HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周四警告美国联邦机构，需防范针对微软 Outlook 关键远程代码执行（RCE）漏洞的攻击。 该漏洞由 Check Point 的漏洞研究人员 Haifei Li 发现，编号为 CVE-2024-21413，CVSS 评分为 9.8。漏洞源于在使用易受攻击的 Outlook 版本打开包含恶意链接的电子邮件时，未正确验证输入。 攻击者利用此漏洞可以绕过受保护视图（Protected View），以编辑模式而非只读模式打开恶意 Office 文件，从而获得远程代码执行能力。微软在一年前修补了该漏洞，并警告称即使在预览恶意构建的 Office 文档时，预览窗格也是一个攻击向量。 Check Point 解释称，这一安全漏洞（代号为 Moniker Link）允许威胁行为者绕过 Outlook 对电子邮件中嵌入的恶意链接的内置保护，方法是使用 file:// 协议并在指向攻击者控制的服务器的 URL 中添加感叹号。 CISA 已将该漏洞添加到其已知被利用漏洞（KEV）目录中，并根据强制性业务指令（BOD）22-01，要求联邦机构在 2 月 27 日前的三周内确保其网络的安全。 “这类漏洞是恶意网络行为者频繁利用的攻击向量，对联邦企业构成重大风险，”该网络安全机构警告。 虽然 CISA 主要关注提醒联邦机构尽快修补这些漏洞，但私营组织也被建议优先修补这些漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司VulnCheck最新报告显示，2024年野外被利用的CVE数量攀升至768个，较2023年的639个增长20%，创下年度新高。 约23.6%的KEV在公开披露当日或之前就已被武器化，这一比例虽较2023年的26.8%略有下降，却印证了漏洞在其生命周期内随时可能遭受攻击的行业规律。 VulnCheck安全研究员Patrick Garrity在接受《黑客新闻》采访时透露：”2024年公布的CVE中，有1%在发布时就被确认遭到野外利用。考虑到漏洞利用常存在滞后性，实际数字预计会持续攀升。”这一发现基于该公司持续追踪的漏洞生命周期数据。 值得关注的是，报告发布的两个月前，VulnCheck曾披露2023年度最常被利用的15个高危漏洞中，有15个中国黑客组织（占已命名威胁行为体的四分之一）涉及至少一个漏洞的利用。 其中，Log4j漏洞（CVE-2021-44228）以关联31个威胁组织位居榜首，目前仍有65,245台主机存在潜在风险。 经测算，全球约40万台联网设备因Apache、Atlassian等10家主流厂商产品的15个安全缺陷面临攻击威胁。这些涉及企业包括思科、微软、Fortinet等行业巨头，暴露出广泛的企业级安全风险。 对此，VulnCheck提出五点防护建议：企业需系统评估技术暴露面、建立风险可视化机制、强化威胁情报应用、完善补丁管理体系，并尽可能减少相关设备的互联网暴露面。该建议直指当前企业网络安全建设的核心痛点，为应对日益复杂的漏洞攻击提供了操作性框架。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息，如果该漏洞被成功利用，可能会允许威胁行为者窃取用户的凭据并发起后续攻击。 Zenity Labs 在一份与《黑客新闻》分享的报告中表示，这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动，从而获得对敏感数据的未经授权的访问。 “该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365，这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说，“这增加了成功攻击的可能性，使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。” 在 2024 年 9 月负责任地披露该漏洞后，微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。 微软 Power Platform 是一系列低代码开发工具，允许用户促进分析、流程自动化和数据驱动的生产力应用程序。 该漏洞本质上是服务器端请求伪造（SSRF），源于 SharePoint 连接器中的“自定义值”功能，该功能允许攻击者在流程中插入自己的 URL。 