摘要：近日，明朝万达安元实验室发布了2024年第十一期《安全通告》。该份报告收录了2024年11月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

近日，明朝万达安元实验室发布了2024年第十一期《安全通告》。该份报告收录了2024年11月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

1.为包括星巴克在内的美国和英国商店提供服务的软件公司Blue Yonder遭受勒索软件攻击

对软件公司Blue Yonder的勒索软件攻击扰乱了包括星巴克和英国食品连锁店塞恩斯伯里在内的多家客户的运营。据美国有线电视新闻网报道，星巴克发言人表示：“此次勒索软件攻击影响了星巴克用于跟踪和管理咖啡师日程的第三方软件系统，迫使咖啡连锁店转为手动模式，以确保员工获得适当的报酬。”

该事件发生于2024年11月21日，对公司托管的服务环境造成了广泛干扰。Blue Yonder确认其已成为勒索软件攻击的受害者。

2.对博彩巨头IGT的网络攻击扰乱了其部分IT系统

国际游戏技术公司（IGT）于11月17日检测到一起网络攻击，公司迅速启动了事件响应程序。国际游戏技术公司（IGT），前身为Gtech S.p.A.和Lottomatica S.p.A.，是一家生产和分销老虎机及其他赌博技术的跨国公司。

为了应对此次事件，IGT将一些受影响的系统下线，以遏制威胁。2024年11月17日，国际游戏技术有限公司（“公司”）发现，未经授权的第三方访问了其某些系统，导致公司的部分内部信息技术系统和应用程序中断。公司在提交给美国证券交易委员会的6-K表格中写道：“在发现问题后，公司立即启动了网络安全事件响应计划，并在外部顾问的支持下展开了调查，以评估和缓解未经授权的活动。公司还主动使某些系统离线，以帮助保护它们。公司正在进行的调查和响应措施包括努力使其系统重新上线。”

3.Bootkitty是第一个为Linux系统设计的UEFI Bootkit

ESET的网络安全研究人员发现了第一个针对Linux系统设计的UEFI引导套件，其作者称之为Bootkitty。

Bootkitty允许攻击者禁用内核的签名验证功能，并通过Linux init进程预加载两个未知的ELF二进制文件。

一个以前未知的UEFI应用程序名为bootkit.efi，于2024年11月上传到VirusTotal。

ESET发布的公告中写道：“我们的初步分析证实，它是一个UEFI引导套件，其创建者将其命名为Bootkitty。令人惊讶的是，这是第一个针对Linux系统，特别是几个Ubuntu版本的UEFI引导套件。”

“Bootkitty由自签名证书签名，因此除非安装了攻击者的证书，否则无法在启用UEFI安全引导的系统上运行。”

4.十年前的本地权限升级漏洞影响了Ubuntu的needrestart软件包

Qualys威胁研究部门（TRU）在Ubuntu的needrestart包中发现了五个已有十年历史的本地权限升级（LPE）安全漏洞，这些漏洞可能允许本地攻击者在不需要用户交互的情况下获得root权限。

Ubuntu中的needrestart包是一个实用程序，旨在确保软件更新后的系统稳定性。当更新包时，特别是那些影响共享库或服务的包，通常需要重新启动这些服务甚至整个系统才能使更改生效。

needrestart包默认安装在Ubuntu Server中，从21.04版本开始。这些漏洞可能是在2014年4月发布的needrestart 0.8版本的解释器支持中引入的。

这些漏洞被跟踪为CVE-2024-48990、CVE-2024-48991、CVE-2024-88992、CVE-2024-10224和CVE-2024-11003。

5.2000多个Palo Alto Networks防火墙被黑客攻击，利用最近修补的 0 day 漏洞

据报道，数千个Palo Alto Networks防火墙在利用PAN-OS中最近修补的 0 day 漏洞（CVE-2024-0012和CVE-2024-9474）的攻击中遭到破坏。

CVE-2024-0012是Palo Alto Networks PAN-OS中的一个漏洞，允许未经身份验证的攻击者通过网络访问管理web界面来绕过身份验证并获得管理员权限。此权限允许攻击者进行管理操作、篡改配置或利用其他漏洞，如CVE-2024-9474。该问题影响PAN-OS版本10.2、11.0、11.1和11.2，但不影响Cloud NGFW或Prisma Access。

