The Hacker News 网站披露，近日思科发布了新的安全公告，指出 IP 电话（网络电话） 7800 和 8800 系列某个固件中存在高危漏洞，一旦攻击者成功利用该漏洞，或引发远程代码执行或拒绝服务（DoS）情况。 漏洞被追踪为 CVE-2022-20968（CVSS 评分：8.1），由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉，漏洞产生的原因是在收到 Cisco 发现协议（CDP）数据包时，存在输入验证不足的情况，思科目前正在积极开发新补丁来解决漏洞问题。 注：通过运行 CDP 协议，思科设备能够在与它们直连的设备之间分享有关操作系统软件版本，以及 IP 地址，硬件平台等相关信息。（默认情况下自动开启。） 漏洞最早要明年一月才能修复 2022 年 12 月 8 日，Cisco 在一份公告中表示，潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞，若成功利用漏洞，潜在攻击者能够造成堆栈溢出，导致受影响设备上可能出现远程代码执行或拒绝服务（DoS）的情况。 值得一提的是，漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话，思科方面声称目前暂时没有更新补丁和解决方案来解决该问题，但公司正在加紧开发更新补丁，计划在 2023 年 1 月发布。 此外，在同时支持 CDP 和链路层发现协议（LLDP）用于邻居发现的部署中，用户可以选择禁用 CDP，以便受影响的设备能够切换到 LLDP，向局域网（LAN）中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险，需要企业努力评估设备可能会受到的任何潜在影响。 最后，思科强调，CVE-2022-20968 漏洞虽已被公开披露，但迄今为止，没有证据表明该漏洞在野外被积极滥用。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352199.html 封面来源于网络，如有侵权请联系删除  

在Apache软件基金会去年11月披露Log4j漏洞一年后，虽然针对该漏洞本身的攻击数量低于最初的预期，但仍然对企业组织构成重大威胁。 安全研究人员说，仍然有很多系统没有针对该漏洞打补丁，企业在发现、修复和防止该漏洞上仍面临挑战。 “Contrast Security的首席安全信息官 David Lindner说：”Log4j被用于约64%的Java应用程序，而其中只有50%的应用程序已经更新到完全固定的版本，这意味着攻击者将继续针对它。至少现在，攻击者继续在寻找通过Log4j进行攻击的途径。 攻击比预期的要少 Log4j的缺陷（CVE-2021-44228），通常被称为Log4Shell，存在于Log4j用于数据存储和检索的Java命名和目录接口（JNDI）。它可以帮助远程攻击者来控制易受攻击的系统。鉴于Log4J几乎被用于每一个Java应用环境，安全研究人员认为它是近年来最具威胁的漏洞之一，因为它很普遍，而且攻击者可以相对容易地利用它。 在过去的一年里，已经有许多关于攻击者利用该漏洞作为进入目标网络的报道。其中许多攻击涉及来自朝鲜、伊朗和其他国家的由国家支持的APT组织。例如，11月美国网络安全和基础设施安全局（CISA）警告说，一个由伊朗政府支持的APT组织利用未打补丁的VMware Horizon服务器中的Log4j漏洞，在一个联邦网络上部署了加密软件和凭证采集器。微软等其他公司也报告了类似的行为。 尽管还有其他一些关于有经济动机的网络犯罪团伙利用Log4j的报道， 但公开报道的涉及Log4的破坏事件的实际数量仍然比较低，特别是与涉及Exchange Server漏洞（如ProxyLogon和ProxyShell）的事件相比。Tenable公司的首席安全官Bob Huber说，相比于该漏洞的简单性和普遍的攻击路径，报告的攻击规模和范围出乎意料地低于预期。Huber说：只是在近期，我们才看到一些有针对性的重要报道，如最近CISA的民族性国家活动。 威胁未减弱 然而，安全研究人员指出，这并不意味着Log4j的威胁在过去一年中已经减弱。 首先，很大一部分企业仍然像一年前一样容易受到威胁。根据Tenable最近进行的一项与该漏洞有关的遥测分析显示，截至到10月1日，72%的企业容易受到Log4j的攻击，全球仅有28%的组织已经对该漏洞进行了全面修复。但当这些企业在向其环境中添加新的资产时，经常又一次地遭到Log4j的漏洞攻击。 Huber说：假设企业在软件的构建管道中建立修复，那么再一次地遭到Log4j漏洞攻击的概率会减少。是否会再一次地遭到Log4j漏洞攻击很大程度上取决于一个企业的软件发布周期。 此外，尽管网络安全界对这个漏洞的认识几乎无处不在，但由于应用程序如何使用Log4j，在许多企业中仍然很难找到有漏洞的版本。