Hackernews 编译，转载请注明出处： 一周前，Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁，其中包含一个关键漏洞，现在这个漏洞已经被广泛利用。 该漏洞追踪为CVE-2022-26138，它涉及在应用程序中使用硬编码密码，未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。 在Twitter上发布硬编码凭据之后，这家澳大利亚软件公司开始优先考虑补丁，以缓解针对该漏洞的潜在威胁。 值得注意的是，这个漏洞只在Confluence应用程序启用时才存在。也就是说，卸载Confluence应用程序并不能修复漏洞，因为在卸载应用程序后，创建的帐户不会自动删除。 建议受影响产品的用户尽快将其本地实例更新到最新版本（2.7.38和3.0.5），或采取措施禁用/删除该帐户。 Palo Alto Networks在其2022年Unit 42事件响应报告中发现，黑客在公开披露新的安全漏洞后15分钟内，会扫描易受攻击的端点。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 本月，Akamai阻止了攻击欧洲一家组织的最大规模分布式拒绝服务（DDoS）攻击。 该攻击针对东欧的一位Akamai客户，该客户在过去30天内遭受了75次多种类型的DDoS攻击，包括UDP、UDP碎片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP碎片、PSH ACK洪水、FIN推送洪水和PUSH洪水。 Akamai发布的帖子中写道：“2022年7月21日星期四，Akamai检测到并缓解了有史以来在Prolexic平台上针对欧洲客户发起的最大DDoS攻击，全球分布式攻击流量在14小时内达到峰值853.7 Gbps和659.6 Mpps。该攻击以大量客户IP地址为目标，形成了Prolexic平台上最大的全球横向攻击。” 据Akamai称，黑客使用由受感染设备组成的高度复杂的全球僵尸网络来发起攻击。 去年9月，俄罗斯互联网巨头Yandex遭受了Runet历史上最大规模的DDoS攻击。Runet是独立于万维网的俄罗斯互联网，旨在确保该国对互联网关闭的恢复能力。该攻击由Mēris僵尸网络发起，达到2180万RPS（每秒请求数）。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 西班牙警方逮捕了两名涉嫌在2021年3月至6月期间攻击该国放射性警报网络的黑客。 RAR系统是一个由γ辐射检测传感器组成的网状系统，部署在全国各地，用于检测异常辐射水平，并采取保护措施，防止对环境和人口造成损害。传感器通过电话连接到DGPCE总部的控制中心，该控制中心收集测量数据并向传感器发送必要的命令。 嫌疑人是一家负责RAR系统维护公司的前员工，因此，他们对该系统有技术知识。 这两名嫌疑人可以访问民防和紧急情况总局（DGPGE）的网络，并且能够断开传感器与系统的连接，即使是在核电站环境中也降低了传感器的探测能力。 国家警察网络攻击小组在DGPGE的帮助下确定，一旦攻击者获得网络访问权限，就试图删除控制中心中的RAR管理Web应用程序。嫌疑人瞄准了现有800个传感器中的300多个。 与此同时，这两人对传感器发起了单独攻击，在遍布西班牙的800个传感器中摧毁了300个，基本上切断了他们与控制中心的联系，并破坏了数据交换。 在西班牙当局发现安全漏洞后，针对RAR的网络攻击于2021年6月停止。 “在调查过程中发现，这两名被拘留者通过DGPCE签约的一家公司负责RAR系统的维护计划，他们对此有深入的了解，更容易实施攻击，并帮助他们努力掩盖其作者身份，大大增加了调查的难度。”Policia National发布的公告表明。 警方没有提供此次攻击事件的更多细节，目前尚不清楚攻击动机。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： LibreOffice背后的团队发布了安全更新，以修复生产力软件中的三个安全漏洞，其中一个漏洞可能被用来在受影响的系统上实现任意代码执行。 追踪为CVE-2022-26305，该问题被描述为在检查宏是否由受信任的作者签名时证书验证不正确的情况，从而导致执行宏中打包的恶意代码。 LibreOffice在通报中表示：“因此，黑客可以创建任意证书，其序列号和颁发者字符串与受信任的证书相同，LibreOffice会将其显示为属于受信任的作者，这可能导致用户执行包含在不受信任的宏中的任意代码。” 除此之外，更新还解决了在加密期间使用静态初始化向量（CVE-2022-26306）的问题，如果黑客可以访问用户的配置信息，这可能会削弱安全性。 最后，这些更新还解决了CVE-2022-26307问题，其中主密钥编码不当，如果黑客拥有用户配置，则存储的密码很容易受到暴力攻击。 