研究人员表示，影响大多数计算机的固件漏洞使黑客能够执行恶意代码并绕过启动安全系统。 研究人员表示，可能影响95%计算机的固件漏洞使黑客能够无视启动安全并在启动时执行恶意软件。这些缺陷源于 UEFI 系统固件中用于在启动屏幕上加载徽标图像的图像解析器，因此被称为“LogoFAIL”。 发现这些漏洞的固件供应链安全公司 Binarly 的研究人员警告说： “包括英特尔、宏碁和联想在内的不同供应商的数百种消费级和企业级设备可能容易受到攻击。” LogoFAIL 首次在11月29日的博客文章中披露，技术细节在Binarly 在Black Hat Europe 2023上展示其发现后于周三发布。 什么是LogoFAIL？ LogoFAIL 是用于在设备启动过程中加载徽标的图像解析库中的一组固件漏洞。利用 LogoFAIL 要求攻击者能够访问存储徽标图像的 EFI 系统分区 (ESP)，即黑客通过利用其他错误获得远程访问权限或对设备进行物理访问。 使用恶意负载更改或替换徽标图像会导致在启动过程中解析图像时注入的恶意软件被任意执行。此图像解析过程发生得太早，无法让安全启动和英特尔 Boot Guard 等安全机制检测到恶意代码。 Binarly 研究人员写道： “这种攻击向量可以为攻击者提供绕过大多数端点安全解决方案的优势，并提供一个隐形固件启动工具包，该启动工具包将持续存在于 ESP 分区或带有修改过的徽标图像的固件胶囊中。” 我的计算机是否受到 LogoFAIL 的影响？ 由于三个主要独立 BIOS 供应商 (IBV)（AMI、Insyde 和 Phoenix）普遍使用受影响的图像解析器，LogoFAIL 的攻击面非常巨大。这些供应商为宏碁、英特尔和联想等数十家主要设备制造商提供 UEFI 系统固件，然后这些制造商将固件整合到数百种设备型号中。 据 DarkReading 称， Binarly 首席执行官 Alex Matrosov 估计95%的设备使用来自受影响的 IBV 之一的 UEFI 固件。 然而，Binarly 研究人员报告称，并非所有具有构成 LogoFAIL 的图像解析器缺陷的设备都可以被视为真正“可利用”。例如，虽然研究人员测试的戴尔设备总共包含了526个有缺陷的解析器，但这些缺陷无法用于执行恶意代码，因为戴尔计算机不允许更改启动徽标图像。 虽然研究人员尚未能够编制受影响设备型号的完整列表，但他们在披露 LogoFAIL 详细信息的几个月前就向主要 IBV 和设备供应商报告了这些漏洞。用户需要确保他们的计算机固件是最新的，以防止 LogoFAIL 漏洞；例如，联想发布了安全公告以及有关如何更新特定设备型号的说明。   转自安全客，原文链接https://www.anquanke.com/post/id/291789 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，WordPress 近期发布了6.4.2更新版本，修复了一个远程代码执行 (RCE) 漏洞。据悉，该漏洞能够与另外一个安全漏洞形成“联动”，允许威胁攻击者在目标网站上运行任意 PHP 代码。 WordPress 是一种非常流行的开源内容管理系统（CMS），主要用于创建和管理网站，目前已经有8 亿多个网站使用它，约占互联网上所有网站的45%。然而，该项目的安全团队在 WordPress core 6.4中发现了一个面向属性编程（POP）链漏洞，在某些条件下，该漏洞可允许未经授权的威胁攻击者执行任意 PHP 代码。 POP 链“要求”威胁攻击者控制反序列化对象的所有属性，而 PHP 的 unserialize()函数正好可以做到这一点，一旦这样操作的话，威胁攻击者有可能通过控制发送到 megic 方法（如”_wakeup()”）的值来劫持应用程序的流程。值得一提的是，这个安全问题需要受害目标网站上存在 PHP 对象注入漏洞（可能存在于插件或主题附加组件中）才能产生最恶劣的影响。 WordPress 方面指出，该远程代码执行漏洞虽然在内核中无法直接被攻击者利用，但安全团队认为如果与某些插件结合使用，尤其是在多站点安装中，就有可能造成严重后果。 Wordfence 的 WordPress 安全专家的 PSA 提供了有关该安全问题的一些技术细节，并解释称该安全问题出现在 WordPress 6.4中引入的”WP_HTML_Token”类中，以改进块编辑器中的 HTML 解析，该类包含一个”__destruct”magic 方法，该方法使用”call_user_func”执行在”on_decurt”属性中定义的函数，并将”bookmark_name”作为参数。 