Sonatype公司首席技术官Brian Fox说，一些应用程序可能将开源日志组件作为其应用程序的直接依赖项，而在其他情况下，一些应用程序可能将Log4j作为一个交叉依赖项或另一个依赖项的依赖。 Fox说：由于过渡性依赖是从你的直接依赖项的选择中引入的，它们可能并不总是被你的开发人员所了解或直接看到。 Fox说，当Apache基金会首次披露Log4Shell时，公司不得不发出成千上万的内部电子邮件，在电子表格中收集结果，并递归扫描文件系统。这不仅仅花费了公司宝贵的时间和资源来修补该组件，而且延长了该漏洞的恶意影响程度。 来自Sonatype维护的Maven Central Java仓库的数据显示，目前35% 的 Log4 下载仍来自该软件的易受攻击版本。许多公司甚至在开始响应之前仍在尝试建立他们的软件清单，并且没有意识到传递依赖性的影响。 根据上述所有的问题，美国国土安全部审查委员会今年早些时候得出结论：Log4是一个地方性的安全风险，企业将需要与之抗衡多年。委员会成员评估说，Log4j的脆弱实例将在未来许多年里留在系统中，并使企业面临攻击的风险。 正面的影响 跟踪该漏洞的安全研究人员说，Log4j的积极成果是它引起了人们对软件构成分析和软件材料清单（SBOM）等实践的高度关注。企业在确定他们是否有漏洞或在他们的环境中可能存在的漏洞时所面临的挑战，促进了人们更好地理解对其代码库中所有组件的可见性需要，特别是那些来自开源和第三方的组件。 ReversingLabs的CISO Matthew Rose说：对Log4J问题的调查再次证实，除了跟上DevOps速度的SBOMs之外，还需要更好的软件供应链证明。应用安全和架构团队已经意识到，仅仅在源代码、API或开放源码包等部分寻找风险是不够的。他们现在意识到，全面了解应用程序的架构与寻找SQLI或跨站脚本错误（XSS）一样重要。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352218.html 封面来源于网络，如有侵权请联系删除

上周五，Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新，以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做，请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本，在Windows上至少更新到108.0.5359.94/.95。 Google的Prudhvikumar Bommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。 正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。 “对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，”Google解释说。”如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。” 这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。 当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的”关于Chrome”。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7172756651026907659/ 封面来源于网络，如有侵权请联系删除

Google威胁分析小组（TAG）的一篇新博文显示，2022年10月，朝鲜积极利用了一个Internet Explorer零日漏洞。这次攻击以韩国用户为目标，将恶意软件嵌入参考最近首尔梨泰院人群踩踏惨案的文件中。 Internet Explorer浏览器早在今年6月初就正式退役了，此后被微软Edge取代。然而，正如TAG的技术分析所解释的那样，Office仍在使用IE引擎来执行启用攻击的JavaScript，这就是为什么它在没有安装2022年11月新的安全更新的Windows7至11和Windows Server 2008至2022机器上依然存在漏洞。 当题为”221031首尔龙山梨泰院事故应对情况（06:00）.docx”的恶意微软Office文档于2022年10月31日被上传到VirusTotal时，TAG意识到来自IE的漏洞依然阴魂不散。这些文件利用了10月29日在梨泰院发生的悲剧的广泛宣传，在这场悲剧中，151人在首尔的万圣节庆祝活动中因人群踩踏而丧生。 TAG认为这次攻击是由朝鲜政府支持的一个名为APT37的组织所为，该组织以前曾在针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户的攻击中使用类似的IE零日漏洞。 