思科修复了ASA、FTD设备中的漏洞,该设备能访问 RSA 私钥

Hackernews 编译,转载请注明出处: 思科修复了一个严重漏洞,跟踪为CVE-2022-20866,影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。 该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理,未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥,攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。 “RSA密钥存储在执行硬件加密的平台内存中时,存在逻辑错误,从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞,成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。 该公告指出,在受影响的设备上可能会观察到以下情况: 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥;并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。 RSA密钥可能有效,但它具有特定的特征,容易受到RSA私钥潜在泄露的影响。 RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用,并且TLS客户端连接到运行思科ASA软件或FTD软件的设备,如果使用格式错误的RSA密钥,将导致TLS签名失败,这意味着易受攻击的软件版本创建了无效的RSA签名,无法通过验证。如果攻击者获取RSA私钥,他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备,或解密设备流量。 该漏洞会影响运行易受攻击的思科ASA(9.16.1及更高版本)或思科FTD(7.0.0及更高版本)软件的产品,这些软件执行基于硬件的加密功能: ASA 5506-X with FirePOWER Services ASA 5506H-X with FirePOWER Services ASA 5506W-X with FirePOWER Services ASA 5508-X with FirePOWER Services ASA 5516-X with FirePOWER Services Firepower 1000 Series Next-Generation Firewall Firepower 2100 Series Security Appliances Firepower 4100 Series Security Appliances Firepower 9300 Series Security Appliances Secure Firewall 3100 思科建议ASA/FTD设备的管理员删除格式错误或易受攻击的RSA密钥,并吊销可能与这些RSA密钥相关的任何证书,因为RSA私钥可能已泄露给攻击者。 思科对加州大学圣地亚哥分校的Nadia Heninger和George Sullivan以及科罗拉多大学博尔德分校的Jackson Sippe和Eric Wustrow报告该安全漏洞表示感谢。 产品安全事件响应团队尚未发现有利用此漏洞进行的野外攻击。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

GitHub Releadot 警示开发者留意易受攻击的 GitHub 操作

Hackernews 编译,转载请注明出处: 云代码托管平台GitHub宣布,它将为易受攻击的GitHub Actions发送Dependabot警报,以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说:“在行动中报告安全漏洞时,我们的安全研究团队会创建一个文件来记录该漏洞,这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付(CI/CD)解决方案,使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分,通过通知用户其源代码依赖于具有安全漏洞的软件包,并帮助所有依赖项保持最新状态,来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报,用户还可以选择通过遵守一致的披露流程,提交特定GitHub操作的建议。 该公司指出:“这些改进加强了GitHub和我们用户的安全态势,这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点,从而提高构建的安全性。” 本周早些时候,GitHub开放了一个新的评论系统,允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

VMware 警告关键身份验证绕过漏洞的公共 PoC 代码

Hackernews 编译,转载请注明出处: VMware警告其客户,在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码,该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞,并且今天发布了针对该漏洞的概念验证(PoC)漏洞利用代码,并提供了有关该漏洞的技术细节。 上周,这家虚拟化巨头解决了CVE-2022-31656漏洞,该漏洞影响了多个产品的本地域用户,未经身份验证的攻击者可以利用此漏洞获取管理员权限。 虚拟化巨头发布的公告称:“具有用户界面网络访问权限的攻击者,可能无需进行身份验证即可获得管理访问权限。” 该漏洞影响Workspace ONE Access、Identity Manager和vRealize Automation产品,被评为严重漏洞,CVSS v3评分为9.8。 今天,VMware报告了CVE-2022-31656和CVE-2022-31659的PoC漏洞的可用性。 已更新的咨询信息表明,VMware已确认可以在受影响的产品中利用CVE-2022-31656和CVE-202-31659的恶意代码。 好消息是,供应商没有意识到这些攻击利用了野外攻击中的漏洞。 该公司发布的一份公告称:“在发布本文时,VMware并未意识到这些漏洞被利用了。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Maui 勒索软件或与朝鲜 Andariel APT 有关

