内存安全周报第102期 | 威胁行为者利用PrestaShop中的0day漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
1. 威胁行为者利用PrestaShop中的0day漏洞(7.29)
网络犯罪分子以使用 PrestaShop 平台的电子商务网站为目标,窃取客户的支付信息。他们正在滥用以前未知的漏洞链来执行恶意代码。
详细情况
滥用Elastix VoIP系统
几天前,PrestaShop 团队发布警告,要求 300,000 家使用其软件的商店的管理员在发现针对该平台的网络攻击后检查他们的安全状况。
• 如果它们运行暴露于 SQL 注入的模块,则攻击针对 PrestaShop 版本 1.6.0.10 或更高版本。1.7.8.2 及以上版本的用户没有风险,但是如果他们运行任何暴露于 SQL 注入攻击的模块(例如 Wishlist 2.0.0 到 2.1.0),他们可能会受到影响。
• 被滥用的漏洞被跟踪为CVE-2022-36408 。成功利用该漏洞会导致在运行PrestaShop网站的服务器上执行任意代码。
作案手法
• 为了执行攻击,攻击者向暴露的端点发送 POST 请求,并向主页发送无参数的 GET 请求,并在根目录中创建一个 blm[.]php 文件。
• blm[.]php 是一个允许攻击者在目标服务器上运行远程命令 的web shell。这个web shell被用来在商店的结账页面上注入一个假的支付表单。
• 此外,攻击者还可能在网站上的任何位置植入恶意代码。
攻击后清理
• 攻击后,远程攻击者会删除他们的痕迹,从而阻止网站所有者知道他们被入侵了。
• 如果攻击者未能清除他们的踪迹,站点管理员可能会在web服务器的访问日志中找到入侵迹象的条目。
• 另一个标志是 MySQL Smarty 缓存存储功能的激活。
保持安全
确保 PrestaShop 网站和所有模块都使用最新更新或安全补丁进行了修补。这可以防止数字商店暴露于已知的和积极利用的SQL注入缺陷。
此外,专家建议在发布补丁之前禁用 MySQL Smarty 缓存存储功能。
参考链接
https://cyware.com/news/elastix-voip-systems-hacked-to-serve-web-shells-ca7f45e1
二、黑客瞄准工业控制系统(7.20)
已发现有威胁参与者瞄准了工业控制系统(ICS)来创建僵尸网络。黑客利用在多个社交媒体帐户进行的PLC和HMI密码破解软件推广活动来达到目的。
详细情况
该活动旨在解锁Automation Direct、西门子、富士电机、三菱、温特、ABB等公司的PLC和HMI终端。
Dragos的研究人员研究了来自AutomationDirect的一个有关DirectLogic PLC的具体事件,在该事件中,感染的软件(不是破解)滥用设备中已知漏洞来窃取密码。恶意程序利用漏洞 (CVE-2022-2003) 仅可用来串口通信。这就要从工程工作站 (EWS) 直接串连到 PLC。
该工具会在后台放置一种恶意软件,该恶意软件根据不同任务创建了名为Sality的点对点僵尸网络。
Sality是一种古老的恶意软件,需要分布式计算架构才能更快地完成任务,例如加密挖矿和密码破解。但它仍在不断发展,其功能包括结束正在运行的进程、下载其他有效负载、建立与远程站点的连接以及从主机窃取数据。
该恶意软件将自身注入正在运行的进程中,并以Windows自动运行功能为目标,将其自身复制到外部驱动器、可移动存储设备和共享网络上以进一步传播。
所确定的样本也发现其侧重于窃取加密货币。它劫持了剪贴板中的内容以重新定向加密货币交易。
该活动仍在进行中,PLC的管理员应知晓此类威胁。安全起见,建议操作技术工程师不要使用任何密码破解工具。而应听从专家建议,以防确实需要破解某些密码,联系设备供应商获取更多指导说明。
参考链接
https://cyware.com/news/threat-actors-exploit-zero-day-in-prestashop-a0c75118
2. Chrome 0day漏洞遭到滥用,利用间谍软件攻击目标记者(7.27)
据悉,以色列的间谍软件供应商Candiru利用一种名为DevilsTongue的间谍软件,滥用Google Chrome中的零日漏洞0day,来监视中东的记者和高利益个体。
详细情况
Avast研究人员发现了这个漏洞,将其报告给了谷歌。此外,在检查了DevilsTongue对其客户的攻击后,他们披露了一些细节。
• Candiru自3月起开始滥用这一0day零日漏洞,目标用户分布在巴勒斯坦,土耳其,也门和黎巴嫩。
• 该漏洞被跟踪为CVE-2022-2294,是WebRTC中一种基于堆的高危缓冲区溢出漏洞。成功利用此漏洞可在目标设备上执行代码。
• 该零日漏洞一直在网络攻击中被积极利用,在向谷歌报告后,这家科技公司于7月4日对其进行了修补。
该漏洞存在于WebRTC中,因此它也会对Safari浏览器造成影响,但据目前所知仅在Windows上起作用。
攻击媒介
间谍软件运营商在攻击中使用了水坑和鱼叉式网络钓鱼策略。
• 这种攻击不需要与受害者交互,例如需要受害者单击链接或下载文件。
• 相反,它让用户打开已遭到攻击的网站或黑客在基于Chromium浏览器或Chrome中创建的网站。
• 在一个案例中,攻击者侵入了黎巴嫩一家新闻机构网站,插入JavaScript片段来启用XSS攻击,并将目标重定向到所利用的服务器。
• 在黎巴嫩的案例中,0day零日漏洞允许在渲染器进程内执行shellcode,并进一步链接一个沙箱逃逸漏洞,Avast未能恢复以进行调查。
在最初感染后,DevilsTongue间谍软件使用BYOVD(自带驱动程序)步骤来升级权限,获得对受感染设备内存的读写权限。研究人员认为,网络犯罪分子使用间谍软件是为了掌握目标记者正在处理的新闻报道。
结论
近期报告揭示了商业间谍软件供应商所提供服务的危险。这些供应商正在开发或购买可利用的0day零日漏洞,来对他们顾客要求的客户发动攻击。所以,要使用强大的加密功能来保护数据,及时更新安全设备。
参考链接
https://cyware.com/news/chrome-zero-day-abused-to-spread-spyware-to-target-journalists-2ff0e344