小心:虚假浏览器更新会传播 BitRAT 和 Lumma Stealer 恶意软件 网络相关
虚假的网络浏览器更新被用于传播远程访问木马 (RAT) 和信息窃取恶意软件,例如BitRAT和Lumma Stealer(又名 LummaC2)。
网络安全公司 eSentire 在一份新报告中表示: “虚假浏览器更新是导致大量恶意软件感染的元凶,包括著名的 SocGholish 恶意软件。2024年 4 月,我们观察到FakeBat通过类似的虚假更新机制进行传播。”
当潜在目标访问一个带有陷阱的网站时,攻击链就开始了,该网站包含旨在将用户重定向到虚假浏览器更新页面(“chatgpt-app[.]cloud”)的 JavaScript 代码。
重定向的网页嵌入了指向 ZIP 存档文件(“Update.zip”)的下载链接,该文件托管在 Discord 上并自动下载到受害者的设备。
值得指出的是,威胁行为者经常使用 Discord 作为攻击媒介, Bitdefender最近的分析发现,在过去六个月中,有超过 50,000 个危险链接传播恶意软件、网络钓鱼活动和垃圾邮件。
ZIP 存档文件中存在另一个 JavaScript 文件(“Update.js”),它会触发 PowerShell 脚本的执行,该脚本负责从远程服务器以 PNG 图像文件的形式检索其他有效负载,包括 BitRAT 和 Lumma Stealer。
以这种方式还检索了用于建立持久性的 PowerShell 脚本和主要用于启动最后阶段恶意软件的基于 .NET 的加载器。eSentire 推测,该加载器很可能被宣传为“恶意软件传送服务”,因为同一个加载器用于部署 BitRAT 和 Lumma Stealer。
BitRAT 是一种功能丰富的 RAT,允许攻击者收集数据、挖掘加密货币、下载更多二进制文件以及远程控制受感染的主机。Lumma Stealer 是一种商品窃取恶意软件,自 2022 年 8 月起每月售价 1750 至 7,000 元,能够从网络浏览器、加密钱包和其他敏感细节中捕获信息。
该公司表示:“伪造的浏览器更新诱饵已成为攻击者入侵设备或网络的常用手段”,并补充说,“这显示了运营商利用可信名称来最大限度地扩大覆盖范围和影响力的能力。”
虽然此类攻击通常利用驱动下载和恶意广告技术,但 ReliaQuest 在上周发布的一份报告中表示,它发现了ClearFake 活动的新变种,该变种以浏览器更新为借口诱骗用户复制、粘贴和手动执行恶意 PowerShell 代码。
具体来说,该恶意网站声称“显示此网页时出现错误”,并指示网站访问者按照一系列步骤安装根证书来解决该问题,其中包括复制混淆的 PowerShell 代码并在 PowerShell 终端中运行它。
该公司表示:“执行后,PowerShell 代码会执行多项功能,包括清除 DNS 缓存、显示消息框、下载更多 PowerShell 代码以及安装‘LummaC2’恶意软件。 ”
根据网络安全公司分享的信息,Lumma Stealer 与 RedLine 和 Raccoon 一起成为 2023 年最流行的信息窃取者之一。
“从 2023 年第三季度到第四季度,LummaC2 获取的待售日志数量增加了 110%”,报告指出。“LummaC2 在攻击者中越来越受欢迎,可能是因为它的成功率很高,这指的是它能够成功地渗透系统并在不被发现的情况下窃取敏感数据。”
与此同时,AhnLab 安全情报中心 (ASEC) 披露了一项新活动的细节,该活动使用 webhards(网络硬盘的缩写)作为渠道,分发成人游戏和破解版 Microsoft Office 的恶意安装程序,并最终部署各种恶意软件,如 Orcus RAT、XMRig miner、3proxy和 XWorm。
类似的攻击链涉及提供盗版软件的网站,导致了PrivateLoader和TaskLoader等恶意软件加载器的部署,它们都作为按安装付费 (PPI) 服务提供给其他网络犯罪分子,以投放他们自己的负载。
此外,Silent Push 还发现了CryptoChameleon “几乎独家使用” DNSPod[.]com 域名服务器来支持其钓鱼工具包架构的新情况。DNSPod是中国腾讯公司的一部分,曾为恶意防弹托管运营商提供服务。
该公司表示:“CryptoChameleon 使用 DNSPod 名称服务器来采用快速通量逃避技术,使威胁行为者能够快速循环浏览与单个域名相关的大量 IP 。 ”
