Apache 软件基金会 (ASF) 发布了安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞可能在某些条件下导致远程代码执行 (RCE)。

该漏洞被追踪为CVE-2024-56337，被描述为CVE-2024-50379（CVSS 评分：9.8）的不完整缓解措施，CVE-2024-50379 是同一产品中的另一个严重安全漏洞，此前已于 2024 年 12 月 17 日得到解决。

项目维护人员在上周的公告中表示：“在不区分大小写的文件系统上运行 Tomcat，并且默认启用了 servlet 写入（将只读初始化参数设置为非默认值 false）的用户可能需要进行额外配置才能完全缓解 CVE-2024-50379，具体取决于他们在 Tomcat 中使用哪个版本的 Java。”

这两个缺陷都是检查时使用时（TOCTOU）竞争条件漏洞，当启用默认 servlet 进行写入时，可能导致在不区分大小写的文件系统上执行代码。

Apache 在 CVE-2024-50379 警报中指出：“在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查，并导致上传的文件被视为 JSP，从而导致远程代码执行。”

CVE-2024-56337 影响以下版本的 Apache Tomcat -

Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复）
Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复）
Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复）
此外，用户需要根据所运行的 Java 版本执行以下配置更改 -

Java 8 或 Java 11 - 将系统属性 sun.io.useCanonCaches 明确设置为 false（默认为 true）
Java 17 - 如果已设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false）
Java 21 及更高版本 - 无需采取任何措施，因为系统属性已被删除

ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现并报告了这两个漏洞。它还感谢 KnownSec 404 团队独立报告了 CVE-2024-56337 以及概念验证 (PoC) 代码。

此次披露之际，零日计划 (ZDI) 分享了 Webmin 中的一个严重漏洞 (CVE-2024-12828，CVSS 评分：9.9) 的详细信息，该漏洞允许经过身份验证的远程攻击者执行任意代码。

ZDI表示： “该特定缺陷存在于 CGI 请求的处理中。该问题源于在使用用户提供的字符串执行系统调用之前未对其进行适当验证。攻击者可以利用此漏洞在 root 上下文中执行代码。”

BeyondTrust 披露了特权远程访问 (PRA) 和远程支持 (RS) 产品中的一个严重安全漏洞的详细信息，该漏洞可能会导致执行任意命令。

特权远程访问可控制、管理和审核特权帐户和凭据，为内部、外部和第三方用户提供对本地和云资源的零信任访问。远程支持允许服务台人员安全地连接到远程系统和移动设备。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），被描述为命令注入的一个实例。

该公司在一份公告中表示： “特权远程访问 (PRA) 和远程支持 (RS) 产品中发现了一个严重漏洞，该漏洞允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

攻击者可以通过发送恶意客户端请求来利用此漏洞，从而导致在站点用户的上下文中执行任意操作系统。

该问题影响以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- 已在 PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
远程支持（版本 24.3.1 及更早版本）- 已在 RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
截至 2024 年 12 月 16 日，该漏洞的补丁已应用于云实例。如果软件本地版本的用户未订阅自动更新，建议他们应用最新修复程序。

BeyondTrust 表示：“如果客户使用的是 22.1 之前的版本，他们将需要升级才能应用此补丁。”

该公司表示，这一缺陷是在 2024 年 12 月 2 日发生一起“安全事件”后启动的一项正在进行的取证调查中发现的，该事件涉及“有限数量的远程支持 SaaS 客户”。

BeyondTrust表示：“对远程支持 SaaS 问题的根本原因分析发现，远程支持 SaaS 的 API 密钥已被泄露”，并补充说“它立即撤销了 API 密钥，通知了已知受影响的客户，并在同一天暂停了这些实例，同时为这些客户提供替代的远程支持 SaaS 实例。”

