GitLab 修补了一个高严重性漏洞，未经身份验证的攻击者可以利用该漏洞通过跨站点脚本 (XSS) 攻击接管用户帐户。 该安全漏洞（跟踪为CVE-2024-4835）是 VS 代码编辑器（Web IDE）中的一个 XSS 弱点，它允许攻击者使用恶意制作的页面窃取受限信息。 虽然他们可以在不需要身份验证的攻击中利用此漏洞，但仍然需要用户交互，从而增加了攻击的复杂性。 GitLab发布 GitLab 社区版（CE）和企业版（EE）的 17.0.1、16.11.3 和 16.10.6 版本以修复漏洞。GitLab官方建议所有 GitLab 用户立即升级到其中一个版本。 周三，该公司还修复了其他六个中等严重程度的安全漏洞，包括通过 Kubernetes 代理服务器的跨站点请求伪造 (CSRF) (CVE-2023-7045) 和一个可能让攻击者破坏 GitLab Web 资源加载的拒绝服务漏洞 (CVE-2024-2874)。 安全公告链接：https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/ 旧账户劫持漏洞被积极利用 GitLab 是一个受黑客欢迎的攻击目标，它以托管各种类型的敏感数据而闻名，包括 API 密钥和专有代码。 如果攻击者在 CI/CD（持续集成/持续部署）环境中插入恶意代码，危及组织的存储库，那么被劫持的 GitLab 帐户可能会产生重大影响，包括供应链攻击。 正如 CISA 本月早些时候警告的那样，攻击者目前正在积极利用 GitLab 在一月份修补的另一个零点击账户劫持漏洞。安全漏洞编号为 CVE-2023-7028，允许未经身份验证的攻击者通过密码重置来接管 GitLab 帐户。 尽管 Shadowserver在 1 月份发现了超过 5,300 个易受攻击的 GitLab 实例在线暴露，目前仍有一半未修复，可访问的还2,084 个。 CISA于 5 月 1 日将 CVE-2023-7028 添加到其已知被利用漏洞目录中，要求美国联邦机构在 5 月 22 日之前的三周内保护其系统。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Iy51an0r5EXNuAHzvmXgQQ 封面来源于网络，如有侵权请联系删除

有消息称安全研究人员披露了十多个影响通用电气（GE）医疗旗下Vivid系列超声产品的安全漏洞。恶意攻击者可以利用这些漏洞篡改患者数据，甚至在某些情况下安装勒索软件。 OT安全厂商Nozomi Networks发布技术报告称：“这些漏洞可以造成多方面影响，包括在超声设备上植入勒索软件、访问和篡改存储在易受攻击设备上的患者数据等。” 这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop网页应用程序。该应用程序暴露在设备的本地主机接口上，允许用户执行管理操作。 另一个受影响的软件程序叫做EchoPAC，安装在医生的Windows工作站上，帮助他们访问多维度的超声、血管和腹部影像。 物理接触后可造成高危害 要成功利用这些漏洞，攻击者首先需要进入医院环境并与设备进行物理交互，之后他们才能利用这些漏洞获得管理员权限，执行任意代码。 在假设的攻击场景中，恶意攻击者可以通过植入勒索软件锁定Vivid T9系统，甚至窃取或篡改患者数据。 最严重的漏洞是CVE-2024-27107（CVSS评分：9.6），涉及使用硬编码凭证。研究人员发现的其他缺陷包括命令注入（CVE-2024-1628）、以不必要的权限执行（CVE-2024-27110、CVE-2020-6977）、路径遍历（CVE-2024-1630、CVE-2024-1629）以及保护机制失效（CVE-2020-6977）。 Nozomi Networks设计的漏洞利用链，通过CVE-2020-6977获取设备的本地访问权限，然后利用CVE-2024-1628实现代码执行。 Nozomi Networks表示：“为了加快攻击速度，攻击者还可以利用暴露的USB端口，插入一只恶意U盘，通过模拟键盘和鼠标，以比人类更快的速度自动执行所有必要步骤。” 