“Fast flux 允许 CryptoChameleon 基础设施逃避传统的对策,并显著降低传统时间点 IOC 的运营价值。”使用至少七个主要社交媒体账户和一个拥有超过 250 个账户的 CIB 网络。
TP-Link 游戏路由器漏洞使用户面临远程代码攻击 网络相关
TP-Link Archer C5400X 游戏路由器被披露存在一个最高严重性安全漏洞,该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。
该漏洞被标记为CVE-2024-5035,CVSS 评分为 10.0。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本。该漏洞已在2024 年 5 月 24 日发布的1_1.1.7 版本中得到修补。
德国网络安全公司 ONEKEY在周一发布的一份报告中表示: “通过成功利用此漏洞,远程未经身份验证的攻击者可以以提升的权限在设备上执行任意命令。”
该问题根源在于与射频测试“rftest”相关的二进制文件,该文件在启动时启动,并在 TCP 端口 8888、8889 和 8890 上公开网络监听器,从而允许远程未经身份验证的攻击者实现代码执行。
虽然网络服务设计为仅接受以“ wl ”或“ nvram get ”开头的命令,但 ONEKEY 发现,可以通过在 shell 元字符(如 ; 、& 或 | )后注入命令来轻松绕过该限制(例如“wl;id;”)。
TP-Link 在 1_1.1.7 Build 20240510 版本中实施的修复通过丢弃任何包含这些特殊字符的命令来解决该漏洞。
ONEKEY 表示:“TP-Link 提供无线设备配置 API 的需求似乎必须以快速或低成本的方式得到满足,最终导致他们在网络上暴露了一个据称有限的 shell,路由器内的客户端可以使用它来配置无线设备。”
几周前,台达电子还披露了 DVW W02W2 工业以太网路由器 ( CVE-2024-3871 ) 和 Ligowave 网络设备 ( CVE-2024-4999 ) 的安全漏洞,这些漏洞可能允许远程攻击者以提升的权限获取远程命令执行。
值得注意的是,由于这些缺陷不再得到积极维护,因此仍未得到修补,因此用户必须采取适当措施限制管理界面的暴露,以减少被利用的可能性。
Chrome 谷歌浏览器0day警报 - 请更新浏览器以修补漏洞 网络相关
谷歌周四发布了安全更新,以解决 Chrome 中的一个零日漏洞,并称该漏洞已被广泛利用。
该高严重性漏洞的编号为CVE-2024-4671,已被描述为 Visuals 组件中的释放后使用案例。这是一位匿名研究人员于 2024 年 5 月 7 日报道的。
当程序在释放内存位置后引用该内存位置时,会出现释放后使用错误,该错误可能会导致多种后果,从崩溃到任意代码执行。
该公司在一份简短的公告中表示,“谷歌意识到 CVE-2024-4671 的漏洞存在”,但没有透露该漏洞如何在现实世界的攻击中被武器化的更多细节,他们也没有透露背后威胁者的身份。
根据最新进展,自今年年初以来,谷歌已经解决了 Chrome 中两个被积极利用的零日漏洞。
今年 1 月初,这家科技巨头修复了 V8 JavaScript 和 WebAssembly 引擎中的越界内存访问问题(CVE-2024-0519,CVSS 评分:8.8),该问题可能导致崩溃。
谷歌还解决了三月份在温哥华举行的 Pwn2Own 黑客大赛期间披露的另外三个零日漏洞 -
CVE-2024-2886 - WebCodecs 中的释放后使用
CVE-2024-2887 - WebAssembly 中的类型混淆
CVE-2024-3159 - V8 中的越界内存访问
建议用户在 Windows 和 macOS 上升级到 Chrome 版本 124.0.6367.201/.202,在 Linux 上升级到 Chrome 版本 124.0.6367.201,以减轻潜在威胁。
还建议使用基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在修复程序可用时应用这些修复程序。
四个严重漏洞使 HPE Aruba 设备面临 RCE 攻击 网络相关
HPE Aruba Networking(以前称为 Aruba Networks)已发布安全更新,以解决影响 ArubaOS 的严重缺陷,这些缺陷可能导致受影响系统上的远程代码执行 (RCE)。
在这10 个安全缺陷中,有 4 个缺陷的严重程度被评为严重 -
CVE-2024-26304(CVSS 评分:9.8)- 通过 PAPI 协议访问的 L2/L3 管理服务中未经身份验证的缓冲区溢出漏洞
