网络安全日报 2024年08月30日
1、思科修补多个 NX-OS 软件漏洞 https://www.securityweek.com/cisco-patches-multiple-nx-os-software-vulnerabilities/ 思科周三宣布推出 NX-OS 软件更新,以解决多个漏洞,包括一个高严重性 DoS 漏洞。 2、Beckhoff TwinCAT/BSD 漏洞导致PLC遭受篡改和 DoS 攻击 https://www.securityweek.com/beckhoff-twincat-bsd-vulnerabilities-expose-plcs-to-tampering-dos-attacks/ 倍福自动化 (Beckhoff Automation) 已修补其工业 PC 用的 TwinCAT/BSD 操作系统中的多个漏洞。 3、未修补的AVTECH IP摄像头漏洞遭利用,被用于发起僵尸网络攻击 https://thehackernews.com/2024/08/unpatched-avtech-ip-camera-flaw.html 影响 AVTECH IP 摄像机的一个多年前的高严重性漏洞已被恶意行为者用作零日漏洞,以将其引入僵尸网络。Akamai 研究人员 Kyle Lefton、Larry Cashdollar 和 Aline Eliovich 表示,有问题的漏洞 CVE-2024-7029(CVSS 评分:8.7)是“在 AVTECH 闭路电视 (CCTV) 摄像机的亮度功能中发现的命令注入漏洞,允许远程代码执行 (RCE)。” 4、俄罗斯APT29利用 Safari 和 Chrome 漏洞发动网络攻击 https://thehackernews.com/2024/08/russian-hackers-exploit-safari-and.html 网络安全研究人员发现了多起在野攻击活动,这些活动利用 Apple Safari 和 Google Chrome 浏览器中现已修补的漏洞,用窃取信息的恶意软件感染移动用户。 5、RansomHub 利用 RDP 服务窃取大量数据 https://cybersecuritynews.com/ransomhub-exploiting-rdp-exfiltration/ Group-IB 的网络安全研究人员最近发现 RansomHub 一直在利用 RDP 服务窃取大量数据。RansomHub 是一个复杂的勒索软件即服务 (RaaS) 组织,其通过加密文件和从受害者系统中窃取文件来以通常的双重勒索方式运作。该组织主要针对美国、英国、西班牙、法国和意大利的组织,主要专注于医疗保健、金融和政府领域。 6、戴尔外星人系列BIOS存在严重漏洞,可被利用执行任意代码 https://cybersecuritynews.com/dell-bios-flaw-alienware/ 戴尔客户端平台 BIOS 中发现了一个严重漏洞,黑客可能利用该漏洞劫持https://cybersecuritynews.com/hackers-hijack-anti-virus-software-using-sbaproxy-hacking-tool/感染的系统。该漏洞被标识为 CVE-2024-39584,被归类为“使用默认加密密钥”漏洞。它构成重大风险,CVSS 基本评分为 8.2,表明对受影响的系统影响很大。 7、工信部发布关于防范新型ValleyRAT恶意软件的风险提示 https://www.secrss.com/articles/69532 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测到新型ValleyRAT恶意软件,主要针对中文版Windows用户,特别是电子商务、金融、销售和管理相关用户,可能导致敏感信息泄露、业务中断、被勒索等风险。 8、报告:全球三分之一的组织遭受 SaaS 数据泄露 https://www.infosecurity-magazine.com/news/third-organizations-saas-data/ 根据 AppOmni 的数据,去年,近三分之一 (31%) 的全球组织在其 SaaS 应用程序中遭受了数据泄露,因为他们努力获得对云环境的可见性和控制。 9、ChatGPT正式警告持续向聊天机器人发送“色情短信”的用户 https://cybernews.com/ai-news/chatgpt-formal-warning-sexting-user/ 有人在多次向虚拟助手发送“色情短信”后收到了该公司的书面警告。信中写道:“我们联系您,您是 OpenAI ChatGPT 的用户,因为我们的系统已将部分请求标记为违反了我们的政策。”“请确保您根据我们的使用条款和使用指南使用 ChatGPT,因为如果我们检测到您在使用过程中存在进一步的问题,您的访问权限可能会被终止。” 10、虚假Palo Alto GlobalProtect工具被用来针对企业实施攻击 https://www.bleepingcomputer.com/news/security/fake-palo-alto-globalprotect-used-as-lure-to-backdoor-enterprises/ 威胁行为者使用伪装成合法 Palo Alto GlobalProtect 工具的恶意软件攻击中东组织,该恶意软件可以窃取数据并执行远程 PowerShell 命令以进一步渗透内部网络。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月29日
1、macOS版HZ RAT后门程序针对中国微信和钉钉用户 https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/ 近日,研究人员发现,一款名为HZ RAT的后门程序已针对中国用户的macOS系统进行攻击,目标包括钉钉和微信等即时通讯应用。这款恶意软件最早于2022年由德国网络安全公司DCSO首次发现,最初通过恶意的RTF文档或自解压压缩包在Windows系统上传播。最新的macOS版本几乎完全复制了Windows版本的功能,通过shell脚本从攻击者的服务器获取有效载荷。HZ RAT主要功能包括执行PowerShell命令、写入和上传文件,以及收集用户敏感信息,如微信ID、 2、微软Sway被用于大规模二维码网络钓鱼攻击 https://www.bleepingcomputer.com/news/security/microsoft-sway-abused-in-massive-qr-code-phishing-campaign/ 研究人员发现了一场大规模的二维码网络钓鱼攻击,此次攻击利用微软的Sway云端工具来托管钓鱼页面,诱导Microsoft 365用户泄露登录凭证。