一、威脅行為者利用PrestaShop中的0day漏洞(7.29)
網路犯罪分子以使用 PrestaShop 平臺的電子商務網站為目標,竊取客戶的支付資訊。他們正在濫用以前未知的漏洞鏈來執行惡意程式碼。
詳細情況
幾天前,PrestaShop 團隊釋出警告,要求 300,000 家使用其軟體的商店的管理員在發現針對該平臺的網路攻擊後檢查他們的安全狀況。
· 如果它們執行暴露於 SQL 注入的模組,則攻擊針對 PrestaShop 版本 1.6.0.10 或更高版本。1.7.8.2 及以上版本的使用者沒有風險,但是如果他們執行任何暴露於 SQL 注入攻擊的模組(例如 Wishlist 2.0.0 到 2.1.0),他們可能會受到影響。
· 被濫用的漏洞被跟蹤為CVE-2022-36408 。成功利用該漏洞會導致在執行PrestaShop網站的伺服器上執行任意程式碼。
作案手法
攻擊首先針對易受 SQL 注入攻擊的舊平臺版本。
· 為了執行攻擊,攻擊者向暴露的端點傳送 POST 請求,並向主頁傳送無引數的 GET 請求,並在根目錄中建立一個 blm[.]php 檔案。
· blm[.]php 是一個允許攻擊者在目標伺服器上執行遠端命令 的web shell。這個web shell被用來在商店的結賬頁面上注入一個假的支付表單。 · 此外,攻擊者還可能在網站上的任何位置植入惡意程式碼。
攻擊後清理
· 攻擊後,遠端攻擊者會刪除他們的痕跡,從而阻止網站所有者知道他們被入侵了。
· 如果攻擊者未能清除他們的蹤跡,站點管理員可能會在web伺服器的訪問日誌中找到入侵跡象的條目。
· 另一個標誌是 MySQL Smarty 快取儲存功能的啟用。
保持安全
確保 PrestaShop 網站和所有模組都使用最新更新或安全補丁進行了修補。這可以防止數字商店暴露於已知的和積極利用的SQL隱碼攻擊缺陷。
此外,專家建議在釋出補丁之前禁用 MySQL Smarty 快取儲存功能。
參考連結
https://cyware.com/news/threat-actors-exploit-zero-day-in-prestashop-a0c75118
二、 Chrome 0day漏洞遭到濫用,利用間諜軟體攻擊目標記者(7.27)
據悉,以色列的間諜軟體供應商Candiru利用一種名為DevilsTongue的間諜軟體,濫用Google Chrome中的0day,來監視中東的記者和高利益個體。
詳細情況
Avast研究人員發現了這個漏洞,將其報告給了谷歌。此外,在檢查了DevilsTongue對其客戶的攻擊後,他們披露了一些細節。
· Candiru自3月起開始濫用這一0day,目標使用者分佈在巴勒斯坦,土耳其,葉門和黎巴嫩。
· 該漏洞被跟蹤為CVE-2022-2294,是WebRTC中一種基於堆的高危緩衝區溢位漏洞。成功利用此漏洞可在目標裝置上執行程式碼。
· 該零日漏洞一直在網路攻擊中被積極利用,在向谷歌報告後,這家科技公司於7月4日對其進行了修補。 該漏洞存在於WebRTC中,因此它也會對Safari瀏覽器造成影響,但據目前所知僅在Windows上起作用。
攻擊媒介
間諜軟體運營商在攻擊中使用了水坑和魚叉式網路釣魚策略。
· 這種攻擊不需要與受害者互動,例如需要受害者單擊連結或下載檔案。
· 相反,它讓使用者開啟已遭到攻擊的網站或駭客在基於Chromium瀏覽器或Chrome中建立的網站。
· 在一個案例中,攻擊者侵入了黎巴嫩一家新聞機構網站,插入JavaScript片段來啟用XSS攻擊,並將目標重定向到所利用的伺服器。
· 在黎巴嫩的案例中,0day漏洞允許在渲染器程式內執行shellcode,並進一步連結一個沙箱逃逸漏洞,Avast未能恢復以進行調查。
在最初感染後,DevilsTongue間諜軟體使用BYOVD(自帶驅動程式)步驟來升級許可權,獲得對受感染裝置記憶體的讀寫許可權。研究人員認為,網路犯罪分子使用間諜軟體是為了掌握目標記者正在處理的新聞報導。
結論
近期報告揭示了商業間諜軟體供應商所提供服務的危險。這些供應商正在開發或購買可利用的0day,來對他們顧客要求的客戶發動攻擊。所以,要使用強大的加密功能來保護資料,及時更新安全裝置。
參考連結
https://cyware.com/news/chrome-zero-day-abused-to-spread-spyware-to-target-journalists-2ff0e344