HackerNews 编译，转载请注明出处： 周一，苹果发布了 iOS、iPadOS、macOS、tvOS 和 Safari Web 浏览器的安全更新，以解决一种在野外被积极利用的零日漏洞。 该漏洞被追踪为 CVE-2024-23222，是一种类型混淆漏洞，黑客可以利用该漏洞在处理恶意构造的 Web 内容时实现任意代码执行。苹果公司表示，通过改进检查已经解决了这个问题。 类型混淆漏洞通常可以被利用来执行越界内存访问，或导致崩溃和任意代码执行。 苹果在一份简短的公告中承认，“我们知道有报告称这个问题可能已被利用”，但没有分享关于攻击性质或利用这一漏洞的黑客的其他具体信息。 更新适用于以下设备和操作系统： iOS 17.3 和 iPadOS 17.3 – iPhone XS 及更高版本，iPad Pro 12.9 英寸第二代及更高版本，iPad Pro 10.5 英寸，iPad Pro 11 英寸第一代及更高版本，iPad Air 第三代及更高版本，iPad 第六代及更高版本，以及 iPad mini 第五代及更高版本 iOS 16.7.5 和 iPadOS 16.7.5 – iPhone 8，iPhone 8 Plus，iPhone X，iPad 第五代，iPad Pro 9.7 英寸，以及 iPad Pro 12.9 英寸第一代 macOS Sonoma 14.3 – 运行 macOS Sonoma 的 Mac macOS Ventura 13.6.4 – 运行 macOS Ventura 的 Mac macOS Monterey 12.7.3 – 运行 macOS Monterey 的 Mac tvOS 17.3 – Apple TV HD 和 Apple TV 4K（所有型号） Safari 17.3 – 运行 macOS Monterey 和 macOS Ventura 的 Mac 这一进展标志着苹果今年第一次修补主动利用的零日漏洞。去年，这家 iPhone 制造商解决了20 个在现实攻击中被利用的零日漏洞。 此外，苹果还将 2023 年 12 月发布的 CVE-2023-42916 和 CVE-2023-42917 的修复措施回溯到旧设备上 ：  iOS 15.8.1 和 iPadOS 15.8.1 – iPhone 6s（所有型号），iPhone 7（所有型号），iPhone SE（第一代），iPad Air 2，iPad mini（第四代）和 iPod touch（第七代） 这一揭露紧随一份报告之后，中国当局透露他们曾利用苹果 AirDrop 功能中已知的先前漏洞，基于彩虹表的技术以帮助执法机构识别发送不当内容的用户。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，存在一种“显著增加”的网络威胁行为，其通过积极利用 Apache ActiveMQ 中一个现已修复的漏洞，在受感染的主机上部署 Godzilla Web Shell。 “这些 Web Shell 被隐藏在未知的二进制格式中，旨在规避安全和基于签名的扫描器” ，Trustwave 表示。“值得注意的是，尽管二进制文件格式未知，但 ActiveMQ 的 JSP 引擎仍然继续编译和执行 Web Shell。” CVE-2023-46604（CVSS 分数：10.0）是指 Apache ActiveMQ 中的一种严重漏洞，可实现远程代码执行。自 2023 年 10 月底公开披露以来，已有多个对手积极利用该漏洞部署勒索软件、rootkit、加密货币挖矿程序和 DDoS 僵尸网络。 在 Trustwave 观察到的最新入侵集合中，易受攻击的实例成为基于 JSP 的 Web Shell 的目标，这些 Web Shell 被植入到 ActiveMQ 安装目录的“admin”文件夹中。 这个名为 Godzilla 的 Web Shell 是一个功能丰富的后门，能够解析传入的 HTTP POST 请求、执行内容，并以 HTTP 响应的形式返回结果。 “这些恶意文件引人注目的地方在于，JSP 代码似乎被隐藏在一种未知类型的二进制中” ，安全研究员 Rodel Mendrez 表示。“这种方法有可能绕过安全措施，在扫描期间避免被安全端点检测到。” 对攻击链的更仔细审查显示，Web Shell 代码在被 Jetty Servlet 引擎执行之前被转换成 Java 代码。 