继9月17日黎巴嫩发生针对真主党的寻呼机爆炸事件后，首都贝鲁特等地于当地时间9月18日傍晚又发生了无线电对讲机爆炸。 以色列新闻媒体称，贝鲁特的一家移动维修店和葬礼游行现场发生了爆炸。据黎巴嫩官方通讯社报道，贝鲁特和该国南部多个地区的房屋中还发生了太阳能系统爆炸，造成至少一名女孩受伤。 据CNN报道，黎巴嫩卫生部称，此次对讲机爆炸目前已造成至少20人死亡，其中包括一名16岁男孩，另有450多人受伤。 黎巴嫩通信部称，发生爆炸的ICOM V82型对讲机由日本公司ICOM生产，且该产品不是由公认的代理商提供，没有官方许可，也没有经过安全部门的审查。对此，ICOM表示目前正在调查有关此事的事实。该公司网站称 IC-V82 已停产，目前流通的几乎所有型号都是假冒的。   爆炸的对讲机型号 根据《纽约时报》对现有视觉证据的分析，此次爆炸的对讲机比前一天在全国各地爆炸的寻呼机更大、更重，虽然爆炸发生地没有之前那么广泛，但在某些情况下还会引发更大的火灾，表明其中可能包含更多的爆炸物。 关于寻呼机、对讲机如何被引爆，目前说法不一。据央视新闻报道，有说法认为爆炸部件在制造或供应过程中被植入设备，也有人称操控者通过网络攻击导致设备电池过热爆炸。 英国南安普敦大学安全电子学副教授巴塞尔·豪拉克表示，约几厘米的小型爆炸雷管理论上可以放置于寻呼机等无线通信设备之中。 据悉，黎巴嫩真主党所使用的寻呼机和对讲机采购于海外企业。黎巴嫩安全部门官员表示，以色列有关部门在这批寻呼机的“生产层面”实施改装，其中植入的炸药用扫描仪或其他设备“非常难以探测”。另一名消息人士称，新购寻呼机内藏炸药至多3克，真主党人员几个月来毫无察觉。 曾在以军从事情报工作的以色列分析人士表示，黎巴嫩的寻呼机爆炸事件严重阻碍了黎巴嫩真主党武装的通讯，并可能破坏其在黎巴嫩南部针对以色列的行动。 联合国安理会将在当地时间20日就近期黎巴嫩多地发生的通信设备爆炸事件举行紧急会议，此前，联合国秘书长古特雷斯发表声明，对9月18日黎巴嫩多地发生的大量通信设备爆炸事件深感震惊，呼吁各方保持最大克制，以避免事态进一步升级。   转自Freebuf，原文链接：https://www.freebuf.com/news/411247.html 封面来源于网络，如有侵权请联系删除

俄罗斯反恶意软件公司 Doctor Web（Dr.Web 网络安全产品的开发商）周二表示，该公司最近遭遇了一次网络攻击。 该安全公司在其网站上发布的英文声明中表示，其检测到 9 月 14 日针对其资源的针对性攻击。 该公司表示：“对我们基础设施的破坏企图被及时阻止，受 Dr.Web 保护的用户系统没有受到影响。” 此次事件促使该公司切断了其网络中的所有资源，以检查是否存在被入侵的迹象。其 Dr.Web 病毒数据库也已暂时中止。 一篇用俄语写的帖子透露，该公司在发现入侵事件后一直密切关注攻击者的动向。在同一篇帖子中，该公司表示病毒数据库已恢复在线。 Doctor Web 尚未透露此次攻击背后的任何信息。网络安全公司可能成为任何类型的攻击者的目标，包括国家支持的团体、黑客活动分子和以营利为目的的网络犯罪分子。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TZdVxQeDNUn3fwIe6KH5wA 封面来源于网络，如有侵权请联系删除

GitLab 发布了安全更新，以解决影响 GitLab 社区版 (CE) 和企业版 (EE) 的自主管理安装的严重 SAML 身份验证绕过漏洞。 安全断言标记语言 (SAML) 是一种单点登录 (SSO) 身份验证协议，允许用户使用相同的凭据登录不同的服务。 该漏洞编号为 CVE-2024-45409，源自 OmniAuth-SAML 和 Ruby-SAML 库中的一个问题，GitLab 使用这两个库来处理基于 SAML 的身份验证。 当身份提供者 (IdP) 向 GitLab 发送的 SAML 响应包含错误配置或被操纵时，就会出现此漏洞。 具体来说，该缺陷涉及对 SAML 断言中关键元素的验证不足，例如用于在不同系统间唯一标识用户的 extern_uid（外部用户 ID）。 