一位独立网络安全研究人员发布了概念验证(PoC)漏洞，利用流行的监控和数据分析系统Splunk中的RCE漏洞CVE-2023-46214，更准确地说是在该公司的企业产品Enterprise中。该漏洞允许在易受攻击的服务器上远程执行任意代码，因此该漏洞被指定为高严重性级别（CVSS等级为8.8分）。 SplunkEnterprise是一种用于收集和分析组织基础架构和业务应用程序生成的各种数据的解决方案。然后，这些数据用于生成可操作的分析结果，帮助提高安全性、合规性、应用程序交付、IT运营和业务的其他方面。  Splunk的数百家客户包括许多世界知名公司，包括英特尔、联想、Zoom、博世、可口可乐、棒约翰、本田、彪马等。  漏洞CVE-2023-46214是由于对Splunk用户可以上传的可扩展样式表语言(XSLT)的过滤不当造成的。这使得潜在攻击者能够传输恶意XSLT代码，从而导致在SplunkEnterprise服务器上远程执行代码。  根据Splunk开发者的信息，该漏洞影响9.0.0至9.0.6以及9.1.0至9.1.1版本。同样受到攻击的还有SplunkEnterprise8.x版本和低于9.1.2308版本的SplunkCloud云服务。  发布该漏洞的安全研究人员在一份单独的报告中详细审查了该漏洞。根据获得的数据，发起攻击需要在系统中进行初步身份验证（了解有效的用户凭据），以及目标服务器上的一些用户操作。  Splunk开发人员已经发布了更新9.0.7和9.1.2，修复了CVE-2023-46214漏洞。如果无法立即更新，建议作为临时措施，禁用加载搜索作业的XML样式的功能。此外，Splunk团队还提供了有关该漏洞的详细信息，可能对安全专业人员有用。 转自安全客，原文链接：https://www.anquanke.com/post/id/291508 封面来源于网络，如有侵权请联系删除

来自Eurecom的研究人员近期分享了六种新型攻击方式，统称为”BLUFFS”，这些攻击方式能够破坏蓝牙会话的保密性，使设备容易受到冒充和中间人攻击(MitM)。攻击发现者Daniele Antonioli解释道，”BLUFFS”利用了蓝牙标准中两个以前未知的漏洞，这些漏洞与会话密钥的派生方式以及交换数据的解密过程有关。 这些漏洞并非受限于特定的硬件或软件配置，而是系统性的问题，也就是说它们对蓝牙技术产生了根本性的影响。该漏洞被标识为CVE-2023-24023，影响范围包括蓝牙4.2版到5.4版。 考虑到蓝牙作为一种广泛应用的成熟无线通信标准，以及受到这些漏洞影响的版本，”BLUFFS”可能对数十亿设备构成威胁，包括笔记本电脑、智能手机和其他移动设备。 “BLUFFS”攻击原理 “BLUFFS”是一系列针对蓝牙的攻击方式，旨在破坏蓝牙会话的过去和未来的保密性，对设备之间的通信造成威胁。它通过利用四个会话密钥派生过程中的漏洞（其中两个是新的）来实现，迫使派生出一个短且容易预测的会话密钥(SKC)。攻击者通过暴力破解密钥，能够解密过去的通信内容，并解密或操控将来的通信。 要执行这种攻击方式，攻击者需要在两个正在交换数据的目标设备的蓝牙范围内，并冒充其中一个设备，与另一个设备协商建立一个弱会话密钥，针对最小可能的密钥熵值并使用固定的会话密钥差分器。 发表的论文详细介绍了六种类型的”BLUFFS”攻击，涵盖了冒充以及中间人攻击的各种组合，无论受害者是否支持安全连接(Secure Connections, SC)或传统安全连接(Legacy Secure Connections, LSC)，这些攻击方式都能够实施。 研究人员在GitHub上开发并分享了一个工具包，展示了”BLUFFS”攻击的有效性。该工具包包括用于测试攻击的Python脚本、ARM补丁、解析器以及在测试过程中捕获的PCAP数据样本。 影响范围巨大 “BLUFFS”攻击影响多个版本的蓝牙系统，从2014年12月发布的4.2版本，一直到最新的2023年2月发布的5.4版本。 