网安周报|黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户

原创

棱镜七彩 2023-07-07 15:15:22 博主文章分类：网安周报 ©著作权

©著作权归作者所有：来自51CTO博客作者棱镜七彩的原创作品，请联系作者获取转载授权，否则将追究法律责任

网安周报是棱镜七彩推出的安全资讯专栏，旨在通过展示一周内发生的与开源安全、软件供应链安全相关攻击事件，让用户了解开源及软件供应链威胁，提高对安全的重视，做好防御措施。

1、黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户

网安周报|黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户_WordPress

来百度APP畅享高清图片

终极会员插件中未修补的关键安全漏洞，可能导致200，000个WordPress 网站面临持续攻击的风险。该漏洞被跟踪为 CVE-2023-3460（CVSS 分数：9.8），影响终极成员插件的所有版本，包括 2023 年 6 月 29 日发布的最新版本。终极会员是一个流行的插件，有助于在WordPress网站上创建用户配置文件和社区，它还提供帐户管理功能，未经身份验证的攻击者可能会利用此漏洞创建具有管理权限的新用户帐户，使他们能够完全控制受影响的站点。

参考链接：https://thehackernews.com/2023/07/unpatched-wordpress-plugin-flaw-could.html

2、芯片巨头台积电遭LockBit勒索软件攻击，被要求支付7000万美金

网安周报|黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户_服务器_02

苹果最大的半导体供应商之一台湾半导体制造公司（TSMC）指责第三方IT硬件供应商发生数据泄露事件，使该公司面临LockBit勒索软件集团的70万美元赎金要求。威胁行为者声称，如果不在规定时间支付赎金，该公司的被盗数据可能会被公开泄露，它还将发布其所描述的台积电网络的“入口点”以及用于访问它的密码和登录信息。

参考链接：https://www.darkreading.com/attacks-breaches/chip-giant-tsmc-blames-lockbit-breach-it-hardware-supplier

3、网络犯罪分子在新的代理劫持活动中劫持易受攻击的SSH服务器

网安周报|黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户_服务器_03

一项积极的出于经济动机的活动攻击者利用易受攻击的SSH服务器进行远程访问，运行恶意脚本，悄悄将受害者服务器加入对等（P2P）代理网络，如Peer2Profit或Honeygain，该脚本还能够从受感染的 Web 服务器获取必要的依赖项，包括 curl 命令行工具，将其伪装为 CSS 文件（“csdark.css”），在用户不知情或未经同意的情况下安装应用程序时，此类操作也可以超越网络犯罪领域，从而使威胁行为者能够控制多个系统并产生非法收入。

参考链接：https://thehackernews.com/2023/06/cybercriminals-hijacking-vulnerable-ssh.html

4、思科警告，存在让攻击者破解流量加密的漏洞

网安周报|黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户_WordPress_04

思科警告客户，一个高严重性漏洞影响了一些数据中心交换机型号，并允许攻击者篡改加密流量。该漏洞被跟踪为 CVE-2023-20185，是在数据中心思科 Nexus 9000 系列交换矩阵交换机的 ACI 多站点CloudSec 加密功能中进行内部安全测试期间发现的。该漏洞仅影响处于 ACI 模式、属于多站点拓扑、启用了 CloudSec 加密功能并运行固件 14.0 及更高版本的Cisco Nexus 9332C、9364C 和 9500 主干交换机（最后配备 Cisco Nexus N9K-X9736C-FX 线卡的交换机）。成功利用此漏洞后，未经身份验证的攻击者可以远程读取或修改站点之间交换的站点间加密流量。

参考链接：https://www.bleepingcomputer.com/news/security/cisco-warns-of-bug-that-lets-attackers-break-traffic-encryption/

5、黑猫运营商通过恶意交易分发伪装成WinSCP的勒索软件

网安周报|黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户_服务器_05

与 BlackCat 勒索软件相关的威胁行为者使用恶意广告通过合法组织的克隆网页分发恶意软件，分发涉及知名应用程序WinSCP的网页，WinSCP是一个用于文件传输的开源Windows应用程序。恶意广告是指使用SEO中毒技术通过在线广告传播恶意软件。它通常涉及劫持一组选定的关键字（例如，“WinSCP 下载”）以在必应和谷歌搜索结果页面上显示虚假广告，目的是将毫无戒心的用户重定向到粗略的页面。诱骗用户搜索WinSCP等应用程序下载恶意软件。

参考链接：https://thehackernews.com/2023/07/blackcat-operators-distributing.html

6、美国专利局数据泄露暴露商标申请

网安周报|黑客利用未修补的WordPress插件缺陷来创建秘密管理员帐户_应用程序_06

美国专利商标局（USPTO）通知60，000多名商标申请申请人，它错误地将他们的实际地址暴露在公共互联网上三年。据报道，泄漏的API是罪魁祸首，并使数据集暴露在外，包括从申请人那里收集的地址，这在他们向USPTO申请商标时是强制性的。“当我们发现问题时，我们阻止了对所有USPTO非关键API的访问，并删除了受影响的批量数据产品，直到可以实施永久修复，”发送给受影响的申报者并与TechCrunch共享的通知中写道。一位发言人补充说，泄漏影响了三年期间提交的约3%的申请。

参考链接：https://www.darkreading.com/physical-security/us-patent-office-hacked-trademark-apps-accessed

安全小常识：

在应对代理软件劫持攻击时，标准安全实践仍然是一种有效的预防机制，包括强密码、补丁管理和细致的日志记录。