网络安全研究人员发现，中国公司 Solarman 和德业运营的光伏系统管理平台存在一些安全漏洞，这些漏洞可能使恶意行为者造成中断和停电。

Bitdefender 研究人员在上周发布的分析报告中表示： “如果这些漏洞被利用，攻击者可以控制逆变器设置，从而导致部分电网瘫痪，甚至可能导致停电。”

继 2024 年 5 月 22 日负责任地披露这些漏洞后，Solarman 和 Deye 已于 2024 年 7 月解决了这些漏洞。

罗马尼亚网络安全供应商对这两个光伏监控和管理平台进行了分析，并表示这两个平台存在许多问题，其中可能导致账户被接管和信息泄露。

问题的简要描述如下 -

使用 /oauth2-s/oauth/token API 端点通过授权令牌操作实现完全帐户接管
Deye Cloud Token 重用
通过 /group-s/acc/orgs API 端点泄露信息
具有不受限制的设备访问的硬编码帐户（帐户：“[email protected]”/密码：123456）
通过 /user-s/acc/orgs API 端点泄露信息
潜在的未经授权的授权令牌生成

成功利用上述漏洞可以让攻击者控制任何 Solarman 帐户，重用来自 Deye Cloud 的 JSON Web Tokens (JWT) 来未经授权访问 Solarman 帐户，并收集有关所有注册组织的私人信息。

他们还可以获取有关任何 Deye 设备的信息，访问机密的注册用户数据，甚至为平台上的任何用户生成身份验证令牌，严重损害其机密性和完整性。

研究人员表示：“攻击者可以接管账户并控制太阳能逆变器，破坏发电并可能导致电压波动。”

“用户和组织的敏感信息可能会泄露，从而导致隐私侵犯、信息收集、有针对性的网络钓鱼攻击或其他恶意活动。通过访问和修改太阳能逆变器上的设置，攻击者可以导致电力分配大面积中断，影响电网稳定性并可能导致停电。”

网络安全研究人员发现，用于创建和部署预测人工智能 (AI) 工作流的SAP AI Core云平台存在安全缺陷，这些缺陷可能被利用来获取访问令牌和客户数据。

云安全公司 Wiz将这五个漏洞统称为SAPwned 。

安全研究员 Hillai Ben-Sasson在与 The Hacker News 分享的一份报告中表示： “我们发现的漏洞可能允许攻击者访问客户的数据并污染内部工件——蔓延到相关服务和其他客户的环境。”

在 2024 年 1 月 25 日负责任地披露之后，SAP 已于 2024 年 5 月 15 日解决了这些缺陷。

简而言之，这些漏洞使得未经授权访问客户的私人物品和 Amazon Web Services (AWS)、Microsoft Azure 和 SAP HANA Cloud 等云环境的凭证成为可能。

它们还可用于修改 SAP 内部容器注册表上的 Docker 镜像、Google 容器注册表上的 SAP Docker 镜像以及 SAP 内部 Artifactory 服务器上托管的工件，从而对 SAP AI Core 服务造成供应链攻击。

此外，利用 Helm 包管理器服务器同时暴露给读写操作的事实，可以利用该访问权限来获取 SAP AI Core 的 Kubernetes 集群上的集群管理员权限。

Ben-Sasson 解释道：“利用此访问级别，攻击者可以直接访问其他客户的 Pod 并窃取敏感数据，例如模型、数据集和代码。这种访问还允许攻击者干扰客户的 Pod、污染 AI 数据并操纵模型的推理。”

Wiz 表示，问题出现的原因是，该平台使得恶意的 AI 模型和训练程序可以在没有足够的隔离和沙盒机制的情况下运行。

Ben-Sasson 告诉 The Hacker News：“ Hugging Face、Replicate和 SAP AI Core等 AI 服务提供商最近出现的安全漏洞凸显了其租户隔离和分段实施中存在重大漏洞。”“这些平台允许用户在共享环境中运行不受信任的 AI 模型和训练程序，增加了恶意用户能够访问其他用户数据的风险。”

“与在租户隔离实践方面拥有丰富经验并使用虚拟机等强大隔离技术的资深云提供商不同，这些新服务通常缺乏这方面的知识并依赖于容器化，而容器化的安全性较弱。这强调了提高对租户隔离重要性的认识的必要性，并推动人工智能服务行业强化其环境。”

