Chrome 谷歌浏览器0day警报 - 请更新浏览器以修补漏洞 网络相关
谷歌周四发布了安全更新,以解决 Chrome 中的一个零日漏洞,并称该漏洞已被广泛利用。
该高严重性漏洞的编号为CVE-2024-4671,已被描述为 Visuals 组件中的释放后使用案例。这是一位匿名研究人员于 2024 年 5 月 7 日报道的。
当程序在释放内存位置后引用该内存位置时,会出现释放后使用错误,该错误可能会导致多种后果,从崩溃到任意代码执行。
该公司在一份简短的公告中表示,“谷歌意识到 CVE-2024-4671 的漏洞存在”,但没有透露该漏洞如何在现实世界的攻击中被武器化的更多细节,他们也没有透露背后威胁者的身份。
根据最新进展,自今年年初以来,谷歌已经解决了 Chrome 中两个被积极利用的零日漏洞。
今年 1 月初,这家科技巨头修复了 V8 JavaScript 和 WebAssembly 引擎中的越界内存访问问题(CVE-2024-0519,CVSS 评分:8.8),该问题可能导致崩溃。
谷歌还解决了三月份在温哥华举行的 Pwn2Own 黑客大赛期间披露的另外三个零日漏洞 -
CVE-2024-2886 - WebCodecs 中的释放后使用
CVE-2024-2887 - WebAssembly 中的类型混淆
CVE-2024-3159 - V8 中的越界内存访问
建议用户在 Windows 和 macOS 上升级到 Chrome 版本 124.0.6367.201/.202,在 Linux 上升级到 Chrome 版本 124.0.6367.201,以减轻潜在威胁。
还建议使用基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在修复程序可用时应用这些修复程序。
四个严重漏洞使 HPE Aruba 设备面临 RCE 攻击 网络相关
HPE Aruba Networking(以前称为 Aruba Networks)已发布安全更新,以解决影响 ArubaOS 的严重缺陷,这些缺陷可能导致受影响系统上的远程代码执行 (RCE)。
在这10 个安全缺陷中,有 4 个缺陷的严重程度被评为严重 -
CVE-2024-26304(CVSS 评分:9.8)- 通过 PAPI 协议访问的 L2/L3 管理服务中未经身份验证的缓冲区溢出漏洞
CVE-2024-26305(CVSS 评分:9.8)- 通过 PAPI 协议访问的实用程序守护程序中存在未经身份验证的缓冲区溢出漏洞
CVE-2024-33511(CVSS 评分:9.8)- 通过 PAPI 协议访问的自动报告服务中未经身份验证的缓冲区溢出漏洞
CVE-2024-33512(CVSS 评分:9.8)- 通过 PAPI 协议访问的本地用户身份验证数据库中未经身份验证的缓冲区溢出漏洞
威胁行为者可以通过向进程应用程序编程接口 (PAPI) UDP 端口 (8211) 发送特制数据包来利用上述缓冲区溢出漏洞,从而获得以底层操作系统上的特权用户身份执行任意代码的能力。
这些漏洞影响 Aruba Central 管理的 Mobility Conductor(以前称为 Mobility Master)、Mobility 控制器以及 WLAN 网关和 SD-WAN 网关,存在于以下软件版本中:
ArubaOS 10.5.1.0 及更低版本
ArubaOS 10.4.1.0 及更低版本
ArubaOS 8.11.2.1 及更低版本
ArubaOS 8.10.0.10 及更低版本
它们还会影响已达到维护状态结束的 ArubaOS 和 SD-WAN 软件版本 -
ArubaOS 10.3.x.x
ArubaOS 8.9.x.x
ArubaOS 8.8.x.x
ArubaOS 8.7.x.x
ArubaOS 8.6.x.x
ArubaOS 6.5.4.x
SD-WAN 8.7.0.0-2.3.0.x
SD-WAN 8.6.0.4-2.2.x.x
一位名叫 Chancen 的安全研究人员发现并报告了这 10 个问题中的 7 个,其中包括四个严重的缓冲区溢出漏洞。
建议用户应用最新的修复程序以减轻潜在威胁。作为 ArubaOS 8.x 的临时解决方法,该公司建议用户使用非默认密钥启用增强型 PAPI 安全功能。