然而，为了使攻击成功，恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。 “有了环境制造者角色，他们可以创建和共享恶意资源，如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色，他们需要先获得这些角色。” 在一个假设的攻击场景中，威胁行为者可以为 SharePoint 操作创建一个流程，并与低权限用户（即受害者）共享，导致他们的 SharePoint JWT 访问令牌泄露。 掌握了这个被捕获的令牌，攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。 不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务，如 Power Apps 和 Copilot Studio，以窃取用户的令牌并进一步提升访问权限。 “你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互，你就可以像在组织内一样轻松地窃取他们的令牌，使攻击更加广泛。” “主要的收获是，Power Platform 服务的相互关联性可能会导致严重的安全风险，尤其是考虑到 SharePoint 连接器的广泛使用，其中存储了大量敏感的公司数据，确保在各种环境中维护适当的访问权限可能会很复杂。” 这一事件发生之际，Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞，这些漏洞可能被利用来与元数据 API 端点通信，从而允许攻击者获取有关机器配置的信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌日前发布安全更新，修复安卓操作系统中47项安全漏洞，其中一项已被证实遭到实际攻击。 本次修复的核心漏洞CVE-2024-53104（CVSS评分7.8）属于USB视频类（UVC）驱动内核组件的权限提升漏洞。 谷歌表示，攻击者可通过物理接触设备实施本地提权攻击，且已监测到该漏洞存在“有限范围的定向攻击”。 技术溯源显示，该漏洞最早可追溯至2008年发布的Linux内核2.6.26版本。 Linux内核维护者Greg Kroah-Hartman在2024年12月初披露，该漏洞源于”uvc_driver.c”程序中”uvc_parse_format()”函数对UVC_VS_UNDEFINED类型帧解析时引发的越界写入问题，可能导致内存损坏、程序崩溃或任意代码执行。 安全机构GrapheneOS分析指出，考虑到该漏洞涉及物理提权特性，不排除被取证数据提取工具滥用的可能性。同步修复的还包括高通WLAN组件高危漏洞CVE-2024-45569（CVSS评分9.8），该漏洞同样存在内存损坏风险。 值得注意的是，谷歌此次采用2025-02-01和2025-02-05双安全补丁级别机制，以便设备厂商灵活处理安卓系统通用漏洞。 “我们鼓励 Android 合作伙伴修复本公告中的所有问题，并使用最新的安全补丁级别，”谷歌表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： AMD 的安全加密虚拟化（SEV）功能中披露了一个安全漏洞，可能允许攻击者在特定条件下加载恶意 CPU 微代码。 该漏洞被追踪为 CVE-2024-56161，CVSS 评分为 7.2，表明其严重性较高。 AMD 在一份咨询报告中表示：“AMD CPU ROM 微代码补丁加载器中的签名验证不当，可能允许具有本地管理员权限的攻击者加载恶意 CPU 微代码，从而导致运行在 AMD SEV-SNP 下的机密客体的机密性和完整性受损。” SEV 是一项安全功能，使用每个虚拟机（VM）的唯一密钥来隔离虚拟机和 hypervisor。SNP（安全嵌套分页）结合了内存完整性保护，以创建一个隔离的执行环境，并防范基于 hypervisor 的攻击。 AMD 表示：“SEV-SNP 引入了几个额外的可选安全增强功能，旨在支持额外的 VM 使用模型，提供更强的中断行为保护，并增加对最近披露的侧信道攻击的防护。” 在另一份公告中，Google 指出 CVE-2024-56161 是由于微代码更新的签名验证中使用了不安全的哈希函数，这为攻击者可能破坏机密计算工作负载打开了大门。 