分类: 漏洞事件

美国网络司令部警告各机构立即修补被大规模利用的 Confluence 漏洞

美国网络司令部(USCYBERCOM)今天发布了罕见的警报,敦促来自美国的企业和机构们立即修补一个被大规模利用的Atlassian Confluence关键漏洞。“对Atlassian Confluence CVE-2021-26084的大规模利用正在进行,预计会加速,”网络国家任务部队(CNMF)说。 USCYBERCOM单位还强调了尽快修补脆弱的Confluence服务器的重要性。”如果你还没有打补丁,请立即打补丁–这不能等到周末之后”。 这一警告是在副国家安全顾问安妮·纽伯格在周四的白宫新闻发布会上鼓励各组织”在周末假期前对恶意的网络活动保持警惕”之后发出的。 这是过去12个月中的第二次此类警告,前一次的通知来自今年6月份,CISA意识到威胁者可能试图利用影响所有vCenter Server安装的远程代码执行漏洞。 CISA今天还敦促用户和管理员立即应用Atlassian最近发布的Confluence安全更新。 Atlassian Confluence是一个非常受欢迎的基于网络的企业团队工作空间,旨在帮助员工在各种项目上进行协作。 8月25日,Atlassian发布安全更新,以解决积极利用的Confluence远程代码执行(RCE)漏洞,该漏洞被追踪为CVE-2021-26084,并使未经认证的攻击者能够远程在有漏洞的服务器上执行命令。 正如BleepingComputer本周报道的那样,在Atlassian的补丁发布6天后,一个PoC漏洞被公开发布后,多个威胁者开始扫描并利用这个最近披露的Confluence RCE漏洞来安装挖矿程序。 一些网络安全公司报告说,威胁者和安全研究人员都在积极扫描和利用未打补丁的Confluence服务器。例如,联盟工程总监Tiago Henriques检测到渗透测试人员试图寻找有漏洞的Confluence服务器。网络安全情报公司Bad Packets也发现了来自多个国家的威胁者在被攻击的Confluence服务器上部署和启动PowerShell或Linux shell脚本。 在分析了漏洞样本后,BleepingComputer证实,攻击者正试图在Windows和Linux Confluence服务器上安装加密货币矿工(例如XMRig Monero加密货币矿工)。 尽管这些攻击者目前只部署了加密货币矿工,但如果威胁者开始从被入侵的内部Confluence服务器横向移动企业网络,投放勒索软件的载荷并窃取或破坏数据,攻击的危害性就会迅速升级。   (消息及封面来源:cnBeta)

黑客现在可以绕过万事达和 Maestro 非接触式卡的 PIN 码

苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞,非接触式万事达卡和Maestro密码可以被轻松绕过。该漏洞的关键之处在于,如果利用得当,盗贼可以使用被入侵的万事达卡或Maestro卡进行非接触式支付,而无需输入密码来完成交易。 要实现上述做法,需要首先在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端,而另一个则作为一个卡片模拟器,允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易,它就会泄露所有相关信息。 苏黎世联邦理工学院的专家证实,这是一次孤立的攻击,但随着非接触式支付方式的更多漏洞被揭开,这很容易在现实生活中被利用。过去,同一个团队成功地绕过了Visa的非接触式支付密码,研究人员你在”EMV标准:破解、修复、验证”研究论文中详细描述了这一实验。 目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过,但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范,并将交易方面转移到一个真正的销售点终端,该终端并不知道交易凭据的来源,直接验证并确认了PIN和购卡者的身份,因此PoS也不需要进行进一步的检查和身份鉴别流程。 不管是Visa、Mastercard还是Maestro,ETH都成功地进行了实验,这并不是数以百万计的非接触式卡用户所希望听到的。由于这个漏洞的严重性及其潜在的后果难以估量,研究人员没有透露所使用的应用程序的名称。   (消息及封面来源:cnBeta)

