Traccar GPS 系统存在严重缺陷,用户面临远程攻击 网络相关
开源Traccar GPS 跟踪系统被披露两个安全漏洞,未经身份验证的攻击者可能会利用这些漏洞在某些情况下实现远程代码执行。
Horizon3.ai 研究员 Naveen Sunkavally 表示,这两个漏洞都是路径遍历缺陷,如果启用访客注册(这是 Traccar 5 的默认配置),则可能被利用。
缺点简要描述如下:
CVE-2024-24809(CVSS 评分:8.5)- 路径遍历:“dir/../../filename”以及无限制上传危险类型的文件
CVE-2024-31214(CVSS 评分:9.7)——设备图像上传中不受限制的文件上传漏洞可能导致远程代码执行
Sunkavally表示:“CVE-2024-31214 和 CVE-2024-24809 的最终结果是,攻击者可以将包含任意内容的文件放置在文件系统的任何位置。但是,攻击者只能部分控制文件名。”
问题与程序处理设备图像文件上传的方式有关,这实际上允许攻击者覆盖文件系统上的某些文件并触发代码执行。这包括符合以下命名格式的文件 -
device.ext,攻击者可以控制 ext,但必须有一个扩展
blah”,攻击者可以控制 blah,但文件名必须以双引号结尾
blah1";blah2=blah3,其中攻击者可以控制blah1、blah2和blah3,但必须存在双引号分号序列和等号
在 Horizon3.ai 设计的假设概念验证 (PoC) 中,攻击者可以利用 Content-Type 标头中的路径遍历来上传 crontab 文件并在攻击者主机上获取反向 shell。
然而,这种攻击方法在基于 Debian/Ubuntu 的 Linux 系统上不起作用,因为文件命名限制禁止 crontab 文件包含句点或双引号。
另一种机制是利用以根级用户身份安装的 Traccar 来删除内核模块或配置 udev 规则以在每次发生硬件事件时运行任意命令。
在易受攻击的 Windows 实例上,还可以通过在 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp 文件夹中放置名为“device.lnk”的快捷方式 (LNK) 文件来实现远程代码执行,该文件随后在任何受害用户登录 Traccar 主机时执行。
Traccar 版本 5.1 至 5.12 易受 CVE-2024-31214 和 CVE-2024-2809 攻击。这些问题已在 2024 年 4 月发布的 Traccar 6 中得到解决,默认情况下会关闭自我注册,从而减少攻击面。
Sunkavally 表示:“如果注册设置为真、readOnly 为假、deviceReadonly 为假,则未经身份验证的攻击者可以利用这些漏洞。这些是 Traccar 5 的默认设置。”
SolarWinds Web 帮助台中发现硬编码凭证漏洞 网络相关
SolarWinds 已发布补丁来解决其 Web Help Desk (WHD) 软件中的一个新安全漏洞,该漏洞可能允许远程未经身份验证的用户未经授权访问易受攻击的实例。
该公司在今天发布的新公告中表示: “SolarWinds Web Help Desk (WHD) 软件受到硬编码凭证漏洞的影响,允许未经身份验证的远程用户访问内部功能并修改数据。”
该漏洞编号为CVE-2024-28987,在 CVSS 评分系统中评级为 9.1,表示严重程度极高。Horizon3.ai 安全研究员 Zach Hanley 因发现并报告该漏洞而受到赞誉。
建议用户更新到版本12.8.3 Hotfix 2,但应用该修复需要 Web Help Desk 12.8.3.1813 或 12.8.3 HF1。
一周前,SolarWinds 着手解决同一软件中的另一个可被用于执行任意代码的严重漏洞(CVE-2024-28986,CVSS 评分:9.8)。
根据美国网络安全和基础设施安全局 (CISA) 的说法,该漏洞此后已被广泛利用,尽管它在现实世界的攻击中如何被滥用目前仍不得而知。