该公司还发布了一个测试有效载荷来演示该漏洞，但额外的技术细节将在一个月后公布，以便有足够的时间让修复措施在“深层供应链”中得到推广。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： QNAP已修复六项rsync漏洞，这些漏洞可能导致攻击者在未打补丁的网络附加存储（NAS）设备上执行远程代码。 Rsync是一款开源文件同步工具，支持通过其守护进程进行直接文件同步、通过SSH进行SSH传输以及节省时间和带宽的增量传输。它被Rclone、DeltaCopy、ChronoSync等许多备份解决方案广泛使用，同时也应用于云和服务器管理操作以及公共文件分发。 这些漏洞被追踪为CVE-2024-12084（堆缓冲区溢出）、CVE-2024-12085（未初始化堆栈导致的信息泄露）、CVE-2024-12086（服务器泄露任意客户端文件）、CVE-2024-12087（通过–inc-recursive选项的路径遍历）、CVE-2024-12088（绕过–safe-links选项）和CVE-2024-12747（符号链接竞态条件）。 QNAP表示，这些漏洞影响了其数据备份和灾难恢复解决方案HBS 3 Hybrid Backup Sync 25.1.x，该方案支持本地、远程和云存储服务。 在周四发布的安全公告中，QNAP表示已在HBS 3 Hybrid Backup Sync 25.1.4.952中修复了这些漏洞，并建议客户将软件更新到最新版本。 要在您的NAS设备上更新Hybrid Backup Sync安装，您需要： 以管理员身份登录QTS或QuTS hero。 打开App Center并搜索HBS 3 Hybrid Backup Sync。 等待HBS 3 Hybrid Backup Sync出现在搜索结果中。 点击“更新”，然后在后续确认消息中点击“确定”。 这些rsync漏洞可以组合利用，形成导致远程系统妥协的利用链。攻击者仅需要对易受攻击的服务器拥有匿名读取访问权限。 “当组合利用时，前两个漏洞（堆缓冲区溢出和信息泄露）允许客户端在运行Rsync服务器的设备上执行任意代码，”CERT/CC在rsync 3.4.0发布安全修复的一周前发出警告。“客户端仅需要对服务器拥有匿名读取访问权限，例如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。” Shodan搜索结果显示，有70多万个IP地址暴露了rsync服务器。然而，尚不清楚其中有多少容易受到利用这些安全漏洞的攻击，因为成功利用需要有效的凭据或配置为允许匿名连接的服务器。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks三款防火墙模型经全面评估，发现存在大量已知安全漏洞，这些漏洞影响了设备的固件及安全功能的配置。 安全厂商Eclypsium在一份向The Hacker News提供的报告中指出：“这些并非罕见或边缘案例的漏洞，而是非常知名的问题，甚至在消费级笔记本电脑上都不应出现。如果被利用，这些问题可能让攻击者绕过最基本的安全保护机制，如安全启动，并修改设备固件。” 该公司分析的三款Palo Alto Networks防火墙型号分别为PA-3260、PA-1410和PA-415，其中PA-3260已于2023年8月31日正式停售，而其他两款型号仍在全面支持范围内。 网络安全方面，发现的漏洞被统称为“PANdora’s Box”，具体包括： CVE-2020-10713（又称BootHole，影响PA-3260、PA-1410和PA-415），指Linux系统中启用了安全启动功能的缓冲区溢出漏洞，可导致安全启动绕过。 CVE-2022-24030、CVE-2021-33627、CVE-2021-42060、CVE-2021-42554、CVE-2021-43323和CVE-2021-45970（影响PA-3260），指一组影响Insyde Software的InsydeH2O UEFI固件的系统管理模式（SMM）漏洞，可能导致权限提升和安全启动绕过。 LogoFAIL（影响PA-3260），指在统一可扩展固件接口（UEFI）代码中发现的一组关键漏洞，利用固件中嵌入的图像解析库漏洞，在系统启动时绕过安全启动并执行恶意代码。 PixieFail（影响PA-1410和PA-415），指UEFI参考实现中TCP/IP网络协议栈的一组漏洞，可能导致代码执行和信息泄露。 