自 2024 年 11 月初以来，Mirai 僵尸网络变种被发现利用新披露的安全漏洞影响 Four-Faith 工业路由器，目的是发动分布式拒绝服务 (DDoS) 攻击。

该僵尸网络每天维持着大约 15,000 个活跃 IP 地址，感染主要分散在中国、伊朗、俄罗斯、土耳其和美国。

该恶意软件利用了超过 20 个已知安全漏洞和弱的 Telnet 凭据进行初始访问，已知自 2024 年 2 月以来一直活跃。该僵尸网络被称为“gayfemboy”，指的是源代码中存在的攻击性术语。

奇安信 XLab表示，其观察到该恶意软件利用中国四信生产的工业路由器中的零日漏洞，最早在 2024 年 11 月 9 日传播这些文件。

该漏洞为 CVE-2024-12856（CVSS 评分：7.2），它指的是影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞，该漏洞利用未更改的默认凭据。

上个月底，VulnCheck向 The Hacker News透露，该漏洞已被广泛利用，在受感染的设备上投放反向 shell 和类似 Mirai 的有效载荷。

僵尸网络利用的其他一些安全漏洞包括 CVE-2013-3307、CVE-2013-7471、CVE-2014-8361、CVE-2016-20016、CVE-2017-17215、CVE-2017-5259、CVE-2020-25499、CVE-2020-9054、CVE-2021-35394、CVE-2023-26801、CVE-2024-8956 和 CVE-2024-8957。

一旦启动，该恶意软件就会试图隐藏恶意进程并实现基于 Mirai 的命令格式来扫描易受攻击的设备、自我更新并对感兴趣的目标发起 DDoS 攻击。

利用僵尸网络的 DDoS 攻击每天都会针对数百个不同的实体，攻击活动在 2024 年 10 月和 11 月达到新的高峰。攻击持续时间为 10 到 30 秒，产生的流量约为 100 Gbps。

几周前，瞻博网络曾警告称，恶意攻击者正利用默认密码的会话智能路由器 (SSR) 产品植入 Mirai 僵尸网络恶意软件。Akamai 还披露，Mirai 恶意软件感染可利用 DigiEver DVR 中的远程代码执行漏洞。

XLab 研究人员表示：“DDoS 已经成为最常见、破坏力最强的网络攻击形式之一。其攻击方式多样，攻击路径隐蔽性强，可以采用不断演进的策略和技术对各个行业和系统进行精准打击，对企业、政府组织和个人用户构成重大威胁。”

与此同时，威胁行为者正在利用易受攻击和配置错误的 PHP 服务器（例如CVE-2024-4577）来部署名为 PacketCrypt 的加密货币矿工。

总部位于台湾的 Moxa警告称，其蜂窝路由器、安全路由器和网络安全设备存在两个安全漏洞，可能导致权限提升和命令执行。

漏洞列表如下：

CVE-2024-9138（CVSS 4.0 评分：8.6） - 一种硬编码凭证漏洞，可能允许经过身份验证的用户提升权限并获得系统的根级访问权限，从而导致系统入侵、未经授权的修改、数据泄露或服务中断
CVE-2024-9140（CVSS 4.0 评分：9.3） - 该漏洞允许攻击者利用特殊字符绕过输入限制，从而可能导致未经授权的命令执行
安全研究员 Lars Haulin 报告称，这些缺陷影响以下产品和固件版本 -

CVE-2024-9138 - EDR-810 系列（固件版本 5.12.37 及更早版本）、EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）以及 TN-4900 系列（固件版本 3.13 及更早版本）更早）
CVE-2024-9140 - EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）和 TN-4900 系列（固件版本 3.13 及更早版本）

已为以下版本提供补丁 -

EDR-810 系列（升级至固件版本 3.14 或更高版本）
EDR-8010 系列（升级至固件版本 3.14 或更高版本）
EDR-G902 系列（升级至固件版本 3.14 或更高版本）
EDR-G903 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9004 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9010 系列 (升级至固件版本 3.14 或更高版本)
EDF-G1002-BP系列（升级至固件版本3.14或更高版本）
NAT-102 系列（无官方补丁可用）
OnCell G4302-LTE4 系列（请联系 Moxa 技术支持）
TN-4900 系列（请联系 Moxa 技术支持）
作为缓解措施，建议确保设备不暴露在互联网上，使用防火墙规则或 TCP 包装器限制对受信任的 IP 地址和网络的 SSH 访问，并采取措施检测和防止利用尝试。

ProjectDiscovery 的广泛使用的开源漏洞扫描程序Nuclei被披露存在一个高严重性安全漏洞，如果成功利用，攻击者可以绕过签名检查并可能执行恶意代码。