这三个漏洞是由 OpenSource Security GmbH 代表德国联邦信息安全办公室报告的，在LibreOffice 版本7.2.7、7.3.2和7.3.3中已得到解决。 五个月前，文档基金会于2022年2月修复了另一个不正确的证书验证错误（CVE-2021-25636）。去年10月，修补了三个欺骗漏洞，这些漏洞可能被滥用来修改文档，使其看起来像是由可信来源进行了数字签名。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国国务院将任何与朝鲜有关的黑客的信息奖励增加到1000万美元。 2020年4月，美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见，警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时，美国政府还向任何能够提供“与朝鲜有联系的APT组织所开展活动的信息”的人提供高达500万美元的奖金，当局还将为过去黑客活动的信息付费。 现在，美国国务院将奖励增加到1000万美元。 掌握与朝鲜有联系的APT组织（如Andariel，APT38，Bluenoroff，Guardians of Peace，Kimsuky或Lazarus Group）相关的任何个人信息，并且违反《计算机欺诈和滥用法案》参与针对美国关键基础设施的人，都可以获得奖励。 正义奖励组织建立了一个黑暗网站，允许任何人通过安全渠道，提供有关针对美国的外国恶意网络活动的信息。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一个名为Amadey的信息窃取恶意软件正在通过另一个名为SmokeLoader的后门进行分发。 AhnLab安全应急响应中心的研究人员在上周发布的一份报告中表示，这些攻击主要是欺骗用户下载伪装成软件漏洞的SmokeLoader，为部署Amadey铺平道路。 Amadey是一个僵尸网络，于2018年10月左右首次出现在俄罗斯地下论坛上，售价600美元。它能够虹吸凭据、捕获屏幕截图、系统元数据，甚至可以获取有关防病毒引擎和安装在受感染计算机上的其他恶意软件的信息。 虽然沃尔玛全球技术公司去年7月发现了一个更新，其中包含从Mikrotik路由器和Microsoft Outlook收集数据的功能，但该工具集已经升级，可以从FileZilla、Pidgin、Total Commander FTP Client、RealVNC、TightVNC、TigerVNC和WinSCP获取信息。 然而，其主要目标是部署额外的插件和远程访问木马，如Remcos RAT和RedLine Stealer，使黑客能够进行一系列攻击后活动。 建议用户将其设备升级到最新版本的操作系统和Web浏览器，以最大程度地减少潜在的感染途径并避开盗版软件。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 被追踪为“漫游螳螂”的移动威胁运动与针对法国手机用户的新一波妥协有关，数月前，它将目标扩大到欧洲国家。 Sekoia在上周发布的一份报告中表示，作为活动恶意软件操作的一部分，至少有7万台Android设备被感染。 众所周知，涉及漫游螳螂的攻击链是一种出于经济动机的中国黑客组织，它要么部署一个名为MoqHao（又名XLoader）的银行木马，要么将iPhone用户重定向到模仿iCloud登录页面的凭证获取登录页面。 “MoqHao（又名Wroba，Android的XLoader）是一种Android远程访问木马，具有信息窃取和后门功能，可能通过短信传播。”Sekoia研究人员表示。 这一切都始于网络钓鱼短信，这是一种被称为短信诈骗的技术，通过包含流氓链接的包裹交付主题消息吸引用户，单击后，继续下载恶意APK文件，但前提是要确定受害者的位置是否在法国境内。 如果收件人位于法国境外，并且设备操作系统既不是Android也不是iOS（通过检查IP地址和User-Agent字符串可以确定这一因素），则服务器设计为使用“404未找到”状态代码进行响应。 MoqHao通常使用通过动态DNS服务Duck DNS生成的域作为其第一阶段交付基础架构。更重要的是，恶意应用程序伪装成Chrome网络浏览器应用程序，来诱骗用户授予其入侵权限。 间谍软件特洛伊木马使用这些权限，为与受感染设备进行远程交互提供了途径，使攻击者能够秘密获取敏感数据，例如iCloud数据、联系人列表、通话记录、SMS消息等。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： FileWave移动设备管理（MDM）产品中的多个漏洞使组织面临网络攻击。 Claroty研究人员在FileWave MDM产品中发现了两个漏洞，使1000多个组织面临网络攻击。FIleWave MDM用于组织查看和管理设备配置、位置、安全设置和其他设备数据。组织可以使用MDM平台向设备推送强制软件和更新，更改设备设置、锁定，并在必要时远程擦除设备。 