有关 CVE-2024-28987 的更多详细信息预计将于下个月发布,因此及时安装更新以减轻潜在威胁至关重要。
Google 修复 Chrome 中被广泛利用的高危漏洞 网络相关
谷歌已经推出安全修复程序,以解决其 Chrome 浏览器的一个高严重性安全漏洞,该漏洞已被广泛利用。
该漏洞被编号为CVE-2024-7971,被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。
根据NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述,“128.0.6613.84 之前的 Google Chrome 版本中的 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面利用堆损坏”。
微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 于 2024 年 8 月 19 日发现并报告了该漏洞。
目前尚未发布关于利用此漏洞进行攻击的性质或可能将其武器化的威胁行为者的身份的更多详细信息,主要是为了确保大多数用户都得到修复。
然而,这家科技巨头在一份简短的声明中承认,它“意识到 CVE-2024-7971 漏洞正在被利用”。值得一提的是,CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后,该公司今年在 V8 中修复的第三个类型混淆漏洞。
自 2024 年初以来,谷歌已解决了 Chrome 中的 9 个零日漏洞,其中包括在 Pwn2Own 2024 上演示的三个漏洞 -
CVE-2024-0519 - V8 中的越界内存访问
CVE-2024-2886 - WebCodecs 中的释放后使用(在 Pwn2Own 2024 上演示)
CVE-2024-2887 - WebAssembly 中的类型混淆(在 Pwn2Own 2024 上演示)
CVE-2024-3159 - V8 中的越界内存访问(在 Pwn2Own 2024 上演示)
CVE-2024-4671 - 视觉效果中的释放后使用
CVE-2024-4761 - V8 中的越界写入
CVE-2024-4947 – V8 中的类型混淆
CVE-2024-5274 – V8 中的类型混淆
建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本,将 Linux 版升级到 128.0.6613.84 版本,以减轻潜在威胁。
还建议基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在修复程序可用时立即应用它们。
黑客利用 PHP 漏洞部署隐秘的 Msupedge 后门 网络相关
一种之前未记录的后门程序 Msupedge 已被用于对付针对台湾一所未具名大学的网络攻击。
博通旗下赛门铁克威胁猎人团队在与 The Hacker News 分享的一份报告中表示:“该后门最显著的特征是它通过 DNS 流量与命令和控制 (C&C) 服务器进行通信。”
目前,该后门的来源以及攻击背后的目的尚不清楚。
据称,可能有助于部署 Msupedge 的初始访问载体涉及利用最近披露的影响 PHP 的严重漏洞(CVE-2024-4577,CVSS 评分:9.8),该漏洞可用于实现远程代码执行。
有问题的后门是一个动态链接库 (DLL),安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL,wuplog.dll,由 Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程尚不清楚。
Msupedge 最显著的方面是它依赖 DNS 隧道与 C&C 服务器进行通信,其代码基于开源dnscat2工具。