该活动主要针对亚洲和北美的用户,目标行业包括科技、制造和金融等领域。攻击者通过电子邮件引导受害者扫描嵌入的二维码,从而将他们带到恶意网站上。由于移动设备的安全措施相对较弱,受害者在扫描二维码后更容易被攻击。此外,攻击者还利用Cloudfla 3、微软修复Copilot中的ASCII隐形数据窃取漏洞 https://embracethered.com/blog/posts/2024/m365-copilot-prompt-injection-tool-invocation-and-data-exfil-using-ascii-smuggling/ 2024年8月,微软修复了Microsoft 365 Copilot中的一个关键漏洞,该漏洞允许攻击者通过ASCII隐形技术窃取敏感用户信息。研究人员发现,该漏洞利用了特殊的Unicode字符,这些字符在用户界面中不可见,但能将数据嵌入可点击的超链接中,从而实现数据泄露攻击。攻击流程包括通过恶意文档触发提示注入、利用ASCII隐形诱导用户点击链 4、韩国APT-C-60组织利用WPS Office漏洞部署SpyGlace后门 https://thehackernews.com/2024/08/apt-c-60-group-exploit-wps-office-flaw.html 一项与韩国有关的网络间谍活动利用金山 WPS Office 中现已修补的关键远程代码执行漏洞的零日利用来部署名为 SpyGlace 的定制后门。据网络安全公司 ESET 和 DBAPPSecurity 称,此次活动是由一个名为APT-C-60的威胁行为者发起的。这些攻击被发现使用恶意软件感染中国和东亚用户。该安全漏洞为CVE-2024-7262(CVSS 评分:9.3),源于对用户提供的文件路径缺乏适当的验证。该漏洞本质上允许攻击者上传任 5、Apache OFBiz严重漏洞CVE-2024-38856已被积极利用 https://thecyberexpress.com/cisa-flags-cve-2024-38856-vulnerability/ 此漏洞允许攻击者在未经身份验证的情况下执行远程代码,造成严重风险。18.12.14 及以下版本均受影响,建议组织升级至 18.12.15 版本以缓解此问题。 6、谷歌大幅提高Chrome漏洞赏金,单漏洞最高可达 25 万美元 https://www.securityweek.com/google-now-offering-up-to-250000-for-chrome-vulnerabilities/ 谷歌宣布大幅提高通过其漏洞奖励计划 (VRP) 报告的 Chrome 浏览器漏洞的奖励。根据更新后的奖励,安全研究人员可能因单个问题获得高达 25 万美元的奖励,如果满足特定条件,奖励甚至会更多。与以前一样,最高奖励将颁发给在非沙盒进程中展示内存损坏漏洞的研究人员。 7、ServiceBridge泄露 3200万份文件,大量企业数据被曝光 https://www.freebuf.com/news/409656.html 安全研究员杰里迈亚-福勒(Jeremiah Fowler)发现了一个基于云的现场服务管理平台 ServiceBridge 暴露了大规模数据,其中包含合同、工单、发票、建议书、协议、部分信用卡号,甚至还有可追溯到 2012 年的 HIPAA 同意书。 8、BlackByte利用ESXi 身份验证绕过漏洞部署勒索软件 https://cybersecuritynews.com/blackbyte-vmware-esxi-auth-bypass-flaw/ 安全研究人员发现,BlackByte 勒索软件组织正在积极利用 VMware ESXi 虚拟机管理程序中最近修补的身份验证绕过漏洞来部署勒索软件并获得对受害者网络的完全管理访问权限。 9、Fortra FileCatalyst 工作流中存在高危漏洞 https://thehackernews.com/2024/08/fortra-issues-patch-for-high-risk.html Fortra 解决了影响 FileCatalyst Workflow 的一个严重安全漏洞,该漏洞可能被远程攻击者滥用来获取管理访问权限。该漏洞的编号为 CVE-2024-6633,CVSS 评分为 9.8,源于使用静态密码连接 HSQL 数据库。 10、全球石油巨头哈里伯顿因网络攻击被迫关闭系统 https://www.secrss.com/articles/69544 美国油田巨头哈里伯顿(Halliburton)日前向监管机构提供了关于最近一次网络攻击的新细节,这次攻击迫使其关闭了部分系统。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月28日
1、Versa修复被APT利用的Director零日漏洞 https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/ Versa Networks已修复一个被APT(高级持续性威胁)利用的零日漏洞(CVE-2024-39717),该漏洞允许攻击者通过Versa Director GUI的“更改图标”功能上传恶意文件。Versa Director是一款帮助管理服务提供商简化SASE(安全访问服务边缘)服务的平台,但此漏洞使具有管理员权限的 2、Google警告Chrome中CVE-2024-7965漏洞被积极利用 https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html Google近日警告称,其Chrome浏览器中的一个安全漏洞(CVE-2024-7965)已被活跃利用。该漏洞为V8 JavaScript和WebAssembly引擎中的不当实现问题,影响版本低于128.0.6613.84的Chrome浏览器。攻击者可以通过精心设计的HTML页面利用此漏洞,可能导致堆内存损坏。该漏洞由研究人员于2024年7月30日发现,并获得了1.1万美元的漏洞赏金。尽管Google已经修复了该漏洞, 3、ServiceBridge的2TB敏感记录因云配置错误而暴露 https://www.websiteplanet.com/news/servicebridge-breach-report/ 因云服务器配置错误,ServiceBridge的一个主要数据库暴露了超过2.68 TB的数据和超过3150万条记录,包括客户的敏感信息,如姓名、地址、电子邮件、电话以及部分信用卡数据。数据库可公开访问,且无需密码或任何安全验证。暴露的数据还包含HIPAA患者同意书和医疗设备协议,揭示了个人健康信息。