CVE-2024-9474是Palo Alto Networks PAN-OS软件中的一个权限升级漏洞，允许有权访问管理web界面的PAN-OS管理员以root权限在防火墙上执行操作。

6.微软查封了ONNX网络钓鱼服务使用的240个网站

微软宣布中断ONNX网络钓鱼服务，这是该公司打击网络犯罪的又一次成功行动，导致240个网站被查封。

这家IT巨头还确认并公开披露了一名埃及男子Abanoub Nady（又名MRxC0DER）的身份，据称他负责运营该平台。

微软表示，Nady在ONNX网络钓鱼服务下开发并销售了网络钓鱼工具包。

微软的数字犯罪部门（DCU）发布的分析中写道：“微软的数字犯罪部门（DCU）查封了240个与埃及网络犯罪协助者Abanoub Nady（在线称为‘MRxC0DER’）有关的欺诈网站。Nady开发并销售了‘自己动手’的钓鱼工具包，并欺诈性地使用品牌名称‘ONNX’来销售这些服务。”

威胁行为者购买了Nady开发的工具包，并在广泛的网络钓鱼活动中使用它们，以窃取微软客户账户的凭据。

7.Zyxel防火墙成为最近勒索软件攻击的目标

Zyxel警告称，已观察到一个勒索软件团伙利用其防火墙中的最近修补的命令注入漏洞CVE-2024-42057进行初步入侵。

远程且未经身份验证的攻击者可以利用该漏洞在易受攻击的设备上执行操作系统命令。

根据公告，只有当设备配置为使用基于用户的PSK身份验证，并且存在用户名长度超过28个字符的有效用户时，攻击才可能发生。

供应商发布的公告中写道：“某些防火墙版本的IPSec VPN功能中存在命令注入漏洞，可能允许未经身份验证的攻击者通过向易受攻击的设备发送精心构造的用户名，在受影响的设备上执行某些操作系统命令。” 公告还补充道：“请注意，只有当设备配置为基于用户的PSK身份验证模式，并且存在用户名长度超过28个字符的有效用户时，此攻击才可能成功。”

为了解决这些漏洞，Zyxel发布了ATP、USG FLEX和USG FLEX50（W）/USG20（W）-VPN系列的固件版本5.39。

8.美国司法部查封了信用卡市场PopeyeTools，并对其管理员提出指控

美国司法部宣布扣押非法信用卡市场PopeyeTools，并对三名管理员提出指控。这三名管理员分别是：Abdul Ghaffar（25岁，巴基斯坦）、Abdul Sami（35岁，巴基斯坦）和Javed Mirza（37岁，阿富汗）。

被告被指控共谋实施接入设备欺诈、贩卖接入设备以及教唆他人提供接入设备。

PopeyeTools是一个暗网市场，专门销售被盗的信用卡和网络犯罪工具，自2016年以来一直为欺诈和非法在线活动提供便利。

该网站上出售的被盗信息包括银行账户、信用卡和借记卡号码，以及进行交易所需的相关信息。据美国司法部称，PopeyeTools已售出至少22.7万人的访问设备和个人身份信息（PII），并产生了至少170万美元的收入。

作为打击PopeyeTools非法活动的一部分，美国从与Sami有关的账户中扣押了28.3万美元的加密货币。

美国当局还查封了提供访问PopeyeTools网站便利的两个域名：www.PopeyeTools.co.uk 和 www.PopeyeTools.to。

9.威胁行为者出售法国一家医院超过75万名患者的数据

一家法国医院遭遇了数据泄露，影响了758,000多名患者，一名威胁行为者声称可以访问该组织的电子病历系统。

威胁行为者声称，泄露的记录包括患者的姓名、名字、出生日期、性别、地址、城市、邮政编码、电话号码和电子邮件。被盗数据还包括主治医生、处方、死亡声明、外部标识符和健康卡历史等医疗信息。

据Bleeping Computer报道，在法国多家医疗机构遭到黑客攻击后，一名使用绰号“nears”（此前使用2tlg）的威胁行为者声称可以访问超过150万名患者的记录。

nears在Breachforums网络犯罪论坛上宣布出售法国多家医院使用的MediBoard平台的访问权限。根据该帖子，被盗数据包括敏感的医疗保健和账单数据，以及卢森堡中心、Alleray Labroutte诊所、Jean d'Arc诊所、圣伊莎贝尔诊所和Thiais私人医院等多家法国医院的患者记录。