Eurecom的论文展示了针对多种设备（包括智能手机、耳机和笔记本电脑）进行的”BLUFFS”测试结果，这些设备上运行蓝牙系统是4.1至5.2版本。最终测试结果发现，包含六种攻击方式的”BLUFFS”攻击，至少有三种攻击方式产生了有效结果，这应该引起行业的重视。 论文还提出了以下修改建议，这些修改将增强会话密钥派生机制，并减轻”BLUFFS”及类似威胁的影响： 引入一个新的密钥派生函数(KDF)用于传统安全连接(LSC)，该函数涉及互相交换和验证随机数； 设备应使用共享配对密钥来相互验证会话密钥差分器的合法性，确保会话参与者的合法性。 尽可能强制使用安全连接(SC)模式。 维护会话密钥差分器的缓存，以防止重用。 蓝牙SIG（特殊兴趣小组）作为一个非营利组织，负责监督蓝牙标准的发展并负责授权技术的使用，已经收到了Eurecom的报告，并在其网站上发布了一份声明。该组织建议实施各种强加密措施，例如拒绝连接强度低于七个字节的连接，并使用”安全模式4 级别4″，以确保更高的加密强度，并在配对时仅使用安全连接模式进行操作。   转自Freebuf原文链接：https://www.freebuf.com/news/385158.html 封面来源于网络，如有侵权请联系删除

开源文件共享软件 ownCloud 近日警告称存在三个严重安全漏洞，其中一个漏洞可能会暴漏管理员密码和邮件服务器凭证。 ownCloud 是一款开源文件同步和共享解决方案，个人和组织均可通过这个自托管平台管理和共享文件。 其用户包括企业、教育机构、政府机构和注重隐私的个人，他们希望数据自主可控，而不是将数据托管给第三方云存储提供商。据 OwnCloud 网站报告，其安装量达 20 万次，拥有 600 家企业客户和 2 亿用户。 该软件由多个库和组件组成，共同为云存储平台提供一系列功能。 严重的数据泄露风险 上周早些时候，该项目的开发团队发布了三个安全公告，警告称 ownCloud 的组件中存在三个不同的漏洞，可能会严重影响其完整性。 第一个漏洞被追踪为 CVE-2023-49103，CVSS v3 最高分为 10 分。该漏洞可用于在容器化部署中窃取凭证和配置信息，影响网络服务器的所有环境变量。 该漏洞影响了 graphapi 0.2.0 至 0.3.0，问题源于该应用程序对第三方库的依赖，该库通过 URL 公开了 PHP 环境详细信息，从而暴露了 ownCloud 管理员密码、邮件服务器凭据和许可证密钥。 官方建议的修复方法是删除 “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php “文件，禁用 Docker 容器中的 “phpinfo “函数，并更改可能暴露的机密，如 ownCloud 管理员密码、邮件服务器、数据库凭据和对象存储/S3 访问密钥。 安全公告警告中强调称，仅仅禁用 graphapi 应用程序并不能消除漏洞。 此外，phpinfo 还暴露了其他各种潜在的敏感配置细节，攻击者可利用这些细节收集系统信息。因此，即使 ownCloud 没有在容器化环境中运行，这个漏洞仍应引起关注。 第二个漏洞的 CVSS v3 得分为 9.8，该漏洞可能影响 ownCloud 核心库 10.6.0 至 10.13.0 版本，涉及到身份验证旁路问题。 如果用户的用户名已知且未配置签名密钥（默认设置），攻击者就有可能在未经身份验证的情况下访问、修改或删除任何文件。 已公布的解决方案是，如果没有为文件所有者配置签名密钥，则拒绝使用预签名 URL。 第三个不太严重的漏洞（CVSS v3 得分：9），涉及到子域验证绕过问题，影响 0.6.1 以下所有版本的 oauth2 库。 在 oauth2 应用程序中，攻击者可以输入特制的重定向 URL，绕过验证码，将回调重定向到攻击者控制的域。 官方建议采取的缓解措施是加固 Oauth2 应用程序中的验证代码。公告中分享的临时解决方法是禁用 “允许子域 “选项。 公告中描述的三个安全漏洞严重影响了 ownCloud 环境的安全性和完整性，可能导致敏感信息暴露、隐蔽数据盗窃、网络钓鱼攻击等。 文件共享平台的安全漏洞一直受到攻击，CLOP 等勒索软件组织利用这些漏洞对全球数千家公司进行数据盗窃攻击。 官方建议ownCloud 的管理员立即应用建议的修复程序，以降低风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/384893.html 封面来源于网络，如有侵权请联系删除