该文件利用了在”jscript9.dll”（Internet Explorer的JavaScript引擎）中发现的Internet Explorer零日漏洞，在渲染攻击者控制的网站时，该漏洞可被用来传递恶意软件或恶意代码。 TAG在博文中说，它”没有获得这次攻击活动的最终载荷”，但指出之前观察到APT37使用类似的漏洞来输送恶意软件，如Rokrat、Bluelight和Dolphin。在这种情况下，该漏洞在10月31日被发现后的几个小时内就被报告给了微软，并在11月8日被修补。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7174457484654936580/ 封面来源于网络，如有侵权请联系删除

日前，谷歌Project Zero报告披露了三个三星手机漏洞，分别为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370，目前已被一家监控公司利用。 这三个漏洞具体表现为： CVE-2021-25337： SMR Mar-2021第1版之前的三星移动设备中剪贴板服务的访问控制不当，允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369： SMR MAR-2021第1版之前的sec_日志文件中存在一个不正确的访问控制漏洞，将暴露用户空间内敏感的内核信息。 CVE-2021-25370: SMR Mar-2021第1版之前，dpu驱动程序中处理文件描述符的实现不正确，导致内存损坏，内核死机。 而这家监控供应商正是将上述的三个漏洞链接起来，以危害三星手机。 目前TAG团队只获得了三星手机可能处于测试阶段的部分漏洞链，研究人员指出，这家监控公司在其间谍软件中包含了对这三个漏洞的攻击，这些漏洞在被攻击时为零日漏洞。研究人员称：“这条攻击链是一个很好的例子，值得进一步分析。它与我们过去看到的许多Android攻击相比，具有不同的攻击面和“形状”。此链中的所有3个漏洞都在制造商的定制组件中，而不是AOSP平台或Linux内核中。值得注意的是，3个漏洞中有2个是逻辑和设计漏洞，而不是内存安全。” 专家们进一步解释说，该漏洞样本针对的是运行内核为4.14.113和Exynos SOC的三星手机。这种特定的SOC常被于欧洲和非洲销售的手机使用。该漏洞依赖于针对Exynos三星手机的马里GPU驱动程序和DPU驱动程序。据悉，该样本可以追溯到2020年底，而在2020年底运行4.14.113内核的三星手机为S10、A50和A51。 在2020年底发现这些漏洞后，谷歌立即向三星报告了这些漏洞，该供应商也于2021年3月份解决了这些漏洞。谷歌没有透露监控供应商的名字，只是强调了与其他针对Android用户的活动的相似之处。 Project Zero指出，三星发布的关于这些问题的建议没有提到它们在野外的开发。报告总结道：“当已知漏洞在野外被利用时，标记对目标用户和安全行业都很重要。当在野零日漏洞未被透明披露时，我们无法使用该信息进一步保护用户，只能使用补丁分析和变体分析来了解攻击者已经了解的情况。” 经历了此次事件之后，研究人员说：“对这一漏洞链的分析为我们提供了新的见解，它让我们进一步了解攻击者是如何针对Android设备展开攻击的。这也突出了对制造商特定组件进行更多研究的必要性。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/ALP8lEK7GgpM26ExYHn9Aw 封面来源于网络，如有侵权请联系删除

据The Record报道，研究人员在宜家的智能照明系统中发现了两个漏洞，允许攻击者控制该系统并使灯泡快速闪烁，还可能导致恢复出厂设置。 两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元，通常用于照亮书架和梳妆台。 Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示，他们在2021年6月就将这两个漏洞（CVE-2022-39064和CVE-2022-39065）告知宜家。CVE-2022-39064的CVSS评分为7.1，其核心是Zigbee协议，一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。 该漏洞允许攻击者通过该协议发送一个恶意帧，使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息，灯泡就会执行出厂重置。 2021年10月底，宜家回应称，正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案，并在6月公布了CVE-2022-39064的部分补救措施。 