赛门铁克指出:“它通过执行名称解析来接收命令。Msupedge 不仅通过 DNS 流量接收命令,还将解析后的 C&C 服务器 IP 地址 (ctl.msedeapi[.]net) 用作命令。”
具体来说,解析后的 IP 地址的第三个八位字节充当一个switch case,通过从中减去七并使用其十六进制表示法来触发适当的响应,从而确定后门的行为。例如,如果第三个八位字节是 145,则新得出的值将转换为 138 (0x8a)。
Msupedge 支持的命令如下 -
0x8a:使用通过 DNS TXT 记录收到的命令创建进程
0x75:使用通过 DNS TXT 记录收到的下载 URL 下载文件
0x24:休眠预定的时间间隔
0x66:休眠预定的时间间隔
0x38:创建一个临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”,其用途未知
0x3c:删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”
目前,UTG-Q-010 威胁组织已被指控与一项新的网络钓鱼活动有关,该活动利用加密货币和与工作相关的诱饵来传播一种名为Pupy RAT的开源恶意软件。
赛门铁克表示:“攻击链涉及使用带有嵌入式 DLL 加载器的恶意 .lnk 文件,最终导致 Pupy RAT 负载部署。Pupy是一种基于 Python 的远程访问木马 (RAT),具有反射 DLL 加载和内存执行等功能。”
研究人员发现针对 Azure Kubernetes 集群的 TLS Bootstrap 攻击 网络相关
网络安全研究人员披露了一个影响 Microsoft Azure Kubernetes 服务的安全漏洞,如果成功利用该漏洞,攻击者可以提升其权限并访问集群使用的服务的凭据。
谷歌旗下的 Mandiant 表示:“在受影响的 Azure Kubernetes 服务集群内运行的 Pod 中执行命令的攻击者可以下载用于配置集群节点的配置,提取传输层安全性 (TLS) 引导令牌,并执行 TLS 引导攻击来读取集群内的所有机密。 ”
已发现使用“Azure CNI”作为“网络配置”和“Azure”作为“网络策略”的集群受到权限提升错误的影响。微软在负责任的披露后已解决了该问题。
该威胁情报公司设计的攻击技术关键在于访问一个鲜为人知的组件 Azure WireServer,以请求用于加密受保护设置值的密钥(“wireserver.key”),并使用它来解码包含以下几个秘密的配置脚本 -
KUBELET_CLIENT_CONTENT(通用节点 TLS 密钥)
KUBELET_CLIENT_CERT_CONTENT(通用节点 TLS 证书)
KUBELET_CA_CRT(Kubernetes CA 证书)
TLS_BOOTSTRAP_TOKEN(TLS 引导身份验证令牌)
研究人员 Nick McClendon、Daniel McNamara 和 Jacob Paullus 表示:“KUBELET_CLIENT_CONTENT、KUBELET_CLIENT_CERT_CONTENT 和 KUBELET_CA_CRT 可以通过 Base64 解码并写入磁盘,以便与 Kubernetes 命令行工具 kubectl 一起使用来对集群进行身份验证。”
“此帐户在最近部署的 Azure Kubernetes 服务 (AKS) 群集中具有最小的 Kubernetes 权限,但它可以列出群集中的节点。”
另一方面,TLS_BOOTSTRAP_TOKEN 可用于启用TLS 引导攻击,并最终获取正在运行的工作负载所使用的所有机密的访问权限。此攻击不需要 pod 以 root 身份运行。
Mandiant 表示:“采用一种流程来创建限制性网络策略,仅允许访问所需服务,可以阻止整个攻击类别。当服务根本无法访问时,通过未记录的服务进行权限提升就会被阻止。”
在此次披露之际,Kubernetes 安全平台 ARMO 强调了一个新的高严重性 Kubernetes 漏洞(CVE-2024-7646,CVSS 评分:8.8),该漏洞影响 ingress-nginx 控制器,并可能允许恶意行为者未经授权访问敏感集群资源。
