发现该漏洞的研究人员 Morphisec 警告说，微软在2024 年 6 月补丁日更新中解决的一个漏洞可能会被利用来实现无需用户交互的远程代码执行 (RCE)。 微软在其公告中表示，该安全漏洞编号为CVE-2024-30103（CVSS 评分为 8.8），可让攻击者绕过 Outlook 注册表阻止列表并创建恶意 DLL 文件。 微软安全公告指出：“预览窗格是一种攻击媒介”，并补充说攻击复杂性较低，并且可以通过网络进行利用。Outlook 2016、Office LTSC 2021、365 Apps for Enterprise 和 Office 2019 均受到影响。 尽管微软将该漏洞评定为“重要”，但发现该漏洞的 Morphisec 研究员却认为该漏洞为“危急”，并警告称攻击者可能很快就会开始利用该漏洞，因为它不需要用户交互。 “相反，当受影响的电子邮件被打开时，执行就开始了。这对于使用 Microsoft Outlook 自动打开电子邮件功能的帐户来说尤其危险。”Morphisec 研究员指出。 Morphisec 表示，RCE 漏洞可能被利用来窃取数据、未经授权访问系统以及执行其他恶意活动。 Morphisec 补充道：“此 Microsoft Outlook 漏洞可以在用户之间传播，无需点击即可执行。” 据该网络安全公司称，利用此零点击漏洞非常简单，这使得它在初始访问时容易被大规模利用。 Morphisec 说：“一旦攻击者成功利用此漏洞，他们就可以以与用户相同的权限执行任意代码，从而可能导致整个系统被入侵。” Morphisec 研究员计划在今年夏天的 DEF CON 会议上发布技术细节和概念验证（PoC）漏洞。 建议用户尽快更新 Outlook 客户端。据了解，攻击者以前曾利用零点击 Outlook 漏洞进行攻击。 周二，微软发布了针对其产品中十多个远程代码执行漏洞的补丁，其中包括微软消息队列 (MSMQ) 中的一个严重漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6CWP3JOlUHc3Mh6M9Zsg7w 封面来源于网络，如有侵权请联系删除

疑似国家级黑客入侵了纽交所母公司的VPN设备，试图窃取该设备上的用户账号信息，以进一步渗透内网；该公司评估事件影响极小，但SEC认为其作为市场关键主体，未能及时上报事件，以此处罚1000万美元。 安全内参5月23日消息，美国洲际交易所（ICE）因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞，遭美国证券交易委员会（SEC）指控，需支付1000万美元（约合人民币7245万元）罚款。 洲际交易所是一家位列《财富》500强榜单的美国公司，在全球范围内拥有并经营多家金融交易所和结算所，包括纽约证券交易所。2023年，该公司雇佣了超过1.3万名员工，报告总收入为99.03亿美元。 美国《监管系统合规性和完整性》（Regulation SCI）法规要求，如公司发现入侵等安全事件，必须立即通知SEC，并在24小时内提供更新，除非他们确定事件对其业务或市场参与者的影响微乎其微。 SEC表示：“被告受Reg SCI监管，但却未能按要求通知SEC有关入侵事件。相反，委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。” “SEC在命令中指控，洲际交易所足足花了四天时间评估事件影响，得出内部结论，认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中，每一秒都很重要，四天过于漫长。” 洲际交易所于2021年4月15日发现了这一事件。此前，第三方通知洲际交易所，可能发生了与其VPN设备中未知漏洞有关的系统入侵。 疑为国家级黑客入侵 后续调查发现，一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码，用于远程访问洲际交易所的企业网络。 SEC的命令显示：“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码，试图窃取该设备处理的信息，包括员工姓名、密码和多因素认证代码。