加州一医疗初创公司的网站漏洞使大量 COVID-19 测试结果面临泄露风险

一家位于加州的医疗创业公司在整个洛杉矶提供COVID-19测试,在一位客户发现允许访问其他人的个人信息的漏洞后,该公司已经关闭了一个用于允许客户访问其测试结果的网站。Total Testing Solutions在整个洛杉矶有10个COVID-19测试点,每周在工作场所、体育场馆和学校处理”数千次”COVID-19测试。 当测试结果准备好后,客户会收到一封电子邮件,其中有一个网站链接,以获得他们的结果。 但一位客户说,他们发现了一个网站漏洞,允许他们通过增加或减少网站地址中的一个数字来访问其他客户的信息。这使得该客户可以看到其他客户的名字和他们的测试日期。该网站也只需要一个人的出生日期就可以访问他们的COVID-19测试结果,发现该漏洞的客户说”不需要很长时间”就可以暴力破解,或者简单地猜测。(对于30岁以下的人来说,这只是11000次生日猜测而已) 虽然测试结果网站有一个登录页面,提示客户提供他们的电子邮件地址和密码,但允许客户更改网址和访问其他客户信息的网站漏洞部分可以直接从网上访问,完全绕过了登录提示。 通过有限的测试发现,该漏洞可能使大约6万个测试处于危险之中。TTS首席医疗官Geoffrey Trenkle确认了这一漏洞,他对穷举破解的漏洞没有异议,但表示该漏洞仅限于一台用于提供传统测试结果的内部服务器,该服务器后来被关闭并被一个新的基于云的系统取代。公司在一份声明中说:”我们最近意识到我们以前的内部服务器存在一个潜在的安全漏洞,它可能允许利用URL操作和出生日期编程代码的组合来访问某些病人的名字和结果。”该漏洞仅限于在创建基于云的服务器之前在公共测试场所获得的病人信息。为了应对这一潜在的威胁,我们立即关闭了企业内部的软件,并开始将这些数据迁移到安全的云端系统,以防止未来数据泄露的风险。我们还启动了漏洞评估,包括审查服务器访问日志,以检测任何未被识别的网络活动或不寻常的认证失败。目前,TTS没有发现由于其先前服务器的问题而导致的任何不安全的受保护健康信息的泄露。据我们所知,实际上没有病人的健康信息被泄露,而且所有的风险都已经被减轻了。” Total Testing Solution表示将遵守国家法律规定的法律义务,但没有明确表示该公司是否计划通知客户这一漏洞。虽然公司没有义务向本州的总检察长或客户报告漏洞,但许多公司出于谨慎而报告,因为并不总是能够确定是否有不当访问。   (消息及封面来源:cnBeta)

Vice Society 正利用 PrintNightmare 安全漏洞注入勒索软件

思科 Talos 威胁情报研究团队在一份新报告中指出:微软的 PrintNightmare 安全漏洞,现正被一个名为 Vice Society 的勒索软件团伙所利用。近段时间,Talos 团队一直在密切留意攻击者在利用 Print Spooler 服务的安全隐患。遗憾的是,尽管微软在漏洞修复上耗费了数月的时间,最终取得的成果仍相当有限。 如图所示,Vice Society 会向受害者索要赎金,否则就会通过其网站泄露被盗的数据。 Talos 调查发现: Vice Society 与之前的 HelloKitty 勒索软件组织有关联,且目前正在利用 PrintNightmare Print Spooler 漏洞相关的动态链接库 (DLL) 文件注入勒索软件,来攻击那些易受感染的系统。 Talos 还观察到了 Vice Society 黑客用于执行攻击的一些策略、技术和程序(统称 TTP): ● 比如在入侵期间使用 ProxyChains 将网络流量转移到其它地方。 ● 攻击 ESXi 虚拟服务器和数据备份,让整个系统容易受勒索软件感染阻止恢复。 ● 为了避免被端点安全解决方案检测到,威胁行为者还会绕过反恶意软件软件接口(AMSI)。   (消息及封面来源:cnBeta)