该漏洞的编号为CVE-2024-43405，CVSS 评分为 7.4（满分 10.0）。该漏洞影响 Nuclei 3.0.0 之后的所有版本。

根据漏洞描述： “该漏洞源于签名验证过程和 YAML 解析器处理换行符的方式之间的差异，以及处理多个签名的方式。”

“这使得攻击者可以将恶意内容注入模板，同时保留模板良性部分的有效签名。”

Nuclei 是一款漏洞扫描器，旨在探测现代应用程序、基础设施、云平台和网络以识别安全漏洞。扫描引擎利用模板（即 YAML 文件）发送特定请求以确定是否存在漏洞。

此外，它可以使用代码协议在主机操作系统上执行外部代码，从而为研究人员提供更灵活的安全测试工作流程。

发现 CVE-2024-43405 的云安全公司 Wiz 表示，该漏洞根源于模板签名验证过程，该过程用于确保官方模板库中提供的模板的完整性。

成功利用此漏洞可以绕过这一关键的验证步骤，允许攻击者制作可执行任意代码并访问主机敏感数据的恶意模板。

Wiz 研究员 Guy Goldenberg在周五的分析中表示： “由于此签名验证是目前验证 Nuclei 模板的唯一方法，因此它代表着一个潜在的单点故障。”

从本质上讲，该问题源于使用正则表达式 (又名 regex) 进行签名验证，以及由于同时使用正则表达式和 YAML 解析器而产生的解析冲突，从而为攻击者引入“\r”字符打开了大门，这样它就可以绕过基于正则表达式的签名验证，并被 YAML 解析器解释为换行符。

换句话说，这些解析不一致可以链接起来以创建一个 Nuclei 模板，该模板使用“\r”来包含第二个“#digest:”行，以逃避签名验证过程，但由 YAML 解释器解析和执行。

Goldenberg 解释说：“Go 基于正则表达式的签名验证将 \r 视为同一行的一部分，而 YAML 解析器将其解释为换行符。这种不匹配允许攻击者注入绕过验证但由 YAML 解析器执行的内容。”

“验证逻辑仅验证第一个 #digest: 行。其他 #digest: 行在验证期间将被忽略，但仍保留在要由 YAML 解析和执行的内容中。”

此外，验证过程包括从模板内容中排除签名行的步骤，但只验证第一行，而后续行未经验证但可执行。

经过负责任的披露，ProjectDiscovery 于 2024 年 9 月 4 日解决了这个问题，版本为 3.3.2。Nuclei 的当前版本是 3.3.7。

Goldenberg 说：“攻击者可以制作包含操纵的#摘要行或精心放置的\r换行符的恶意模板，以绕过 Nuclei 的签名验证。”

“当组织运行不受信任或社区贡献的模板而没有进行适当的验证或隔离时，就会出现此漏洞的攻击媒介。攻击者可以利用此功能注入恶意模板，导致任意命令执行、数据泄露或系统入侵。”

有关 Dynamics 365 和 Power Apps Web API 中三个现已修补的安全漏洞的详细信息已经浮出水面，这些漏洞可能会导致数据泄露。

这些漏洞由位于墨尔本的网络安全公司 Stratus Security发现，并已于 2024 年 5 月得到解决。三个缺陷中的两个存在于 Power Platform 的OData Web API Filter中，而第三个漏洞则源于FetchXML API。

第一个漏洞的根本原因是 OData Web API Filter 缺乏访问控制，从而允许访问包含敏感信息（例如全名、电话号码、地址、财务数据和密码哈希）的联系人表。

然后，威胁行为者可以利用该漏洞进行基于布尔的搜索，通过依次猜测哈希中的每个字符直到找到正确的值来提取完整​​的哈希。

Stratus Security 表示： “例如，我们首先发送 startswith(adx_identity_passwordhash，'a')，然后发送 startswith( adx_identity_passwordhash，'aa')，然后发送 startswith(adx_identity_passwordhash，'ab') 等等，直到返回以 ab 开头的结果。”

“我们继续这个过程，直到查询返回以‘ab’开头的结果。最终，当没有其他字符返回有效结果时，我们就知道我们已经获得了完整的值。”

另一方面，第二个漏洞在于使用同一 API 中的 orderby 子句从必要的数据库表列中获取数据（例如，EMailAddress1，它指的是联系人的主要电子邮件地址）。

最后，Stratus Security 还发现，可以结合 FetchXML API 与联系人表利用 orderby 查询来访问受限列。

“利用 FetchXML API 时，攻击者可以对任意列进行 orderby 查询，完全绕过现有的访问控制，”报告称。“与之前的漏洞不同，这种方法不需要 orderby 降序排列，从而为攻击增加了一层灵活性。”