安全研究员 Amit Schendel表示:“该漏洞源于 ingress-nginx 验证 Ingress 对象注释方式的一个缺陷。”
“该漏洞允许攻击者将恶意内容注入某些注释,从而绕过预期的验证检查。这可能导致任意命令注入并可能访问 ingress-nginx 控制器的凭据,在默认配置下,该凭据可以访问集群中的所有机密。”
此前,还发现 Kubernetes git-sync 项目存在设计缺陷,该缺陷可能允许在 Amazon Elastic Kubernetes 服务 (EKS)、Azure Kubernetes 服务 (AKS)、Google Kubernetes Engine (GKE) 和 Linode 之间进行命令注入。
Akamai 研究员 Tomer Peled表示: “此设计缺陷可能导致 pod 中任何文件(包括服务帐户令牌)的数据泄露或以 git_sync 用户权限执行命令。要利用此缺陷,攻击者只需在集群上应用 YAML 文件,这是一个低权限操作。”
目前还没有针对该漏洞的补丁,因此各组织必须审核其 git-sync pod 以确定正在运行的命令。
Peled 表示:“这两种攻击方式都是由于缺乏输入清理而导致的,这凸显了对用户输入清理的强大防御需求。蓝队成员应密切关注其组织中 gitsync 用户的异常行为。”
攻击者利用公共 .env 文件入侵云和社交媒体账户 网络相关
一场大规模勒索活动利用包含与云和社交媒体应用程序相关的凭据的可公开访问的环境变量文件 (.env),危害了各个组织。
Palo Alto Networks Unit 42在周四的一份报告中指出: “这次攻击活动中存在多处安全失误,包括:暴露环境变量、使用长期凭证以及缺乏最小特权架构。”
此次活动最引人注目的是,它在受感染组织的 Amazon Web Services (AWS) 环境中设置了攻击基础设施,并利用它们作为启动板,扫描超过 2.3 亿个唯一目标以获取敏感数据。
据称,该恶意活动针对的是 110,000 个域名,并在 .env 文件中获取了超过 90,000 个唯一变量,其中 7,000 个属于组织的云服务,1,500 个变量与社交媒体帐户相关联。
Unit 42 表示:“此次攻击活动中,攻击者成功勒索了云存储容器中托管的数据。此次攻击活动中,攻击者并未在勒索前加密数据,而是窃取了数据,并将勒索信放在了受感染的云存储容器中。”
这些攻击最引人注目的地方是,它并不依赖于云提供商服务中的安全漏洞或错误配置,而是源于不安全的 Web 应用程序上 .env 文件意外暴露以获取初始访问权限。
成功入侵云环境为广泛的发现和侦察步骤铺平了道路,目的是扩大其立足点,威胁行为者利用 AWS 身份和访问管理 (IAM) 访问密钥来创建新角色并提升其权限。
然后,使用具有管理权限的新 IAM 角色来创建新的 AWS Lambda 函数,以启动包含数百万个域和 IP 地址的自动互联网范围扫描操作。
Unit 42 研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 表示:“该脚本从威胁行为者利用的可公开访问的第三方 S3 存储桶中检索了潜在目标列表。”
“恶意 lambda 函数迭代的潜在目标列表包含受害域的记录。对于列表中的每个域,代码都会执行 cURL 请求,以该域中公开的任何环境变量文件为目标(即 https://
如果目标域托管了暴露的环境文件,则文件中包含的明文凭证将被提取并存储在另一个威胁行为者控制的公共 AWS S3 存储桶内新创建的文件夹中。该存储桶现已被 AWS 删除。
经发现,攻击活动专门挑选出 .env 文件包含 Mailgun 凭据的实例,这表明攻击者试图利用它们从合法域发送网络钓鱼电子邮件并绕过安全保护。
感染链的结束点是威胁行为者从受害者的 S3 存储桶中窃取并删除敏感数据,并上传勒索信,敦促他们联系并支付赎金,以避免在暗网上出售信息。