JSP 负载最终允许黑客通过 Godzilla 管理用户界面连接到 Web Shell，并完全控制目标主机，便于执行任意 Shell 命令、查看网络信息以及处理文件管理操作。 强烈建议使用 Apache ActiveMQ 的用户尽快升级到最新版本，以降低潜在的威胁。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 堪萨斯州立大学（Kansas State University，简称 K-State）遭遇了一起网络安全事件，导致其部分网络和服务受到影响。 2023 年 1 月 16 日，K-State 大学宣布其某些网络系统出现故障，包括 VPN、K-State Today 邮件以及 Canvas 和 Mediasite 上的视频。 该大学立即对此事件展开调查。 “我们能够确认，这些中断是最近一次网络安全事件的结果，因此，我们希望您知道这些受影响的系统已经被下线，并将在调查继续的过程中保持下线。”大学在其网站上发布的消息中写道。“这还包括一些共享驱动器和打印机，以及大学的列表服务器。” 堪萨斯州立大学（Kansas State University，简称KSU、Kansas State或K-State）是一所位于堪萨斯州曼哈顿市的公立土地授予研究型大学。该大学被分类为“R1：博士大学 – 非常高的研究活动”。 堪萨斯州立大学的学术课程由九个学院管理，包括兽医学院和 Salina 的技术与航空学院。提供的研究生学位包括 65 个硕士学位项目和 45 个博士学位项目。 目前，堪萨斯州立大学拥有 20,000 名学生，并有超过 1,400 名学术教职工成员。 KSU 建议其工作人员和学生报告任何可疑活动。 2023 年 1 月 17 日，大学宣布电子邮件将于 1 月 18 日（星期四）以临时格式恢复。 2023 年 1 月 18 日，KSU Wireless 仍然不可用，大学建议在此期间使用 KSU Guest 进行无线连接。 截至目前，堪萨斯州立大学尚未提供有关安全漏洞的详细信息。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由一系列配置错误和安全漏洞导致研究人员能够访问存储在 Toyota Tsusho Insurance Broker India (TTIBI) 的电子邮件帐户中的客户信息。 美国研究人员 Eaton Zveare 解释说，之所以能未经授权访问客户信息，是因为 TTIBI 站点具有专用的 Eicher Motors 子域，其中包含一个高级计算器。 TTIBI 是日本 Toyota Tsusho Insurance Management Corporation 旗下的一家保险经纪公司，似乎与 Eicher Motors 密切合作，这是一家印度汽车公司，生产摩托车和商用车辆。 据 Zveare 称，他发现 Eicher Android 应用程序包含一个指向 ttibi.co.in 上的高级计算器的链接，通过这个链接获得了对 noreplyeicher@ttibi.co.in 电子邮件地址的访问权限。该链接在页面源代码中暴露了一个客户端的邮件发送机制。 研究人员创建了一个 API 请求来检查是否需要身份验证，并成功发送了一封电子邮件，但也收到了一个服务器错误，其中包括“noreply”电子邮件帐户的 base64 编码密码。 “noreply 帐户可能是组织中最重要的帐户，因为它可能记录了他们向客户发送的所有内容。在 TTIBI 这个事例中，情况确实如此，而且所揭示的信息量是巨大的，” Zveare指出。 在电子邮件帐户中，研究人员找到了发送给客户的所有的消息记录，其中包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。 此外，对电子邮件帐户的访问还提供了对 TTIBI 的 Microsoft 云帐户的访问权限，包括对企业目录以及 SharePoint 和 Teams 服务的访问权限。 Zveare 指出，扩展的访问级别是由五个安全问题和配置错误引起的，分别是：客户端的邮件发送机制、缺乏 API 身份验证、API 响应泄漏信息、缺乏双因素身份验证以及保留了从该帐户发送和接收的所有电子邮件。 