因此，利用这些漏洞的攻击者可以编制密码哈希和电子邮件列表，然后破解密码或出售数据。

Stratus Security 表示：“Dynamics 365 和 Power Apps API 中发现的漏洞强调了一个重要的提醒：网络安全需要时刻保持警惕，特别是对于像微软这样掌握大量数据的大公司而言。”

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。

该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。

项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ”

Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。

腾讯云顶安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。

此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。

它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。

建议用户将其实例更新到软件的最新版本，以防范潜在威胁。

根据 VulnCheck 的最新发现，影响部分 Four-Faith 路由器的高严重性漏洞已在野外遭到积极利用。

该漏洞的编号为CVE-2024-12856（CVSS 评分：7.2），被描述为影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞。

由于该漏洞仅当远程攻击者能够成功验证身份时才会起作用，因此其严重性较低。但是，如果与路由器关联的默认凭据未更改，则可能导致未经验证的操作系统命令执行。

在 VulnCheck 详述的攻击中，发现未知威胁行为者利用路由器的默认凭据来触发 CVE-2024-12856 的利用并启动反向 shell 以实现持久远程访问。

此次攻击尝试源自 IP 地址178.215.238[.]91，该地址之前曾用于试图利用CVE-2019-12168进行攻击，这是影响 Four-Faith 路由器的另一个远程代码执行漏洞。据威胁情报公司 GreyNoise 称，最近一次利用 CVE-2019-12168 的尝试是在 2024 年 12 月 19 日。

Jacob Baines 在一份报告中表示： “至少可以通过 HTTP 使用 /apply.cgi 端点对 Four-Faith F3x24 和 F3x36 进行攻击。通过submit_type=adjust_sys_time 修改设备的系统时间时，系统容易受到 adj_time_year 参数中的操作系统命令注入攻击。”

Censys 的数据显示，有超过 15,000 台面向互联网的设备。有证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了。

目前尚无关于补丁可用性的信息，但 VulnCheck 表示已于 2024 年 12 月 20 日负责任地向这家中国公司报告了该漏洞。Hacker News 在本文发布之前已联系 Four-Faith 征求意见，如果收到回复，我们将更新本文。

Apache 软件基金会 (ASF) 发布了安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞可能在某些条件下导致远程代码执行 (RCE)。

该漏洞被追踪为CVE-2024-56337，被描述为CVE-2024-50379（CVSS 评分：9.8）的不完整缓解措施，CVE-2024-50379 是同一产品中的另一个严重安全漏洞，此前已于 2024 年 12 月 17 日得到解决。

项目维护人员在上周的公告中表示：“在不区分大小写的文件系统上运行 Tomcat，并且默认启用了 servlet 写入（将只读初始化参数设置为非默认值 false）的用户可能需要进行额外配置才能完全缓解 CVE-2024-50379，具体取决于他们在 Tomcat 中使用哪个版本的 Java。”

这两个缺陷都是检查时使用时（TOCTOU）竞争条件漏洞，当启用默认 servlet 进行写入时，可能导致在不区分大小写的文件系统上执行代码。

Apache 在 CVE-2024-50379 警报中指出：“在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查，并导致上传的文件被视为 JSP，从而导致远程代码执行。”

CVE-2024-56337 影响以下版本的 Apache Tomcat -

Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复）
Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复）
Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复）
此外，用户需要根据所运行的 Java 版本执行以下配置更改 -

Java 8 或 Java 11 - 将系统属性 sun.io.useCanonCaches 明确设置为 false（默认为 true）
Java 17 - 如果已设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false）
Java 21 及更高版本 - 无需采取任何措施，因为系统属性已被删除

ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现并报告了这两个漏洞。它还感谢 KnownSec 404 团队独立报告了 CVE-2024-56337 以及概念验证 (PoC) 代码。

此次披露之际，零日计划 (ZDI) 分享了 Webmin 中的一个严重漏洞 (CVE-2024-12828，CVSS 评分：9.9) 的详细信息，该漏洞允许经过身份验证的远程攻击者执行任意代码。

ZDI表示： “该特定缺陷存在于 CGI 请求的处理中。该问题源于在使用用户提供的字符串执行系统调用之前未对其进行适当验证。攻击者可以利用此漏洞在 root 上下文中执行代码。”

BeyondTrust 披露了特权远程访问 (PRA) 和远程支持 (RS) 产品中的一个严重安全漏洞的详细信息，该漏洞可能会导致执行任意命令。

特权远程访问可控制、管理和审核特权帐户和凭据，为内部、外部和第三方用户提供对本地和云资源的零信任访问。远程支持允许服务台人员安全地连接到远程系统和移动设备。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），被描述为命令注入的一个实例。

