D-Link NAS的任意命令注入和硬编码后门

首页 > 宁静研究 > 宁静通报 > 宁静简讯

D-Link NAS的任意命令注入和硬编码后门

宣布时间 2024-04-08

1. D-Link NAS的任意命令注入和硬编码后门

4月6日，威胁研究人员披露了多个不在支持的 D-Link 网络附加存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门缺陷。该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中，影响其 HTTP GET 请求处置法式组件。导致该缺陷（编号为 CVE-2024-3273）的两个主要问题是通过硬编码帐户（用户名：“messagebus”和空密码）促成的后门以及通过“system”参数的命令注入问题。命令注入缺陷是由于通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数，然后执行该命令而引起的。D-Link为旧设备建立了专门的支持页面，用户可以在其中浏览档案以查找最新的宁静和固件更新。

https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/

2. 凌驾1.6万个IVANTI VPN仍然易受到CVE-2024-21894的攻击

4月6日，Shadowserver 研究人员陈诉称，约莫 16500 个 Ivanti Connect Secure 和 Poly Secure 网关容易受到最近陈诉的 RCE CVE-2024-21894的影响。该公司已宣布了宁静更新，以解决影响 Connect Secure 和计谋宁静网关的四个宁静漏洞，这些漏洞可能导致代码执行和拒绝服务 (DoS)，包罗CVE-2024-21894。CVE-2024-21894（CVSS 评分 8.2）是 Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 IPSec 组件中的堆溢出漏洞，允许未经身份验证的恶意用户在以下位置发送特制请求：命令 - 使服务瓦解从而导致 DoS 攻击。在某些情况下，这可能会导致执行任意代码。Shadowserver 研究人员扫描了互联网上是否存在易受 CVE-2024-21894 影响的实例，并陈诉称约有 16,500 个实例仍然容易受到攻击。大多数易受攻击的系统位于美国（截至撰写本文时有 4686 个），其次是日本（2009 年）和英国（1032 个）。

https://securityaffairs.com/161544/security/ivanti-16500-vulnerable-istances.html

3. 美国卫生部警告医院 IT 服务台易遭到黑客攻击

4月6日，美国卫生与公众服务部 (HHS) 警告称，黑客现在正在使用社会工程计谋来攻击医疗保健和公共卫生 (HPH) 领域的 IT 服务台。卫生部门网络宁静协调中心 (HC3) 本周宣布的部门警报称，这些计谋允许攻击者通过注册自己的多重身份验证 (MFA) 设备来访问目标组织的系统。在这些攻击中，威胁行为者使用当地域域代码致电冒充财政部门员工的组织，并提供窃取的身份验证详细信息，包罗公司 ID 和社会宁静号码。他们利用这些敏感信息并声称自己的智能手机已损坏，说服 IT 资助台在攻击者的控制下在 MFA 中注册新设备。这使他们能够访问公司资源，并允许他们在商业电子邮件泄露攻击中重定向银行交易。

https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/

4. 以色列司法部在黑客活动分子声称入侵后审查网络事件

4月6日，以色列司法部体现，正在视察一起网络事件，范围仍在审查中，需要时间来检查泄露文件的内容和范围及其来源。一个名为 Anonymous for Justice 的组织声称对此次泄露卖力，并称此次泄露包罗检索近 300 GB 的数据。该组织在其网站上体现，将继续攻击以色列，“直到加沙战争停止”。该组织宣布了据称在攻击活动中获得的文件，例如执法文件，包罗标志为机密的双边协议和合同草案。路透社无法独立核实泄露文件的真实性。司法部在帖子中体现，已针对这种情况提前做好准备，而且其行动不会中断。国家网络局本周早些时候体现，预计伊朗年度圣城日周末的网络攻击实验将会增加。

https://www.reuters.com/world/middle-east/israels-justice-ministry-reviewing-cyber-incident-after-hacktivists-claim-breach-2024-04-05/

5. 日本 Hoya 的 IT 系统遭受攻击后暂停生产

4月5日，日本的 Hoya——一家眼镜和隐形眼镜制造商，以及用于制造半导体制造、平板显示器和硬盘驱动器的套件—— IT 系统遭受攻击后，该公司已停止部门生产和销售活动。官方对所发生事件的看法是模糊的。该公司允许“将接纳措施恢复生产和销售活动所需的系统，并尽快恢复向客户提供产物的供应系统”。Hoya 目前尚不清楚“公司持有的机密或个人信息是否已被泄露或被第三方访问”，并警告称“全面分析预计需要相当长的时间”。

https://www.theregister.com/2024/04/05/hoya_infosec_incident/

6. 黑客利用 Magento 漏洞窃取电子商务网站支付数据

4月6日，该攻击利用了CVE-2024-20720（CVSS 评分：9.1），Adobe 将其描述为“特殊元素的不妥中和”案例，可能为任意代码执行铺平门路。公司在 2024 年 2 月 13 日宣布的宁静更新中解决了这个问题。Sansec 体现，它在数据库中发现了一个“精心设计的结构模板”，该模板被用来自动注入恶意代码以执行任意命令。攻击者将 Magento 结构解析器与 beberlei/assert 包（默认安装）结合起来执行系统命令。由于结构块与结帐车相关联，因此每当请求 <store>/checkout/cart 时都市执行此命令。有问题的命令是sed，它用于插入一个代码执行后门，然后卖力提供 Stripe支付浏览器以捕捉财政信息并将其泄露到另一个受熏染的 Magento 商店。

https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究