网络安全研究人员发现 WordPress 的 LiteSpeed Cache 插件中又一个严重的安全漏洞，该漏洞可能允许未经身份验证的用户控制任意帐户。

该漏洞编号为 CVE-2024-44000（CVSS 评分：7.5），影响 6.4.1 之前的版本（包括 6.4.1 版本）。该漏洞已在 6.5.0.1 版本中得到解决。

Patchstack 研究员 Rafie Muhammad 表示：“该插件存在未经身份验证的帐户接管漏洞，任何未经身份验证的访问者都可以获得任何已登录用户的身份验证访问权限，最坏的情况下可以获得管理员级别角色的访问权限，之后可以上传和安装恶意插件。 ”

此次发现是在对该插件进行广泛的安全分析之后得出的，此前该分析已发现一个严重的权限提升漏洞（CVE-2024-28000，CVSS 评分：9.8）。LiteSpeed Cache 是 WordPress 生态系统中流行的缓存插件，拥有超过 500 万个活跃安装。

新的漏洞源于名为“/wp-content/debug.log”的调试日志文件被公开暴露，这使得未经身份验证的攻击者可以查看文件中包含的潜在敏感信息。

这还可能包括 HTTP 响应标头中的用户 cookie 信息，从而有效地允许用户使用任何有效的会话登录到存在漏洞的站点。

该漏洞的严重程度较低，因为前提条件是必须在 WordPress 网站上启用调试功能才能成功。或者，它也可能会影响过去某个时间点激活了调试日志功能但未能删除调试文件的网站。

需要注意的是，此功能默认是禁用的。补丁通过将日志文件移动到 LiteSpeed 插件文件夹内的专用文件夹（“/wp-content/litespeed/debug/”）、随机化文件名以及删除在文件中记录 cookie 的选项来解决该问题。

建议用户检查其安装中是否存在“/wp-content/debug.log”，如果调试功能已启用（或曾经启用），则采取措施清除它们。

还建议设置 .htaccess 规则来拒绝直接访问日志文件，因为如果恶意行为者通过反复试验的方法知道新的文件名，他们仍然可以直接访问新的日志文件。

穆罕默德说：“此漏洞凸显了确保执行调试日志过程的安全性、不应记录哪些数据以及如何管理调试日志文件的重要性。”

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。

这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。

MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。

JFrog 研究人员在一份详细报告中表示： “固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。”

一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行的事实（例如，Pickle 模型文件）。

这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。

另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。

研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会很乐意呈现这些内容。”

这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。

换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。

为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。

研究人员表示：“这项研究的主要结论之一是，我们需要将 ML 库中的所有 XSS 漏洞视为潜在的任意代码执行，因为数据科学家可能会将这些 ML 库与 Jupyter Notebook 一起使用。”

第二组缺陷与实施弱点有关，例如 MLOps 平台缺乏身份验证，这可能允许具有网络访问权限的威胁行为者通过滥用 ML Pipeline 功能来获得代码执行能力。

这些威胁并不是理论上的，出于经济动机的攻击者会滥用此类漏洞来部署加密货币矿工，正如未修补的 Anyscale Ray（ CVE-2023-48022 ，CVSS 评分：9.8）的情况一样。

第二种类型的实施漏洞是针对 Seldon Core 的容器逃逸，它使攻击者能够超越代码执行，在云环境中横向移动，并通过将恶意模型上传到推理服务器来访问其他用户的模型和数据集。

这些漏洞串联起来的最终结果是，它们不仅可以被用作武器来渗透和传播到组织内部，而且还能危害服务器。

研究人员表示：“如果你正在部署一个允许模型服务的平台，那么你现在应该知道，任何可以提供新模型的人实际上也可以在该服务器上运行任意代码。”“确保运行模型的环境完全隔离，并针对容器逃逸进行强化。”

此次披露之际，Palo Alto Networks Unit 42详细介绍了开源 LangChain 生成 AI 框架中两个现已修补的漏洞 (CVE-2023-46229 和 CVE-2023-44467)，这两个漏洞可能分别允许攻击者执行任意代码和访问敏感数据。

