Ruby-SAML库曝漏洞CVE-2024-45409,危及身份验证宁静

宣布时间 2024-09-13
1. Ruby-SAML库曝漏洞CVE-2024-45409,危及身份验证宁静


9月11日,Ruby-SAML库作为实施SAML(宁静断言标志语言)授权的重要工具,近期被曝出严重宁静漏洞CVE-2024-45409,其CVSS评分高达10,表明其极高的危害性 。此漏洞存在于Ruby-SAML的多个版本中,主要因XPath选择器错误导致,使得SAML响应的签名验证失效 。SAML作为单点登录(SSO)的核心协议,其签名完整性的缺失直接威胁到系统的宁静性 。攻击者无需身份验证,仅通过伪造或改动包罗任意数据的SAML响应,即可轻松绕过身份验证机制,假冒任何用户身份登录系统,从而获取对敏感数据和要害系统的未授权访问权限 。这一漏洞的广泛影响不容忽视,因为众多组织依赖SAML身份验证来保障应用访问宁静,一旦遭到利用,将可能导致用户数据泄露和企业资产受损 。提醒所有Ruby-SAML用户立即接纳行动,更新至最新宁静版本,以防范潜在的宁静风险 。


https://securityonline.info/cve-2024-45409-cvss-10-critical-ruby-saml-flaw-leaves-user-accounts-exposed/


2. 查尔斯·达尔文学校遭勒索软件攻击紧急�?�


9月9日,英国伦敦南部的查尔斯·达尔文学校因遭受勒索软件攻击,宣布本周前三天将关闭校园进行网络宁静清理事情,此举影响了约1300名学生的正常学习 。自9月5日起,学生被迫离校,校长Aston Smith随后向家长通报,此次IT问题实为严重的勒索软件攻击,导致所有员工设备被移除以进行宁静处置 。因此,学校决定在下周一、二、三暂停授课,以便教师重新规划课程,管理层则致力于构建新系统以恢复学校运营 。同时,学生的微软Office 365账户被暂时禁用,以防进一步风险 。校长强调,在此期间,家长与学生应通过官方学习平台Satchel One获取最新通知,切勿轻信任何未经核实的邮件或链接 。鉴于数据泄露的可能性,学校正与网络宁静专家紧密合作,但具体损失细节尚待视察完成后宣布 。校长还指出,尽管学校已接纳先进的宁静措施,此类网络攻击仍日益放肆,与近期英国多起知名机构遭袭事件相似,凸显了网络宁静挑战的严峻性 。


https://therecord.media/ransomware-attack-forces-london-high-school-to-close


3. 百万安卓电视盒遭Vo1d后门恶意软件攻击,全球多国沦陷


9月12日,威胁者利用新型Vo1d后门恶意软件,乐成熏染了全球凌驾130万台运行Android系统的电视流媒体盒,主要集中于巴西、摩洛哥等多国,赋予攻击者对这些设备的完全控制权 。这款恶意软件源自Android开源项目(AOSP),由Google主导,广泛用于多种设备 。Dr.Web的研究揭示,Vo1d恶意软件通过改动Android的启动脚本(如install-recovery.sh、daemonsu等),实现在设惫亓持久存在与自动启动 。其主要功效由vo1d和wd两个组件协同完成,vo1d卖力wd的启动与控制,并能执行来自C&C服务器的命令;wd则卖力安装守护进程,监视目录并安装APK文件 。熏染途径虽尚不明确,但推测可能涉及操作系统漏洞的利用或非官方固件中的root权限漏洞 。为防止进一步熏染,Android用户应定期检查并安装固件更新,同时制止使用来自非官方渠道的APK应用 。鉴于受熏染设备实际运行的是AOSP而非Android TV,这一发现强调了即使是基于开源项目的设备也需保持警惕,以防遭受类似攻击 。


https://www.bleepingcomputer.com/news/security/new-vo1d-malware-infects-13-million-android-streaming-boxes/


4. Hadooken恶意软件瞄准Oracle WebLogic服务器


9月13日,Aqua的研究团队最近揭示了针对Oracle WebLogic服务器的系列攻击,这些攻击利用弱密码作为突破口,部署了一种新兴的Linux恶意软件Hadooken 。Aqua在监控中捕捉到数十起此类入侵,表明攻击活动活跃且频繁 。Hadooken 很可能以《街头霸王》电子游戏系列中的一次攻击命名,集成了加密矿工与潜在的Tsunami DDoS僵尸网络功效 。Hadooken通过创建cronjob实现持久化,并包罗窃取用户凭证的脚本,便于攻击者横向扩展至其他服务器 。Aqua追踪到Hadooken下载源自两个IP地址之一与英国某托管公司相关,但无直接证据表明该公司涉恶 。进一步分析显示,Hadooken与RHOMBUS和NoEscape勒索软件存在技术关联,体现攻击者可能同时瞄准Windows端点执行勒索软件,并利用Linux服务器部署后门和加密矿工,针对大型企业实施复合型威胁 。


https://www.theregister.com/2024/09/13/hadooken_attacks_oracle_weblogic/


5. 黑客利用Azure SharePoint漏洞导致Fortinet 440GB数据泄露


9月12日,黑客“Fortibitch”在地下论坛Breach Forum上声称从网络宁静巨头Fortinet的Azure SharePoint实例中窃取了440GB的数据,该漏洞被命名为“Fortileak” 。黑客指责Fortinet的Azure SharePoint袒露并被入侵,导致数据泄露,并分享了访问凭证以便下载这些数据 。黑客还提到Fortinet的CEO谢肯拒绝了赎金要求,并讥笑其态度 。Fortinet官方回应称,一名未授权个体访问了存储在第三方云端共享文件驱动器上的有限文件,这些文件涉及“一小部门”客户数据,但公司运营、产物和服务未受影响,且已与客户相同 。此前,Fortinet也遭遇过宁静事件,包罗被利用零日漏洞和FortiOS操作系统漏洞的攻击 。目前,此次数据泄露的严重水平及赎金谈判进展尚不明朗,客户和网络宁静领域正密切关注事态生长 。


https://hackread.com/fortinet-confirms-data-breach-hacker-data-leak/


6. DockerSpy:自动扫描Docker Hub镜像,守护敏感数据宁静


9月11日,DockerSpy 是一款专为解决 Docker 镜像中敏感数据泄露问题而设计的工具,它能自动扫描 Docker Hub 上的图像,快速检索出包罗身份验证机密、私钥等在内的敏感信息 。创建者 Alisson Moretto 体现,随着 Docker 镜像的广泛使用,尤其是公共镜像库中潜在的宁静隐患日益凸显,DockerSpy 的诞生旨在提供一层特别的宁静屏障,资助开发者及时发现并清除镜像中的敏感数据,增强宁静性和合规性 。DockerSpy 的奇特优势在于其与 Docker Hub 的无缝集成,实现了自动化提取和分析镜像的功效,无需手动干预 。其先进的扫描引擎能够识别多种形式的机密信息,无论是硬编码的凭证还是隐藏在代码及环境变量中的庞大模式,都能有效捕捉并详细分析潜在风险 。目前,DockerSpy 已在 GitHub 上开放下载,供开发者免费使用 。


https://www.helpnetsecurity.com/2024/09/11/dockerspy-extract-sensitive-information-docker-hub-images/?web_view=true