不安全的闪存访问控制漏洞（影响PA-415），指SPI闪存访问控制配置不当，可能允许攻击者直接修改UEFI并绕过其他安全机制。 CVE-2023-1017（影响PA-415），指可信平台模块（TPM）2.0参考库规范中的越界写入漏洞。 Intel BootGuard泄露密钥绕过（影响PA-1410）。 Eclypsium表示：“这些发现凸显了一个关键事实：即使是为保护而设计的设备，如果安全和维护不当，也可能成为攻击途径。随着威胁行为者继续瞄准安全设备，组织必须采取更全面的供应链安全方法，包括严格的供应商评估、定期固件更新和持续的设备完整性监控。通过了解和解决这些隐藏漏洞，组织可以更好地保护其网络和免受利用安全工具发起的复杂攻击。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位安全研究员发现了Cloudflare内容分发网络（CDN）的一个漏洞，该漏洞可能通过在Signal和Discord等平台发送图片暴露用户的大致位置。尽管攻击的地理定位能力不足以精确到街道级别，但可以推断出用户所在的地理区域并监控其移动轨迹。 这一发现对注重隐私的人群——如记者、活动家、异见人士甚至网络犯罪分子而言，尤其令人担忧。然而，对于执法部门，这一漏洞可能是调查的利器，帮助确定嫌疑人所在的国家或州。 无交互追踪攻击 三个月前，安全研究员Daniel发现Cloudflare通过将媒体资源缓存到距离用户最近的数据中心来提升加载速度。 他解释道：“我发现了一种独特的无交互去匿名攻击，能够在250英里范围内定位任何目标。” 该攻击仅需目标设备上安装一个易受攻击的应用（或运行于笔记本电脑的后台应用）。攻击者通过发送托管在Cloudflare CDN上的特定图片（如截图或头像），利用Cloudflare Workers的一个漏洞强制请求通过特定数据中心处理。 这一漏洞使攻击者能够绕过Cloudflare默认的安全限制，这些限制通常会根据用户位置从最近的数据中心路由请求。通过枚举不同数据中心的缓存响应，攻击者可以根据返回的机场代码大致确定用户位置。 由于许多应用（包括Signal和Discord）会自动下载推送通知中的图片，这种攻击无需用户交互即可实现追踪，是一种无交互攻击。追踪精度在50到300英里之间，城市地区的精度更高，而农村或人口稀少地区的精度较低。 在测试中，研究员通过Cloudflare的任播路由机制追踪Discord首席技术官Stanislav Vishnevskiy的位置，发现多个邻近数据中心可同时处理请求，从而进一步提高了准确性。 受影响平台的回应 根据404 Media的报道，研究员已将发现披露给Cloudflare、Signal和Discord。Cloudflare标记该问题为已解决，并奖励200美元。但研究员表示，尽管Workers漏洞已修复，通过使用VPN测试不同CDN位置，追踪攻击仍然可能，只是操作略显繁琐。 研究员称：“我选择了一家在全球31个国家设有3000多台服务器的VPN供应商。通过这种新方法，我可以再次覆盖大约54%的Cloudflare数据中心。”这已涵盖全球大部分人口密集地区。 Cloudflare回应称，禁用缓存功能是用户的责任。Discord和Signal则认为问题在于Cloudflare，且不属于它们的职责范围。 BleepingComputer已联系Signal、Discord和Cloudflare寻求对此事的进一步评论，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress的RealHome主题和Easy Real Estate插件存在两个严重漏洞，允许未经身份验证的用户获取管理员权限。 虽然Patchstack研究人员在2024年9月发现了这两个漏洞，并多次尝试联系供应商InspiryThemes，但至今未收到任何回复。同时，Patchstack指出，自2024年9月以来，供应商发布了三个版本，但未修复这些关键问题。因此，这些漏洞依然存在并可被利用。 RealHome主题和Easy Real Estate插件是房地产网站中最受欢迎的主题和插件之一。根据Envanto Market数据显示，RealHome主题目前用于32,600个网站。 第一个漏洞影响RealHome主题，是一个未经身份验证的权限提升问题，编号为CVE-2024-32444，CVSS评分为9.8。