D-Link 发布了一则安全公告，涉及多款报废 (EOL) 和服务终止 (EOS) 路由器型号，包括 DSR-150、DSR-150N、DSR-250 和 DSR-250N。该公告强调了一个堆栈缓冲区溢出漏洞，该漏洞可能允许未经认证的用户执行远程代码。此关键问题影响运行固件版本 3.13 至 3.17B901C 的这些传统路由器的所有硬件版本。 自 2024 年 5 月 1 日起，D-Link 不再支持或修补这些型号。根据公告，“达到 EOL/EOS 的产品不再接收设备软件更新和安全补丁，D-Link 美国公司也不再提供支持”。 报告的漏洞是堆栈缓冲区溢出，这是一个常见但严重的漏洞，可导致远程代码执行（RCE）。这使得攻击者有可能在没有验证的情况下完全控制设备。受影响的型号包括 DSR-150： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-150N：所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250N：所有硬件版本，固件版本 3.13 至 3.17B901C。 鉴于漏洞的严重性，D-Link 已声明不会为这些型号提供固件更新或补丁，因为它们的支持生命周期已经结束。 D-Link 强烈建议用户淘汰和更换这些路由器。该公司强调：“D-Link 美国公司建议退役和更换已达到 EOL/EOS 的 D-Link 设备。”继续使用不支持的设备会使网络暴露于关键漏洞，增加数据泄露的风险。 对于不确定其设备是否受影响的用户，D-Link 建议通过公告中提供的旧版网站链接检查其型号和固件版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/302053 封面来源于网络，如有侵权请联系删除

Ubuntu Server（自 21.04 版起）默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞，这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权限。 Qualys 威胁研究部门 (TRU)于上个月初发现并报告了这些漏洞，并表示这些漏洞很容易被利用，因此用户必须迅速采取行动来修复。 据信这些漏洞自 2014 年 4 月 27 日发布的needrestart 0.8引入解释器支持以来就一直存在。 Ubuntu 在一份公告中表示：“这些 needrestart 漏洞允许本地特权升级 (LPE)，这意味着本地攻击者能够获得 root 权限” ，并指出这些问题已在 3.8 版中得到解决。“这些漏洞影响 Debian、Ubuntu 和其他 Linux 发行版。” Needrestart 是一个实用程序，它可以扫描系统以确定在应用共享库更新后需要重新启动的服务，以避免整个系统重新启动。 具体来说，如果服务正在使用过时的共享库（例如在软件包更新期间替换库），它会标记服务以进行重新启动。 由于它集成到服务器映像中，因此 needrestart 设置为在 APT 操作（如安装、升级或删除，包括无人值守升级）后自动运行。其主要作用是识别在关键库更新后需要重新启动的服务，例如 C 库 (glibc)。此过程可确保服务使用最新的库版本，而无需完全重启系统，从而提高正常运行时间和性能。 通过使用最新的库及时更新服务，needrestart 对于维护 Ubuntu Server 的安全性和效率至关重要。 Qualys 威胁研究部门发现的5个漏洞： CVE-2024-48990（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 PYTHONPATH 环境变量运行 Python     解释器，从而以 root 身份执行任意代码 CVE-2024-48991（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过赢得竞争条件并诱骗 needrestart 运行自己的伪 Python 解释器，以 root     身份执行任意代码 CVE-2024-48992（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 RUBYLIB 环境变量运行 Ruby 解释器，从而以     root 身份执行任意代码 CVE-2024-11003（CVSS 评分：7.8）和CVE-2024-10224（CVSS 评分：5.3）- 这两个漏洞允许本地攻击者利用libmodule-scandeps-perl 软件包（版本 1.36 之前）中的问题以 root 身份执行任意 shell 命令 成功利用上述缺陷可以允许本地攻击者为 PYTHONPATH 或 RUBYLIB 设置特 制的环境变量，从而导致在运行 needrestart 时执行指向攻击者环境的任意代码。 