上个月，Trail of Bits 还披露了检索增强生成 (RAG) 开源聊天机器人应用程序 Ask Astro 中的四个问题，这些问题可能导致聊天机器人输出中毒、文档提取不准确以及潜在的拒绝服务 (DoS)。

正如人工智能应用程序中暴露出的安全问题一样，人们也设计出一些技术来毒害训练数据集，最终目的是诱骗大型语言模型 (LLM) 生成易受攻击的代码。

康涅狄格大学的一组学者表示：“与最近将恶意负载嵌入代码可检测或不相关部分（例如注释）的攻击不同，CodeBreaker 利用 LLM（例如 GPT-4）进行复杂的负载转换（不影响功能），确保用于微调的毒化数据和生成的代码都可以逃避强大的漏洞检测。 ”

SolarWinds 已发布补丁来解决其 Web Help Desk (WHD) 软件中的一个新安全漏洞，该漏洞可能允许远程未经身份验证的用户未经授权访问易受攻击的实例。

该公司在今天发布的新公告中表示： “SolarWinds Web Help Desk (WHD) 软件受到硬编码凭证漏洞的影响，允许未经身份验证的远程用户访问内部功能并修改数据。”

该漏洞编号为CVE-2024-28987，在 CVSS 评分系统中评级为 9.1，表示严重程度极高。Horizo​​n3.ai 安全研究员 Zach Hanley 因发现并报告该漏洞而受到赞誉。

建议用户更新到版本12.8.3 Hotfix 2，但应用该修复需要 Web Help Desk 12.8.3.1813 或 12.8.3 HF1。

一周前，SolarWinds 着手解决同一软件中的另一个可被用于执行任意代码的严重漏洞（CVE-2024-28986，CVSS 评分：9.8）。

根据美国网络安全和基础设施安全局 (CISA) 的说法，该漏洞此后已被广泛利用，尽管它在现实世界的攻击中如何被滥用目前仍不得而知。

有关 CVE-2024-28987 的更多详细信息预计将于下个月发布，因此及时安装更新以减轻潜在威胁至关重要。

谷歌已经推出安全修复程序，以解决其 Chrome 浏览器的一个高严重性安全漏洞，该漏洞已被广泛利用。

该漏洞被编号为CVE-2024-7971，被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。

根据NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述，“128.0.6613.84 之前的 Google Chrome 版本中的 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面利用堆损坏”。

微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 于 2024 年 8 月 19 日发现并报告了该漏洞。

目前尚未发布关于利用此漏洞进行攻击的性质或可能将其武器化的威胁行为者的身份的更多详细信息，主要是为了确保大多数用户都得到修复。

然而，这家科技巨头在一份简短的声明中承认，它“意识到 CVE-2024-7971 漏洞正在被利用”。值得一提的是，CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后，该公司今年在 V8 中修复的第三个类型混淆漏洞。

自 2024 年初以来，谷歌已解决了 Chrome 中的 9 个零日漏洞，其中包括在 Pwn2Own 2024 上演示的三个漏洞 -

CVE-2024-0519 - V8 中的越界内存访问
CVE-2024-2886 - WebCodecs 中的释放后使用（在 Pwn2Own 2024 上演示）
CVE-2024-2887 - WebAssembly 中的类型混淆（在 Pwn2Own 2024 上演示）
CVE-2024-3159 - V8 中的越界内存访问（在 Pwn2Own 2024 上演示）
CVE-2024-4671 - 视觉效果中的释放后使用
CVE-2024-4761 - V8 中的越界写入
CVE-2024-4947 – V8 中的类型混淆
CVE-2024-5274 – V8 中的类型混淆

建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本，将 Linux 版升级到 128.0.6613.84 版本，以减轻潜在威胁。

还建议基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在修复程序可用时立即应用它们。

一种之前未记录的后门程序 Msupedge 已被用于对付针对台湾一所未具名大学的网络攻击。

博通旗下赛门铁克威胁猎人团队在与 The Hacker News 分享的一份报告中表示：“该后门最显著的特征是它通过 DNS 流量与命令和控制 (C&C) 服务器进行通信。”

目前，该后门的来源以及攻击背后的目的尚不清楚。

据称，可能有助于部署 Msupedge 的初始访问载体涉及利用最近披露的影响 PHP 的严重漏洞（CVE-2024-4577，CVSS 评分：9.8），该漏洞可用于实现远程代码执行。