据 Zveare 称，TTIBI 花了两个月的时间将 Eicher 子域下线，并要求对暴露的 API 进行身份验证。然而，研究人员在 1 月 17 日验证访问权限时，’noreply’电子邮件帐户的密码仍然相同。   消息来源：securityweek，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Quarkslab 研究人员发现了 9 个漏洞，统称为PixieFail。这些漏洞影响了 UEFI 的开源参考实现 EDK II 的 IPv6 网络协议栈。 统一可扩展固件接口（UEFI）是一项规范，定义了用于引导计算机硬件并与操作系统进行交互的平台固件的架构。实现该规范的固件示例包括 AMI Aptio、Phoenix SecureCore、TianoCore EDK II、InsydeH2O 等。 研究人员在分析 Tianocore 的 EDK II PXE 实现 NetworkPkg 时发现了这些漏洞。这些漏洞的严重程度和潜在利用可能取决于特定固件构建和默认的 PXE 引导配置。 PixieFail 漏洞可被利用以实现远程代码执行和敏感信息泄露，并执行拒绝服务（DoS）和网络会话劫持攻击。 NetworkPkg 是一组在 UEFI 环境中实现网络功能的模块。UEFI 中的 NetworkPkg 可能包括在预引导阶段初始化和管理与网络相关功能的模块。这可能涉及用于与网络设备交互的协议，如用于网络引导的 Preboot eXecution Environment（PXE）协议。 “为了从网络引导，客户端系统必须能够定位、下载和执行设置、配置和运行操作系统的代码。这通常是通过几个阶段完成的，首先通过简单协议（如TFTP）从网络服务器下载一个最小程序，然后下载并运行第二个引导阶段或完整的操作系统映像。”通告中写道。 “为了定位这个最小程序，称为网络引导程序（NBP），PXE 客户端依赖 DHCP 服务器来获取配置参数，以用有效的 IP 地址配置其网络接口，并接收要查询 NBP 文件的启动服务器列表。” “由于 DHCP 服务器必须提供这样的列表和其他特殊参数，因此 PXE 客户端必须发送一些强制性的与 PXE 相关的 DHCP 选项，且 DHCP 服务器必须是‘PXE启用’的，即配置适当以识别 PXE 客户端选项并回复正确的 DHCP 服务器选项。” 以下是专家发现的 PixieFAIL 漏洞列表： CVE-2023-45229 – 处理 DHCPv6 Advertise 消息中的 IA_NA/IA_TA 选项时出现整数下溢 CVE-2023-45230 – DHCPv6 客户端中通过长服务器 ID 选项发生缓冲区溢出 CVE-2023-45231 – 处理带有截断选项的 ND 重定向消息时出现越界读取 CVE-2023-45232 – 解析目标选项标头中的未知选项时出现无限循环 CVE-2023-45233 – 解析目标选项标头中的 PadN 选项时出现无限循环 CVE-2023-45234 – 处理 DHCPv6 通告消息中的 DNS 服务器选项时缓冲区溢出 CVE-2023-45235 – 从 DHCPv6 代理播发消息处理服务器 ID 选项时出现缓冲区溢出 CVE-2023-45236 – 可预测的 TCP 初始序列号 CVE-2023-45237 – 使用弱伪随机数生成器 CERT 协调中心 （CERT/CC） 也发布了有关这些漏洞的公告。 “本地网络中的攻击者（在某些情况下是远程的）可以利用这些漏洞来执行远程代码、发起 DoS 攻击、进行 DNS 缓存中毒或提取敏感信息。” CERT/CC 还发布了漏洞说明，其中包含受影响供应商的完整列表以及缓解这些问题的指南。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在周四将一个已经修复的关键漏洞添加到其已知被利用漏洞（KEV）目录中，该漏洞影响了 Ivanti Endpoint Manager Mobile（EPMM）和 MobileIron Core ，并正在被广泛利用。 有问题的漏洞是 CVE-2023-35082（CVSS 分数：9.8），这是一个身份验证绕过漏洞，是对同一解决方案中另一个漏洞 CVE-2023-35078（CVSS 分数：10.0）的修补绕过。 