LiteSpeed Cache插件漏洞导致数百万WordPress网站面临被控风险

首页 > 宁静研究 > 宁静通报 > 宁静简讯

LiteSpeed Cache插件漏洞导致数百万WordPress网站面临被控风险

宣布时间 2024-08-23

1. LiteSpeed Cache插件漏洞导致数百万WordPress网站面临被控风险

8月21日，LiteSpeed Cache作为WordPress平台上一款广受欢迎的网站加速插件，近期被发现存在一个严重宁静漏洞（CVE-2024-28000），该漏洞允许未经身份验证的攻击者通过创建恶意管理员账户来控制数百万个网站。该漏洞源于LiteSpeed Cache 6.3.0.1及以上版本中用户模拟功效的弱哈希校验问题。宁静研究员John Blackbourn于8月初陈诉了此漏洞，LiteSpeed团队迅速响应，并于8月13日宣布了包罗修复补丁的6.4版本。此漏洞的严重性在于，一旦乐成利用，攻击者可以获取管理员权限，进而安装恶意插件、改动网站设置、重定向流量至恶意站点、分发恶意软件或窃取用户数据。研究人员指出，通过暴力破解哈希值的方式，攻击者能够在短时间内实现对特定用户ID的管理员级访问，尤其当使用常见的用户ID（如1）时，乐成率更高。尽管LiteSpeed已宣布修复版本，但鉴于WordPress官方插件库下载数据显示仅有半数网站更新，剩余凌驾一半的用户仍面临风险。建议所有使用LiteSpeed Cache的WordPress网站管理员立即升级至最新版本。

https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-millions-of-wordpress-sites-to-takeover-attacks/

2. 乌克兰Monobank遭大规模DDoS攻击，捐款服务成黑客目标

8月19日，乌克兰知名网上银行Monobank近期遭受了前所未有的大规模漫衍式拒绝服务（DDoS）攻击，此次攻击尤其针对其用于为乌克兰军队筹集捐款的在线服务。从周五晚至周一早，攻击峰值到达每秒75亿次请求，规模异常庞大，尽管未直接影响银行核心业务运行，但凸显了宁静挑战的严峻性。Monobank迅速联合乌克兰宁静部门及亚马逊云服务专家进行防御，有效缓解了攻击压力。值得注意的是，Monobank仅通过移动应用提供服务，这一特性使其成为黑客的重点攻击工具。此前，该银行在1月已遭遇过一次DDoS攻击，三日内接收了5.8亿条垃圾请求。此次攻击目的明确，旨在破坏乌克兰民众通过Monobank平台便捷地为军队捐款的渠道，该服务允许用户创建虚拟钱包并通过社交媒体分享，简化捐款流程。Monobank首席执行官Oleh Horokhovskyi指出，过去三年间，该平台连续不停的捐款活动可能惹恼了敌对势力，促使他们接纳极端手段试图瘫痪服务。尽管银行体现俄罗斯可能为此次攻击的幕后筹谋者，但并未果然具体证据。Horokhovskyi强调，Monobank已成为乌克兰IT领域遭受最严重攻击的目标之一。

https://therecord.media/ukraine-monobank-ddos-attack-donations

3. 伊朗APT组织GreenCharlie对美国政治运动提倡网络攻击

8月21日，Insikt Group最新宣布的陈诉揭示了伊朗支持的高级连续性威胁组织GreenCharlie的隐秘行动，该组织被指与针对美国政治运动的网络攻击相关联，且受伊朗革命卫队情报组织(IRGC-IO)指挥。自2024年5月起，GreenCharlie构建并扩大了其恶意基础设施网络，针对政府官员、外交官等高价值目标实施网络间谍活动。其基础设施利用动态DNS服务和多种顶级域名，促进网络钓鱼和恶意软件流传。陈诉强调，GreenCharlie运用包罗GORBLE、POWERSTAR和NokNok在内的庞大恶意软件家族，通过鱼叉式网络钓鱼手段窃取敏感信息，这些恶意软件家族间存在显著代码重叠，显示其变种间的紧密联系。此外，GreenCharlie频繁使用伊朗IP地址与基础设施通信，进一步证实了其与伊朗的紧密联系及情报收集战略。为掩盖活动，GreenCharlie还接纳了包罗ProtonVPN和ProtonMail在内的加密服务，这是伊朗APT团体的惯用伎俩。其网络钓鱼操作极其狡猾，通过伪造合法服务域名诱骗受害者。强烈建议加入政治运动的组织，尤其是美国的相关组织提高警惕。

https://securityonline.info/iranian-apt-greencharlie-escalates-threats-against-us-political-targets-using-gorble-and-powerstar-malware/