BeyondTrust 还表示，它仍在与一家未具名的“网络安全和取证公司”合作，努力确定此次入侵的原因和影响。

美国网络安全和基础设施安全局 (CISA) 周四将影响 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品的严重安全漏洞添加到已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞正在被积极利用。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），是一个命令注入漏洞，恶意行为者可以利用该漏洞以网站用户的身份运行任意命令。

CISA 表示：“BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 包含命令注入漏洞，这可能允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

虽然该问题已被植入客户的云实例中，但建议使用自托管版本软件的用户更新到以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
远程支持（版本 24.3.1 及更早版本）- RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
在 BeyondTrust 本月早些时候透露其遭受网络攻击之后，主动攻击的消息传出，此次攻击导致未知威胁行为者侵入其部分远程支持 SaaS 实例。

该公司已寻求第三方网络安全和取证公司的帮助，并表示对该事件的调查发现，攻击者获得了远程支持 SaaS API 密钥，从而可以重置本地应用程序帐户的密码。

此后，其调查又发现了另一个中等严重性漏洞（CVE-2024-12686，6.6），该漏洞允许具有现有管理权限的攻击者注入命令并以站点用户身份运行。新发现的漏洞已在以下版本中得到解决 -

特权远程访问 (PRA) - PRA 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 PRA 版本）
远程支持 (RS) - RS 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 RS 版本）

BeyondTrust 没有提及这两个漏洞是否已被利用。不过，该公司表示已通知所有受影响的客户。目前尚不清楚攻击的具体规模，以及幕后威胁者的身份。

OpenWrt的 Attended Sysupgrade ( ASU ) 功能中被发现存在一个安全漏洞，如果成功利用，可能会被滥用来分发恶意固件包。

该漏洞的编号为CVE-2024-54143，CVSS 评分为 9.3（满分 10 分），表明该漏洞严重性极高。Flatt Security 研究员 RyotaK 于 2024 年 12 月 4 日发现并报告了该漏洞。该问题已在ASU 版本 920c8a1中得到修补。

项目维护人员在警报中表示：“由于 imagebuilder 映像中的命令注入和构建请求哈希中包含的截断 SHA-256 哈希的组合，攻击者可以通过提供导致哈希冲突的包列表来污染合法映像。”

OpenWrt是一种流行的基于 Linux 的开源操作系统，适用于路由器、住宅网关和其他路由网络流量的嵌入式设备。

成功利用该缺陷实际上可以让威胁行为者在构建过程中注入任意命令，从而导致生成使用合法构建密钥签名的恶意固件映像。

更糟糕的是，与构建密钥相关的 12 个字符的 SHA-256 哈希碰撞可以被武器化，用来代替合法图像提供先前构建的恶意图像，对下游用户构成严重的供应链风险。

OpenWrt 指出：“攻击者需要能够提交包含精心设计的软件包列表的构建请求。利用这些漏洞无需身份验证。通过注入命令并引起哈希冲突，攻击者可以强制合法的构建请求接收先前生成的恶意映像。”

RyotaK 对该漏洞进行了技术分析，他表示，尚不清楚该漏洞是否曾被利用，因为它“已经存在了一段时间”。建议用户尽快更新到最新版本，以防范潜在威胁。

网络安全研究人员指出，微软的多因素身份验证 (MFA) 实施中存在一个“严重”安全漏洞，该漏洞允许攻击者轻松绕过保护并获得对受害者帐户的未经授权的访问。

Oasis Security 研究人员 Elad Luz 和 Tal Hason在与 The Hacker News 分享的一份报告中表示：“绕过方法很简单：大约需要一个小时才能完成，不需要用户交互，不会生成任何通知，也不会向账户持有人提供任何麻烦的迹象。”

经过负责任的披露，微软于 2024 年 10 月解决了这个代号为AuthQuake 的问题。

虽然 Windows 制造商支持通过 MFA验证用户身份的各种方式，但其中一种方法是在提供凭证后输入来自身份验证器应用程序的六位数代码。单个会话最多允许 10 次连续失败的尝试。

