v2ray节点推荐
tz.v2ray.club

10元/100G一月
19元110GB用完为止
39元240G流量用完为止

比较实惠，推荐39元套餐。
里面也有免费套餐，但是比较慢

提供安卓和windows小白端

Binarly 的新发现显示，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。

虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补，但由于缺乏 CVE 标识符或建议，这意味着它被 AMI MegaRAC BMC 的开发人员忽视，最终出现在产品中由英特尔和联想提供。

Lighttpd（发音为“Lighty”）是一款开源高性能 Web 服务器软件，专为速度、安全性和灵活性而设计，同时针对高性能环境进行了优化，且不会消耗大量系统资源。

Lighttpd 的静默修复涉及越界读取漏洞，该漏洞可用于泄露敏感数据，例如进程内存地址，从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。

该固件安全公司表示：“缺乏有关安全修复的及时和重要信息，阻碍了固件和软件供应链上这些修复的正确处理。”

缺陷描述如下——

Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取
Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取
1.4.51 之前的 Lighttpd 中的越界读取
英特尔和联想选择不解决该问题，因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态，不再有资格进行安全更新，从而实际上将其变成了永远的错误。

该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。

Binarly 补充道：“这是某些产品中永远无法修复的另一个漏洞，并将在很长一段时间内给行业带来高影响风险。”

Rust 标准库中的一个关键安全漏洞可能会被利用来针对 Windows 用户并发起命令注入攻击。

该漏洞的编号为CVE-2024-24576，CVSS 评分为 10.0，表明严重程度最高。也就是说，它仅影响在 Windows 上使用不受信任的参数调用批处理文件的场景。

Rust 安全响应工作组在 2024 年 4 月 9 日发布的公告中表示： “在 Windows 上使用 Command API 调用批处理文件（带有 bat 和 cmd 扩展名）时，Rust 标准库没有正确转义参数。”

“能够控制传递给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。”

该缺陷影响 1.77.2 之前的所有 Rust 版本。安全研究员RyotaK被认为发现了该错误并向 CERT 协调中心 ( CERT/CC ) 报告。

RyotaK 表示，该漏洞（代号为 BatBadBut）会影响多种编程语言，并且当“编程语言包装 [Windows 中] 的 CreateProcess 函数并添加命令参数的转义机制”时，就会出现该漏洞。

但鉴于并非所有编程语言都解决了该问题，建议开发人员在 Windows 上执行命令时要小心谨慎。

RyotaK在给用户的建议中表示： “为了防止批处理文件意外执行，您应该考虑将批处理文件移动到不包含在 PATH 环境变量中的目录中。”

“在这种情况下，除非指定完整路径，否则批处理文件不会被执行，因此可以防止批处理文件的意外执行。”

最新节点购买地址：https://tz.v2ray.club/
MubaiCloud跑路了，推荐上面的最新节点购买。

非常离谱还告诉你们

红帽公司周五发布了“紧急安全警报”，警告称流行的数据压缩库XZ Utils（以前称为 LZMA Utils）的两个版本已被恶意代码植入后门，旨在允许未经授权的远程访问。

软件供应链妥协的编号为CVE-2024-3094，CVSS 评分为 10.0，表明严重程度最高。它影响 XZ Utils 版本 5.6.0（2 月 24 日发布）和 5.6.1（3 月 9 日发布）。

IBM 子公司在一份公告中表示： “通过一系列复杂的混淆，liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，然后用于修改 liblzma 代码中的特定功能。”

“这会产生一个修改后的 liblzma 库，任何与该库链接的软件都可以使用该库，拦截并修改与该库的数据交互。”

具体来说，代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH（安全 Shell）的 sshd 守护进程，并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问：正确的情况。”

“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD)，并允许特定的远程攻击者（拥有特定的私钥）发送任意代码JFrog说：“通过 SSH 发送有效负载，该负载将在身份验证步骤之前执行，从而有效地劫持整个受害计算机。 ”

微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说，经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。

“鉴于活动持续了数周，提交者要么直接参与其中，要么他们的系统受到了一些相当严重的损害，”弗罗因德说。 “不幸的是，考虑到他们在各种列表上就‘修复’进行了沟通，后者看起来不太可能是解释。”

微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库，“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。

有证据表明，这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中，并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版，和乌班图。

出于谨慎考虑，建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下：

Arch Linux（安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711，以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日（含）期间创建的容器映像）
Kali Linux（3 月 26 日至 29 日期间）
openSUSE Tumbleweed 和 openSUSE MicroOS（3 月 7 日至 28 日期间）
Debian 测试、不稳定和实验版本（从 5.5.1alpha-0.1 到 5.6.1-1）

