HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局在其 “已知被利用漏洞目录”中增加了六个漏洞，这些漏洞影响了苹果、Adobe、Apache、D-Link 和 Joomla 的产品。 已知被利用漏洞目录（简称 KEV）记录了在野攻击中被利用的安全问题，为全球组织在漏洞管理和处理优先级提供了重要参考。 CISA指出：“这些漏洞类型经常被黑客用作攻击手段，对联邦机构构成了重要威胁。” CISA 已经要求联邦机构在 1 月 29 日之前修补这六个正在被积极利用的漏洞，否则将停止使用这些存在漏洞的产品。 这次重点发现的六个漏洞如下： CVE-2023-27524：Apache Superset 2.0.1 版本及以下的不安全默认资源初始化问题，可能导致未经授权的访问。（评分：8.9 “高危”） CVE-2023-23752：Joomla! 4.0.0 至 4.2.7 版本中的不当访问检查可能导致未授权访问。（评分：5.3 “中危”） CVE-2023-41990：处理 iMessage 附件的字体文件中存在的远程代码执行漏洞，可能导致 iOS 16.2 及更早版本的 Apple iPhone 设备受到攻击。（评分：7.8 “高危”） CVE-2023-38203 和 CVE-2023-29300：Adobe ColdFusion 中的不受信任数据反序列化问题可能导致任意代码执行，无需用户交互。（评分：9.8 “关键危险”） CVE-2016-20017：D-Link DSL-2750B 1.05 版本之前的设备存在远程未认证命令注入漏洞，从 2016 年至 2022 年被活跃利用。（评分：9.8 “关键危险”） 其中一些列出的漏洞最近才被披露。 例如，CVE-2023-41990 早在 2019 年的 “三角测量行动” 中使用，一直到 2023 年 6 月 Kaspersky 的一些研究人员的设备受到感染时才被发现。 该漏洞是四个漏洞集合中的最后一个，黑客正在利用它来规避全球多个目标的安全防护措施，其中包括欧洲地区的 iPhone。 CVE-2023-38203 和 CVE-2023-29300 从 2023 年中期开始受到黑客利用，因为安全研究人员发现供应商的修复措施可以被绕过。 针对诸如 CVE-2023-27524 等漏洞，其 PoC 利用在去年 9 月已经公开，这可能加剧了黑客的利用活动。 建议所有组织和联邦机构检查其上述漏洞及 KEV 目录中的其他安全问题，并及时采取安全更新或其他必要的防护措施。   消息来源：bleepingcomputer，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

OT 网络安全公司 Nozomi Networks 表示，在汽车行业广泛使用的博世力士乐螺母扳手中发现的漏洞可能会被寻求直接经济利益的黑客或试图对目标工业组织造成破坏的攻击者利用。 Nozomi 研究人员在博世力士乐的 NXA015S-36V-B 产品中发现了安全漏洞，该产品是一款无线手持式气动扭矩扳手（也称为螺母扳手），专为安全关键的拧紧操作而设计。 该机器有一个内置显示器，为操作员提供实时数据，它还可以通过嵌入式 Wi-Fi 模块连接到无线网络，使其能够将数据传输到服务器，并允许用户远程重新编程。 Nozomi 研究人员发现了二十多个漏洞，其中大部分存在于 NEXO-OS 操作系统的管理应用程序中，还有一些与 SCADA、PLC 和其他系统集成而设计的通信协议有关。 利用这些漏洞可能会让未经身份验证的攻击者完全控制螺母扳手。该网络安全公司进行的实验室测试展示了攻击者如何发起勒索软件攻击，其中包括使设备无法操作并在其内置屏幕上显示勒索消息。更糟糕的是，这种攻击可以自动攻击公司的所有螺母操作员，从而导致生产线中断。 在该公司在实验室模拟的另一个攻击场景中，攻击者改变了拧紧程序配置，特别是扭矩值。这可能会导致螺栓松动，从而导致安全风险，或者制造出有缺陷的产品，从而导致财务或声誉损失。 “在关键应用中，应用到机械紧固件的最终扭矩水平经过计算和设计，以确保满足设备的整体设计和操作性能。”Nozomi 解释道。“例如，电气配电盘中使用的螺栓、螺母和固定装置必须适当拧紧，以确保高压母线等载流部件之间的连接保持低电阻。连接松动会导致工作温度升高，随着时间的推移，可能会引起火灾。” 