HackerNews 编译，转载请注明出处： 据 researchers 发现，超过1000个WordPress网站被感染，这些网站中被注入了第三方 JavaScript 代码，从而产生了四个独立的后门，使攻击者能够持续访问受害网站。 “创建四个后门使攻击者在其中一个被发现并移除时，仍然可以通过其他入口重新进入目标系统。”c/side的研究员Himanshu Anand在周三的分析中表示。 这些恶意的 JavaScript 代码通过 cdn.csyndication[.]com 提供。截至撰写本文时，有多达908个网站包含对这个域名的引用。 这四个后门是这样工作的： 1.第1个后门，上传并安装一个名为“Ultra SEO Processor”的假插件，然后用于执行攻击者发布的命令 2.第2个后门，将恶意 JavaScript 注入 wp-config.php 3.第4个后门，旨在执行远程命令并从 gsocket[.]io 获取另一个有效载荷，可能会打开一个反向 shell 为了降低这些攻击带来的风险，建议用户删除未经授权的 SSH 密钥、轮换 WordPress 管理员凭据，并监控系统日志中的可疑活动。 这一事件的披露正值网络安全公司详细描述了另一场恶意软件活动，该活动已通过恶意 JavaScript 共谋了35000多个网站，这些 JavaScript “完全劫持了用户的浏览器窗口”，将网站访客重定向到中文赌博平台。 “此次攻击似乎针对或起源于说普通话的地区，最终的登陆页面在‘Kaiyun’品牌下提供赌博内容。” 这些重定向是通过托管在五个不同域名上的 JavaScript 实现的，这些 JavaScript 作为执行重定向的主要有效载荷的加载器： – mlbetjs[.]com – ptfafajs[.]com – zuizhongjs[.]com – jbwzzzjs[.]com – jpbkte[.]com 这些研究结果还揭示了 Group-IB 关于一个名为 ScreamedJungle 的威胁行为者的最新报告，该行为者将名为 Bablosoft JS 的 JavaScript 注入受损的 Magento 网站，收集访问用户的指纹信息。据信，到目前为止，已有超过115个电子商务网站受到影响。 “注入的脚本是‘Bablosoft BrowserAutomationStudio（BAS）套件’的一部分。”这家新加坡公司表示，并补充道，“它还包含其他几个函数，用于收集有关访问受损网站的用户的系统和浏览器的信息。” 据说，攻击者利用已知的漏洞（例如影响易受攻击的 Magento 版本的 CVE-2024-34102（又名 CosmicSting）和 CVE-2024-20720）入侵这些网站。这个以经济利益为动机的威胁行为者于2024年5月底首次被发现。 “浏览器指纹识别是一种强大的技术，通常被网站用于跟踪用户活动并调整营销策略。”Group-IB表示，“然而，这些信息也被网络犯罪分子利用，以模仿合法用户行为，规避安全措施，并进行欺诈活动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 Wazuh 服务器中发现了一个关键的远程代码执行（RCE）漏洞，Wazuh 是一个用于威胁检测和合规监控的流行开源安全平台。 该漏洞被标识为 CVE-2025-24016，允许具有 API 访问权限的攻击者在服务器上执行任意 Python 代码，对受影响的系统构成重大威胁。该漏洞的 CVSS 评分为 9.9，反映了其严重性。 问题源于 Wazuh API 的 DistributedAPI 组件中的不安全反序列化。具体来说，参数被序列化为 JSON，并在 framework/wazuh/core/cluster/common.py 文件中使用 as_wazuh_object 函数进行反序列化。 攻击者可以通过在 DistributedAPI（DAPI）请求或响应中注入未经过滤的字典来利用这一点，从而执行任意代码。 一个值得注意的攻击向量涉及 run_as 端点，攻击者可以操纵 auth_context 参数来构建恶意请求。 这些请求可能导致在主服务器上执行任意代码。此外，在某些配置下，被攻陷的 Wazuh 代理可以通过在 API 请求中注入恶意负载来利用此漏洞。 受影响的版本 易受攻击的版本：Wazuh Manager 4.4.0 至 4.9.0 版本。 已修复的版本：4.9.1 及更高版本。 该漏洞允许攻击者： 远程执行任意 Python 代码。 关闭或控制 Wazuh 服务器。 利用被攻陷的代理在集群内传播攻击。 此类攻击可能破坏系统的完整性、可用性和机密性，对于依赖 Wazuh 进行安全监控的组织来说，这是一个关键问题。 一个公开的 PoC（概念验证）演示了攻击者如何通过 API 请求发送精心制作的 JSON 负载来利用此漏洞。例如，对 run_as 端点的恶意请求可以注入一个未经过滤的异常（unhandled_exc），从而触发任意代码执行。 为了解决此漏洞： 立即升级：更新到 Wazuh 4.9.1 或更高版本，该问题已在这些版本中得到修复。 