三星 Galaxy Store 漏洞可能让黑客在目标设备上秘密安装应用程序

Hackernews 编译,转载请注明出处: 三星设备的Galaxy Store应用程序中披露了一个现已修补的安全漏洞,该漏洞可能会导致受影响手机上的远程命令执行。 该漏洞影响Galaxy Store 4.5.32.4版本,与处理某些深层链接时发生的跨站点脚本(XSS)漏洞有关。 SSD Secure Disclosure在上周发布的一份公告中表示:“在这种情况下,由于没有安全检查深度链接,当用户从包含深度链接的网站访问链接时,攻击者可以在Galaxy Store应用程序的web视图上下文中执行JS代码。” XSS攻击允许攻击者在从浏览器或其他应用程序访问网站时注入并执行恶意JavaScript代码。 Galaxy Store应用程序中发现的漏洞与三星营销和内容服务(MCS)的深度链接配置有关,这可能导致注入MCS网站的任意代码执行。 然后,当访问该链接时,可以利用此功能在三星设备上下载和安装恶意软件应用程序。 研究人员指出:“为了能够成功利用受害者的服务器,有必要使用HTTPS和CORS绕过chrome。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新西兰航空公司警告称,撞库攻击仍在继续

Hackernews 编译,转载请注明出处: 新西兰航空公司遭遇安全漏洞,事件发生后,多名客户的账户被锁定,黑客试图通过实施撞库攻击攻击来访问客户的帐户。 什么是撞库? “撞库是一种网络攻击,黑客利用自动化和泄露的用户名和密码列表来破坏身份验证和授权机制,最终目标是帐户接管(ATO)和/或数据泄露。换句话说,攻击者收集泄露的用户名和密码列表,并针对所需的登录名进行运行,直到找到一些有效的登录名。他们进入这些帐户的目的是滥用权限、窃取数据或两者兼而有之。” 新西兰航空公司首席数字官Nikhil Ravishankar指出,黑客没有入侵任何公司的系统,只有个人账户受到影响。 据Stuff.co.nz网站报道,“这个违规行为只发生在新西兰航空公司的少数客户身上,诈骗者没有访问任何欺诈交易或敏感信息。” 他说:“账户被锁定,并联系了客户,建议他们在再次使用Airpoints系统之前更改登录详细信息。” 该公司敦促客户在再次使用Airpoints系统之前更改密码,并更改使用相同“Air NZ”密码的所有帐户的密码。 Ravishankar补充道:“这是一个常见的问题,人们使用相同的电子邮件地址和密码进行多次在线登录,并且不定期更新密码或使用多因素身份验证等功能。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员揭露了 80 多台 ShadowPad 恶意软件 C2 服务器

Hackernews 编译,转载请注明出处: 自2021年9月以来,已发现多达85个命令控制(C2)服务器受ShadowPad恶意软件支持,最近于2022年10月16日检测到基础设施。 这是根据VMware的威胁分析小组(TAU)的说法,该小组研究了三种ShadowPad变体,使用TCP、UDP和HTTP(S)协议进行C2通信。 ShadowPad被视为PlugX的继承者,是一个模块化恶意软件平台,自2015年以来由多个中国国家赞助的黑客私下共享。 今年5月初,台湾网络安全公司TeamT5披露了另一个名为Pangolin8RAT的中国nexus模块化植入程序的细节,据信它是PlugX和ShadowPad恶意软件家族的继任者,将其与一个名为“Tianwu”的黑客组织联系起来。 VMware表示,对Winnti,Tonto团队和代号为“Space Pirates”的新兴黑客组织之前使用的三个ShadowPad工件进行了分析,通过扫描一个名为ZMap的工具生成的开放主机列表,可以发现C2服务器。 该公司进一步披露,它发现了与ShadowPad C2 IP地址通信的Spyder和ReverseWindow恶意软件样本,这两者都是APT41(又名Winnti)和LuoYu使用的恶意工具。 此外,还观察到上述Spyder示例与黑客Winnti 4.0特洛伊木马的Worker组件之间存在重叠。 VMware TAU的高级威胁研究员Takahiro Haruyama表示:“在互联网上扫描APT恶意软件C2有时就像在大海捞针一样,然而,一旦C2扫描起作用,它将成为最主动的威胁检测方法之一,从而改变游戏规则。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

OpenSSL 将修复第二个关键漏洞

Hackernews 编译,转载请注明出处: OpenSSL项目宣布将发布更新,以解决开源工具包中的一个关键漏洞。专家指出,这是自2016年9月以来在工具包中修补的首个关键漏洞。 “OpenSSL项目团队宣布即将发布的OpenSSL 3.0.7版本。该版本将于2022年11月1日星期二UTC 1300-1700之间发布。”公告中写道。“OpenSSL 3.0.7是一个安全修复版本,该版本中修复的最高级别问题是‘严重’。” 该严重漏洞仅影响3.0及更高版本。这是OpenSSL项目继2014年严重Heartbleed漏洞(CVE-2014-0160)之后解决的第二个关键漏洞。 3.0.7版本将于下周(11月1日)发布,维护人员将其定义为“安全修复版本”。 OpenSSL项目还宣布了即将发布的bug修复版本1.1.1s,该版本将于同一天发布。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员披露了 Windows 事件日志漏洞:LogCrusher 和 OverLog