此次数据暴露影响了广泛的业务群体,包括学校、宗教机构、餐饮连锁店和医疗提供商。此次事件提醒企业加强数据安全措施,如加密、访问控制和定期安全审计,以保护客户数据免受类似事件 4、安装在100万个网站的WPML 插件中发现代码执行漏洞 https://www.securityweek.com/code-execution-vulnerability-found-in-wpml-plugin-installed-on-1m-wordpress-sites/ WordPress 的 WPML 多语言插件中存在一个严重漏洞,可能使超过一百万个网站遭受远程代码执行 (RCE)。报告该问题的研究人员解释说,该漏洞的编号为 CVE-2024-6386(CVSS 评分为 9.9),可被具有贡献者级别权限的攻击者利用。 5、臭名昭著的黑客"USDoD"身份被揭露 https://www.securityweek.com/true-identity-of-notorious-hacker-usdod-revealed/ 据 CrowdStrike 和其他网站称,因泄露引人注目的数据而出名的黑客"USDoD"是一名巴西人。过去几年,USDoD(又名 EquationCorp)泄露了大量从主要组织窃取的信息。其目标包括 FBI 的InfraGard门户网站、空中客车、信用报告公司TransUnion、背景调查服务国家公共数据 (NPD)等。 6、Uber因违反GDPR被荷兰罚款 3.24 亿美元 https://www.freebuf.com/news/409535.html 近日,荷兰数据保护局指控Uber在未采取《通用数据保护条例》(下文简称:GDPR )第五章规定的充分保障措施的情况下,将个人数据从欧洲经济区(EEA)转移至美国的服务器。荷兰数据保护局称其违反了GDPR 的规定,并对其处以罚款 23.18亿元(2.9亿欧元)罚款,这是荷兰数据保护局第三次对 Uber 处以行政罚款。 7、西雅图机场将停电归咎于可能的网络攻击 https://www.securityweek.com/seattle-airport-blames-outages-on-potential-cyberattack/ 过去三天里,西雅图港,包括西雅图-塔科马国际机场(SEA 机场),一直在努力应对可能由网络攻击引起的系统中断。 8、Mirai 僵尸网络被发现新漏洞,能同时被攻守双方利用 https://www.freebuf.com/news/409539.html Mirai 僵尸网络在全球 DDoS 攻击中发挥了重要作用,特别是针对 IoT 设备和服务器的攻击。最近,Mirai的命令和控制服务器中发现了一个新漏洞,该漏洞允许攻击者执行DDoS攻击,但同时也能被安全人员用来进行反制。 9、AMD内部通信资料被泄露 https://cybersecuritynews.com/allegedly-amd-internal-communications/ 以非法活动闻名的IntelBroker和 EnergyWeaponUser 宣布了一起针对大型科技公司 AMD 的新数据泄露事件。据称,此次泄露事件发生在 2024 年 8 月 25 日,与 6 月份的一次泄露事件无关。根据暗网市场 BreachForums 上的一篇帖子,攻击者已从 AMD 的各个来源获取内部通信,包括“idmprod.xilinx.com”和“amdsso.okta.com”。据报道,被盗数据包含敏感信息,例如用户凭证、案件编号、描述和 10、D(HE)at 攻击 – 攻击者可利用DH协议导致CPU 过热 https://cybersecuritynews.com/dheat-attack/ 研究人员发现了一种新型的拒绝服务 (DoS) 攻击,称为 D(HE)at 攻击,它利用Diffie-Hellman 密钥协商协议(特别是其临时变体 (DHE))的计算需求,以攻击者最小的努力压垮服务器。这种攻击因其能够让受害者执行大量模幂运算而导致 CPU 过热而得名,模幂运算用于 TLS、SSH、IPsec 和OpenVPN等加密协议中的 Diffie-Hellman 密钥交换。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记某项目的二顾茅庐5K实战
一顾茅庐 漏洞一:存在逻辑缺陷导致无限发布新动态和可修改动态问题 可以看到此时发布了一个动态,还可以发布两个动态。 点击发布新动态,填写好信息点击提交并抓包 可以发现成功发布,回到动态页面可以看到可发布次数还是2,并且新发布的动态比正常发布的还多了一个修改的功能,可以正常使用此功能进行修改已经发布的动态。 再发一次,字段还是-1,下面的展界改为135,正常发布动态是无法选择展界的,此时可以成功的任意修改数据,并且可发布数量还是为2,证明了可以无限次发布新动态。 漏洞二:存在突破发布数量限制的问题 目前还剩一次发布动态的机会,点击发布新动态并填写信息 点击提交并抓包,进行并发测试,并发结束后再将原包正常放回 可以发现是成功了一定的数量的,回到页面可以看到成功发布了7条动态,超过了系统的限制 漏洞三:查询处因设计缺陷存在拒绝服务攻击漏洞 正常查询的时候需要时间是834ms 可能图有点糊看不清,接口请求如下默认请求接口:xxx/query?current=1&size=10&title=&type=&read=&r=1695628867371将参数调大进行测试:xxx/query?current=1000&size=1000000&title=&type=10000000&read=&r=1695628867371然后发包,发现服务器的回显时间变得很长,达到了46337ms 此时再配合多线程就可以对服务器造成拒绝服务攻击致使服务器瘫痪,对所有用户的使用造成影响,危害大。这里为了不影响正常业务不进行下一步利用。 二顾茅庐 漏洞一:敏感信息泄露 随便点点点,来到人员证件申请处,点击查询并抓包,如下 抓取数据包 将value置空 url编码后重新发送,返回了大量敏感信息 漏洞二:未授权+越权 可以看到目前账号只有一个动态如图所示: 刷新此页面,然后进行抓包 逐个放包直到获取到此包,可以得到本人的动态信息 然后我们将companyId置空 可以未授权看到很多其它企业的敏感信息,并且可以看到我们所要的动态值 点击删除并抓包 然后放包,可以看到成功的删除掉了动态。此处存在水平越权
网络安全日报 2024年08月27日