英国国家网络安全中心 (NCSC) 和韩国国家情报院 (NIS) 警告称，朝鲜 Lazarus 黑客组织利用 MagicLine4NX 软件中的0day漏洞对企业进行供应链攻击。 MagicLine4NX是韩国Dream Security公司开发的一款安全认证软件，用于组织机构的安全登录。 根据联合网络安全咨询，朝鲜的APT组织利用产品中的0day漏洞来破坏其目标，主要是韩国机构。 该通报描述道：“2023 年 3 月，网络攻击者连续利用安全认证和网络链接系统的软件漏洞，对目标组织的内网进行未经授权的访问。  ” “它利用MagicLine4NX安全认证程序的软件漏洞首次入侵目标的联网计算机，并利用联网系统的0day漏洞进行横向移动并获得未经授权的访问。” 这次攻击首先侵入一家媒体网站，将恶意脚本嵌入文章中，从而引发“水坑”攻击。 当特定 IP 范围的特定目标访问受感染网站上的文章时，脚本会执行恶意代码以触发 MagicLine4NX 软件中的上述漏洞， 影响 1.0.0.26 之前的版本。 这导致受害者的计算机连接到攻击者的 C2（命令和控制）服务器，允许他们通过利用网络链接系统中的漏洞来访问互联网端服务器。 朝鲜APT黑客利用该系统的数据同步功能，将信息窃取代码传播到业务侧服务器，从而危害目标组织内的PC。 删除的代码连接到两台 C2 服务器，一台充当中间网关，另一台位于互联网外部。 恶意代码的功能包括侦察、数据泄露、从 C2 下载和执行加密的有效负载以及横向网络移动。 攻击链 （ncsc.go.kr） 有关这次攻击的详细信息，代号为“Dream Magic”，归因于 Lazarus APT组织，可以参考在这份AhnLab 报告，该报告仅提供韩语版本。 朝鲜官方背景的黑客组织始终依赖供应链攻击和利用0day漏洞作为其网络战策略的一部分。 2023 年 3 月，人们发现 Lazarus 的一个子组织“Labyrinth Chollima”对 VoIP 软件制造商 3CX进行了供应链攻击 ，破坏了全球多家知名公司的安全。 上周五， 微软披露了针对讯连科技的供应链攻击，Lazarus 黑客组织利用该攻击分发木马化、数字签名的讯连科技安装程序，用“LambLoad”恶意软件感染至少一百台计算机。 朝鲜黑客组织利用此类攻击来针对特定公司，无论是网络间谍活动、金融欺诈还是加密货币盗窃。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xvxw5BamJoZjNDgJRw6hYw 封面来源于网络，如有侵权请联系删除

网络公司 Akamai 的研究人员周四表示，不法分子正在积极利用两个新的0day漏洞，将路由器和录像机引入用于分布式拒绝服务攻击的恶意僵尸网络。 根据 Akamai 的一篇博客，这两个0day漏洞以前对其制造商和整个安全研究社区来说都是未知的，当受影响的设备使用默认管理凭据时，这两个漏洞允许远程执行恶意代码。 未知攻击者一直在利用0day漏洞来破坏设备，以便它们能够感染 Mirai，Mirai 是一款强大的开源软件，使路由器、摄像头和其他类型的物联网设备成为能够发起攻击的僵尸网络的一部分。Mirai僵尸网络发起的 DDoS 攻击规模以前难以想象。 Akamai 研究人员表示，受到攻击的0day漏洞之一存在于一种或多种网络录像机型号中。另一个0day漏洞存在于“为酒店和住宅应用构建的基于插座的无线 LAN 路由器”中。 该路由器由一家日本制造商销售，该制造商“生产多种交换机和路由器”。被利用的路由器功能是“非常常见的一个”，研究人员不能排除它在制造商销售的多种路由器型号中被利用的可能性。 