概要： 最近，Rapid7的事件响应团队报告了一起严重的Microsoft SharePoint服务器漏洞事件，攻击者通过利用CVE-2024-38094漏洞获得了整个域的访问权限，影响了关键系统。这一事件凸显了对本地SharePoint服务器漏洞进行快速检测和响应的重要性。 主要内容： 调查始于Rapid7注意到涉及具有域管理员权限的Microsoft Exchange服务账户的可疑活动。攻击者利用CVE-2024-38094漏洞，成功执行远程代码，从而在网络中横向移动，持续了两周而未被发现。攻击者利用被攻陷的Exchange服务账户安装了Horoung Antivirus，这一杀毒软件干扰了系统的安全措施，导致现有安全解决方案崩溃，攻击者得以自由追求其目标。Rapid7指出，Horoung的安装与现有安全产品发生冲突，导致这些服务崩溃，攻击者因此能够安装和运行恶意工具，包括Impacket，以进行横向移动。攻击者从被攻陷的SharePoint服务器部署了Mimikatz以提取凭证，并篡改系统日志以掩盖其踪迹，报告显示“系统日志的大部分功能被禁用”，使得检测变得困难。此外，攻击者利用名为ghostfile93.aspx的webshell建立持久访问，并从单一外部IP生成大量HTTP POST请求。这一webshell及其他恶意可执行文件的存在，使攻击者能够绘制网络图、收集凭证并建立外部连接。Rapid7的分析强调了强大日志记录和早期检测措施的必要性，建议审查安全策略、加强日志监控，并及时应用最新补丁，以防止类似的安全漏洞。

概要： 2024年9月17日，黎巴嫩境内同时发生数千台真主党使用的传呼机爆炸事件，造成至少8人死亡，超过2700人受伤。网络安全专家普遍认为此事件并非网络攻击，而是以色列情报部门通过物理手段进行的精心策划的针对性袭击。这一事件的发生进一步加剧了以色列与真主党之间的紧张关系，成为当前中东局势中的又一冲突焦点。 主要内容： 在9月17日下午15:30，黎巴嫩多地的真主党传呼机发生爆炸，造成大量人员伤亡。社交媒体上流传的视频记录了爆炸瞬间，许多人在爆炸中倒地，现场一片混乱。黎巴嫩政府迅速将责任归咎于以色列，并指责其实施“侵略行为”，称此次事件是对黎巴嫩主权的侵犯。真主党则在声明中将以色列视为“敌人”，誓言进行报复。 根据多家媒体的报道，事件的起因并非网络攻击，而是以色列情报部门对真主党传呼机的供应链进行了干预。以色列情报机构被指控在传呼机交付之前，已将其修改并植入炸药。专家指出，真主党近年来为避免被追踪，增加了传呼机的使用。这一事件暴露出其通信安全的脆弱性。 网络安全专家表示，事件的可能触发原因是传呼机接收到了一条消息，导致内置的炸药引爆。Bitdefender的威胁研究主任指出，这些传呼机并不具备锂离子电池的设计，爆炸很可能是由于人为的物理改装而非技术故障。此外，专家认为这是历史上最广泛的物理供应链攻击之一，显示出对以色列网络战能力的高度关注。 国际社会对此事件反应强烈。美国国务院发言人声明，美国并未参与此次事件，也未提前获知相关信息。以色列军方对此未作回应，但局势的不断加剧，可能会导致双方在未来的冲突中升级。 此次事件不仅凸显了中东地区安全局势的复杂性，也反映了新兴网络安全威胁与传统安全威胁之间的交织。各方对这一事件的后续发展保持高度关注。

概要： 英国秘密情报局（MI6）和美国中央情报局（CIA）首次联合发表意见文章，揭示他们的机构已采用生成式人工智能（AI）来增强和改进情报活动。两位情报首脑强调，技术的进步带来了前所未有的挑战，国际秩序正面临冷战以来最大的威胁。 主要内容： 英国秘密情报局局长理查德·摩尔和美国中央情报局局长比尔·伯恩斯在《金融时报》上发表联合文章，首次公开他们的机构已采用生成式AI技术。摩尔和伯恩斯表示，他们正在利用AI技术，包括生成式AI，从数据总结到创意生成，再到在海量数据中识别关键信息，以提升情报活动的效率。摩尔透露，MI6使用大型语言模型来导航互联网上的大量极端内容，并解读最新的犯罪术语，使其情报人员能够更可信地与这些社区互动。此外，他们还利用云技术，使数据科学家能够最大限度地利用数据，并与全球最具创新力的公司合作。两位情报首脑指出，技术的进步使国际秩序面临冷战以来最大的威胁。乌克兰战争展示了技术与传统武器结合如何改变战争进程，包括卫星图像、无人机技术、高低技术水平的网络战、社交媒体、开源软件和情报、无人驾驶的空中和海上载具以及信息操作的结合。除了乌克兰，CIA和MI6还在合作打击俄罗斯的虚假信息活动及其在欧洲的破坏行动。