4. 石油巨头Halliburton遭受基于云的网络攻击

8月21日，全球第二大油田服务公司Halliburton确认遭受了网络攻击，该事件已促使公司紧急指示员工全面断开与内部网络的连接，以防止潜在的数据泄露或系统损害。公司发言人迅速回应，体现已察觉到系统受影响的状况，并正全力评估攻击的原因及可能带来的后果。为应对此次�；�，Halliburton激活了既定的应急计划，其IT团队正积极协同外部顶尖专家配合处置这一问题。作为业务遍布70个国家、拥有超4万名国际员工的行业巨头，Halliburton在能源服务领域饰演着举足轻重的角色，提供从技术服务、设备供应到钻井、炼油及水力压裂作业的全链条服务。此次攻击不仅影响了其位于美国休斯顿及迪拜两大总部的运营，还波及了全球范围内的部门业务网络。社交媒体上，有关Halliburton遭受云宁静攻击的消息迅速流传，一些评论者担忧地指出，过度依赖云计算可能加剧了此次事件的严重性。目前尚无任何网络犯罪组织站出来声称对Halliburton遭受的袭击卖力。

https://cybernews.com/news/halliburton-oil-cyberattack-cloud-fuel-supply/

5. PG_MEM恶意软件利用PostgreSQL弱密码暴力破解挖掘加密货币

8月22日，网络宁静研究人员近日发现了一种新型恶意软件PG_MEM，它针对PostgreSQL数据库提倡暴力破解攻击，旨在挖掘加密货币。Aqua宁静公司的Assaf Morag指出，攻击者通过不停实验弱密码以获取数据库访问权限，并利用PostgreSQL的“COPY ... FROM PROGRAM”功效执行任意shell命令，进而执行数据窃取、部署恶意软件等恶意活动。攻击链中，攻击者首先针对错误配置的PostgreSQL数据库创建管理员角色，并利用PROGRAM功效运行shell命令。得手后，他们不仅剥夺了“postgres”用户的超级用户权限，还通过远程服务器投放PG_MEM和PG_CORE两个载荷，这些载荷能终止竞争挖矿进程、设置持久性，并最终部署Monero加密货币矿工。此攻击的核心在于利用了PostgreSQL的COPY命令及其PROGRAM参数，允许服务器执行外部命令并将结果导入数据库。尽管加密货币挖掘是其主要目的，但攻击者同样能执行命令、访问数据并控制受熏染服务器。此宁静威胁凸显了互联网连接PostgreSQL数据库因弱密码而面临的重大风险，这往往源于配置不妥和身份认证控制的缺失。

https://thehackernews.com/2024/08/new-malware-pgmem-targets-postgresql.html

6. Tycoon 2FA网络钓鱼针对美国政府组织

8月22日，ANY.RUN的研究人员揭露了一项新的网络钓鱼活动，该活动利用Tycoon 2FA工具包，针对美国政府组织展开攻击。Tycoon 2FA自2023年起便频繁被用于钓鱼活动，以其庞大计谋和多功效性著称。最近，攻击者通过受熏染的亚马逊SES账户，发送伪装成Docusign的邮件，诱导收件人点击链接，经历一系列重定向后，最终到达假冒的Microsoft Teams登录页面。这些邮件特别针对.gov域内的338个政府组织的邮箱，显示出高度的目标选择性。在ANY.RUN沙箱中分析显示，钓鱼链接将受害者引导至MSOFT_DOCUSIGN_VERIFICATION_SECURED-DOC_OFFICE[.]zatrdg[.]com等域名，要求输入电子邮件地址。若地址匹配攻击者列表，受害者将被进一步重定向至donostain[.]com，该域通过AES加密的多部门POST请求实验窃取Microsoft账户密码。此外，vereares[.]ru域名作为攻击者的重定向工具，增强了钓鱼方案的灵活性。值得注意的是，攻击者还利用了合法服务如mailmeteor[.]com来增强钓鱼页面的可信度，并通过jsonip[.]com获取IP信息。

https://securityonline.info/new-phishing-campaign-targets-us-government-organizations/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究