宜家的一位发言人向媒体表示，自披露以来，该公司已与Synopsys合作，以改善其智能设备的安全和功能。该发言人表示，由于Zigbee协议的设计，所发现的问题并没有危及客户安全，攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。 Hulkko和Untinen说，虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决，但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题，但不是所有已知的畸形帧，”他们说，并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。 物联网安全公司Viakoo首席执行官Bud Broomhead解释说，像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备，这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。 他指出：“很庆幸这只是灯泡，而不是门锁、摄像机或工业控制系统，所有这些都可以通过Zigbee连接，被攻破和利用后会产生更多的破坏性后果。”   转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/346423.html 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，研究人员发现了一个严重的 Oracle 云基础设施 (OCI) 漏洞，用户可以利用该漏洞访问其他 Oracle 客户的虚拟磁盘，漏洞披露后 24 小时内就修复了。 据悉，该漏洞由 Wiz 安全专家首次发现，其研究主管 Shir Tamari 在推文中表示，甲骨文云中的每个虚拟磁盘都有一个唯一标识符（称为 OCID）。后续，Tamari 补充称，只要攻击者拥有其 Oracle 云标识符(OCID)，就可以读写任何未附加的存储卷或允许多重附加的附加存储卷，从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。 在没有足够权限的情况下使用 CLI 访问卷 从本质上讲，该漏洞的根源在于磁盘可以在没有任何明确授权的情况下通过 Oracle 云标识符 (OCID) 附加到另一个帐户中的计算实例。这意味着拥有 OCID 的攻击者可以利用 AttachMe 访问任何存储卷，从而导致数据泄露、渗漏，或者更改引导卷以获取代码执行。 除了知道目标卷的 OCID 之外，发起攻击的另一个先决条件是攻击者的实例必须与目标处于相同的可用性域 (AD) 中。 Wiz 研究员 Elad Gabay 强调，用户权限验证不足是云服务提供商中常见的错误类别，识别此类问题的最佳方法是在开发阶段对每个敏感 API 执行严格的代码审查和全面测试。 早些时候，Wiz 研究人员还发现了一个 类似的云隔离漏洞，该漏洞影响了 Azure 中的特定云服务。微软修复的这些缺陷存在于 Azure Database for PostgreSQL 灵活服务器的身份验证过程中，一旦被利用，任何 Postgres 管理员可以获得超级用户权限并访问其他客户的数据库。 值得一提的是，上个月，相同类型的 PostgreSQL 漏洞也影响了谷歌云服务。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/345399.html 封面来源于网络，如有侵权请联系删除

最新公布的法庭文件显示，马斯克指责推特欺诈，明明推特数据安全有严重漏洞，但公司却蓄意掩盖。马斯克原计划440亿美元收购推特，但现在他想结束交易。还有，2011年时推特曾就用户数据问题与FTC签署过一份协议，但推特并没有遵守该协议，马斯克认为推特对此有隐瞒也是不合理的。 马斯克一方说：“毋庸置疑，最新披露的信息显示马斯克方面有权放弃合并协议，这样做的理由有很多，相当充分。” 马斯克还强调说，按照推特前安全主管Peiter “Mudge” Zatko透露的内幕，推特明显构成欺诈，它违反了协议。 马斯克要求特拉华州法官裁定他没有义务完成交易，而推特则希望法官强迫马斯克以每股54.20美元完成收购，从10月17日开始双方将参与为期5天的审讯。 推特方面称，公司已经就Zatko的指责进行了内部调查，认定他的说法没有根据。推特还说Zatko是因为表现不佳被开除的。推特律师则说，马斯克引用了Zatko的说辞，这些指责并不能成为结束交易的理由，也没有达到欺诈的标准。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1316751.htm 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞，从用户处掠夺加密货币。 