Akamai 表示，已向两家制造商报告了这些漏洞，其中一家制造商已保证将于下个月发布安全补丁。Akamai 表示，在修复措施到位以防止0day漏洞被更广泛地利用之前，它不会确定具体设备或制造商。 “尽管这些信息有限，但我们认为我们有责任提醒社区注意这些 CVE 在野外的持续利用情况。负责任地披露信息以帮助防御者与过度分享可能导致成群威胁行为者进一步滥用的信息之间只有一线之隔。” Akamai 帖子提供了攻击中使用的大量文件哈希值以及 IP 和域地址。网络摄像机和路由器的所有者可以使用此信息来查看其网络上的设备是否已成为攻击目标。 远程代码执行使用一种称为命令注入的技术，该技术首先要求攻击者使用易受攻击的设备中配置的凭据来验证自身身份。身份验证和注入是使用标准 POST 请求进行的。 Akamai 研究员 Larry Cashdollar 在一封电子邮件中写道： 这些设备通常不允许通过管理界面执行代码。这就是为什么需要通过命令注入来获取RCE。 因为攻击者需要首先进行身份验证，所以他们必须知道一些有效的登录凭据。如果设备使用易于猜测的登录名（例如 admin:password 或 admin:password1），那么如果有人扩展凭据列表进行尝试，这些登录名也可能面临风险。 他表示，两家制造商都已收到通知，但迄今为止只有其中一家承诺发布补丁，预计将于下个月发布。第二个制造商的修复状态目前未知。 Cashdollar 表示，不完整的互联网扫描显示至少有 7,000 个易受攻击的设备。受影响设备的实际数量可能更多。 Mirai 于 2016 年首次引起公众广泛关注，当时僵尸网络（即由敌对威胁行为者控制的受感染设备组成的网络）以当时创纪录的 620 GB 每秒的DDoS攻击摧毁了安全新闻网站KrebsOnSecurity。 除了强大的火力之外，Mirai 的脱颖而出还有其他原因。首先，它征用的设备是路由器、安全摄像头和其他类型的物联网设备的集合，这在此之前基本上是看不见的。另一方面，底层源代码很快就可以免费获得。 很快，Mirai 就被用于针对游戏平台和为其提供服务的 ISP 的更大规模的 DDoS 攻击。从那时起，Mirai 和其他物联网僵尸网络就已成为互联网生活的一部分。 Akamai 发现的攻击中使用的 Mirai 僵尸网络恶意软件主要是一种名为 JenX 的较旧变种。不过，它已被修改为使用比平常少得多的域名来连接到命令和控制（C2）服务器。一些恶意软件样本还显示与称为“HailBot”的独立 Mirai 变体有关。 Akamail 观察到的0day攻击（包括冒犯性种族主义诽谤）中使用的代码与一家中国安全公司 5 月份观察到的针对俄罗斯新闻网站的 DDoS 攻击中使用的代码几乎相同。下图显示了并排比较。 研究人员尚未从 NVR 供应商那里获得据信受影响的设备型号和版本的完整报告。据估计，NVR供应商生产了大约100种NVR / DVR / IP监控摄像机产品 ——很难确切知道哪些受到影响，哪些没有受到影响。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-SUf9IHVMC_qpj9fE-_aZQ 封面来源于网络，如有侵权请联系删除

一项新的研究发现，戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 笔记本电脑上的多个漏洞可以绕过 Windows Hello 身份验证。 这些漏洞是由硬件和软件产品安全研究公司 Blackwing Intelligence 的研究人员发现的，他们从这些设备中嵌入的 Goodix、Synaptics 和 ELAN 的指纹传感器中发现了这些漏洞。 利用指纹读取器漏洞的前提条件是目标笔记本电脑的用户已经设置了指纹验证。 这三种指纹传感器都是一种称为 “芯片匹配”（MoC）的传感器，它将匹配和其他生物识别管理功能直接集成到传感器的集成电路中。 