苹果0day漏洞紧急修复；美国大力打击间谍软件公司；黑客利用Docker Redis漏洞进行挖矿| 安全周报 0308

1. 紧急：苹果针对已被积极利用的零日漏洞发布关键更新

苹果已经发布了安全更新，以修复几个安全漏洞，其中包括两个它表示已在野外被积极利用的漏洞。

这些漏洞列举如下：

• CVE-2024-23225 - 内核中的一个内存损坏问题，具有任意内核读写能力的攻击者可以利用它绕过内核内存保护。
• CVE-2024-23296 - RTKit实时操作系统（RTOS）中的一个内存损坏问题，具有任意内核读写能力的攻击者可以利用它绕过内核内存保护。

目前尚不清楚这些漏洞是如何在野外被武器化的。苹果表示，这两个漏洞已在iOS 17.4、iPadOS 17.4、iOS 16.7.6和iPadOS 16.7.6中通过改进验证得到解决。

来源：https://thehackernews.com/2024/03/urgent-apple-issues-critical-updates.html

2. 美国打击针对官员和记者的掠夺性间谍软件公司

美国财政部海外资产控制办公室 (OFAC) 制裁了与Intellexa联盟有关的两名人员，因为他们在“开发、运营和分发”商业间谍软件方面发挥了作用，这些软件旨在针对该国的政府官员、记者和政策专家。

该机构表示：“商业间谍软件的扩散对美国构成了独特且日益严重的安全风险，并已被外国行为者滥用，以实施侵犯人权行为，并针对世界各地的持不同政见者进行镇压和报复。”

“拥有全球客户群的Intellexa联盟推动了商业间谍软件和监控技术在全球的扩散，包括向威权政权扩散。”

Intellexa联盟是由多家公司组成的联盟，其中包括与名为Predator的雇佣军间谍软件解决方案有关的Cytrox。

2023年7月，美国政府将Cytrox和Intellexa以及他们在匈牙利、希腊和爱尔兰的企业控股公司列入了实体名单。

与NSO集团的Pegasus非常相似，Predator可以使用无需用户交互的零点击攻击渗透Android和iOS设备。一旦安装，间谍软件就可以使操作员收集敏感数据并监视感兴趣的目标。

来源：https://thehackernews.com/2024/03/us-cracks-down-on-predatory-spyware.html

3. 黑客利用配置错误的YARN、Docker、Confluence、Redis服务器进行加密货币挖矿

黑客正在将配置错误且易受攻击的、运行Apache Hadoop YARN、Docker、Atlassian Confluence和Redis服务的服务器作为新兴恶意软件活动的一部分，这些恶意软件旨在交付加密货币挖矿机并生成反向shell以实现持久远程访问。

Cado安全公司的研究员在与The Hacker News分享的一份报告中表示：“攻击者利用这些工具发布漏洞利用代码，利用常见的配置错误和N日漏洞进行远程代码执行（RCE）攻击并感染新的主机。”

这家云安全公司将此次活动代号为Spinning YARN，该活动与归因于TeamTNT、WatchDog以及被称为Kiss-a-dog的集群的云攻击有重叠。

这一切都是从部署四个新颖的Golang有效载荷开始的，这些有效载荷能够自动识别和利用易受攻击的Confluence、Docker、Hadoop YARN和Redis主机。这些传播工具利用masscan或pnscan来寻找这些服务。

来源：https://thehackernews.com/2024/03/hackers-exploit-misconfigured-yarn.html

4. 一种新的基于Python的Snake信息窃取器正在通过Facebook消息传播

有黑客正在利用Facebook消息传播一种名为Snake的基于Python的信息窃取器，该窃取器旨在捕获凭据和其他敏感数据。

Cybereason研究员在技术报告中表示：“从毫无戒心的用户那里收集到的凭据会被传输到不同的平台，如Discord、GitHub和Telegram。”

有关此次活动的详细信息最初于2023年8月出现在社交媒体平台X上。攻击涉及向潜在用户发送看似无害的RAR或ZIP归档文件，一旦打开这些文件，就会激活感染序列。

中间阶段涉及两个下载器——一个批处理脚本和一个cmd脚本，后者负责从攻击者控制的GitLab存储库中下载并执行信息窃取器。

来源：https://thehackernews.com/2024/03/new-python-based-snake-info-stealer.html

5. CISA警告称JetBrains TeamCity漏洞正被积极利用

美国网络安全和基础设施安全局（CISA）根据已存在的活跃漏洞攻击证据，将一个影响JetBrains TeamCity On-Premises软件的关键安全漏洞添加到了其已知的被利用漏洞（KEV）目录中。

该漏洞被追踪为CVE-2024-27198（CVSS分数：9.8），它指的是一个身份验证绕过漏洞，允许远程未经验证的攻击者完全破坏易受攻击的服务器。

本周早些时候，JetBrains已经修复了这个漏洞以及CVE-2024-27199（CVSS分数：7.3）漏洞，后者是一个中等严重程度的身份验证绕过漏洞，允许“有限数量”的信息泄露和系统修改。

来源：https://thehackernews.com/2024/03/cisa-warns-of-actively-exploited.html