利用这些数据，威胁行为者或能访问内部企业网络。” 洲际交易所的安全团队发现证据表明，威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”，但是他们依然确定攻击者只访问了一台被入侵的VPN设备。 SEC表示，洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞，违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误，洲际交易所子公司未能正确评估入侵情况，并未履行Reg SCI规定的披露义务。 洲际交易所及其子公司同意接受SEC的命令，承认子公司违反了Regulation SCI的通知规定，且这些违规行为系洲际交易所所致。 对于SEC的调查结果，洲际交易所及其子公司既未承认也未否认，表示将按SEC禁止令的规定，不再违反Reg SCI法规，并支付1000万美元民事罚款。   转自安全内参，原文链接：https://www.secrss.com/articles/66426 封面来源于网络，如有侵权请联系删除

GitLab 修补了一个高严重性漏洞，未经身份验证的攻击者可以利用该漏洞通过跨站点脚本 (XSS) 攻击接管用户帐户。 该安全漏洞（跟踪为CVE-2024-4835）是 VS 代码编辑器（Web IDE）中的一个 XSS 弱点，它允许攻击者使用恶意制作的页面窃取受限信息。 虽然他们可以在不需要身份验证的攻击中利用此漏洞，但仍然需要用户交互，从而增加了攻击的复杂性。 GitLab发布 GitLab 社区版（CE）和企业版（EE）的 17.0.1、16.11.3 和 16.10.6 版本以修复漏洞。GitLab官方建议所有 GitLab 用户立即升级到其中一个版本。 周三，该公司还修复了其他六个中等严重程度的安全漏洞，包括通过 Kubernetes 代理服务器的跨站点请求伪造 (CSRF) (CVE-2023-7045) 和一个可能让攻击者破坏 GitLab Web 资源加载的拒绝服务漏洞 (CVE-2024-2874)。 安全公告链接：https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/ 旧账户劫持漏洞被积极利用 GitLab 是一个受黑客欢迎的攻击目标，它以托管各种类型的敏感数据而闻名，包括 API 密钥和专有代码。 如果攻击者在 CI/CD（持续集成/持续部署）环境中插入恶意代码，危及组织的存储库，那么被劫持的 GitLab 帐户可能会产生重大影响，包括供应链攻击。 正如 CISA 本月早些时候警告的那样，攻击者目前正在积极利用 GitLab 在一月份修补的另一个零点击账户劫持漏洞。安全漏洞编号为 CVE-2023-7028，允许未经身份验证的攻击者通过密码重置来接管 GitLab 帐户。 尽管 Shadowserver在 1 月份发现了超过 5,300 个易受攻击的 GitLab 实例在线暴露，目前仍有一半未修复，可访问的还2,084 个。 CISA于 5 月 1 日将 CVE-2023-7028 添加到其已知被利用漏洞目录中，要求美国联邦机构在 5 月 22 日之前的三周内保护其系统。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Iy51an0r5EXNuAHzvmXgQQ 封面来源于网络，如有侵权请联系删除