Ubuntu 指出：“在 CVE-2024-10224 中，[…] 攻击者控制的输入可能导致 Module::ScanDeps Perl 模块通过 open() 一个‘讨厌的管道’（例如通过传递‘commands|’作为文件名）或通过将任意字符串传递给 eval() 来运行任意 shell 命令。” “就其本身而言，这不足以实现本地权限提升。然而，在 CVE-2024-11003 中，needrestart 将攻击者控制的输入（文件名）传递给 Module::ScanDeps，并以 root 权限触发CVE-2024-10224。CVE-2024-11003 的修复消除了 needrestart 对 Module::ScanDeps 的依赖。” 虽然强烈建议用户下载最新的补丁，Ubuntu 表示用户可以根据需要禁用解释器扫描器，重新启动配置文件作为临时缓解措施，并确保在应用更新后恢复更改。 Qualys 公司 TRU 产品经理 Saeed Abbasi 表示：“needrestart 实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限，其中 needrestart 通常以 root 用户身份运行。” “利用这些漏洞的攻击者可以获得 root 访问权限，从而损害系统完整性和安全性。” 参考漏洞公告: https://blog.qualys.com/vulnerabilities-threat-research/2024/11/19/qualys-tru-uncovers-five-local-privilege-escalation-vulnerabilities-in-needrestart https://ubuntu.com/blog/needrestart-local-privilege-escalation       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VzdXqbGwPXAfqoXZi_9mxA 封面来源于网络，如有侵权请联系删除  

流行的 Wget 下载工具中新发现的一个漏洞可能允许攻击者发起服务器端请求伪造（SSRF）攻击。 来自 JFrog 的安全研究员 Goni Golan 在 Wget 中发现了一个漏洞，Wget 是一种广泛使用的命令行工具，用于从互联网下载文件。该漏洞被追踪为 CVE-2024-10524，攻击者可利用该漏洞诱使 Wget 向内部或受限服务器发出非预期请求。 了解漏洞 该漏洞源于 Wget 对速记 URL 的支持，这种传统功能允许用户在某些情况下省略协议方案（如 “http://”）。然而，攻击者可以利用Wget对这些速记URL的处理来操纵请求的目的地。 “我们发现，当使用用户提供输入的HTTP速记格式时，可能会出现意外行为。Wget可能会向不同的主机发出FTP请求，这些主机可能是攻击者控制的主机，也可能是用户通常无法访问的受限主机。这个 SSRF 漏洞可能成为多种类型攻击的起点。 利用场景 戈兰概述了攻击者利用这一漏洞的几种方式，包括 SSRF 攻击： 通过操纵速记 URL，攻击者可以迫使 Wget 向通常无法从互联网访问的内部服务器发送请求。 网络钓鱼攻击： 攻击者可以制作恶意链接，这些链接看似指向合法网站，但实际上会将用户重定向到攻击者控制的服务器。 中间人（MitM）攻击： 攻击者可将自己置于 Wget 和目标服务器之间，拦截并可能篡改数据。 数据泄漏： 攻击者可利用漏洞获取敏感信息，如错误日志或内部主机名。 影响和补救措施 该漏洞影响包括 1.24.5 在内的所有 Wget 版本。我们建议用户更新至 1.25.0 或更高版本，其中包含对该问题的修复。 建议 更新 Wget： 更新至最新版本的 Wget，以解决该漏洞。 对用户输入进行消毒： 如果使用用户提供输入的 Wget，请仔细检查输入内容，防止恶意篡改 URL。 避免使用速记 URL： 尽可能避免使用速记 URL，并在所有 Wget 请求中明确指定协议方案。     转自安全客，原文链接：https://www.anquanke.com/post/id/302009 封面来源于网络，如有侵权请联系删除