小米、WPS Office 等热门 Android 应用存在文件覆盖漏洞 网络相关
Google Play 商店中提供的多个流行 Android 应用程序容易受到代号为Dirty Stream攻击的路径遍历相关漏洞的影响,恶意应用程序可能会利用该漏洞覆盖易受攻击的应用程序主目录中的任意文件。
微软威胁情报团队的 Dimitrios Valsamaras在周三发布的一份报告中表示:“此漏洞模式的影响包括任意代码执行和令牌盗窃,具体取决于应用程序的实现。”
成功利用该漏洞可能使攻击者能够完全控制应用程序的行为,并利用被盗的令牌对受害者的在线帐户和其他数据进行未经授权的访问。
发现容易受到该问题影响的两个应用程序如下 -
小米文件管理器 (com.mi.Android.globalFileexplorer) - 安装量超过 10 亿次
WPS Office (cn.wps.moffice_eng) - 超过 5 亿次安装
虽然 Android 通过为每个应用程序分配自己的专用数据和内存空间来实现隔离,但它提供了所谓的内容提供程序,以促进应用程序之间以安全的方式共享数据和文件。但实施疏忽可能会绕过应用程序主目录中的读/写限制。
“这种基于内容提供商的模型提供了明确定义的文件共享机制,使服务应用程序能够通过细粒度控制以安全的方式与其他应用程序共享其文件,”Valsamaras 说。
“但是,我们经常遇到这样的情况:消费应用程序不验证其接收到的文件的内容,最令人担忧的是,它使用服务应用程序提供的文件名将接收到的文件缓存在消费应用程序的内部数据目录中”。
当服务应用程序声明FileProvider 类的恶意版本以启用应用程序之间的文件共享时,此陷阱可能会产生严重后果,并最终导致使用应用程序覆盖其私有数据空间中的关键文件。
换句话说,该机制利用了这样一个事实:消费应用程序盲目信任输入,通过自定义、明确的意图,在用户不知情或同意的情况下发送具有特定文件名的任意有效负载,从而导致代码执行。
因此,这可能允许攻击者覆盖目标应用程序的共享首选项文件,并使其与受其控制的服务器通信以窃取敏感信息。
另一种情况涉及从自己的数据目录(而不是“/data/app-lib”)加载本机库的应用程序,在这种情况下,恶意应用程序可以利用上述弱点,用恶意代码覆盖本机库,这些代码在库已加载。
经过负责任的披露,小米和 WPS Office 均已于 2024 年 2 月纠正了该问题。不过,微软表示该问题可能会更加普遍,要求开发者采取措施检查其应用程序是否存在类似问题。
谷歌还就此事发布了自己的指南,敦促开发人员正确处理服务器应用程序提供的文件名。
谷歌表示:“当客户端应用程序将接收到的文件写入存储时,它应该忽略服务器应用程序提供的文件名,而使用自己内部生成的唯一标识符作为文件名。” “如果生成唯一的文件名不切实际,客户端应用程序应该清理提供的文件名。”
勒索软件双重危机:网络勒索再次受害 网络相关
网络勒索 (Cy-X) 或更为常见的勒索软件是在过去三到四年中引起广泛关注的话题。自 2020 年以来,Orange Cyberdefense 广泛覆盖了这一威胁。
在最新的年度安全报告《Security Navigator 2024》(SN24)中,研究显示,2022 年至 2023 年(2022 年第四季度至 2023 年第三季度)期间增长了 46%。更新我们的数据集后,我们发现实际增幅甚至更高,增幅略低于 51%。更新的数字是由于数据集的动态性质所致;生态系统不断变化,因此我们只有在研究期结束后才意识到某些泄漏地点及其受害者。
可悲的是,这只会进一步加剧现实。预测这种增长水平是否会维持是很困难的。 Cy-X 可能已达到饱和点,我们可能会看到 Cy-X 威胁持续维持在 2023 年的水平。另一方面,如果我们确实遵循过去几年的受害者人数模式(年初人数较少,全年不断增加),则会产生相反的效果,一旦受害者人数不断增加,更多的。然而,我们认为 Cy-X 受害者数量目前将保持稳定,如果幸运的话,敲诈勒索受害者可能会减少。尽管如此,我们距离取得胜利还有很长的路要走。