另一方面，过度拧紧会给螺栓和螺母带来过大的压力，这可能会导致机械故障，可能导致过多的保修索赔和企业声誉受损。 总共 25 个 CVE 分配给这些缺陷，其中 11 个具有“高严重性”评级。 未经身份验证的攻击者如果能够向目标设备发送网络数据包，就可以利用 root 权限实现远程代码执行，从而彻底破坏系统。虽然利用某些缺陷需要身份验证，但可以通过将它们与其他漏洞（例如硬编码凭据）链接来实现此要求。 虽然这些漏洞是在 NXA015S-36V-B 产品中发现的，但其他力士乐 Nexo 螺母扳手也受到影响，包括多个 NXA、NXP 和 NXV 系列设备。 Bosch Rexroth 已获悉这些漏洞，Nozomi 表示该公司计划在 2024 年 1 月底之前修复这些漏洞。该供应商已发布了自己的安全公告。 为了防止恶意利用，该网络安全公司尚未公开任何技术信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

2023 年 12 月底，两个黑客组织Lumma和Rhadamanthys使用 API 来恢复在攻击中被盗的过期Google凭据。 之后，另外四个勒索软件程序——Stealc、Medusa、RisePro 和 Whitesnake——也开始使用类似的技术。安全公司 CloudSEK 发现， 当受害者原来被盗的 Google cookie 过期时，恶意软件会使用 Google 的 OAuth“MultiLogin”API 创建新的操作身份验证 cookie。 该API旨在同步不同Google服务的帐户。该恶意软件不仅窃取 Google 网站的身份验证 cookie，还窃取可用于更新或创建新身份验证令牌的特殊令牌。研究人员无法从 Google 找到有关此 API 的更多信息，唯一的文档可以 在 Google Chrome 源代码中找到。 谷歌在声明中证实，它已了解这一情况，但将该问题视为通过恶意软件窃取 cookie 的简单行为。该公司声称会定期更新其保护机制并帮助受恶意软件影响的用户。 Google 建议用户在受影响的设备上注销 Chrome 帐户，并 通过 “我的设备”菜单使所有活动会话失效，这将使刷新令牌无法与 API 一起使用。此外，谷歌建议用户更改密码，特别是如果该密码已在其他网站上使用过。 然而，许多受影响的用户不知道何时或如何采取建议的措施。通常，他们只有在帐户遭到黑客攻击和滥用后才发现账户被感染。Orange Spain 员工的案例就是一个例子，该员工在使用被盗凭据登录公司帐户并更改其 BGP 配置后才发现感染情况 ，从而导致互联网服务中断。 谷歌目前正在通知 API 滥用的受害者，但仍然存在关于如何通知未来受害者以及他们如何知道退出浏览器以撤销身份验证令牌的问题。 许多专家认为，最好的解决方案是限制对上述 API 的访问，以防止其被利用。不过，目前还没有消息表明谷歌计划采取此类措施。谷歌没有回应有关其打击 API 滥用计划的问题。 转自安全客，原文链接：https://www.anquanke.com/post/id/292437 封面来源于网络，如有侵权请联系删除

Ivanti 于 1 月 4 日修复了其端点管理器 (EPM) 软件中的一个严重漏洞 (CVSS 9.6)，该漏洞可能会让具有内部访问权限的攻击者启动远程代码执行 (RCE)。 该漏洞（CVE-2023-39336）如果被利用，可能会让黑客利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出，而无需进行身份验证。 Ivanti在博客文章中表示，这可以让黑客控制运行 EPM 代理的计算机，并且当核心服务器配置为使用 SQL Express 时，这可能会导致核心服务器上出现 RCE。 Ivanti 明确表示，没有迹象表明客户受到该漏洞的影响。不过，该公司表示，该错误会影响该产品的所有受支持版本，并已在Ivanti EPM 2022 服务更新 5中得到解决。供应商将hir0ot归功于识别和报告 Ivanti EPM 问题。 安全专业人员应注意，Ivanti 在过去几个月中其产品遇到了问题。8 月，Ivanti披露其 Ivanti Sentry 网关中的一个零日漏洞正在被广泛利用。2023 年夏天，其端点管理器移动 (EPMM) 平台面临两个备受瞩目的严重漏洞，其中一个漏洞在对挪威政府12 个部委的攻击中被利用。 