1、伪装成开源库的恶意"node.exe"在Windows平台传播 https://www.sonatype.com/blog/pyfetcher-netfetch-drop-netflix-checker-on-windows 研究人员最近发现两个伪装成开源库的PyPI包——“netfetcher”和“pyfetcher”——专门针对Windows用户。这些包下载的恶意执行文件名为“node.exe”,并伪装成NodeJS库,具有极高的隐蔽性,导致主流杀毒引擎几乎无法检测。这些文件下载后会重命名为“netflix_checker_cache.exe”,用于执行进一步的恶意操作,如从同一IP地址下载其他恶意程序。这些程序具有强大的反检测能力,能排除整个Win 2、Python框架中发现NTLM凭证窃取漏洞 https://www.horizon3.ai/attack-research/disclosures/ntlm-credential-theft-in-python-windows-applications/ 2024年8月23日,研究人员在其博客中揭示了在流行的Python框架中存在的NTLM凭证窃取漏洞。这些漏洞影响了Gradio、Jupyter Server和Streamlit三个框架,通过利用服务器端请求伪造(SSRF)或XML外部实体(XXE)漏洞,攻击者能够泄露NTLMv2哈希值。具体来说,Python框架在处理文件系统操作时,如果输入未经充分验证,就可能导致NTLMv2哈希泄 3、审计发现 FBI 的数据存储管理存在重大漏洞 https://www.freebuf.com/articles/409453.html 据The Hacker News消息,美国司法部监察长办公室 (OIG) 的一项审计发现, FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在“重大漏洞”。 4、俄罗斯一名男子因DDoS攻击被指控叛国罪 https://cybernews.com/cyber-war/man-charged-treason-over-ddos-attacks/ 俄罗斯联邦安全局(FSB)对一名俄罗斯公民对关键基础设施进行DDoS攻击提出了叛国罪。 5、谷歌紧急发布 Chrome 128 更新,修复V8引擎高危漏洞 https://www.ithome.com/0/790/593.htm 谷歌紧急发布了 Chrome 浏览器安全更新,修复了追踪编号为 CVE-2024-7971 的高危安全漏洞。该漏洞存在于 V8 JavaScript 和 WebAssembly 引擎中,是一个类型混乱漏洞。 6、Meta称伊朗黑客攻击了拜登和特朗普工作人员的WhatsApp账户 https://www.securityweek.com/iranian-hackers-targeted-whatsapp-accounts-of-staffers-in-biden-trump-administrations-meta-says/ Meta 表示,在收到可疑 WhatsApp 消息的个人举报后,他们发现了这个黑客网络,这些黑客冒充了 AOL、微软、雅虎和谷歌等公司的技术支持代理。Meta 的调查人员认为,这一活动与特朗普竞选团队报告的黑客事件相同的网络有关。 7、SonicWall发布重要补丁,修复未经授权访问防火墙漏洞 https://thehackernews.com/2024/08/sonicwall-issues-critical-patch-for.html SonicWall 发布了安全更新,以解决影响其防火墙的一个严重漏洞,该漏洞如果被成功利用,可能会让恶意行为者未经授权访问设备。该漏洞的编号为CVE-2024-40766(CVSS 评分:9.3),被描述为不当的访问控制错误。 8、研究人员在 MLOps 平台中发现 20 多个供应链漏洞 https://thehackernews.com/2024/08/researchers-identify-over-20-supply.html 网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞,并警告机器学习 (ML) 软件供应链中存在安全风险。 9、Traccar GPS系统存在严重缺陷,用户面临远程攻击 https://thehackernews.com/2024/08/critical-flaws-in-traccar-gps-system.html 开源Traccar GPS 跟踪系统被披露两个安全漏洞,未经身份验证的攻击者可能会利用这些漏洞在某些情况下实现远程代码执行。 10、Hillstone WAF 存在命令注入攻击 https://www.hillstonenet.com.cn/security-notification/2024/08/21/mlzrld-2/ 山石网科 Web 应用防火墙(WAF)是专业智能的Web 应用安全防护产品,在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和语义分析技术,帮助用户轻松应对应用层风险,确保网站全天候的安全运营。在WAF的验证码页面,存在命令注入漏洞,恶意攻击者可通过构造恶意请求,拼接命令执行任意代码,控制服务器。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月26日
1、微软修复Copilot Studio严重漏洞防止敏感数据泄露 https://www.tenable.com/blog/ssrfing-the-web-with-the-help-of-copilot-studio 微软近日修复了一个影响Copilot Studio的关键安全漏洞(CVE-2024-38206),该漏洞由安全研究人员Evan Grant发现,评分为8.5分(CVSS)。漏洞源于服务端请求伪造(SSRF)攻击,攻击者可利用此漏洞绕过SSRF保护机制,泄露敏感信息。通过该漏洞,攻击者能够访问微软内部基础设施,包括实例元数据服务(IMDS)和内部Cosmos DB实例,从而获取托管身份访问令牌,进而可能对内部资源进行未授权访问。微软已修补此漏 2、CannonDesign确认被Avos Locker勒索攻击致数据泄露 https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/ CannonDesign近日确认其网络遭遇了Avos Locker勒索软件的攻击,导致数据泄露。事件发生在2023年1月19日至25日之间,黑客通过未经授权的网络访问盗取了公司的敏感数据。尽管CannonDesign在2023年1月25日发现了入侵行为,但调查直到2024年5月3日才完成,进一步确认数据泄露的范围和影响。受影响的个人信息包括姓名、地址、社会保障号码和驾照号码。