研究人员 Jesse D’Aguanno 和 Timo Teräs 说：虽然 MoC 可以防止将存储的指纹数据重放给主机进行匹配，但它本身并不能防止恶意传感器欺骗合法传感器与主机的通信，谎称授权用户已成功通过身份验证。 MoC也无法阻止重放主机与传感器之间先前记录的通信。 尽管微软创建的安全设备连接协议（SDCP）旨在通过创建端到端安全通道来缓解其中的一些问题，但研究人员发现了一种新方法，可用于规避这些保护措施和发动AitM攻击。 在Synaptics公司的案例中，不仅发现SDCP在默认情况下是关闭的，而且在实施过程中还选择依赖有漏洞的自定义传输层安全（TLS）协议栈来确保主机驱动程序和传感器之间的USB通信安全，而这种安全协议栈可以被用来规避生物识别身份验证。 另一方面，对 Goodix 传感器的利用，利用了在加载了 Windows 和 Linux 的机器上执行的注册操作的根本差异，利用后者不支持 SDCP 来执行以下操作： 启动到 Linux 枚举有效 ID 使用与合法 Windows 用户相同的 ID 注册攻击者的指纹 利用明文 USB 通信对主机和传感器之间的连接进行 MitM 启动到 Windows 拦截并重写配置数据包，以便使用我们的米特米技术指向 Linux DB 使用攻击者的指纹以合法用户身份登录 值得指出的是，虽然 Goodix 传感器为 Windows 和非 Windows 系统分别提供了不同的指纹模板数据库，但由于主机驱动程序会向传感器发送未经验证的配置数据包，以指定在传感器初始化过程中使用哪个数据库，因此攻击才有可能发生。 为减少此类攻击，建议原始设备制造商（OEM）启用 SDCP，并确保指纹传感器的实施由独立的专家进行审核。 研究人员说：微软在设计 SDCP 以在主机和生物识别设备之间提供安全通道方面做得很好，但不幸的是，设备制造商似乎误解了其中的一些目标。 此外，SDCP 只覆盖了典型设备非常狭窄的操作范围，而大多数设备都暴露了相当大的攻击面，SDCP 根本没有覆盖这些攻击面。   转自Freebuf，原文链接：https://www.freebuf.com/news/384633.html 封面来源于网络，如有侵权请联系删除

已发现的漏洞一旦被利用，将构成严重风险，可能导致未经授权访问敏感信息。 印度计算机应急响应小组（CERT-IN）在最近发布的一份公告中，就影响印度安卓用户的新安卓漏洞发出了重要警告。 该警告对使用安卓 11、12、12L、13 和 14 版本的用户尤为重要，这些版本在目前使用的安卓设备中占很大比例。 已发现的 Android 漏洞如果被成功利用，将带来巨大风险，包括可能导致未经授权访问敏感信息、权限提升，以及助长对目标系统的拒绝服务攻击。鉴于这些安全问题，我们强烈呼吁 Android 用户保持警惕并采取必要的预防措施。 CERT-IN 公布的重要 Android 漏洞 根据CERT-IN于11月14日发布的声明，这些Android关键漏洞的源头在于Android操作系统的框架、系统、Google Play系统更新、内核LTS、Arm组件、联发科组件、高通组件和高通闭源组件中的漏洞。 这些漏洞具有广泛性，会影响 Google Play 系统更新、框架、系统等关键组件以及与不同硬件制造商相关的组件。如此广泛的影响，加剧了对安卓设备安全的整体威胁。 网络安全专家正在积极努力解决这些漏洞，并强调安卓用户需要在安全补丁发布后立即更新他们的设备。 在网络威胁日益频繁的时代，面对这些新的网络安全挑战，采取积极主动的措施对于保护个人信息和确保 Android 设备不被入侵至关重要。 如何保护设备免受这些安卓漏洞的攻击？ CERT-IN将继续密切关注这一情况，并强烈建议安卓用户保持警惕，采取必要的安全措施保护自己的设备免受潜在漏洞的攻击。 该机构表示，成功利用这些漏洞可能导致未经授权访问敏感信息、提升攻击者权限以及对目标系统发起拒绝服务攻击。 正如上周发布的安卓安全公告所示，谷歌也承认了这些高危漏洞。作为回应，谷歌正在为所有安卓用户发布安全更新，以解决这些问题。 为确保设备安全，Android 用户最好定期检查更新。