Wordfence安全研究员披露重要信息 据Wordfence安全研究员István Márton披露，一个关键的认证绕过了漏洞被暴露在了WordPress的Really Simple Security（以前称为Really Simple SSL）插件中，如果此漏洞被利用，攻击者可以远程获得易受攻击网站的完全管理权限。 这个漏洞，被追踪为CVE-2024-10924（CVSS评分：9.8），影响插件的免费和付费版本。该软件安装在超过400万个WordPress网站上。 这个漏洞是可以脚本化的，意味着它可以被转换成大规模的自动化攻击，针对WordPress网站。 起因是一处不正确的用户检查错误处理 这个漏洞在2024年11月6日披露，在一周后发布的9.1.2版本中已被修补。可能是有被滥用的风险促使插件维护者与WordPress合作，在公开披露之前强制更新了所有运行此插件的网站。 根据Wordfence的说法，这个认证绕过漏洞存在于9.0.0至9.1.1.1版本中，起因是在一个名为“check_login_and_get_user”的函数中不正确的用户检查错误处理，添加双因素认证的一个特性做得不够安全，使得未经认证的攻击者可以在双因素认证启用时，通过一个简单的请求获得对任何用户账户的访问权限，包括管理员账户。 如果被利用，将失去所有网站管理权限 成功利用这个漏洞可能会有严重的后果，因为它可能允许恶意行为者劫持WordPress网站，并进一步将它们用于犯罪目的。 这一信息是Wordfence在透露了WPLMS学习管理系统（WordPress LMS，CVE-2024-10470，CVSS评分：9.8）中的另一个关键缺陷几天后发布的，该缺陷可能允许未经认证的威胁者读取和删除任意文件。 具体来说，4.963之前的版本由于文件路径验证和权限检查不足，这使得未经认证的攻击者能够读取和删除服务器上的任何任意文件，包括网站的wp-config.php文件。删除wp-config.php文件会使网站进入设置状态，允许攻击者通过将其连接到他们控制的数据库来发起对网站的接管。     转自Freebuf，原文链接：https://www.freebuf.com/news/415637.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，11月18日，博通发布了紧急警告，称 VMware vCenter Server 中的两个关键漏洞现在正被广泛利用。 这两个漏洞包含一个CVSS评分达9.8分的远程代码执行 （RCE） 漏洞，被跟踪为 CVE-2024-38812。该漏洞源于 vCenter Server 实现 DCE/RPC 协议时的堆溢出问题，具有网络访问权限的攻击者可以通过发送特制数据包来触发此漏洞，从而可能导致远程代码执行和整个系统受损。 第二个漏洞被跟踪为CVE-2024-38813， CVSS 评分7.5，允许攻击者通过发送恶意构建的网络数据包将权限升级到根权限。 这两个漏洞最初是由 TZL 团队的研究人员 zbl 和 srs 在中国 2024 年矩阵杯黑客大赛期间发现并报告，受到影响的版本包括 VMware vCenter Server 7.0 和 8.0 版本以及 VMware Cloud Foundation 4.x 和 5.x 版本。 11月18日，博通发布了最新安全公告，指出 CVE-2024-38812 和 CVE-2024-38813 都已在野外被积极利用。鉴于这些漏洞的严重性和主动利用，博通强烈建议使用受影响的VMware 产品要立即应用最新的安全更新。 博通于 2024 年 9 月 17 日首次发布了针对这些漏洞的补丁，但值得注意的是，该公司在10月21日再度发布了补丁更新，指出先前的修复并不完整，强烈建议用户立刻更新最新的补丁。 目前最新的受影响产品修复版本包括： VMware vCenter Server 8.0：需更新到 8.0 U3d 版本 VMware vCenter Server 7.0：需更新到 7.0 U3t 版本 VMware Cloud Foundation 5.x：将异步修补程序应用于 8.0 U3d版本 VMware Cloud Foundation 4.x：将异步修补程序应用于 7.0 U3t版本 这一事件凸显了及时应用安全更新的重要性，尤其是对于 VMware vCenter Server 等关键基础架构组件。因此建议企业组织审查自身的VMware 部署，应用必要的补丁，并监控是否有任何泄露迹象。鉴于存在远程代码执行和权限提升的可能性，任何可能已暴露的系统都应经过全面的安全评估。     转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