CVE-2024-26305(CVSS 评分:9.8)- 通过 PAPI 协议访问的实用程序守护程序中存在未经身份验证的缓冲区溢出漏洞
CVE-2024-33511(CVSS 评分:9.8)- 通过 PAPI 协议访问的自动报告服务中未经身份验证的缓冲区溢出漏洞
CVE-2024-33512(CVSS 评分:9.8)- 通过 PAPI 协议访问的本地用户身份验证数据库中未经身份验证的缓冲区溢出漏洞
威胁行为者可以通过向进程应用程序编程接口 (PAPI) UDP 端口 (8211) 发送特制数据包来利用上述缓冲区溢出漏洞,从而获得以底层操作系统上的特权用户身份执行任意代码的能力。
这些漏洞影响 Aruba Central 管理的 Mobility Conductor(以前称为 Mobility Master)、Mobility 控制器以及 WLAN 网关和 SD-WAN 网关,存在于以下软件版本中:
ArubaOS 10.5.1.0 及更低版本
ArubaOS 10.4.1.0 及更低版本
ArubaOS 8.11.2.1 及更低版本
ArubaOS 8.10.0.10 及更低版本
它们还会影响已达到维护状态结束的 ArubaOS 和 SD-WAN 软件版本 -
ArubaOS 10.3.x.x
ArubaOS 8.9.x.x
ArubaOS 8.8.x.x
ArubaOS 8.7.x.x
ArubaOS 8.6.x.x
ArubaOS 6.5.4.x
SD-WAN 8.7.0.0-2.3.0.x
SD-WAN 8.6.0.4-2.2.x.x
一位名叫 Chancen 的安全研究人员发现并报告了这 10 个问题中的 7 个,其中包括四个严重的缓冲区溢出漏洞。
建议用户应用最新的修复程序以减轻潜在威胁。作为 ArubaOS 8.x 的临时解决方法,该公司建议用户使用非默认密钥启用增强型 PAPI 安全功能。
小米、WPS Office 等热门 Android 应用存在文件覆盖漏洞 网络相关
Google Play 商店中提供的多个流行 Android 应用程序容易受到代号为Dirty Stream攻击的路径遍历相关漏洞的影响,恶意应用程序可能会利用该漏洞覆盖易受攻击的应用程序主目录中的任意文件。
微软威胁情报团队的 Dimitrios Valsamaras在周三发布的一份报告中表示:“此漏洞模式的影响包括任意代码执行和令牌盗窃,具体取决于应用程序的实现。”
成功利用该漏洞可能使攻击者能够完全控制应用程序的行为,并利用被盗的令牌对受害者的在线帐户和其他数据进行未经授权的访问。
发现容易受到该问题影响的两个应用程序如下 -
小米文件管理器 (com.mi.Android.globalFileexplorer) - 安装量超过 10 亿次
WPS Office (cn.wps.moffice_eng) - 超过 5 亿次安装
虽然 Android 通过为每个应用程序分配自己的专用数据和内存空间来实现隔离,但它提供了所谓的内容提供程序,以促进应用程序之间以安全的方式共享数据和文件。但实施疏忽可能会绕过应用程序主目录中的读/写限制。
“这种基于内容提供商的模型提供了明确定义的文件共享机制,使服务应用程序能够通过细粒度控制以安全的方式与其他应用程序共享其文件,”Valsamaras 说。
“但是,我们经常遇到这样的情况:消费应用程序不验证其接收到的文件的内容,最令人担忧的是,它使用服务应用程序提供的文件名将接收到的文件缓存在消费应用程序的内部数据目录中”。
当服务应用程序声明FileProvider 类的恶意版本以启用应用程序之间的文件共享时,此陷阱可能会产生严重后果,并最终导致使用应用程序覆盖其私有数据空间中的关键文件。
换句话说,该机制利用了这样一个事实:消费应用程序盲目信任输入,通过自定义、明确的意图,在用户不知情或同意的情况下发送具有特定文件名的任意有效负载,从而导致代码执行。
因此,这可能允许攻击者覆盖目标应用程序的共享首选项文件,并使其与受其控制的服务器通信以窃取敏感信息。
另一种情况涉及从自己的数据目录(而不是“/data/app-lib”)加载本机库的应用程序,在这种情况下,恶意应用程序可以利用上述弱点,用恶意代码覆盖本机库,这些代码在库已加载。
经过负责任的披露,小米和 WPS Office 均已于 2024 年 2 月纠正了该问题。不过,微软表示该问题可能会更加普遍,要求开发者采取措施检查其应用程序是否存在类似问题。
谷歌还就此事发布了自己的指南,敦促开发人员正确处理服务器应用程序提供的文件名。
