D-Link NAS的肆意号令注入和硬编码后门

首页 > 安全钻研 > 安全传递 > 安全简讯

D-Link NAS的肆意号令注入和硬编码后门

颁布功夫 2024-04-08

1. D-Link NAS的肆意号令注入和硬编码后门

4月6日，威胁钻研人员披露了多个不在支持的 D-Link 网络附加存储 (NAS) 设备型号中存在新的肆意号令注入和硬编码后门缺点。该问题存在于“/cgi-bin/nas_sharing.cgi”剧本中，影响其 HTTP GET 要求处置法式组件。导致该缺点（编号为 CVE-2024-3273）的两个重要问题是通过硬编码帐户（用户名：“messagebus”和空密码）促成的后门以及通过“system”参数的号令注入问题。号令注入缺点是由于通过 HTTP GET 要求将 Base64 编码的号令增长到“system”参数，而后执行该号令而引起的。D-Link为旧设备成立了专门的支持页面，用户能够在其中浏览档案以查找最新的安全和固件更新。

https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/

2. 超过1.6万个IVANTI VPN依然易受到CVE-2024-21894的攻击

4月6日，Shadowserver 钻研人员汇报称，约莫 16500 个 Ivanti Connect Secure 和 Poly Secure 网关容易受到最近汇报的 RCE CVE-2024-21894的影响。该公司已颁布了安全更新，以解决影响 Connect Secure 和战术安全网关的四个安全缝隙，这些缝隙可能导致代码执行和回绝服务 (DoS)，蕴含CVE-2024-21894。CVE-2024-21894（CVSS 评分 8.2）是 Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 IPSec 组件中的堆溢露马脚，允许未经身份验证的恶意用户在以下地位发送特造要求：号令 - 使服务崩溃从而导致 DoS 攻击。在某些情况下，这可能会导致执行肆意代码。Shadowserver 钻研人员扫描了互联网上是否存在易受 CVE-2024-21894 影响的事俘，并汇报称约有 16,500 个事俘依然容易受到攻击。大无数易受攻击的系统位于美国（截至撰写本文时有 4686 个），其次是日本（2009 年）和英国（1032 个）。

https://securityaffairs.com/161544/security/ivanti-16500-vulnerable-istances.html

3. 美国卫生部忠告医院 IT 服务台易遭到黑客攻击

4月6日，美国卫生与公家服务部 (HHS) 忠告称，黑客此刻在使用社会工程战术来攻击医疗保健和公共卫生 (HPH) 领域的 IT 服务台。卫生部门网络安全协调中心 (HC3) 本周颁布的部门警报称，这些战术允许攻击者通过注册自己的多沉身份验证 (MFA) 设备来接见指标组织的系统。在这些攻击中，威胁行为者使用本地域域代码致电假意财政部门员工的组织，并提供窃取的身份验证具体信息，蕴含公司 ID 和社会安全号码。他们利用这些敏感信息并宣称自己的智能手机已败坏，说服 IT 援手台在攻击者的节造下在 MFA 中注册新设备。这使他们可能接见公司资源，并允许他们在贸易电子邮件泄露攻击中沉定向银行买卖。

https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/

4. 以色列司法部在黑客活动分子宣称入侵后审查网络事务

4月6日，以色列司法部暗示，在调查一路网络事务，领域仍在审查中，必要功夫来查抄泄露文件的内容和领域及其起源。一个名为 Anonymous for Justice 的组织宣称对这次泄露掌管，并称这次泄露蕴含检索近 300 GB 的数据。该组织在其网站上暗示，将持续攻击以色列，“直到加沙战争终场”。该组织颁布了据称在攻击活动中获得的文件，例如司法文件，蕴含象征为机密的双边和谈和合同草案。路透社无法独立核实泄露文件的真实性。司法部在帖子中暗示，已针对这种情况提前做好筹备，并且其行动不会中断。国度网络局本周早些时辰暗示，预计伊朗年度圣城日周末的网络攻击尝试将会增长。

https://www.reuters.com/world/middle-east/israels-justice-ministry-reviewing-cyber-incident-after-hacktivists-claim-breach-2024-04-05/

5. 日本 Hoya 的 IT 系统遭逢攻击后暂停出产

4月5日，日本的 Hoya——一家眼镜和隐形眼镜造作商，以及用于造作半导体造作、平板显示器和硬盘驱动器的套件—— IT 系统遭逢攻击后，该公司已终场部门出产和销售活动。官方对所发滋事务的见解是吞吐的。该公司承诺“将采取措施复原出产和销售活动所需的系统，并尽快复原向客户提供产品的供给系统”。Hoya 目前尚不明显“公司持有的机密或幼我信息是否已被泄露或被第三方接见”，并忠告称“全面分析预计必要相当长的功夫”。

https://www.theregister.com/2024/04/05/hoya_infosec_incident/

6. 黑客利用 Magento 缝隙窃取电子商务网站支付数据

4月6日，该攻击利用了CVE-2024-20720（CVSS 评分：9.1），Adobe 将其描述为“特殊元素的不傍边和”案例，可能为肆意代码执行摊平路路。公司在 2024 年 2 月 13 日颁布的安全更新中解决了这个问题。Sansec 暗示，它在数据库中发现了一个“精心设计的布局模板”，该模板被用来自动注入恶意代码以执行肆意号令。攻击者将 Magento 布局解析器与 beberlei/assert 包（默认装置）结合起来执行系统号令。由于布局块与结帐车有关联，因而每当要求 <store>/checkout/cart 时城市执行此号令。有问题的号令是sed，它用于插入一个代码执行后门，而后掌管提供 Stripe支付浏览器以捕获财政信息并将其泄露到另一个受习染的 Magento 商店。

https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研