Hackernews 编译,转载请注明出处: 网络安全研究人员披露了微软Windows中两个漏洞的详细信息,其中一个漏洞可能被利用来导致拒绝服务(DoS)。 这些漏洞被Varonis称为LogCrusher和OverLog,针对事件日志远程处理协议(MS-EVEN),该协议允许远程访问事件日志。 Dolev Taler在与the Hacker News分享的一份报告中表示,虽然前者允许“任何域用户远程崩溃任何Windows计算机的事件日志应用程序”,但OverLog通过“填充域上任何Windows计算机的硬盘空间”导致DoS。 OverLog被分配了CVE标识符CVE-2022-37981(CVSS评分:4.3),并由微软作为其10月补丁周二更新的一部分进行了处理。然而,LogCrusher仍未解决。 “性能可以被中断和/或降低,但攻击者不能完全拒绝服务。”这家科技巨头在本月早些时候发布的关于该漏洞的公告中表示。 根据Varonis的说法,这些漏洞在于攻击者可以获得旧版Internet Explorer日志的句柄,从而有效地为利用该句柄使受害者计算机上的事件日志崩溃甚至引发DoS条件的攻击奠定了基础。 这是通过将其与日志备份功能(BackupEventLogW)中的另一个漏洞相结合来实现的,该功能可将任意日志重复备份到目标主机上的可写文件夹中,直到硬盘驱动器被填满。 此后,Microsoft通过限制本地管理员访问Internet Explorer事件日志来修复OverLog漏洞,从而减少了滥用的可能性。 “虽然这解决了这组特定的Internet Explorer事件日志漏洞,但其他用户可访问的应用程序事件日志仍有可能同样用于攻击。”Taler说。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

广泛使用的 SQLite 数据库被曝高危漏洞

Hackernews 编译,转载请注明出处: SQLite数据库中已披露了一个高严重性漏洞,该漏洞是2000年10月代码更改的一部分,可能使攻击者崩溃或控制程序。 该漏洞被追踪为CVE-2022-35737(CVSS评分:7.5),已有22年历史,会影响SQLite版本1.0.12至3.39.1,并在2022年7月21日发布的版本3.39.2中得到解决。 “CVE-2022-35737在64位系统上是可利用的,可利用性取决于程序的编译方式。”Trail of Bits研究人员Andreas Kellas在今天发表的一篇技术文章中表示。 当编译库时没有堆栈金丝雀时,任意代码执行是确认的,但是当堆栈金丝雀存在时,任意代码执行是未确认的,并且在所有情况下都确认拒绝服务。 SQLite是用C语言编程,使用最广泛的数据库引擎,默认情况下包含Android、iOS、Windows和macOS,以及流行的web浏览器,如谷歌Chrome、Mozilla Firefox和Apple Safari。 Trail of Bits发现的漏洞涉及一个整数溢出漏洞,当超大字符串输入作为参数传递给printf函数的SQLite实现时,就会出现该漏洞,而PRINTF函数又会使用另一个函数来处理字符串格式化(“sqlite3_str_vappendf”)。 然而,漏洞库成功武器化的前提是字符串包含%Q、%Q或%w格式替换类型,当用户控制的数据写入超出堆栈分配缓冲区的边界时,可能会导致程序崩溃。 Kellas解释道:“如果格式字符串包含’!’特殊字符以启用unicode字符扫描,那么在最坏的情况下就有可能实现任意代码执行,或者导致程序无限期地挂起和循环。” 该漏洞也是几十年前被认为不切实际的一个例子——分配1GB字符串作为输入——随着64位计算系统的出现而变得可行。 Kellas说:“当系统主要是32位体系结构时,这个bug在编写时(可以追溯到SQLite源代码中的2000年)可能看起来并不是一个错误。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CERT-UA 警告称,古巴勒索软件子公司瞄准乌克兰

Hackernews 编译,转载请注明出处: 乌克兰计算机紧急响应小组(CERT-UA)警告称,当地关键基础设施可能受到古巴勒索软件攻击。 2022年10月21日,乌克兰CERT-UA发现了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼邮件包括一个第三方网站的链接,用于下载标题为“Наказ_309.pdf”的文档。 该网页旨在诱骗读者更新软件(PDF阅读器)来阅读文档。 单击“下载”按钮后,名为“AcroRdrDCx642200120169_uk_UA.exe”的可执行文件将下载到计算机。 运行上述可执行文件将解码并运行“rmtpak.dll”DLL文件,即ROMCOM RAT。 研究人员将RomCom后门的使用与黑客Tropical Scorpius(又名UNC2596)联系在一起,CERT-UA将其追踪为UAC-0132,负责古巴勒索软件的分发。 乌克兰发布的警报称:“考虑到RomCom后门的使用以及相关文件的其他功能,我们认为可以将检测到的活动与Tropical Scorpius (Unit42),又名UNC2596(Mandiant)的活动联系起来,该集团负责古巴勒索软件的分发;CERT-UA 在标识符UAC-0132下监视活动。” 从2022年5月初开始,Palo Alto Network的第42分队观察到Tropical Scorpius黑客使用新颖的工具和技术部署了古巴勒索软件,包括定制后门RomCom。 警报还包括此次活动的妥协指标。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