Canno 3、隐秘的“sedexp”Linux 恶意软件逃避检测达两年之久 https://www.bleepingcomputer.com/news/security/stealthy-sedexp-linux-malware-evaded-detection-for-two-years/ 一种名为“sedexp”的隐秘 Linux 恶意软件自 2022 年以来一直在使用 MITRE ATT&CK 框架中尚未包含的持久性技术来逃避检测。 4、新型NGate安卓恶意软件利用NFC芯片窃取信用卡数据 https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-ngate-android-malware-which-relays-nfc-traffic-to-steal-victims-cash-from-atms-1/ 一种名为NGate的新型安卓恶意软件被发现能够通过设备的近场通信(NFC)芯片窃取支付卡数据,从而使攻击者能够进行未授权支付或从ATM提取现金。该恶意软件自2023年11月起开始活动,最初通过伪装成银行紧急安全更新的PWA和WebAPK应用诱导受害者下载安装 5、数百家Magento在线商店遭黑客攻击致信用卡信息被窃 https://www.malwarebytes.com/blog/news/2024/08/hundreds-of-online-stores-hacked-in-new-campaign 近日,研究人员发现一场针对使用Magento平台的在线商店的恶意软件活动,这些商店被植入了数字窃取器代码,导致用户在结账时输入的信用卡信息(包括卡号、到期日期和CVV/CVC)被实时窃取。攻击者利用相同的漏洞在多家商店注入了一行看似无害的脚本,加载远程恶意代码,并在结账页面插入虚假的支付方式框架,优先获取用户的支付信息。 6、新型Cheana Stealer伪装成VPN钓鱼网站攻击多平台用户 https://cyble.com/blog/new-cheana-stealer-targets-vpn-user/ 研究人员发现了一种新的Cheana Stealer恶意软件,该软件通过伪装成VPN服务的钓鱼网站传播,专门针对下载Windows、Linux和macOS平台VPN应用程序的用户。该攻击者为每个操作系统创建了不同的恶意程序,分别针对加密货币浏览器扩展、独立的加密钱包、浏览器密码、登录数据、Cookies、SSH密钥、macOS密码和Keychain。攻击者利用假冒的VPN服务来建立用户信任,然后分发恶意软件。该钓鱼网站的域名最近一次变更发生在2024年8月21日,并与一个活跃 7、Microsoft Edge中发现高危漏洞影响其IE模式 https://truefort.com/cve-2024-38178/ 2024年8月23日,研究人员发现了Microsoft Edge浏览器中的一个高危漏洞,标记为CVE-2024-38178。该漏洞影响Edge的Internet Explorer模式,CVSS v3评分为7.5,属于高威胁级别。CVE-2024-38178存在于Web内容处理机制中,允许攻击者通过恶意网页内容实现远程代码执行,可能导致服务器的未经授权控制、数据泄露和服务器操作中断。攻击者无需直接访问服务器,只需诱使用户点击恶意链接或与受损网页内容交互即可触发漏洞。为了应对这一风险,建议用户应用2024年8月的Micro 8、美国无线电中继联盟确认支付100 万美元勒索攻击赎金 https://www.bleepingcomputer.com/news/security/american-radio-relay-league-confirms-1-million-ransom-payment/ 美国无线电中继联盟 (ARRL) 证实,它支付了 100 万美元赎金以获得解密器,以恢复在 5 月份勒索软件攻击中加密的系统。 9、Telegram 创始人 Pavel Durov 周六在法国被捕 https://thehackernews.com/2024/08/telegram-founder-pavel-durov-arrested.html 据法国电视网 TF1 报道,流行通讯应用程序 Telegram 的创始人兼首席执行官帕维尔·杜罗夫于周六在法国被捕。 10、Slack 修复了暴露私人频道的AI功能漏洞 https://www.darkreading.com/cyberattacks-data-breaches/slack-ai-patches-bug-that-let-attackers-steal-data-from-private-channels Slack 修复了其 AI 功能中的一个漏洞,该漏洞可能允许攻击者从私人频道窃取数据。该漏洞涉及 AI 功能中的提示注入漏洞,允许攻击者操纵系统执行恶意操作。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
利用子域的System权限通往父域
前言 最近翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限,本文将对此技术进行尝试复现研究。 利用分析 环境信息: 子域:187、sub.cs.org 父域:197、cs.org 首先通过在子域的域控机器上打开mmc.exe->连接ADSI->配置来查看子域的配置命名上下文: 从配置中可以看到配置命名上下文的域名实际上是父域cs.org,因此判断子域中看到的信息可能是父域的副本: 继续查看配置对象的安全描述符中的ACL,发现子域没有权限去变更: 但是可以看到除了域用户、域管用户以外,还有一个特权ACL条目叫SYSTEM,该条目拥有完全控制权限: SYSTEM属于一个特殊用户,不属于域内用户,因此理论上只要能做到是SYSTEM权限就能控制对象条目而不用关注是不是域内管理员。因此尝试使用SYSTEM权限继续打开配置命名上下文: 可以看到当子域拥有了SYSTEM权限后就可以修改来自父域副本的配置对象: 利用方式 既然可以控制父域的配置命名上下文,那如何利用呢?网上提到有几种方式,一种是通过GPO、还有的是提到给父域添加一个自己可控的证书模板(ESC1),这里以GPO组策略为例。