有关影响 util-linux 软件包的“wall”命令的漏洞的详细信息已经出现，不良行为者可能会利用该漏洞泄露用户密码或更改某些 Linux 发行版上的剪贴板。

该漏洞编号为 CVE-2024-28085，安全研究员 Skyler Ferrante将其代号为WallEscape 。它被描述为转义序列不正确中和的情况。

“util-linux wall 命令不会从命令行参数中过滤转义序列，”费兰特说。 “如果 mesg 设置为“y”并且 wall 设置为 setgid，则允许非特权用户在其他用户的终端上放置任意文本。”

该漏洞是作为 2013 年 8 月提交的一部分引入的。

“wall”命令用于向当前登录服务器的所有用户的终端写入消息，实质上允许具有提升权限的用户向所有本地用户广播关键信息（例如，系统关闭）。

Linux 命令的手册页上写道：“wall 在所有当前登录用户的终端上显示消息、文件内容或标准输入。” “只有超级用户才能在选择拒绝消息或正在使用自动拒绝消息的程序的用户的终端上进行写入。”

CVE-2024-28085 本质上是利用通过命令行参数提供的未正确过滤的转义序列来诱骗用户在其他用户的终端上创建虚假的sudo（又名超级用户 do）提示符并诱骗他们输入密码。

然而，要实现此功能，mesg 实用程序（控制显示其他用户消息的能力）必须设置为“y”（即启用），并且 wall 命令必须具有 setgid 权限。

CVE-2024-28085 会影响 Ubuntu 22.04 和 Debian Bookworm，因为满足这两个条件。另一方面，CentOS 不易受到攻击，因为 wall 命令没有 setgid。

“在 Ubuntu 22.04 上，我们有足够的控制权来默认泄露用户的密码，”费兰特说。 “对用户攻击的唯一迹象是，当用户正确输入密码时，会出现错误的密码提示，并且密码位于命令历史记录中。”

同样，在允许发送墙消息的系统上，攻击者可能会通过 Windows 终端等选定终端上的转义序列来更改用户的剪贴板。它不适用于 GNOME 终端。

建议用户更新到 util-linux 版本 2.40 以缓解该缺陷。

Microsoft Edge Web 浏览器中现已修补的安全漏洞可能会被滥用，在用户系统上安装任意扩展并执行恶意操作。

Guardio Labs 安全研究员 Oleg Zaytsev在与 The Hacker 分享的一份新报告中表示：“这个缺陷可能允许攻击者利用最初用于营销目的的私有 API，在用户不知情的情况下秘密安装具有广泛权限的其他浏览器扩展。”消息。

该问题被追踪为CVE-2024-21388（CVSS 评分：6.5），并在 2023 年 11 月负责任地披露后，由 Microsoft 在 2024 年 1 月 25 日发布的 Edge 稳定版本 121.0.2277.83 中解决。Windows 制造商将 Zaytsev 和 Jun Kokatsu 归功于报告问题。

微软在针对该缺陷的公告中表示，“成功利用此漏洞的攻击者可以获得安装扩展程序所需的权限”，并补充说它“可能导致浏览器沙箱逃逸”。

这家科技巨头将其描述为一个权限升级缺陷，还强调，成功利用该漏洞需要攻击者“在利用该漏洞之前采取额外的行动来准备目标环境”。

根据 Guardio 的调查结果，CVE-2024-21388 允许能够在 bing.com 或 microsoft.com 页面上运行 JavaScript 的不良行为者从 Edge Add-ons 商店安装任何扩展，无需用户同意或交互。

这是因为浏览器具有对某些私有 API 的特权访问权限，使得安装来自供应商自己的扩展市场的附加组件成为可能。

基于 Chromium 的 Edge 浏览器中的一个这样的 API 是 edgeMarketingPagePrivate，它可以从属于 Microsoft 的一组列入白名单的网站访问，包括 bing.com、microsoft.com、microsoftedgewelcome.microsoft.com 和 microsoftedgetips.microsoft.com 等。

该 API 还包含一个名为 installTheme() 的方法，顾名思义，该方法旨在通过传递唯一主题标识符（“themeId”）及其文件作为 input来从 Edge Add-ons 存储安装主题。

Guardio 发现的错误本质上是验证不足的情况，从而使攻击者能够从店面提供任何扩展标识符（而不是 themeId）并秘密安装它。

“作为额外的好处，由于此扩展安装并未完全按照最初设计的方式完成，因此不需要用户的任何交互或同意，”扎伊采夫解释道。

在利用 CVE-2024-21388 的假设攻击场景中，威胁参与者可以向附加组件存储发布看似无害的扩展，并使用它向 bing.com 或任何网站注入一段恶意 JavaScript 代码允许访问 API – 并通过使用扩展标识符调用 API 来安装他们选择的任意扩展。