苹果修复了今年第 9 个积极利用的零日漏洞

Hackernews 编译,转载请注明出处: 自今年年初以来,苹果已经解决了在野外攻击中利用的第九个零日漏洞。该漏洞被跟踪为CVE-2022-42827,是一个越界写入漏洞,攻击者可以利用该漏洞以内核特权执行任意代码。 一位匿名研究人员向苹果报告了该漏洞,该公司通过改进iOS 16.1和iPadOS 16中的边界检查解决了该漏洞。 苹果公司发布的公告中写道:“苹果公司知道一份报告称,这个漏洞可能被积极利用。” 该漏洞影响了iPhone 8及更高版本、iPad Pro(所有型号)、iPad Air第3代及更高版本、iPad第5代及更高版本、iPad mini第5代及更高版本。 建议苹果用户立即更新其设备,以减少遭受攻击的风险。 自1月份以来,苹果已经解决了其他8个零日漏洞,下面是已修复问题的列表: 2022 年 1 月:CVE-2022-22587和CVE-2022-22594 2022 年 2 月:CVE-2022-22620 2022 年 3 月:CVE-2022-22674和CVE-2022-22675 2022 年 5 月:CVE-2022-22675 2022 年 8 月:CVE-2022-32894 2022 年 9 月:CVE-2022-32917   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

批发零售巨头麦德龙遭受网络攻击

Hackernews 编译,转载请注明出处: 国际批发零售巨头麦德龙(METRO)本周遭受网络攻击,导致IT基础设施中断。Metro在全球拥有681家门店,员工人数超过95000人,其中大部分在德国,2020年的销售额达到248亿欧元。 该公司在官方声明中证实了网络攻击,并在外部专家的帮助下调查了这起事件: “METRO/MAKRO目前正经历部分IT基础设施中断,因为多项技术服务。麦德龙的IT团队与外部专家一起,立即展开了彻底调查,以确定服务中断的原因。最新的分析结果证实,对麦德龙系统的网络攻击是IT基础设施中断的原因。 这家批发巨头通知了相关部门,并警告客户,服务中断可能会导致延迟。 为了应对服务中断,商店的团队建立了离线系统来处理付款。 该公司没有提供攻击的技术细节,但Metro面临的问题表明,它是勒索软件攻击的受害者。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CISA 警告 Advantech 和 Hitachi 存在影响工业家电的严重漏洞

Hackernews 编译,转载请注明出处: 周二,美国网络安全和基础设施安全局(CISA)发布了两份工业控制系统(ICS)报告,涉及Advantech R-SeeNet和日立能源APM Edge设备的严重漏洞。 这包括R-SeeNet监控解决方案中的三个漏洞,成功利用这些漏洞“可能导致未经授权的攻击者远程删除系统上的文件或允许远程代码执行”。 影响R-SeeNet 2.4.17及更早版本的问题列表如下: CVE-2022-3385 和 CVE-2022-3386(CVSS评分:9.8):两个基于堆栈的缓冲区溢出漏洞,可能导致远程执行代码 CVE-2022-3387(CVSS评分:6.5):一种路径遍历漏洞,可使远程攻击者删除任意PDF文件 2022年9月30日发布的R-SeeNet版本2.4.21中提供了补丁。 2021年12月,CISA还发布了一份更新建议,该公告涉及日立能源变压器资产性能管理(APM)边缘产品中存在多个漏洞,这些漏洞可能导致其无法访问。 这29个漏洞(CVSS评分为8.2)源于开源软件组件(如 OpenSSL、LibSSL、libxml2 和 GRUB2 引导加载程序)中的安全漏洞。建议用户更新到APM Edge 4.0版本以修复这些漏洞。 在CISA于2022年10月13日发布25个ICS公告不到一周后,这两个警报就发布了,这些公告提到了西门子,日立能源和三菱电机等设备中的多个漏洞。 根据OT网络安全和资产监测公司SynSaber的数据,2022年上半年,通过CISA报告了681个ICS产品漏洞,其中152个被评为严重漏洞,289个被评为了高危漏洞,2015年被评为中等漏洞。 此外,54个关键/高评级CVE没有供应商提供的补丁或任何缓解措施,占报告漏洞总数和剩余的“永久漏洞”的13%。 SynSaber说:“对于资产所有者和那些保护关键基础设施的人来说,了解何时可以采取补救措施,以及这些补救措施应该如何实施和确定优先级是很重要的。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文