因此，威胁行为者可以在 SAP AI Core 上创建常规 AI 应用程序，绕过网络限制，并探测 Kubernetes Pod 的内部网络以获取 AWS 令牌，并通过利用 AWS 弹性文件系统 (EFS) 共享中的错误配置来访问客户代码和训练数据集。

“人们应该意识到人工智能模型本质上是代码。当你在自己的基础设施上运行人工智能模型时，你可能会面临潜在的供应链攻击，”Ben-Sasson 说。

“仅运行来自可信来源的可信模型，并适当分离外部模型和敏感基础设施。当使用人工智能服务提供商时，验证他们的租户隔离架构并确保他们采用最佳实践非常重要。”

Netskope 透露，企业对生成式人工智能的使用日益增多，促使企业使用阻止控制、数据丢失预防 (DLP) 工具、实时指导和其他机制来降低风险。

该公司表示：“受监管数据（组织有法律义务保护的数据）占与生成式人工智能（genAI）应用程序共享的敏感数据的三分之一以上——对企业来说，存在代价高昂的数据泄露的潜在风险。”

他们还关注了一个名为 NullBulge 的新网络犯罪威胁组织的出现，该组织自 2024 年 4 月以来一直将目光瞄准以人工智能和游戏为重点的实体，目的是窃取敏感数据并在地下论坛上出售受损的 OpenAI API 密钥，同时声称自己是一支黑客行动主义团队，致力于“保护世界各地的艺术家”免受人工智能的侵害。

SentinelOne 安全研究员 Jim Walter表示：“NullBulge 通过将 GitHub 和 Hugging Face 上公开存储库中的代码武器化，从而瞄准软件供应链，引导受害者导入恶意库，或通过游戏和建模软件使用的 mod 包。”

“该组织使用AsyncRAT和XWorm等工具，然后利用泄露的LockBit Black构建器构建 LockBit 负载。NullBulge 等组织代表着低门槛勒索软件的持续威胁，以及信息窃取者感染的长期影响。”

英特尔的现代 CPU（包括 Raptor Lake 和 Alder Lake）被发现容易受到新的侧信道攻击，这种攻击可能被利用来泄露处理器中的敏感信息。

此次攻击由安全研究人员 Luyi Li、Hosein Yavarzadeh 和 Dean Tullsen命名为Indirector ，利用间接分支预测器 (IBP) 和分支目标缓冲区 (BTB) 中发现的缺陷来绕过现有防御措施并危及 CPU 的安全性。

研究人员指出：“间接分支预测器 (IBP) 是现代 CPU 中的硬件组件，可以预测间接分支的目标地址。”

“间接分支是控制流指令，其目标地址在运行时计算，因此很难准确预测。IBP 使用全局历史和分支地址的组合来预测间接分支的目标地址。”

其核心思想是识别 IBP 中的漏洞，以发起精确的分支目标注入 (BTI) 攻击 - 又名 Spectre v2 ( CVE-2017-5715 ) - 该攻击针对处理器的间接分支预测器，导致通过侧信道向具有本地用户访问权限的攻击者未经授权披露信息。

这是通过名为 iBranch Locator 的自定义工具实现的，该工具用于定位任何间接分支，然后执行精确的目标 IBP 和 BTP 注入以执行推测执行。

英特尔于 2024 年 2 月获悉这一发现，并已将此问题告知其他受影响的硬件/软件供应商。

作为缓解措施，建议更积极地使用间接分支预测器屏障（IBPB），并通过结合更复杂的标签、加密和随机化来强化分支预测单元（BPU）设计。

该研究发布之际，Arm CPU 被发现容易受到名为 TIKTAG 的推测执行攻击，该攻击针对内存标记扩展 (MTE)，在不到四秒的时间内以超过 95% 的成功率泄露数据。

研究人员 Juhee Kim、Jinbum Park、Sihyeon Roh、Jaeyoung Chung、Youngjoo Lee、Taesoo Kim 和 Byoungyoung Lee表示，这项研究“发现了能够通过推测执行从任意内存地址泄露 MTE 标签的新型 TikTag 小工具”。

“利用 TikTag 小工具，攻击者可以绕过 MTE 的概率防御，将攻击成功率提高近 100%。”