Oasis 发现的漏洞本质上涉及提供和验证这些一次性代码时缺乏速率限制和延长的时间间隔，从而允许恶意行为者快速产生新的会话并枚举代码的所有可能排列（即一百万），甚至不会向受害者发出登录尝试失败的警报。

值得注意的是，此类代码也称为基于时间的一次性密码 (TOTP)，具有时间限制，使用当前时间作为随机源生成。此外，这些代码仅在约 30 秒内保持有效，之后会轮换。

“然而，由于验证器和用户之间可能存在时间差异和延迟，我们鼓励验证器接受更大的代码时间窗口，”Oasis 指出。“简而言之，这意味着单个 TOTP 代码的有效期可能超过 30 秒。”

在微软的案例中，这家总部位于纽约的公司发现代码的有效期长达 3 分钟，因此攻击者可以利用延长的时间窗口同时发起更多暴力破解尝试来破解六位数代码。

研究人员表示：“引入速率限制并确保其得到正确实施至关重要。此外，速率限制可能还不够，后续失败尝试应触发账户锁定。”

此后，微软实施了更严格的速率限制，该限制在多次尝试失败后才会生效。Oasis 还表示，新的限制持续时间约为半天。

Keeper Security 首席信息安全官 James Scobey 在一份声明中表示：“最近在微软多重身份验证 (MFA) 中发现的 AuthQuake 漏洞提醒我们，安全不仅仅在于部署 MFA，还必须进行正确配置。”

“虽然 MFA 无疑是一种强大的防御手段，但其有效性取决于关键设置，例如限制速率以阻止暴力破解尝试和登录失败时通知用户。这些功能不是可选的；它们对于增强可见性至关重要，使用户能够尽早发现可疑活动并迅速做出反应。”

网络安全研究人员发布了一个概念验证 (PoC) 漏洞，该漏洞将影响 Mitel MiCollab 的一个现已修补的严重安全漏洞与任意文件读取零日漏洞串联起来，使攻击者能够从易受攻击的实例访问文件。

该严重漏洞为 CVE-2024-41713（CVSS 评分：9.8），与 Mitel MiCollab 的 NuPoint 统一消息传递 (NPM) 组件中的输入验证不足有关，从而导致路径遍历攻击。

MiCollab 是一种软件和硬件解决方案，它将聊天、语音、视频和短信功能与 Microsoft Teams 和其他应用程序集成在一起。NPM 是一个基于服务器的语音邮件系统，它使用户能够通过各种方法访问他们的语音消息，包括远程或通过 Microsoft Outlook 客户端。

WatchTowr Labs 在与 The Hacker News 分享的一份报告中表示，它在重现CVE-2024-35286（CVSS 评分：9.8）的过程中发现了 CVE-2024-41713，这是 NPM 组件中的另一个严重漏洞，可能允许攻击者访问敏感信息并执行任意数据库和管理操作。

Mitel 于 2024 年 5 月下旬发布 MiCollab 版本 9.8 SP1 (9.8.1.5) 修补了该 SQL 注入漏洞。

这个新漏洞之所以引人注目是因为它涉及将 HTTP 请求中的输入“..;/”传递给 ReconcileWizard 组件，以使攻击者进入应用程序服务器的根目录，从而可以在无需身份验证的情况下访问敏感信息（例如 /etc/passwd）。

WatchTowr Labs 的分析进一步发现，身份验证绕过可以与尚未修补的后身份验证任意文件读取漏洞相结合，以提取敏感信息。

Mitel在针对 CVE-2024-41713 的公告中表示：“成功利用此漏洞可能使攻击者获得未经授权的访问，并可能对系统的机密性、完整性和可用性产生影响。”

“如果成功利用该漏洞，攻击者可以未经身份验证访问配置信息（包括非敏感用户和网络信息），并在 MiCollab 服务器上执行未经授权的管理操作。”