限制 API 访问：将 API 访问限制在受信任的网络，并强制执行严格的认证措施。 监控日志：定期审查日志，留意可疑活动，如异常的 API 调用或未授权的访问尝试。 加强代理配置：确保 Wazuh 代理的安全，防止通过被攻陷的端点进行利用。 强烈建议各组织尽快实施这些措施，以降低潜在的利用风险，保护其基础设施免受利用 CVE-2025-24016 的攻击者侵害。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 TgToxic（又名 ToxicPanda）的 Android 恶意软件的更新版本，这表明其背后的威胁行为者正在持续做出改变以应对公开报道。 “TgToxic 有效载荷中的修改反映了行为者对开源情报的持续监控，并展示了他们增强恶意软件功能以改进安全措施并使研究人员难以应对的承诺，”Intel 471 在本周发布的一份报告中表示。 TgToxic 最早由 Trend Micro 于 2023 年初记录，被描述为一种银行木马，能够从加密钱包以及银行和金融应用程序中窃取凭据和资金。自 2022 年 7 月以来，它已被检测到在野外出现，主要针对台湾、泰国和印度尼西亚的移动用户。 2024 年 11 月，意大利在线欺诈预防公司 Cleafy 详细描述了一种更新的变种，该变种具有广泛的数据收集功能，并将其操作范围扩展到意大利、葡萄牙、香港、西班牙和秘鲁。该恶意软件被认为是中国威胁行为者所为。 Intel 471 的最新分析发现，该恶意软件通过短信或钓鱼网站分发的 Dropper APK 文件进行传播。然而，确切的传播机制仍未知。 一些显著的改进包括增强了模拟器检测能力和更新了命令与控制（C2）URL 生成机制，突显了持续努力以规避分析。 “该恶意软件对设备的硬件和系统能力进行了彻底评估，以检测模拟，”Intel 471 表示。“该恶意软件检查了一组设备属性，包括品牌、型号、制造商和指纹值，以识别模拟系统中常见的差异。” 另一个重大变化是从嵌入恶意软件配置中的硬编码 C2 域名转向使用论坛（如 Atlassian 社区开发者论坛）创建虚假个人资料，其中包含指向实际 C2 服务器的加密字符串。 TgToxic APK 设计为随机选择配置中提供的社区论坛 URL 之一，该 URL 作为 C2 域名的死胡同解析器。 这种方法具有几个优势，最主要的是它使威胁行为者更容易通过简单地更新社区用户个人资料来指向新的 C2 域名，而无需对恶意软件本身进行任何更新。 “这种方法显著延长了恶意软件样本的使用寿命，只要这些论坛上的用户个人资料保持活跃，它们就能保持功能，”Intel 471 表示。 2024 年 12 月发现的 TgToxic 后续迭代版本更进一步，依赖于域生成算法（DGA）来创建用于 C2 服务器的新域名。这使恶意软件更能抵御破坏，因为 DGA 可以创建多个域名，即使某些域名被关闭，攻击者也可以切换到新域名。 “TgToxic 因其先进的反分析技术（包括混淆、有效载荷加密和反模拟机制）而脱颖而出，这些技术使其能够躲避安全工具的检测，”Approov 首席执行官 Ted Miracco 在一份声明中表示。“其使用动态命令与控制（C2）策略（如域生成算法（DGA））和自动化能力，使其能够劫持用户界面、窃取凭据并执行未经授权的交易，同时具备躲避反制措施的隐蔽性和弹性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

自 2017 年 9 月以来，许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。 移动安全公司 iVerify 的研究人员报告称，该问题源于预装的 Android 应用程序“Showcase.apk”，该应用程序以过多的系统权限运行，允许其远程执行代码并安装远程包。 报告指出：“自 2017 年 9 月以来，iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”，该软件包具有过多的系统权限，包括远程代码执行和远程软件包安装功能。” 该应用程序通过不安全的连接下载配置文件，并且可以被操纵以在系统级别执行代码。 允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件，从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备，从而可能导致严重的网络犯罪和数据泄露。 由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。 应用程序“Showcase.apk”无法通过标准卸载过程删除，谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中，并包含在谷歌针对Pixel设备的OTA更新中。专家指出，尽管该应用程序默认未启用，但可以通过多种方法激活，其中一种方法需要对设备进行物理访问。 