攻击者可以制作恶意 SAML 响应，诱骗 GitLab 将其识别为经过身份验证的用户，绕过 SAML 身份验证并获得对 GitLab 实例的访问权限。 CVE-2024-45409 漏洞影响 GitLab 17.3.3、17.2.7、17.1.8、17.0.8、16.11.10 以及这些分支的所有先前版本。 该漏洞已在 GitLab 版本 17.3.3、17.2.7、17.1.8、17.0.8 和 16.11.10 中得到解决，其中 OmniAuth SAML 已升级到版本 2.2.1，Ruby-SAML 已升级到版本 1.17.0。 GitLab 在公告中警告称：“强烈建议所有运行受上述问题影响的安装尽快升级到最新版本。” GitLab.com 上的 GitLab Dedicated 实例用户无需采取任何行动，因为该问题仅影响自管理安装。 对于那些无法立即升级到安全版本的用户，GitLab 建议为所有帐户启用双因素身份验证 (2FA)，并将 SAML 2FA 绕过选项设置为“不允许”。 恶意利用迹象 GitLab 在公告中提供了尝试或成功利用的迹象，这表明恶意攻击者可能已经在利用该漏洞进行攻击。 尝试或成功利用漏洞的迹象如下： 与 RubySaml::ValidationError 相关的错误（尝试失败）。 身份验证日志中出现新的或不寻常的     extern_uid 值（成功尝试）。 SAML 响应中缺少信息或信息不正确。 单个用户的多个 extern_uid  值（表示潜在的帐户泄露）。 与用户通常的访问模式相比，来自陌生或可疑 IP 地址的 SAML 身份验证。 成功利用的示例日志 转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TZdVxQeDNUn3fwIe6KH5wA 封面来源于网络，如有侵权请联系删除

Mandiant 称，被追踪为 UNC2970 的朝鲜黑客组织一直使用以工作为主题的诱饵，试图向在关键基础设施部门工作的个人传播新的恶意软件。 Mandiant 首次详细描述UNC2970 的活动及其与朝鲜的联系是在 2023 年 3 月，当时有人发现该网络间谍组织试图向安全研究人员发送恶意软件。 该组织至少自 2022 年 6 月就已存在，最初被发现以招聘工作为主题的电子邮件为目标，针对美国和欧洲的媒体和技术组织。 Mandiant 在周三发布的一篇博客文章中报告称，在美国、英国、荷兰、塞浦路斯、德国、瑞典、新加坡、香港和澳大利亚均发现了 UNC2970 目标。 Mandiant 公司称，近期的攻击主要针对美国航空航天和能源行业的个人。黑客继续利用以工作为主题的信息向受害者发送恶意软件。 UNC2970 一直通过电子邮件和 WhatsApp 与潜在受害者接触，自称是大型公司的招聘人员。 受害者会收到一个受密码保护的存档文件，其中似乎包含一份带有职位描述的 PDF 文档。然而，该 PDF 已加密，只能使用 Sumatra PDF 免费开源文档查看器的木马版本打开，该查看器也随文档一起提供。 Mandiant 指出，此次攻击并未利用任何 Sumatra PDF 漏洞，应用程序也未受到攻击。黑客只是修改了应用程序的开源代码，使其在执行时运行 Mandiant 追踪的 BurnBook 植入程序。 BurnBook 反过来部署了一个被跟踪为 TearPage 的加载程序，该加载程序部署了一个名为 MistPen 的新后门。这是一个轻量级后门，旨在在受感染的系统上下载和执行 PE 文件。 至于用作诱饵的职位描述，朝鲜网络间谍获取了真实的招聘信息文本，并对其进行了修改，以使其更符合受害者的个人资料。 Mandiant 表示：“所选职位描述针对的是高级/经理级员工。这表明攻击者旨在获取通常仅限于高级员工的敏感和机密信息。” Mandiant 尚未透露被冒充的公司的名称，但一份虚假职位描述的截图显示，BAE Systems 的招聘启事被用来针对航空航天业。另一份虚假职位描述是一家未具名的跨国能源公司。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a8mYTcU6TLvUfLiOD_UkWg 封面来源于网络，如有侵权请联系删除  