谷歌表示:“当客户端应用程序将接收到的文件写入存储时,它应该忽略服务器应用程序提供的文件名,而使用自己内部生成的唯一标识符作为文件名。” “如果生成唯一的文件名不切实际,客户端应用程序应该清理提供的文件名。”
勒索软件双重危机:网络勒索再次受害 网络相关
网络勒索 (Cy-X) 或更为常见的勒索软件是在过去三到四年中引起广泛关注的话题。自 2020 年以来,Orange Cyberdefense 广泛覆盖了这一威胁。
在最新的年度安全报告《Security Navigator 2024》(SN24)中,研究显示,2022 年至 2023 年(2022 年第四季度至 2023 年第三季度)期间增长了 46%。更新我们的数据集后,我们发现实际增幅甚至更高,增幅略低于 51%。更新的数字是由于数据集的动态性质所致;生态系统不断变化,因此我们只有在研究期结束后才意识到某些泄漏地点及其受害者。
可悲的是,这只会进一步加剧现实。预测这种增长水平是否会维持是很困难的。 Cy-X 可能已达到饱和点,我们可能会看到 Cy-X 威胁持续维持在 2023 年的水平。另一方面,如果我们确实遵循过去几年的受害者人数模式(年初人数较少,全年不断增加),则会产生相反的效果,一旦受害者人数不断增加,更多的。然而,我们认为 Cy-X 受害者数量目前将保持稳定,如果幸运的话,敲诈勒索受害者可能会减少。尽管如此,我们距离取得胜利还有很长的路要走。
自报告中讨论 SN24 Cy-X 数据集结束以来已经过去了六个月,这段时间发生了很多事情。 2023 年第四季度和 2024 年第一季度的受害者总数为 2,141 人,几乎是 2022 年全年记录的所有受害者,即 2,220 人。考虑到两个最活跃的 Cy-X 组织在此期间(试图)遭到破坏,这一受害者数量是惊人的。执法部门 (LE) 的目标是在 2023 年 12 月扰乱 ALPHV,几天后他们就通过“松开”自己来表现出抵抗。 LE 随后于 2024 年 2 月拿下了 LockBit 的基础设施,但这仅意味着 LockBit 的停机时间为几天,因为他们也在最初拿下几天后设法恢复了在线状态。尽管这两个 Cy-X 操作当时看起来非常抵制,但 ALPHV(BlackCat)在 2024 年 3 月上旬下线,“退出”游戏,很可能是所谓的退出骗局。
破坏这一不稳定生态系统的努力——Cy-X 品牌寿命短带来的挑战#
无论其效果如何,之前的 LE 活动都为 Cy-X 运营提供了重要的见解。一个例子是 Cy-X 犯罪的暗数,即我们不知道的受害者人数,因为他们没有暴露在我们监控的泄密网站上。了解暗数将有助于我们完整了解当前 Cy-X 威胁。因此,整个情况将包括受害者的实际数量,其中包括我们对泄露网站上暴露的受害者的部分看法(我们的数据)以及我们永远不会知道的受害者组织(暗数)。 2023 年 Hive 被查封后发现的受害者人数比我们从其数据泄露网站记录的受害者人数还要多,实际人数比我们从其数据泄露网站记录的要多 5 到 6 倍。如果我们将 2020 年 1 月至 2024 年 3 月期间记录的受害者人数(11,244 人)乘以 6,那么所有 Cy-X 组织的实际受害者人数可能高达 67,000 人。
Cl0p 是我们数据集中最持久的威胁参与者,它在 2023 年非常繁忙,占所有受害者的 11%。然而,自该分析以来的过去六个月中,Cy-X 组织的数据泄露网站上仅观察到 7 名受害者。 Cl0p 过去曾一度出现,大规模利用漏洞,但最终又回到了阴影中,因此这可能只是 Cl0p 的作案手法。
活跃 Cy-X 基团的总数随时间波动,并且某些基团比其他基团持续时间更长。 《Security Navigator 2024》报告通过研究同比变化来解决这个问题。总体而言,与 2022 年相比,2023 年活跃 Cy-X 团体的数量确实出现了净增长。总的来说,这是一个非常不稳定的生态系统,其中有很多变动。我们的研究发现,54% 的 Cy-X“品牌”在运行 1 至 6 个月后就消失了。延续到 2023 年的 Cy-X 群体数量较少,但新 Cy-X 群体数量的增加导致了活动的净增长。进一步证实了这些群体的短暂性。讽刺的是,LockBit3 和 ALPHV 被列为 2023 年“持久”类别。
这项研究是作为防御 Cy-X 有效性检查的一部分进行的。 LE 和全球各地的政府机构正在努力消除网络勒索,因为这确实是一个全球性问题。在过去两年半中,我们看到 LE 活动稳步增长,记录了 169 项打击网络犯罪的行动。
