新的 OpenSSH 漏洞可能导致 Linux 系统以 Root 身份进行 RCE 网络相关
OpenSSH 维护人员发布了安全更新,以修复一个严重的安全漏洞,该漏洞可能导致基于 glibc 的 Linux 系统中以 root 权限执行未经身份验证的远程代码。
该漏洞代号为 regreSSHion,CVE 标识符为 CVE-2024-6387。它位于OpenSSH 服务器组件(也称为 sshd)中,用于监听来自任何客户端应用程序的连接。
Qualys 威胁研究部门高级主管 Bharat Jogi 在今天发布的一份披露文件中表示:“该漏洞是 OpenSSH 服务器 (sshd) 中的信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE) 。该竞争条件会影响默认配置下的 sshd。”
OpenSSH 在一份公告中表示:“已证明在具有 [地址空间布局随机化]的 32 位 Linux/glibc 系统上可成功利用该漏洞。在实验室条件下,攻击平均需要 6-8 小时的连续连接,直至达到服务器可接受的最大连接时长。”
该漏洞影响 8.5p1 和 9.7p1 之间的版本。4.4p1 之前的版本也容易受到竞争条件漏洞的影响,除非它们针对 CVE-2006-5051 和CVE-2008-4109进行了修补。值得注意的是,OpenBSD 系统不受影响,因为它们包含阻止该漏洞的安全机制。
该安全漏洞很可能也会影响 macOS 和 Windows,尽管其在这些平台上的可利用性仍未得到证实,需要进一步分析。
具体来说,Qualys 发现,如果客户端在 120 秒内未进行身份验证(由 LoginGraceTime 定义的设置),则 sshd 的 SIGALRM 处理程序将以非异步信号安全的方式异步调用。
利用 CVE-2024-6387 的最终结果是完全系统入侵和接管,使威胁行为者能够以最高权限执行任意代码、破坏安全机制、窃取数据,甚至保持持续访问。
“漏洞一旦修复,又会在后续软件版本中再次出现,这通常是由于更改或更新无意中再次引入了该问题,”Jogi 说道。“这起事件凸显了彻底的回归测试在防止已知漏洞再次引入环境中的关键作用。”
虽然该漏洞由于其远程竞争条件性质而存在重大障碍,但建议用户应用最新补丁以防范潜在威胁。还建议通过基于网络的控制来限制 SSH 访问,并实施网络分段以限制未经授权的访问和横向移动。
研究人员警告广泛使用的工业气体分析设备存在缺陷 网络相关
艾默生罗斯蒙特气相色谱仪被披露存在多个安全漏洞,可能被恶意行为者利用来获取敏感信息、引发拒绝服务 (DoS) 条件,甚至执行任意命令。
这些缺陷影响 GC370XA、GC700XA 和 GC1500XA,存在于 4.1.5 及之前版本中。
据运营技术 (OT) 安全公司 Claroty 称,这些漏洞包括两个命令注入缺陷和两个单独的身份验证和授权漏洞,未经身份验证的攻击者可以利用它们执行从身份验证绕过到命令注入等各种恶意操作。
美国网络安全和基础设施安全局 (CISA) 在一月份发布的一份咨询报告中表示:“成功利用这些漏洞可能允许未经身份验证的攻击者通过网络访问来运行任意命令、访问敏感信息、导致拒绝服务情况以及绕过身份验证来获取管理员权限。 ”
用于进行关键气体测量的色谱仪可通过名为 MON 的软件进行配置和管理。该软件还可用于存储关键数据并生成色谱图、警报历史记录、事件日志和维护日志等报告。
Claroty 对固件以及用于该设备与 Windows 客户端MON2020之间通信的专有协议的分析发现了以下缺陷 -
CVE-2023-46687(CVSS 评分:9.8)——未经身份验证且具有网络访问权限的用户可以从远程计算机在 root 上下文中执行任意命令
CVE-2023-49716(CVSS 评分:6.9)——具有网络访问权限的经过身份验证的用户可以从远程计算机运行任意命令
CVE-2023-51761(CVSS 评分:8.3)——未经身份验证且具有网络访问权限的用户可以通过重置相关密码来绕过身份验证并获取管理员权限
CVE-2023-43609(CVSS 分数:6.9)——未经身份验证且具有网络访问权限的用户可能会获取敏感信息的访问权限或导致拒绝服务情况