威胁行为者试图创建新的弹性云计算 (EC2) 资源以进行非法加密货币挖掘但失败了,这也表明了此次攻击的经济动机。
目前尚不清楚谁是此次活动的幕后黑手,部分原因是使用 VPN 和 TOR 网络来隐藏其真实来源,但 Unit 42 表示,它检测到两个 IP 地址,它们分别位于乌克兰和摩洛哥,这是 lambda 函数和 S3 泄露活动的一部分。
研究人员表示:“此次活动背后的攻击者可能利用了广泛的自动化技术来成功快速地开展行动。”“这表明这些威胁行为者团体既熟练又精通先进的云架构流程和技术。”
微软发布 90 个漏洞补丁,包括 10 个关键零日漏洞 网络相关
微软周二发布了修复程序,修复了总共90 个安全漏洞,包括 10 个零日漏洞,其中 6 个已在野外遭到积极利用。
在这 90 个漏洞中,9 个被评为“严重”,80 个被评为“重要”,1 个被评为“中等”。此外,自上个月以来,这家科技巨头还解决了 Edge 浏览器中的36 个漏洞。
补丁星期二更新主要解决了六个被积极利用的零日漏洞 -
CVE-2024-38189(CVSS 评分:8.8)- Microsoft Project 远程代码执行漏洞
CVE-2024-38178(CVSS 评分:7.5)- Windows 脚本引擎内存损坏漏洞
CVE-2024-38193(CVSS 评分:7.8)- Windows 辅助功能驱动程序的 WinSock 特权提升漏洞
CVE-2024-38106(CVSS 评分:7.0)- Windows 内核特权提升漏洞
CVE-2024-38107(CVSS 评分:7.8)- Windows Power Dependency Coordinator 特权提升漏洞
CVE-2024-38213(CVSS 评分:6.5)- Windows Mark of the Web 安全功能绕过漏洞
CVE-2024-38213 允许攻击者绕过 SmartScreen 保护,攻击者需要向用户发送恶意文件并诱使他们打开它。发现并报告此漏洞的是趋势科技的 Peter Girnus,他表示这可能是CVE-2024-21412 或 CVE-2023-36025 的绕过方法,这两个漏洞之前曾被 DarkGate 恶意软件运营商利用。
这一事态发展促使美国网络安全和基础设施安全局 (CISA) 将这些漏洞添加到其已知被利用漏洞 ( KEV ) 目录中,并要求联邦机构在 2024 年 9 月 3 日之前修复这些漏洞。
以下四个 CVE 被列为已知漏洞 -
CVE-2024-38200(CVSS 评分:7.5)- Microsoft Office 欺骗漏洞
CVE-2024-38199(CVSS 评分:9.8)- Windows 行式打印机守护程序 (LPD) 服务远程代码执行漏洞
CVE-2024-21302(CVSS 评分:6.7)- Windows 安全内核模式特权提升漏洞
CVE-2024-38202(CVSS 评分:7.3)- Windows 更新堆栈特权提升漏洞
Tenable 的员工研究工程师 Scott Caveza 在谈到 CVE-2024-38200 时表示:“攻击者可以通过诱骗受害者访问特制的文件(可能是通过网络钓鱼电子邮件)来利用此漏洞。”
“成功利用此漏洞可能会导致受害者将新技术局域网管理器 (NTLM) 哈希暴露给远程攻击者。NTLM 哈希可能会在 NTLM 中继或传递哈希攻击中被滥用,从而进一步让攻击者在组织中站稳脚跟。”
此更新还解决了打印后台处理程序组件中的权限提升漏洞(CVE-2024-38198,CVSS 评分:7.8),该漏洞允许攻击者获得系统权限。微软表示:“成功利用此漏洞需要攻击者赢得竞争条件。”
另一个值得注意的漏洞是CVE-2024-38173(CVSS 评分:6.7),这是一个影响 Microsoft Outlook 的远程代码执行漏洞,需要攻击者或受害者从本地机器执行代码才能成功利用它。