或者，攻击者可以使用通过其他手段（如网络钓鱼或数据泄漏）获取的被盗VPN凭证，访问医院的内部网络，扫描易受攻击的EchoPAC设备，然后利用CVE-2024-27107获取对患者数据库的不受限制的访问，彻底破坏其机密性、完整性和可用性。 GE医疗发布了一系列公告，表示“现有的缓解措施和控制措施”将这些漏洞带来的风险降到了可接受的水平。 公告指出：“具有物理访问权限的恶意攻击者可能会使设备无法使用，但是这种情况不太可能发生。而且设备的预期用户会看到明确的被攻击迹象。该漏洞只能被具有直接物理访问权限的人利用。” 物联网漏洞频发 这次漏洞披露几周前，研究人员在医学成像软件Merge DICOM Toolkit Windows版中发现了数个安全漏洞（CVE-2024-23912、CVE-2024-23913和CVE-2024-23914）。这些漏洞可用于触发DICOM服务进入拒绝服务状态。这些问题已在这一工具库的v5.18版本中得到解决。 此外，研究人员还在西门子SIMATIC Energy Manager（EnMPro）产品中发现了最高严重性安全漏洞（CVE-2022-23450，CVSS评分：10.0）。远程攻击者可以通过发送恶意制作的对象利用该漏洞以SYSTEM权限执行任意代码。 Claroty安全研究员Noam Moshe表示：“成功利用该漏洞的攻击者可以远程执行代码，并完全控制EnMPro服务器。” 强烈建议用户更新到V7.3 Update 1或更高版本，因为之前的所有版本都包含不安全的反序列化漏洞。 集成于物联网设备中的ThroughTek Kalay平台中也曝出了安全漏洞（CVE-2023-6321到CVE-2023-6324）。攻击者可以利用这些漏洞提升权限、以root身份执行命令，并与受害设备建立连接。 罗马尼亚安全厂商Bitdefender表示：“将这些漏洞结合在一起，可以在本地网络内进行未经授权的root访问和远程代码执行，从而彻底破坏受害设备。只有在设备被本地网络探测到后才有可能实施远程代码执行。” 这些漏洞在2023年10月被披露后，于2024年4月得到了修补。这些漏洞影响了Owlet、Roku和Wyze等供应商生产的婴儿监视器和室内安全摄像头。攻击者可以将这些漏洞链接在一起，在设备上执行任意命令。 Bitdefender 补充道：“这些漏洞的影响远远超出了理论攻击的范围，因为它们直接影响依赖ThroughTek Kalay驱动设备的用户的隐私和安全。”   转自安全内参，原文链接：https://www.secrss.com/articles/66222 封面来源于网络，如有侵权请联系删除

自3 月 26 日以来，Palo Alto Networks防火墙产品受到了疑似由国家支持的黑客攻击，近日，该企业披露了黑客进行攻击所利用漏洞的更多细节。 该漏洞被追踪为 CVE-2024-3400，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。 攻击示意图 利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。 目前Palo Alto Networks已经列出了需要打补丁的PAN-OS防火墙系统版本： PAN-OS 10.2.9-h1 PAN-OS 10.2.8-h3 PAN-OS 10.2.7-h8 PAN-OS 10.2.6-h3 PAN-OS 10.2.5-h6 PAN-OS 10.2.4-h16 PAN-OS 10.2.3-h13 PAN-OS 10.2.2-h5 PAN-OS 10.2.1-h2 PAN-OS 10.2.0-h3 PAN-OS 11.0.4-h1 PAN-OS 11.0.4-h2 PAN-OS 11.0.3-h10 PAN-OS 11.0.2-h4 PAN-OS 11.0.1-h4 PAN-OS 11.0.0-h3 PAN-OS 11.1.2-h3 PAN-OS 11.1.1-h1 PAN-OS 11.1.0-h3 鉴于 CVE-2024-3400 漏洞正被积极滥用以及概念验证 （PoC） 漏洞利用代码的可用性，建议用户尽快采取措施进行修补，以防范潜在威胁。 