这个存在缺陷的应用程序名为 Verizon Retail Demo Mode （“com.customermobile.preload.vzw”），其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在，但没有证据表明此漏洞已被利用。 “应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件，则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化，导致在失败后进行有效的验证检查。” 该应用程序存在漏洞，因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书，从而使攻击者能够在下载过程中绕过验证过程。 需要强调的是，攻击者需要物理访问设备并获得用户密码才能利用此漏洞。 谷歌表示，该问题不是 Android 或 Pixel 系统中的漏洞，并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。 谷歌还通知了其他 Android OEM。 Showcase.apk 的发现和其他备受关注的事件（例如在Microsoft Windows中运行第三方内核扩展 ）凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试，以确保安装在数百万台设备上的第三方应用程序的安全。 报告总结道：“为什么只有极少数设备需要 Showcase.apk，而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重，以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aztJg6UgO97dTT0rPdA_Ew 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一种名为 BlankBot 的新型 Android 银行木马，该木马针对土耳其用户，旨在窃取财务信息。 Intel 471在上周发表的一份分析报告中表示：“BlankBot具有一系列恶意功能，包括客户注入，键盘记录，屏幕录制，并通过WebSocket连接与控制服务器进行通信。” 据说 BlankBot 于 2024 年 7 月 24 日被发现，正在积极开发中，该恶意软件滥用 Android 的辅助功能服务权限来完全控制受感染的设备。 下面列出了一些包含 BlankBot 的恶意 APK 文件的名称： app-release.apk （com.abcdefg.w568b） app-release.apk （com.abcdef.w568b） 应用程序发布签名 （14）.apk （com.whatsapp.chma14） app.apk （com.whatsapp.chma14p） app.apk （com.whatsapp.w568bp） showcuu.apk （com.whatsapp.w568b） 与最近重新出现的 Mandrake Android 木马一样，BlankBot 实现了基于会话的软件包安装程序，以规避 Android 13 中引入的限制设置功能，阻止侧载应用程序直接请求危险权限。 “该机器人要求受害者允许安装来自第三方的应用程序，然后它检索存储在应用程序资产目录中的未加密安卓软件包（APK）文件，并继续软件包安装过程。”Intel 471 说。 该恶意软件具有多种功能，可执行屏幕录制、键盘记录，并根据从远程服务器接收到的特定命令注入覆盖层，以获取银行账户凭证、支付数据，甚至用于解锁设备的图案。 BlankBot 还能拦截短信、卸载任意应用程序并收集联系人列表和已安装应用程序等数据。它还能进一步利用可访问性服务 API，阻止用户访问设备设置或启动杀毒应用程序。 “BlankBot 是一种仍在开发中的新型 Android 银行木马，在不同应用程序中观察到的多种代码变体就是证明。”这家网络安全公司表示。“无论如何，一旦恶意软件感染了Android设备，它就可以执行恶意操作。” Google发言人告诉The Hacker News，该公司尚未在Google Play商店中找到任何包含该恶意软件的应用程序。 这家科技巨头表示：“Google Play Protect会自动保护Android用户免受此已知版本恶意软件的侵害，该功能在使用Google Play服务的安卓设备上默认开启。“Google Play Protect 会向用户发出警告并阻止包含此恶意软件的应用，即使这些应用的来源在 Play 以外。” Google概述了它正在采取的各种措施，以打击威胁行为者使用Stingrays等蜂窝站点模拟器将短信直接注入Android手机，这种欺诈技术被称为SMS Blaster欺诈。 “这种注入消息的方法完全绕过了运营商网络，从而绕过了所有复杂的基于网络的反垃圾邮件和反欺诈过滤器，”Google表示。“SMS Blasters 暴露了一个虚假的 LTE 或 5G 网络，该网络只执行单一功能：将用户的连接降级到传统的 2G 协议。” 缓解措施包括在调制解调器层面禁用 2G 的用户选项和关闭空密码，后者是虚假基站注入短信有效载荷的必要配置。 