网络安全公司 Morphisec 于 2024 年 6 月发现并报告了该漏洞,该公司将其描述为类似于CVE-2024-30103,并且是一个零点击漏洞,“在启用了 Microsoft 自动打开电子邮件功能的系统上,不需要用户交互”。
话虽如此,微软尚未发布针对CVE-2024-38202 和 CVE-2024-21302 的更新,这些更新可能会被滥用来针对 Windows 更新架构发起降级攻击,并用旧版本替换当前版本的操作系统文件。
此次披露是在 Fortra报告通用日志文件系统 ( CLFS ) 驱动程序 (CVE-2024-6768,CVSS 评分:6.8) 中存在拒绝服务 (DoS) 漏洞之后进行的,该漏洞可能导致系统崩溃,从而导致蓝屏死机 (BSoD)。
当记者联系到微软发言人时,他告诉 The Hacker News,该问题“不符合我们严重性分类指南规定的立即服务标准,我们将在未来的产品更新中考虑它”。
“所描述的技术要求攻击者已经在目标机器上获得代码执行能力,并且不会授予提升的权限。我们鼓励客户养成良好的在线计算习惯,包括在运行用户无法识别的程序时要小心谨慎,”发言人补充道。
其他供应商的软件补丁#
除微软外,过去几周其他供应商也发布了安全更新,以修复多个漏洞,其中包括:
Adobe
AMD
苹果
手臂
博世
Broadcom(包括 VMware)
思科
Citrix
D-Link
戴尔
Drupal
F5
飞塔
GitLab
谷歌安卓
谷歌浏览器
谷歌云
谷歌穿戴操作系统
HMS 网络
惠普
HP Enterprise(包括 Aruba Networks)
IBM
英特尔
伊万蒂
詹金斯
瞻博网络
联想
Linux 发行版Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE和Ubuntu
联发科
米迪
MongoDB
Mozilla Firefox、Firefox ESR 和 Thunderbird
英伟达
进步软件
高通
罗克韦尔自动化
三星
树液
施耐德电气
西门子
索尼克墙
Splunk
Spring 框架
T 型头
趋势科技
缩放,然后
合勤科技
更新#
趋势科技在与 The Hacker News 分享的声明中表示,CVE-2024-38213 并不是 CVE-2024-21412 的绕过方法,并且 WebDAV 共享上的任何文件都会受到该漏洞的影响。
该公司在一份声明中表示:“CVE-2024-38213 是一个很好的例子,说明我们如何利用在野外发现的零日漏洞来指导我们如何开展额外的安全研究。”“这个案例还凸显了补丁数量少或不足可能会成为一场安全噩梦。”
CVE-2024-38213 的代号为 copy2pwn,“会导致 WebDAV 共享中的文件在没有 Web 标记保护的情况下在本地复制”,零日计划 (ZDI)表示,并指出它被 DarkGate 运营商利用。
“从 WebDAV 共享复制和粘贴的文件没有获得 Web 标记。这意味着用户可以将文件从 WebDAV 共享复制并粘贴到他们的桌面,并且这些文件随后可以在没有 Windows Defender SmartScreen 或 Microsoft Office Protected View 保护的情况下打开。”
(该报道在发表后进行了更新,包含了有关利用 CVE-2024-38213 的攻击性质的信息。)
研究人员发现 Solarman 和 Deye 太阳能系统的漏洞 网络相关
网络安全研究人员发现,中国公司 Solarman 和德业运营的光伏系统管理平台存在一些安全漏洞,这些漏洞可能使恶意行为者造成中断和停电。
Bitdefender 研究人员在上周发布的分析报告中表示: “如果这些漏洞被利用,攻击者可以控制逆变器设置,从而导致部分电网瘫痪,甚至可能导致停电。”
继 2024 年 5 月 22 日负责任地披露这些漏洞后,Solarman 和 Deye 已于 2024 年 7 月解决了这些漏洞。
罗马尼亚网络安全供应商对这两个光伏监控和管理平台进行了分析,并表示这两个平台存在许多问题,其中可能导致账户被接管和信息泄露。
