安全公司 HiddenLayer 发现 Hugging Face 的 Safetensors 转换服务中存在一个漏洞，攻击者可以利用该漏洞拦截用户上传的 AI 模型并危及供应链。 根据 HiddenLayer报告 ，攻击者可以从 Hugging Face 服务向平台上的任何存储库发送恶意合并请求，并拦截通过转换服务传输的任何模型。这项技术开辟了修改平台上任何存储库的方法，伪装成转换机器人。 Hugging Face 是一个流行的协作平台，可帮助用户存储、部署和训练预先训练的机器学习模型和数据集。Safetensors 是该公司开发的一种用于安全存储张量的格式。 HiddenLayer 的分析表明，网络犯罪分子可以使用恶意 PyTorch 二进制文件来劫持转换服务并危害托管该服务的系统。此外，旨在创建合并请求的官方机器人SFConvertbot的令牌 可以被窃取，以向网站上的任何存储库发送恶意请求，从而允许攻击者篡改模型并将后门嵌入其中。 研究人员指出，当用户尝试转换其模型时，攻击者可以执行任何任意代码，同时对用户不可见。如果受害者尝试转换自己的私人存储库，这可能会导致 Hugging Face 令牌被盗、访问内部模型和数据集以及可能中毒。 使问题更加复杂的是，任何用户都可以向公共存储库提交转换请求，从而导致常用模型被拦截或修改的可能性，从而给供应链带来重大风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/293558 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现两大WiFi安全漏洞，很可能会影响到全球数十亿安卓用户。 第一个安全漏洞可能影响到 “wpa_supplica nt”，它是无线网络（如 WPA（WiFi 保护访问））安全机制的开源软件实现。黑客可利用该漏洞创建一个克隆版WiFi热点并截取用户数据。有安全研究员证实，使用 WPA2/3 企业模式的 WiFi 网络存在风险。甚至可以说，全球有 23 亿安卓用户都可能受到这个漏洞的影响。值得一提的是，这种开源实现几乎存在于 Chromebook 中使用的所有 Linux 设备和 ChromeOS 中。 黑客利用 wpa_supplicant 漏洞诱骗受害者自动连接到恶意克隆的可信 WiFi 网络，从而拦截他们的流量。由于这种攻击不需要受害者采取任何行动，受害者很可能不知道自己已经成为攻击目标。而黑客所需要的只是企业 WPA2/3 网络的名称（SSID），这对于他们来说非常容易，只要在建筑物周围走动并扫描一下就能轻易获得。 同时，该漏洞还很可能会影响 PEAP（受保护的可扩展身份验证协议）的实施， PEAP 是一种用于更好地保护 WiFi 网络安全的安全协议。当目标设备没有正确配置验证服务器时，攻击者可以跳过验证的第二阶段。 此外，安全研究人员还发现了另一个漏洞。该漏洞影响到英特尔的 iNet Wireless Daemon（IWD）平台，这是一个针对 Linux 的综合连接解决方案，也是开源的，主要用于家庭 WiFi 网络。 研究人员警告称：该漏洞可能会影响到将 IWD 用作接入点的人们，因为该漏洞并不依赖于任何错误配置。它允许对手完全访问现有受保护的 WiFi 网络，使现有用户和设备面临攻击。 可能涉及到的风险包括敏感数据被截获、感染恶意软件或勒索软件、电子邮件泄露、凭证被盗等。目前这两个漏洞均已上报给供应商，并已得到修补，作为其公共代码库的一部分。 同时，安全人员提醒用户应立即更新其软件，安卓用户需下载包含 wpa_supplicant 补丁的新安卓安全更新包。在未更新前，安卓用户应手动配置所有已保存的企业网络的 CA 证书以防止遭遇网络攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/392660.html 封面来源于网络，如有侵权请联系删除

影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户，它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁。该安全漏洞当时没有 CVE 标识符。第二天，该公司警告说，它已经意识到野外的利用企图。 CVE 标识符现已分配给这两个漏洞：CVE-2024-1709 为身份验证绕过漏洞，CVE-2024-1708 为路径遍历漏洞。 威胁检测和响应公司 Huntress（将这些缺陷称为SlashAndGrab）在概念验证 (PoC) 漏洞利用已经可用后，于 2 月 21 日披露了技术细节。 身份验证绕过漏洞允许攻击者创建具有管理员权限的新帐户。然后可以利用路径遍历来执行任意代码。 