标签: 0day

漏洞预警:Oracle WebLogic 曝 0day 漏洞,攻击者可远程执行命令

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,攻击者可利用该漏洞在未授权的情况下远程执行命令。 随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本),到本预警发布时,官方仍然没有发布对应修复补丁,属于“0day安全”漏洞。 值得注意的是,知道创宇旗下创宇盾监控发现,该漏洞最早在4月17日存在漏洞扫描痕迹,另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据,其中中国30,600条 主要分布在北京、广东、上海等省市。 由此知道创宇404实验室发出紧急漏洞预警,建议所有使用Oracle WebLogic的用户引起重视,注意防范。目前经过确认,知道创宇旗下云安全防御产品“创宇盾”无需升级即可防御该漏洞。临时解决方案: 方案1:找到并删除wls9_async_response.war、wls-wsat.war 并重启Weblogic服务 方案2:通过访问策略控制禁止 /_async/* 及 /wls-wsat/* (注意) 路径的URL访问。 方案3:启用部署“创宇盾”(https://www.yunaq.com/cyd/) 知道创宇404实验室后续将发布更多漏洞细节和漏洞应急方案,敬请关注。  知道创宇404实验室,是国内黑客文化深厚的网络安全公司知道创宇最神秘和核心的部门,在知道创宇CSO、404实验室负责人周景平(黑哥)的带领下,知道创宇404实验室长期致力于Web、IoT、工控、区块链等领域内安全漏洞挖掘、攻防技术的研究工作,团队曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果,并协助修复安全漏洞,多次获得相关致谢,在业内享有极高的声誉。

Google Chrome 被发现零日漏洞 可让黑客获取用户数据

谷歌浏览器Chrome中的零日漏洞允许黑客使用浏览器中加载的恶意PDF文档来获取个人数据。由EdgeSpot发现这项安全漏洞,已经在被黑客利用,谷歌官方修复方案只会在4月底发布。 当在专用的PDF阅读器(如AdobeReader)中打开时,PDF文档似乎不会泄漏任何个人信息。恶意代码似乎专门针对Google Chrome浏览器中的漏洞,在浏览器中打开这些恶意PDF,会触发到两个不同之一的出站流量,分别称为burpcollaborator.net和readnotify.com。 黑客通过此种方式可以获得的数据包括设备的IP地址、操作系统和Google Chrome版本,以及本地驱动器上PDF文件的路径等等。有趣的是,大部分安全产品无法实时检测到恶意的PDF文档,只有一些防病毒解决方案在扫描它们时才会触发警告。 目前避免此漏洞侵害的最简单方法是避免在Google Chrome浏览器中打开任何PDF文档,但是如果必须这样做,您应该远离来自不信任来源的文件。此外,在Google Chrome中打开PDF文档时,您可以暂时断开电脑与互联网的连接。     (稿源:cnBeta,封面源自网络。)

又一 Windows 的 0day 漏洞在 Twitter 上被公开

微软Windows最近麻烦不断,“bug 10”问题让人哭笑不得的同时,一个真正的威胁又出现了。新的0day漏洞已经被披露,会影响所有最近的Windows版本,包括Windows 10。用户名“SandboxEscaper”的研究人员在Twitter和GitHub上分享了概念证明(Proof of Concept),确认此漏洞存在。 根据研究人员的报告,最新的Windows零日漏洞影响了微软数据共享组件(dssvc.dll),这是一种在应用程序之间提供数据代理的本地服务。 该漏洞影响Windows操作系统,包括Windows 10(安装最新的被戏称为“bug 10”的2018年10月更新同样未能幸免),更重要的是,运行角色重要得多的Windows Server 2016,甚至是新的Server 2019也在受影响之列。 ACROS Security的联合创始人兼首席执行官Mitja Kolsek警告用户不要因为好奇而在生产环境中运行这个PoC,因为它会删除Windows文件并需要用户运行系统还原来修复它,最好的方法就是等待微软修补这个漏洞。   稿源:cnBeta,封面源自网络;

视频监控出现新漏洞:黑客可以让监控摄像头失灵

新浪科技讯 北京时间9月18日早间消息,安全公司Tenable的研究人员近日披露了一项涉及安全摄像头和监控设备的“零日漏洞”,编号为CVE-2018-1149,代号“Peekaboo”。攻击者可以利用这个漏洞,通过远程方式在视频监控系统软件上执行代码。 具体来说,攻击者可以利用这个漏洞浏览、篡改视频监控记录等信息,还可以窃取机密数据,比如凭证、IP地址、端口使用情况、监控设备的型号。攻击者甚至可以让摄像头等监控设备完全失灵。 这些漏洞的主要原因在于一款名为“Nuuo”的视频监控管理软件上。这款软件为客户提供视频监控系统,很多机场、银行、政府机构、居民区都在使用。因此漏洞的影响范围极广。 Tenable已经将漏洞报告给Nuuo软件公司,公司正在制作补丁。Tenable目前推出一个插件,机构可以利用插件检测设备是否会受到Peekaboo的影响。   稿源:新浪科技,封面源自网络;

上传恶意文件时无意泄露两个0-day,被研究人员抓个正着

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。 ESET 研究员 Anton Cherepanov 在 3 月底分析海量恶意软件样本时,发现了这两个隐藏的漏洞,在发现之时,该神秘黑客组织仍在调整这两个漏洞。Cherepanov 表示:“样本中不包含最终有效载荷,这意味着漏洞被发现时仍处于早期发展阶段。”这两个 0-day 漏洞分别是影响 Adobe Acrobat/Reader PDF 阅读器的 CVE-2018-4990,和影响 Windows Win32k 组件的 CVE-2018-8120。二者结合可以构成一个所谓的“利用链”。其中,利用 CVE-2018-4990 可以在 Adobe Acrobat/Reader 中运行自定义代码,而利用 CVE-2018-8120 则可以绕过 Adobe 的沙箱保护并在底层操作系统上执行其他代码。   稿源:Freebuf,封面源自网络;

韩国互联网安全局(KISA)预警:朝鲜黑客利用 Flash 零日漏洞针对性攻击韩国网民

外媒 2 月 1 日消息,韩国互联网安全局(KISA)于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍,黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用,从而达到操控用户系统的目的。 韩国计算机应急响应小组(KR-CERT)透露,特制的 Flash 文件中存有恶意代码。 目前看来,该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示,朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”,其主要目的可能是为了攻击韩国用户 。针对上述情况,Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告,并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始,管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然,管理员也可以开启 Office 保护视图,以只读模式打开可能不安全的文件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Windows SMBv3 协议曝 0day,可导致拒绝服务攻击危害用户系统

据 Seebug 漏洞平台消息,昨日美国计算机应急响应小组(US-CERT)披露了关于 Microsoft Windows SMBv3 协议的一个新 0day,攻击者可通过诱使用户访问伪造的 SMB 服务端,从而进行拒绝服务攻击,最终危害到用户的系统。但目前还没有更详细的漏洞细节披露。 SMB 是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源。 漏洞影响版本: Windows Server 2012、Windows Server 2016 以及 Windows 10 其它版本可能也受影响。 漏洞测试环境: PoC 运行的服务端:Ubuntu 16.04 x64 测试客户端:Windows 10 x64 漏洞 PoC 请戳此处。 漏洞复现 在 Ubuntu 下执行 PoC 脚本来模拟 SMB 服务端并等待客户端的连接: 在客户端 Windows 10 上访问该 SMB 服务端: 最终将触发漏洞从而导致系统的崩溃: 稿源:Seebug;封面:百度搜索