有问题的后门是一个动态链接库 (DLL)，安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL，wuplog.dll，由 Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程尚不清楚。

Msupedge 最显著的方面是它依赖 DNS 隧道与 C＆C 服务器进行通信，其代码基于开源dnscat2工具。

赛门铁克指出：“它通过执行名称解析来接收命令。Msupedge 不仅通过 DNS 流量接收命令，还将解析后的 C&C 服务器 IP 地址 (ctl.msedeapi[.]net) 用作命令。”

具体来说，解析后的 IP 地址的第三个八位字节充当一个switch case，通过从中减去七并使用其十六进制表示法来触发适当的响应，从而确定后门的行为。例如，如果第三个八位字节是 145，则新得出的值将转换为 138 (0x8a)。

Msupedge 支持的命令如下 -

0x8a：使用通过 DNS TXT 记录收到的命令创建进程
0x75：使用通过 DNS TXT 记录收到的下载 URL 下载文件
0x24：休眠预定的时间间隔
0x66：休眠预定的时间间隔
0x38：创建一个临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”，其用途未知
0x3c：删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”

目前，UTG-Q-010 威胁组织已被指控与一项新的网络钓鱼活动有关，该活动利用加密货币和与工作相关的诱饵来传播一种名为Pupy RAT的开源恶意软件。

赛门铁克表示：“攻击链涉及使用带有嵌入式 DLL 加载器的恶意 .lnk 文件，最终导致 Pupy RAT 负载部署。Pupy是一种基于 Python 的远程访问木马 (RAT)，具有反射 DLL 加载和内存执行等功能。”

微软周二发布了修复程序，修复了总共90 个安全漏洞，包括 10 个零日漏洞，其中 6 个已在野外遭到积极利用。

在这 90 个漏洞中，9 个被评为“严重”，80 个被评为“重要”，1 个被评为“中等”。此外，自上个月以来，这家科技巨头还解决了 Edge 浏览器中的36 个漏洞。

补丁星期二更新主要解决了六个被积极利用的零日漏洞 -

CVE-2024-38189（CVSS 评分：8.8）- Microsoft Project 远程代码执行漏洞
CVE-2024-38178（CVSS 评分：7.5）- Windows 脚本引擎内存损坏漏洞
CVE-2024-38193（CVSS 评分：7.8）- Windows 辅助功能驱动程序的 WinSock 特权提升漏洞
CVE-2024-38106（CVSS 评分：7.0）- Windows 内核特权提升漏洞
CVE-2024-38107（CVSS 评分：7.8）- Windows Power Dependency Coordinator 特权提升漏洞
CVE-2024-38213（CVSS 评分：6.5）- Windows Mark of the Web 安全功能绕过漏洞
CVE-2024-38213 允许攻击者绕过 SmartScreen 保护，攻击者需要向用户发送恶意文件并诱使他们打开它。发现并报告此漏洞的是趋势科技的 Peter Girnus，他表示这可能是CVE-2024-21412 或 CVE-2023-36025 的绕过方法，这两个漏洞之前曾被 DarkGate 恶意软件运营商利用。

这一事态发展促使美国网络安全和基础设施安全局 (CISA) 将这些漏洞添加到其已知被利用漏洞 ( KEV ) 目录中，并要求联邦机构在 2024 年 9 月 3 日之前修复这些漏洞。

以下四个 CVE 被列为已知漏洞 -

CVE-2024-38200（CVSS 评分：7.5）- Microsoft Office 欺骗漏洞
CVE-2024-38199（CVSS 评分：9.8）- Windows 行式打印机守护程序 (LPD) 服务远程代码执行漏洞
CVE-2024-21302（CVSS 评分：6.7）- Windows 安全内核模式特权提升漏洞
CVE-2024-38202（CVSS 评分：7.3）- Windows 更新堆栈特权提升漏洞
Tenable 的员工研究工程师 Scott Caveza 在谈到 CVE-2024-38200 时表示：“攻击者可以通过诱骗受害者访问特制的文件（可能是通过网络钓鱼电子邮件）来利用此漏洞。”