太多 IT 资产忽视端点保护 Sevco Security 联合创始人 Greg Fitzgerald 解释说，黑客已经非常擅长劫持易受攻击的端点并利用它们访问数据和企业网络。Fitzgerald 表示，Ivanti 漏洞的好消息是，似乎没有人利用了该漏洞。坏消息：这种类型的漏洞只是端点安全的冰山一角。 Fitzgerald 指出，Sevco 最近的研究发现了一个更深层次的问题：许多公司对缺少端点保护等关键控制的 IT 资产视而不见。研究发现，11% 的 IT 资产一开始就缺少端点保护。同一数据显示，15% 的 IT 资产未被企业补丁管理解决方案覆盖，31% 的 IT 资产未被企业漏洞管理系统覆盖。 “这些数据点结合起来指向了一个需要注意的问题，”菲茨杰拉德说。“太多的 IT 资产对于安全团队来说是不可见的。您无法保护或修补您不了解的 IT 资产。这就是为什么准确、最新的 IT 资产清单至关重要。” Ontinue 威胁响应负责人 Balasz Greksza 补充道，除了启动 RCE 之外，最新的缺陷还可能通过卸载/禁用运行 EPM 代理的主机上的安全产品、部署恶意驱动程序或勒索软件，以及留下持久性植入来删除它们。在组织的关键主机上。 Greksza 表示：“该漏洞的利用噪音相对较低，并且需要安全事件响应人员直接监控 SQL 查询。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292442 封面来源于网络，如有侵权请联系删除

安全研究人员近期检测到了数百个 IP 地址，这些地址扫描或试图利用 Apache RocketMQ 服务中存在的远程命令执行漏洞 CVE-2023-33246 和 CVE-2023-37582。 这两个安全漏洞的危险程度都很高，其中 CVE-2023-33246 漏洞主要影响包括 NameServer、Broker 和 Controller 等在内的多个组件。 据悉，Apache 已经发布了一个针对 RocketMQ 中 NameServer 组件的不完整的修复程序，但 Apache RocketMQ 项目管理委员会成员 Rongtong Jin 警告称，鉴于 CVE-2023-33246 漏洞问题在 5.1.1 版本中未得到完全修复，RocketMQ NameServer 组件中仍存在远程命令执行漏洞。 安全研究人员表示，在易受攻击的网络系统上，当 NameServer 的地址在未经适当权限检查的情况下在线暴露时，黑客便可以利用 CVE-2023-33246 漏洞，使用 NameServer 上的更新配置功能来执行任意命令。 此外，研究人员进一步指出，黑客还能够利用 CVE-2023-37582 安全漏洞，以 RocketMQ 正在运行的系统用户身份执行任意命令，建议将 RocketMQ 5.x/4.x 的 NameServer 升级到 5.1.2/4.9.7 或更高版本，以避免遭受网络攻击。 威胁跟踪平台 The ShadowServer Foundation 已记录了数百个主机扫描在线暴露的 RocketMQ 系统，其中一些主机正在试图利用 CVE-2023-33246 和 CVE-2023-37582 这两个安全漏洞。ShadowServer 强调，它所观察到的攻击活动可能是潜在黑客的侦查尝试、利用行为，甚至是研究人员扫描暴露端点的一部分。 至少从 2023 年 8 月起，就有很多黑客瞄准了易受攻击的 Apache RocketMQ 系统，当时研究人员就已经观察了 DreamBus 僵尸网络利用 CVE-2023-33246 安全漏洞，在易受攻击的服务器上投放 XMRig Monero 矿机。 2023 年 9 月，美国网络安全和基础设施安全局（CISA）敦促联邦机构在当月底前修补 CVE-2023-33246漏洞，并就其活跃利用状态发出了严重警告。 转自FreeBuf，原文链接：https://www.freebuf.com/articles/389018.html 封面来源于网络，如有侵权请联系删除