美国网络安全和基础设施安全局 （CISA） 还将该漏洞添加到其已知利用漏洞 （KEV） 目录中，命令联邦机构在 2024 年 4 月 19 日之前保护其设备。 根据 Shadowserver 基金会共享的信息，大约 22542 台暴露于互联网的防火墙设备可能容易受到该漏洞的攻击。截至 2024 年 4 月 18 日，大多数设备位于美国、日本、印度、德国、英国、加拿大、澳大利亚、法国和中国。   转自Freebuf，原文链接：https://www.freebuf.com/news/398643.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一起重大数据泄露事件，据称影响了科技巨头微软。此次泄露将敏感的员工凭证和公司内部文件暴露到互联网上，引发了人们对组织内部数据安全协议的严重担忧。不过目前安全漏洞已得到解决。 研究人员 Can Yoleri、Murat Özfidan 和 Egemen Koçhisarlı 通过托管在 Microsoft Azure 云服务上的开放式公共存储服务器发现了所谓的 Microsoft数据泄露事件。该服务器包含与微软必应搜索引擎相关的内部信息，没有任何明显的安全措施来保护其免受未经授权的访问。 据TechCrunch报道，微软内部安全系统并未重点关注或检测到数据泄露事件，这引发了对其监控机制有效性的质疑。 该报告进一步强调，可在线访问的数据包括大量敏感信息，例如代码、脚本和配置文件，其中包含微软员工用于访问内部数据库和系统的密码、密钥和凭据。 微软泄露凭证可能被用于进一步攻击 受损的内部 Azure 服务器似乎与 Bing 搜索引擎的功能相关，并被用来存储包含敏感数据的脚本、配置和代码，例如公司员工用来访问企业数据库和系统的凭据、密码和密钥。 一名研究人员表示，微软泄露的数据可用于进一步入侵，帮助攻击者识别微软如何处理其内部资源的存储，以及在攻击活动中使用泄露的凭据。 调查团队于 2024 年 2 月用泄露的凭据向微软发出警报，微软在 3 月的第一周采取措施保护此前未受保护的内部 Azure 服务器的安全。 新闻报道称，该漏洞现已得到解决，但该事件凸显了加强网络安全措施在保护敏感数据方面的重要性。微软作为全球领先的科技公司之一，在数据保护和隐私方面面临着更严格的审查和期望。 微软泄露科技巨头一系列安全失误的最新消息 虽然内部资源泄漏的程度以及微软采取的补救措施仍不清楚，但该事件是该公司最近面临的一系列与云安全相关的安全事件的一部分。 今年 2 月，微软云软件解决方案的 Azure 组件中报告了“三个高风险漏洞”，以及一个可能允许远程代码执行 (RCE) 攻击的关键物联网设备漏洞。 去年，即 2023 年，研究人员发现微软在其发布到 Github 的代码中暴露了其企业网络的敏感凭证。同年，该公司在一次事件中面临严格审查，威胁组织 Storm-0558 成功获取了其电子邮件签名密钥，此举被广泛视为对美国政府官员之间电子邮件通信的间谍攻击。 该事件凸显了科技巨头在保护自己的内部资源和敏感数据或员工凭证免受各种形式的安全漏洞和疏忽以及周围威胁的影响方面可能面临的困难。   转自安全客，原文链接：https://www.anquanke.com/post/id/295556 封面来源于网络，如有侵权请联系删除

近日，英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞，源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。 Lighttpd是一款开源Web服务器，以轻量级、快速且高效而闻名，非常适合高流量网站，同时消耗较少的系统资源。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服务器硬件中。 漏洞潜伏六年，服务器供应链安全堪忧 安全公司Binarly的研究人员近日证实，英特尔、联想和超微（Supermicro）等公司销售的服务器硬件中存在一个潜伏长达6年的漏洞，可被黑客利用泄露关键安全信息。