漏洞曝光

12月11日，Ivanti 向客户发出警告，提醒其 Cloud Services Appliance (CSA)解决方案存在一个新的最高严重性的认证绕过漏洞。

安全漏洞编号CVE-2024-11639（CVSS3评分 10.0）能够使远程攻击者在运行 Ivanti CSA 5.0.2 或更早版本的易受攻击设备上获得管理员权限，而无需进行身份验证或用户交互，通过绕过认证，使用替代路径或通道。

Ivanti 建议管理员根据提供的详细信息将易受攻击的设备升级到 CSA 5.0.3，详细信息可以在支持文档中找到。“我们目前尚未了解到在公开披露之前有任何客户受到这些漏洞的利用。这些漏洞是通过我们的负责任披露计划公开披露的。”Ivanti 近日还修补了 Desktop and Server Management (DSM)，Connect Secure and Policy Secure，Sentry 和Patch SDK 产品中的其他中等、高等和关键性漏洞。然而，正如周二发布的安全通告中所指出的，目前没有证据表明这些漏洞在野外被利用。

04

SAP发布重要安全更新：NetWeaver SSRF漏洞或威胁系统安全

SAP日前发布了9个新安全公告和4个更新安全公告，共修复16个安全漏洞。SAP表示，目前尚未发现这些漏洞被在野利用的情况，但仍建议用户及时安装2024年12月安全补丁
。

其中最严重的是NetWeaver Adobe Document Services组件中一个CVSS评分高达9.1的SSRF漏洞（CVE-2024-47578）。该漏洞影响ADSSSAP 7.50版本。攻击者可利用管理员权限从易受攻击的Web应用程序发送精心构造的请求。这
种服务器端请求伪造（SSRF）漏洞通常被用于攻击防火墙后的内部系统，这些系统通常无法从外部网络访问。一旦成功利用，攻击者可以读取或修改任意文件，甚至导致整个系统不可用。

此外，SAP还修复了Web Dispatcher中一个CVSS评分为8.8的跨站脚本（XSS）漏洞（CVE-2024-47590），以及SAP NetWeaver Application Server ABAP中一个CVSS评分为8.5的远程函数调用（RFC）信息泄露漏洞（CVE-2024-54198）。

05

CNNVD官方通报Apache Struts安全漏洞相关情况

近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts安全漏洞（CNNVD-202412-1393、CVE-2024-53677）情况的报送。成功利用漏洞的攻击者，可以操纵文件上传参数来启用路径遍历，进而上传可用于执行远程利用代码的恶意文件。Apache Struts 2.0.0-2.3.37版本、Apache Struts 2.5.0-2.5.33版本、Apache Struts 6.0.0-6.3.0.2版本均受此漏洞影响。

Apache Struts是美国阿帕奇（Apache）软件基金会下属的Jakarta项目中的一个子项目，是一个基于MVC设计的Web应用框架。漏洞源于Apache Struts中的文件上传模块存在逻辑缺陷导致，未经授权的攻击者可以操纵文件上传参数来启用路径遍历，进而上传可用于执行远程利用代码的恶意文件，启用了FileUploadInterceptor 模块的应用受此漏洞影响。

目前，Apache官方已发布新版本修复了该漏洞，CNNVD建议用户及时确认产品版本，尽快采取修补措施。

06

投放超200个恶意链接，新型网络钓鱼攻击全球肆虐

Group-IB 的网络安全研究人员日前披露，一场复杂且持续的钓鱼活动正在全球范围内肆虐，瞄准了 12 个行业、15 个司法辖区内 30 多家公司的员工及相关人员，旨在窃取用户登录凭证。截至目前，该活动已成功散布超 200 条恶意链接。

此次受攻击的行业涵盖能源、时尚、金融、航空航天、制造、电信以及政府部门等。攻击者利用多种先进技术躲避检测，主要有三大“招数”：滥用受信任域名，将恶意网址嵌入 Adobe.com 和 Google AMP 等合法服务中，让安全工具难辨真假；利用活跃的公司品牌，直接从合法网站抓取受害者公司的标识与品牌，展示在钓鱼页面上；在文档平台利用假的 DocuSign 和 Adobe 通知诱使用户点击看似重要的文档链接。

用户一旦点击恶意链接，就会被导向预先填好其邮箱地址、仿真度极高的登录页面，输入凭证后，数据会通过命令与控制（C2）服务器或 Telegram 机器人实时传送给攻击者。Group – IB 发布博客称，从 Telegram 机器人的历史记录来看，被盗取的凭证来自众多不同品牌及国家的企业邮箱，影响范围极广。

07

DCOM 攻击新套路，利用Windows 安装程序来部署后门应用

Deep Instinct 的网络安全研究人员日前发现了一种新颖且威力强大的基于分布式组件对象模型（DCOM）的横向移动攻击方法，利用Windows 安装程序服务悄悄部署后门。攻击者可以利用 IMsiServer 接口实现远程代码执行并建立持久的立足据点，远程编写、加载并执行恶意动态链接库（DLL）文件，以此入侵系统。

具体来说，该攻击先是找出存在漏洞的 Windows 安装程序服务，接着利用其 COM 接口，精心制作包含恶意代码的 DLL 文件，远程写入这个 DLL，将其加载到正在运行的服务进程中。一旦恶意 DLL 被加载进 Windows 安装程序服务后，攻击者就能执行其中代码，进而获得系统的远程访问权限。

不过研究人员指出，这种 DCOM 上传与执行攻击虽威力大，但也存在局限。它要求攻击者和受害机器处于同一域内，限制其仅能在特定的组织范围内实施。而且，持续的 DCOM 加固补丁情况会降低该攻击的有效性。此外，上传的有效载荷必须是强命名的.NET 程序集，还得与目标机器的架构（x86 或 x64）相兼容，增加了攻击过程的复杂性。

08

PUA 泛滥！2024年开源恶意软件数量同比飙升 200%

Sonatype最新发布的《2024年开源恶意软件威胁报告》显示：截止2024年已识别的恶意软件包数量已超 778500 个，同比 2023 年激增 200%。研究人员表示，威胁行为者正在广泛利用恶意开源软件包攻击开发者，这是因为当下企业越来越依赖开源工具来定制 AI 模型。

报告认为，开源恶意软件在准入门槛低、无作者身份核实、使用率高且用户多样的生态系统中肆意滋生。诸如每年处理数万亿软件包请求的 npm 和 PyPI 平台，已经 成为攻击者侵入软件供应链的绝佳突破口。恶意分子专挑热门软件包下手，仿冒正版，甚至接管维护者账号重新包装恶意软件，还通过抬高版本号蒙骗构建系统，让遭污染组件混入持续集成/持续交付（CI/CD）管道，大肆传播恶意代码。

报告还发现，潜在有害应用（PUA）在所有开源恶意软件活动中占比最高，达 64.75%，这类软件可能暗藏间谍软件、广告软件或追踪组件，严重危及终端用户安全与隐私。其他常见开源恶意软件类型还包括安全持有软件包（24.2%）和数据窃取软件（7.86%）。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除