有消息称安全研究人员披露了十多个影响通用电气（GE）医疗旗下Vivid系列超声产品的安全漏洞。恶意攻击者可以利用这些漏洞篡改患者数据，甚至在某些情况下安装勒索软件。 OT安全厂商Nozomi Networks发布技术报告称：“这些漏洞可以造成多方面影响，包括在超声设备上植入勒索软件、访问和篡改存储在易受攻击设备上的患者数据等。” 这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop网页应用程序。该应用程序暴露在设备的本地主机接口上，允许用户执行管理操作。 另一个受影响的软件程序叫做EchoPAC，安装在医生的Windows工作站上，帮助他们访问多维度的超声、血管和腹部影像。 物理接触后可造成高危害 要成功利用这些漏洞，攻击者首先需要进入医院环境并与设备进行物理交互，之后他们才能利用这些漏洞获得管理员权限，执行任意代码。 在假设的攻击场景中，恶意攻击者可以通过植入勒索软件锁定Vivid T9系统，甚至窃取或篡改患者数据。 最严重的漏洞是CVE-2024-27107（CVSS评分：9.6），涉及使用硬编码凭证。研究人员发现的其他缺陷包括命令注入（CVE-2024-1628）、以不必要的权限执行（CVE-2024-27110、CVE-2020-6977）、路径遍历（CVE-2024-1630、CVE-2024-1629）以及保护机制失效（CVE-2020-6977）。 Nozomi Networks设计的漏洞利用链，通过CVE-2020-6977获取设备的本地访问权限，然后利用CVE-2024-1628实现代码执行。 Nozomi Networks表示：“为了加快攻击速度，攻击者还可以利用暴露的USB端口，插入一只恶意U盘，通过模拟键盘和鼠标，以比人类更快的速度自动执行所有必要步骤。” 或者，攻击者可以使用通过其他手段（如网络钓鱼或数据泄漏）获取的被盗VPN凭证，访问医院的内部网络，扫描易受攻击的EchoPAC设备，然后利用CVE-2024-27107获取对患者数据库的不受限制的访问，彻底破坏其机密性、完整性和可用性。 GE医疗发布了一系列公告，表示“现有的缓解措施和控制措施”将这些漏洞带来的风险降到了可接受的水平。 公告指出：“具有物理访问权限的恶意攻击者可能会使设备无法使用，但是这种情况不太可能发生。而且设备的预期用户会看到明确的被攻击迹象。该漏洞只能被具有直接物理访问权限的人利用。” 物联网漏洞频发 这次漏洞披露几周前，研究人员在医学成像软件Merge DICOM Toolkit Windows版中发现了数个安全漏洞（CVE-2024-23912、CVE-2024-23913和CVE-2024-23914）。这些漏洞可用于触发DICOM服务进入拒绝服务状态。这些问题已在这一工具库的v5.18版本中得到解决。 此外，研究人员还在西门子SIMATIC Energy Manager（EnMPro）产品中发现了最高严重性安全漏洞（CVE-2022-23450，CVSS评分：10.0）。远程攻击者可以通过发送恶意制作的对象利用该漏洞以SYSTEM权限执行任意代码。 Claroty安全研究员Noam Moshe表示：“成功利用该漏洞的攻击者可以远程执行代码，并完全控制EnMPro服务器。” 强烈建议用户更新到V7.3 Update 1或更高版本，因为之前的所有版本都包含不安全的反序列化漏洞。 集成于物联网设备中的ThroughTek Kalay平台中也曝出了安全漏洞（CVE-2023-6321到CVE-2023-6324）。攻击者可以利用这些漏洞提升权限、以root身份执行命令，并与受害设备建立连接。 罗马尼亚安全厂商Bitdefender表示：“将这些漏洞结合在一起，可以在本地网络内进行未经授权的root访问和远程代码执行，从而彻底破坏受害设备。只有在设备被本地网络探测到后才有可能实施远程代码执行。” 这些漏洞在2023年10月被披露后，于2024年4月得到了修补。这些漏洞影响了Owlet、Roku和Wyze等供应商生产的婴儿监视器和室内安全摄像头。攻击者可以将这些漏洞链接在一起，在设备上执行任意命令。 Bitdefender 补充道：“这些漏洞的影响远远超出了理论攻击的范围，因为它们直接影响依赖ThroughTek Kalay驱动设备的用户的隐私和安全。”   转自安全内参，原文链接：https://www.secrss.com/articles/66222 封面来源于网络，如有侵权请联系删除