有几份报告表明 CVE-2024-1709 被广泛利用，但尚不清楚 CVE-2024-1708 是否也被利用。 Huntress报告称，看到 SlashAndGrab 被利用来传播 LockBit 勒索软件、Cobalt Strike、SSH 隧道、远程管理工具和加密货币挖矿程序。该公司确定的受害者包括地方政府、应急系统和医疗机构。 Sophos 还报告称看到了LockBit 勒索软件的传播，考虑到该网络犯罪企业最近成为了一场极具破坏性的执法行动的目标，这一点很有趣。 Sophos 表示：“尽管针对 LockBit 采取了执法行动，但一些附属机构似乎仍在运行。” 该网络安全公司还发现通过利用 ScreenConnect 漏洞传播 AsyncRAT、各种信息窃取程序和 SimpleHelp 远程访问软件。 非营利网络安全组织 Shadowserver 基金会报告称，截至 2 月 21 日，已发现超过8,200 个暴露于互联网且易受攻击的ScreenConnect 实例。易受攻击实例的比例最高的是美国，其次是加拿大和英国。 Shadowserver 表示：“CVE-2024-1709 在野外被广泛利用——迄今为止，我们的传感器已发现 643 个 IP 受到攻击。” CISA 已将 CVE-2024-1709 添加到其已知被利用的漏洞目录中，并指出该机构已意识到勒索软件攻击中的利用情况。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/v4gwb3Z4PYd4vOSGpSB6nA 封面来源于网络，如有侵权请联系删除

在Joomla内容管理系统中发现了五个漏洞，可用于在易受攻击的网站上执行任意代码。开发人员已通过在版本5.0.3和4.4.3中发布CMS修复程序来解决这些影响Joomla多个版本的安全问题。 CVE-2024-21722 ：当用户的多重身份验证 (MFA) 方法发生更改时， MFA 管理功能 CVE-2024-21723 ：不正确的 URL 解析可能导致开放重定向。 CVE-2024-21724 ：媒体选择字段的输入验证不当会导致各种扩展中存在跨站脚本 ( XSS ) 漏洞。 CVE-2024-21725 ：电子邮件地址的不当转义会导致各种组件中存在 XSS 漏洞，被利用的可能性很高。 CVE-2024-21726 ：过滤器代码中的内容过滤不正确，导致多个 XSS 缺陷。 根据Joomla通报，XSS漏洞CVE-2024-21726影响核心Joomla过滤器组件，被利用的可能性属于中等级别。然而，根据Sonar的说法，该缺陷可用于实现远程代码执行。 攻击者可以通过诱骗管理员单击恶意链接来利用此漏洞。虽然利用需要用户交互，但攻击者可以使用各种技巧来吸引管理员的注意或发起攻击，诱骗某些用户点击恶意链接。 Sonar未透露该漏洞的技术细节，以便让更多的Joomla管理员应用可用的安全更新。Sonar强调立即采取行动降低风险的重要性，并强烈建议所有Joomla用户更新到最新版本。   转自安全客，原文链接：https://www.anquanke.com/post/id/293403 封面来源于网络，如有侵权请联系删除

ConnectWise发布警告称，ConnectWise ScreenConnect存在严重漏洞，正遭受广泛利用，可能导致数千台服务器被接管。 本周，ConnectWise发布了ScreenConnect 23.9.7的安全修复程序，披露了两个漏洞，其中一个CVSS评分最高达10分。 Huntress的研究人员指出，此漏洞被编号为CVE-2024-1709，可轻松绕过身份验证并获取对ScreenConnect实例的管理访问权限。 第二个漏洞（标识为CVE-2024-1708）是一种路径遍历漏洞，可能允许恶意的ScreenConnect扩展在预期子目录之外执行远程代码（RCE）。然而，Huntress的研究人员指出，仅利用CVE-2024-1709就可以实现RCE。 本地的ConnectWise ScreenConnect管理员应立即升级到版本23.9.8，以防止服务器受到损害。据ConnectWise称，云实例已经修补完成。 ScreenConnect 漏洞威胁无数下游端点 ConnectWise ScreenConnect通常由托管服务提供商（MSP）用于远程访问客户端点，以提供IT支持和其他服务。 考虑到每个ScreenConnect实例可能为数百或数千个端点提供服务，CVE-2024-1709可能会导致重大的供应链攻击。这与Cl0p勒索软件组织实施的MOVEit黑客攻击不同，后者自2023年5月以来已影响了2,500多个组织。 Huntress首席执行官凯尔·汉斯洛万在一份声明中表示：“我不能掩饰事实——情况非常糟糕。