“成功利用此漏洞可能会导致受害者将新技术局域网管理器 (NTLM) 哈希暴露给远程攻击者。NTLM 哈希可能会在 NTLM 中继或传递哈希攻击中被滥用，从而进一步让攻击者在组织中站稳脚跟。”

此更新还解决了打印后台处理程序组件中的权限提升漏洞（CVE-2024-38198，CVSS 评分：7.8），该漏洞允许攻击者获得系统权限。微软表示：“成功利用此漏洞需要攻击者赢得竞争条件。”

另一个值得注意的漏洞是CVE-2024-38173（CVSS 评分：6.7），这是一个影响 Microsoft Outlook 的远程代码执行漏洞，需要攻击者或受害者从本地机器执行代码才能成功利用它。

网络安全公司 Morphisec 于 2024 年 6 月发现并报告了该漏洞，该公司将其描述为类似于CVE-2024-30103，并且是一个零点击漏洞，“在启用了 Microsoft 自动打开电子邮件功能的系统上，不需要用户交互”。

话虽如此，微软尚未发布针对CVE-2024-38202 和 CVE-2024-21302 的更新，这些更新可能会被滥用来针对 Windows 更新架构发起降级攻击，并用旧版本替换当前版本的操作系统文件。

此次披露是在 Fortra报告通用日志文件系统 ( CLFS ) 驱动程序 (CVE-2024-6768，CVSS 评分：6.8) 中存在拒绝服务 (DoS) 漏洞之后进行的，该漏洞可能导致系统崩溃，从而导致蓝屏死机 (BSoD)。

当记者联系到微软发言人时，他告诉 The Hacker News，该问题“不符合我们严重性分类指南规定的立即服务标准，我们将在未来的产品更新中考虑它”。

“所描述的技术要求攻击者已经在目标机器上获得代码执行能力，并且不会授予提升的权限。我们鼓励客户养成良好的在线计算习惯，包括在运行用户无法识别的程序时要小心谨慎，”发言人补充道。

其他供应商的软件补丁#
除微软外，过去几周其他供应商也发布了安全更新，以修复多个漏洞，其中包括：

Adobe
AMD
苹果
手臂
博世
Broadcom（包括 VMware）
思科
Citrix
D-Link
戴尔
Drupal
F5
飞塔
GitLab
谷歌安卓
谷歌浏览器
谷歌云
谷歌穿戴操作系统
HMS 网络
惠普
HP Enterprise（包括 Aruba Networks）
IBM
英特尔
伊万蒂
詹金斯
瞻博网络
联想
Linux 发行版Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE和Ubuntu
联发科
米迪
MongoDB
Mozilla Firefox、Firefox ESR 和 Thunderbird
英伟达
进步软件
高通
罗克韦尔自动化
三星
树液
施耐德电气
西门子
索尼克墙
Splunk
Spring 框架
T 型头
趋势科技
缩放，然后
合勤科技
更新#
趋势科技在与 The Hacker News 分享的声明中表示，CVE-2024-38213 并不是 CVE-2024-21412 的绕过方法，并且 WebDAV 共享上的任何文件都会受到该漏洞的影响。

该公司在一份声明中表示：“CVE-2024-38213 是一个很好的例子，说明我们如何利用在野外发现的零日漏洞来指导我们如何开展额外的安全研究。”“这个案例还凸显了补丁数量少或不足可能会成为一场安全噩梦。”

CVE-2024-38213 的代号为 copy2pwn，“会导致 WebDAV 共享中的文件在没有 Web 标记保护的情况下在本地复制”，零日计划 (ZDI)表示，并指出它被 DarkGate 运营商利用。

“从 WebDAV 共享复制和粘贴的文件没有获得 Web 标记。这意味着用户可以将文件从 WebDAV 共享复制并粘贴到他们的桌面，并且这些文件随后可以在没有 Windows Defender SmartScreen 或 Microsoft Office Protected View 保护的情况下打开。”

（该报道在发表后进行了更新，包含了有关利用 CVE-2024-38213 的攻击性质的信息。）

网络安全研究人员发现，中国公司 Solarman 和德业运营的光伏系统管理平台存在一些安全漏洞，这些漏洞可能使恶意行为者造成中断和停电。

Bitdefender 研究人员在上周发布的分析报告中表示： “如果这些漏洞被利用，攻击者可以控制逆变器设置，从而导致部分电网瘫痪，甚至可能导致停电。”