自3 月 26 日以来，Palo Alto Networks防火墙产品受到了疑似由国家支持的黑客攻击，近日，该企业披露了黑客进行攻击所利用漏洞的更多细节。 该漏洞被追踪为 CVE-2024-3400，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。 攻击示意图 利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。 目前Palo Alto Networks已经列出了需要打补丁的PAN-OS防火墙系统版本： PAN-OS 10.2.9-h1 PAN-OS 10.2.8-h3 PAN-OS 10.2.7-h8 PAN-OS 10.2.6-h3 PAN-OS 10.2.5-h6 PAN-OS 10.2.4-h16 PAN-OS 10.2.3-h13 PAN-OS 10.2.2-h5 PAN-OS 10.2.1-h2 PAN-OS 10.2.0-h3 PAN-OS 11.0.4-h1 PAN-OS 11.0.4-h2 PAN-OS 11.0.3-h10 PAN-OS 11.0.2-h4 PAN-OS 11.0.1-h4 PAN-OS 11.0.0-h3 PAN-OS 11.1.2-h3 PAN-OS 11.1.1-h1 PAN-OS 11.1.0-h3 鉴于 CVE-2024-3400 漏洞正被积极滥用以及概念验证 （PoC） 漏洞利用代码的可用性，建议用户尽快采取措施进行修补，以防范潜在威胁。 美国网络安全和基础设施安全局 （CISA） 还将该漏洞添加到其已知利用漏洞 （KEV） 目录中，命令联邦机构在 2024 年 4 月 19 日之前保护其设备。 根据 Shadowserver 基金会共享的信息，大约 22542 台暴露于互联网的防火墙设备可能容易受到该漏洞的攻击。截至 2024 年 4 月 18 日，大多数设备位于美国、日本、印度、德国、英国、加拿大、澳大利亚、法国和中国。   转自Freebuf，原文链接：https://www.freebuf.com/news/398643.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一起重大数据泄露事件，据称影响了科技巨头微软。此次泄露将敏感的员工凭证和公司内部文件暴露到互联网上，引发了人们对组织内部数据安全协议的严重担忧。不过目前安全漏洞已得到解决。 研究人员 Can Yoleri、Murat Özfidan 和 Egemen Koçhisarlı 通过托管在 Microsoft Azure 云服务上的开放式公共存储服务器发现了所谓的 Microsoft数据泄露事件。该服务器包含与微软必应搜索引擎相关的内部信息，没有任何明显的安全措施来保护其免受未经授权的访问。 据TechCrunch报道，微软内部安全系统并未重点关注或检测到数据泄露事件，这引发了对其监控机制有效性的质疑。 该报告进一步强调，可在线访问的数据包括大量敏感信息，例如代码、脚本和配置文件，其中包含微软员工用于访问内部数据库和系统的密码、密钥和凭据。 微软泄露凭证可能被用于进一步攻击 受损的内部 Azure 服务器似乎与 Bing 搜索引擎的功能相关，并被用来存储包含敏感数据的脚本、配置和代码，例如公司员工用来访问企业数据库和系统的凭据、密码和密钥。 一名研究人员表示，微软泄露的数据可用于进一步入侵，帮助攻击者识别微软如何处理其内部资源的存储，以及在攻击活动中使用泄露的凭据。 调查团队于 2024 年 2 月用泄露的凭据向微软发出警报，微软在 3 月的第一周采取措施保护此前未受保护的内部 Azure 服务器的安全。 新闻报道称，该漏洞现已得到解决，但该事件凸显了加强网络安全措施在保护敏感数据方面的重要性。微软作为全球领先的科技公司之一，在数据保护和隐私方面面临着更严格的审查和期望。 微软泄露科技巨头一系列安全失误的最新消息 虽然内部资源泄漏的程度以及微软采取的补救措施仍不清楚，但该事件是该公司最近面临的一系列与云安全相关的安全事件的一部分。 今年 2 月，微软云软件解决方案的 Azure 组件中报告了“三个高风险漏洞”，以及一个可能允许远程代码执行 (RCE) 攻击的关键物联网设备漏洞。 去年，即 2023 年，研究人员发现微软在其发布到 Github 的代码中暴露了其企业网络的敏感凭证。同年，该公司在一次事件中面临严格审查，威胁组织 Storm-0558 成功获取了其电子邮件签名密钥，此举被广泛视为对美国政府官员之间电子邮件通信的间谍攻击。 该事件凸显了科技巨头在保护自己的内部资源和敏感数据或员工凭证免受各种形式的安全漏洞和疏忽以及周围威胁的影响方面可能面临的困难。   转自安全客，原文链接：https://www.anquanke.com/post/id/295556 封面来源于网络，如有侵权请联系删除