该公司在一份公告中表示： “特权远程访问 (PRA) 和远程支持 (RS) 产品中发现了一个严重漏洞，该漏洞允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

攻击者可以通过发送恶意客户端请求来利用此漏洞，从而导致在站点用户的上下文中执行任意操作系统。

该问题影响以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- 已在 PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
远程支持（版本 24.3.1 及更早版本）- 已在 RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
截至 2024 年 12 月 16 日，该漏洞的补丁已应用于云实例。如果软件本地版本的用户未订阅自动更新，建议他们应用最新修复程序。

BeyondTrust 表示：“如果客户使用的是 22.1 之前的版本，他们将需要升级才能应用此补丁。”

该公司表示，这一缺陷是在 2024 年 12 月 2 日发生一起“安全事件”后启动的一项正在进行的取证调查中发现的，该事件涉及“有限数量的远程支持 SaaS 客户”。

BeyondTrust表示：“对远程支持 SaaS 问题的根本原因分析发现，远程支持 SaaS 的 API 密钥已被泄露”，并补充说“它立即撤销了 API 密钥，通知了已知受影响的客户，并在同一天暂停了这些实例，同时为这些客户提供替代的远程支持 SaaS 实例。”

BeyondTrust 还表示，它仍在与一家未具名的“网络安全和取证公司”合作，努力确定此次入侵的原因和影响。

美国网络安全和基础设施安全局 (CISA) 周四将影响 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品的严重安全漏洞添加到已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞正在被积极利用。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），是一个命令注入漏洞，恶意行为者可以利用该漏洞以网站用户的身份运行任意命令。

CISA 表示：“BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 包含命令注入漏洞，这可能允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

虽然该问题已被植入客户的云实例中，但建议使用自托管版本软件的用户更新到以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
远程支持（版本 24.3.1 及更早版本）- RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
在 BeyondTrust 本月早些时候透露其遭受网络攻击之后，主动攻击的消息传出，此次攻击导致未知威胁行为者侵入其部分远程支持 SaaS 实例。

该公司已寻求第三方网络安全和取证公司的帮助，并表示对该事件的调查发现，攻击者获得了远程支持 SaaS API 密钥，从而可以重置本地应用程序帐户的密码。

此后，其调查又发现了另一个中等严重性漏洞（CVE-2024-12686，6.6），该漏洞允许具有现有管理权限的攻击者注入命令并以站点用户身份运行。新发现的漏洞已在以下版本中得到解决 -

特权远程访问 (PRA) - PRA 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 PRA 版本）
远程支持 (RS) - RS 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 RS 版本）

BeyondTrust 没有提及这两个漏洞是否已被利用。不过，该公司表示已通知所有受影响的客户。目前尚不清楚攻击的具体规模，以及幕后威胁者的身份。

OpenWrt的 Attended Sysupgrade ( ASU ) 功能中被发现存在一个安全漏洞，如果成功利用，可能会被滥用来分发恶意固件包。

该漏洞的编号为CVE-2024-54143，CVSS 评分为 9.3（满分 10 分），表明该漏洞严重性极高。Flatt Security 研究员 RyotaK 于 2024 年 12 月 4 日发现并报告了该漏洞。该问题已在ASU 版本 920c8a1中得到修补。

项目维护人员在警报中表示：“由于 imagebuilder 映像中的命令注入和构建请求哈希中包含的截断 SHA-256 哈希的组合，攻击者可以通过提供导致哈希冲突的包列表来污染合法映像。”

OpenWrt是一种流行的基于 Linux 的开源操作系统，适用于路由器、住宅网关和其他路由网络流量的嵌入式设备。

成功利用该缺陷实际上可以让威胁行为者在构建过程中注入任意命令，从而导致生成使用合法构建密钥签名的恶意固件映像。

更糟糕的是，与构建密钥相关的 12 个字符的 SHA-256 哈希碰撞可以被武器化，用来代替合法图像提供先前构建的恶意图像，对下游用户构成严重的供应链风险。

OpenWrt 指出：“攻击者需要能够提交包含精心设计的软件包列表的构建请求。利用这些漏洞无需身份验证。通过注入命令并引起哈希冲突，攻击者可以强制合法的构建请求接收先前生成的恶意映像。”

RyotaK 对该漏洞进行了技术分析，他表示，尚不清楚该漏洞是否曾被利用，因为它“已经存在了一段时间”。建议用户尽快更新到最新版本，以防范潜在威胁。