继 2024 年 5 月 22 日负责任地披露这些漏洞后，Solarman 和 Deye 已于 2024 年 7 月解决了这些漏洞。

罗马尼亚网络安全供应商对这两个光伏监控和管理平台进行了分析，并表示这两个平台存在许多问题，其中可能导致账户被接管和信息泄露。

问题的简要描述如下 -

使用 /oauth2-s/oauth/token API 端点通过授权令牌操作实现完全帐户接管
Deye Cloud Token 重用
通过 /group-s/acc/orgs API 端点泄露信息
具有不受限制的设备访问的硬编码帐户（帐户：“[email protected]”/密码：123456）
通过 /user-s/acc/orgs API 端点泄露信息
潜在的未经授权的授权令牌生成

成功利用上述漏洞可以让攻击者控制任何 Solarman 帐户，重用来自 Deye Cloud 的 JSON Web Tokens (JWT) 来未经授权访问 Solarman 帐户，并收集有关所有注册组织的私人信息。

他们还可以获取有关任何 Deye 设备的信息，访问机密的注册用户数据，甚至为平台上的任何用户生成身份验证令牌，严重损害其机密性和完整性。

研究人员表示：“攻击者可以接管账户并控制太阳能逆变器，破坏发电并可能导致电压波动。”

“用户和组织的敏感信息可能会泄露，从而导致隐私侵犯、信息收集、有针对性的网络钓鱼攻击或其他恶意活动。通过访问和修改太阳能逆变器上的设置，攻击者可以导致电力分配大面积中断，影响电网稳定性并可能导致停电。”

网络安全研究人员发现，用于创建和部署预测人工智能 (AI) 工作流的SAP AI Core云平台存在安全缺陷，这些缺陷可能被利用来获取访问令牌和客户数据。

云安全公司 Wiz将这五个漏洞统称为SAPwned 。

安全研究员 Hillai Ben-Sasson在与 The Hacker News 分享的一份报告中表示： “我们发现的漏洞可能允许攻击者访问客户的数据并污染内部工件——蔓延到相关服务和其他客户的环境。”

在 2024 年 1 月 25 日负责任地披露之后，SAP 已于 2024 年 5 月 15 日解决了这些缺陷。

简而言之，这些漏洞使得未经授权访问客户的私人物品和 Amazon Web Services (AWS)、Microsoft Azure 和 SAP HANA Cloud 等云环境的凭证成为可能。

它们还可用于修改 SAP 内部容器注册表上的 Docker 镜像、Google 容器注册表上的 SAP Docker 镜像以及 SAP 内部 Artifactory 服务器上托管的工件，从而对 SAP AI Core 服务造成供应链攻击。

此外，利用 Helm 包管理器服务器同时暴露给读写操作的事实，可以利用该访问权限来获取 SAP AI Core 的 Kubernetes 集群上的集群管理员权限。

Ben-Sasson 解释道：“利用此访问级别，攻击者可以直接访问其他客户的 Pod 并窃取敏感数据，例如模型、数据集和代码。这种访问还允许攻击者干扰客户的 Pod、污染 AI 数据并操纵模型的推理。”

Wiz 表示，问题出现的原因是，该平台使得恶意的 AI 模型和训练程序可以在没有足够的隔离和沙盒机制的情况下运行。

Ben-Sasson 告诉 The Hacker News：“ Hugging Face、Replicate和 SAP AI Core等 AI 服务提供商最近出现的安全漏洞凸显了其租户隔离和分段实施中存在重大漏洞。”“这些平台允许用户在共享环境中运行不受信任的 AI 模型和训练程序，增加了恶意用户能够访问其他用户数据的风险。”

“与在租户隔离实践方面拥有丰富经验并使用虚拟机等强大隔离技术的资深云提供商不同，这些新服务通常缺乏这方面的知识并依赖于容器化，而容器化的安全性较弱。这强调了提高对租户隔离重要性的认识的必要性，并推动人工智能服务行业强化其环境。”