换句话说，在 Edge 浏览器上执行特制扩展程序并访问 bing.com 将在未经受害者许可的情况下自动安装目标扩展程序。

Guardio 说，虽然没有证据表明该漏洞在野外被利用，但它强调了平衡用户便利性和安全性的必要性，以及浏览器自定义如何无意中破坏安全机制并引入几种新的攻击媒介。

扎伊采夫说：“攻击者相对容易诱骗用户安装看似无害的扩展程序，而没有意识到这是更复杂攻击的第一步。” “该漏洞可被利用来促进安装额外的扩展，从而可能获得金钱收益。”

网络安全研究人员分享了 Amazon Web Services (AWS) Managed Workflows for Apache Airflow ( MWAA )中现已修补的安全漏洞的详细信息，恶意行为者可能会利用该漏洞来劫持受害者的​​会话并在底层实例上实现远程代码执行。
aws官方说明：https://docs.aws.amazon.com/mwaa/latest/userguide/what-is-mwaa.html
该漏洞现已由 AWS 解决，Tenable 的代号为FlowFixation。

高级安全研究员 Liv Matan在技术分析中表示：“在接管受害者的帐户后，攻击者可能执行读取连接字符串、添加配置和触发有向无环图 (DAGS) 等任务。”

“在某些情况下，此类行为可能会导致 MWAA 基础实例出现 RCE，并横向移动到其他服务。”

根据网络安全公司的说法，该漏洞的根本原因是 AWS MWAA Web 管理面板上的会话固定和 AWS 域配置错误相结合，导致跨站点脚本 ( XSS ) 攻击。

会话固定是一种网络攻击技术，当用户通过服务身份验证而不使任何现有会话标识符无效时，就会发生这种技术。这允许攻击者强制（也称为固定）用户已知的会话标识符，以便一旦用户进行身份验证，攻击者就可以访问经过身份验证的会话。

通过利用这一缺陷，威胁行为者可能会迫使受害者使用和验证攻击者的已知会话，并最终接管受害者的 Web 管理面板。

Matan 表示：“FlowFixation 凸显了云提供商域架构和管理现状的一个更广泛的问题，因为它与公共后缀列表 ( PSL ) 和共享父域有关：同站点攻击”，并补充说错误配置也会影响微软Azure 和谷歌云。

Tenable 还指出，共享架构（多个客户拥有相同的父域）可能成为攻击者利用同站点攻击、跨源问题和cookie 等漏洞的金矿，从而有效地导致未经授权的访问、数据和数据泄露。泄漏和代码执行。

AWS 和 Azure 将配置错误的域添加到 PSL 中，从而导致 Web 浏览器将添加的域识别为公共后缀，从而解决了该缺陷。另一方面，谷歌云将这个问题描述为“不够严重”，不值得修复。

“在同站点攻击的情况下，上述域架构的安全影响是显着的，云环境中此类攻击的风险更高，”Matan 解释道。

“其中，cookie-tossing 攻击和同站点属性 cookie 保护绕过尤其令人担忧，因为两者都可以绕过 CSRF 保护。cookie-tossing 攻击还可以滥用会话固定问题。”

网络安全研究人员揭示了一种名为AndroxGh0st的工具，该工具用于针对 Laravel 应用程序并窃取敏感数据。

Juniper 威胁实验室研究员 Kashinath T Pattan表示：“它的工作原理是扫描 .env 文件并从中提取重要信息，从而显示与 AWS 和 Twilio 相关的登录详细信息。”

“它被归类为 SMTP 破解者，它使用各种策略来利用 SMTP，例如凭证利用、Web shell 部署和漏洞扫描。”

至少自 2022 年起，AndroxGh0st 就已在野外被检测到，威胁者利用它来访问 Laravel 环境文件并窃取各种基于云的应用程序（例如 Amazon Web Services (AWS)、SendGrid 和 Twilio）的凭证。

已知涉及 Python 恶意软件的攻击链会利用 Apache HTTP Server、Laravel Framework 和 PHPUnit 中的已知安全漏洞来获取初始访问权限以及权限升级和持久性。

今年 1 月初，美国网络安全和情报机构警告攻击者部署 AndroxGh0st 恶意软件来创建僵尸网络，以“在目标网络中识别和利用受害者”。

Pattan 解释说：“Androxgh0st 首先通过 Apache 的一个漏洞进入，该漏洞被识别为 CVE-2021-41773，使其能够访问易受攻击的系统。”

“此后，它利用其他漏洞，特别是 CVE-2017-9841 和 CVE-2018-15133，来执行代码并建立持久控制，从本质上接管目标系统。”