攻击事件发生不久后，General Bytes 在一份公告中表示，自 2020-12-08 版本以来，该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面，利用页面上的 URL 调用，远程创建管理员用户。 CAS CAS，Crypto Application Server 的缩写，是 General Bytes 公司旗下一款自托管产品，能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM（BATM）机器。 目前，涉及 CAS 管理界面的零日漏洞，已经在以下两个版本的服务器补丁中得到了修复： 20220531.38 20220725.22 General Bytes 强调，未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间，识别出在端口 7777 或 443 运行的 CAS 服务，随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。 之后，黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”，这时候客户向 ATM 机发送加密货币，双向 ATM 机则会向黑客钱包地址转发货币。 换句话说，攻击者主要目的是通过修改设置，将所有资金都转到其控制的数字钱包地址里。值得一提的是，目前尚不清楚有多少服务器受到此漏洞影响，以及有多少加密货币被盗。 最后，General Bytes 公司强调，自 2020 年以来，内部已经进行了多次“安全审计”，从未发现这一零日漏洞。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342610.html 封面来源于网络，如有侵权请联系删除

网络安全公司 Avast，刚刚将一个在 Google Chrome 浏览器中被积极利用（现已修复）的零日漏洞，与一家针对中东记者的以色列间谍软件制造商联系了起来。据悉，作为一家总部位于特拉维夫的黑客雇佣公司，Candiru（又称 Saito Tech）与此前被卷入丑闻的 NSO Group 非常相似，主要向政府客户提供强大的间谍软件。 （来自：Avast） 尽管 Candiru 冠冕堂皇地宣称，其软件旨在供政府与执法机构用来阻止潜在的恐怖主义和犯罪。 但研究人员发现，有关部门在利用间谍软件针对记者、不同政见者和镇压制度批评者。 去年 11 月，美政府将四家从事违反美国国家安全活动的外国公司，列入了美国商务部的制裁名单。 除了 NSO Group、Computer Security Initiative Consultancy PTE（COSEINC）和 Positive Technologies，Candiru 也榜上有名。 注入受感染网站（stylishblock[.]com）的恶意代码 Avast 表示，其在 3 月份观察到 Candiru 在利用 Chrome 零日漏洞，向土耳其、也门、巴勒斯坦的个人和黎巴嫩的记者发起了攻击，并且侵入了一家新闻机构员工使用的网站。 Avast 恶意软件研究员 Jan Vojtěšek 表示：“虽然无法确定攻击者的真实目的，但攻击追捕记者或找到泄露消息来源的做法，或对新闻自由构成威胁”。 以植入黎巴嫩新闻机构网站的 Chrome 零日漏洞为例，其旨在从受害者的浏览器中收集大约 50 个数据点。 通过分析语言、时区、屏幕信息、设备类型、浏览器插件和设备内存，来确保只有被特别针对的目标会受到损害。 找到目标后，间谍软件会利用 Chrome 零日漏洞在受害者的机器上扎根，研究人员称之为‘魔鬼舌’（DevilsTongue）。 易受攻击的 ioctl 处理程序之一 与其它此类间谍软件一样，DevilsTongue 能够窃取受害者手机上的内容 —— 包括消息、照片和通话记录，并实时跟踪受害者的位置。 Avast 于 7 月 1 日向 Google 披露了该漏洞（编号为 CVE-2022-2294），并于几天后（7 月 4 日）发布的 Chrome 103 中加以修复。 当时 Google 表示其已意识到在野外的漏洞利用，而自去年 7 月被微软和 Citizen Lab 首次曝光以来，相关调查表明该间谍软件制造商已至少针对百余名目标发起了攻击。 Avast 补充道：在去年 Citizen Lab 更新其恶意软件以躲避安全检测后，Candiru 似乎一直保持着低调，直到最近一轮攻击才又冒头。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1295411.htm 封面来源于网络，如有侵权请联系删除