安恒信息研究院安全数据部基于部门数据能力，与安恒信息各大实验室联合，每月推出《安恒信息网络安全月报》，希望能帮助大家及时了解每月网络安全相关信息，为网络安全规划与建设提供决策依据。每月梳理的主要信息如下：（1）当月APT情报：APT的攻击地域，高活跃的APT组织画像；（2）当月勒索攻击：勒索软件影响的行业以及勒索组织画像；（3）当月暗链情报：植入暗链的地区排行、暗链分布占比图；（4）当月漏洞情报：漏洞态势、高关注漏洞及该漏洞全球资产分布；（5）当月黑灰产情报：每月新增黑灰产数量等。更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：400 6059 110 转 4 扫码或者下载文末附件均可收获精简版~

安全通告 近日，安恒信息CERT监测到GitLab存在身份验证绕过漏洞，目前技术细节及PoC未公开，该漏洞允许攻击者在某些情况下以其他用户的身份触发pipeline。 该产品主要使用客户行业分布广泛，漏洞危害性极高，建议客户尽快做好自查及防护。   漏洞信息 ----------------------------披露时间2024年06月26日---------------------------   GitLab 是一个开源的代码协作平台，它提供了一整套工具，支持软件开发的整个生命周期。GitLab 主要特点包括版本控制、代码审查、持续部署、测试、项目管理等功能。   漏洞标题 GitLab存在身份验证绕过漏洞 漏洞处置等级 1级 漏洞类型 访问控制错误 影响目标 影响厂商 GitLab 影响产品 GitLab 影响版本 15.8 <= GitLab CE/EE < 16.11.5 17.0 <= GitLab CE/EE < 17.0.3 17.1 <= GitLab CE/EE < 17.1.1 安全版本 GitLab CE/EE >= 16.11.5 GitLab CE/EE >= 17.0.3 GitLab CE/EE >= 17.1.1 漏洞编号 CVE编号 CVE-2024-5655 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-202406-000366 CVSS3.1评分 9.6 危害等级 严重 CVSS向量 访问途径（AV） 网络 攻击复杂度（AC） 低 所需权限（PR） 低 用户交互（UI） 不需要用户交互 影响范围（S） 改变 机密性影响（C） 高 完整性影响（I） 高 可用性影响（A） 无 威胁状态 Poc情况 未发现 Exp情况 未发现 在野利用 未发现 研究情况 分析中   修复方案 官方修复方案: 官方已发布修复方案，受影响的用户建议更新至安全版本。 https://packages.gitlab.com/gitlab/gitlab-ee?page=6   网络空间资产测绘 根据安恒Sumap全球网络空间资产测绘近三个月数据显示，相关资产主要分布在德国、俄罗斯和中国等国家，其中国内资产68903。建议客户尽快做好资产排查。 参考资料 https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/#run-pipelines-as-any-user   技术支持 如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。

安恒信息研究院安全数据部基于部门数据能力，与安恒信息各大实验室联合，每月推出《安恒信息网络安全月报》，希望能帮助大家及时了解每月网络安全相关信息，为网络安全规划与建设提供决策依据。每月梳理的主要信息如下：（1）当月APT情报：APT的攻击地域，高活跃的APT组织画像；（2）当月勒索攻击：勒索软件影响的行业以及勒索组织画像；（3）当月暗链情报：植入暗链的地区排行、暗链分布占比图；（4）当月漏洞情报：漏洞态势、高关注漏洞及该漏洞全球资产分布；（5）当月黑灰产情报：每月新增黑灰产数量等。 更多精彩请查看完整版，感谢您的支持！完整版可以咨询您所在地区安恒销售，或致电：400 6059 110 转 4