近日，英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞，源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。 Lighttpd是一款开源Web服务器，以轻量级、快速且高效而闻名，非常适合高流量网站，同时消耗较少的系统资源。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服务器硬件中。 漏洞潜伏六年，服务器供应链安全堪忧 安全公司Binarly的研究人员近日证实，英特尔、联想和超微（Supermicro）等公司销售的服务器硬件中存在一个潜伏长达6年的漏洞，可被黑客利用泄露关键安全信息。研究人员进一步警告，任何使用美国佐治亚州Duluth公司（AMI）或中国台湾省AETN生产的特定型号的BMC（基板管理控制器）的服务器硬件都会受到影响。 BMC是焊接在服务器主板上的微型计算机，被云计算中心（有时也包括其客户）用于远程管理庞大的服务器集群。管理员可通过BMC远程重新安装操作系统、安装和卸载应用程序，并可几乎完全控制系统——即使服务器处于关闭状态。BMC成就了业界所称的“无灯”系统管理，AMI和AETN是众多BMC制造商中较为知名的两家。 多年来，很多品牌的BMC产品都集成了存在漏洞的开源软件lighttpd，后者是一个快速轻量级的Web服务器，兼容各种硬件和软件平台。lighttpd被广泛用于各种产品，包括嵌入式设备（例如BMC），允许远程管理员通过HTTP请求远程控制服务器。 2018年，lighttpd开发人员发布了一个新版本，修复了“各种释放后利用场景”，这是一个含糊其辞的描述，实际是修复了一个可远程利用的堆越界（OOB）读取漏洞，但由于开发人员并未在更新中使用“漏洞”一词，也没有按照常规操作分配CVE漏洞编号，这导致AMI Mega RACBMC的开发人员错过了修复并未能将其集成到产品中。结果，该漏洞沿着供应链蔓延到系统供应商及其客户： Binarly研究人员表示，lighttpd的漏洞被修复后，包括AMI和ATEN在内的BMC制造商仍在使用受影响的lighttpd版本，并且这种情况持续了多年，多家服务器厂商在过去几年间继续将存在漏洞的BMC整合到硬件中。Binarly识别出其中三家服务器制造商：英特尔、联想和超微（Supermicro）。 “多年来，（lighttpd漏洞）一直存在于固件中，没有人关心更新用于BMC固件镜像的第三方组件，”Binarly研究人员写道：“这又是固件供应链管理缺乏一致性的典型案例，最新版本的固件中存在一个严重过时的第三方组件，为最终用户带来了额外的风险。估计业界还有更多使用易受攻击的lighttpd版本的服务器系统。” 操作系统会通过地址空间布局随机化(ASLR)来隐藏处理关键功能的敏感内存地址，以防止被用于软件漏洞利用。研究人员表示，虽然lighttpd只是一个中危漏洞，但是结合其他漏洞，黑客能够绕过ASLR的保护，识别负责处理关键功能的内存地址。 漏洞广泛存在但难以修复 跟踪多种服务器硬件中的各种BMC组件供应链很困难。到目前为止，Binarly已经识别出AMI的MegaRAC BMC是易受攻击的BMC之一。Binarly发现AMI从2019年到2023年期间未应用Lighttpd修复程序，导致这些年来数以万计易受远程可利用漏洞攻击的设备推出。 已知受影响设备的供应商包括英特尔和联想。Binarly公司指出，最近于2023年2月22日发布的一些英特尔系统也包含易受攻击的组件。有关ATENBMC的信息目前尚不可用。 