针对这一披露，Arm表示，“MTE 可以提供一组有限的确定性第一道防线，以及一组更广泛的概率第一道防线，以抵御特定类别的漏洞攻击。”

“然而，概率特性并不是为了针对能够暴力破解、泄露或制作任意地址标签的交互式对手而设计的完整的解决方案。”

网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞，该漏洞可被利用通过提示注入技术实现远程代码执行漏洞。

供应链安全公司 JFrog表示，该漏洞的编号为 CVE-2024-5565（CVSS 评分：8.1），与“ask”函数中的提示注入有关，可被利用来诱骗库执行任意命令。

Vanna 是一个基于 Python 的机器学习库，允许用户与他们的 SQL 数据库聊天以通过“只需提出问题”（又名提示）来收集见解，然后使用大型语言模型（LLM）将其转换为等效的 SQL 查询。

近年来，生成式人工智能 (AI) 模型的快速推出凸显了其被恶意行为者利用的风险，他们可以通过提供绕过内置安全机制的对抗性输入将这些工具武器化。

其中一类突出的攻击是即时注入，它指的是一种人工智能越狱，可用于无视 LLM 提供商为防止产生攻击性、有害或非法内容而建立的护栏，或执行违反应用程序预期目的的指令。

此类攻击可以是间接的，其中系统处理由第三方控制的数据（例如，传入的电子邮件或可编辑文档）以启动导致 AI 越狱的恶意负载。

他们还可以采取所谓的多次越狱或多回合越狱（又名 Crescendo）的形式，其中操作员“从无害的对话开始，逐步将对话引向预期的、禁止的目标”。

这种方法可以进一步扩展，以实施另一种称为“Skeleton Key”的新型越狱攻击。

微软 Azure 首席技术官 Mark Russinovich表示：“这种 AI 越狱技术采用多轮（或多步骤）策略，使模型忽略其护栏。一旦忽略护栏，模型将无法确定来自任何其他人的恶意或未经批准的请求。”

Skeleton Key 与 Crescendo 的不同之处还在于，一旦越狱成功，系统规则发生改变，模型就可以对原本被禁止的问题做出回应，而不管其中的道德和安全风险。

“当 Skeleton Key 越狱成功时，模型就承认它已经更新了指南，随后将遵守指令来生成任何内容，无论它如何违反其原始负责任的 AI 指南，”Russinovich 说。

“与 Crescendo 等其他越狱不同，Skeleton Key 将模型置于用户可以直接请求任务的模式，而 Crescendo 等其他越狱必须间接或通过编码向模型询问任务。此外，模型的输出似乎完全未经过滤，并揭示了模型的知识范围或生成请求内容的能力。”

JFrog 的最新发现（同样由刘彤独立披露）表明，快速注入可能会产生严重影响，特别是当它们与命令执行相关时。

CVE-2024-5565 利用 Vanna 促进文本到 SQL 生成的事实来创建 SQL 查询，然后使用 Plotly 图形库执行这些查询并以图形方式呈现给用户。

这是通过“ask”函数实现的- 例如，vn.ask（“按销售额排名前 10 位的客户有哪些？”） - 这是允许生成在数据库上运行的 SQL 查询的主要 API 端点之一。

上述行为加上 Plotly 代码的动态生成，产生了一个安全漏洞，允许威胁行为者提交嵌入要在底层系统上执行的命令的特制提示。

JFrog表示：“Vanna 库使用提示函数向用户呈现可视化结果，可以使用提示注入来改变提示并运行任意 Python 代码而不是预期的可视化代码。”

“具体来说，允许将外部输入输入到库的‘ask’方法并将‘visualize’设置为 True（默认行为）会导致远程代码执行。”

在负责任地披露之后，Vanna 发布了一份强化指南，警告用户 Plotly 集成可用于生成任意 Python 代码，并且暴露此功能的用户应在沙盒环境中执行此操作。

JFrog 安全研究高级主管 Shachar Menashe 在一份声明中表示：“这一发现表明，如果没有适当的治理和安全保障，广泛使用 GenAI/LLM 的风险可能会对组织产生严重影响。”

“预提示注入的危险性仍未得到广泛了解，但很容易实施。公司不应依赖预提示作为万无一失的防御机制，在将 LLM 与数据库或动态代码生成等关键资源连接时，应采用更强大的机制。”