先在子域域控上创建一个GPO: New-GPO jumbo_gpo_test 设置计划任务: 通过SYSTEM权限把子域的GPO link到父域: PS C:\Windows\system32> Get-ADDomainController -Server cs.org | select HostNane, ServerObjectDN HostNane ServerObjectDN -------- -------------- {}       CN=10_4_45_197,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cs,DC=orgPS C:\Windows\system32> New-GPLink -Name "jumbo_gpo_test" -Target "CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cs,DC=org" -Server sub.cs.org GpoId       : 76606696-cd03-4349-b0f2-0a45bdf305d4 DisplayName : jumbo_gpo_test Enabled     : True Enforced   : False Target     : CN=Default-First-Site-Name,cn=Sites,CN=Configuration,DC=cs,DC=org Order       : 1 父域刷新组策略可以看到子域链接过来的GPO: 父域更新组策略成功执行计划任务notepad.exe: gpupdate /force 刷新组策略后通过gpresult /r命名也可以看到添加的GPO: 总结 本文介绍了除SidHistory以外还可以通过子域的System权限进行突破到父域的攻击手法。
网络安全日报 2024年08月23日
1、新型macOS恶意软件TodoSwift伪装成比特币PDF应用 https://www.kandji.io/blog/todoswift-disguises-malware-download-behind-bitcoin-pdf 研究人员发现了一种新型针对macOS用户的恶意软件,名为TodoSwift。该恶意软件由朝鲜黑客组织BlueNoroff开发,伪装成一个用于下载和显示比特币相关PDF的应用程序。TodoSwift采用Swift/SwiftUI开发,表面上看似无害,但实际上在后台下载并执行恶意程序。研究表明,TodoSwift通过展示名为“Bitcoin Price Prediction Using Machine Learning”的PDF文件 2、美芯片制造商Microchip遭网络攻击致生产能力受损 https://www.sec.gov/Archives/edgar/data/827054/000082705424000153/mchp-20240820.htm 美国半导体制造公司Microchip Technology近日披露,8月17日检测到其信息技术系统中可能存在的可疑活动,经过调查确认存在未经授权的访问行为。为应对此次事件,公司隔离了相关系统并关闭了一些业务操作,同时聘请外部网络安全顾问进行深入分析。此攻击已导致Microchip部分制造设施的生产能力低于正常水平,影响了订单的履行。鉴于该公司在汽车、国防和航空航天领域的重要性,此次事件尤其令人担忧。目前尚未明确此次攻击的具体原 3、黑客利用PHP漏洞在Windows系统植入Msupedge后门 https://symantec-enterprise-blogs.security.com/threat-intelligence/taiwan-malware-dns 黑客利用近期修补的PHP远程代码执行漏洞(CVE-2024-4577),在中国台湾一所大学的Windows系统中部署了新发现的后门程序Msupedge。该漏洞影响以CGI模式运行PHP的Windows系统,允许未经认证的攻击者执行任意代码,导致系统全面失陷。Msupedge通过两个动态链接库(weblog.dll和wmiclnt.dll)实现,其中前者由Apache进程加载。该后门最显著的特点是利用DNS流量与指挥控制(C 4、两年过去了,Log4Shell漏洞仍被利用来部署恶意软件 https://www.securityweek.com/two-years-on-log4shell-vulnerability-still-being-exploited-to-deploy-malware/ 关键的 Log4j 零日漏洞在全球引发混乱已有两年多时间,但各组织仍然受到推送加密货币挖矿和恶意后门脚本的攻击。网络犯罪分子仍在寻找“Log4Shell”漏洞的目标,以逃避检测并在未修补的公司系统上植入恶意软件脚本。 5、Atlassian 修补Confluence、Jira等多个产品中的漏洞 https://www.securityweek.com/atlassian-patches-vulnerabilities-in-bamboo-confluence-crowd-jira/ Atlassian 已发布针对 Bamboo、Confluence、Crowd 和 Jira 产品中九个高严重漏洞的补丁。 6、500 万个WordPress网站上的缓存插件存在漏洞,已被利用 https://www.securityweek.com/exploitation-expected-for-flaw-in-caching-plugin-installed-on-5m-wordpress-sites/ 由于 Litespeed Cache 插件中发现一个严重的安全漏洞,数百万个 WordPress 网站可能容易受到攻击。Litespeed Cache 是一款免费的缓存插件,旨在提高 WordPress 网站的性能。该插件目前有超过 500 万个活跃安装。研究员 John Blackbourn 发现该插件受到严重的权限提升漏洞的影响,未经身份验证的攻击者可以利用该漏洞获取目 7、Google 修复了2024年第六个被利用的Chrome零日漏洞 https://www.securityweek.com/google-patches-sixth-exploited-chrome-zero-day-of-2024/ Chrome 128 在稳定频道发布,修补了 38 个漏洞,包括一个在野利用的 V8 JavaScript 引擎漏洞。该安全缺陷被追踪为 CVE-2024-7971,由微软发现并报告,被利用的安全缺陷被描述为 V8 JavaScript 引擎中的类型混淆。这家互联网巨头在其公告中指出:“谷歌意识到 CVE-2024-7971 漏洞已在野存在”,但并未分享有关观察到的漏洞利用的信息。 8、印度国家支付系统部分中断:因供应商高危漏洞迟迟不修后被黑 https://www.secrss.com/articles/69344 Jenkins官方在今年1月修复CVE-2024-23897漏洞时POC已公开,距今已有半年多时间,但是C-Edge Technologies并没有及时修复,以至于遭到攻击者利用。 