未知组织已针对 Apache 的 OfBiz 企业资源规划 (ERP) 框架中发现的零日漏洞发起了调查，该框架是一种日益流行的分析补丁以寻找绕过软件修复方法的策略。 根据网络安全公司 SonicWall 的分析，12 月 26 日披露的 Apache OFBiz 中的0day 漏洞(CVE-2023-51467)允许黑客访问敏感信息并针对使用 ERP 框架的应用程序远程执行代码。Apache 软件基金会最初发布了针对相关漏洞CVE-2023-49070的补丁 ，但该修复无法防范其他变体的攻击。 SonicWall  威胁研究执行总监道格拉斯·麦基 (Douglas McKee) 表示，该事件突显了黑客对针对高价值漏洞发布的任何补丁进行仔细审查的策略，这些努力通常会导致找到绕过软件修复的方法。 “一旦有人完成了工作，说‘哦，这里存在一个漏洞’，现在一大群研究人员或黑客就可以关注这个漏洞，而你就让自己接受了更多的考验，“ 他说。“你已经引起了对该代码区域的注意，如果你的补丁不是坚如磐石或者遗漏了某些内容，那么它更有可能被发现，因为你对它有额外的关注。” SonicWall 研究人员 Hasib Vhora 分析了 12 月 5 日的补丁，发现了利用该问题的其他方法，该公司于 12 月 14 日向 Apache 软件基金会报告了这一情况。 Vhora在问题分析中表示：“在分析 CVE-2023-49070 补丁时，我们对所选择的缓解措施很感兴趣，并怀疑仍然存在身份验证被绕过的情况，因为该补丁只是从应用程序中删除了 XML RPC 代码。” 。“因此，我们决定深入研究代码，找出身份验证绕过问题的根本原因。” 补丁存在漏洞 Apache 并不是唯一一家发布了黑客能够绕过的补丁的公司。根据谷歌威胁分析小组 (TAG) 发布的数据，2020 年，使用零日漏洞攻击的 24 个漏洞中有 6 个 (25%) 是之前修补的安全问题的变体。谷歌在更新的分析中表示，到 2022 年，受到零日漏洞攻击的 41 个漏洞中，有 17 个（41%）是先前修补问题的变体。 Google Mandiant 的高级经理 Jared Semrau 表示，公司未能完全修补问题的原因有很多，从不了解问题的根本原因到处理大量积压的软件漏洞，再到优先考虑立即修补而不是全面修复。 “对于为什么会发生这种情况，没有简单、单一的答案，”他说。“有几个因素可能会导致补丁不完整，但SonicWall 研究人员是绝对正确的 – 很多时候公司只是修补已知的攻击向量。” 谷歌预计，针对未完全修补的漏洞的零日攻击所占比例仍将是一个重要因素。从黑客的角度来看，发现应用程序中的漏洞很困难，因为研究人员和黑客必须查看数十万或数百万行代码。通过专注于可能尚未正确修补的有前途的漏洞，黑客可以继续攻击已知的弱点，而不是从头开始。 解决 OfBiz 问题的方法 在很多方面，这就是 Apache OfBiz 漏洞所发生的情况。原始报告描述了两个问题：需要访问 XML-RPC 接口 (CVE-2023-49070) 的 RCE 缺陷，以及为不受信任的黑客提供此访问权限的身份验证绕过问题。ASF 安全响应团队在回答 Dark Reading 的问题时表示，Apache 软件基金会认为删除 XML-RPC 端点可以防止这两个问题被利用。 “不幸的是，我们忽略了相同的身份验证绕过还会影响其他端点，而不仅仅是 XML-RPC 端点，”该团队表示。“一旦我们意识到这一点，第二个补丁就在几个小时内发布了。” Apache 软件基金会成员 Deepak Dixit在 Openwall 邮件列表中表示，该漏洞被 Apache 追踪为 OFBIZ-12873，“允许黑客绕过身份验证以实现简单的服务器端请求伪造 (SSRF)” 。他认为 SonicWall 威胁研究员 Hasib Vhora 和另外两名研究人员（Gao Tian 和 L0ne1y）发现了这个问题。 由于 OfBiz 是一个框架，是软件供应链的一部分，因此该漏洞的影响可能会很广泛。例如，流行的 Atlassian Jira 项目和问题跟踪软件使用 OfBiz 库，但该漏洞能否在该平台上成功执行仍然未知。 Sonicwall 的 McKee 表示：“这将取决于每家公司构建网络的方式以及配置软件的方式，”他说。“我想说，典型的基础设施不会面向互联网，它需要某种类型的 VPN 或内部访问。” ASF 安全响应团队表示，无论如何，公司都应该采取措施，将已知使用 OfBiz 的任何应用程序修补到最新版本。 “我们对使用 Apache OFBiz 的公司的建议是遵循安全最佳实践，包括仅向需要的用户授予对系统的访问权限，确保定期更新您的软件，并确保您有能力在安全问题发生时做出响应。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292408 封面来源于网络，如有侵权请联系删除

