Ivanti 忠告：黑客利用 Connect Secure 零日缝隙装置恶意软件

首页 > 安全钻研 > 安全传递 > 安全简讯

Ivanti 忠告：黑客利用 Connect Secure 零日缝隙装置恶意软件

颁布功夫 2025-01-10

1. Ivanti 忠告：黑客利用 Connect Secure 零日缝隙装置恶意软件

1月8日，Ivanti 忠告称，黑客在利用 Connect Secure 远程代码执行缝隙（CVE-2025-0282）进行零日攻击，在设备上装置恶意软件。该缝隙存在于 Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 网关的旧版本中，允许未经身份验证的攻击者远程执行代码。Ivanti 通过其齐全性查抄工具（ICT）检测到恶意活动后，确认了这一威胁。目前，只有 Ivanti Connect Secure 设备被确认受到利用。Ivanti 已垂危颁布针对 Connect Secure 的安全补丁，并打算在 2025 年 1 月 21 日颁布针对 Policy Secure 和 Neurons for ZTA 网关的补丁。只管 Policy Secure 和 Neurons ZTA 网关被以为被利用的风险较低，Ivanti 仍建议客户确保其设备按建议配置，并不露出在互联网上。同时，Ivanti 建议所有 Connect Secure 治理员执行内部和表部 ICT 扫描，并在必要时复原出厂设置以删除恶意软件。

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-connect-secure-flaw-used-in-zero-day-attacks/

2. Garmin Connect遭逢全球领域严沉中断

1月8日，Garmin Connect是一款广受迎接的在线活动追踪工具，近期遭逢了严沉的服务中断，导致全球领域内数十万用户无法正常使用。当Cybernews主编展示其利用中的统计数据时，我们惊讶地发现，蕴含Garmin衔接、潜水、高尔夫在内的多个平台已处于离线状态，且多多职能如活动详情、上传、挑战与联系、心电图、Garmin锻练等也已被关关。只管Garmin腕表能够独立于利用运行，但用户无法上传活动纪录或参加挑战，有关统计数据也可能因而迷失。这一事务引起了用户的强烈不满，他们纷纷在社交媒体上表白恼怒，并有人猜测是否再次遭逢了黑客攻击。据DownDector网站报路，这次中断已波及澳大利亚、加拿大、美国、英国等多个国度。尤为狼狈的是，这次中断刚好产生在Garmin颁布最新款腕表Instinct 3之后，无疑给品牌形象带来了负面影响。

https://cybernews.com/news/garmin-connect-major-outage/

3. 乌克兰黑客颁发入侵俄罗斯ISP Nodex并断根系统

1月8日，乌克兰网络同盟的一个黑客组织周二颁发成功入侵了俄罗斯互联网服务提供商Nodex的网络，窃取敏感文件后断根了被黑系统。黑客在Telegram上颁布了攻击过程中针对Nodex的VMware、Veeam备份和惠普企业虚构基础设施的截图作为证据。Nodex随后在VKontakte上证实了这一攻击，暗示其基础设施遭到攻击，网络已被粉碎，并在从备份中复原�；チ嗫刈橹疦etBlocks也发现Nodex的网络服务衔接在攻击后崩溃。只管Nodex致力复原系统，但其网站一度瘫痪，且无法提供复原功夫表。然而，Nodex随后颁布了复原过程的更新信息，暗示网络主题已复原，DHCP服务器已上线，很多客户能够沉新衔接互联网。乌克兰网络同盟自2016年起活跃，宣称产生了多起影响俄罗斯各组织的入侵事务，蕴含当局机构和媒体等。2023年10月，乌克兰黑客还入侵了Trigona勒索软件团伙的服务器，窃取所罕见据后将其断根。

https://www.bleepingcomputer.com/news/security/russian-isp-confirms-ukrainian-hackers-destroyed-its-network/