自报告中讨论 SN24 Cy-X 数据集结束以来已经过去了六个月,这段时间发生了很多事情。 2023 年第四季度和 2024 年第一季度的受害者总数为 2,141 人,几乎是 2022 年全年记录的所有受害者,即 2,220 人。考虑到两个最活跃的 Cy-X 组织在此期间(试图)遭到破坏,这一受害者数量是惊人的。执法部门 (LE) 的目标是在 2023 年 12 月扰乱 ALPHV,几天后他们就通过“松开”自己来表现出抵抗。 LE 随后于 2024 年 2 月拿下了 LockBit 的基础设施,但这仅意味着 LockBit 的停机时间为几天,因为他们也在最初拿下几天后设法恢复了在线状态。尽管这两个 Cy-X 操作当时看起来非常抵制,但 ALPHV(BlackCat)在 2024 年 3 月上旬下线,“退出”游戏,很可能是所谓的退出骗局。
破坏这一不稳定生态系统的努力——Cy-X 品牌寿命短带来的挑战#
无论其效果如何,之前的 LE 活动都为 Cy-X 运营提供了重要的见解。一个例子是 Cy-X 犯罪的暗数,即我们不知道的受害者人数,因为他们没有暴露在我们监控的泄密网站上。了解暗数将有助于我们完整了解当前 Cy-X 威胁。因此,整个情况将包括受害者的实际数量,其中包括我们对泄露网站上暴露的受害者的部分看法(我们的数据)以及我们永远不会知道的受害者组织(暗数)。 2023 年 Hive 被查封后发现的受害者人数比我们从其数据泄露网站记录的受害者人数还要多,实际人数比我们从其数据泄露网站记录的要多 5 到 6 倍。如果我们将 2020 年 1 月至 2024 年 3 月期间记录的受害者人数(11,244 人)乘以 6,那么所有 Cy-X 组织的实际受害者人数可能高达 67,000 人。
Cl0p 是我们数据集中最持久的威胁参与者,它在 2023 年非常繁忙,占所有受害者的 11%。然而,自该分析以来的过去六个月中,Cy-X 组织的数据泄露网站上仅观察到 7 名受害者。 Cl0p 过去曾一度出现,大规模利用漏洞,但最终又回到了阴影中,因此这可能只是 Cl0p 的作案手法。
活跃 Cy-X 基团的总数随时间波动,并且某些基团比其他基团持续时间更长。 《Security Navigator 2024》报告通过研究同比变化来解决这个问题。总体而言,与 2022 年相比,2023 年活跃 Cy-X 团体的数量确实出现了净增长。总的来说,这是一个非常不稳定的生态系统,其中有很多变动。我们的研究发现,54% 的 Cy-X“品牌”在运行 1 至 6 个月后就消失了。延续到 2023 年的 Cy-X 群体数量较少,但新 Cy-X 群体数量的增加导致了活动的净增长。进一步证实了这些群体的短暂性。讽刺的是,LockBit3 和 ALPHV 被列为 2023 年“持久”类别。
这项研究是作为防御 Cy-X 有效性检查的一部分进行的。 LE 和全球各地的政府机构正在努力消除网络勒索,因为这确实是一个全球性问题。在过去两年半中,我们看到 LE 活动稳步增长,记录了 169 项打击网络犯罪的行动。
在所有有记录的 LE 活动中,我们发现网络勒索受到的关注最多。所有行为中有 14% 与网络勒索犯罪有关,其次是黑客行为和欺诈行为,各占 11%。与加密货币相关的犯罪占 9% 的份额。近一半的 LE 活动涉及对个人或团体的逮捕和判刑。
在我们最新的 Security Navigator 报告中,我们写道,“2023 年,我们特别注意到,我们加大力度摧毁或破坏威胁行为者(滥用)使用的基础设施和托管服务。”根据过去 6 个月更新的数据集,我们确实看到“执法干扰”类别的比例更高。在这里,我们收集了一些行动,例如启动国际工作组打击勒索软件的公告、LE 欺骗威胁行为者为其提供解密密钥、夺取基础设施、渗透网络犯罪市场等。虽然我们之前已经争论过我们确实看到的行动是否执行得最多通常,例如逮捕和扣押可能不会那么有效,最近的两项 LE 行动非常值得关注。
在 ALPHV 的案例中,他的第一反应似乎对 LE 破坏它的努力非常有抵抗力,但他已经逃离了现场,并且(很可能)进行了退出骗局。这可能会极大地破坏勒索软件即服务 (RaaS) 生态系统内的“信任”,随着附属机构和其他参与者评估其风险,受害者数量可能会在短期内减少。与此同时,还有一个空白需要填补,从历史上看,新的(重新)品牌很快就会填补这一空白。
与 ALPHV 类似,LockBit 声称在最初的打击中幸存下来,但在网络勒索的世界中,声誉就是一切。附属机构是否会继续与“复活”的 LockBit 开展业务,而不怀疑这是否可能是一个 LE 蜜罐?