黑客可以利用管理 DNS 服务供应商的漏洞来监视公司和组织的内部流量

据《The Hacker News》报道,一种出现在DNSaaS(DNS即服务)的一类新漏洞可被黑客用来获取企业网络的敏感信息。基础设施安全公司Wiz的Ami Luttwak和Shir Tamari宣布,他们发现了一个简单的漏洞,允许拦截所有通过Google和亚马逊等管理的DNS供应商的互联网流量中的一部分动态DNS流量。 他们进一步解释说,暴露的流量为威胁者提供了他们发动成功攻击所需的所有信息。令人不安的是,这使任何人都有能力看到公司和政府组织内部正在发生的事情。在某种程度上,它相当于国家级别的间谍活动能力,而且这些数据就像注册一个域名一样容易获得。 研究人员说:”我们能够获取到的动态DNS流量来自15000多个组织,包括财富500强企业、45个美国政府机构和85个国际政府机构,这些数据包括大量有价值的情报,如内部和外部IP地址、计算机名称、员工姓名和办公地点。” 在Google云DNS或处理DNS解析服务的亚马逊Route53上进行的域名注册,创造了一个有效消除用户间的隔离并允许访问宝贵信息的场景。因此,如果一个组织在Route53平台上使用AWS名称服务器配置了一个新的域名,在托管区,他们将新的域名与内部网络相关联后,所有公司终端的动态DNS流量都可以被具有相同名称的欺诈性服务器所访问到。 幸运的是,由于Wiz Research团队开发了一个识别DNS信息泄漏的工具,这些漏洞已经被修补。简而言之,该工具发现了可以利用的DNS漏洞,以确定未经授权的内部DDNS更新是否被泄露给了DNS供应商或恶意行为者。 您可以在这里测试并了解更多细节: https://dynamic-dns-checker.tools.wiz.io/   (消息及封面来源:cnBeta)

安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

英国网络安全公司 Pen Test Partners,刚刚曝光了在六个家用电动汽车充电品牌、以及一个大型公共 EV 充电网络 API 中的几个安全漏洞。随着 IoT 即将在人们的家庭与车辆中无处不在,本次调查给出了物联网设备监管不力的最新实例,且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 这个六个不同的 EV 充电品牌。 问题还涉及 Chargepoint 公共充电网络的 API(资料图 via Mitsubishi) 安全研究人员 Vangelis Stykas 指出,这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。 若公共充电网络遭到黑客攻击,还可能导致电费窃取、以及通过开启 / 关闭充电器而造成电网波动。 举个例子,一款 Wallbox 充电器使用了基于树莓派的计算模块。得益于较低的成本,它常被业余爱好者和程序员所使用。 然而 Pen Test Partners 创始人 Ken Munro 警告称: 这个伟大的爱好者兼教育计算平台,其实并不适合商业应用,因为它缺乏所谓的‘安全加载引导程序’。 这意味着任何能够物理接触到用户家庭外部充电器硬件的攻击者,都可利用这个跳板来打开它、并窃取用户的 Wi-Fi 凭据。 尽管概率相对较低,但他还是认为充电器供应商不该如此草率地让用户面临额外的风险。 而且相关操作对黑客来说实在太简单了,我甚至可以在五分钟内教会你该怎么做。 充电器中的树莓派硬件 该公司上周发布的报告,还涉及由 EVRoaming 基金会维护与管理的、与开放式充电接口等新兴协议相关的漏洞。 该协议旨在用户能够在不同充电网络之间实现无缝充电连接,而 Munro 也将之比作 EV 充电领域的“运营商之间的漫游”。 目前 OCPI 尚未被广泛使用,但若不加以解决,相关问题迟早会导致一个平台中的漏洞被扩散到另一平台。 Pen Test Partners 补充道:Wallbox 在其 API 中有两个独立的非安全直接对象调用,或导致账户被攻击者劫持。此外针对 EV 充电站的黑客攻击,也将造成相当恶劣的影响。 由于电网并非为电力消耗的大幅波动而设计,若黑客能够开启 / 关闭足够数量的直流快速充电器,那无需耗费太多的时间,就会让电网遭遇过载。 Munro 指出:“我们无意中制造了一种可让其他人来对付自己的网络武器”。   (消息及封面来源:cnBeta)