该软件的广泛使用和该漏洞提供的访问权限表明我们正面临着勒索软件猖獗的局面。” Huntress也参与了MOVEit黑客攻击后的事件响应，并指出由于概念验证（POC）漏洞的存在，增加了危险。他们决定只有在其他供应商发布了他们自己的POC后才发布自己的POC。 Huntress发言人表示，该公司与ConnectWise密切合作，研究该漏洞及其潜在影响。 “双用途软件会带来风险；就像今年夏天通过MOVEit发现的Huntress一样，它为IT团队提供了无缝功能，但也为黑客提供了同样的功能，”Hanslovan说道。“利用远程访问软件，坏人可以像好人一样轻松地推送勒索软件补丁。一旦他们开始推广他们的数据加密器，我敢打赌90%的预防性软件不会捕获它，因为它来自可信的来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293407 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现，在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉，安全漏洞可能诱使用户加入合法网络的恶意“克隆”，允许威胁攻击者在没有密码的情况下加入可信网络。 安全研究人员对 wpa_supplicant 和英特尔的 iNet Wireless Daemon（IWD）进行安全评估后，发现分别被追踪为 CVE-2023-52160 和 CVE-2023-52161 的安全漏洞。 Top10VPN 在与 Mathy Vanhoef 合作进行的一项新研究中表示， CVE-2023-52160 和 CVE-2023-52161 安全漏洞允许威胁攻击者诱骗受害者连接到受信任网络的恶意“克隆”中，并拦截其流量，最终成功在没有密码的情况下加入其他安全网络。 特别是 CVE-2023-52161安全漏洞，该漏洞允许威胁攻击者未经授权访问受保护的 Wi-Fi 网络，从而使现有用户和设备面临恶意软件感染、数据盗窃和商业电子邮件泄露 (BEC)等潜在的网络攻击，主要影响 IWD 2.12 及更低版本。 CVE-2023-52160 安全漏洞影响 2.10 及以前版本的 wpa_supplicant，鉴于其是安卓设备处理无线网络登录请求的默认软件，因此是上述两个安全漏洞中更紧迫的一个。 值得一提的是，CVE-2023-52160 安全漏洞只会影响没有正确配置身份验证服务器证书的 Wi-Fi 客户端，CVE-2023-52161 则是影响使用 Linux 设备作为无线接入点 (WAP) 的任何网络。 从研究人员发布的公告来看，成功利用 CVE-2023-52160 的前提条件是，威胁攻击者必须掌握受害者先前连接过的 Wi-Fi 网络的 SSID。此外，威胁攻击者必须与受害者保持合适的物理距离。（安全研究人员指出，利用该漏洞的最优情况是威胁攻击者在受害者附近四处走动，扫描网络，然后再瞄准离开办公室的员工。） 目前，Debian (1, 2)、Red Hat (1)、SUSE (1, 2) 和 Ubuntu (1, 2) 等主要 Linux 发行版已针对上述安全漏洞发布了更新公告，ChromeOS 118 及更高版本也已解决了 wpa_supplicant 问题，但 Android 的修复程序目前仍旧尚未发布。 最后，Top10VPN 强调，为保护自身安全性，Android 用户必须尽快手动配置任何已保存的企业网络 CA 证书，以防止遭遇网络攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/392285.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员发现了一个可导致全球互联网瘫痪的名为KeyTrap的严重漏洞。该漏洞隐藏在域名系统安全扩展(DNSSEC)功能中，可被攻击者利用发动DoS攻击，长时间阻断应用程序访问互联网。 KeyTrap漏洞分配的CVE编号为CVE-2023-50387，属于DNSSEC设计缺陷，影响几乎所有主流域名系统(DNS)实现或服务。攻击者仅需发送一个恶意DNS数据包，便能使易受攻击的解析器陷入长期拒绝服务(DoS)状态。 DNSSEC是域名系统(DNS)的一个安全扩展功能，通过加密签名为DNS记录提供身份验证，确保DNS数据来自权威名称服务器，且没有在路由过程中被篡改，从而保护用户免于被引导至恶意网站。 可瘫痪全球大部分互联网的漏洞 KeyTrap漏洞由来自德国国家应用网络安全研究中心ATHENE的研究人员联合歌德大学法兰克福特分校、弗劳恩霍夫安全信息技术研究所和达姆施塔特工业大学的专家共同发现。 据研究人员介绍，该漏洞源于DNSSEC需要发送所支持密文的所有相关加密密钥以及验证签名。