该公司还指出，系统内的本地文件读取漏洞（CVE-2024-55550，CVSS 评分：2.7）是由于输入清理不足造成的，并且泄露仅限于非敏感系统信息。它强调，该漏洞不允许文件修改或权限提升。

经过负责任的披露，CVE-2024-41713 已于 2024 年 10 月 9 日插入 MiCollab 版本 9.8 SP2（9.8.2.12）或更高版本中。

安全研究员桑尼·麦克唐纳说：“从更技术层面来看，这次调查已经得出了一些宝贵的教训。”

“首先，这是一个真实的例子，表明并不总是需要完全访问源代码——即使在深入研究漏洞以重现 COTS 解决方案中已知的弱点时也是如此。根据 CVE 描述的深度，一些良好的互联网搜索技能可以成为成功寻找漏洞的基础。”

值得注意的是，MiCollab 9.8 SP2（9.8.2.12）还解决了音频、Web 和视频会议 (AWV) 组件中的一个单独的 SQL 注入漏洞（CVE-2024-47223，CVSS 评分：9.4），该漏洞可能造成严重影响，从信息泄露到执行任意数据库查询，从而导致系统无法运行。

在披露此信息之际，Rapid7 详细介绍了 Lorex 2K 室内 Wi-Fi 安全摄像头中的几个安全缺陷（从 CVE-2024-52544 到 CVE-2024-52548），这些缺陷可以组合起来实现远程代码执行 (RCE)。

在假设的攻击场景中，前三个漏洞可用于将目标设备的管理员密码重置为对手选择的密码，从而获得查看设备实时视频和音频源的权限，或者利用剩下的两个漏洞实现提升权限的 RCE。

安全研究员 Stephen Fewer指出：“该漏洞利用链由 5 个不同的漏洞组成，它们分两个阶段共同运作，以实现未经身份验证的 RCE” 。

“第 1 阶段执行身份验证绕过，允许远程未经身份验证的攻击者将设备的管理员密码重置为攻击者选择的密码。第 2 阶段利用第 1 阶段中的身份验证绕过来执行经过身份验证的基于堆栈的缓冲区溢出并以 root 权限执行操作系统 (OS) 命令，从而实现远程代码执行。”

美国网络安全和基础设施安全局 (CISA) 将影响Zyxel、North Grid Proself、ProjectSend和Cyber​​Panel产品的多个安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明这些漏洞正在被积极利用。

漏洞列表如下：

CVE-2024-51378（CVSS 评分：10.0） - 一个不正确的默认权限漏洞，允许绕过身份验证并使用 statusfile 属性中的 shell 元字符执行任意命令
CVE-2023-45727（CVSS 评分：7.5）- XML 外部实体 (XXE) 引用漏洞的不当限制，可能允许远程、未经身份验证的攻击者进行 XXE 攻击
CVE-2024-11680（CVSS 评分：9.8） - 一种不当身份验证漏洞，允许未经身份验证的远程攻击者创建帐户、上传 Web Shell 并嵌入恶意 JavaScript
CVE-2024-11667（CVSS 评分：7.5）- Web 管理界面中的路径遍历漏洞，可能允许攻击者通过精心设计的 URL 下载或上传文件

CVE-2023-45727 被纳入 KEV 目录是在趋势科技于 2024 年 11 月 19 日发布的一份报告之后，该报告将其积极利用与一个名为 Earth Kasha（又名 MirrorFace）的中国网络间谍组织联系起来。

上周，网络安全供应商 VulnCheck透露，恶意行为者最早在 2024 年 9 月就试图利用 CVE-2024-11680 来投放后利用有效载荷。

另一方面，根据Censys和Sekoia 的说法， CVE-2024-51378和 CVE-2024-11667的滥用被归因于各种勒索软件 活动，例如 PSAUX 和 Helldown 。