今年5月初，Google还表示，如果用户的蜂窝网络连接未加密，或者犯罪分子利用蜂窝站点模拟器窥探用户或向他们发送短信形式的欺诈信息，Google就会向用户发出警报。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近来，Facebook母公司Meta陷入了一起法律诉讼。据 TechCrunch 报道，Meta 被指控在其数据收集活动上撒谎，并利用其从用户那里“欺骗性地提取”数据进行不公平的斗争。 诉讼称，Meta在2016 年 6 月至 2019 年 5 月之间曾使用一种名为“SSL man-in-the-middle”的网络攻击方法来拦截和解密竞品软件 Snapchat、YouTube 和 Amazon 加密的分析流量。 据起诉Meta的广告商称，该项目以秘密的方式进行，旨在对自身构成威胁的竞品进行分析。这种做法可能违反了窃听法，属犯罪行为。 根据法庭文件中公开的内部电子邮件，该项目以一种工具包的形式呈现，可以拦截特定子域的流量并读取原本加密的流量，以便衡量应用内的使用情况（即人们在应用中执行的特定操作，而不仅仅是整体应用访问量）。 Meta对此表示，这一问题在几年前就被报道过了，现在原告的主张毫无根据。在3月26日针对原告的回应中，Meta还声称“Snapchat 自己也证实，无法识别因Meta的这一用户研究产品而损失的单笔广告销售，不知道其他竞争对手是否收集了类似信息，也不知道 Meta 的任何研究是否为 Meta 提供了竞争优势。” 扎克伯格亲自部署 据起诉 Meta 的广告商称，该项目是应马克·扎克伯格的要求启动。扎克伯格在2016年6月发给高管的内部电子邮件中透露，他对Snapchat的快速增长感到担忧。Facebook没有关于竞争对手的分析，因为他们的流量是加密的。扎克伯格表示，考虑到它们的增长速度，通过定制软件找到一种新方法来获得关于它们的可靠分析似乎很重要。 所披露的电子邮件 现任 Facebook 首席运营官的哈维尔·奥利文同意并责成 Meta 在 2013 年收购 VPN 服务商Onavo，并建议潜在的付费用户安装“某种重要软件”（甚至可以实现中间人等功能）。 在原告提供的文件和证词显示，这种 “中间人 “方法依赖于在 Facebook 的 Onavo 服务器上执行一种被称为服务器端 SSL 碰撞的技术，该技术在 2016 年 6 月至 2019 年初期间得到了大规模实施，其中分别于 2017年-2018 年针对 YouTube 和亚马逊进行了部署。 该项目实施后，在Meta内部就有人表达了不满，该公司一位最高级别的工程高管认为这是一场法律、技术和安全的噩梦。   转自Freebuf，原文链接：https://www.freebuf.com/news/396187.html 封面来源于网络，如有侵权请联系删除

ALPHV/BlackCat 勒索软件团伙将敲诈勒索提升到了一个新高度，该组织向美国证券交易委员会提交了一份投诉，指控其一名受害者未遵守“一旦遭遇网络攻击，需要在四天内披露”的有关规定。 早些时候，ALPHV/BlackCat 勒索软件团伙将软件公司 MeridianLink 列入了数据泄露名单，并威胁称在 24 小时内未收到赎金，将泄露被盗数据。（MeridianLink 是一家上市公司，主要为银行、信用社和抵押贷款机构等金融组织提供数字解决方案） 勒索软件团伙向美国证券交易委员会“告密” 根据 DataBreaches.net 报道，ALPHV 勒索软件团伙在 11月 7 日成功入侵了 MeridianLink 的网络系统，并在未加密系统的情况下窃取了该公司数据。 值得一提的是，安全事件发生后，MeridianLink 曾表现出希望通过协商付款来“换取”不泄露被盗数据。然而随着事态发展，MeridianLink 公司不愿意尽快支付赎金，这个举动“迫使” ALPHV  组织不得不施加更大压力，于是乎就向美国证券交易委员会（SEC）投诉 MeridianLink 没有披露影响 “客户数据和运营信息 “的网络安全事件。 ALPHV 勒索软件“恼羞成怒” 为了证明投诉真实性，ALPHV 在其网站上公布 SEC 的提示、投诉和转介页面上填写的表格截图，显示攻击者向 SEC “告密”，MeridianLink 在遭受了 “重大违规”安全事件后，并没有按照 8-K 表格 1.05 项的要求披露。 ALPHV 勒索软件向 SEC 投诉 MeridianLInk （注：根据美国证券交易委员会规定，美国机构发生安全事件后要在四个工作日内通报。值得一提的是，路透社在 10 月初曾指出美国证券交易委员会的网络安全新规 2023 年 12 月 15 日才生效。） ALPHV 勒索软件还在其网站上提供了从美国证券交易委员会收到的针对 MeridianLink 投诉的回复。 SEC 回复 ALPHV 对 MeridianLInk 的投诉 MeridianLink 确认遭到网络攻击 MeridianLink 在给 BleepingComputer 的一份声明中表示，发现遭受网络攻击后，公司立即采取行动控制威胁，并聘请第三方专家团队进行调查。该公司还补充到目前仍在努力确定是否有任何消费者个人信息受到网络攻击的影响，如果有，一定会通知受影响的各方。 根据迄今为止掌握的资料，没有发现任何证据表明生产平台受到了未经授权的访问，此次事件造成的业务中断也微乎其微。——MeridianLink 此前，成功发动网络袭击后，勒索软件组织会通知受害目标，并向其施加压力。虽然也有一些勒索团伙曾威胁要向美国证券交易委员会报告漏洞和数据盗窃事件，但是从来没有一个组织真正实施过，ALPHV 可能开了一个先河！   转自Freebuf，原文链接：https://www.freebuf.com/news/384006.html 封面来源于网络，如有侵权请联系删除