Cy-X 受害者以绝望或附属交叉的形式再次受害#
到目前为止,我们知道网络犯罪生态系统是一个复杂的生态系统,包括许多不同类型的参与者、角色和行为。对于我们正在监控的网络犯罪类型——网络勒索来说,情况确实如此。在过去的十年中,网络犯罪即服务 (CaaS) 的生态系统确实得到了发展,并为监控此类犯罪增加了一些挑战。其中一个挑战是没有一个威胁行为者从头到尾执行一次攻击(完整的攻击链)。
在检查 Cy-X 数据泄露网站上的受害者列表时,我们观察到受害者的重新出现。这不是什么新鲜事,我们自 2020 年以来一直在观察这种现象。但我们终于有了足够大的数据集来对再次发生的事件进行分析,以分析这些是否确实是再次受害或生态系统的其他动态,甚至是生态系统本身并没有意识到。例如,我们注意到,一些受害者的名单相隔数月或数年,而另一些受害者则在几天或几周内重新发布。我们不会下载被盗数据并检查列表内容,因为这是我们的道德问题,我们不想下载和存储被盗受害者数据。因此,我们的观察基于匹配受害者姓名。
在考虑可能的再次受害情况时,我们最紧迫的问题之一是为什么我们会看到一些受害者再次出现。
我们对此有一些简化的假设:
另一次网络攻击:实际再次受害,因此发生了针对同一受害者的第二轮网络勒索/网络攻击。通过可能使用相同的入口点或后门;或者与第一次出现完全无关。
访问或数据的重复使用:受害者的数据已经“传播”(泄露或出售给地下组织)并被用作再次勒索受害者的杠杆。或者该访问权限已出售给不同的买家。然而,数据或访问权限正在被重复使用。
关联公司交叉:关联公司在不同的 Cy-X 操作之间重复使用受害者数据。
最后一个假设可能表明威胁行为者是多么受经济驱动,以及他们可能变得多么绝望。我们确信我们的假设可能存在其他变化,但我们希望在接下来的分析中尽可能保持简单。我们想探讨是否看到行为者之间再次受害的模式。我们发现超过 100 起受害者被重新发布到同一组织或另一个组织的泄密网站的事件。
我们创建了一个网络图并向节点添加了一些颜色编码。绿色节点代表第二个发布有关特定受害者的信息的演员。他们强调了再次受害的情况。蓝色节点代表充当受害者的起源或第一张海报的演员。当 Cy-X 演员既是首次发布者又是第二次发布者时,该节点默认为绿色。箭头是一个附加指示符。查看受害者出现的有向网络图,我们可以看到再次受害的方向。一些具有循环引用的 Cy-X 参与者在他们自己的数据泄露网站上转发了受害者。以下分析是我们当前研究的摘要,我们计划在即将发布的年度勒索软件报告Cy-Xplorer中发布更广泛的分析。
有几个集群引起了人们的注意。例如,Snatch 组织通过不断重新发布来自其他 Cy-X 操作(例如 AstroTeam、Meow、Sabbath、Karma Leaks、cactus、Quantum、Egregor 和 Marketo)的受害者来展示重新受害活动。请记住,再次受害是指犯罪受害者在未来遭受额外伤害或受害的现象。我们认为,这意味着受害者会再次经历未经授权的访问和/或数据泄露和/或数据盗窃和/或勒索和/或加密和/或声誉受损、和/或财务损失和心理伤害ETC。
在这三种假设中,受害者将再次成为受害者,经历上述的一种、几种或全部伤害。这与攻击本身的技术复杂性无关,而仅仅是因为再次被列入暗网泄露网站,受害者组织再次面临几种严重形式的伤害。
如果我们继续研究该图,我们会看到另一个集群,ALPHV,我们看到 ALPHV 重新发布了来自 MONTI、8Base 和 Qilin 的受害者(在后者中,受害者组织在同一天在两个泄漏站点 ALPHV 和 Qilin 上发布) )。与此同时,首先出现在 ALPHV 泄露网站上的受害者组织被其他各种组织重新发布,例如 AvosLocker、LockBit、Ransomhouse、incransom、Haron、cactus 等。箭头有助于指示关系的方向性,例如,谁先行动。其他星团也表现出非常相似的模式,我们在此探索中不会深入探讨。尽管如此,网络图和上述(部分)分析向我们展示了转发受害组织的关系和模式。更具体地说,同一受害者(不是同一事件)在网络勒索领域的传播重申了我们在之前的工作中讨论过的另一个理论,即网络勒索的“机会主义本质”。网络勒索是一种大规模游戏,确保经济收益的一种方法是“在不同方面进行游戏”,以确保至少某种形式的付款。此外,从较高的层面来看,它显示了这个生态系统已经变得多么混乱。我们的所有三个假设都进一步揭示了网络犯罪生态系统的不可预测性。
