NachoVPN漏洞：恶意VPN服务器利用未修补客户端实施攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

NachoVPN漏洞：恶意VPN服务器利用未修补客户端实施攻击

宣布时间 2024-11-27

1. NachoVPN漏洞：恶意VPN服务器利用未修补客户端实施攻击

11月26日，一组名为“NachoVPN”的漏洞允许恶意VPN服务器利用未修补的Palo Alto和SonicWall SSL-VPN客户端进行攻击，通过诱骗用户连接至攻击者控制的VPN服务器，进而窃取登录凭据、执行任意代码、安装恶意软件或提倡代码签名伪造及中间人攻击。AmberWolf宁静研究人员发现了这一威胁，并在漏洞首次陈诉后数月内，见证了SonicWall和Palo Alto Networks相继宣布针对CVE-2024-29014和CVE-2024-5921漏洞的补丁。为了防御，SonicWall客户需升级至NetExtender的特定版本，而Palo Alto Networks则建议安装更新版本或在FIPS-CC模式下运行VPN客户端。此外，AmberWolf还宣布了NachoVPN开源工具，该工具能模拟恶意VPN服务器，支持多种企业VPN产物，并勉励社区孝敬新漏洞信息。同时，该公司还提供了有关这两个漏洞的更多技术细节和防御建议，以资助网络防御者�；て湎低趁馐芮痹诠セ�。

https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/

2. 俄罗斯黑客RomCom利用Firefox和Tor零日漏洞提倡攻击

11月27日，近期俄罗斯黑客组织RomCom利用了两个零日漏洞，向使用Firefox或Tor浏览器的用户发射了恶意代码。这些漏洞分别影响了Mozilla软件和Windows系统，其中一个漏洞（CVE-2024-9680）使得访问受熏染网站的任何人都市无意识地下载RomCom后门，而无需任何点击。幸运的是，这两个漏洞都得到了快速修复，Mozilla在收到通知后25小时内就修补了Firefox中的漏洞，而Windows中的漏洞（CVE-2024-49039）也在后续得到修复。RomCom通过特制网站触发漏洞，这些网站模仿了真实组织的网站，包罗ConnectWise、Devolutions和Correctiv等。虽然Tor浏览器也基于Firefox，但ESET追踪的受害者中没有一人是通过Tor受到攻击的，可能是因为Tor的某些设置与Firefox差异。RomCom的主要目标似乎是公司，绝大多数受害者位于北美和欧洲，但新西兰和法属圭亚那也有零星受害者。

https://www.darkreading.com/application-security/romcom-apt-zero-day-zero-click-browser-escapes-firefox-tor

3. RansomHub组织声称对两市政府发动勒索攻击

11月27日，网络犯罪组织RansomHub声称对德克萨斯州科佩尔市及明尼阿波利斯公园和娱乐委员会发动了勒索软件攻击，引发广泛关注�？婆宥性馐芄セ骱�，互联网、图书馆服务、许可和检查平台及市法院等多个系统瘫痪，给当地居民带来严重困扰。尽管市政府努力恢复，但直至11月下旬，部门市政运营才陆续恢复。同时，明尼阿波利斯公园和娱乐委员会也陈诉其技术系统遭到攻击，电话线路中断，正在努力确定信息泄露情况。RansomHub今年迅速崛起，已对机场、医疗机构、制造公司和要害基础设施等数百个组织发动攻击。自2月份以来，已有约210个组织成为其受害者。该组织最初泛起在联合健康集团遭受勒索软件攻击后，随后因另一勒索软件团伙倒闭而壮大，对数据进行出售。今年，RansomHub还攻击了多起备受瞩目的目标，包罗电信巨头Frontier、Rite Aid、英国拍卖行Christie’s等。

https://therecord.media/ransomhub-cybercrime-coppell-texas-minneapolis-parks-agency

4. 塞伦盖蒂行动：非洲执法机构严厉攻击网络犯罪

11月26日，非洲执法机构在国际刑警组织和非洲刑警组织的协调下，于9月2日至10月31日期间开展了名为“塞伦盖蒂行动”的攻击网络犯罪活动。此次行动针对勒索软件、商业电子邮件泄露、数字勒索和网络诈骗等犯罪行为，涉及19个非洲国家，共逮捕了1006名嫌疑人，摧毁了134089个恶意基础设施和网络。据视察，这些犯罪活动与至少35224名已确认身份的受害者有关，造成了近1.93亿美元的经济损失，其中塞伦盖蒂行动追回了约莫4400万美元。行动中的亮点包罗肯尼亚破获一起网上信用卡诈骗案，塞内加尔捣毁一起庞氏骗局，尼日利亚逮捕一名实施网上投资诈骗的男子，喀麦隆破获多条理营销骗局，以及安哥拉捣毁一个虚拟赌场国际集团。加入此次行动的国家还有阿尔及利亚、贝宁、科特迪瓦、刚果民主共和国、加蓬、加纳、毛里求斯、莫桑比克、卢旺达、南非、坦桑尼亚、突尼斯、赞比亚和津巴布韦。

https://www.bleepingcomputer.com/news/security/over-1-000-arrested-in-massive-serengeti-anti-cybercrime-operation/

5. Matrix发动大规模DDoS攻击，利用物联网和企业漏洞

11月26日，宁静研究人员发现了一场由名为Matrix的威胁行为者筹谋的大规模漫衍式拒绝服务（DDoS）攻击活动，该活动利用可访问的工具针对物联网设备和企业服务器。Matrix的攻击框架经过详细分析，主要利用互联网连接设惫亓漏洞和错误配置，通过暴力攻击、弱凭证和已知漏洞构建僵尸网络。攻击的主要特征包罗针对路由器、DVR和IP摄像机、企业协议和物联网设备的漏洞利用。这些攻击严重依赖默认或弱密码，强调了未能接纳基本宁静措施会使设备面临入侵的风险。Matrix的目标包罗云服务提供商、小型企业和物联网密集地域，受影响的设备可能多达3500万台。Matrix使用了来自GitHub等平台的脚本和工具，并通过Telegram将服务货币化，提供DDoS攻击计划。尽管Matrix缺乏先进功效，但这些工具的组装和操作都非常容易，显示出低庞大水平加入者所带来的风险越来越大。

https://www.infosecurity-magazine.com/news/ddos-campaign-exploits-iot-devices/

6. Array Networks SSL VPN 产物中的漏洞正被积极利用

11月26日，美国网络防御机构CISA收到证据表明，黑客正在积极利用SSL VPN产物Array Networks AG和vxAG ArrayOS中的远程代码执行漏洞，该漏洞被追踪为CVE-2023-28461，严重性评分高达9.8，已被列入CISA的已知利用漏洞目录中。此漏洞存在于易受攻击的URL中，是一个身份验证不妥问题，允许在Array AG系列和vxAG 9.4.0.481及更早版本中执行远程代码。Array Networks在漏洞披露一周后宣布了修复版本Array AG 9.4.0.484。Array Networks的SSL VPN产物被全球凌驾5000个客户使用，包罗企业、服务提供商和政府机构。CISA建议所有联邦机构和要害基础设施组织在12月16日之前应用宁静更新或接纳缓解措施，否则应停止使用该产物。宁静更新可通过Array支持门户获取，但供应商提供的缓解措施可能会对客户端宁静功效发生负面影响，因此组织应首先测试其效果。

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-bug-in-array-networks-ssl-vpn-products/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究