经过负责任的披露,艾默生发布了[PDF] 固件更新版本以解决漏洞问题。该公司还建议最终用户遵循网络安全最佳实践,并确保受影响的产品不会直接暴露在互联网上。
此次披露之际,Nozomi Networks详细介绍了AiLux RTU62351B 中的几个漏洞,这些漏洞可能被滥用来访问设备上的敏感资源、更改其配置,甚至以 root 身份执行任意命令。这些漏洞被统称为 I11USION。
Proges Plus 温度监测设备及其相关软件(即 Sensor Net Connect 和 Thermoscan IP)中也发现了安全漏洞,这些漏洞可能允许对关键医疗系统授予管理员权限,从而使恶意行为者能够操纵系统设置、安装恶意软件和窃取数据。
这些未修补的漏洞还可能导致医疗监控基础设施出现 DoS 情况,从而导致对温度敏感的药品和疫苗变质。
Vanna AI 中的即时注入漏洞导致数据库遭受 RCE 攻击 网络相关
网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞,该漏洞可被利用通过提示注入技术实现远程代码执行漏洞。
供应链安全公司 JFrog表示,该漏洞的编号为 CVE-2024-5565(CVSS 评分:8.1),与“ask”函数中的提示注入有关,可被利用来诱骗库执行任意命令。
Vanna 是一个基于 Python 的机器学习库,允许用户与他们的 SQL 数据库聊天以通过“只需提出问题”(又名提示)来收集见解,然后使用大型语言模型(LLM)将其转换为等效的 SQL 查询。
近年来,生成式人工智能 (AI) 模型的快速推出凸显了其被恶意行为者利用的风险,他们可以通过提供绕过内置安全机制的对抗性输入将这些工具武器化。
其中一类突出的攻击是即时注入,它指的是一种人工智能越狱,可用于无视 LLM 提供商为防止产生攻击性、有害或非法内容而建立的护栏,或执行违反应用程序预期目的的指令。
此类攻击可以是间接的,其中系统处理由第三方控制的数据(例如,传入的电子邮件或可编辑文档)以启动导致 AI 越狱的恶意负载。
他们还可以采取所谓的多次越狱或多回合越狱(又名 Crescendo)的形式,其中操作员“从无害的对话开始,逐步将对话引向预期的、禁止的目标”。
这种方法可以进一步扩展,以实施另一种称为“Skeleton Key”的新型越狱攻击。
微软 Azure 首席技术官 Mark Russinovich表示:“这种 AI 越狱技术采用多轮(或多步骤)策略,使模型忽略其护栏。一旦忽略护栏,模型将无法确定来自任何其他人的恶意或未经批准的请求。”
Skeleton Key 与 Crescendo 的不同之处还在于,一旦越狱成功,系统规则发生改变,模型就可以对原本被禁止的问题做出回应,而不管其中的道德和安全风险。
“当 Skeleton Key 越狱成功时,模型就承认它已经更新了指南,随后将遵守指令来生成任何内容,无论它如何违反其原始负责任的 AI 指南,”Russinovich 说。
“与 Crescendo 等其他越狱不同,Skeleton Key 将模型置于用户可以直接请求任务的模式,而 Crescendo 等其他越狱必须间接或通过编码向模型询问任务。此外,模型的输出似乎完全未经过滤,并揭示了模型的知识范围或生成请求内容的能力。”
JFrog 的最新发现(同样由刘彤独立披露)表明,快速注入可能会产生严重影响,特别是当它们与命令执行相关时。
CVE-2024-5565 利用 Vanna 促进文本到 SQL 生成的事实来创建 SQL 查询,然后使用 Plotly 图形库执行这些查询并以图形方式呈现给用户。
这是通过“ask”函数实现的- 例如,vn.ask(“按销售额排名前 10 位的客户有哪些?”) - 这是允许生成在数据库上运行的 SQL 查询的主要 API 端点之一。
上述行为加上 Plotly 代码的动态生成,产生了一个安全漏洞,允许威胁行为者提交嵌入要在底层系统上执行的命令的特制提示。
JFrog表示:“Vanna 库使用提示函数向用户呈现可视化结果,可以使用提示注入来改变提示并运行任意 Python 代码而不是预期的可视化代码。”
“具体来说,允许将外部输入输入到库的‘ask’方法并将‘visualize’设置为 True(默认行为)会导致远程代码执行。”