Hackernews 编译,转载请注明出处: 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来,后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密,包括电子健康记录服务、诊断服务、成像服务和内联网服务。 卡巴斯基专家注意到,在将Maui勒索软件部署到初始目标系统前约10小时,黑客在3个月前向目标部署了一种著名的DTrack恶意软件变体。这两种恶意代码都被认为是Andariel武器库的一部分。并且,用于攻击日本、俄罗斯、印度和越南公司的DTrack变体与Andariel APT网络间谍活动中使用的样本代码相似度为84%。 Andariel APT(又名Stonefly)自2015年来一直很活跃,它参与了几次朝鲜政府发起的攻击事件。 根据这次攻击的操作方式,我们得出结论,Maui勒索软件事件背后的黑客TTP与过去Andariel/Stonefly/Silent Chollima的活动非常相似: 在初始感染后使用合法的代理和隧道工具或部署它们以保持访问,并使用Powershell脚本和Bitsadmin下载其他恶意软件; 利用漏洞来攻击已知但未修补的脆弱公共服务,如WebLogic和HFS; 专门部署DTrack,也称为Preft; 在活动之前,目标网络内的停留时间可以持续数月; 在全球范围内部署勒索软件,显示持续的经济动机和利益规模。 2020年4月,美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见,警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时,美国政府还向任何能够提供“与朝鲜有关的APT组织所开展活动的信息”的人提供高达500万美元的奖金,当局还将为过去黑客活动的信息付费。 今年7月,美国国务院将奖励增加到1000万美元。 掌握与朝鲜相关的APT团体(如Andariel、APT38、Bluenoroff、Guardians of Peace,Kimsuky或Lazarus集团)相关的任何个人信息,以及违反计算机欺诈和滥用法并参与针对美国关键基础设施的人,可以获得奖励。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

LogoKit 更新:利用开放重定向漏洞的网络钓鱼工具包

Hackernews 编译,转载请注明出处: LogoKit:黑客利用在线服务和应用中流行的开放重定向漏洞,来绕过网络钓鱼活动中的垃圾邮件过滤器。 Resecurity, Inc.(美国)是一家总部位于洛杉矶的网络安全公司,为财富500强企业提供托管威胁检测和响应,识别黑客,它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器,最终提供网络钓鱼内容。 他们使用高度可信的服务域,如Snapchat和其他在线服务,创建特殊的URL,从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit,曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。 LogoKit的峰值是在8月初左右发现的,当时已经注册了多个冒充流行服务的新域名,并与开放重定向一起使用。虽然LogoKit在地下就为人所知,但自2015年以来,其背后的网络犯罪集团一直在利用新策略。 LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标(模拟服务)和文本,以适应动态变化,这样,目标受害者更有可能与恶意资源进行交互。2021年11月左右,在利用LogoKit的活动中使用了700多个已识别的域名,其数量还在不断增长。 值得注意的是,参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf,或未经授权访问合法网络资源,然后将其用作主机来进行进一步的网络钓鱼分发。 LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL,LogoKit就会从第三方服务(如Clearbit或谷歌的favicon数据库)获取公司徽标。然后,受害者的电子邮件会自动填写电子邮件或用户名字段,从而使他们感觉自己以前登录过。如果受害者随后输入密码,LogoKit将执行AJAX请求,将目标的电子邮件和密码发送到外部源,最终将受害者重定向到他们的“合法”公司网站。 这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测,从而诱使受害者访问恶意资源。 不幸的是,开放重定向漏洞的使用极大促进了LogoKit的分发,因为许多(甚至流行的)在线服务并不将此类漏洞视为关键问题,在某些情况下,甚至不进行修补,为这种滥用留下了机会。 Resecurity发布的分析报告中提供了更多细节。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新 Orchard 僵尸网络使用比特币创始人的账户信息生成恶意域名