因此,再次受害并不会改变网络勒索的运作方式,但它确实向我们展示了不同形式的再次受害的可能性,因此不幸的是增加了遭受网络勒索攻击的受害者组织的痛苦。最后,此类分析有助于我们了解网络犯罪生态系统的动态,在本例中是网络勒索/勒索软件威胁格局及其威胁参与者。
与首次网络攻击一样,对于受害者组织来说,解决决定受害者结果的受害者变量非常重要。简而言之,您的网络实践、您的数字足迹、您组织的数据对您的价值、威胁行为者访问您的环境的时间、您可能为增加数据泄露的“噪音”而采取的安全控制措施;所有变量都会影响您的组织对网络空间中机会主义威胁行为者的吸引力。
英特尔和联想 BMC 存在未修补的 Lighttpd 服务器缺陷 网络相关
Binarly 的新发现显示,英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。
虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补,但由于缺乏 CVE 标识符或建议,这意味着它被 AMI MegaRAC BMC 的开发人员忽视,最终出现在产品中由英特尔和联想提供。
Lighttpd(发音为“Lighty”)是一款开源高性能 Web 服务器软件,专为速度、安全性和灵活性而设计,同时针对高性能环境进行了优化,且不会消耗大量系统资源。
Lighttpd 的静默修复涉及越界读取漏洞,该漏洞可用于泄露敏感数据,例如进程内存地址,从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。
该固件安全公司表示:“缺乏有关安全修复的及时和重要信息,阻碍了固件和软件供应链上这些修复的正确处理。”
缺陷描述如下——
Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取
Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取
1.4.51 之前的 Lighttpd 中的越界读取
英特尔和联想选择不解决该问题,因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态,不再有资格进行安全更新,从而实际上将其变成了永远的错误。
该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。
Binarly 补充道:“这是某些产品中永远无法修复的另一个漏洞,并将在很长一段时间内给行业带来高影响风险。”
严重的“BatBadBut”Rust 漏洞使 Windows 系统面临攻击 网络相关
Rust 标准库中的一个关键安全漏洞可能会被利用来针对 Windows 用户并发起命令注入攻击。
该漏洞的编号为CVE-2024-24576,CVSS 评分为 10.0,表明严重程度最高。也就是说,它仅影响在 Windows 上使用不受信任的参数调用批处理文件的场景。
Rust 安全响应工作组在 2024 年 4 月 9 日发布的公告中表示: “在 Windows 上使用 Command API 调用批处理文件(带有 bat 和 cmd 扩展名)时,Rust 标准库没有正确转义参数。”
“能够控制传递给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。”
该缺陷影响 1.77.2 之前的所有 Rust 版本。安全研究员RyotaK被认为发现了该错误并向 CERT 协调中心 ( CERT/CC ) 报告。
RyotaK 表示,该漏洞(代号为 BatBadBut)会影响多种编程语言,并且当“编程语言包装 [Windows 中] 的 CreateProcess 函数并添加命令参数的转义机制”时,就会出现该漏洞。