在所有有记录的 LE 活动中,我们发现网络勒索受到的关注最多。所有行为中有 14% 与网络勒索犯罪有关,其次是黑客行为和欺诈行为,各占 11%。与加密货币相关的犯罪占 9% 的份额。近一半的 LE 活动涉及对个人或团体的逮捕和判刑。
在我们最新的 Security Navigator 报告中,我们写道,“2023 年,我们特别注意到,我们加大力度摧毁或破坏威胁行为者(滥用)使用的基础设施和托管服务。”根据过去 6 个月更新的数据集,我们确实看到“执法干扰”类别的比例更高。在这里,我们收集了一些行动,例如启动国际工作组打击勒索软件的公告、LE 欺骗威胁行为者为其提供解密密钥、夺取基础设施、渗透网络犯罪市场等。虽然我们之前已经争论过我们确实看到的行动是否执行得最多通常,例如逮捕和扣押可能不会那么有效,最近的两项 LE 行动非常值得关注。
在 ALPHV 的案例中,他的第一反应似乎对 LE 破坏它的努力非常有抵抗力,但他已经逃离了现场,并且(很可能)进行了退出骗局。这可能会极大地破坏勒索软件即服务 (RaaS) 生态系统内的“信任”,随着附属机构和其他参与者评估其风险,受害者数量可能会在短期内减少。与此同时,还有一个空白需要填补,从历史上看,新的(重新)品牌很快就会填补这一空白。
与 ALPHV 类似,LockBit 声称在最初的打击中幸存下来,但在网络勒索的世界中,声誉就是一切。附属机构是否会继续与“复活”的 LockBit 开展业务,而不怀疑这是否可能是一个 LE 蜜罐?
Cy-X 受害者以绝望或附属交叉的形式再次受害#
到目前为止,我们知道网络犯罪生态系统是一个复杂的生态系统,包括许多不同类型的参与者、角色和行为。对于我们正在监控的网络犯罪类型——网络勒索来说,情况确实如此。在过去的十年中,网络犯罪即服务 (CaaS) 的生态系统确实得到了发展,并为监控此类犯罪增加了一些挑战。其中一个挑战是没有一个威胁行为者从头到尾执行一次攻击(完整的攻击链)。
在检查 Cy-X 数据泄露网站上的受害者列表时,我们观察到受害者的重新出现。这不是什么新鲜事,我们自 2020 年以来一直在观察这种现象。但我们终于有了足够大的数据集来对再次发生的事件进行分析,以分析这些是否确实是再次受害或生态系统的其他动态,甚至是生态系统本身并没有意识到。例如,我们注意到,一些受害者的名单相隔数月或数年,而另一些受害者则在几天或几周内重新发布。我们不会下载被盗数据并检查列表内容,因为这是我们的道德问题,我们不想下载和存储被盗受害者数据。因此,我们的观察基于匹配受害者姓名。
在考虑可能的再次受害情况时,我们最紧迫的问题之一是为什么我们会看到一些受害者再次出现。
我们对此有一些简化的假设:
另一次网络攻击:实际再次受害,因此发生了针对同一受害者的第二轮网络勒索/网络攻击。通过可能使用相同的入口点或后门;或者与第一次出现完全无关。
访问或数据的重复使用:受害者的数据已经“传播”(泄露或出售给地下组织)并被用作再次勒索受害者的杠杆。或者该访问权限已出售给不同的买家。然而,数据或访问权限正在被重复使用。
关联公司交叉:关联公司在不同的 Cy-X 操作之间重复使用受害者数据。
最后一个假设可能表明威胁行为者是多么受经济驱动,以及他们可能变得多么绝望。我们确信我们的假设可能存在其他变化,但我们希望在接下来的分析中尽可能保持简单。我们想探讨是否看到行为者之间再次受害的模式。我们发现超过 100 起受害者被重新发布到同一组织或另一个组织的泄密网站的事件。
我们创建了一个网络图并向节点添加了一些颜色编码。绿色节点代表第二个发布有关特定受害者的信息的演员。他们强调了再次受害的情况。蓝色节点代表充当受害者的起源或第一张海报的演员。当 Cy-X 演员既是首次发布者又是第二次发布者时,该节点默认为绿色。箭头是一个附加指示符。查看受害者出现的有向网络图,我们可以看到再次受害的方向。一些具有循环引用的 Cy-X 参与者在他们自己的数据泄露网站上转发了受害者。以下分析是我们当前研究的摘要,我们计划在即将发布的年度勒索软件报告Cy-Xplorer中发布更广泛的分析。
有几个集群引起了人们的注意。例如,Snatch 组织通过不断重新发布来自其他 Cy-X 操作(例如 AstroTeam、Meow、Sabbath、Karma Leaks、cactus、Quantum、Egregor 和 Marketo)的受害者来展示重新受害活动。请记住,再次受害是指犯罪受害者在未来遭受额外伤害或受害的现象。我们认为,这意味着受害者会再次经历未经授权的访问和/或数据泄露和/或数据盗窃和/或勒索和/或加密和/或声誉受损、和/或财务损失和心理伤害ETC。