9、美国情报部门指责伊朗黑客对特朗普竞选活动进行攻击 https://www.darkreading.com/cyberattacks-data-breaches/us-intelligence-blames-ira-for-hack-on-trump-campaign 美国联邦调查局(FBI)证实,伊朗对前总统唐纳德·特朗普的顾问发起了网络攻击,这是对2024年美国总统竞选的一系列攻击之一,伊朗政府企图干扰即将举行的美国选举。 10、 亲俄组织“Vermin ”利用新的恶意软件攻击乌克兰 https://securityaffairs.com/167327/apt/cer-ua-vermin-phishing-campaign.html Vermin 组织试图在此次活动中部署两种恶意代码,一种是之前已知的 Spectr 间谍软件,另一种是名为 Firmachagent 的新恶意软件系列。2024 年 6 月,乌克兰 CERT-UA 警告称,在另一场名为 SickSync 的网络间谍活动中,有人利用 SPECTR 恶意软件对国防部队发动了网络攻击。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月22日
1、Blind Eagle组织利用鱼叉式钓鱼在拉丁美洲部署木马 https://securelist.com/blindeagle-apt/113414/ 研究人员披露了一个名为“盲眼鹰”(Blind Eagle)的威胁组织,该组织长期以来在哥伦比亚、厄瓜多尔、智利、巴拿马等拉丁美洲国家进行针对性的网络攻击。盲眼鹰也被称为APT-C-36,自2018年起活跃,其攻击对象包括政府机构、金融公司以及能源和石油天然气公司。攻击的初期阶段,该组织通过压缩的ZIP文件中的Visual Basic脚本来下载下一阶段的恶意载荷,这些载荷往往经过隐写处理,隐藏在图像托管站点、Pastebin或类似服务中。最终,利用内存注入技术执行木马程序,绕过传统的防御机制。他们的活动 2、捷克用户遭遇新型银行凭证盗窃骗局 https://www.welivesecurity.com/en/eset-research/be-careful-what-you-pwish-for-phishing-in-pwa-applications/ 捷克共和国的移动用户正遭遇一种新型的钓鱼攻击,该攻击利用渐进式Web应用程序(PWA)窃取银行账户凭证。据研究人员的报告,这一攻击针对了捷克的Československá obchodní banka(CSOB)、匈牙利的OTP银行和格鲁吉亚的TBC银行。研究人员表示,攻击者通过钓鱼网站诱使iOS用户将PWA添加到主屏幕,而Android用户则需通过浏览器中的自定义弹窗确认安装这 3、数千个Oracle NetSuite站点面临泄露客户信息风险 https://appomni.com/blog/oracle-netsuite-data-exposure-analysis/ 研究人员警告发现数千个面向外部的Oracle NetSuite电子商务站点存在泄露敏感客户信息的风险。研究表明,NetSuite的SuiteCommerce平台存在潜在问题,这一问题源于对自定义记录类型(CRTs)的访问控制配置错误。虽然这并非NetSuite产品的安全漏洞,但客户配置不当会导致机密数据的泄露,包括注册用户的完整地址和手机号码。攻击者可以利用这种配置错误,通过使用NetSuite的记录和搜索API访问数据。为成功进行攻击,攻击者需知道正在使用的CR 4、丰田确认第三方数据泄露影响客户信息 https://www.bleepingcomputer.com/news/security/toyota-confirms-third-party-data-breach-impacting-customers/ 丰田公司确认其客户数据在一起第三方数据泄露事件中被暴露。黑客组织ZeroSevenGroup在一个黑客论坛上泄露了240GB的被盗数据。丰田回应称,虽然公司意识到此事件,但此次泄露并非系统全面性问题,受影响范围有限。丰田表示已与受影响方进行接触,并将提供必要的援助,但尚未公布具体发现时间、攻击途径及受影响人数。丰田北美公司发言人补充道,丰田北美系统并未遭到入侵,泄露数据来源于一个 5、严重身份验证缺陷影响GitHub Enterprise Server https://www.securityweek.com/critical-authentication-flaw-haunts-github-enterprise-server/ GitHub 发布了针对 GitHub Enterprise Server 产品中三个安全缺陷的紧急修复程序,并警告称黑客可以利用其中一个缺陷获取网站管理员权限。 6、新型钓鱼攻击可绕过iOS和安卓安全保护窃取银行凭证 https://www.securityweek.com/new-phishing-technique-bypasses-security-on-ios-and-android-to-steal-bank-credentials/ 反恶意软件供应商 ESET 警告称,一种新的网络钓鱼策略针对 iOS 和 Android 用户,其网络应用程序模仿合法银行软件来绕过安全保护并窃取登录凭据。 7、Google Play 漏洞赏金计划即将关闭 https://www.securityweek.com/google-play-bug-bounty-program-shutting-down/ 谷歌最近开始通知参与该计划的漏洞赏金猎人,它正在逐步终止 GPSRP,并指出其决定是在看到可操作的漏洞报告减少之后做出的,“这是由于 Android 操作系统安全态势和功能强化力度的全面提升”。 8、Ubuntu 修复多个 OpenJDK 8 漏洞 https://tuxcare.com/blog/ubuntu-addresses-multiple-openjdk-8-vulnerabilities 最近,OpenJDK 8 中发现了几个漏洞,这些漏洞可能会导致拒绝服务、信息泄露、任意代码执行,甚至绕过 Java 沙盒限制。作为回应,Canonical 发布了针对多个 OpenJDK 版本的安全修复程序,包括受影响的 Ubuntu 版本上的OpenJDK 21、OpenJDK 17、OpenJDK 11和OpenJDK 8 9、FFmpeg 中发现严重堆溢出漏洞 https://securityonline.info/cve-2024-7272-critical-heap-overflow-vulnerability-discovered-in-ffmpeg-poc-published/ CVE-2024-7272 是流行多媒体框架 FFmpeg 中发现的一个严重堆溢出漏洞。该漏洞影响最高 5.1.5 版本,CVSS 评分为 8.8。 10、微软修复Copilot Studio 关键漏洞,可导致敏感数据泄露 https://thehackernews.com/2024/08/microsoft-patches-critical-copilot.html 网络安全研究人员披露了影响 Microsoft Copilot Studio 的一个严重安全漏洞,该漏洞可能被利用来访问敏感信息。该漏洞的编号为 CVE-2024-38206(CVSS 评分:8.5),被描述为源自服务器端请求伪造(SSRF)攻击的信息泄露漏洞。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月21日