谷歌周三宣布了 2024 年首个 Chrome 安全更新，解决了 6 个漏洞，其中包括外部研究人员报告的 4 个漏洞。 谷歌在其公告中指出，外部报告的所有四个安全缺陷都是高严重性内存安全缺陷，但仅针对其中三个提供了错误赏金奖励。 前两个错误分别为 CVE-2024-0222 和 CVE-2024-0223，是图形渲染引擎 ANGLE 中的释放后使用漏洞和堆缓冲区溢出漏洞。 这两个问题均由 Qrious Secure 研究人员报告，他们每个问题都获得了 15,000 美元的漏洞赏金奖励。 第三个错误 CVE-2024-0224 是 Chrome 的 WebAudio 组件中的释放后使用缺陷。谷歌表示，针对该漏洞，它向报告该漏洞的蚂蚁集团光年安全实验室研究人员提供了 10,000 美元的漏洞赏金。 最新的 Chrome 更新还解决了 WebGPU 中的释放后使用漏洞。该错误被追踪为 CVE-2024-0225，谷歌尚未透露向报告研究人员支付的错误赏金金额。 当释放内存分配时未清除指针时，就会出现释放后使用问题，通常会导致任意代码执行、数据损坏或拒绝服务。 在 Chrome 中，如果黑客针对底层操作系统或特权进程中的缺陷，则可以利用释放后使用错误来规避浏览器的沙箱。 谷歌长期以来一直致力于提高 Chrome 中的内存安全性，并强化了浏览器以防止利用释放后使用漏洞。 尽管做出了这些努力，去年浏览器中还是记录了数十个释放后使用问题，其中大多数被评为“高危”。 最新的 Chrome 迭代现已推出，适用于 macOS 和 Linux 的版本为 120.0.6099.199，适用于 Windows 的版本为 120.0.6099.199/200。Google 将 Chrome 的扩展稳定通道更新为 macOS 版本 120.0.6099.199 和 Windows 版本 120.0.6099.200。 转自安全客，原文链接：https://www.anquanke.com/post/id/292401 封面来源于网络，如有侵权请联系删除

Chrome和Excel解析库存在被利用的漏洞。在发现漏洞之后，美国网络安全和基础设施安全局（CISA）立即向联邦机构发布了紧急通知，要求机构在1月23日前完成风险缓解工作，并遵循供应商的指南迅速解决这些漏洞。 目前，美国网络安全和基础设施安全局（CISA）已经将两个识别出来的重大漏洞添加到被利用漏洞（KEV）目录中。其中一个是最近修补的Google Chrome中的漏洞，另一个是影响开源Perl库“Spreadsheet::ParseExcel”的漏洞，该库被用于读取Excel文件中的信息。 CVE-2023-7024 CVE-2023-7024是2023年12月前发现的Google Chrome中WebRTC组件的一个严重漏洞，它允许黑客通过特制的HTML页面利用堆缓冲区溢出，最终控制受害者的电脑。 Google在2023年12月已经修补了这个安全漏洞，对于那些已经更新到修补版本浏览器的用户来说，它不再构成威胁。为了保护浏览器和其他软件不受未来漏洞的侵害，建议用户将它们更新到最新版本。 CVE-2023-7101 CVE-2023-7101是一个影响Spreadsheet::ParseExcel的关键漏洞，而Spreadsheet::ParseExcel是用来解析Excel文件的Perl模块，它暴露了远程代码执行（RCE）的风险，允许黑客通过特制的Excel文件控制易受攻击的系统。 该漏洞允许黑客将恶意Excel文件上传到易受攻击的系统，也可以利用数字格式字符串在系统上执行任意代码，黑客可能通过这些操作窃取敏感数据（密码、个人信息等）、安装恶意软件、扰乱系统操作，甚至完全控制受影响的系统。 目前，Spreadsheet::ParseExcel软件版本是0.65的用户可能会受到这一漏洞的影响。值得注意的是，该漏洞的影响范围扩展到了用Perl开发的各种应用程序和框架，因此也可能会影响整个系统。 为了解决这一漏洞，Metacpan已经发布了一个修补版本0.66，作为预防措施，强烈建议用户尽快更新到修补版本。在无法立即更新的情况下，建议用户采取缓解措施，例如限制文件上传或禁用与Spreadsheet::ParseExcel相关的功能。 Qualys威胁研究部门首席威胁情报分析师奥布雷·佩林表示，“CVE-2023-7101是一个Perl库的漏洞，它已经引起了广泛关注，这一点在网络和电子邮件安全公司Barracuda的设备中的使用可以看出。” 奥布雷指出，这一漏洞已被公开，勒索软件使用者利用它来进行恶意操作的风险已经增加，建议企业彻底评估环境，检查是否有‘Spreadsheet::ParseExcel’实例需要更新或移除。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388779.html 封面来源于网络，如有侵权请联系删除