真主党成员为了规避以色列对电话的追踪和监控，近几个月改用寻呼机进行通讯；多方消息显示，可能是某批次寻呼机被以色列截获篡改，植入炸药后真主党未发现继续分发使用；纽约时报称，这些寻呼机在昨天下午同时收到一条看似来自真主党领导层的消息，发出振动/蜂鸣声几秒后发生爆炸，尚不确定引爆指令是这条消息还是其他信号。 安全内参9月18日消息，黎巴嫩周二（17日）发生了一场疑似前所未有的袭击事件，真主党成员及其他人士使用的大量电子寻呼机突然神秘爆炸，导致全境约3000人受伤，其中至少9人死亡。 黎巴嫩国家新闻社将此事件形容为“一起前所未有的安全事故”，并指出爆炸发生在该国首都贝鲁特南部真主党控制的郊区及其他多个地区。 黎巴嫩代理卫生部长菲拉斯·阿比亚德（Firass Abiad）表示，超过2750人受伤，其中180人伤势危重。阿比亚德说，大多数伤者的伤情集中在脸部、手部和腹部，都是寻呼机通常放置的部位。 真主党指责以色列发起了此次袭击，大量寻呼机同时爆炸 真主党指责以色列发动了此次袭击。这一激进组织在周二的一份声明中表示：“我们完全指责以色列敌人对此次犯罪行径负责。” 以色列官员和军方对周二发生的寻呼机爆炸事件未作任何评论。以色列过去曾展示其具备发动复杂远程袭击的能力。 真主党表示，下午3点30分左右，其成员、工作人员和行动人员使用的寻呼机发生了爆炸。声明中还提到，死者中包括一名儿童和该组织的两名成员。伊朗驻黎巴嫩大使馆证实，伊朗大使也在此次袭击中受伤。 真主党在声明中表示：“真主党的专业部门目前正在展开大规模的安全和科学调查，以查明导致这些爆炸同时发生的原因。” 这起离奇且前所未有的袭击发生的数小时前，以色列曾暗示其正在考虑升级与真主党之间的军事对抗。真主党是伊朗支持的黎巴嫩什叶派激进组织，同时也是黎巴嫩最具影响力的政党之一。 猜测某批寻呼机被以色列截获篡改，植入炸药后远程引爆 自去年10月以来，真主党与以色列一直处于相互攻击的局面。为了规避以色列对电话的追踪和监控，真主党成员在过去几个月里改用寻呼机进行通讯。 路透社报道称，被毁坏的寻呼机照片显示，其格式和背面的贴纸与中国台湾企业金阿波罗公司生产的AP924型号寻呼机一致，该机型采用的是可拆卸锂电池。 爆炸的具体原因尚未确定。 总部位于贝鲁特的互联网监督组织SMEX的技术专家推测，可能有一批寻呼机被截获，并被植入了少量炸药，这些炸药可以通过定时器或预设信号引爆。 一位接受卡塔尔半岛电视台采访的安全专家表示，这些寻呼机似乎被植入了大约一盎司的炸药。据称，这些寻呼机是由真主党进口的约5000台设备中的一部分。 另一种可能性是，以色列可能研发出了一种技术，能够让寻呼机的电池过热。专家指出，现代寻呼机使用的是锂离子电池，这类电池在过热的情况下可能起火并爆炸。 欧盟高级政治风险分析师伊莱贾·马格尼尔接受美联社采访称，他曾与真主党成员交谈过，他们检查过未爆炸的寻呼机，引发爆炸的原因似乎是将一条错误消息发送目标寻呼机，引发寻呼机振动，迫使用户点击按钮来停止振动。这种远程操作在引爆炸药的同时，确保了爆炸发生时用户在场。 爆炸事件造成严重人身伤害，当地医院被挤满 数百名伤者被送往位于贝鲁特市中心的美国大学医院，其中一位身穿绿色衬衫、满身是血的壮汉穆罕默德·萨尔哈布（Mohammad Salhab）正在等待他朋友的消息。 萨尔哈布说：“他当时手里拿着寻呼机，医生不得不为他截肢，无法保住他的手。” 此次袭击的消息在有真主党官员和行动人员活动的社区引发了恐慌，人们纷纷打电话通知家人，要求他们断开路由器及其他可能易受攻击的设备。 爆炸发生时，途经贝鲁特南部郊区的目击者看到一名血迹斑斑的男子躺在地上，周围聚集了不少人。 社交媒体上发布的图片声称是此次袭击的画面，其中一张照片显示，一名购物者站在水果市场的摊位附近时，他的袋子突然爆炸。另一张照片则显示一名男子在店内手持寻呼机，正要放在桌子上时发生了爆炸，将他震飞。 《洛杉矶时报》尚未能独立验证这些视频或照片的真实性。 数十辆救护车在贝鲁特拥堵的街道上穿梭，运送伤者，而黎巴嫩南部的医院已经被大量伤员挤满。 与此同时，黎巴嫩卫生部要求所有医院进入紧急状态，并呼吁全国医务人员立即返回医院工作。 