漏洞源于主题的inspiry_ajax_register函数允许用户注册新账户，但未正确验证授权或实现随机数验证。如果网站启用了注册功能，攻击者可通过特制的HTTP请求将自己的角色设为“管理员”，从而绕过安全检查。一旦注册为管理员，攻击者即可完全控制WordPress站点，包括篡改内容、植入脚本以及访问用户或其他敏感数据。 第二个漏洞影响Easy Real Estate插件，是通过社交登录实现的另一种未经身份验证的权限提升问题，编号为CVE-2024-32555，CVSS评分为9.8。该漏洞源于插件的社交登录功能，允许用户通过电子邮件地址登录，但未验证该地址是否属于请求者。如果攻击者知道管理员的电子邮件地址，则无需密码即可登录。成功利用该漏洞的后果与CVE-2024-32444类似。 由于InspiryThemes尚未发布修复补丁，建议使用上述主题或插件的网站所有者和管理员立即禁用它们。同时，限制用户注册功能可以防止未经授权的账户创建，从而降低漏洞被利用的风险。 鉴于这些问题已被公开，威胁行为者可能会尝试扫描易受攻击的网站，因此快速响应以减轻威胁至关重要。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oracle敦促用户尽快应用2025年1月的关键补丁更新（CPU），以修复其产品和服务中的318个安全漏洞。 最严重的漏洞是Oracle Agile产品生命周期管理（PLM）框架中的一个高危漏洞（CVE-2025-21556，CVSS评分：9.9），该漏洞允许攻击者接管易受攻击的实例。据NIST国家漏洞数据库（NVD）描述，这是一个易于利用的漏洞，攻击者可通过HTTP以低权限网络访问破坏Oracle Agile PLM框架。值得注意的是，Oracle在2024年11月警告称，同一产品中的另一个漏洞（CVE-2024-21287，CVSS评分：7.5）正被积极利用。两者均影响Oracle Agile PLM框架9.3.6版本。 Oracle安全保障副总裁Eric Maurice表示：“我们强烈建议用户为Oracle Agile PLM框架应用2025年1月的关键补丁更新，因为它不仅修复了CVE-2024-21287，还包含其他补丁。” 其他同样严重的漏洞（CVSS评分：9.8）包括： CVE-2025-21524：JD Edwards EnterpriseOne Tools的监控与诊断SEC组件漏洞 CVE-2023-3961：JD Edwards EnterpriseOne Tools的E1开发平台技术（Samba）组件漏洞 CVE-2024-23807：Oracle Agile工程数据管理的Apache Xerces C++ XML解析器组件漏洞 CVE-2023-46604：Oracle通信直径信令路由器的Apache ActiveMQ组件漏洞 CVE-2024-45492：多个产品（包括Oracle通信网络分析数据总监和HTTP服务器）的XML解析器（libexpat）组件漏洞 CVE-2024-56337：Oracle通信策略管理的Apache Tomcat服务器组件漏洞 CVE-2025-21535：Oracle WebLogic服务器核心组件漏洞 CVE-2016-1000027：Oracle BI Publisher的Spring Framework组件漏洞 CVE-2023-29824：Oracle商业智能企业版的分析服务器（SciPy）组件漏洞 特别是CVE-2025-21535，与CVE-2020-2883（CVSS评分：9.8）相似，后者是Oracle WebLogic服务器中的一个关键安全漏洞，攻击者可通过IIOP或T3网络访问进行未经身份验证的攻击。本月，美国网络安全与基础设施安全局（CISA）将CVE-2020-2883添加到其已知被利用漏洞目录（KEV），并指出其已在野外被积极利用。 此外，Oracle还修复了影响其通信计费和收入管理产品的关键漏洞CVE-2024-37371（CVSS评分：9.1），该漏洞可能导致攻击者通过发送带有无效长度字段的消息令牌引发内存读取错误。 Oracle还发布了针对Oracle Linux的更新，包含285个新安全补丁。用户被建议及时应用相关修复以保持系统安全，避免潜在的安全风险。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文