在这三种假设中,受害者将再次成为受害者,经历上述的一种、几种或全部伤害。这与攻击本身的技术复杂性无关,而仅仅是因为再次被列入暗网泄露网站,受害者组织再次面临几种严重形式的伤害。
如果我们继续研究该图,我们会看到另一个集群,ALPHV,我们看到 ALPHV 重新发布了来自 MONTI、8Base 和 Qilin 的受害者(在后者中,受害者组织在同一天在两个泄漏站点 ALPHV 和 Qilin 上发布) )。与此同时,首先出现在 ALPHV 泄露网站上的受害者组织被其他各种组织重新发布,例如 AvosLocker、LockBit、Ransomhouse、incransom、Haron、cactus 等。箭头有助于指示关系的方向性,例如,谁先行动。其他星团也表现出非常相似的模式,我们在此探索中不会深入探讨。尽管如此,网络图和上述(部分)分析向我们展示了转发受害组织的关系和模式。更具体地说,同一受害者(不是同一事件)在网络勒索领域的传播重申了我们在之前的工作中讨论过的另一个理论,即网络勒索的“机会主义本质”。网络勒索是一种大规模游戏,确保经济收益的一种方法是“在不同方面进行游戏”,以确保至少某种形式的付款。此外,从较高的层面来看,它显示了这个生态系统已经变得多么混乱。我们的所有三个假设都进一步揭示了网络犯罪生态系统的不可预测性。
因此,再次受害并不会改变网络勒索的运作方式,但它确实向我们展示了不同形式的再次受害的可能性,因此不幸的是增加了遭受网络勒索攻击的受害者组织的痛苦。最后,此类分析有助于我们了解网络犯罪生态系统的动态,在本例中是网络勒索/勒索软件威胁格局及其威胁参与者。
与首次网络攻击一样,对于受害者组织来说,解决决定受害者结果的受害者变量非常重要。简而言之,您的网络实践、您的数字足迹、您组织的数据对您的价值、威胁行为者访问您的环境的时间、您可能为增加数据泄露的“噪音”而采取的安全控制措施;所有变量都会影响您的组织对网络空间中机会主义威胁行为者的吸引力。
英特尔和联想 BMC 存在未修补的 Lighttpd 服务器缺陷 网络相关
Binarly 的新发现显示,英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。
虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补,但由于缺乏 CVE 标识符或建议,这意味着它被 AMI MegaRAC BMC 的开发人员忽视,最终出现在产品中由英特尔和联想提供。
Lighttpd(发音为“Lighty”)是一款开源高性能 Web 服务器软件,专为速度、安全性和灵活性而设计,同时针对高性能环境进行了优化,且不会消耗大量系统资源。
Lighttpd 的静默修复涉及越界读取漏洞,该漏洞可用于泄露敏感数据,例如进程内存地址,从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。
该固件安全公司表示:“缺乏有关安全修复的及时和重要信息,阻碍了固件和软件供应链上这些修复的正确处理。”
缺陷描述如下——
Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取
Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取
1.4.51 之前的 Lighttpd 中的越界读取
英特尔和联想选择不解决该问题,因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态,不再有资格进行安全更新,从而实际上将其变成了永远的错误。
该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。
Binarly 补充道:“这是某些产品中永远无法修复的另一个漏洞,并将在很长一段时间内给行业带来高影响风险。”
严重的“BatBadBut”Rust 漏洞使 Windows 系统面临攻击 网络相关
Rust 标准库中的一个关键安全漏洞可能会被利用来针对 Windows 用户并发起命令注入攻击。
该漏洞的编号为CVE-2024-24576,CVSS 评分为 10.0,表明严重程度最高。也就是说,它仅影响在 Windows 上使用不受信任的参数调用批处理文件的场景。
Rust 安全响应工作组在 2024 年 4 月 9 日发布的公告中表示: “在 Windows 上使用 Command API 调用批处理文件(带有 bat 和 cmd 扩展名)时,Rust 标准库没有正确转义参数。”