但鉴于并非所有编程语言都解决了该问题,建议开发人员在 Windows 上执行命令时要小心谨慎。
RyotaK在给用户的建议中表示: “为了防止批处理文件意外执行,您应该考虑将批处理文件移动到不包含在 PATH 环境变量中的目录中。”
“在这种情况下,除非指定完整路径,否则批处理文件不会被执行,因此可以防止批处理文件的意外执行。”
紧急:XZ Utils 库中发现秘密后门,影响主要 Linux 发行版 网络相关
红帽公司周五发布了“紧急安全警报”,警告称流行的数据压缩库XZ Utils(以前称为 LZMA Utils)的两个版本已被恶意代码植入后门,旨在允许未经授权的远程访问。
软件供应链妥协的编号为CVE-2024-3094,CVSS 评分为 10.0,表明严重程度最高。它影响 XZ Utils 版本 5.6.0(2 月 24 日发布)和 5.6.1(3 月 9 日发布)。
IBM 子公司在一份公告中表示: “通过一系列复杂的混淆,liblzma 构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件,然后用于修改 liblzma 代码中的特定功能。”
“这会产生一个修改后的 liblzma 库,任何与该库链接的软件都可以使用该库,拦截并修改与该库的数据交互。”
具体来说,代码中包含的恶意代码旨在通过systemd软件套件干扰 SSH(安全 Shell)的 sshd 守护进程,并可能使威胁参与者能够破坏 sshd 身份验证并在“以下情况下”远程获得对系统的未经授权的访问:正确的情况。”
“CVE-2024-3094 引入的恶意后门的最终目标是将代码注入到受害计算机上运行的 OpenSSH 服务器 (SSHD),并允许特定的远程攻击者(拥有特定的私钥)发送任意代码JFrog说:“通过 SSH 发送有效负载,该负载将在身份验证步骤之前执行,从而有效地劫持整个受害计算机。 ”
微软安全研究员 Andres Freund 被认为在周五发现并报告了这个问题。据说,经过严重混淆的恶意代码是由一位名叫 Jia Tan (JiaT75) 的用户通过对 GitHub 上Tukaani 项目的一系列四次提交引入的。
“鉴于活动持续了数周,提交者要么直接参与其中,要么他们的系统受到了一些相当严重的损害,”弗罗因德说。 “不幸的是,考虑到他们在各种列表上就‘修复’进行了沟通,后者看起来不太可能是解释。”
微软旗下的 GitHub 此后禁用了 Tukaani 项目维护的 XZ Utils 存储库,“因为违反了 GitHub 的服务条款”。目前还没有关于在野外进行积极利用的报道。
有证据表明,这些软件包仅存在于 Fedora 41 和 Fedora Rawhide 中,并且不会影响Alpine Linux、Amazon Linux、 Debian Stable 、Gentoo Linux、Linux Mint、 Red Hat Enterprise Linux (RHEL) 、 SUSE Linux Enterprise 和 Leap 等发行版,和乌班图。
出于谨慎考虑,建议 Fedora Linux 40 用户降级到 5.4 版本。受供应链攻击影响的其他一些 Linux 发行版如下:
Arch Linux(安装介质 2024.03.01、虚拟机映像 20240301.218094 和 20240315.221711,以及在 2024 年 2 月 24 日和 2024 年 3 月 28 日(含)期间创建的容器映像)
Kali Linux(3 月 26 日至 29 日期间)
openSUSE Tumbleweed 和 openSUSE MicroOS(3 月 7 日至 28 日期间)
Debian 测试、不稳定和实验版本(从 5.5.1alpha-0.1 到 5.6.1-1)
新的 Linux 漏洞可能导致用户密码泄露和剪贴板劫持 网络相关