威胁分析师根据Lighttpd漏洞对不同供应商和设备的影响，为其分配了三个内部标识符： BRLY-2024-002：英特尔M70KLP系列固件版本01.04.0030（最新）中使用的Lighttpd版本1.4.45中存在特定漏洞，影响某些英特尔服务器型号。 BRLY-2024-003：联想服务器型号HX3710、HX3710-F和HX2710-E中使用的LenovoBMC固件版本2.88.58（最新）内的Lighttpd版本1.4.35中存在特定漏洞。 BRLY-2024-004：LighttpdWeb服务器版本1.4.51之前的一般漏洞，允许从服务器的进程内存读取敏感数据。 根据Binarly的报告，英特尔和联想均表示受影响服务器型号已达到产品使用寿命（EOL），不再接收安全更新。换而言之，英特尔和联想均不计划发布修复程序，这意味着这些服务器硬件在退役之前可能仍然容易受到攻击。（超微的受影响产品仍获得支持） 更糟糕的是，Binarly声称有“大量”易受攻击且公开可用的BMC设备已达到使用寿命，并且由于缺乏补丁而将永远保持易受攻击的状态。 研究人员表示，服务器行业对该漏洞反应冷淡，未能成功联系到lighttpd开发人员和大多数受影响的服务器硬件制造商，一位AMI代表则拒绝评论漏洞。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/sUtrNIuUFq2tIo_cpYOUrQ 封面来源于网络，如有侵权请联系删除

LG 智能电视上运行的 webOS 已被披露存在多个安全漏洞，这些漏洞可被用来绕过授权并获得设备的 root 访问权限。 该调查结果来自罗马尼亚网络安全公司 Bitdefender，该公司于 2023 年 11 月发现并报告了这些缺陷。LG 在 2024 年 3 月 22 日发布的更新中修复了这些问题。 这些漏洞从 CVE-2023-6317 到 CVE-2023-6320 进行跟踪，影响以下 webOS 版本 – 在 LG43UM7000PLA 上运行的 webOS 4.9.7 – 5.30.40 在 OLED55CXPUA 上运行的webOS 5.5.0 – 04.50.51  在 OLED48C1PUB 上运行的webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50  在 OLED55A23LA 上运行的webOS 7.3.1-43 (mullet-mebin) – 03.33.85 其缺点简述如下： CVE-2023-6317 ：该漏洞允许攻击者绕过 PIN 验证并向电视机添加特权用户配置文件，且无需用户交互 CVE-2023-6318 ：该漏洞允许攻击者提升权限并获得 root 访问权限以控制设备 CVE-2023-6319 ：该漏洞允许通过操纵负责显示音乐歌词的名为 asm 的库来注入操作系统命令 CVE-2023-6320 ：该漏洞允许通过操纵 com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点来注入经过身份验证的命令的漏洞 成功利用这些漏洞可能使攻击者获得设备的更高权限。进一步地，该设备可能与 CVE-2023-6318 和 CVE-2023-6319 相关联，进而获取根访问权限，或者与 CVE-2023-6320 相关联，以 dbus 用户身份运行任意命令。   转自安全客，原文链接：https://www.anquanke.com/post/id/295449 封面来源于网络，如有侵权请联系删除

包括 Volt Typhoon 在内的多个黑客组织针对 IT 巨头 Ivanti 的三个漏洞进行网络犯罪活动。 美国网络安全和基础设施安全局 (CISA) 和多家世界领先的网络安全机构已发布有关这些漏洞的警告（标记为 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893），因为这些漏洞存在于世界各地的政府网络。 在周四发布的一份报告中，谷歌旗下的安全公司 Mandiant 表示，它正在跟踪利用这些漏洞的“多个活动集群”，这些漏洞影响了 Ivanti Connect Secure 和 Ivanti Policy Secure 网关。 