最后，研究人员强调，威胁攻击者能够利用对象注入漏洞，轻松控制这些属性来执行任意代码。 有条件执行回调函数的类析构函数（Patchstack） 尽管该安全漏洞本身可能并不严重，但由于需要在已安装和活动的插件或主题上注入对象，WordPress 核心中存在可利用的 POP 链会显著增加 WordPress 网站的总体风险。Patchstack 针对 WordPress 和插件的安全平台发出的通知中强调，针对该问题的漏洞利用链已于几周前上传至 GitHub，随后被添加到用于 PHP 应用程序安全测试的 PHPGGC 库中。 最后，即使该漏洞只是潜在的安全问题，而且在某些特定情况下才可以被威胁攻击者利用，但安全研究人员还是建议管理员尽快更新到最新的 WordPress 版本。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/386057.html 封面来源于网络，如有侵权请联系删除

Forescout Vedere Labs 的安全研究人员在加拿大Sierra Wireless公司的OT / IoT路由器中发现了 一组 21 个漏洞，这些漏洞可能导致远程代码执行、未经授权的访问、跨站点脚本编写、身份验证绕过和拒绝服务攻击。 这些缺陷影响专有的 AirLink 路由器和开源组件，例如 TinyXML 和 OpenNDS。AirLink 路由器广泛应用于工业和关键任务应用，提供高性能和多网络连接。它们广泛应用于政府系统、紧急服务、能源、交通、供水和废水系统、制造和医疗保健。 专家发现的最重要的漏洞有以下 9 个： CVE-2023-41101（OpenDNS 中的远程代码执行，CVSS 评分 9.6） CVE-2023-38316（OpenDNS 中的远程代码执行，CVSS 评分 8.8） CVE-2023-40463（ALEOS 未经授权的访问，CVSS 评分 8.1） CVE-2023-40464（ALEOS 未经授权的访问，CVSS 评分 8.1） CVE-2023-40461（ACEmanager 中的跨站点脚本，CVSS 评分 8.1） CVE-2023-40458（ACEmanager 中的拒绝服务，CVSS 评分 7.5） CVE-2023-40459（ACEmanager 中的拒绝服务，CVSS 评分 7.5） CVE-2023-40462（ACEmanager 中的拒绝服务，与 TinyXML 相关，CVSS 评分 7.5） CVE-2023-40460（ACEmanager 中的跨站点脚本，CVSS 评分 7.1） 对于上面列出的至少五个漏洞，攻击者不需要身份验证即可成功利用它们。 研究人员表示，攻击者可以利用其中一些漏洞来完全控制关键基础设施中的 OT/IoT 路由器。可能会导致网络中断、允许间谍活动或转移到更敏感的资产并引入恶意软件。 AirLink的内置操作系统ALEOS需要尽快更新到4.17.0版本。OpenNDS项目也发布了安全更新，因此该软件也需要更新到版本10.1.3。而 TinyXML 是容错软件，因此不会发布 CVE-2023-40462 的修复程序。 Forescout 还建议采取以下额外步骤来增强保护： 更改 Sierra 无线路由器和类似设备上的默认 SSL 证书； 禁用或限制离线门户、Telnet 和 SSH 等非必要服务； 实施 Web 应用程序防火墙以保护 OT/IoT 路由器免受 Web 漏洞的影响； 配置IDS来监控外部和内部网络流量是否存在安全违规。 有关所有漏洞和攻击原理的更多信息可以在 该公司的技术报告中找到 。同时发现如此大量的漏洞凸显了所有行业（包括关键行业）所使用的网络基础设施的 脆弱性。 为了保护自己免受黑客的攻击，您需要尽一切努力全面加强组织的安全性。   转自安全客，原文链接https://www.anquanke.com/post/id/291711 封面来源于网络，如有侵权请联系删除