近日，全球网络巨头Palo Alto Networks确认旗下0Day漏洞正在被黑客利用。11月8日，Palo Alto Networks发布了一份安全通告(https://security.paloaltonetworks.com/PAN-SA-2024-0015)，警告客户PAN-OS管理界面中存在一个远程代码执行漏洞，并建议客户确保PAN-OS管理界面访问的安全性。 但随着该漏洞的曝光，Palo Alto Networks在11月15日发现已经有黑客/威胁组织正在利用该漏洞，对用户发起网络攻击，主要目标用户是那些暴露在互联网上防火墙管理界面。 目前还不清楚该漏洞如何暴露，以及受影响的企业范围。该漏洞也还没有分配CVE标识符，CVSS评分9.3分。Palo Alto Networks表示，他们认为Prisma Access和Cloud NGFW产品不受此漏洞影响。 安全措施和建议 目前，Palo Alto Networks正在开发补丁和威胁预防签名，建议客户确保只有来自可信IP地址的访问才能访问防火墙管理界面，而不是从互联网访问。公司指出，大多数防火墙已经遵循了这一Palo Alto Networks和行业的安全最佳实践。 其他受影响的产品：除了上述漏洞，美国网络安全机构CISA还表示，他们知道有三个影响Palo Alto Networks Expedition的漏洞在野外被利用。CISA警告，至少有两个影响Palo Alto Networks Expedition软件的漏洞正在被积极利用，并已将这些漏洞添加到其已知被利用漏洞(KEV)目录中，要求联邦文职行政部门机构在2024年12月5日之前应用必要的更新。 屡屡出现0Day漏洞 值得一提的是，在2024年3月，Palo Alto Networks防火墙产品也曾被曝存在严重安全漏洞，编号 CVE-2024-3400 ，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。       转自Freebuf，原文链接：https://www.freebuf.com/news/415484.html 封面来源于网络，如有侵权请联系删除

流行的 WordPress 备份插件 WP Time Capsule 存在一个严重漏洞，导致 20,000 多个网站容易被完全接管。 该漏洞（CVE-2024-8856）由安全研究员Rein Daelman发现，未经认证的攻击者可将任意文件上传到网站服务器。这意味着恶意行为者有可能注入后门、恶意软件，甚至完全控制网站。 该漏洞源于插件的 UploadHandler.php 文件缺乏文件类型验证，以及缺乏直接文件访问防护。这种危险的组合为攻击者提供了入侵易受攻击网站的直接途径。 该漏洞的 CVSS 得分为 9.8，被列为严重漏洞。这强调了网站所有者立即采取行动的紧迫性。 成功利用此漏洞可能导致 数据泄露： 攻击者可能窃取敏感的用户信息、财务数据或专有内容。 网站篡改： 恶意行为者可能会篡改网站内容，损害网站声誉和用户信任。 恶意软件传播： 网站可能被用来向毫无戒心的访问者分发恶意软件。 完全接管服务器： 攻击者可以完全控制托管网站的服务器。 WP Time Capsule 开发团队已在 1.22.22 版本中解决了这一漏洞。强烈建议所有用户立即更新到该版本。 以下是 WordPress 用户的一些基本最佳实践： 保持更新插件和主题： 定期将所有插件和主题更新到最新版本，以修补安全漏洞。 使用强大的密码： 为 WordPress 管理员账户和所有用户账户选择强大、唯一的密码。 实施双因素身份验证： 启用双因素身份验证，增加一层额外的安全性。 定期备份网站： 备份对于从安全事故或数据丢失中恢复至关重要。 选择信誉良好的插件： 只安装来源可靠、安全记录良好的插件。     转自安全客，原文链接：https://www.anquanke.com/post/id/301939 封面来源于网络，如有侵权请联系删除

在执法部门和加密侦探迅速追踪到黑客之后，去中心化金融公司 Thala Labs 追回了从其一份养殖合约中窃取的 2550 万美元流动性池代币。 Thala在11月16日的一篇文章中透露，11月15日，该公司遭遇了一个 “安全漏洞”，原因是 “与其v1养殖合约有关的一个孤立漏洞”，该漏洞允许黑客提取流动性代币。 Thala表示，它立即暂停了所有相关合约，冻结了价值1150万美元的Thala相关资产，并迅速查明了黑客的身份。 Thala 表示：“在执法部门、Seal 911、Ogle 和其他人的帮助下，我们很快就确定了漏洞利用者的身份。” 加密侦探 Ogle 说，黑客在事件发生 6 小时后交还了资金，而 Thala 则表示，他们获得了 30 万美元的赏金，以换取用户资产的全部归还。攻击者的身份细节没有披露。 Thala 强调说，“受影响的用户无需采取进一步行动，其头寸将得到 100% 的补偿。” 资料来源：Thala Labs 塔拉实验室 Thala前端的访问已恢复正常。但是，在Thala对协议代码库进行 “广泛审查 ”和重新审核之前，养殖活动仍处于暂停状态，用户无法进行押注和解押。 Thala 首席执行官亚当-卡德尔（Adam Cader）在 11 月 16 日的一篇 X 帖子中指出，这次攻击涉及 Thala 与 Move 的集成，Move 是由 Movement Labs 构建的模块化区块链网络。 “未来在Move上发生一些安全问题是不可避免的，但为什么我们都在这里建设，就是为了让这些问题发生的频率和严重程度大大降低，并且随着时间的推移，相邻的工具变得越来越强大，趋势是0。” Thala 是 Aptos layer-1 区块链上最著名的 DeFi 平台之一。 据CoinGecko称，自事件发生以来，THL代币已下跌约35%，至0.51美元。 在此次漏洞中，价值约250万美元的THL代币被盗，另有900万美元来自Thala的Move Dollar（MOD）稳定币。 与此同时，DefiLlama的数据显示，Thala被锁定的总价值从11月15日的2.4亿美元降至本文撰写时的1.956亿美元。 Thala 协议自 2023 年 4 月以来的 TVL 变化。来源：DefiLlama 资料来源：DeFiLlama 区块链安全公司CertiK报告称，10月份受害者被抢走近1.3亿美元，其中大部分来自漏洞利用。 10 月份最大的事件涉及借贷协议 Radiant Capital，损失约 5400 万美元。 网络安全公司 Hacken 的数据显示，在 2024 年第三季度的前三个月中，黑客在 28 起事件中窃取了约 4.6 亿美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/301933 封面来源于网络，如有侵权请联系删除

阿帕奇软件基金会（Apache Software Foundation）发布了阿帕奇流量服务器（Apache Traffic Server）的安全更新，解决了可能使用户遭受一系列网络攻击的三个关键漏洞。 这些漏洞影响到 9.0.0 至 9.2.5 版和 10.0.0 至 10.0.1 版，包括缓存中毒和潜在的权限升级。 CVE-2024-38479 （CVSS 7.5）： 缓存密钥插件漏洞 此漏洞允许攻击者操纵缓存密钥插件，可能导致缓存中毒攻击。 通过向服务器缓存注入恶意内容，攻击者可将用户重定向到钓鱼网站或发送恶意软件。 CVE-2024-50305 （CVSS 7.5）： 主机字段漏洞 特制的「Host」字段值可引致Apache Traffic Server 崩溃。 此阻断服务漏洞可被利用来干扰网站的可用性及影响合法用户。 CVE-2024-50306 （CVSS 9.1）： 启动时的权限升级 此高严重漏洞源于一个未检查的回传值，可能允许Apache Traffic Server在启动时保留较高的权限。 利用此漏洞，攻击者可对服务器及其数据进行重大控制。 缓解措施 Apache 软件基金会敦促所有用户立即更新其安装。 9.x 分支的用户应升级到 9.2.6 或更高版本，而运行 10.x 分支的用户应升级到 10.0.2 或更高版本。       转自安全客，原文链接：https://www.anquanke.com/post/id/301930 封面来源于网络，如有侵权请联系删除

GitLab 发布了一个关键安全更新，解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版（CE）和企业版（EE）的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞，包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。 最严重的漏洞（CVE-2024-9693）允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说：“这是一个高严重性问题（CVSS 8.5）。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。” 除了 Kubernetes 漏洞，GitLab 还修补了其他几个漏洞，包括 设备 OAuth 流量漏洞 (CVE-2024-7404)： 该漏洞可让攻击者以受害者身份获得完整的 API 访问权限。 拒绝服务 (DoS) 漏洞： 使用 Fogbugz 导入器导入恶意制作的内容可能会触发拒绝服务。 存储 XSS 漏洞 (CVE-2024-8648)： 攻击者可通过特制 URL 向分析仪表板注入恶意 JavaScript 代码。 HTML 注入漏洞 (CVE-2024-8180)： 如果未启用内容安全策略 (CSP)，不正确的输出编码可能导致跨站点脚本 (XSS) 攻击。 信息披露漏洞 (CVE-2024-10240)： 未经身份验证的用户可能会在特定情况下读取私有项目中的合并请求信息。 GitLab 敦促所有用户立即将其自主管理安装升级到最新版本。 “我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301813 封面来源于网络，如有侵权请联系删除