4. 黑客试牟利用CRLF注入攻击GFI KerioControl防火墙

1月8日，黑客在利用CVE-2024-52875这一严沉的CRLF注入缝隙，对GFI KerioControl防火墙产品发起一键远程代码执行(RCE)攻击。KerioControl是一种专为中幼型企业设计的网络安全解决规划，融合了多种安全职能。2024年12月16日，安全钻研员Egidio Romano颁布了关于该缝隙的具体汇报，指出一个看似低严沉性的HTTP响应拆分问题能够升级为RCE攻击。该缝隙影响KerioControl 9.2.5至9.4.5版本，由于处置不当的换行符导致，允许通过注入有效载荷把持HTTP标头和响应。攻击者能够利用此缝隙在受害者浏览器上执行恶意JavaScript，提取cookie或CSRF令牌，进而上传蕴含根级shell剧本的恶意文件，利用Kerio升级职能打开反向shell。威胁扫描平台Greynoise已检测到针对该缝隙的攻击尝试，而Censys汇报了数万个露出在互联网上的KerioControl事俘，但尚不明显易受攻击的数量。GFI Software已颁布建复该缝隙的补丁版本，建议用户尽快利用。若无法立即建补，治理员应限度对KerioControl Web治理界面的接见，并配置有效的缓解措施。

https://www.bleepingcomputer.com/news/security/hackers-exploit-keriocontrol-firewall-flaw-to-steal-admin-csrf-tokens/

5. CrowdStrike忠告：网络垂钓活动假意招聘诱骗用户习染XMRig矿工

1月9日，CrowdStrike于2025年1月7日发现一项网络垂钓活动，该活动假意网络安全公司，通过发送虚伪的工作约请电子邮件，诱骗求职者下载并习染门罗币加密钱币矿工（XMRig）。这些电子邮件宣称来自CrowdStrike的就业代理，感激求职者申请开发人员职位，并批示他们从一个看似合法的CrowdStrike门户网站高低载所谓的“员工CRM利用法式”。该网站（cscrm-hiring[.]com）提供合用于Windows或macOS的下载链接。下载的工具会执行沙盒查抄以预防在分析环境中运行，一旦查抄通过，就会天生虚伪谬误新闻，同时后盾下载并解压蕴含挖矿机的ZIP文件到系统一时目录。该矿工被设置为后盾低负荷运行，以预防被发现，并通过增长批处置剧本到启动目录和在注册表中写入自动启动键来维持悠久性。CrowdStrike提醒求职者，应验证电子邮件地址的真实性，并通过官方渠路联系招聘人员，警惕垂危或不寻常的要求、过于诱人的提议，以及要求下载可执行文件的招聘流程。雇主很少要求应聘者下载第三方利用法式，更不会要求预付款。

https://www.bleepingcomputer.com/news/security/fake-crowdstrike-job-offer-emails-target-devs-with-crypto-miners/

6. BayMark Health Services遭逢数据泄露，RansomHub团伙宣称掌管

1月9日，BayMark Health Services，北美最大的物质使用阻碍医治与康复服务提供商，近期遭逢了一次数据泄露事务。2024年9月，攻击者入侵了BayMark的系统，并在9月24日至10月14日期间接见了蕴含患者幼我和健全信息的文件。BayMark在10月11日IT系统中断后得知此事，并立即采取措施�；は低�，同使毓开调查并通知了法律部门。泄露的信息蕴含患者的姓名、社会安全号码、驾驶牌照号码、诞生日期、服务纪录、保险信息以及医治提供者和医治/诊断信息。只管BayMark未公开受影响患者的总数，但RansomHub勒索软件团伙宣称对这次攻击掌管，并称从BayMark系统中窃取了1.5TB的文件，这些数据随后被上传到暗网泄密网站上。BayMark为可能露出社会安全号码或驾驶牌照号码的患者提供了一年的免费Equifax身份监控服务。

https://www.bleepingcomputer.com/news/security/largest-us-addiction-treatment-provider-notifies-patients-of-data-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研