网络安全研究人员披露了 Phoenix SecureCore UEFI 固件中现已修复的安全漏洞的详细信息，该漏洞影响多个系列的英特尔酷睿台式机和移动处理器。

“UEFIcanhazbufferoverflow”漏洞的编号为CVE-2024-0762（CVSS 评分：7.5），它被描述为一种缓冲区溢出的情况，源于在受信任平台模块 (TPM) 配置中使用不安全变量，可能导致执行恶意代码。

供应链安全公司 Eclypsium在与 The Hacker News 分享的一份报告中表示： “该漏洞允许本地攻击者提升权限并在运行时在 UEFI 固件中执行代码。”

“这种低级利用是固件后门（例如BlackLotus）的典型特征，这种后门在野外越来越常见。此类植入使攻击者能够在设备中持续驻留，并且通常能够逃避在操作系统和软件层中运行的更高级别的安全措施。”

在负责任地披露之后，Phoenix Technologies 于 2024 年 4 月解决了该漏洞。个人电脑制造商联想也在上个月发布了针对该漏洞的更新。

固件开发人员表示：“此漏洞会影响使用 Phoenix SecureCore 固件并运行部分英特尔处理器系​​列的设备，包括 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。”

UEFI是 BIOS 的后继者，是指启动期间用于初始化硬件组件并通过启动管理器加载操作系统的主板固件。

由于 UEFI 是第一个以最高权限运行的代码，因此它对于威胁行为者来说是一个有利可图的目标，威胁行为者希望部署启动工具包和固件植入程序，这些程序可以破坏安全机制并在不被发现的情况下保持持久性。

这也意味着在 UEFI 固件中发现的漏洞可能带来严重的供应链风险，因为它们可以同时影响许多不同的产品和供应商。

Eclypsium 表示：“UEFI 固件是现代设备上最有价值的代码之一，任何对该代码的破坏都可能让攻击者完全控制并持久控制设备。”

近一个月前，惠普披露了其 UEFI 实施中一个类似的未修补的缓冲区溢出漏洞，该漏洞影响了 HP ProBook 11 EE G1，该设备于 2020 年 9 月已达到使用寿命终止 (EoL) 状态。

此前还披露了一种名为 TPM GPIO Reset 的软件攻击，攻击者可利用该攻击访问其他操作系统存储在磁盘上的机密信息，或破坏受 TPM 保护的控制（例如磁盘加密或启动保护）。

思科已发布补丁来解决影响其安全客户端软件的高严重性安全漏洞，威胁行为者可能会利用该漏洞与目标用户打开 VPN 会话。

该网络设备公司将该漏洞描述为 CVE-2024-20337（CVSS 评分：8.2），允许未经身份验证的远程攻击者对用户进行回车换行 ( CRLF ) 注入攻击。

由于对用户提供的输入验证不足，威胁行为者可能会利用该缺陷诱骗用户在建立 VPN 会话时单击特制链接。

该公司在一份公告中表示：“成功的利用可能允许攻击者在浏览器中执行任意脚本代码或访问基于浏览器的敏感信息，包括有效的 SAML 令牌。”

“然后，攻击者可以使用该令牌以受影响用户的权限建立远程访问 VPN 会话。VPN 头端后面的各个主机和服务仍然需要额外的凭据才能成功访问。”

该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，并已在以下版本中得到解决 -

4.10.04065 之前（不易受攻击）
4.10.04065 及更高版本（在 4.10.08025 中修复）
5.0（迁移到固定版本）
5.1（在 5.1.2.42 中修复）

亚马逊安全研究员Paulos Yibelo Mesfin被认为发现并报告了该缺陷，他告诉黑客新闻，当目标访问其控制下的网站时，该缺陷允许攻击者访问本地内部网络。

思科还发布了 CVE-2024-20338（CVSS 评分：7.3）的修复程序，这是 Linux 安全客户端中的另一个高严重性缺陷，可能允许经过身份验证的本地攻击者提升受影响设备上的权限。它已在版本 5.1.2.42 中得到解决。

它说：“攻击者可以通过将恶意库文件复制到文件系统中的特定目录并说服管理员重新启动特定进程来利用此漏洞。 ” “成功的利用可能允许攻击者以 root 权限在受影响的设备上执行任意代码。”