Ivanti 警告：黑客利用 Connect Secure 零日漏洞安装恶意软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Ivanti 警告：黑客利用 Connect Secure 零日漏洞安装恶意软件

宣布时间 2025-01-10

1. Ivanti 警告：黑客利用 Connect Secure 零日漏洞安装恶意软件

1月8日，Ivanti 警告称，黑客正在利用 Connect Secure 远程代码执行漏洞（CVE-2025-0282）进行零日攻击，在设备上安装恶意软件。该漏洞存在于 Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 网关的旧版本中，允许未经身份验证的攻击者远程执行代码。Ivanti 通过其完整性检查工具（ICT）检测到恶意活动后，确认了这一威胁。目前，只有 Ivanti Connect Secure 设备被确认受到利用。Ivanti 已紧急宣布针对 Connect Secure 的宁静补丁，并计划在 2025 年 1 月 21 日宣布针对 Policy Secure 和 Neurons for ZTA 网关的补丁。尽管 Policy Secure 和 Neurons ZTA 网关被认为被利用的风险较低，Ivanti 仍建议客户确保其设备按建议配置，并不袒露在互联网上。同时，Ivanti 建议所有 Connect Secure 管理员执行内部和外部 ICT 扫描，并在须要时恢复出厂设置以删除恶意软件。

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-connect-secure-flaw-used-in-zero-day-attacks/

2. Garmin Connect遭遇全球范围严重中断

1月8日，Garmin Connect是一款广受欢迎的在线运动追踪工具，近期遭遇了严重的服务中断，导致全球范围内数十万用户无法正常使用。当Cybernews主编展示其应用中的统计数据时，我们惊讶地发现，包罗Garmin连接、潜水、高尔夫在内的多个平台已处于离线状态，且众多功效如活动详情、上传、挑战与联系、心电图、Garmin教练等也已被关闭。尽管Garmin手表可以独立于应用运行，但用户无法上传活动记录或加入挑战，相关统计数据也可能因此丢失。这一事件引起了用户的强烈不满，他们纷纷在社交媒体上表达恼怒，并有人推测是否再次遭遇了黑客攻击。据DownDector网站报道，此次中断已波及澳大利亚、加拿大、美国、英国等多个国家。尤为尴尬的是，此次中断恰好发生在Garmin宣布最新款手表Instinct 3之后，无疑给品牌形象带来了负面影响。

https://cybernews.com/news/garmin-connect-major-outage/

3. 乌克兰黑客宣布入侵俄罗斯ISP Nodex并清除系统

1月8日，乌克兰网络联盟的一个黑客组织周二宣布乐成入侵了俄罗斯互联网服务提供商Nodex的网络，窃取敏感文件后清除了被黑系统。黑客在Telegram上宣布了攻击过程中针对Nodex的VMware、Veeam备份和惠普企业虚拟基础设施的截图作为证据。Nodex随后在VKontakte上证实了这一攻击，体现其基础设施遭到攻击，网络已被摧毁，并正在从备份中恢复�；チ嗫刈橹疦etBlocks也发现Nodex的网络服务连接在攻击后瓦解。尽管Nodex努力恢复系统，但其网站一度瘫痪，且无法提供恢复时间表。然而，Nodex随后宣布了恢复过程的更新信息，体现网络核心已恢复，DHCP服务器已上线，许多客户可以重新连接互联网。乌克兰网络联盟自2016年起活跃，声称发生了多起影响俄罗斯各组织的入侵事件，包罗政府机构和媒体等。2023年10月，乌克兰黑客还入侵了Trigona勒索软件团伙的服务器，窃取所有数据后将其清除。

https://www.bleepingcomputer.com/news/security/russian-isp-confirms-ukrainian-hackers-destroyed-its-network/