攻击者正在利用最近修补的严重 Atlassian Confluence 身份验证绕过漏洞，使用 Cerber 勒索软件加密受害者的文件。 Atlassian 将该漏洞描述为不正确的授权漏洞，并跟踪为 CVE-2023-22518，该漏洞的严重程度为 9.1/10，它影响所有版本的 Confluence Data Center 和 Confluence Server 软件。 Atlassian上周二发布了安全更新，警告管理员立即修补所有易受攻击的实例，因为该缺陷也可能被利用来擦除数据。 Atlassian 首席信息安全官 (CISO) Bala Sathiamurthy表示：“作为我们持续安全评估流程的一部分，我们发现 Confluence 数据中心和服务器客户如果被未经身份验证的攻击者利用，很容易遭受重大数据丢失。” “目前没有关于主动利用的报告；但是，客户必须立即采取行动来保护他们的实例。” 几天后，该公司发布了第二次警告，提醒客户，概念验证漏洞已经在网上可用，尽管没有证据表明该漏洞正在进行。 那些无法修补系统的人被敦促采取缓解措施，包括备份未修补的实例并阻止对未修补的服务器的互联网访问，直到它们得到保护。 还可以选择通过修改/<confluence-install-dir>/confluence/WEB-INF/web.xml来删除已知的攻击媒介，如公告中所述并重新启动易受攻击的实例。 根据威胁监控服务 ShadowServer 的数据，目前有超过 24,000 个 Confluence 实例暴露在网上，但无法得知有多少个实例容易受到 CVE-2023-22518 攻击。 暴露在互联网上的 Atlassian Confluence 实例 (Shadowserver) 在勒索软件攻击中被利用 Atlassian 于周五更新了他们的公告，警告威胁行为者在 PoC 漏洞发布后已经针对攻击中的缺陷进行了攻击。 该公司表示：“我们收到了一份关于活跃漏洞的客户报告。客户必须立即采取行动来保护他们的实例。如果您已经应用了补丁，则无需采取进一步的行动。” 周末，威胁情报公司 GreyNoise警告称，CVE-2023-22518从11 月 5 日星期日开始广泛利用。 网络安全公司 Rapid7 还观察到针对暴露在互联网上的 Atlassian Confluence 服务器的攻击，其中包括针对 CVE-2023-22518 身份验证绕过的漏洞以及先前被用作零日漏洞的旧版关键权限升级(CVE-2023-22515)。 该公司表示：“截至 2023 年 11 月 5 日，Rapid7 托管检测和响应 (MDR) 正在观察多个客户环境中 Atlassian Confluence 的利用情况，包括勒索软件部署。” “在多个攻击链中，Rapid7 观察到利用后命令执行来下载托管在 193.43.72[.]11 和/或 193.176.179[.]41 上的恶意有效负载，如果成功，将导致单系统 Cerber 勒索软件部署在被利用的 Confluence 服务器上。” CISA、FBI 和多州信息共享与分析中心 (MS-ISAC) 上个月发布了一份联合公告，敦促网络管理员立即保护 Atlassian Confluence 服务器免受主动利用的 CVE-2023-22515 权限升级漏洞的影响。根据微软的一份报告，至少从 9 月 14 日起就一直受到积极的利用。 两年前， Cerber 勒索软件（又名 CerberImposter）也被部署在针对 Atlassian Confluence 服务器的攻击中，利用远程代码执行漏洞 (CVE-2021-26084)，该漏洞之前被用来安装加密挖矿程序。   转自安全客，原文链接：https://www.anquanke.com/post/id/291246 封面来源于网络，如有侵权请联系删除