在负责任地披露之后,Vanna 发布了一份强化指南,警告用户 Plotly 集成可用于生成任意 Python 代码,并且暴露此功能的用户应在沙盒环境中执行此操作。
JFrog 安全研究高级主管 Shachar Menashe 在一份声明中表示:“这一发现表明,如果没有适当的治理和安全保障,广泛使用 GenAI/LLM 的风险可能会对组织产生严重影响。”
“预提示注入的危险性仍未得到广泛了解,但很容易实施。公司不应依赖预提示作为万无一失的防御机制,在将 LLM 与数据库或动态代码生成等关键资源连接时,应采用更强大的机制。”
Apple 修复 AirPods 蓝牙漏洞,该漏洞可能导致窃听 网络相关
Apple 发布了AirPods 的固件更新,这可能会允许恶意行为者以未经授权的方式访问耳机。
该身份验证问题编号为 CVE-2024-27867,影响 AirPods(第二代及更新版本)、AirPods Pro(所有型号)、AirPods Max、Powerbeats Pro 和 Beats Fit Pro。
苹果在周二的公告中表示: “当你的耳机正在向之前配对的设备之一发出连接请求时,蓝牙范围内的攻击者可能会伪造预期的源设备并获取你耳机的访问权限。”
换句话说,物理距离较近的对手可以利用此漏洞窃听私人谈话。苹果表示,这个问题已经通过改进状态管理得到解决。
Jonas Dreßler 因发现并报告该漏洞而受到赞誉。该漏洞已作为 AirPods 固件更新 6A326、AirPods 固件更新 6F8 和 Beats 固件更新 6F8 的一部分进行修补。
两周前,iPhone 制造商推出了visionOS(1.2 版)更新,以修复 21 处缺陷,其中包括 WebKit 浏览器引擎中的 7 个漏洞。
其中一个问题涉及逻辑缺陷 (CVE-2024-27812),在处理 Web 内容时可能导致拒绝服务 (DoS)。该公司表示,该问题已通过改进文件处理得到修复。
报告该漏洞的安全研究员 Ryan Pickren 将其描述为“世界上第一个空间计算黑客攻击”,可以利用该漏洞“绕过所有警告并强行用任意数量的动画 3D 对象填充您的房间”,而无需用户交互。
该漏洞利用了 Apple 在使用ARKit Quick Look 功能在受害者房间中生成 3D 对象时未能应用权限模型这一漏洞。更糟糕的是,这些动画对象即使在退出 Safari 后仍会继续存在,因为它们由单独的应用程序处理。
“此外,它甚至不需要人类‘点击’这个锚点标签,”Pickren说。“因此,编程式 JavaScript 点击(即 document.querySelector('a').click())毫无问题!这意味着我们可以启动任意数量的 3D、动画、声音创建对象,而无需任何用户交互。”
新的 MOVEit 传输漏洞正在被利用 - 尽快修补! 网络相关
最近披露的一个影响 Progress Software MOVEit Transfer 的严重安全漏洞,在漏洞细节被公开披露后不久就已开始受到广泛利用。
该漏洞编号为 CVE-2024-5806(CVSS 评分:9.1),涉及身份验证绕过,影响以下版本 -
从 2023.0.0 到 2023.0.11
从 2023.1.0 到 2023.1.6 之间,以及
从 2024.0.0 到 2024.0.2
该公司在周二发布的公告中表示: “Progress MOVEit Transfer(SFTP 模块)中不当的身份验证漏洞可能导致身份验证绕过。”
Progress 还解决了另一个影响 MOVEit Gateway 版本 2024.0.0 的严重 SFTP 相关身份验证绕过漏洞 (CVE-2024-5805,CVSS 评分:9.1)。
成功利用这些漏洞可以让攻击者绕过 SFTP 身份验证并获得 MOVEit Transfer 和 Gateway 系统的访问权限。
此后,watchTowr Labs 发布了有关 CVE-2024-5806 的更多技术细节,安全研究人员 Aliz Hammond 和 Sina Kheirkhah 指出,它可以被武器化以冒充服务器上的任何用户。