以色列尚未回应，但声称挫败了一起真主党远程暗杀计划 周一晚间，以色列总理本雅明·内塔尼亚胡表示，政府在与加沙地带哈马斯激进分子的战争中的目标，现在将包括确保北部以色列居民能够安全返回家园。 自2023年10月8日以来，约6万名北部以色列居民因真主党为声援哈马斯向以色列发射火箭弹而被迫流离失所。 分析人士指出，尽管以色列尚未承认对此次寻呼机爆炸负责，但事件加剧了全面战争爆发的风险。 特拉维夫国家安全研究所高级研究员奥尔娜·米兹拉希（Orna Mizrahi）表示：“与之前相比，现在我们距离全面战争的可能性更近了。” 同样在周二，以色列国内情报机构辛贝特宣布，成功挫败了真主党试图使用远程设备暗杀一名前以色列高级安全官员的计划。辛贝特表示，此次袭击计划原本将在未来几天内实施。 包括参谋长赫尔齐·哈莱维（Herzi Halevi）中将在内，以色列高级指挥官周二晚上召开会议，讨论“在所有战线上做好攻击和防御的准备”。以色列军方在一份简短声明中提到此次会议，但未提及寻呼机爆炸事件。 联合国称，周二的事态发展“极为令人担忧”，特别是在以色列和真主党持续敌对的动荡背景下。联合国秘书长安东尼奥·古特雷斯的发言人斯特凡·杜加里克（Stephane Dujarric）表示，联合国“再怎么强调黎巴嫩及该地区局势升级的风险也不为过。”   转自安全内参 ，原文链接：https://www.secrss.com/articles/70336 封面来源于网络，如有侵权请联系删除

RansomHub 勒索软件组织公布了其据称从摩托车制造商川崎欧洲汽车公司 (KME) 窃取的 487 GB 数据。 川崎欧洲汽车公司上周披露了这一事件，并告知客户该公司正在从 9 月初未成功的网络攻击中恢复。 该公司表示，作为预防措施，服务器被暂时隔离，并启动清理过程以检查所有数据并处理任何潜在的感染。 KME 表示：“KME IT 部门、其分支机构的 IT 员工以及外部网络安全顾问花了一周时间隔离和检查所有服务器并恢复其互连。” 该公司表示，已成功恢复 90% 以上的服务器功能，并恢复“经销商、业务管理部门以及物流公司等第三方供应商”的正常业务。 虽然这家摩托车制造商并未透露其遭遇了何种类型的网络攻击，但在官方发布事件通知时，RansomHub 勒索软件团伙已将川崎添加到其基于 Tor 的泄密网站中。 该组织声称从 KME 窃取了 487 Gb 的数据，并威胁说，除非支付赎金，否则将公开发布据称被盗的信息。 周末，由于勒索未遂，RansomHub 兑现了威胁，并公布了相关数据。 KME 是日本制造商川崎重工的一个部门，销售摩托车、多功能车、动力运动行业产品、零件、配件和装备。 美国政府在上个月底的联合公告中表示，RansomHub 勒索软件团伙自 2024 年 2 月起活跃，截至 8 月底已造成210 多名受害者。然而，该组织基于 Tor 的网站上并未列出所有受害者。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7IiTk13ruzyA44wEyNM3cg 封面来源于网络，如有侵权请联系删除  

美国最高网络监管机构CISA敦促联邦机构移除或升级一款不再更新且已被用于攻击的 Ivanti 设备。 该科技公司周五更新了一份公告，警告称，由于 CVE-2024-8190 的利用，“有限数量的客户”遭到入侵。 该漏洞于周二公布，影响了 Ivanti 的云服务设备 (CSA) – 一种通过互联网提供安全通信并作为托管设备和中央控制台连接的中心点的工具。 网络安全和基础设施安全局 (CISA)也在周五证实了这一漏洞的存在，利用该漏洞，黑客可以“访问运行 CSA 的设备”。 该咨询指出，CSA 4.6 已终止使用并且“不再接收针对操作系统或第三方库的补丁”。 “此外，随着生命周期结束，这是 Ivanti 将为该版本反向移植的最后一个修复。客户必须升级到 Ivanti CSA 5.0 才能继续获得支持。”他们说。“CSA 5.0 是唯一受支持的版本，不包含此漏洞。已经运行 Ivanti CSA 5.0 的客户无需采取任何其他措施。” CISA命令所有联邦民事机构在 10 月 4 日之前停止使用 CSA 4.6 或升级到 5.0。 