研究人员进一步警告，任何使用美国佐治亚州Duluth公司（AMI）或中国台湾省AETN生产的特定型号的BMC（基板管理控制器）的服务器硬件都会受到影响。 BMC是焊接在服务器主板上的微型计算机，被云计算中心（有时也包括其客户）用于远程管理庞大的服务器集群。管理员可通过BMC远程重新安装操作系统、安装和卸载应用程序，并可几乎完全控制系统——即使服务器处于关闭状态。BMC成就了业界所称的“无灯”系统管理，AMI和AETN是众多BMC制造商中较为知名的两家。 多年来，很多品牌的BMC产品都集成了存在漏洞的开源软件lighttpd，后者是一个快速轻量级的Web服务器，兼容各种硬件和软件平台。lighttpd被广泛用于各种产品，包括嵌入式设备（例如BMC），允许远程管理员通过HTTP请求远程控制服务器。 2018年，lighttpd开发人员发布了一个新版本，修复了“各种释放后利用场景”，这是一个含糊其辞的描述，实际是修复了一个可远程利用的堆越界（OOB）读取漏洞，但由于开发人员并未在更新中使用“漏洞”一词，也没有按照常规操作分配CVE漏洞编号，这导致AMI Mega RACBMC的开发人员错过了修复并未能将其集成到产品中。结果，该漏洞沿着供应链蔓延到系统供应商及其客户： Binarly研究人员表示，lighttpd的漏洞被修复后，包括AMI和ATEN在内的BMC制造商仍在使用受影响的lighttpd版本，并且这种情况持续了多年，多家服务器厂商在过去几年间继续将存在漏洞的BMC整合到硬件中。Binarly识别出其中三家服务器制造商：英特尔、联想和超微（Supermicro）。 “多年来，（lighttpd漏洞）一直存在于固件中，没有人关心更新用于BMC固件镜像的第三方组件，”Binarly研究人员写道：“这又是固件供应链管理缺乏一致性的典型案例，最新版本的固件中存在一个严重过时的第三方组件，为最终用户带来了额外的风险。估计业界还有更多使用易受攻击的lighttpd版本的服务器系统。” 操作系统会通过地址空间布局随机化(ASLR)来隐藏处理关键功能的敏感内存地址，以防止被用于软件漏洞利用。研究人员表示，虽然lighttpd只是一个中危漏洞，但是结合其他漏洞，黑客能够绕过ASLR的保护，识别负责处理关键功能的内存地址。 漏洞广泛存在但难以修复 跟踪多种服务器硬件中的各种BMC组件供应链很困难。到目前为止，Binarly已经识别出AMI的MegaRAC BMC是易受攻击的BMC之一。Binarly发现AMI从2019年到2023年期间未应用Lighttpd修复程序，导致这些年来数以万计易受远程可利用漏洞攻击的设备推出。 已知受影响设备的供应商包括英特尔和联想。Binarly公司指出，最近于2023年2月22日发布的一些英特尔系统也包含易受攻击的组件。有关ATENBMC的信息目前尚不可用。 威胁分析师根据Lighttpd漏洞对不同供应商和设备的影响，为其分配了三个内部标识符： BRLY-2024-002：英特尔M70KLP系列固件版本01.04.0030（最新）中使用的Lighttpd版本1.4.45中存在特定漏洞，影响某些英特尔服务器型号。 BRLY-2024-003：联想服务器型号HX3710、HX3710-F和HX2710-E中使用的LenovoBMC固件版本2.88.58（最新）内的Lighttpd版本1.4.35中存在特定漏洞。 BRLY-2024-004：LighttpdWeb服务器版本1.4.51之前的一般漏洞，允许从服务器的进程内存读取敏感数据。 根据Binarly的报告，英特尔和联想均表示受影响服务器型号已达到产品使用寿命（EOL），不再接收安全更新。换而言之，英特尔和联想均不计划发布修复程序，这意味着这些服务器硬件在退役之前可能仍然容易受到攻击。（超微的受影响产品仍获得支持） 更糟糕的是，Binarly声称有“大量”易受攻击且公开可用的BMC设备已达到使用寿命，并且由于缺乏补丁而将永远保持易受攻击的状态。 研究人员表示，服务器行业对该漏洞反应冷淡，未能成功联系到lighttpd开发人员和大多数受影响的服务器硬件制造商，一位AMI代表则拒绝评论漏洞。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/sUtrNIuUFq2tIo_cpYOUrQ 封面来源于网络，如有侵权请联系删除