PwnedPiper 安全漏洞影响了北美 80% 大医院的气动管道系统

物联网安全公司Armis今天公布了被称为PwnedPiper的9个漏洞详细信息,这些漏洞影响到北美大约80%医院所安装的一种常见医疗设备-TransLogic气动管道系统。来自Swisslog Healthcare公司的TransLogic气动管道系统(PTS)是一个复杂系统,使用压缩空气来移动医疗用品(实验室样品、药品、血液制品等),这些管道连接着大型医院的不同部门。 TransLogic系统安装在3000多家医院当中,有效地发挥了作用,因为它们允许敏感医疗材料的移动,同时让护士自由地提供病人护理。 物联网安全公司Armis在今天发表的研究报告中表示,它在PTS 控制软件 – Nexus控制面板中发现了9个漏洞,该软件让医生和护士控制医疗材料在医院各科之间的移动。这些漏洞可以使未经认证的攻击者接管TransLogic气动管道系统,并从本质上完全控制目标医院PTS网络。 这种类型的控制可以实现复杂和令人担忧的勒索软件攻击,并允许攻击者泄露敏感的医院信息。虽然只有当攻击者能够连接医院的内部网络或在医院的内部网络中占有一席之地时,才能利用这些漏洞,但由于TransLogic设备在北美的普遍性,这些设备很容易被用来影响医院提供医疗服务的能力,PwndPiper问题被认为是非常严重的。 PwndPiper问题在5月份发现并报告给Swisslog Healthcare。Swisslog Healthcare的一位发言人在一封电子邮件中表示,除了一个漏洞之外,所有的软件更新都已经开发完成,剩下的漏洞相关具体缓解策略也可以提供给客户。 该公司今天发布了7.2.5.7版本的Nexus控制面板软件,同时还发布了一篇博文,为客户提供更多信息。它还说,这个问题主要限于北美的医院,这些系统大多安装在北美地区,预计今年晚些时候会有第九个问题的补丁。 Armis团队列出了九个PwndPiper漏洞,Armis团队还计划在本周三的黑帽安全会议上介绍其发现。 九个PwndPiper漏洞包括: CVE-2021-37163 – 两个通过Telnet服务器访问的硬编码密码; CVE-2021-37167 – root用户运行的脚本可用于PE; CVE-2021-37161 – udpRXThread的下溢; CVE-2021-37162 – sccProcessMsg的溢出; CVE-2021-37165 – hmiProcessMsg的溢出; CVE-2021-37164 – tcpTxThread的三层堆栈溢出; CVE-2021-37166 – GUI套接字拒绝服务; CVE-2021-37160 – 未认证,未加密和未签名的固件升级,这是其中最严重的漏洞,因为它允许攻击者通过启动固件更新过程获得未经验证的远程代码执行,同时在设备上保持持久性。这个漏洞目前还没有被修复。   (消息及封面来源:cnBeta)

SolarWinds 黑客利用 iOS 零日漏洞渗透政府官员使用的 iPhone

谷歌威胁分析团队指出,在针对西欧政府官员的渗透活动中,SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。周三的这份报告,披露本次攻击还利用了通过领英(LinkedIn)向政府官员发送的信息。若受害者在 iPhone 上访问了特定的链接,就会被重定向至带有初始恶意负载的域名。 在满足多项“验证检查”后,SolarWinds 黑客会利用 CVE-2021-1879 漏洞来下载最终的有效载荷,并将之用于绕过某些安全防护措施。 比如关闭同源防护策略(Same-Origin-Policy)、或其它能够防止恶意脚本在本地网络上搜集数据的安全功能。 如此一来,攻击者便能够利用收集自谷歌、微软、领英、脸书、雅虎等网站手机的身份验证信息,并将之发送到受黑客控制的 IP 地址。 不过 Maddie Stone 和 Clement Lecigne 写道:“受害者需要通过 Safari 访问精心制作的网站,才会被黑客成功渗透其 cookie ”。 庆幸的是,苹果已于今年 3 月修复了该漏洞。如果你运行受影响的 iOS 12.4 – 13.7 版本,还请及时为设备打上补丁。 此外通过使用支持站点隔离功能的浏览器(比如 Chrome 或 Firefox),亦可避免此类“同源策略”攻击。 最后,尽管谷歌没有披露幕后黑手的真实身份,但 ArsTechnica 已将攻击者确定为 Nobelium(与 2019 年 SolarWinds 黑客攻击事件背后是同一团队)。   (消息及封面来源:cnBeta)

