网安周报|CISA对梭鱼ESG攻击中使用的潜艇后门发出警告

1、CISA对梭鱼ESG攻击中使用的潜艇后门发出警告

美国网络安全与基础设施安全局（CISA）发布了一条针对恶意软件变体的警报，该变体被追踪为SUBMARINE Backdoor，用于利用该漏洞进行攻击 CVE-223-2868在Barracuda电子邮件安全网关（ESG）设备中。CVE-223-2868漏洞存在于电子邮件附件屏蔽模块中，威胁参与者利用该漏洞获得对ESG设备子集的未经授权访问。

参考链接：CISA warns about SUBMARINE Backdoor employed in Barracuda ESG attacksSecurity Affairs

2、研究人员发现AWS SSM代理被误用为隐蔽远程访问特洛伊木马研究人员发现AWS SSM代理被误用为隐蔽远程访问特洛伊木马

网络安全研究人员在Amazon Web Services（AWS）中发现了一种新的后渗透开发技术，该技术允许AWS Systems Manager Agent（SSM Agent）在Windows和Linux环境中作为远程访问特洛伊木马运行。SSM代理是软件安装在Amazon Elastic Compute Cloud（Amazon EC2）实例上，管理员可以通过统一界面更新、管理和配置其AWS资源，如果攻击者在安装了SSM代理的端点上实现了高权限访问，则可以重新利用SSM代理继续进行恶意活动。

参考链接：Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access TrojanResearchers Uncover AWS SSM Agent Misuse as a Covert Remote Access TrojanResearchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan

3、WordPress Ninja Forms插件曝出严重漏洞

流行的WordPress表单构建插件Ninja Forms包含三个漏洞，使得攻击者能够实现权限提升并窃取用户数据。任何支持会员资格和用户注册的网站如果使用易受攻击的表单插件版本，都会因该漏洞而容易发生大规模数据泄露事件。

参考链接：https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data/#google_vignette

4、在持续的攻击中，数百台Citrix服务器使用web shell进行后门攻击

数百台Citrix Netscaler ADC和Gateway服务器已经被攻破并遭到后门攻击，攻击目标是追踪到的CVE-223-3519关键远程代码执行（RCE）漏洞。该漏洞以前被当作零日漏洞来利用破坏美国关键基础设施组织的网络根据研究者披露，在这些攻击中，攻击者在至少640台Citrix服务器上部署了web shell，且检测到的数量远低于认为存在的数量。该漏洞主要影响配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或身份验证虚拟服务器（AAA服务器）的未修补Netscaler设备。

参考链接：https://www.bleepingcomputer.com/news/security/over-640-citrix-servers-backdoored-with-web-shells-in-ongoing-attacks/

5、PaperCut 打印机管理程序被曝远程执行代码漏洞

PaperCut MF 和 NG 中报告了一个远程执行代码漏洞，影响所有受支持操作系统的版本 s 22.0.9 及更早版本。该漏洞源于访问控制措施不足。因此，未经身份验证的远程用户可以利用此漏洞绕过身份验证并在 SYSTEM 上下文中执行代码。这些漏洞与其他供应商的打印管理软件在野外被利用有关，鉴于几乎每个企业组织都有网络打印机，此漏洞受到广泛关注。

参考链接：https://blogs.juniper.net/en-us/threat-research/cve-2023-27350-papercut-ng-and-mf-remote-code-execution-vulnerability