该网络安全公司进一步描述该漏洞由两个独立的漏洞组成,一个在 Progress MOVEit 中,另一个在 IPWorks SSH 库中。
研究人员表示:“虽然更具破坏性的漏洞(即冒充任意用户的能力)是 MOVEit 独有的,但影响较小的(但仍然非常真实)强制身份验证漏洞可能会影响所有使用 IPWorks SSH 服务器的应用程序。”
Progress Software 表示,如果不及时修补,第三方组件的缺陷将“增加原始问题的风险”,并敦促客户遵循以下两个步骤 -
阻止对 MOVEit Transfer 服务器的公共入站 RDP 访问
将出站访问限制为仅来自 MOVEit Transfer 服务器的已知可信端点
据 Rapid7 称,利用 CVE-2024-5806 有三个先决条件:攻击者需要知道现有的用户名、目标帐户可以进行远程身份验证,并且 SFTP 服务可通过互联网公开访问。
截至 6 月 25 日,Censys 收集的数据显示,在线 MOVEit Transfer 实例约有 2,700 个,其中大部分位于美国、英国、德国、荷兰、加拿大、瑞士、澳大利亚、法国、爱尔兰和丹麦。
由于 MOVEit Transfer 中的另一个严重问题在去年的一系列 Cl0p 勒索软件攻击中被广泛滥用( CVE-2023-34362,CVSS 评分:9.8),用户必须迅速更新到最新版本。
此前,美国网络安全和基础设施安全局 (CISA) 透露,今年 1 月初,一个未知威胁行为者利用Ivanti Connect Secure (ICS) 设备中的安全漏洞(CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893) 攻击了其化学安全评估工具 (CSAT)。
该机构表示:“此次入侵可能导致对 Top-Screen 调查、安全漏洞评估、站点安全计划、人员保障计划 (PSP) 提交和 CSAT 用户帐户的潜在未经授权的访问”,并补充说没有发现数据泄露的证据。
新的攻击技术利用 Microsoft 管理控制台文件 网络相关
威胁行为者正在利用一种新颖的攻击技术,该技术利用特制的管理保存控制台 (MSC) 文件来使用 Microsoft 管理控制台 ( MMC ) 获得完整的代码执行并逃避安全防御。
Elastic 安全实验室在识别出2024 年 6 月 6 日上传到 VirusTotal 恶意软件扫描平台的工件(“ sccm-updater.msc ”)后,将该方法命名为GrimResource 。
该公司在与 The Hacker News 分享的声明中表示:“当导入恶意制作的控制台文件时,MMC 库之一中的漏洞可能导致运行对手代码,包括恶意软件。”
“攻击者可以将此技术与DotNetToJScript结合起来以获得任意代码执行,从而导致未经授权的访问、系统接管等。”
使用不常见的文件类型作为恶意软件传播媒介被视为攻击者绕过微软近年来建立的安全 护栏的另一种尝试,包括默认禁用从互联网下载的 Office 文件中的宏。
上个月,韩国网络安全公司 Genians详细介绍了与朝鲜有关的 Kimsuky 黑客组织使用恶意 MSC 文件传播恶意软件的情况。
另一方面,GrimResource 利用 apds.dll 库中存在的跨站点脚本 (XSS) 漏洞在 MMC 上下文中执行任意 JavaScript 代码。该 XSS 漏洞最初于 2018 年底报告给 Microsoft 和 Adobe,但至今仍未得到修补。
这是通过在恶意 MSC 文件的 StringTable 部分中添加对易受攻击的 APDS 资源的引用来实现的,当使用 MMC 打开时,会触发 JavaScript 代码的执行。
该技术不仅可以绕过 ActiveX 警告,还可以与 DotNetToJScript 结合使用以实现任意代码执行。所分析的样本使用此方法启动了一个名为 PASTALOADER 的 .NET 加载器组件,最终为 Cobalt Strike 铺平了道路。
安全研究人员 Joe Desimone 和 Samir Bousseaden 表示: “在微软默认禁用来自互联网的文档的 Office 宏后,其他感染媒介(如 JavaScript、MSI 文件、LNK 对象和 ISO)的流行度激增。”