Androxgh0st 旨在从各种来源窃取敏感数据，包括 .env 文件、数据库和云凭据。这允许威胁行为者向受感染的系统提供额外的有效负载。

Juniper Threat Labs 表示，它观察到与利用 CVE-2017-9841 相关的活动有所增加，因此用户必须迅速将其实例更新到最新版本。

它补充说，大多数针对其蜜罐基础设施的攻击尝试来自美国、英国、中国、荷兰、德国、保加利亚、科威特、俄罗斯、爱沙尼亚和印度。

这一进展发生之际，AhnLab 安全情报中心 (ASEC)透露，位于韩国的易受攻击的 WebLogic 服务器正成为攻击者的目标，并将其用作下载服务器来分发名为z0Miner的加密货币挖矿程序和快速反向代理 (FRP) 等其他工具。

它还发现了一个恶意活动，该活动渗透到 AWS 实例，在几分钟内创建了 6,000 多个 EC2 实例，并部署了与称为Meson Network的去中心化内容交付网络 (CDN) 相关的二进制文件。

这家总部位于新加坡的公司旨在创建“世界上最大的带宽市场”，其工作方式是允许用户将闲置带宽和存储资源与 Meson 交换代币（即奖励）。

Sysdig在本月发布的一份技术报告中表示：“这意味着矿工将获得 Meson 代币作为向 Meson Network 平台提供服务器的奖励，奖励将根据带入网络的带宽和存储量来计算。”

“这不再是挖掘加密货币的全部了。像 Meson 网络这样的服务希望利用硬盘空间和网络带宽而不是 CPU。虽然 Meson 可能是合法的服务，但这表明攻击者总是在寻找新的方法来制造加密货币。”钱。”

随着云环境日益成为威胁行为者有利可图的目标，保持软件最新并监控可疑活动至关重要。

威胁情报公司 Permiso 还发布了一款名为CloudGrappler的工具，该工具构建在cloudgrep的基础上，可以扫描 AWS 和 Azure，以标记与知名威胁参与者相关的恶意事件。

一个新的恶意软件活动正在利用 WordPress 的 Popup Builder 插件中的高严重性安全漏洞来注入恶意 JavaScript 代码。

据 Sucuri 称，该活动在过去三周内已感染了 3,900 多个网站。

安全研究员 Puja Srivastava在 3 月 7 日的一份报告中表示：“这些攻击是由不到一个月的域名精心策划的，注册日期可以追溯到 2024 年 2 月 12 日。”

感染序列涉及利用 CVE-2023-6000，这是 Popup Builder 中的一个安全漏洞，可被利用来创建恶意管理员用户并安装任意插件。

今年 1 月初，Balada Injector 攻击活动利用了这一缺陷，导致至少 7,000 个站点受到攻击。

最新的一组攻击会导致注入恶意代码，该恶意代码有两种不同的变体，旨在将网站访问者重定向到其他网站，例如网络钓鱼和诈骗页面。

建议 WordPress 网站所有者保持其插件最新，并扫描其网站是否有任何可疑代码或用户，并执行适当的清理。

斯里瓦斯塔瓦说：“这种新的恶意软件活动清楚地提醒人们，如果不及时更新网站软件，将面临风险。”

这一进展发生之际，WordPress 安全公司 Wordfence披露了另一个名为 Ultimate Member 的插件中的一个高度严重的错误，该插件可以被用来注入恶意 Web 脚本。

跨站脚本 (XSS) 缺陷被追踪为 CVE-2024-2123（CVSS 评分：7.2），影响该插件的所有版本，包括 2.8.3 及之前的版本。已在 2024 年 3 月 6 日发布的 2.8.4 版本中进行了修补。

该缺陷源于输入清理和输出转义不足，从而允许未经身份验证的攻击者在页面中注入任意 Web 脚本，这些脚本将在用户每次访问时执行。

“再加上该漏洞可以被在易受攻击的网站上没有权限的攻击者利用，这意味着未经身份验证的攻击者在成功利用该漏洞后，很有可能获得运行易受攻击版本的插件的网站的管理用户访问权限， ”Wordfence 说道。

值得注意的是，插件维护者在 2 月 19 日发布的 2.8.3 版本中解决了类似的缺陷（CVE-2024-1071，CVSS 评分：9.8）。

它还发现了 Avada WordPress 主题中的任意文件上传漏洞（CVE-2024-1468，CVSS 评分：8.8），并可能远程执行恶意代码。7.11.5版本已解决。

Wordfence表示：“这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在受影响站点的服务器上上传任意文件，从而使远程代码执行成为可能。”