网络安全和基础设施安全局（CISA） 披露了 美国联邦机构的两台公共服务器遭受严重攻击的信息。犯罪分子利用了Adobe ColdFusion中的一个严重漏洞（编号为 CVE-2023-26360 ） 。 该漏洞 于 3 月份公开 ，并已于 4 月份被纳入 CISA 已知可利用漏洞目录中，美国联邦机构被要求在 4 月 5 日之前修复该漏洞。然而，在 6 月和 7 月， 有消息称该漏洞从未得到修补，这主要是由于 Adobe 的过错，使得攻击者随着时间的推移能够成功攻击易受攻击的系统。 CISA 没有提供有关该漏洞是否随后得到完全修补、谁是攻击幕后黑手，或者该机构对于错过修补最后期限的官方立场的信息。 对日志的分析结果表明，联邦服务器受到了两次单独的攻击。两台受攻击的服务器都使用过时版本的 ColdFusion，并且容易受到多个 CVE 的攻击。攻击者在受感染的服务器上启动了各种命令，包括利用该漏洞下载恶意软件。 虽然 CISA 无法确认数据是否被盗，但据信这两次攻击都是情报驱动的，目的是调查更广泛的网络。目前尚不清楚这些攻击是否涉及同一运营商。 第一次袭击发生在六月二日。攻击者利用CVE-2023-26360漏洞获得了服务器的访问权限并执行了各种侦察任务。然而，攻击的其他阶段，例如尝试收集凭据和更改受感染服务器上的策略，均未成功。 第二次违规发生在6月26日。攻击者利用了CVE-2023-26360，并花了很长时间探索该系统。然而，恶意代码无法解密密码，因为它是为旧版本的 ColdFusion 设计的。 CISA 强调，攻击者可能获得了种子值和 ColdFusion 加密方法的访问权限，理论上可以解密密码。尽管如此，在受感染的服务器上没有发现恶意代码，表明有人尝试使用这些值进行解密。 这些事件凸显了及时更新软件以防止此类网络攻击的必要性。即使软件供应商无法立即完全消除安全漏洞，也肯定会在后续更新中这样做。这就是为什么管理员及时安装任何安全更新极其重要的原因。“如果有用就不要碰它”的原则在这里绝对不适用。   转自安全客，原文链接：https://www.anquanke.com/post/id/291725 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 将 高通漏洞添加到其已知可利用漏洞 (KEV) 目录中。 以下是添加到目录中的问题列表： CVE-2023-33106  Qualcomm 多芯片组使用超出范围的指针偏移漏洞 CVE-2023-33063  Qualcomm 多芯片组释放后使用漏洞 CVE-2023-33107  Qualcomm 多芯片组整数溢出漏洞 CVE-2022-22071  Qualcomm 多芯片组释放后使用漏洞 该供应商于 2023 年 10 月解决了CVE-2023-33106、CVE-2023-33107和CVE-2023-33063缺陷。该公司还警告说，其中三个0day漏洞在野攻击中被积极利用。CVE-2022-22071 已包含在我们 2022 年 5 月的公共公告中。 谷歌威胁分析小组和谷歌零项目首先报告称，CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063在针对性攻击中被积极利用。 谷歌威胁分析小组和谷歌零项目专家重点关注民族国家行为者或监控公司实施的攻击，这意味着这些威胁行为者之一可能是利用高通缺陷的幕后黑手。 根据约束性操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在到期日之前解决已识别的漏洞，以保护其网络免受利用目录中的缺陷的攻击。 专家还建议私人组织审查 目录 并解决其基础设施中的漏洞。CISA 命令联邦机构在 2023 年 12 月 26 日之前修复这些漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/291732 封面来源于网络，如有侵权请联系删除

谷歌周一宣布，2023 年 12 月的 Android 安全更新针对 94 个漏洞提供了补丁。 更新的第一部分—— 2023年12月1日安全补丁级别——解决了Android框架和系统组件中的33个漏洞。其中三个被评为“严重”。 谷歌在其公告中指出：“这些问题中最严重的是系统组件中的一个关键安全漏洞，可能导致远程（近端/相邻）代码执行，而无需额外的执行权限。 ” 这家互联网巨头解释说，该 RCE 缺陷被追踪为 CVE-2023-40088，影响 Android 11、12、12L、13 和 14，并且不需要用户交互即可成功利用。 最新的 Android 更新还解决了系统组件中的 15 个其他问题，即 10 个权限提升问题和 5 个信息泄露错误。所有这些都被评为“高严重性”。 该更新还修复了 Framework 组件中的 17 个漏洞，其中包括两个导致特权提升和信息泄露的严重错误。 本月 Android 更新的第二部分（ 2023 年 12 月 5 日安全补丁级别）总共解决了 61 个问题，其中包括两个严重缺陷。 这些错误影响 System、Arm、Imagination Technologies、MediaTek、Misc OEM、Unisoc 和 Qualcomm 组件。 2023-12-05 安全补丁级别解决了 2023-12-01 安全补丁级别中解决的所有 61 个问题和漏洞。 周一，谷歌还宣布，2023 年 12 月的 Wear OS 安全更新中包含了针对权限提升漏洞 (CVE-2023-40094) 的补丁。2023 年 12 月 Android Automotive 安全公告中未提及 CVE。 该公司尚未发布安全公告来描述本月 Pixel 设备的更新。谷歌没有提及本月解决的任何漏洞正在被利用。   转自安全客，原文链接：https://www.anquanke.com/post/id/291694 封面来源于网络，如有侵权请联系删除