研究人员表示，二月份，他们开始追踪一个被认为是 Volt Typhoon 的组织，该组织与 TAG-87 和 BRONZE SILHOUETTE 重叠，目标是美国的能源和国防部门。另外四个黑客组织自Ivanti 于 1 月 10 日公开披露以来也被发现利用这些漏洞。 “Mandiant 发现利用 CVE-2023-46805 和 CVE-2024-21887 进行经济动机的攻击者，这些攻击者可能会进行加密货币挖矿等操作。”谷歌旗下的安全公司Mandiant在报告中表示：发现五个不同的黑客组织利用这些漏洞的网络犯罪活动。 SPAWN 恶意软件家族图 该报告重点关注“五个黑客集群”，但只有一个（他们称之为 UNC5221）在 Ivanti 披露之前利用了 CVE-2023-46805 和 CVE-2024-21887。 UNC5330攻击路径图 Mandiant 表示，尚未发现任何 Volt Typhoon 成功入侵 Ivanti Connect Secure 的实例。 “该集群的活动于 2023 年 12 月开始，重点关注 Citrix Netscaler ADC，然后在2024年 1 月中旬公布详细信息后转向关注 Ivanti Connect Secure 设备。”他们说。“我们对学术、能源、国防和卫生部门进行了调查，这与 Volt Typhoon 过去对关键基础设施的兴趣是一致的。” 其他组织如果成功入侵一个组织，就会使用各种恶意软件，包括名为 TERRIBLETEA、PHANTOMNET、TONERJAM、SPAWNSNAIL、SPAWNMOLE 等的 Mandiant 恶意软件家族。 在事件调查过程中，Mandiant 发现了四个不同的恶意软件系列，它认为这些恶意软件系列被一起使用来创建“隐秘且持久”的后门，从而实现长期访问和避免检测。 黑客利用入侵来深入受害者网络，通常会继续攻击 Microsoft 和 VMware 的工具。 目前所有三个漏洞的补丁均已推出。Mandiant 报告发布前一天，Ivanti 首席执行官承诺对公司运营进行一系列变革，此前数月发生了影响世界各国政府的引人注目的事件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/khSEh7IJTdkZuvovMmTPkg 封面来源于网络，如有侵权请联系删除

根据安全公司 Defiant 的建议，攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。 该漏洞编号为 CVE-2024-1852，是输入清理和输出转义不充分造成的结果，允许攻击者创建将恶意脚本存储为用户 IP 地址值的帐户。 攻击者可以使用 WP-Members 会员资格的用户注册功能来填写并提交注册表，然后使用代理拦截注册请求，并修改它以包含 X-Forwarded-For 标头，其中包含脚本标记中的恶意负载，Defiant 的Wordfence研究团队表示。 问题是，如果请求中存在 X-Forwarded-For 标头，则插件将使用其值来存储依赖注册表单的任何用户的 IP 地址。 警报称： “由于 HTTP 标头可以被操纵，并且输入未经过净化，因此用户可以提供任何值，包括将存储为用户 IP 的恶意 Web 脚本。” 恶意脚本存储在用户的配置文件中，如果管理员编辑或查看用户帐户，则负载将包含在页面加载时生成的源代码中。 Wordfence 补充道：“重要的是要了解，此恶意代码将在管理员浏览器会话的上下文中执行，并可用于创建恶意用户帐户、将网站访问者重定向到其他恶意网站并执行其他恶意操作。” 在版本 3.4.9.2 中包含部分修复后，WP-Members 会员版本 3.4.9.3 修复了该漏洞。建议用户尽快更新其安装。 WP-Members是一个用户会员插件，拥有超过 60,000 个活跃安装，允许网站所有者轻松设置和管理用户注册、登录和配置文件、设置限制等。   转自安全客，原文链接：https://www.anquanke.com/post/id/295277 封面来源于网络，如有侵权请联系删除