Atlas VPN 已确认存在一个零日漏洞，该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前，发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。 关于 Atlas VPN 零日漏洞 Atlas VPN提供 “免费 “和付费的 “高级 “VPN解决方案，可以改变用户的IP地址，以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。 此次发现的漏洞仅影响Lunux版AtlasVPN客户端v1.0.3（即最新版本）。 发帖者解释了漏洞的根本原因，首先，AtlasVPN Linux 客户端由两部分组成，守护进程（atlasvpnd）由管理连接，客户端（atlasvpn）由用户控制连接、断开连接和列出服务。当客户端不通过本地套接或任何其他安全手段进行连接，而是在 8076 端口的 localhost 上打开一个 API时，它没有任何身份验证。计算机上运行的任何程序，包括浏览器，都可以访问这个端口。 简而言之，通过恶意脚本，任何网站都可以向 8076 端口提出断开 VPN 连接的请求，然后运行另一个请求，泄露用户的 IP 地址。 成功 “攻击 “的前提条件是访问者使用 Linux，并在访问网站时主动使用 AtlasVPN Linux 客户端 v1.0.3。当然，这也限制了潜在受害者的数量。 修复程序正在开发中 Atlas VPN 的通信主管 Rūta Čižinauskaitė 说：我们正在修复这个漏洞。该漏洞影响 Atlas VPN Linux 客户端 1.0.3 版本。正如研究人员所说，由于该漏洞，恶意行为者可能会断开应用程序，从而断开用户与 VPN 网关之间的加密流量。这可能导致用户的 IP 地址泄露。 目前，该公司正在努力尽快修复这个容易被利用的漏洞，一旦问题得到解决，就会提示用户将其 Linux 应用程序更新到最新版本。 Čižinauskaitė还表示，他们将在开发过程中实施更多的安全检查，以避免未来出现此类漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/377482.html 封面来源于网络，如有侵权请联系删除

身份服务提供商Okta上周五（9月1日）警告称，有威胁行为者针对该公司进行了一次社会工程攻击获得了管理员权限。 该公司表示：最近几周，多家美国Okta客户报告了多个针对IT服务人员的社会工程攻击。这些威胁行为者会打电话给服务台人员，然后要求重置高权限用户注册的所有多因素身份验证（MFA）因子，从而开始滥用Okta超级管理员帐户的最高权限来冒充受感染组织内的用户。该公司表示，这些活动发生在2023年7月29日至8月19日之间。 虽然Okta没有透露威胁参与者的身份，但其使用的攻击战术符合名为“Muddled Libra”的活动集群的所有特征，据说它与“Scattered Spider”和“Scatter Swine”也有一定的关联。 这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包，它提供预制模板来创建更为逼真的虚假身份验证门户，并最终获取凭证和多因素身份验证（MFA）代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。 Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》，有多个威胁行为体正在 “将其添加到自己的武器库中”，而且 “仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 “Muddled Libra”。 该公司还表示，它无法找到足够的关于目标定位、持续性或目的的数据，以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉，该组织也采用类似的手法。 Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出：Scattered Spider 主要针对电信和业务流程外包（BPO）组织。然而，最近的活动表明这个组织已经开始瞄准其他行业，包括关键基础设施组织。 在最新的一组攻击中，威胁分子已经掌握了属于特权用户账户的密码，或者 “能够通过活动目录（AD）操纵委托身份验证流”，然后再致电目标公司的 IT 服务台，要求重置与账户相关的所有 MFA 因子。 超级管理员账户的访问权限随后被用来为其他账户分配更高的权限，重置现有管理员账户中的注册验证器，甚至在某些情况下从验证策略中移除第二要素要求。 Okta表示：据观察，威胁行为者已经配置了第二个身份提供程序，以作为’冒充的应用程序’，代表其他用户访问被入侵组织内的应用程序。”这第二个身份提供商也由攻击者控制，将在与目标的入站联盟关系（有时称为’Org2Org’）中充当’源’IdP”。 通过这个’源’IdP，威胁者操纵了第二个’源’身份提供商中目标用户的用户名参数，使其与被攻击的’目标’身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录（SSO）目标身份提供商应用程序的能力。 该公司建议客户执行防网络钓鱼身份验证，加强服务台身份验证流程，启用新设备和可疑活动通知，并审查和限制超级管理员角色的使用，从而更好的应对此类攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376952.html 封面来源于网络，如有侵权请联系删除