CISA 命令美国政府机构紧急修补 PrintNightmare 漏洞

本月早些时候,安全研究人员意外地发布了一个零日漏洞和概念验证代码,证明了Windows 10 Print Spool中的一个漏洞可用于远程代码执行攻击。微软迅速地发布了一个带外修复程序,现在网络安全和基础设施安全局(CISA)已经命令政府机构紧急对联邦计算机应用这个补丁。 CISA说:”已经验证了各种概念证明的有效性,并担心如果不加以缓解,利用这一漏洞可能导致机构网络的全面系统受损。这一判断是基于目前威胁者在外部对这一漏洞的利用,进一步利用这一漏洞的可能性,受影响的软件在联邦企业中的普遍性,以及机构信息系统被破坏的高可能性。” 紧急指令21-04主要内容,并附有最后期限: 在2021年7月14日(星期三)美国东部时间晚上11:59之前,停止并禁用所有微软活动目录(AD)域控制器(DC)上的打印线轴服务。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,将2021年7月的累积更新应用于所有Windows服务器和工作站。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,对所有运行微软Windows操作系统的主机(行动1下的域控制器除外)完成指令中详述的选项1、2或3。 验证上述选项1、2和3的注册表和/或组策略设置是否正确部署。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,确保技术和/或管理控制措施到位,以确保新配置的或以前断开连接的服务器和工作站得到更新,并在连接到机构网络之前拥有上述定义的设置。 在2021年7月21日(星期三)美国东部时间下午12:00之前,使用所提供的模板提交一份完成报告。 CISA还建议机构在所有不用于打印的系统上禁用Windows 10 Print Spool,普通Windows 10用户则可以通过安装刚刚发布的2021年7月累积更新来保护自己。     (消息及封面来源:cnBeta)

Serv-U 套件发现远程代码执行漏洞 SolarWinds 敦促客户尽快打补丁

SolarWinds 公司敦促客户尽快安装补丁,以修复 Serv-U 远程代码执行漏洞。目前已经有相关证据表明该漏洞被“单一威胁行为者”利用,并且已经对少部分客户发起了攻击。 在本周五发布的公告中,SolarWinds 公司表示:“微软提供的相关证据表明已经有少量、针对性的客户受到影响。 尽管目前 SolarWinds 还无法预估有多少客户可能直接受到该漏洞的影响。据现有的证据,没有其他 SolarWinds 产品受到此漏洞的影响。SolarWinds 目前无法直到可能受影响客户的身份”。 该漏洞被追踪为 CVE-2021-35211,主要影响 SolarWinds 旗下的 Serv-U Managed File Transfer 和 Serv-U Secure FTP 两款产品,被远程攻击者利用之后可以指定任意代码。SolarWinds 表示:“如果环境中没有启用SSH,那么该漏洞就不存在”、 微软威胁情报中心(MSTIC)和微软进攻性安全研究团队在今年 5 月发布的 Serv-U 15.2.3 HF1 中发现的这个漏洞,并确认影响到之前发布的所有版本。 SolarWinds 已通过发布 Serv-U 15.2.3 版热修复(HF)2 解决了微软报告的安全漏洞。该公司补充道,SolarWinds 旗下的其他产品和 N-able 产品(包括 Orion Platform 和 Orion Platform 模组)均不受 CVE-2021-35211 的影响。 这家位于美国的软件公司警告说:“SolarWinds在2021年7月9日星期五发布了一个热修复程序,我们建议所有使用Serv-U的客户立即安装这个修复程序,以保护您的环境”。SolarWinds提供了更多信息,说明如何查找您的环境在微软报告的攻击中是否受到损害。   (消息及封面来源:cnBeta)