LG 智能电视上运行的 webOS 已被披露存在多个安全漏洞，这些漏洞可被用来绕过授权并获得设备的 root 访问权限。 该调查结果来自罗马尼亚网络安全公司 Bitdefender，该公司于 2023 年 11 月发现并报告了这些缺陷。LG 在 2024 年 3 月 22 日发布的更新中修复了这些问题。 这些漏洞从 CVE-2023-6317 到 CVE-2023-6320 进行跟踪，影响以下 webOS 版本 – 在 LG43UM7000PLA 上运行的 webOS 4.9.7 – 5.30.40 在 OLED55CXPUA 上运行的webOS 5.5.0 – 04.50.51  在 OLED48C1PUB 上运行的webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50  在 OLED55A23LA 上运行的webOS 7.3.1-43 (mullet-mebin) – 03.33.85 其缺点简述如下： CVE-2023-6317 ：该漏洞允许攻击者绕过 PIN 验证并向电视机添加特权用户配置文件，且无需用户交互 CVE-2023-6318 ：该漏洞允许攻击者提升权限并获得 root 访问权限以控制设备 CVE-2023-6319 ：该漏洞允许通过操纵负责显示音乐歌词的名为 asm 的库来注入操作系统命令 CVE-2023-6320 ：该漏洞允许通过操纵 com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点来注入经过身份验证的命令的漏洞 成功利用这些漏洞可能使攻击者获得设备的更高权限。进一步地，该设备可能与 CVE-2023-6318 和 CVE-2023-6319 相关联，进而获取根访问权限，或者与 CVE-2023-6320 相关联，以 dbus 用户身份运行任意命令。   转自安全客，原文链接：https://www.anquanke.com/post/id/295449 封面来源于网络，如有侵权请联系删除

包括 Volt Typhoon 在内的多个黑客组织针对 IT 巨头 Ivanti 的三个漏洞进行网络犯罪活动。 美国网络安全和基础设施安全局 (CISA) 和多家世界领先的网络安全机构已发布有关这些漏洞的警告（标记为 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893），因为这些漏洞存在于世界各地的政府网络。 在周四发布的一份报告中，谷歌旗下的安全公司 Mandiant 表示，它正在跟踪利用这些漏洞的“多个活动集群”，这些漏洞影响了 Ivanti Connect Secure 和 Ivanti Policy Secure 网关。 研究人员表示，二月份，他们开始追踪一个被认为是 Volt Typhoon 的组织，该组织与 TAG-87 和 BRONZE SILHOUETTE 重叠，目标是美国的能源和国防部门。另外四个黑客组织自Ivanti 于 1 月 10 日公开披露以来也被发现利用这些漏洞。 “Mandiant 发现利用 CVE-2023-46805 和 CVE-2024-21887 进行经济动机的攻击者，这些攻击者可能会进行加密货币挖矿等操作。”谷歌旗下的安全公司Mandiant在报告中表示：发现五个不同的黑客组织利用这些漏洞的网络犯罪活动。 SPAWN 恶意软件家族图 该报告重点关注“五个黑客集群”，但只有一个（他们称之为 UNC5221）在 Ivanti 披露之前利用了 CVE-2023-46805 和 CVE-2024-21887。 UNC5330攻击路径图 Mandiant 表示，尚未发现任何 Volt Typhoon 成功入侵 Ivanti Connect Secure 的实例。 “该集群的活动于 2023 年 12 月开始，重点关注 Citrix Netscaler ADC，然后在2024年 1 月中旬公布详细信息后转向关注 Ivanti Connect Secure 设备。”他们说。“我们对学术、能源、国防和卫生部门进行了调查，这与 Volt Typhoon 过去对关键基础设施的兴趣是一致的。” 其他组织如果成功入侵一个组织，就会使用各种恶意软件，包括名为 TERRIBLETEA、PHANTOMNET、TONERJAM、SPAWNSNAIL、SPAWNMOLE 等的 Mandiant 恶意软件家族。 在事件调查过程中，Mandiant 发现了四个不同的恶意软件系列，它认为这些恶意软件系列被一起使用来创建“隐秘且持久”的后门，从而实现长期访问和避免检测。 黑客利用入侵来深入受害者网络，通常会继续攻击 Microsoft 和 VMware 的工具。 目前所有三个漏洞的补丁均已推出。Mandiant 报告发布前一天，Ivanti 首席执行官承诺对公司运营进行一系列变革，此前数月发生了影响世界各国政府的引人注目的事件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/khSEh7IJTdkZuvovMmTPkg 封面来源于网络，如有侵权请联系删除

根据安全公司 Defiant 的建议，攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。 该漏洞编号为 CVE-2024-1852，是输入清理和输出转义不充分造成的结果，允许攻击者创建将恶意脚本存储为用户 IP 地址值的帐户。 攻击者可以使用 WP-Members 会员资格的用户注册功能来填写并提交注册表，然后使用代理拦截注册请求，并修改它以包含 X-Forwarded-For 标头，其中包含脚本标记中的恶意负载，Defiant 的Wordfence研究团队表示。 问题是，如果请求中存在 X-Forwarded-For 标头，则插件将使用其值来存储依赖注册表单的任何用户的 IP 地址。 警报称： “由于 HTTP 标头可以被操纵，并且输入未经过净化，因此用户可以提供任何值，包括将存储为用户 IP 的恶意 Web 脚本。” 恶意脚本存储在用户的配置文件中，如果管理员编辑或查看用户帐户，则负载将包含在页面加载时生成的源代码中。 Wordfence 补充道：“重要的是要了解，此恶意代码将在管理员浏览器会话的上下文中执行，并可用于创建恶意用户帐户、将网站访问者重定向到其他恶意网站并执行其他恶意操作。” 在版本 3.4.9.2 中包含部分修复后，WP-Members 会员版本 3.4.9.3 修复了该漏洞。建议用户尽快更新其安装。 WP-Members是一个用户会员插件，拥有超过 60,000 个活跃安装，允许网站所有者轻松设置和管理用户注册、登录和配置文件、设置限制等。   转自安全客，原文链接：https://www.anquanke.com/post/id/295277 封面来源于网络，如有侵权请联系删除

根据瑞士IT安全评估公司Pentagrid的报告，德国以及其他欧洲国家的宜必思快捷酒店存在一个自助登记亭漏洞，可能导致键盘代码被暴露，从而使得入住房间的安全受到影响。 该漏洞首次于2023年底被Pentagrid的黑客团队在德国一家宜必思快捷酒店的自助入住终端中发现，但他们认为这一漏洞可能存在于其他宜必思快捷酒店中。 宜必思快捷品牌隶属于法国酒店业巨头雅高集团。据该公司网站称，宜必思快捷酒店在 20 个国家/地区拥有 600 家酒店。 根据Accor的通知，他们已经向受影响的设备推出了补丁，并在一个月内通知了Pentagrid。 受影响的自助服务终端允许宜必思快捷酒店的顾客自助登记入驻。原本只需输入预订ID就能拿到房间号和密码，但Pentagrid发现，输入一串特殊符号后，系统会列出所有预订，并显示房间号和密码。这些密码在客人入住期间都有效，所以攻击者有可能利用这个漏洞进入客人的房间。 安全公司的研究人员认为，这个问题可能是因为供应商忘记了关闭一个功能或者测试过程中出现了问题，而不是特意设计的。他们在谷歌上搜索了宜必思快捷酒店登记入住亭的图片，找到了德国和法国等地的数十个酒店的照片。但目前还不清楚哪个公司生产的信息亭存在问题。 攻击者要利用这个漏洞，需要亲自到达目标终端，并且在夜间设置设备以允许自助服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/295295 封面来源于网络，如有侵权请联系删除