据安全运营公司 Arctic Wolf 称，影响商业分析公司 Qlik 产品的三个漏洞可能已在勒索软件攻击中被利用。 该网络安全公司报告称，发现攻击似乎利用 CVE-2023-41266、CVE-2023-41265 和 CVE-2023-48365 进行初始访问，然后攻击者尝试在受感染的系统上部署 Cactus 勒索软件。 这些被利用的漏洞是由 Praetorian 发现的，并在 Qlik 宣布提供补丁后不久于 8 月和9 月披露了详细信息。 这些被评为“严重”和“高严重性”的安全漏洞影响了数据分析解决方案 Qlik Sense Enterprise for Windows。CVE-2023-41266 是一个路径遍历问题，允许未经身份验证的远程攻击者生成匿名会话并向未经授权的端点发送 HTTP 请求。 CVE-2023-41265 是一个 HTTP 隧道缺陷，可被利用来提升权限并在托管存储库应用程序的后端服务器上执行 HTTP 请求。 结合起来，未经身份验证的远程黑客可以利用这两个漏洞来执行任意代码并向 Qlik Sense 应用程序添加新的管理员用户。 在 Praetorian 研究人员成功绕过CVE-2023-41265补丁后，分配了 CVE-2023-48365。 虽然 Qlik 针对这些漏洞的公告目前表示没有证据表明存在野外利用的情况，但 Arctic Wolf 声称已经看到明显利用这些漏洞进行远程代码执行的攻击。 在获得对目标组织系统的初步访问权限后，网络犯罪分子被发现卸载安全软件、更改管理员帐户密码、安装远程访问软件、使用 RDP 进行横向移动以及窃取数据。在某些情况下，攻击者试图部署 Cactus 勒索软件。 “根据在所有入侵中观察到的显着重叠，我们将所有描述的攻击归因于同一威胁行为者，该威胁行为者负责部署 Cactus 勒索软件，”Arctic Wolf 说。 Qlik 声称拥有超过 40,000 名客户，这使得其产品中的漏洞对黑客来说非常有价值。 据 ZoomEye 称，Qlik Sense 有超过 17,000 个暴露在互联网上的实例，主要分布在美国，其次是巴西和几个欧洲国家。 Cactus 勒索软件自2023 年 3 月以来一直活跃，已针对多个主要组织。据了解，网络犯罪分子会利用 VPN 设备中的漏洞进行初始访问。 转自安全客，原文链接：https://www.anquanke.com/post/id/291576 封面来源于网络，如有侵权请联系删除

苹果公司周四为其旗舰 macOS 和 iOS 平台推出了安全更新，以修复旧移动设备上已经被利用的两个严重缺陷。  根据库比蒂诺的一系列建议，这些在 WebKit 浏览引擎中标记的漏洞可被用来劫持敏感内容或发起任意代码执行攻击。  该公司推出了iOS 17.1.2 和 iPadOS 17.1.2，修复了 WebKit 缺陷，并警告称，可以通过恶意网页内容发起漏洞利用。  该公司表示：“苹果公司已获悉一份报告，称该问题可能已被针对 iOS 16.7.1 之前的 iOS 版本所利用。”  按照惯例，苹果的公告没有提供有关野外利用的任何其他信息。  该公司将这一发现归功于谷歌威胁分析小组 (TAG) 的 Clément Lecigne。谷歌的研究人员积极发现利用 iPhone 零日漏洞的商业间谍软件供应商和唯利是图的黑客公司。  WebKit 内存安全错误（CVE-2023-42916 和 CVE-2023-42917）也在新的macOS Sonoma 14.1.2和Safari 17.1.2更新中进行了修补。 转自安全客，原文链接：https://www.anquanke.com/post/id/291574 封面来源于网络，如有侵权请联系删除