4. 黑客试图利用CRLF注入攻击GFI KerioControl防火墙

1月8日，黑客正在利用CVE-2024-52875这一严重的CRLF注入漏洞，对GFI KerioControl防火墙产物发动一键远程代码执行(RCE)攻击。KerioControl是一种专为中小型企业设计的网络宁静解决方案，融合了多种宁静功效。2024年12月16日，宁静研究员Egidio Romano宣布了关于该漏洞的详细陈诉，指出一个看似低严重性的HTTP响应拆分问题可以升级为RCE攻击。该漏洞影响KerioControl 9.2.5至9.4.5版本，由于处置不妥的换行符导致，允许通过注入有效载荷利用HTTP标头和响应。攻击者可以利用此漏洞在受害者浏览器上执行恶意JavaScript，提取cookie或CSRF令牌，进而上传包罗根级shell脚本的恶意文件，利用Kerio升级功效打开反向shell。威胁扫描平台Greynoise已检测到针对该漏洞的攻击实验，而Censys陈诉了数万个袒露在互联网上的KerioControl实例，但尚不清楚易受攻击的数量。GFI Software已宣布修复该漏洞的补丁版本，建议用户尽快应用。若无法立即修补，管理员应限制对KerioControl Web管理界面的访问，并配置有效的缓解措施。

https://www.bleepingcomputer.com/news/security/hackers-exploit-keriocontrol-firewall-flaw-to-steal-admin-csrf-tokens/

5. CrowdStrike警告：网络钓鱼活动冒充招聘诱骗用户熏染XMRig矿工

1月9日，CrowdStrike于2025年1月7日发现一项网络钓鱼活动，该活动冒充网络宁静公司，通过发送虚假的事情邀请电子邮件，诱骗求职者下载并熏染门罗币加密货币矿工（XMRig）。这些电子邮件声称来自CrowdStrike的就业署理，谢谢求职者申请开发人员职位，并指示他们从一个看似合法的CrowdStrike门户网站上下载所谓的“员工CRM应用法式”。该网站（cscrm-hiring[.]com）提供适用于Windows或macOS的下载链接。下载的工具会执行沙盒检查以制止在分析环境中运行，一旦检查通过，就会生成虚假错误消息，同时后台下载并解压包罗挖矿机的ZIP文件到系吐滟时目录。该矿工被设置为后台低负荷运行，以制止被发现，并通过添加批处置脚本到启动目录和在注册表中写入自动启动键来保持持久性。CrowdStrike提醒求职者，应验证电子邮件地址的真实性，并通过官方渠道联系招聘人员，警惕紧急或不寻常的请求、过于诱人的提议，以及要求下载可执行文件的招聘流程。雇主很少要求应聘者下载第三方应用法式，更不会要求预付款。

https://www.bleepingcomputer.com/news/security/fake-crowdstrike-job-offer-emails-target-devs-with-crypto-miners/

6. BayMark Health Services遭遇数据泄露，RansomHub团伙声称卖力

1月9日，BayMark Health Services，北美最大的物质使用障碍治疗与康复服务提供商，近期遭遇了一次数据泄露事件。2024年9月，攻击者入侵了BayMark的系统，并在9月24日至10月14日期间访问了包罗患者个人和健康信息的文件。BayMark在10月11日IT系统中断后得知此事，并立即接纳措施�；は低�，同时展开视察并通知了执法部门。泄露的信息包罗患者的姓名、社会宁静号码、驾驶执照号码、出生日期、服务记录、保险信息以及治疗提供者和治疗/诊断信息。尽管BayMark未果然受影响患者的总数，但RansomHub勒索软件团伙声称对此次攻击卖力，并称从BayMark系统中窃取了1.5TB的文件，这些数据随后被上传到暗网泄密网站上。BayMark为可能袒露社会宁静号码或驾驶执照号码的患者提供了一年的免费Equifax身份监控服务。

https://www.bleepingcomputer.com/news/security/largest-us-addiction-treatment-provider-notifies-patients-of-data-breach/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究