Ivanti 表示，用户可以通过查看是否有修改或新增的管理用户来判断自己是否受到该漏洞的影响。他们还敦促客户检查安全警报，看是否涉及某些安全工具。 这个问题出现的前一天，Ivanti 的另一个漏洞引起了防御者的警惕。今年 4 月，美国和欧洲政府机构的系统遭到一系列引人注目的国家攻击，这些攻击利用 Ivanti 产品中的漏洞，攻破了这些政府机构的系统。此后，该公司承诺进行安全整改。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hkZSlnEcUiBloKEieu8PLg 封面来源于网络，如有侵权请联系删除

CISA 已命令美国联邦机构确保其系统安全，防范最近修补的 Windows MSHTML 欺骗零日漏洞，该漏洞遭 Void Banshee APT 黑客组织利用。 该漏洞 ( CVE-2024-43461 ) 于9月的补丁日披露，微软最初将其归类为未被攻击利用。然而，微软于周五更新了公告，确认该漏洞在修复之前曾被攻击利用。 微软透露，攻击者在 2024 年 7 月之前利用了 CVE-2024-43461，作为与另一个 MSHTML 欺骗漏洞 CVE-2024-38112 的漏洞链的一部分。 “我们在 2024 年 7 月的安全更新中发布了针对 CVE-2024-38112 的修复程序，从而打破了这一攻击链。”它表示。“客户应该同时安装 2024 年 7 月和 2024 年 9 月的安全更新，以全面保护自己。” 报告此安全漏洞的趋势科技零日计划 (ZDI) 威胁研究员 Peter Girnus告诉 BleepingComputer，Void Banshee 黑客在0day攻击中利用该漏洞安装了窃取信息恶意软件。 该漏洞使远程攻击者能够通过诱骗目标访问恶意制作的网页或打开恶意文件，在未修补的 Windows 系统上执行任意代码。 ZDI 公告解释道：“特定漏洞存在于 Internet Explorer 在文件下载后提示用户的方式中。精心设计的文件名可能导致隐藏真实文件扩展名，从而误导用户认为该文件类型无害。攻击者可以利用此漏洞在当前用户的上下文中执行代码。” 他们利用 CVE-2024-43461 漏洞传播伪装成 PDF 文档的恶意 HTA 文件。为了隐藏 .hta 扩展名，他们使用了 26 个编码的盲文空白字符 (%E2%A0%80)。 伪装成 PDF 文档的 HTA 文件 正如 Check Point Research 和 Trend Micro 7 月份所披露的那样，这些攻击中部署的Atlantida 信息窃取恶意软件可以帮助从受感染的设备中窃取密码、身份验证 cookie 和加密货币钱包。 Void Banshee 是一个 APT 黑客组织，由趋势科技首次发现，其以北美、欧洲和东南亚的组织为目标，窃取经济利益和数据而闻名。 CISA命令联邦机构在10月7日前修复 CISA 已将MSHTML 欺骗漏洞添加到其已知被利用漏洞目录中，将其标记为主动利用漏洞，并命令联邦机构在 10 月 7 日之前修复漏洞以保护易受攻击的系统。 CISA表示：“这些漏洞是恶意攻击者频繁利用的媒介，对联邦机构构成重大风险。” 尽管 CISA 的 KEV 目录主要侧重于向联邦机构发出应尽快修补的安全漏洞警报，但也建议全球私人组织优先缓解此漏洞以阻止正在进行的攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

大约 9% 的经过测试的固件映像使用公开或在数据泄露中泄露的非生产加密密钥，导致许多安全启动设备容易受到 UEFI bootkit 恶意软件的攻击。 该供应链攻击被称为“PKfail”，漏洞编号为CVE-2024-8105，是由测试安全启动主密钥（平台密钥“PK”）引起的，计算机供应商应该用自己安全生成的密钥替换该密钥。 尽管这些密钥被标记为“不信任”，但它们仍然被众多计算机制造商使用，包括宏碁、戴尔、富士通、技嘉、惠普、英特尔、联想、菲尼克斯和超微。 该问题是由 Binarly于 2024 年 7 月下旬发现的，它警告称，超过八百种消费者和企业设备型号上存在不受信任的测试密钥的使用，其中许多密钥已经在 GitHub 和其他地方泄露。 