有关影响 util-linux 软件包的“wall”命令的漏洞的详细信息已经出现,不良行为者可能会利用该漏洞泄露用户密码或更改某些 Linux 发行版上的剪贴板。
该漏洞编号为 CVE-2024-28085,安全研究员 Skyler Ferrante将其代号为WallEscape 。它被描述为转义序列不正确中和的情况。
“util-linux wall 命令不会从命令行参数中过滤转义序列,”费兰特说。 “如果 mesg 设置为“y”并且 wall 设置为 setgid,则允许非特权用户在其他用户的终端上放置任意文本。”
该漏洞是作为 2013 年 8 月提交的一部分引入的。
“wall”命令用于向当前登录服务器的所有用户的终端写入消息,实质上允许具有提升权限的用户向所有本地用户广播关键信息(例如,系统关闭)。
Linux 命令的手册页上写道:“wall 在所有当前登录用户的终端上显示消息、文件内容或标准输入。” “只有超级用户才能在选择拒绝消息或正在使用自动拒绝消息的程序的用户的终端上进行写入。”
CVE-2024-28085 本质上是利用通过命令行参数提供的未正确过滤的转义序列来诱骗用户在其他用户的终端上创建虚假的sudo(又名超级用户 do)提示符并诱骗他们输入密码。
然而,要实现此功能,mesg 实用程序(控制显示其他用户消息的能力)必须设置为“y”(即启用),并且 wall 命令必须具有 setgid 权限。
CVE-2024-28085 会影响 Ubuntu 22.04 和 Debian Bookworm,因为满足这两个条件。另一方面,CentOS 不易受到攻击,因为 wall 命令没有 setgid。
“在 Ubuntu 22.04 上,我们有足够的控制权来默认泄露用户的密码,”费兰特说。 “对用户攻击的唯一迹象是,当用户正确输入密码时,会出现错误的密码提示,并且密码位于命令历史记录中。”
同样,在允许发送墙消息的系统上,攻击者可能会通过 Windows 终端等选定终端上的转义序列来更改用户的剪贴板。它不适用于 GNOME 终端。
建议用户更新到 util-linux 版本 2.40 以缓解该缺陷。
Microsoft Edge 浏览器可能允许攻击者静默安装恶意扩展 网络相关
Microsoft Edge Web 浏览器中现已修补的安全漏洞可能会被滥用,在用户系统上安装任意扩展并执行恶意操作。
Guardio Labs 安全研究员 Oleg Zaytsev在与 The Hacker 分享的一份新报告中表示:“这个缺陷可能允许攻击者利用最初用于营销目的的私有 API,在用户不知情的情况下秘密安装具有广泛权限的其他浏览器扩展。”消息。
该问题被追踪为CVE-2024-21388(CVSS 评分:6.5),并在 2023 年 11 月负责任地披露后,由 Microsoft 在 2024 年 1 月 25 日发布的 Edge 稳定版本 121.0.2277.83 中解决。Windows 制造商将 Zaytsev 和 Jun Kokatsu 归功于报告问题。
微软在针对该缺陷的公告中表示,“成功利用此漏洞的攻击者可以获得安装扩展程序所需的权限”,并补充说它“可能导致浏览器沙箱逃逸”。
这家科技巨头将其描述为一个权限升级缺陷,还强调,成功利用该漏洞需要攻击者“在利用该漏洞之前采取额外的行动来准备目标环境”。
根据 Guardio 的调查结果,CVE-2024-21388 允许能够在 bing.com 或 microsoft.com 页面上运行 JavaScript 的不良行为者从 Edge Add-ons 商店安装任何扩展,无需用户同意或交互。
这是因为浏览器具有对某些私有 API 的特权访问权限,使得安装来自供应商自己的扩展市场的附加组件成为可能。
基于 Chromium 的 Edge 浏览器中的一个这样的 API 是 edgeMarketingPagePrivate,它可以从属于 Microsoft 的一组列入白名单的网站访问,包括 bing.com、microsoft.com、microsoftedgewelcome.microsoft.com 和 microsoftedgetips.microsoft.com 等。