Hackernews 编译,转载请注明出处: 据观察,一个名为Orchard的新僵尸网络使用比特币创始人中本聪的账户交易信息生成域名,以隐藏命令和控制(C2)基础设施。 奇虎360的Netlab安全团队的研究人员在周五的一份报告中表示:“由于比特币交易的不确定性,这种技术比使用常见的时间生成(域生成算法)更不可预测,因此更难防御。” 据说自2021年2月以来,Orchard已经进行了三次修订,其中僵尸网络主要用于将额外的有效载荷部署到受害者的机器上,并执行从C2服务器接收到的命令。 它还旨在上传设备和用户信息以及感染USB存储设备,以传播恶意软件。Netlab的分析显示,迄今为止,已有超过3000台主机被该恶意软件奴役,其中大部分位于中国。 Orchard在一年多的时间里也经历了重大更新,其中之一就是在Golang的实施方面进行了短暂的尝试,然后在第三次迭代中切换回C++。 除此之外,最新版本包含启动XMRig挖矿程序的功能,通过滥用受损系统的资源来铸造门罗币(XMR)。 另一个变化涉及攻击中使用的DGA算法。虽然前两个版本完全依靠日期字符串来生成域名,但较新版本使用从加密货币钱包地址“1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”获得的余额信息。 值得指出的是,钱包地址是比特币创世纪区块的矿工奖励接收地址,该地址发生在2009年1月3日,据信由中本聪持有。 研究人员表示:“在过去十年左右的时间里,由于各种原因,每天都有少量比特币被转移到这个钱包中,所以它是可变的,而且这种变化很难预测,因此这个钱包的余额信息也可以用作DGA输入。” 研究人员揭开了一个名为RapperBot的物联网僵尸网络恶意软件的神秘面纱,该恶意软件被发现可以强制SSH服务器进行分布式拒绝服务(DDoS)攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

微软阻止 Tutanota 电子邮件地址注册 MS Teams 帐户

Hackernews 编译,转载请注明出处: 微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。 Tutanota是一款端到端加密的电子邮件应用程序和免费增值安全电子邮件服务,截至2017年3月,Tutanota称用户已经超过200万。 “大西洋两岸的政客们正在讨论制定更强有力的反垄断法来监管大型科技公司——正如微软团队阻止Tutanota用户访问那样,这些法律是非常有必要的。大型科技公司有市场力量,可以通过一些非常简单的方法来伤害小型竞争对手,比如拒绝小公司的客户使用自己的服务。这家德国电子邮件服务提供商分享了一条评论,“目前,微软正在积极阻止Tutanota电子邮件地址注册Microsoft Teams帐户。这种严重的反竞争做法迫使我们的客户注册第二个电子邮件地址(可能来自Microsoft),以创建Teams帐户。” 微软不会将该公司识别为电子邮件服务,而是将其视为公司地址。Tutanota用户第一次注册Teams帐户时,其域被识别为公司,因此,其他使用该流行电子邮件服务的用户都无法注册其账户,并被要求联系其管理员。 Tutanota联合创始人Matthias Pfau表示:“我们多次试图与微软解决这个问题,但不幸的是,我们的请求被忽视了。” “微软只需更改Tutanota是电子邮件服务的设置,这样每个人都可以注册个人帐户,但他们(微软)表示这样的更改是不可能的。” 让我们看看微软是否会解决这个问题,允许200万用户使用其MS Teams服务。 消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