“然而,这些其他技术受到防御者的严格审查,被发现的可能性很高。攻击者已经开发出一种新技术,可以使用精心设计的 MSC 文件在 Microsoft 管理控制台中执行任意代码。”
研究人员发现影响多款英特尔 CPU 的 UEFI 漏洞 网络相关
网络安全研究人员披露了 Phoenix SecureCore UEFI 固件中现已修复的安全漏洞的详细信息,该漏洞影响多个系列的英特尔酷睿台式机和移动处理器。
“UEFIcanhazbufferoverflow”漏洞的编号为CVE-2024-0762(CVSS 评分:7.5),它被描述为一种缓冲区溢出的情况,源于在受信任平台模块 (TPM) 配置中使用不安全变量,可能导致执行恶意代码。
供应链安全公司 Eclypsium在与 The Hacker News 分享的一份报告中表示: “该漏洞允许本地攻击者提升权限并在运行时在 UEFI 固件中执行代码。”
“这种低级利用是固件后门(例如BlackLotus)的典型特征,这种后门在野外越来越常见。此类植入使攻击者能够在设备中持续驻留,并且通常能够逃避在操作系统和软件层中运行的更高级别的安全措施。”
在负责任地披露之后,Phoenix Technologies 于 2024 年 4 月解决了该漏洞。个人电脑制造商联想也在上个月发布了针对该漏洞的更新。
固件开发人员表示:“此漏洞会影响使用 Phoenix SecureCore 固件并运行部分英特尔处理器系列的设备,包括 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。”
UEFI是 BIOS 的后继者,是指启动期间用于初始化硬件组件并通过启动管理器加载操作系统的主板固件。
由于 UEFI 是第一个以最高权限运行的代码,因此它对于威胁行为者来说是一个有利可图的目标,威胁行为者希望部署启动工具包和固件植入程序,这些程序可以破坏安全机制并在不被发现的情况下保持持久性。
这也意味着在 UEFI 固件中发现的漏洞可能带来严重的供应链风险,因为它们可以同时影响许多不同的产品和供应商。
Eclypsium 表示:“UEFI 固件是现代设备上最有价值的代码之一,任何对该代码的破坏都可能让攻击者完全控制并持久控制设备。”
近一个月前,惠普披露了其 UEFI 实施中一个类似的未修补的缓冲区溢出漏洞,该漏洞影响了 HP ProBook 11 EE G1,该设备于 2020 年 9 月已达到使用寿命终止 (EoL) 状态。
此前还披露了一种名为 TPM GPIO Reset 的软件攻击,攻击者可利用该攻击访问其他操作系统存储在磁盘上的机密信息,或破坏受 TPM 保护的控制(例如磁盘加密或启动保护)。
新的 PHP 漏洞使 Windows 服务器面临远程代码执行风险 网络相关
有关影响 PHP 的一个新的严重安全漏洞的详细信息已经浮出水面,该漏洞可在特定情况下被利用来实现远程代码执行。
该漏洞编号为CVE-2024-4577,被描述为影响 Windows 操作系统上安装的所有 PHP 版本的 CGI 参数注入漏洞。
DEVCORE 安全研究员称,该漏洞可导致绕过针对另一个安全漏洞CVE-2012-1823设置的保护措施。
安全研究员 Orange Tsai表示:“在实施 PHP 时,团队并没有注意到Windows 操作系统内编码转换的Best-Fit特性。”
“这一疏忽使得未经身份验证的攻击者能够通过特定字符序列绕过 CVE-2012-1823 的先前保护。通过参数注入攻击,可以在远程 PHP 服务器上执行任意代码。”
继 2024 年 5 月 7 日负责任地披露之后, PHP 版本 8.3.8、8.2.20 和 8.1.29中已发布针对该漏洞的修复。
DEVCORE 警告称,当 Windows 上的所有 XAMPP 安装配置为使用繁体中文、简体中文或日语语言环境时,默认情况下都存在漏洞。
这家台湾公司还建议管理员完全放弃过时的 PHP CGI,选择更安全的解决方案,如 Mod-PHP、FastCGI 或 PHP-FPM。
“这个漏洞非常简单,但这也是它有趣的地方,”蔡说。“谁会想到,一个经过 12 年审查并被证明是安全的补丁,会因为 Windows 的一个小功能而被绕过?”