因此，威胁行为者可以在 SAP AI Core 上创建常规 AI 应用程序，绕过网络限制，并探测 Kubernetes Pod 的内部网络以获取 AWS 令牌，并通过利用 AWS 弹性文件系统 (EFS) 共享中的错误配置来访问客户代码和训练数据集。

“人们应该意识到人工智能模型本质上是代码。当你在自己的基础设施上运行人工智能模型时，你可能会面临潜在的供应链攻击，”Ben-Sasson 说。

“仅运行来自可信来源的可信模型，并适当分离外部模型和敏感基础设施。当使用人工智能服务提供商时，验证他们的租户隔离架构并确保他们采用最佳实践非常重要。”

Netskope 透露，企业对生成式人工智能的使用日益增多，促使企业使用阻止控制、数据丢失预防 (DLP) 工具、实时指导和其他机制来降低风险。

该公司表示：“受监管数据（组织有法律义务保护的数据）占与生成式人工智能（genAI）应用程序共享的敏感数据的三分之一以上——对企业来说，存在代价高昂的数据泄露的潜在风险。”

他们还关注了一个名为 NullBulge 的新网络犯罪威胁组织的出现，该组织自 2024 年 4 月以来一直将目光瞄准以人工智能和游戏为重点的实体，目的是窃取敏感数据并在地下论坛上出售受损的 OpenAI API 密钥，同时声称自己是一支黑客行动主义团队，致力于“保护世界各地的艺术家”免受人工智能的侵害。

SentinelOne 安全研究员 Jim Walter表示：“NullBulge 通过将 GitHub 和 Hugging Face 上公开存储库中的代码武器化，从而瞄准软件供应链，引导受害者导入恶意库，或通过游戏和建模软件使用的 mod 包。”

“该组织使用AsyncRAT和XWorm等工具，然后利用泄露的LockBit Black构建器构建 LockBit 负载。NullBulge 等组织代表着低门槛勒索软件的持续威胁，以及信息窃取者感染的长期影响。”

英特尔的现代 CPU（包括 Raptor Lake 和 Alder Lake）被发现容易受到新的侧信道攻击，这种攻击可能被利用来泄露处理器中的敏感信息。

此次攻击由安全研究人员 Luyi Li、Hosein Yavarzadeh 和 Dean Tullsen命名为Indirector ，利用间接分支预测器 (IBP) 和分支目标缓冲区 (BTB) 中发现的缺陷来绕过现有防御措施并危及 CPU 的安全性。

研究人员指出：“间接分支预测器 (IBP) 是现代 CPU 中的硬件组件，可以预测间接分支的目标地址。”

“间接分支是控制流指令，其目标地址在运行时计算，因此很难准确预测。IBP 使用全局历史和分支地址的组合来预测间接分支的目标地址。”

其核心思想是识别 IBP 中的漏洞，以发起精确的分支目标注入 (BTI) 攻击 - 又名 Spectre v2 ( CVE-2017-5715 ) - 该攻击针对处理器的间接分支预测器，导致通过侧信道向具有本地用户访问权限的攻击者未经授权披露信息。

这是通过名为 iBranch Locator 的自定义工具实现的，该工具用于定位任何间接分支，然后执行精确的目标 IBP 和 BTP 注入以执行推测执行。

英特尔于 2024 年 2 月获悉这一发现，并已将此问题告知其他受影响的硬件/软件供应商。

作为缓解措施，建议更积极地使用间接分支预测器屏障（IBPB），并通过结合更复杂的标签、加密和随机化来强化分支预测单元（BPU）设计。

该研究发布之际，Arm CPU 被发现容易受到名为 TIKTAG 的推测执行攻击，该攻击针对内存标记扩展 (MTE)，在不到四秒的时间内以超过 95% 的成功率泄露数据。

研究人员 Juhee Kim、Jinbum Park、Sihyeon Roh、Jaeyoung Chung、Youngjoo Lee、Taesoo Kim 和 Byoungyoung Lee表示，这项研究“发现了能够通过推测执行从任意内存地址泄露 MTE 标签的新型 TikTag 小工具”。

“利用 TikTag 小工具，攻击者可以绕过 MTE 的概率防御，将攻击成功率提高近 100%。”

针对这一披露，Arm表示，“MTE 可以提供一组有限的确定性第一道防线，以及一组更广泛的概率第一道防线，以抵御特定类别的漏洞攻击。”