问题的简要描述如下 -
使用 /oauth2-s/oauth/token API 端点通过授权令牌操作实现完全帐户接管
Deye Cloud Token 重用
通过 /group-s/acc/orgs API 端点泄露信息
具有不受限制的设备访问的硬编码帐户(帐户:“[email protected]”/密码:123456)
通过 /user-s/acc/orgs API 端点泄露信息
潜在的未经授权的授权令牌生成
成功利用上述漏洞可以让攻击者控制任何 Solarman 帐户,重用来自 Deye Cloud 的 JSON Web Tokens (JWT) 来未经授权访问 Solarman 帐户,并收集有关所有注册组织的私人信息。
他们还可以获取有关任何 Deye 设备的信息,访问机密的注册用户数据,甚至为平台上的任何用户生成身份验证令牌,严重损害其机密性和完整性。
研究人员表示:“攻击者可以接管账户并控制太阳能逆变器,破坏发电并可能导致电压波动。”
“用户和组织的敏感信息可能会泄露,从而导致隐私侵犯、信息收集、有针对性的网络钓鱼攻击或其他恶意活动。通过访问和修改太阳能逆变器上的设置,攻击者可以导致电力分配大面积中断,影响电网稳定性并可能导致停电。”
新型网络钓鱼诈骗利用 Google 绘图和 WhatsApp 缩短链接 网络相关
网络安全研究人员发现了一种新颖的网络钓鱼活动,该活动利用 Google 绘图和通过 WhatsApp 生成的缩短链接来逃避检测并诱骗用户点击旨在窃取敏感信息的虚假链接。
Menlo Security 研究员 Ashwin Vamshi表示: “攻击者选择了一组计算机领域最知名的网站来策划此次威胁,其中包括托管攻击元素的 Google 和 WhatsApp,以及一个类似亚马逊的网站来收集受害者的信息。这次攻击是‘依赖可信站点’ ( LoTS ) 威胁的一个很好的例子。”
攻击的起点是一封钓鱼邮件,它会将收件人引导至一个看起来像是亚马逊账户验证链接的图片。而这张图片托管在 Google Drawings 上,显然是为了逃避检测。
滥用合法服务对于攻击者来说具有明显的好处,因为它们不仅是一种低成本的解决方案,而且更重要的是,它们提供了一种网络内部秘密通信的方式,因为它们不太可能被安全产品或防火墙阻止。
“在攻击初期,Google Drawings 的另一个吸引人之处是它允许用户(在本例中为攻击者)在图形中包含链接,”Vamshi 说道。“此类链接可能很容易被用户忽视,尤其是当他们感到亚马逊账户面临潜在威胁时。”
最终点击验证链接的用户将被带到一个相似的亚马逊登录页面,该页面的 URL 依次使用两个不同的 URL 缩短器(WhatsApp(“l.wl[.]co”)和 qrco[.]de)制作,以增加一层混淆效果并欺骗安全 URL 扫描程序。
该假冒页面旨在窃取凭证、个人信息和信用卡详细信息,然后将受害者重定向到原始的钓鱼 Amazon 登录页面。作为额外步骤,一旦凭证得到验证,该网页将无法从同一 IP 地址访问。
目前,研究人员发现 Microsoft 365 的反网络钓鱼机制中存在一个漏洞,该漏洞可能被滥用,从而增加用户打开网络钓鱼电子邮件的风险。
该方法需要使用 CSS 技巧来隐藏“首次联系安全提示”,该提示会在用户收到来自未知地址的电子邮件时发出警报。微软已承认存在此问题,但尚未发布修复程序。
奥地利网络安全机构 Certitude表示: “‘首次联系安全提示’被添加到 HTML 电子邮件正文的前面,这意味着可以通过使用 CSS 样式标签来改变其显示方式。我们可以更进一步,伪造 Microsoft Outlook 添加到加密和/或签名的电子邮件中的图标。”
SAP AI Core 漏洞导致客户数据遭受网络攻击 网络相关
网络安全研究人员发现,用于创建和部署预测人工智能 (AI) 工作流的SAP AI Core云平台存在安全缺陷,这些缺陷可能被利用来获取访问令牌和客户数据。
云安全公司 Wiz将这五个漏洞统称为SAPwned 。