Shadowserver 基金会在 X 上分享的一篇文章中表示,在公开披露后的 24 小时内,它已经检测到针对其蜜罐服务器的涉及该漏洞的利用尝试。
watchTowr Labs 表示,它能够设计出针对 CVE-2024-4577 的漏洞利用并实现远程代码执行,因此用户必须迅速应用最新的补丁。
安全研究员阿利兹·哈蒙德 (Aliz Hammond)表示:“这是一个非常严重的漏洞,但可以利用它很容易地利用它。”
“那些在受影响的语言环境(中文(简体或繁体)或日语)下运行受影响配置的用户请尽快执行此操作,因为该漏洞利用复杂性低,因此很有可能被大规模利用。”
小心:虚假浏览器更新会传播 BitRAT 和 Lumma Stealer 恶意软件 网络相关
虚假的网络浏览器更新被用于传播远程访问木马 (RAT) 和信息窃取恶意软件,例如BitRAT和Lumma Stealer(又名 LummaC2)。
网络安全公司 eSentire 在一份新报告中表示: “虚假浏览器更新是导致大量恶意软件感染的元凶,包括著名的 SocGholish 恶意软件。2024年 4 月,我们观察到FakeBat通过类似的虚假更新机制进行传播。”
当潜在目标访问一个带有陷阱的网站时,攻击链就开始了,该网站包含旨在将用户重定向到虚假浏览器更新页面(“chatgpt-app[.]cloud”)的 JavaScript 代码。
重定向的网页嵌入了指向 ZIP 存档文件(“Update.zip”)的下载链接,该文件托管在 Discord 上并自动下载到受害者的设备。
值得指出的是,威胁行为者经常使用 Discord 作为攻击媒介, Bitdefender最近的分析发现,在过去六个月中,有超过 50,000 个危险链接传播恶意软件、网络钓鱼活动和垃圾邮件。
ZIP 存档文件中存在另一个 JavaScript 文件(“Update.js”),它会触发 PowerShell 脚本的执行,该脚本负责从远程服务器以 PNG 图像文件的形式检索其他有效负载,包括 BitRAT 和 Lumma Stealer。
以这种方式还检索了用于建立持久性的 PowerShell 脚本和主要用于启动最后阶段恶意软件的基于 .NET 的加载器。eSentire 推测,该加载器很可能被宣传为“恶意软件传送服务”,因为同一个加载器用于部署 BitRAT 和 Lumma Stealer。
BitRAT 是一种功能丰富的 RAT,允许攻击者收集数据、挖掘加密货币、下载更多二进制文件以及远程控制受感染的主机。Lumma Stealer 是一种商品窃取恶意软件,自 2022 年 8 月起每月售价 1750 至 7,000 元,能够从网络浏览器、加密钱包和其他敏感细节中捕获信息。
该公司表示:“伪造的浏览器更新诱饵已成为攻击者入侵设备或网络的常用手段”,并补充说,“这显示了运营商利用可信名称来最大限度地扩大覆盖范围和影响力的能力。”
虽然此类攻击通常利用驱动下载和恶意广告技术,但 ReliaQuest 在上周发布的一份报告中表示,它发现了ClearFake 活动的新变种,该变种以浏览器更新为借口诱骗用户复制、粘贴和手动执行恶意 PowerShell 代码。
具体来说,该恶意网站声称“显示此网页时出现错误”,并指示网站访问者按照一系列步骤安装根证书来解决该问题,其中包括复制混淆的 PowerShell 代码并在 PowerShell 终端中运行它。
该公司表示:“执行后,PowerShell 代码会执行多项功能,包括清除 DNS 缓存、显示消息框、下载更多 PowerShell 代码以及安装‘LummaC2’恶意软件。 ”
根据网络安全公司分享的信息,Lumma Stealer 与 RedLine 和 Raccoon 一起成为 2023 年最流行的信息窃取者之一。