即使某些DNSSEC密钥配置错误、不正确或属于不受支持的密文，也会执行相同的流程。 攻击者利用此漏洞开发了一种新的基于DNSSEC的算法复杂性DoS攻击，可以将DNS解析器中的CPU指令计数增加200万倍，从而延迟其响应。 这种DoS攻击状态的持续时间取决于解析器实现，但研究人员表示，单个攻击请求可以使响应延迟56秒到16个小时。 KeyTrap攻击中单次请求导致的DNS解析延迟 ATHENE在披露报告中写道：“利用此攻击将对任何使用互联网的应用程序产生严重后果，包括网络浏览、电子邮件和即时消息等技术可能无法使用。” 研究人员表示：“利用KeyTrap，攻击者可以完全瘫痪全球互联网的大部分地区。” 有关漏洞的完整详细信息以及其在现代DNS实现中如何复现的技术报告已于本周早些时候发布。 容易受到KeyTrap攻击影响的DNS软件、服务、工具和代码库 研究人员从2023年11月初开始演示KeyTrap攻击如何影响谷歌和Cloudflare等DNS服务提供商（上图），并与这些公司合作开发缓解措施。 漏洞存在近25年 ATHENE表示，KeyTrap漏洞自1999年以来就存在于广泛使用的标准中，近25年来一直未被发现，主要原因是DNSSEC验证的复杂性。 尽管受影响的厂商已经推送了修复程序或正在缓解KeyTrap风险，ATHENE表示，从根本上解决问题可能需要重新评估DNSSEC的设计理念。 作为对KeyTrap威胁的回应，Akamai在2023年12月至2024年2月期间开发并部署了针对其DNSi递归解析器（包括CacheServe和AnswerX）以及其云和托管解决方案的缓解措施。 Akamai指出，根据APNIC的数据，大约35%的美国互联网用户和全球30%的互联网用户依赖使用DNSSEC验证的DNS解析器，因此易受KeyTrap攻击。 尽管Akamai没有披露太多缓解措施细节，但根据ATHENE的论文，Akamai的解决方案是将加密失败限制在最多32个，基本上可以防止攻击者通过耗尽CPU资源来延迟或瘫痪网络。 目前，谷歌和Cloudflare也都已经开始着手修复其DNS服务。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/UC1wP5L5F2GI8tjalJiniQ 封面来源于网络，如有侵权请联系删除

本周，美国网络安全和基础设施安全局（CISA）在其已知被利用漏洞目录中添加了一个思科ASA和FTD漏洞，追踪为CVE-2020-3259（CVSS得分：7.5）。漏洞CVE-2020-3259是一个信息披露问题，存在于ASA和FTD的web服务接口中。思科在2020年5月解决了这一缺陷。 CISA警告称，Akira勒索软件团伙正在利用Cisco ASA/FTD漏洞CVE-2020-3259（CVSS得分：7.5）进行野外攻击。 CISA将该问题列为已知用于勒索软件活动的问题，但该机构没有透露哪些勒索软件团体正在积极利用该问题。 今年1月，网络安全公司Truesec的研究人员报告称，Akira勒索软件集团在针对思科ASA和FTD设备的攻击中利用了该漏洞。 Truesec发布的报告中写道：“在过去几周里，Truesec CSIRT团队发现了数据，表明Akira勒索软件集团可能正在积极利用一个旧的Cisco ASA（自适应安全设备）和FTD（火力威胁防御）漏洞，该漏洞被追踪为CVE-2020-3259。”攻击者可以触发该漏洞，从受影响设备的内存中提取敏感数据，包括用户名和密码。 研究人员分析了八起涉及Akira勒索软件的事件，并证实Cisco Anyconnect SSL VPN中的缺陷是至少六台受损设备的切入点。“当该漏洞在2020年公开时，还没有已知的公开漏洞。然而，现在有迹象表明，该漏洞可能会被积极利用。”报告说道。 Akira勒索软件自2023年3月以来一直活跃，恶意软件背后的威胁行为者声称已经入侵了教育、金融和房地产等多个行业的多个组织。与其他勒索软件团伙一样，该组织开发了一款针对VMware ESXi服务器的Linux加密机。 根据约束性操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在到期日前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。专家还建议私营组织审查目录并解决其基础设施中的漏洞。CISA命令联邦机构在2024年3月7日之前修复此漏洞CVE-2020-3259。   转自E安全，原文链接：https://mp.weixin.qq.com/s/VRfKyHdSPSGOAddwEe7MdQ 封面来源于网络，如有侵权请联系删除