GwisinLocker:专门针对韩国的勒索软件

Hackernews 编译,转载请注明出处: 研究人员警告称,一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司,其名称来自作者“Gwisin”(韩语中的幽灵)的名字。 勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示,韩国警方,国家情报局和KISA等韩国实体的名称也出现在勒索信上。 据当地媒体报道,Gwisin黑客在公休日和凌晨攻击了韩国公司。 Windows系统上的攻击链利用MSI安装程序,需要一个特殊值作为参数来运行MSI中包含的DLL文件。 “它类似于Magniber,因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同,Gwisin本身不执行恶意行为,它需要为执行参数提供特殊值,该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动,因此很难检测到Gwisin,勒索软件的内部DLL通过注入正常的Windows进程来运行,对于每个受攻击的公司来说,这个过程都是不同的。” GwisinLocker勒索软件能够在安全模式下运行,它首先将自身复制到ProgramData的某个路径,然后在强制系统重新启动之前注册为服务。 Reversinglabs的研究人员分析了勒索软件的Linux版本,他们指出这是一种复杂的恶意软件,具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合,为每个文件生成唯一密钥。 Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站,才能与黑客取得联系。 “对更大规模的GwisinLocker活动的分析和公开报道表明,勒索软件掌握在复杂的黑客手中,他们在部署勒索软件之前获得了对目标环境的访问和控制权,这包括识别和窃取敏感数据,用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明,他们熟悉韩语以及韩国政府和执法部门。因此人们猜测,Gwisin可能是一个与朝鲜有关的高级持续威胁(APT)组织。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CISA 将 Zimbra 电子邮件漏洞添加到被利用漏洞目录中

Hackernews 编译,转载请注明出处: 8月4日,美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了最近披露的Zimbra电子邮件中的高危漏洞,有证据表明该漏洞被积极利用。 追踪为CVE-2022-27924(CVSS评分:7.5),这是平台中的命令注入漏洞,可能导致执行任意Memcached命令并窃取敏感信息。 CISA表示:“Zimbra Collaboration允许攻击者将memcached命令注入目标实例,从而导致任意缓存条目的覆盖。” 具体而言,该漏洞与用户输入验证不足有关,如果成功利用该漏洞,攻击者可以从目标Zimbra实例的用户那里窃取明文凭据。 SonarSource于6月披露了该漏洞,2022年5月10日Zimbra发布了8.8.15版本P31.1和9.0.0版本P24.1的补丁。 CISA尚未透露在野外利用该漏洞进行攻击的技术细节,也尚未将其归因于某个黑客。 鉴于该漏洞被积极利用,建议用户对软件进行更新,以减少潜在的网络攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

严重的 RCE 漏洞可能让黑客远程接管 DrayTek Vigor 路由器

Hackernews 编译,转载请注明出处: DrayTek公司已发现多达29种不同型号的路由器受到一个新的关键、未经身份验证的远程代码执行漏洞的影响,如果成功利用该漏洞,可能导致设备完全受损,并未经授权访问更广泛的网络。 Trellix研究员Philippe Laulheret说:“如果设备的管理界面面向互联网,则可以在没有用户交互的情况下进行攻击。在默认设备配置下,也可以从局域网内执行一键攻击。” 根据CVE-2022-32548,该漏洞在CVSS评分系统上的严重等级为10.0,因为它能够让攻击者完全控制路由器。 其核心缺陷是Web管理界面(“/cgi-bin/wlogin.cgi”)中存在缓冲区溢出漏洞,黑客可以通过提供特制的输入来将其武器化。 据称,这家台湾制造商生产的20多万台设备在互联网上暴露了易受攻击的服务,不需要用户交互即可被利用。 破坏Vigor 3910等网络设备不仅会使网络容易受到恶意操作,如凭证和知识产权盗窃、僵尸网络活动或勒索软件攻击,还会导致拒绝服务(DoS)情况。 一个多月前,华硕、思科、DrayTek和NETGEAR的路由器受到了针对北美和欧洲网络的新型恶意软件ZuoRAT的攻击。 虽然到目前为止还没有迹象表明该漏洞在野外被利用,但建议尽快应用固件补丁,以防范潜在威胁。 Laulheret指出:“边缘设备,如Vigor 3910路由器,位于内部和外部网络之间的边界上,因此,他们是网络犯罪分子和黑客的首要目标。远程破坏边缘设备可能会导致企业内部网络完全受损。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文