“从 2023 年第三季度到第四季度,LummaC2 获取的待售日志数量增加了 110%”,报告指出。“LummaC2 在攻击者中越来越受欢迎,可能是因为它的成功率很高,这指的是它能够成功地渗透系统并在不被发现的情况下窃取敏感数据。”
与此同时,AhnLab 安全情报中心 (ASEC) 披露了一项新活动的细节,该活动使用 webhards(网络硬盘的缩写)作为渠道,分发成人游戏和破解版 Microsoft Office 的恶意安装程序,并最终部署各种恶意软件,如 Orcus RAT、XMRig miner、3proxy和 XWorm。
类似的攻击链涉及提供盗版软件的网站,导致了PrivateLoader和TaskLoader等恶意软件加载器的部署,它们都作为按安装付费 (PPI) 服务提供给其他网络犯罪分子,以投放他们自己的负载。
此外,Silent Push 还发现了CryptoChameleon “几乎独家使用” DNSPod[.]com 域名服务器来支持其钓鱼工具包架构的新情况。DNSPod是中国腾讯公司的一部分,曾为恶意防弹托管运营商提供服务。
该公司表示:“CryptoChameleon 使用 DNSPod 名称服务器来采用快速通量逃避技术,使威胁行为者能够快速循环浏览与单个域名相关的大量 IP 。 ”
“Fast flux 允许 CryptoChameleon 基础设施逃避传统的对策,并显著降低传统时间点 IOC 的运营价值。”使用至少七个主要社交媒体账户和一个拥有超过 250 个账户的 CIB 网络。
TP-Link 游戏路由器漏洞使用户面临远程代码攻击 网络相关
TP-Link Archer C5400X 游戏路由器被披露存在一个最高严重性安全漏洞,该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。
该漏洞被标记为CVE-2024-5035,CVSS 评分为 10.0。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本。该漏洞已在2024 年 5 月 24 日发布的1_1.1.7 版本中得到修补。
德国网络安全公司 ONEKEY在周一发布的一份报告中表示: “通过成功利用此漏洞,远程未经身份验证的攻击者可以以提升的权限在设备上执行任意命令。”
该问题根源在于与射频测试“rftest”相关的二进制文件,该文件在启动时启动,并在 TCP 端口 8888、8889 和 8890 上公开网络监听器,从而允许远程未经身份验证的攻击者实现代码执行。
虽然网络服务设计为仅接受以“ wl ”或“ nvram get ”开头的命令,但 ONEKEY 发现,可以通过在 shell 元字符(如 ; 、& 或 | )后注入命令来轻松绕过该限制(例如“wl;id;”)。
TP-Link 在 1_1.1.7 Build 20240510 版本中实施的修复通过丢弃任何包含这些特殊字符的命令来解决该漏洞。
ONEKEY 表示:“TP-Link 提供无线设备配置 API 的需求似乎必须以快速或低成本的方式得到满足,最终导致他们在网络上暴露了一个据称有限的 shell,路由器内的客户端可以使用它来配置无线设备。”
几周前,台达电子还披露了 DVW W02W2 工业以太网路由器 ( CVE-2024-3871 ) 和 Ligowave 网络设备 ( CVE-2024-4999 ) 的安全漏洞,这些漏洞可能允许远程攻击者以提升的权限获取远程命令执行。
值得注意的是,由于这些缺陷不再得到积极维护,因此仍未得到修补,因此用户必须采取适当措施限制管理界面的暴露,以减少被利用的可能性。