1、微软MFA漏洞导致全球用户账户安全风险

https://hackread.com/authquake-flaw-mfa-bypass-azure-office-365-accounts/

安全研究员发现微软多因素认证(MFA)存在“AuthQuake”漏洞，攻击者可利用该漏洞绕过安全措施，未经授权访问用户账户，该漏洞已影响Azure、Office 365等服务的超过4亿用户。攻击者利用登录尝试次数的速率限制以及时间敏感性验证码(TOTP)的3分钟有效期，快速生成新会话，尝试多次验证码组合。测试显示，攻击者在70分钟内即可绕过MFA，成功率高达50%，且无需用户交互或触发警报。微软在2024年7月发布临时修复补丁，并于10月9日通过引入更严格的速率限制永久修复漏洞。安全研究员指出，该事件反映了传统MFA系统的不足，推动无密码认证成为未来趋势。用户和企业应及时更新系统补丁，加强员工安全培训，并探索更强的认证方式以提升数据安全防护能力。

2、软件公司Ivanti修复CSA解决方案中的关键漏洞

https://securityaffairs.com/171850/breaking-news/ivanti-maximum-severity-flaw-csa-solution.html

软件公司Ivanti发布了最新版本CSA 5.0.3，以修复其Cloud Services Appliance(CSA)解决方案中的多个严重漏洞。包括CVSS评分为10的认证绕过漏洞CVE-2024-11639，该漏洞允许远程未认证攻击者获得管理员权限。此外，还修复了两个SQL注入漏洞(CVE-2024-11772和CVE-2024-11773)，这两个漏洞可被远程认证攻击者利用执行任意SQL语句。Ivanti指出，目前尚无发现漏洞在公开环境中被利用的证据。此前，CSA版本5.0.2及更早版本中存在其他被恶意利用的漏洞，例如SQL注入(CVE-2024-9379)、操作系统命令注入(CVE-2024-9380)和路径遍历问题(CVE-2024-9381)，攻击者可通过链式利用这些漏洞及零日漏洞CVE-2024-8963，实施代码执行和安全绕过攻击。

3、网络犯罪市场Rydox在国际执法行动中被查封

https://cyberscoop.com/rydox-cybercriminal-marketplace-seized-doj-albania-kosovo/

美国司法部宣布，在一项国际执法行动中成功打击了一个提供盗窃个人信息和网络犯罪市场Rydox，三名Rydox网站管理员被捕。Rydox自2016年起运营，涉及超过7600笔非法交易，累积收入超过23万美元，主要通过出售信用卡信息、登录凭证以及其他个人身份信息(PII)牟利，涉及数千名美国居民。该网站已向18000多名用户销售了超过321000个网络犯罪产品。此次国际执法行动由FBI匹兹堡办公室、阿尔巴尼亚特别反腐败机构(SPAK)及其国家调查局(BKH)、科索沃特别检察院、科索沃警方以及马来西亚皇家警方联合实施。科索沃的Ardit Kutleshi和Jetmir Kutleshi两兄弟被捕，将面临身份盗窃和洗钱等多项指控，另一名Shpend Sokoli也被捕，并将在阿尔巴尼亚受审。

4、超过30万个Prometheus监控服务器暴露于DoS攻击风险

https://www.aquasec.com/blog/300000-prometheus-servers-and-exporters-exposed-to-dos-attacks/

安全研究员揭示了Prometheus生态系统的多个安全漏洞，包括信息泄露、拒绝服务(DoS)和远程代码执行等风险。研究发现，超过33.6万个Prometheus服务器和导出器暴露在互联网上，其中许多未启用认证，易被攻击者利用来获取敏感信息，如凭据和API密钥。此外，暴露的pprof调试端点可能导致服务器过载和崩溃。Prometheus是一款开源监控工具，常被用于动态环境如Kubernetes。其核心功能包括定期抓取目标系统的指标并存储为时序数据库。暴露的Prometheus实例可能泄露内部API、子域名及容器信息，扩大攻击面。研究建议限制公开访问Prometheus组件，并加强认证机制，以降低安全风险。

5、ZLoader恶意软件通过DNS隧道隐蔽C2通信

https://thehackernews.com/2024/12/zloader-malware-returns-with-dns.html

安全研究员发现了新的ZLoader恶意软件变种，该变种通过域名系统(DNS)隧道进行命令和控制(C2)通信，提升了对检测与缓解的抗衡能力。ZLoader是一种加载器型恶意软件，可部署下一阶段的payload，并支持交互式Shell功能来执行恶意操作。其抗分析技术，如环境检查和API导入解析算法，继续进化以躲避沙箱和静态签名检测。此外，该恶意软件与Black Basta勒索软件攻击密切相关，利用远程桌面连接来分发恶意软件。企业需加强对网络和终端设备的安全监控，防范ZLoader的潜在威胁。

6、iOS和macOS中的Symlink漏洞可绕过TCC访问敏感数据

https://thehackernews.com/2024/12/phone-phishing-gang-busted-eight.html

安全研究员发现iOS和macOS中的一个已修复的Symlink漏洞，影响到透明、同意和控制(TCC)框架的安全性。该漏洞允许恶意应用通过欺骗文件操作来访问敏感数据，如健康数据、相机和麦克风等。这种漏洞可在用户毫无察觉的情况下进行数据窃取，严重威胁用户隐私和数据安全。苹果公司已经通过iOS 18、iPadOS 18和macOS Sequoia 15的更新修复了此漏洞，同时修复了WebKit和Safari中的其他安全问题。建议用户及时更新设备系统，并加强对权限的管理，以减少潜在风险。

7、新的IOCONTROL恶意软件被用于关键基础设施攻击

https://www.bleepingcomputer.com/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/

伊朗威胁行为者正在利用一种名为IOCONTROL的新恶意软件，用以破坏以色列和美国关键基础设施使用的物联网(IoT)设备和操作技术/监控与数据采集系统(OT/SCADA)。

8、大众和斯柯达曝12个组合漏洞，攻击者可在10米内无接触入侵

https://cybersecuritynews.com/vulnerabilities-skoda-volkswagen-cars/

网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞，这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。

9、国家发展改革委颁布《电力监控系统安全防护规定》

https://www.ndrc.gov.cn/xxgk/jd/jd/202412/t20241212_1394979.html

本次修订对原《规定》做了多方的修改，并新增13条，修订后共六章37条。

10、Cleo 修补了在数据盗窃攻击中被利用的关键零日漏洞

https://www.bleepingcomputer.com/news/security/cleo-patches-critical-zero-day-exploited-in-data-theft-attacks/

Cleo 发布了针对其 LexiCom、VLTransfer 和 Harmony 软件中零日漏洞的安全更新，该漏洞目前正在数据盗窃攻击中被利用。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。