SonicWall SSLVPN 设备严重漏洞曝光：超25,000台设备易受攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

SonicWall SSLVPN 设备严重漏洞曝光：超25,000台设备易受攻击

宣布时间 2024-12-19

1. SonicWall SSLVPN 设备严重漏洞曝光：超25,000台设备易受攻击

12月17日，网络宁静公司Bishop Fox的分析揭示，凌驾25,000台可果然访问的SonicWall SSLVPN设备存在重大宁静隐患，其中20,000台设备运行着供应商不再支持的SonicOS/OSX固件版本。这些设备容易遭受勒索软件组织如Fog和Akira的攻击，成为其入侵公司网络的入口。通过扫描工具，Bishop Fox发现了430,363个果然袒露的SonicWall防火墙，管理或SSL VPN接口可从互联网访问，为攻击者提供了探测漏洞、过时固件、错误配置和破解弱密码的机会。其中，6,633台设备已到达使用寿命，另有14,077台使用Series 6的不再受支持版本，共20,710台易受果然漏洞攻击。此外，还有大量设备运行着未知版本或不受支持的固件。虽然相比2024年1月，易受攻击的端点数量有所下降，但补丁接纳速度仍然缓慢，显示出网络宁静形势依然严峻。

https://www.bleepingcomputer.com/news/security/over-25-000-sonicwall-vpn-firewalls-exposed-to-critical-flaws/

2. 纳米比亚电信遭勒索软件攻击，敏感数据泄露

12月17日，纳米比亚国有电信公司近期遭受了勒索软件攻击，导致近50万条敏感客户数据被泄露，其中包罗高级政府官员的信息。在拒绝与黑客组织“猎人国际”合作后，黑客将这些数据宣布到了暗网上。纳米比亚电信公司正在视察此次大规模系统入侵的原因，并正与宁静官员合作，以减少进一步的信息泄露并追捕罪犯。即将卸任的总统南戈洛·姆本巴对此次网络攻击体现谴责，并呼吁以应有的紧迫性处置此事，指出网络宁静是国家宁静问题。据纳米比亚电信公司首席执行官斯坦利·沙纳平达体现，公司不会与黑客就赎金进行谈判，因为赎金数额过高且支付赎金也不能保证信息不被泄露。此次攻击中，黑客窃取了包罗个人身份信息、地址和银行信息等在内的敏感客户记录，并在社交媒体上分享。纳米比亚电信公司警告人们不要分享任何泄露的信息，并敦促客户更改密码，制止在可疑情况下进行转账。

https://www.capitalfm.co.ke/news/2024/12/sensitive-data-leaked-after-namibia-ransomware-hack/

3. 网络钓鱼诈骗新手段：滥用Google日历和绘图页面窃取凭证

12月18日，近期网络钓鱼诈骗活动频繁，非法分子利用Google日历邀请和Google绘图页面作为工具，企图窃取用户凭证，并乐成绕过了垃圾邮件过滤器。据网络宁静监控机构Check Point陈诉，短短四周内，已有300个品牌遭受攻击，凌驾4,000封钓鱼邮件被发送。这些邮件的目标广泛，包罗教育机构、医疗机构、建筑公司和银行等。攻击手法主要是通过Google日历发送看似无害的会议邀请，邀请中嵌入指向Google Forms或Google Drawing的链接，诱导用户点击伪装成reCaptcha或支持按钮的另一个链接。由于这些邀请来自合法的Google服务，因此能够绕过垃圾邮件过滤器。Check Point指出，攻击者利用了Google日历服务，使得邮件标题看起来完全合法，与正常Google日历邀请无异，并通过了DKIM、SPF和DMARC等电子邮件宁静检查。此外，攻击者还会取消Google日历活动并附加消息，以增加钓鱼邮件的发送量。尽管Google曾推出�；ご胧�，但若Google Workspace管理员未启用，日历中仍会自动添加此类邀请。

https://www.bleepingcomputer.com/news/security/ongoing-phishing-attack-abuses-google-calendar-to-bypass-spam-filters/