负责管理该国放射性废物的英国公司放射性废物管理公司 ( RWM ) 面临着通过社交网络 LinkedIn 发起的网络攻击。尽管这次袭击没有成功，但引起了核工业界的担忧，引发了对关键核基础设施安全的质疑。 据《卫报》报道 ，此次网络攻击是通过商业通信社交网络 LinkedIn 组织的。然而，没有报道这是否是网络钓鱼消息或试图诱骗员工安装恶意软件。 LinkedIn 经常被用于针对某些公司员工的网络钓鱼攻击。去年，ESET 研究人员报告了Lazarus 组织的黑客精心策划的网络间谍活动。当时，恶意活动针对的是一家西班牙航空航天公司的员工。 RWM 正在领导一个耗资 500 亿英镑的项目，建设一个地质处置库来处置放射性废物。作为创建核废料服务 (NWS) 的一部分，RWM 联合了三个核组织，它们富有成效的合作将有助于在尽可能短的时间内实施该项目。 NWS 发言人表示：“NWS 与许多其他英国公司一样，注意到 LinkedIn 被用来识别我们公司内部的员工。借助我们的多层保护系统，可以检测到并阻止入侵尝试。” 专家警告称，LinkedIn 等社交平台正日益成为黑客的首选平台。他们提供各种渗透途径，包括创建虚假帐户、网络钓鱼电子邮件和彻底的凭据盗窃。 FBI 特工 Sean Regan 此前强调了诈骗者利用 LinkedIn 招募用户参与恶意加密货币投资计划的“重大威胁”。 LinkedIn 本身也在采取措施提醒用户注意潜在的诈骗，并提供资源来提高在线安全。然而，通过这一渠道可能达成的妥协对于不同国家的许多关键行业仍然具有重要意义。 NWS 认识到需要不断改进网络安全措施，强调应急响应计划必须满足不断变化的业务需求。 转自安全客，原文链接：https://www.anquanke.com/post/id/292364 封面来源于网络，如有侵权请联系删除

安全威胁监控平台 Shadowserver 最近的一份报告警告说，互联网上有近1100万台SSH服务器（由唯一的IP地址标识），很容易受到水龟攻击（TerrapinAttack），从而威胁到某些SSH连接的完整性。 “水龟攻击”是德国波鸿鲁尔大学安全研究人员开发的新攻击技术。利用了SSH传输层协议的弱点，并结合了OpenSSH十多年前引入的较新的加密算法和加密模式。后者已被广泛的SSH实现所采用，因此影响当前的大多数SSH实例。 “水龟攻击”会在握手过程中操纵序列值，损害SSH通道的完整性，特别是在使用ChaCha20-Poly1305或带有Encrypt-then-MAC的CBC等特定加密模式时。与攻击相关的三个漏洞的编号为：CVE-2023-48795、CVE-2023-46445和CVE-2023-46446。 攻击者可降级用于用户身份验证的公钥算法，并禁用OpenSSH9.5中针对击键计时攻击的防御。 “水龟攻击”的一个重要前提是攻击者需要处于中间人(MiTM)位置来拦截和修改握手交换。这意味着“水龟攻击“的威胁并不是特别严重。在许多情况下，修补CVE-2023-48795可能不是优先事项。 但值得注意的是，黑客经常会先入侵目标网络，并潜伏等待合适的时机实施水龟攻击。 全球有上千万台SSH服务器存在漏洞 安全威胁监控平台Shadowserver的报告显示，互联网上有近1100万台暴露的SSH服务器很容易受到“水龟攻击”，约占Shadoserver监控的IPv4和IPv6空间中所有扫描样本的52%。 大多数易受攻击的系统位于美国（330万个），其次是中国（130万个）、德国（100万个）、俄罗斯（70万个）、新加坡（39万个）和日本（38万个）。 虽然并非所有1100万个SSH服务器实例都面临立即受到攻击的风险，但这至少表明对手有大量可供选择的目标实例。 波鸿鲁尔大学团队发布了一个“水龟攻击“漏洞扫描器，可帮助用户检查SSH客户端或服务器是否存在水龟攻击漏洞。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388636.html 封面来源于网络，如有侵权请联系删除