Ivanti 在 2023 年 8 月指出：“如果此漏洞被利用，未经授权的远程（面向互联网）黑客能够潜在地访问用户的个人身份信息，并对服务器进行有限的更改。” 漏洞影响到所有版本的 Ivanti Endpoint Manager Mobile（EPMM），包括 11.10、11.9 和 11.8，还有 MobileIron Core 的 11.7 及以下版本。 发现并报告该漏洞的网络安全公司 Rapid7 表示，它可以与 CVE-2023-35081 链接，以允许黑客将恶意 Web Shell 文件写入设备。 目前还没有关于该漏洞如何在实际攻击中被武器化的详细信息。建议联邦机构在 2024 年 2 月 8 日之前应用供应商提供的修复程序。 Ivanti Connect Secure （ICS）虚拟专用网络（VPN）设备中的另外两个零日漏洞（CVE-2023-46805 和 CVE-2024-21887）也遭到大规模利用， 用于投放 Web Shell 和设置被动后门，该公司预计将在下周发布更新。 Ivanti 在一份咨询中表示：“我们已经观察到黑客瞄准系统的配置和运行缓存，其中包含对 VPN 操作至关重要的秘密。” “虽然我们没有在每个实例中观察到这种情况，但出于谨慎起见，Ivanti 建议您在重建后更换这些秘密。” 本周早些时候，Volexity 透露已经能够找到全球 1,700 多种设备遭到入侵的证据。虽然最初的攻击与一名疑似中国黑客（代号 UTA0178）有关，但后来还有其他黑客加入了攻击行列。 Assetnote 对这两个相关漏洞进行了深入的逆向工程分析，发现了一个额外的端点（”/api/v1/totp/user-backup-code”），通过该端点，身份验证绕过漏洞（CVE-2023-46805）可在旧版本的 ICS 上被滥用并获得反向 shell。 安全研究人员 Shubham Shah 和 Dylan Pindur 将其描述为“由于相对简单的安全错误而导致安全 VPN 设备暴露于大规模利用的另一个例子”。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 瑞士方面称，亲俄团体 NoName 发起的网络攻击已干扰了部分政府网站的正常访问，这是出于对乌克兰总统弗拉基米尔·泽连斯基对达沃斯访问的报复。 该黑客团体在其 Telegram 频道发布的消息中表示：“我们知道瑞士正在举办世界经济论坛达沃斯会议。当然，我们不是空手而来，而是带着 DDoS 攻击这份‘礼物’。” 该团体对瑞士的几个政府网站发动了一系列的 DDoS 攻击，导致这些网站在一段时间内不可访问。 法新社报道称：“瑞士政府表示‘与俄罗斯有关的黑客组织 NoName 声称对这次攻击负责，理由是乌克兰总统泽连斯基参加了在瑞士达沃斯豪华滑雪胜地举行的世界经济论坛年会。” 瑞士国家网络安全中心（NCSC）声称，已经迅速检测到这次网络攻击，并立即采取了必要的措施，恢复了对目标网站的访问。 受攻击的一些网站包括： 达沃斯-克洛斯特滑雪胜地网站的授权 瑞士缆车网络服务提供商 POOL-ALPIN 瑞士内政部 雷蒂亚铁路（前往达沃斯） NCSC 报告称：“这种攻击是预料之中的，我们已经采取了适当的安全措施。” 这些攻击并未影响瑞士政府主门户网站（www.admin.ch）的可访问性。 这并非 NoName 组织第一次袭击瑞士，在去年 6 月，这个亲俄团体曾袭击多个瑞士政府网站，包括瑞士机场、市政府和协会。 瑞士总统 Viola Amherd 宣称，瑞士同意组织一场世界领导人的和平峰会，旨在结束俄罗斯对乌克兰的战争。 然而，瑞士从未向基辅发送军火，也不允许拥有瑞士制造武器的国家将其重新出口到乌克兰。 瑞士只同意欧盟对俄罗斯的经济制裁。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2023 年 11 月，医疗保健服务提供商 HMG Healthcare 遭到勒索软件攻击，导致其 40 家附属护理机构的用户和员工的健康信息被泄露。 该公司立即对这一事件展开调查，发现黑客在8月份成功入侵了其服务器并窃取了未加密的文件。 这些被盗文件包含了姓名、出生日期、联系方式、健康状况、治疗信息、社会安全号码和工作记录等个人信息。 