建议联邦民事行政部门 (FCEB) 机构在 2024 年 12 月 25 日之前修复已发现的漏洞，以确保其网络的安全。

IO DATA 路由器存在多个漏洞，遭攻击#
此前，JPCERT/CC警告称，IO DATA 路由器 UD-LT1 和 UD-LT1/EX 中的三个安全漏洞正被未知威胁行为者利用。

CVE-2024-45841（CVSS 评分：6.5）- 关键资源漏洞的权限分配不正确，允许具有访客帐户访问权限的攻击者读取敏感文件，包括包含凭据的文件
CVE-2024-47133（CVSS 评分：7.2） - 一种操作系统 (OS) 命令注入漏洞，允许使用管理帐户登录的用户执行任意命令
CVE-2024-52564（CVSS 评分：7.5） - 包含未记录的功能漏洞，允许远程攻击者禁用防火墙功能，并执行任意操作系统命令或更改路由器配置

虽然 CVE-2024-52564 的补丁已在固件 Ver2.1.9 中提供，但其余两个缺陷的修复预计要到 2024 年 12 月 18 日（Ver2.2.0）才会发布。

与此同时，这家日本公司建议客户通过禁用远程管理、更改默认访客用户密码以及确保管理员密码不容易猜到来限制设置屏幕暴露在互联网上。

Veeam 发布了安全更新，以解决影响服务提供商控制台 (VSPC) 的严重漏洞，该漏洞可能为在易受攻击的实例上执行远程代码铺平道路。

该漏洞的编号为 CVE-2024-42448，CVSS 评分为 9.9（满分 10.0）。该公司指出，该漏洞是在内部测试期间发现的。

Veeam在一份咨询报告中表示： “从 VSPC 管理代理机器，在管理代理在服务器上获得授权的情况下，可以在 VSPC 服务器机器上执行远程代码执行 (RCE)。

Veeam 修补的另一个缺陷与漏洞有关（CVE-2024-42449，CVSS 评分：7.1），该漏洞可能被滥用来泄露 VSPC 服务器服务帐户的 NTLM 哈希并删除 VSPC 服务器计算机上的文件。

这两个已发现的漏洞均影响 Veeam Service Provider Console 8.1.0.21377 以及所有早期版本的 7 和 8 版本。这些漏洞已在 8.1.0.21999 版本中得到解决。

Veeam 进一步表示，没有缓解措施可以解决这些问题，唯一的解决方案是升级到该软件的最新版本。

由于 Veeam 产品中的缺陷被威胁行为者滥用来部署勒索软件，用户必须尽快采取措施来保护他们的实例。

研华 EKI 工业级无线接入点设备被披露近二十个安全漏洞，其中一些漏洞可被利用来绕过身份验证并以提升的权限执行代码。

网络安全公司 Nozomi Networks在周三的分析中表示： “这些漏洞带来了重大风险，允许以 root 权限执行未经身份验证的远程代码，从而完全损害受影响设备的机密性、完整性和可用性。”

经过负责任的披露，以下固件版本已修复了这些漏洞 -

1.6.5（适用于 EKI-6333AC-2G 和 EKI-6333AC-2GD）
1.2.2（适用于 EKI-6333AC-1GPO）
在已发现的 20 个漏洞中，有 6 个被认定为严重漏洞，允许攻击者通过植入后门获得对内部资源的持续访问权限、触发拒绝服务 (DoS) 条件，甚至将受感染的端点重新用作 Linux 工作站，以实现横向移动和进一步的网络渗透。

在这 6 个严重缺陷中，有 5 个（从 CVE-2024-50370 到 CVE-2024-50374，CVSS 评分：9.8）与操作系统 (OS) 命令中使用的特殊元素的不当中和有关，而 CVE-2024-50375（CVSS 评分：9.8）涉及关键功能缺少身份验证的情况。