德国联邦信息安全办公室 (BSI) 发布警报，称该国至少 17,000 台 Microsoft Exchange 服务器容易受到一个或多个严重漏洞的影响。 BSI 还补充说，有大量规模相当的 Exchange 服务器存在潜在漏洞，但数量未报告。 BSI 敦促运行易受攻击实例的运营商安装可用的安全更新并安全地配置它们。 网络犯罪分子和APT组织利用众多漏洞进行恶意活动，包括恶意软件活动和网络间谍活动。 大多数受影响的组织是学校和大学等教育机构、诊所和医生诊所等医疗机构、护理服务机构、法律和税务咨询公司、地方政府和众多中型企业。 列出的服务器中有 12% 正在运行不再受支持的 Exchange Server 版本，所有服务器中约有 25% 使用缺乏安全补丁的 Exchange 2016 和 2019。 “目前，德国大约 45,000 台 Microsoft Exchange 服务器可以不受限制地通过 Internet 访问。根据 BSI 目前的调查结果，其中大约 12% 已经过时，微软已不再为其提供安全更新。大约 25% 的服务器运行 Exchange 2016 和 2019，补丁版本已过时。在这两种情况下，服务器都容易受到几个严重漏洞的影响。” BSI 发布的警报警告说：“这意味着至少有 37% 的可通过 Internet 公开访问的 Microsoft Exchange 服务器容易受到攻击。” 德国机构还对其余 48% 的 Exchange 服务器发出警告，目前尚不清楚它们是否已针对最近披露的CVE-2024-21410漏洞进行了修补。 编号CVE-2024-21410的漏洞是一个安全功能绕过漏洞，攻击者可利用该漏洞绕过 SmartScreen 检测并注入代码以获得潜在的代码执行权限，这可能会导致部分数据泄露、系统可用性不足或两者兼而有之。 “攻击者可以利用 NTLM 凭据泄露类型漏洞瞄准 NTLM 客户端（例如 Outlook）。然后，泄露的凭据可以针对 Exchange 服务器进行中继，以获得受害者客户端的权限，并代表受害者在 Exchange 服务器上执行操作。 有关 Exchange Server 对身份验证扩展保护 (EPA) 支持的详细信息，请参阅 在 Exchange Server 中配置 Windows 扩展保护。”微软发布的公告指出。 微软通过发布 2024 年 2 月的补丁安全更新解决了这个问题。 2024 年 2 月，美国网络安全和基础设施安全局 (CISA) 将此漏洞添加到其已知可利用漏洞 (KEV) 目录中。微软还更新了其公告，将该漏洞标记为在野外被积极利用。 2024 年 2 月 17 日，Shadowserver 研究人员发现了大约 97K 个易受攻击或可能易受攻击的版本（有漏洞的版本，但可能已应用缓解措施）。 在 97,000 台服务器中，有 28,500 台已被验证容易受到 CVE-2024-21410 的攻击。这些服务器大部分位于德国，其次是美国。 德国目前托管着大多数易受攻击的服务器（19,746 台），其次是美国（17,241 台）。 “德国有数以万计的此类相关软件存在漏洞，这一事实绝不能发生。公司、组织和当局不必要地危及他们的 IT 系统，从而危及他们的附加值、他们的服务或他们自己和第三方的数据，这些数据可能是高度敏感的。网络安全最终必须提上议程。迫切需要采取行动！” BSI 主席克劳迪娅·普拉特纳 (Claudia Plattner) 说道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vzRp1_urC4xG9R3L0AFn1Q 封面来源于网络，如有侵权请联系删除