NachoVPN缝隙：恶意VPN服务器利用未建补客户端执行攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

NachoVPN缝隙：恶意VPN服务器利用未建补客户端执行攻击

颁布功夫 2024-11-27

1. NachoVPN缝隙：恶意VPN服务器利用未建补客户端执行攻击

11月26日，一组名为“NachoVPN”的缝隙允许恶意VPN服务器利用未建补的Palo Alto和SonicWall SSL-VPN客户端进行攻击，通过诱骗用户衔接至攻击者节造的VPN服务器，进而窃取登录痛处、执行肆意代码、装置恶意软件或提议代码署名伪造及中央人攻击。AmberWolf安全钻研人员发现了这一威胁，并在缝隙初次汇报后数月内，见证了SonicWall和Palo Alto Networks相继颁布针对CVE-2024-29014和CVE-2024-5921缝隙的补丁。为了防御，SonicWall客户需升级至NetExtender的特定版本，而Palo Alto Networks则建议装置更新版本或在FIPS-CC模式下运行VPN客户端。此表，AmberWolf还颁布了NachoVPN开源工具，该工具能仿照恶意VPN服务器，支持多衷祗业VPN产品，并激励社区贡献新缝隙信息。同时，该公司还提供了有关这两个缝隙的更多技术细节和防御建议，以援手网络防御者�；て湎低趁馐芮痹诠セ�。

https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/

2. 俄罗斯黑客RomCom利用Firefox和Tor零日缝隙提议攻击

11月27日，近期俄罗斯黑客组织RomCom利用了两个零日缝隙，向使用Firefox或Tor浏览器的用户发射了恶意代码。这些缝隙别离影响了Mozilla软件和Windows系统，其中一个缝隙（CVE-2024-9680）使得接见受习染网站的任何人城市无意识地下载RomCom后门，而无需任何点击。幸运的是，这两个缝隙都得到了急剧建复，Mozilla在收到通知后25幼时内就建补了Firefox中的缝隙，而Windows中的缝隙（CVE-2024-49039）也在后续得到建复。RomCom通过特造网站触发缝隙，这些网站仿照了真实组织的网站，蕴含ConnectWise、Devolutions和Correctiv等。固然Tor浏览器也基于Firefox，但ESET追踪的受害者中没有一人是通过Tor受到攻击的，可能是由于Tor的某些设置与Firefox分歧。RomCom的重要指标似乎是公司，绝大无数受害者位于北美和欧洲，但新西兰和法属圭亚那也有零散受害者。

https://www.darkreading.com/application-security/romcom-apt-zero-day-zero-click-browser-escapes-firefox-tor

3. RansomHub组织宣称对两市当局发起勒索攻击

11月27日，网络犯罪组织RansomHub宣称对德克萨斯州科佩尔市及明尼阿波利斯公园和娱乐委员会发起了勒索软件攻击，引发宽泛关注�？婆宥性夥旯セ骱�，互联网、图书馆服务、许可和查抄平台及市法院等多个系统瘫痪，给本地居民带来严沉困扰。只管市当局致力复原，但直至11月下旬，部门市政运营才陆续复原。同时，明尼阿波利斯公园和娱乐委员会也汇报其技术系统遭到攻击，电话线路中断，在致力确定信息泄露情况。RansomHub今年迅快崛起，已对机场、医疗机构、造作公司和关键基础设施等数百个组织发起攻击。自2月份以来，已有约210个组织成为其受害者。该组织最初呈此刻结合健全集团遭逢勒索软件攻击后，随后因另一勒索软件团伙倒关而壮大，对数据进行销售。今年，RansomHub还攻击了多起备受瞩主张指标，蕴含电信巨头Frontier、Rite Aid、英国拍卖行Christie’s等。

https://therecord.media/ransomhub-cybercrime-coppell-texas-minneapolis-parks-agency

4. 塞伦盖蒂行动：非洲法律机构严格进攻网络犯罪

11月26日，非洲法律机构在国际刑警组织和非洲刑警组织的协调下，于9月2日至10月31日期间发展了名为“塞伦盖蒂行动”的进攻网络犯罪活动。这次行动针对勒索软件、贸易电子邮件泄露、数字勒索和网络诳骗等犯罪状为，涉及19个非洲国度，共扣留了1006名嫌疑人，粉碎了134089个恶意基础设施和网络。据调查，这些犯罪活动与至少35224名已确认身份的受害者有关，造成了近1.93亿美元的经济损失，其中塞伦盖蒂行动追回了约莫4400万美元。行动中的亮点蕴含肯尼亚破获一路网上信誉卡诳骗案，塞内加尔捣毁一路庞氏圈套，尼日利亚扣留一名执行网上投资诳骗的男子，喀麦隆破获多档次营销圈套，以及安哥拉捣毁一个虚构赌场国际集团。参加这次行动的国度还有阿尔及利亚、贝宁、科特迪瓦、刚果民主共和国、加蓬、加纳、毛里求斯、莫桑比克、卢旺达、南非、坦桑尼亚、突尼斯、赞比亚和津巴布韦。

https://www.bleepingcomputer.com/news/security/over-1-000-arrested-in-massive-serengeti-anti-cybercrime-operation/

5. Matrix发起大规模DDoS攻击，利用物联网和企业缝隙

11月26日，安全钻研人员发现了一场由名为Matrix的威胁行为者策动的大规模散布式回绝服务（DDoS）攻击活动，该活动利用可接见的工具针对物联网设备和企业服务器。Matrix的攻击框架经过具体分析，重要利用互联网衔接设备上的缝隙和谬误配置，通过暴力攻击、弱凭证和已知缝隙构建僵尸网络。攻击的重要特点蕴含针对路由器、DVR和IP摄像机、企业和谈和物联网设备的缝隙利用。这些攻击严沉依赖默认或弱密码，强调了未能采取根基安全措施会使设备面对入侵的风险。Matrix的指标蕴含云服务提供商、幼型企业和物联网密集地域，受影响的设备可能多达3500万台。Matrix使用了来自GitHub等平台的剧本和工具，并通过Telegram将服务钱币化，提供DDoS攻击打算。只管Matrix不足先进职能，但这些工具的组装和操作都极度容易，显示出低复杂水平参加者所带来的风险越来越大。

https://www.infosecurity-magazine.com/news/ddos-campaign-exploits-iot-devices/

6. Array Networks SSL VPN 产品中的缝隙正被积极利用

11月26日，美国网络防御机构CISA收到证据批注，黑客在积极利用SSL VPN产品Array Networks AG和vxAG ArrayOS中的远程代码执行缝隙，该缝隙被追踪为CVE-2023-28461，严沉性评分高达9.8，已被列入CISA的已知利用缝隙目录中。此缝隙存在于易受攻击的URL中，是一个身份验证不当问题，允许在Array AG系列和vxAG 9.4.0.481及更早版本中执行远程代码。Array Networks在缝隙披露一周后颁布了建复版本Array AG 9.4.0.484。Array Networks的SSL VPN产品被全球超过5000个客户使用，蕴含企业、服务提供商和当局机构。CISA建议所有联国机构和关键基础设施组织在12月16日之前利用安全更新或采取缓解措施，不然应终场使用该产品。安全更新可通过Array支持门户获取，但供给商提供的缓解措施可能会对客户端安全职能产生负面影响，因而组织应首先测试其成效。

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-bug-in-array-networks-ssl-vpn-products/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研