“然而，概率特性并不是为了针对能够暴力破解、泄露或制作任意地址标签的交互式对手而设计的完整的解决方案。”

网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞，该漏洞可被利用通过提示注入技术实现远程代码执行漏洞。

供应链安全公司 JFrog表示，该漏洞的编号为 CVE-2024-5565（CVSS 评分：8.1），与“ask”函数中的提示注入有关，可被利用来诱骗库执行任意命令。

Vanna 是一个基于 Python 的机器学习库，允许用户与他们的 SQL 数据库聊天以通过“只需提出问题”（又名提示）来收集见解，然后使用大型语言模型（LLM）将其转换为等效的 SQL 查询。

近年来，生成式人工智能 (AI) 模型的快速推出凸显了其被恶意行为者利用的风险，他们可以通过提供绕过内置安全机制的对抗性输入将这些工具武器化。

其中一类突出的攻击是即时注入，它指的是一种人工智能越狱，可用于无视 LLM 提供商为防止产生攻击性、有害或非法内容而建立的护栏，或执行违反应用程序预期目的的指令。

此类攻击可以是间接的，其中系统处理由第三方控制的数据（例如，传入的电子邮件或可编辑文档）以启动导致 AI 越狱的恶意负载。

他们还可以采取所谓的多次越狱或多回合越狱（又名 Crescendo）的形式，其中操作员“从无害的对话开始，逐步将对话引向预期的、禁止的目标”。

这种方法可以进一步扩展，以实施另一种称为“Skeleton Key”的新型越狱攻击。

微软 Azure 首席技术官 Mark Russinovich表示：“这种 AI 越狱技术采用多轮（或多步骤）策略，使模型忽略其护栏。一旦忽略护栏，模型将无法确定来自任何其他人的恶意或未经批准的请求。”

Skeleton Key 与 Crescendo 的不同之处还在于，一旦越狱成功，系统规则发生改变，模型就可以对原本被禁止的问题做出回应，而不管其中的道德和安全风险。

“当 Skeleton Key 越狱成功时，模型就承认它已经更新了指南，随后将遵守指令来生成任何内容，无论它如何违反其原始负责任的 AI 指南，”Russinovich 说。

“与 Crescendo 等其他越狱不同，Skeleton Key 将模型置于用户可以直接请求任务的模式，而 Crescendo 等其他越狱必须间接或通过编码向模型询问任务。此外，模型的输出似乎完全未经过滤，并揭示了模型的知识范围或生成请求内容的能力。”

JFrog 的最新发现（同样由刘彤独立披露）表明，快速注入可能会产生严重影响，特别是当它们与命令执行相关时。

CVE-2024-5565 利用 Vanna 促进文本到 SQL 生成的事实来创建 SQL 查询，然后使用 Plotly 图形库执行这些查询并以图形方式呈现给用户。

这是通过“ask”函数实现的- 例如，vn.ask（“按销售额排名前 10 位的客户有哪些？”） - 这是允许生成在数据库上运行的 SQL 查询的主要 API 端点之一。

上述行为加上 Plotly 代码的动态生成，产生了一个安全漏洞，允许威胁行为者提交嵌入要在底层系统上执行的命令的特制提示。

JFrog表示：“Vanna 库使用提示函数向用户呈现可视化结果，可以使用提示注入来改变提示并运行任意 Python 代码而不是预期的可视化代码。”

“具体来说，允许将外部输入输入到库的‘ask’方法并将‘visualize’设置为 True（默认行为）会导致远程代码执行。”

在负责任地披露之后，Vanna 发布了一份强化指南，警告用户 Plotly 集成可用于生成任意 Python 代码，并且暴露此功能的用户应在沙盒环境中执行此操作。

JFrog 安全研究高级主管 Shachar Menashe 在一份声明中表示：“这一发现表明，如果没有适当的治理和安全保障，广泛使用 GenAI/LLM 的风险可能会对组织产生严重影响。”

“预提示注入的危险性仍未得到广泛了解，但很容易实施。公司不应依赖预提示作为万无一失的防御机制，在将 LLM 与数据库或动态代码生成等关键资源连接时，应采用更强大的机制。”