4. APT29黑客组织利用193个RDP署理服务器执行MiTM攻击

12月18日，俄罗斯黑客组织APT29（又称“午夜暴雪”）正利用由193个远程桌面协议（RDP）署理服务器组成的网络执行中间人（MiTM）攻击，旨在窃取数据、凭据并安装恶意负载。该组织使用PyRDP红队署理工具，通过RDP协议扫描受害者文件系统、窃取数据并在远程执行恶意法式。据趋势科技（Trend Micro）陈诉，APT29的目标包罗政府、军事、外交、IT、云服务、电信及网络宁静公司等，特别针对美国、法国、澳大利亚等多个国家的实体。2024年10月，亚马逊和CERT-UA宣布的陈诉显示，APT29诱骗受害者通过网络钓鱼邮件连接到恶意RDP服务器，共享当地资源，从而无条件访问敏感信息。趋势科技的最新研究揭示了193个RDP署理服务器将连接重定向至34个后端服务器，使攻击者能监视和拦截RDP会话。黑客利用PyRDP工具拦截受害者与远程会话间的通信，记录凭据、窃取数据并在新连接上运行恶意命令。此外，APT29还接纳商业VPN、TOR出口节点和住宅署理服务掩盖恶意服务器IP地址。为防范此类攻击，用户应仅与已知、受信任的服务器建立RDP连接，并警惕来自未知来源的RDP连接请求。

https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/

5. 网络钓鱼活动滥用HubSpot窃取20,000 Azure帐户凭据

12月18日，针对德国和英国的汽车、化学及工业制造公司，一场网络钓鱼活动正在利用HubSpot平台窃取Microsoft Azure帐户凭据。据Palo Alto Networks的Unit 42研究团队陈诉，该活动自2024年6月起至少连续至9月，已危及约20,000个账户。威胁行为者通过HubSpot Free Form Builder创建欺骗性表格，并利用模仿DocuSign的PDF将受害者重定向至凭证收集页面。这些页面位于攻击者控制的“.buzz”域名网站上，模仿Microsoft Outlook Web App和Azure登录界面。尽管HubSpot基础设施未受攻击，但其被用作中间步骤引导受害者。由于邮件包罗合法服务链接，它们常能避开宁静工具检测进入收件箱。然而，相关邮件未通过SPF、DKIM和DMARC检查。在乐成入侵后，威胁行为者使用VPN伪装地理位置，并与IT部门争夺账户控制权。Unit 42还发现了该活动中使用的新型自治系统编号和用户署理字符串，可用于威胁识别。尽管多数服务器已下线，但该活动再次表明威胁行为者正不停探索绕过宁静的新要领。

https://www.bleepingcomputer.com/news/security/hubspot-phishing-targets-20-000-microsoft-azure-accounts/

6. 内布拉斯加州Regional Care医疗保险公司数据泄露

12月18日，内布拉斯加州医疗保险公司Regional Care近期披露了一起数据泄露事件，该事件影响了凌驾225,000人。2024年9月中旬，Regional Care发现其网络中的一个账户泛起异�；疃�，并立即关闭了该账户。经过网络宁静专家的视察，确认“未经授权的一方”可能从其系统中获取了一些文件。11月8日，该公司确定部门受损文件包罗敏感个人信息，如姓名、出生日期、社会宁静号码、医疗信息和健康保险信息等。针对社会保障号码被泄露的个人，Regional Care提供了免费的信用监控服务。该事件已被通报给缅因州总检察长办公室。截至目前，该保险公司尚未分享更多关于此次入侵的信息，且SecurityWeek也未发现任何已知的勒索软件组织声称对此次攻击卖力。

https://www.securityweek.com/regional-care-data-breach-impacts-225000-people/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究