数据泄露通知中描述道，“我们通知受影响的个人或相关方，在2023年8月，涉及您或您亲人的服务器被未授权访问，并且可能导致了信息泄露” ，“此次事件是因为黑客访问我们的服务器并窃取未加密的文件。” HMG Healthcare 立即采取安全措施，防止进一步的泄露事件。 通知进一步指出：“HMG 尝试识别被泄露的数据，但现在这个过程存在一定困难。” 为了给受害者提供更多支持，该公司设立了一个咨询中心以解答疑问，并发布了受影响的机构清单。 此外，公司还建议他们持续关注自己的账户流水、福利明细和信用记录。 虽然数据泄露通知中未详细描述攻击方式，但专家普遍推测这是一次由勒索软件攻击引发的安全事件。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache OfBiz 是一种开源企业资源规划（ERP）系统。最近发现 Apache OfBiz 存在一种新的零日安全漏洞，这个漏洞可能允许黑客绕过身份验证保护。 该漏洞被标记为 CVE-2023-51467，位于系统的登录功能中，其出现源于对本月初发布的另一个关键漏洞（CVE-2023-49070, CVSS评分：9.8）补丁的不完全修复。 发现这个漏洞的 SonicWall Capture Labs 威胁研究团队在与 The Hacker News 分享的声明中说道，“对 CVE-2023-49070 的修补并未从根本上解决问题，导致身份验证绕过的问题依旧存在。”   CVE-2023-49070 是指一个存在于 Apache OFBiz 18.12.10 及更早版本的预认证远程代码执行漏洞。这个漏洞被利用后，黑客可能完全控制受影响的服务器并访问敏感数据。这是由于 Apache OFBiz 中已弃用的 XML-RPC 组件引起的。 根据 SonicWall 的说法，CVE-2023-51467 可以通过在 HTTP 请求中使用空的或无效的 USERNAME 和 PASSWORD 参数来触发，从而返回一个认证成功消息，有效地绕过保护，使黑客能够访问原本未授权的内部资源。 该攻击取决于 URL 中的参数“requirePasswordChange”被设置为“Y”（即“是”），导致无论在用户名和密码字段中传递了什么值，身份验证都会被轻易绕过。 NIST 国家漏洞数据库（NVD）表示：“这个漏洞允许黑客绕过身份验证，从而实现一个简单的服务器端请求伪造（SSRF）。” 使用 Apache OFbiz 的用户应尽快更新到 18.12.11 版本或更高版本，以避免任何潜在的威胁。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： St Vincent’s Health Australia 是澳大利亚最大的非营利性医疗保健提供商。该医疗系统遭受了一次网络攻击，导致数据泄露。 St Vincent’s Health Australia 已向当地当局报告了此次事件，并正在与澳大利亚政府合作，以减轻这一安全事件的影响。 医疗服务提供商聘请了外部安全专家来调查此次入侵并确定攻击的范围。 “2023 年 12 月 19 日星期二，St Vincent’s Health Australia 开始应对一起网络安全事件。12 月 21 日星期四晚些时候， St Vincent’s 发现了证据，表明网络犯罪分子从我们的网络中取走了一些数据”，该组织发布的声明中写道。 “St Vincent’s 正在努力确定哪些数据被移除，这一事件的调查仍在进行中。” 声明中没有提供关于攻击的详细信息，也没有将此次事件归因于勒索软件攻击。 该组织指出，这一事件迄今为止并未影响 St Vincent’s 向其患者提供服务的能力。 声明进一步指出：“到目前为止，我们向患者、居民、政府及更广泛的社区所提供的关键服务能力并未受到影响。” 目前还没有任何行为者对这一安全漏洞事件承担责任。 在过去几年中，包括 Medibank、Energy One、Crown Resorts、Latitude Financial、 Nissan Australia、DP World Australia、EnergyAustralia 和 Optus 在内的多个著名澳大利亚企业都是网络攻击的受害者。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文