这似乎是一次供应链攻击，黑客入侵了Softway Medical Group提供的MediBoard平台，该平台为欧洲医疗机构提供电子病历（EPR）解决方案。

10.俄罗斯组织RomCom利用Firefox和Tor浏览器0 day漏洞攻击欧洲和北美

总部位于俄罗斯的网路犯罪组织RomCom(又称为UAT-5647、Storm-0978、Tropical Scorpius、UAC-0180、UNC2596)最近对欧洲和北美用户发起了攻击，利用了两个Firefox和Tor Browser中的0 day漏洞。

第一个0 day漏洞是Firefox中的一个释放后使用漏洞，被追踪编号为CVE-2024-9680。

CVE-2024-9680漏洞存在于Firefox的动画时间线功能中。动画时间线是Firefox开发人员工具套件的一部分，允许开发人员直接在浏览器中检查、编辑和调试动画。它提供了一个用于管理CSS动画和转换以及使用Web动画API创建的动画的可视化页面。

攻击者可以利用此漏洞在内容进程中执行任意代码。

第二个被利用的0 day漏洞是CVE-2024-49039，这是一个Windows任务计划程序中的权限提升漏洞。该漏洞允许AppContainer逃逸，使低权限用户能够以中等完整性级别运行代码。此漏洞由多名研究人员发现，并且正在被积极利用，特别是在不同地区，突显了其潜在影响。

RomCom将这两个漏洞结合使用，无需用户交互即可危害受害者的系统。受害者通过被诱导访问特制的恶意网站而感染了该组织的后门。

网络安全最新漏洞追踪

7-Zip代码执行漏洞（CVE-2024-11477）

一、漏洞概述

7-Zip 是一款免费的开源文件压缩和解压工具，支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式。

2024年11月25日，监测到7-Zip中修复了一个代码执行漏洞（CVE-2024-11477），该漏洞的CVSS评分为7.8。

7-Zip Zstandard 解压缩实现中存在漏洞，由于对用户提供的数据缺乏适当验证，可能导致在写入内存前发生整数下溢，攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压，当目标用户使用受影响的 7-Zip 解压缩该文件时可能触发漏洞，从而可能导致在受影响的 7-Zip 安装上执行任意代码。

二、影响范围

7-Zip

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

7-Zip >= 24.07

下载链接：

参考链接：

Wget服务器端请求伪造漏洞（CVE-2024-10524）

一、漏洞概述

GNU Wget 是一个广泛使用的开源命令行工具，主要用于从网络上下载文件。它由 GNU 项目开发，支持 HTTP、HTTPS 和 FTP 协议，因此可以用于从各种类型的网络服务器获取文件。

2024年11月20日，监测到Wget中存在一个解析不当导致的服务器端请求伪造漏洞（CVE-2024-10524），该漏洞的CVSS评分为6.5，目前该漏洞的技术细节已公开。

二、影响范围

Wget

三、修复建议

目前该漏洞已经修复，受影响用户可升级到Wget 1.25.0或更高版本。

下载链接：

参考链接：

https://git.savannah.gnu.org/cgit/wget.git/commit/?id=c419542d956a2607bbce5df64b9d378a8588d778

Apache OFBiz远程代码执行漏洞（CVE-2024-47208）

一、漏洞概述

Apache OFBiz是一个著名的电子商务平台，提供了创建基于最新J2EE/ XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

2024年11月18日，监测到Apache OFBiz中修复了一个远程代码执行漏洞（CVE-2024-47208）。

Apache OFBiz 18.12.17 之前版本中存在远程代码执行漏洞，由于对URL校验不严格，攻击者可通过构造恶意URL绕过校验逻辑并注入Groovy 表达式代码或触发服务器端请求伪造（SSRF）攻击，导致远程代码执行或访问未授权资源。

此外，Apache OFBiz 18.12.17 之前版本中还存在另一个远程代码执行漏洞（CVE-2024-48962），由于在处理URL参数时未正确对特殊字符进行转义和编码，攻击者可以构造恶意URL参数绕过 SameSite cookie限制，通过目标重定向和服务器端模板注入（SSTI）实现跨站请求伪造（CSRF）攻击，进而触发远程代码执行。

二、影响范围

Apache OFBiz

三、修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

Apache OFBiz >= 18.12.17

下载链接：

参考链接：

来源：明朝万达