1、Xeon Sender工具滥用云API发起大规模短信钓鱼攻击 https://www.sentinelone.com/labs/xeon-sender-sms-spam-shipping-multi-tool-targeting-saas-credentials/ 研究人员在报告上指出,恶意行为者正在利用名为Xeon Sender的云攻击工具,进行大规模的短信钓鱼和垃圾邮件活动。该工具通过合法的SaaS服务提供商发送消息,滥用诸如Amazon SNS、Nexmo、Plivo等服务。值得注意的是,这种攻击并未利用这些服务提供商的固有漏洞,而是通过合法的API进行批量短信发送。 2、新型UULoader恶意软件在东亚传播Gh0st RAT https://cyberint.com/blog/research/meet-uuloader-an-emerging-and-evasive-malicious-installer/ 研究人员发现一种名为UULoader的新型恶意软件,该软件用于分发Gh0st RAT和Mimikatz等恶意工具。UULoader以合法应用程序的恶意安装程序形式传播,主要针对韩国和中文用户。分析显示,这种恶意软件可能由中文使用者开发,因为其程序数据库(PDB)文件中含有中文字符串。UULoader的核心文件被打包在一个Microsoft Cabinet存档(.cab)文件中,其中包含两个主要的可执行文件( 3、多个macOS版Microsoft 应用程序易受库注入攻击 https://www.darkreading.com/remote-workforce/multiple-microsoft-apps-for-macos-vuln-to-malicious-library-injection-attacks 微软已将此问题归类为低严重性,并且尚未发布任何修复程序,Teams 和 OneNote 应用程序除外。Excel、Outlook、PowerPoint 和 Word 应用程序仍然容易受到攻击。 4、严重Jenkins 漏洞可能被利用于勒索软件攻击 https://thehackernews.com/2024/08/cisa-warns-of-critical-jenkins.html 继勒索软件攻击利用该漏洞之后,美国网络安全和基础设施安全局 (CISA) 将影响 Jenkins 的严重安全漏洞添加到其已知利用漏洞 ( KEV ) 目录中。该漏洞的编号为CVE-2024-23897(CVSS 评分:9.8),是一个路径遍历缺陷,可能导致代码执行。 5、数千个 Oracle NetSuite 站点面临泄露客户信息的风险 https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-at.html 网络安全研究人员警告称,发现数千个面向外部的 Oracle NetSuite 电子商务网站容易泄露敏感客户信息。AppOmni 的 Aaron Costello表示:“NetSuite 的 SuiteCommerce 平台存在一个潜在问题,由于自定义记录类型 (CRT) 的访问控制配置错误,攻击者可能能够访问敏感数据。” 6、研究人员发现针对 Azure K8S集群的TLS Bootstrap攻击 https://thehackernews.com/2024/08/researchers-uncover-tls-bootstrap.html 网络安全研究人员披露了一个影响 Microsoft Azure Kubernetes 服务的安全漏洞,如果成功利用该漏洞,攻击者可以提升其权限并访问集群使用的服务的凭据。谷歌旗下的 Mandiant 表示:“在受影响的 Azure Kubernetes 服务集群内运行的 Pod 中执行命令的攻击者可以下载用于配置集群节点的配置,提取传输层安全性 (TLS) 引导令牌,并执行 TLS 引导攻击来读取集群内的所有机密。 ” 7、黑客利用 PHP 漏洞部署隐秘的 Msupedge 后门 https://thehackernews.com/2024/08/hackers-exploit-php-vulnerability-to.html 据称,可能有助于部署 Msupedge 的初始访问载体涉及利用最近披露的影响 PHP 的严重漏洞(CVE-2024-4577,CVSS 评分:9.8),该漏洞可用于实现远程代码执行。 8、数百万张 RFID 卡存在重大漏洞,可实现即时克隆 https://www.securityweek.com/major-backdoor-in-millions-of-rfid-cards-allows-instant-cloning/ 法国安全服务公司 Quarkslab 发现中国领先的芯片制造商上海复旦微电子集团生产的数百万张非接触式卡中存在重要漏洞。可让用于开启世界各地办公室门和酒店房间的 RFID 智能卡被瞬间克隆。 9、GiveWP WordPress 插件严重漏洞影响数十万个网站 https://www.securityweek.com/critical-flaw-in-donation-plugin-exposed-100000-wordpress-sites-to-takeover/ GiveWP WordPress 插件中存在一个严重漏洞,可被利用来执行远程代码和任意文件删除。 10、F5 修补 BIG-IP、NGINX Plus 中的高严重性漏洞 https://www.securityweek.com/f5-patches-high-severity-vulnerabilities-in-big-ip-nginx-plus/ F5 最新的季度安全通知包含九条警告,其中四条针对 BIG-IP 和 NGINX Plus 中的高严重漏洞。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页