PKfail 可以让攻击者绕过安全启动保护并在易受攻击的系统上植入无法检测到的 UEFI 恶意软件，使用户无法防御，也无法发现入侵。 PKfail 影响和响应 作为研究的一部分，Binarly 发布了“PKfail 扫描仪”，供应商可以使用它来上传他们的固件映像以查看他们是否使用了测试密钥。 根据最新指标，自发布以来，扫描仪已在 10,095 个固件提交中发现 791 个易受攻击的固件提交。 Binarly 在新报告中指出：“根据我们的数据，我们在医疗设备、台式机、笔记本电脑、游戏机、企业服务器、ATM、POS 终端以及投票机等一些奇怪的地方发现了 PKfail 和非生产密钥。” 大多数存在漏洞的提交密钥来自 AMI (American Megatrends Inc.)，其次是 Insyde (61)、Phoenix (4)，以及 Supermicro 的一个提交。 对于 2011 年生成的 Insyde 密钥，Binarly 表示，固件映像提交显示它们仍在现代设备中使用。此前，人们认为它们只能在旧系统中找到。 社区还确认 PKfail 会影响 Hardkernel、Beelink 和 Minisforum 的专用设备，因此该漏洞的影响比最初预估的要广泛。 Binarly 评论称，尽管并非所有厂商都迅速发布了有关安全风险的公告，但厂商对 PKfail 的反应总体上是积极主动且迅速的。目前，戴尔、富士通、Supermicro、技嘉、英特尔和Phoenix均发布了有关 PKfail 的公告。 一些供应商已经发布补丁或固件更新来删除易受攻击的平台密钥或用可用于生产的加密材料替换它们，用户可以通过更新 BIOS 来获取这些补丁或固件更新。 如果您的设备不再受支持并且不太可能收到 PKfail 的安全更新，建议限制对它的物理访问并将其与网络中更关键的部分隔离。 技术报告：https://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，VMware 披露了两个影响其 vCenter Server 和 Cloud Foundation 产品的关键安全漏洞，这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。 其中一个漏洞被追踪为 CVE-2024-38812，是在 vCenter Server 中实施 DCERPC 协议时存在的堆溢出漏洞，CVSS 评分高达 9.8。根据 VMware 的公告，具有网络访问权限的攻击者对易受攻击的 vCenter Server可以通过发送特制网络数据包来触发此漏洞，从而导致远程代码执行。 另一个漏洞被追踪为CVE-2024-38813，属 vCenter Server 中的权限提升缺陷，CVSS 评分7.5，可能允许攻击者通过发送恶意网络数据包将权限升级到 root。 这两个漏洞都会影响 VMware vCenter Server 7.0 和 8.0 版本，以及 VMware Cloud Foundation 4.x 和 5.x 版本。 VMware 已发布修补程序来解决这些缺陷，并强烈建议客户尽快应用这些更新。对于 vCenter Server，用户应尽快升级到8.0 U3b 或 7.0 U3s 版本，Cloud Foundation 客户应应用 KB88287 中引用的异步修补程序。 该公司表示，到目前为止还没有发现任何对这些漏洞的野外利用。但是，鉴于 vCenter Server 在管理虚拟化环境方面的关键性质，这些缺陷可能成为攻击者的诱人目标。 据悉，这两个漏洞由参加中国2024“矩阵杯”网络安全大赛的TZL研究人员发现，并在事后向 VMware 进行了报告。 今年6月，VMware 曾修复了一个类似的 vCenter Server 远程代码执行漏洞 （CVE-2024-37079），该漏洞可通过特制数据包进行攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/411162.html 封面来源于网络，如有侵权请联系删除