该 API 还包含一个名为 installTheme() 的方法,顾名思义,该方法旨在通过传递唯一主题标识符(“themeId”)及其文件作为 input来从 Edge Add-ons 存储安装主题。
Guardio 发现的错误本质上是验证不足的情况,从而使攻击者能够从店面提供任何扩展标识符(而不是 themeId)并秘密安装它。
“作为额外的好处,由于此扩展安装并未完全按照最初设计的方式完成,因此不需要用户的任何交互或同意,”扎伊采夫解释道。
在利用 CVE-2024-21388 的假设攻击场景中,威胁参与者可以向附加组件存储发布看似无害的扩展,并使用它向 bing.com 或任何网站注入一段恶意 JavaScript 代码允许访问 API – 并通过使用扩展标识符调用 API 来安装他们选择的任意扩展。
换句话说,在 Edge 浏览器上执行特制扩展程序并访问 bing.com 将在未经受害者许可的情况下自动安装目标扩展程序。
Guardio 说,虽然没有证据表明该漏洞在野外被利用,但它强调了平衡用户便利性和安全性的必要性,以及浏览器自定义如何无意中破坏安全机制并引入几种新的攻击媒介。
扎伊采夫说:“攻击者相对容易诱骗用户安装看似无害的扩展程序,而没有意识到这是更复杂攻击的第一步。” “该漏洞可被利用来促进安装额外的扩展,从而可能获得金钱收益。”
AWS 修复 Airflow 服务中的关键“FlowFixation”漏洞防止会话劫持 网络相关
网络安全研究人员分享了 Amazon Web Services (AWS) Managed Workflows for Apache Airflow ( MWAA )中现已修补的安全漏洞的详细信息,恶意行为者可能会利用该漏洞来劫持受害者的会话并在底层实例上实现远程代码执行。
aws官方说明:https://docs.aws.amazon.com/mwaa/latest/userguide/what-is-mwaa.html
该漏洞现已由 AWS 解决,Tenable 的代号为FlowFixation。
高级安全研究员 Liv Matan在技术分析中表示:“在接管受害者的帐户后,攻击者可能执行读取连接字符串、添加配置和触发有向无环图 (DAGS) 等任务。”
“在某些情况下,此类行为可能会导致 MWAA 基础实例出现 RCE,并横向移动到其他服务。”
根据网络安全公司的说法,该漏洞的根本原因是 AWS MWAA Web 管理面板上的会话固定和 AWS 域配置错误相结合,导致跨站点脚本 ( XSS ) 攻击。
会话固定是一种网络攻击技术,当用户通过服务身份验证而不使任何现有会话标识符无效时,就会发生这种技术。这允许攻击者强制(也称为固定)用户已知的会话标识符,以便一旦用户进行身份验证,攻击者就可以访问经过身份验证的会话。
通过利用这一缺陷,威胁行为者可能会迫使受害者使用和验证攻击者的已知会话,并最终接管受害者的 Web 管理面板。
Matan 表示:“FlowFixation 凸显了云提供商域架构和管理现状的一个更广泛的问题,因为它与公共后缀列表 ( PSL ) 和共享父域有关:同站点攻击”,并补充说错误配置也会影响微软Azure 和谷歌云。
Tenable 还指出,共享架构(多个客户拥有相同的父域)可能成为攻击者利用同站点攻击、跨源问题和cookie 等漏洞的金矿,从而有效地导致未经授权的访问、数据和数据泄露。泄漏和代码执行。
AWS 和 Azure 将配置错误的域添加到 PSL 中,从而导致 Web 浏览器将添加的域识别为公共后缀,从而解决了该缺陷。另一方面,谷歌云将这个问题描述为“不够严重”,不值得修复。
“在同站点攻击的情况下,上述域架构的安全影响是显着的,云环境中此类攻击的风险更高,”Matan 解释道。
“其中,cookie-tossing 攻击和同站点属性 cookie 保护绕过尤其令人担忧,因为两者都可以绕过 CSRF 保护。cookie-tossing 攻击还可以滥用会话固定问题。”