Securityaffairs网站消息，网络安全公司ESET已经解决了其Windows安全方案中的一个高严重性权限提升漏洞。 据了解，该漏洞由Zero Day Initiative（ZDI）提交给ESET，被追踪为CVE-2024-0353（CVSS评分7.8），是一个本地权限提升问题。 ESET发布的安全通告中提到，Windows操作系统的实时文件系统保护功能在处理文件操作时存在漏洞，这一漏洞允许攻击者在没有适当权限的情况下在目标系统上执行代码，并以NT AUTHORITY\SYSTEM的身份删除任意文件，从而提高攻击者的权限。 目前，ESET并没有发现有关此漏洞在实际环境中被利用的攻击事件。 以下是受影响的程序和版本列表： ESET NOD32 杀毒软件、互联网安全、智能安全高级版、安全终极版，版本号至16.2.15.0及以前的版本； ESET 终端杀毒软件 for Windows 和 终端安全 for Windows，版本号至10.1.2058.0、10.0.2049.0、9.1.2066.0、8.1.2052.0及相应版本系列的以前版本； ESET Windows服务器安全（之前称为Microsoft Windows服务器文件安全），版本号至10.0.12014.0、9.0.12018.0、8.0.12015.0、7.3.12011.0及相应版本系列的以前版本； ESET Microsoft Exchange服务器邮件安全，版本号至10.1.10010.0、10.0.10017.0、9.0.10011.0、8.0.10022.0、7.3.10014.0及相应版本系列的以前版本； ESET IBM Domino邮件安全，版本号至10.0.14006.0、9.0.14007.0、8.0.14010.0、7.3.14004.0及相应版本系列的以前版本； ESET Microsoft SharePoint服务器安全，版本号至10.0.15004.0、9.0.15005.0、8.0.15011.0、7.3.15004.0及相应版本系列的以前版本； ESET Microsoft Azure文件安全，包括所有版本。 ESET已经发布了补丁，以解决NOD32防病毒软件、互联网安全、智能安全高级版、安全终极版、Windows端点防病毒和端点安全、Windows服务器的服务器安全、Exchange服务器和IBM Domino的邮件安全、SharePoint服务器的安全、以及Microsoft Azure文件安全中的问题。 该公司没有为那些已达到EoL状态的产品提供安全补丁，公司建议客户尽早为其产品应用安全补丁。   转自Freebuf，原文链接：https://www.freebuf.com/news/391969.html 封面来源于网络，如有侵权请联系删除

日本电子产品制造商佳能周一宣布了软件更新，修复了影响几种小型办公打印机型号的七个严重漏洞。 这些被描述为缓冲区溢出错误的问题可以通过网络进行远程代码执行 (RCE) 或导致易受攻击的产品变得无响应。 “这些漏洞表明，如果产品不使用路由器（有线或 Wi-Fi）直接连接到互联网，未经身份验证的远程攻击者可能能够执行任意代码能够瞄准该产品在通过互联网的拒绝服务 (DoS) 攻击中，”佳能指出。 这些漏洞被编号为 CVE-2023-6229 到 CVE-2023-6234 和 CVE-2024-0244。根据漏洞信息门户网站JVN 的数据，他们的 CVSS 得分为 9.8。 NIST 公告显示，这些漏洞是在 CPCA PDL 资源下载过程、地址簿密码过程、WSD 探测请求过程、地址簿用户名过程、SLP 属性请求过程、CPCA 颜色 LUT 资源下载过程和 CPCA PCFAX 号码等组件中发现的。 易受攻击的打印机型号因地区而异：欧洲为 i-SENSYS LBP673Cdw、MF752Cdw、MF754Cdw、C1333i、C1333iF 和 C1333P 系列，北美为 imageCLASS MF753CDW、MF751CDW、MF1333C、LBP674CDW 和 LBP1333C 系列；以及日本的 Satera LBP670C 和 MF750C 系列。 不过，对于所有型号，这些漏洞都会影响固件版本 03.07 及更早版本。可以在佳能的地区网站上找到解决这些错误的更新。 “目前还没有关于这些漏洞被利用的报告。然而，为了增强产品的安全性，我们建议客户安装适用于受影响型号的最新固件，”佳能在其欧洲支持网站上表示。 鉴于上述漏洞可以被远程利用，我们还建议客户限制对打印机的访问，将它们隐藏在防火墙或路由器后面，并为其设置私有 IP 地址。   转自安全客，原文链接：https://www.anquanke.com/post/id/293193 封面来源于网络，如有侵权请联系删除