现在修补的漏洞是跟踪为CVE-2022-34907的身份验证绕过漏洞，以及跟踪为CVE-2022-34906的硬编码加密密钥。这两个漏洞都存在于版本14.6.3和14.7.x之前的FileWave MDM中，14.7.x在版本14.7.2之前。FileWave在本月早些时候解决了版本14.7.2中的漏洞。 身份验证绕过漏洞允许远程攻击者实现“super_user”访问并完全控制MDM安装，然后使用它来管理目标组织的任何设备。 Claroty发布的分析报告写道：“在我们的研究过程中，我们能够识别出FileWave MDM产品套件身份验证过程中的一个关键漏洞，允许我们创建一个漏洞利用程序，绕过平台中的身份验证要求，实现super_user访问，通过利用这个身份验证绕过漏洞，我们能够完全控制任何连接互联网的MDM实例。” 为了演示CVE-2022-34907漏洞，专家们创建了一个标准的FileWave设置，并注册了6台设备。他们利用此漏洞泄漏有关MDM服务器实例管理的所有设备的数据。 “最后，通过使用常规MDM功能，允许IT管理员在托管设备上安装软件包和软件，我们在每个受控设备上安装恶意软件包，在每个托管设备上弹出虚假勒索软件病毒。这样，我们就演示了潜在攻击者如何利用Filewave的功能来控制不同的托管设备。”Claroty发布的帖子中写道。 研究人员演示了如何利用该漏洞在由专家泄露的实例管理的设备上安装勒索软件。 Claroty总结道：“如果恶意使用此漏洞，远程攻击者可以轻松攻击并感染所有通过FileWave MDM管理的可访问互联网的实例，允许攻击者控制所有托管设备，访问用户的个人家庭网络、组织的内部网络等。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Drupal开发团队发布了安全更新来修复多个问题，其中包括关键的代码执行漏洞。 Drupal core – 中度严重 – 多个漏洞 – SA-CORE-2022-015 Drupal core – 严重– 任意PHP代码执行 – SA-CORE-2022-014 Drupal core – 中度严重 – 访问绕过 – SA-CORE-2022-013 Drupal core – 中度严重 – 信息泄露 – SA-CORE-2022-012 美国网络安全和基础设施安全局针对上述漏洞发布了一份公告。 最严重的一个是跟踪为CVE-2022-25277的任意PHP代码执行。 “Drupal core在上传时会清理带有危险扩展名的文件名（参考：SA-CORE-2020-012），并从文件名中删除前导点和尾随点，以防止上传服务器配置文件（参考：SA-CORE-2019-010）。公告中写道。“但是，之前对这两个漏洞的保护并没有正常工作。因此，如果将站点配置为允许上传带有htaccess扩展名的文件，这些文件的文件名将无法得到正确清理。这也可能允许绕过Drupal core的默认.htaccess文件提供的保护，以及在Apache Web服务器上远程执行代码。” 为了缓解此问题，域管理员必须将文件字段显式配置为允许 htaccess 作为扩展名（受限权限），或作为覆盖允许的文件上载的模块或自定义代码。这个漏洞影响了9.4和9.3版本，公告指出，该问题只影响具有特定配置的Apache web服务器。 其他三个漏洞被评为“中度严重”，可能导致跨站点脚本攻击、信息泄露或访问绕过。 所有问题都会影响9.4和9.3版本，但信息泄露漏洞也会影响版本7。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 7月22日，网络安全公司SonicWall发布补丁，以缓解影响其Analytics On-Prem和全球管理系统产品的关键SQL注入（SQLi）漏洞。 该漏洞被跟踪为CVE-2022-22280，在CVSS评分系统上的严重性等级为9.4，源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”，这可能导致未经身份验证的SQL注入。 “如果不在用户可控制的输入中充分删除或引用SQL语法，生成的SQL查询可能会导致这些输入被解释为SQL，而不是普通的用户数据。”MITRE在其对SQL注入的描述中指出。 这可以用于更改查询逻辑以绕过安全检查，或插入修改后端数据库的附加语句，其中可能包括执行系统命令。 DBappSecurity HAT Lab的H4lo和Catalpa发现并报告了影响2.5.0.3-2520 及更早版本的Analytics On-Prem 以及9.3.1-SP2-Hotfix1之前和包括它在内的所有GMS版本的漏洞。 建议依赖易受攻击设备的组织升级到Analytics 2.5.0.3-2520-Hotfix1和GMS 9.3.1-SP2-Hotfix-2。 SonicWall表示：“没有解决这个漏洞的方法，但是，通过整合Web应用程序防火墙来阻止SQLi尝试，可以显着降低被利用的可能性。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文