安全研究员 Hillai Ben-Sasson在与 The Hacker News 分享的一份报告中表示: “我们发现的漏洞可能允许攻击者访问客户的数据并污染内部工件——蔓延到相关服务和其他客户的环境。”
在 2024 年 1 月 25 日负责任地披露之后,SAP 已于 2024 年 5 月 15 日解决了这些缺陷。
简而言之,这些漏洞使得未经授权访问客户的私人物品和 Amazon Web Services (AWS)、Microsoft Azure 和 SAP HANA Cloud 等云环境的凭证成为可能。
它们还可用于修改 SAP 内部容器注册表上的 Docker 镜像、Google 容器注册表上的 SAP Docker 镜像以及 SAP 内部 Artifactory 服务器上托管的工件,从而对 SAP AI Core 服务造成供应链攻击。
此外,利用 Helm 包管理器服务器同时暴露给读写操作的事实,可以利用该访问权限来获取 SAP AI Core 的 Kubernetes 集群上的集群管理员权限。
Ben-Sasson 解释道:“利用此访问级别,攻击者可以直接访问其他客户的 Pod 并窃取敏感数据,例如模型、数据集和代码。这种访问还允许攻击者干扰客户的 Pod、污染 AI 数据并操纵模型的推理。”
Wiz 表示,问题出现的原因是,该平台使得恶意的 AI 模型和训练程序可以在没有足够的隔离和沙盒机制的情况下运行。
Ben-Sasson 告诉 The Hacker News:“ Hugging Face、Replicate和 SAP AI Core等 AI 服务提供商最近出现的安全漏洞凸显了其租户隔离和分段实施中存在重大漏洞。”“这些平台允许用户在共享环境中运行不受信任的 AI 模型和训练程序,增加了恶意用户能够访问其他用户数据的风险。”
“与在租户隔离实践方面拥有丰富经验并使用虚拟机等强大隔离技术的资深云提供商不同,这些新服务通常缺乏这方面的知识并依赖于容器化,而容器化的安全性较弱。这强调了提高对租户隔离重要性的认识的必要性,并推动人工智能服务行业强化其环境。”
因此,威胁行为者可以在 SAP AI Core 上创建常规 AI 应用程序,绕过网络限制,并探测 Kubernetes Pod 的内部网络以获取 AWS 令牌,并通过利用 AWS 弹性文件系统 (EFS) 共享中的错误配置来访问客户代码和训练数据集。
“人们应该意识到人工智能模型本质上是代码。当你在自己的基础设施上运行人工智能模型时,你可能会面临潜在的供应链攻击,”Ben-Sasson 说。
“仅运行来自可信来源的可信模型,并适当分离外部模型和敏感基础设施。当使用人工智能服务提供商时,验证他们的租户隔离架构并确保他们采用最佳实践非常重要。”
Netskope 透露,企业对生成式人工智能的使用日益增多,促使企业使用阻止控制、数据丢失预防 (DLP) 工具、实时指导和其他机制来降低风险。
该公司表示:“受监管数据(组织有法律义务保护的数据)占与生成式人工智能(genAI)应用程序共享的敏感数据的三分之一以上——对企业来说,存在代价高昂的数据泄露的潜在风险。”
他们还关注了一个名为 NullBulge 的新网络犯罪威胁组织的出现,该组织自 2024 年 4 月以来一直将目光瞄准以人工智能和游戏为重点的实体,目的是窃取敏感数据并在地下论坛上出售受损的 OpenAI API 密钥,同时声称自己是一支黑客行动主义团队,致力于“保护世界各地的艺术家”免受人工智能的侵害。
SentinelOne 安全研究员 Jim Walter表示:“NullBulge 通过将 GitHub 和 Hugging Face 上公开存储库中的代码武器化,从而瞄准软件供应链,引导受害者导入恶意库,或通过游戏和建模软件使用的 mod 包。”
“该组织使用AsyncRAT和XWorm等工具,然后利用泄露的LockBit Black构建器构建 LockBit 负载。NullBulge 等组织代表着低门槛勒索软件的持续威胁,以及信息窃取者感染的长期影响。”