“能够控制传递给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。”
该缺陷影响 1.77.2 之前的所有 Rust 版本。安全研究员RyotaK被认为发现了该错误并向 CERT 协调中心 ( CERT/CC ) 报告。
RyotaK 表示,该漏洞(代号为 BatBadBut)会影响多种编程语言,并且当“编程语言包装 [Windows 中] 的 CreateProcess 函数并添加命令参数的转义机制”时,就会出现该漏洞。
但鉴于并非所有编程语言都解决了该问题,建议开发人员在 Windows 上执行命令时要小心谨慎。
RyotaK在给用户的建议中表示: “为了防止批处理文件意外执行,您应该考虑将批处理文件移动到不包含在 PATH 环境变量中的目录中。”
“在这种情况下,除非指定完整路径,否则批处理文件不会被执行,因此可以防止批处理文件的意外执行。”
MubaiCloud机场购买地址 v2ray节点购买地址
最新节点购买地址:https://tz.v2ray.club/
MubaiCloud跑路了,推荐上面的最新节点购买。
紧急:XZ Utils 库中发现秘密后门,影响主要 Linux 发行版 网络相关
红帽公司周五发布了“紧急安全警报”,警告称流行的数据压缩库XZ Utils(以前称为 LZMA Utils)的两个版本已被恶意代码植入后门,旨在允许未经授权的远程访问。
软件供应链妥协的编号为CVE-2024-3094,CVSS 评分为 10.0,表明严重程度最高。它影响 XZ Utils 版本 5.6.0(2 月 24 日发布)和 5.6.1(3 月 9 日发布)。
IBM 子公司在一份公告中表示: “通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后用于修改 liblzma 代码中的特定功能。”
“这会产生一个修改后的 liblzma 库,任何与该库链接的软件都可以使用该库,拦截并修改与该库的数据交互。”
具体来说,代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH(安全 Shell)的 sshd 守护进程,并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问:正确的情况。”
“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD),并允许特定的远程攻击者(拥有特定的私钥)发送任意代码JFrog说:“通过 SSH 发送有效负载,该负载将在身份验证步骤之前执行,从而有效地劫持整个受害计算机。 ”
微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说,经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。
“鉴于活动持续了数周,提交者要么直接参与其中,要么他们的系统受到了一些相当严重的损害,”弗罗因德说。 “不幸的是,考虑到他们在各种列表上就‘修复’进行了沟通,后者看起来不太可能是解释。”
微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库,“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。
有证据表明,这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中,并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版,和乌班图。
出于谨慎考虑,建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下:
Arch Linux(安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711,以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日(含)期间创建的容器映像)
Kali Linux(3 月 26 日至 29 日期间)
openSUSE Tumbleweed 和 openSUSE MicroOS(3 月 7 日至 28 日期间)
Debian 测试、不稳定和实验版本(从 5.5.1alpha-0.1 到 5.6.1-1)