另外值得注意的是 CVE-2024-50376（CVSS 分数：7.3），这是一个跨站点脚本缺陷，可以与 CVE-2024-50359（CVSS 分数：7.2）相结合，这是另一个需要身份验证的 OS 命令注入实例，以实现无线任意代码执行。

也就是说，为了使这次攻击成功，它要求外部恶意用户在物理上接近研华接入点，并从恶意接入点广播特制的数据。

当管理员访问 Web 应用程序中的“Wi-Fi 分析器”部分时，攻击就会被激活，导致页面自动嵌入通过攻击者广播的信标帧接收的信息，而无需任何清理检查。

Nozomi Networks 表示：“攻击者可以通过其恶意接入点广播的一条信息是 SSID（通常称为‘Wi-Fi 网络名称’）。因此，攻击者可以插入 JavaScript 有效负载作为其恶意接入点的 SSID，并利用 CVE-2024-50376 触发 Web 应用程序内的跨站点脚本 (XSS) 漏洞。”

结果是在受害者的 Web 浏览器上下文中执行任意 JavaScript 代码，然后可以将其与 CVE-2024-50359 结合使用，以 root 权限在操作系统级别实现命令注入。这可能采用反向 shell 的形式，为威胁行为者提供持久的远程访问。

该公司表示：“这将使攻击者能够远程控制受感染的设备，执行命令，并进一步渗透网络，提取数据或部署其他恶意脚本。”

继报告称该漏洞在野外被积极利用后，美国网络安全和基础设施安全局 (CISA) 周一将一个影响 Array Networks AG 和 vxAG 安全访问网关的严重安全漏洞（现已修复）添加到其已知被利用漏洞 ( KEV ) 目录中。

该漏洞的编号为CVE-2023-28461（CVSS 评分：9.8），涉及缺少身份验证的情况，可被利用来实现远程任意代码执行。网络硬件供应商于 2023 年 3 月发布了针对此安全漏洞的修复程序（版本 9.4.0.484）。

Array Networks 表示：“Array AG/vxAG 远程代码执行漏洞是一种网络安全漏洞，攻击者可以利用该漏洞浏览文件系统或在 SSL VPN 网关上使用 HTTP 标头中的标志属性执行远程代码，而无需进行身份验证。该产品可通过易受攻击的 URL 加以利用。”

此前不久，网络安全公司趋势科技披露，一个与中国有关的网络间谍组织 Earth Kasha（又名 MirrorFace）一直在利用面向公众的企业产品中的安全漏洞，例如 Array AG（CVE-2023-28461）、Proself（CVE-2023-45727）和 Fortinet FortiOS/FortiProxy（CVE-2023-27997），进行初始访问。在被列入 KEV 目录之前，该组织还未披露其安全漏洞。

地球卡莎 (Earth Kasha) 以广泛攻击日本实体而闻名，尽管近年来，它也被发现攻击台湾、印度和欧洲。

本月早些时候，ESET 还披露了一项 Earth Kasha 活动，该活动针对欧盟一个未具名的外交实体，利用即将于 2025 年 4 月在日本大阪举行的 2025 年世界博览会作为诱饵，提供名为 ANEL 的后门。

鉴于漏洞正被积极利用，建议联邦民事行政部门 (FCEB) 机构在 2024 年 12 月 16 日之前应用补丁，以确保其网络安全。

据 VulnCheck 称，在总共 60 名指定威胁行为者中，有 15 个不同的中国黑客组织与滥用2023 年最常被利用的 15 个漏洞中的至少一个有关。

该网络安全公司表示，已发现超过 440,000 台可能受到攻击的互联网主机。

VulnCheck 的 Patrick Garrity 表示：“企业应该评估这些技术的风险暴露程度，增强对潜在风险的可见性，利用强大的威胁情报，保持强大的补丁管理实践，并实施缓解控制措施，例如尽可能减少这些设备面向互联网的暴露。 ”