谷歌周二宣布了一项安全更新，解决了 Chrome 浏览器中的 oday 漏洞。  这个高严重性问题被追踪为 CVE-2023-6345，被描述为 Skia 中的整数溢出错误。Skia 是一个开源 2D 图形库，在 Chrome、Firefox 和其他浏览器中充当图形引擎。  这家互联网巨头在其公告中指出，“谷歌意识到 CVE-2023-6345 的漏洞存在”，但没有提供有关所观察到的漏洞利用的具体细节。  然而，该公司表示，该漏洞是由 Google 威胁分析小组 (TAG) 的 Benoît Sevens 和 Clément Lecigne 报告的，这表明该漏洞可能被间谍软件供应商利用。  在过去的几个月里，Google TAG 研究人员发现了商业监控软件供应商利用的其他几个零日漏洞，包括CVE-2023-5217，Chrome 中的堆缓冲区溢出，已于 9 月底修复。  最新的 Chrome 更新还修复了其他五个高严重性漏洞，包括 Mojo、WebAudio 和 libavif 中的三个释放后使用问题、拼写检查中的类型混淆错误以及 libavif 中的越界内存访问缺陷。  谷歌表示，已向报告研究人员发放了 55,000 美元的奖金，其中最高奖金（31,000 美元）授予了 360 漏洞研究所的 Leecraso 和Guang Kong，原因是 Mojo 漏洞（CVE-2023-6347）。  根据该公司的政策，对于 Google Project Zero 和 Google TAG 研究人员报告的拼写检查和 Skia 缺陷，不会发放任何错误赏金奖励。CVE-2023-6345 是继CVE-2023-5217、CVE-2023-4762、CVE-2023-4863、CVE-2023-3079、CVE-2023-2033和CVE- 2023-2136。  谷歌在 9 月份修补了 CVE-2023-4762，当时它并不知道存在野外利用，但后来表示，在修复程序发布之前可能就存在针对该漏洞的利用。最新的 Chrome 版本现已向用户推出，适用于 macOS 和 Linux 的版本为 119.0.6045.199，适用于 Windows 的版本为 119.0.6045.199/.200。 转自安全客，原文链接：https://www.anquanke.com/post/id/291556 封面来源于网络，如有侵权请联系删除

网络安全公司 Bishop Fox 警告称，人工智能开源计算框架 Ray 中的一个严重漏洞可能允许对所有节点进行未经授权的访问。 该错误的编号为 CVE-2023-48023，其存在是因为 Ray 未在其至少两个组件（即仪表板和客户端）上正确强制执行身份验证。 远程攻击者可以利用此问题在未经身份验证的情况下提交或删除作业。此外， Bishop Fox 表示，攻击者还可以检索敏感信息并执行任意代码。 该网络安全公司指出：“该漏洞可被利用来获得对 Ray 集群中所有节点的操作系统访问权限，或尝试检索 Ray EC2 实例凭证（在典型的 AWS 云安装中）。” CVE-2023-48023 的根源在于，在默认配置中，Ray 不强制执行身份验证，并且似乎不支持任何类型的授权模型，尽管框架文档中描述了可选的相互 TLS 身份验证模式。 “换句话说，即使 Ray 管理员明确启用了 TLS 身份验证，他们也无法授予用户不同的权限，例如对 Ray 仪表板的只读访问权限，”Bishop Fox 说。 据该网络安全公司称，攻击者可以通过作业提交 API 提交任意操作系统命令来利用 CVE-2023-48023。 Ray 缺乏身份验证导致其他安全漏洞，包括最近由 Protect AI 披露的问题，该公司管理 Huntr（人工智能和机器学习的错误赏金平台）。 Bishop Fox 表示，它独立发现了其中两个问题，并与 Protect AI 大约同时向 Ray 的维护者 (Anyscale) 报告。 该网络安全公司表示：“然而，根据 Anyscale 的立场，未经身份验证的远程代码执行是故意的，因此不应被视为漏洞，因此关闭了这些报告。” 此外，该公司表示，Ray jobs Python SDK 可用于未经身份验证的远程代码执行，方法是编写恶意脚本，使用 Ray API 提交任务。Ray 客户端 API 还可能被滥用于未经身份验证的远程代码执行。 Bishop Fox 还提请注意 Ray 中的其他严重漏洞，包括 Protect AI 报告的服务器端请求伪造 (SSRF) 错误 (CVE-2023-48022) 和不安全输入验证缺陷 (CVE-2023-6021)今年夏天给供应商的。 该网络安全公司指出，至少其中一些问题仍未得到修补，因为供应商要么不承认它们是安全缺陷，要么不想解决它们。 转自安全客，原文链接：https://www.anquanke.com/post/id/291506 封面来源于网络，如有侵权请联系删除