用户可以在 “设置 “应用程序中找到自己设备的 Android 版本号、安全更新级别和 Google Play 系统级别。当更新可用时，用户会收到通知，然后及时检查更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/384019.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，CISA 警告美国各联邦机构，Juniper （瞻博网络）设备中出现 4 安全漏洞，各部门要警惕网络攻击者利用漏洞发动远程代码执行（RCE）攻击。 近期，Juniper 通知客户 Juniper J-Web 界面中出现安全漏洞，分别被追踪为 CVE-2023-36844、CVE-2023-36845、CVE-2033-36846 和 CVE-2023236847，这些漏洞已被威胁攻击者成功利用，客户应该立即升级安全更新。 值得一提的是，早在 8 月 25 日，ShadowServer威胁监控服务就透露其已经检测到了利用 Juniper 漏洞的攻击企图。此后，Juniper 才发布了修补漏洞的安全更新，watchTowr 实验室的安全研究人员也随即发布了概念验证（PoC）漏洞。 根据 Shadowserver 的数据显示，超过 10000 台 Juniper 设备易受攻击的 J-Web 接口暴露在互联网上，其中大多数来自韩国（Shodan 观察到超过 13600 台互联网上暴露的 Juniper ）。 watchTowr 实验室的研究人员曾在 8 月份表示，考虑到威胁攻击者漏洞利用非常简单，以及 JunOS 设备在网络中的“特殊”地位（应用广泛），很可能会引起对漏洞的大规模利用。因此，建议运行受影响设备的用户尽早更新到最新版本，或尽可能禁止访问 J-Web 界面。 鉴于漏洞可能会带来非常大的危害，Juniper 敦促管理员应当立即通过将 JunOS 升级到最新版本，以此来保护自身设备。如果不能及时安装最新版本，作为最低预防措施，也需要限制对 J-Web 界面的互联网访问，以消除攻击向量。 暴露在互联网上的 Juniper 设备（来源：Shadowserver） 目前，CISA 已经将 4 个 Juniper 安全漏洞添加到其已知漏洞目录中，并将其标记为 “恶意网络攻击者的频繁攻击载体”， “联邦企业构成重大风险”。此外，根据一年前发布的约束性操作指令（BOD 22-01）， Juniper 网络被列入 CISA 已知漏洞目录中后，美国联邦文职行政机构（FCEB）必须限期内确保其网络中 Juniper 网络设备的安全，即必须在当地时间 11 月 17 日前完成所有 Juniper 网络设备的升级更新。 最后，虽然 BOD 22-01 主要针对美国联邦机构，但 CISA 强烈建议包括私营公司在内的所有组织都尽快优先修补漏洞。       转自Freebuf，原文链接：https://www.freebuf.com/news/383754.html 封面来源于网络，如有侵权请联系删除

根据微软的最新发现，以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织，近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的零日漏洞实施过其他攻击。 此次的漏洞被追踪为 CVE-2023-47246，涉及一个路径遍历漏洞，可能导致黑客在内部安装中执行恶意代码。不过SysAid 已在 23.3.36 版软件中修补了这个漏洞。 微软方面表示：Lace Tempest 黑客组织在利用了该漏洞后，会通过 SysAid 软件发出命令，从而为 Gracewire 恶意软件提供恶意软件加载器。然后通过人为操作的恶意活动，比如横向移动、数据窃取和勒索软件部署等等达到进一步的攻击目的。 据 SysAid 称一经发现有黑客将包含网络外壳和其他有效载荷的 WAR 存档上传到了 SysAid Tomcat 网络服务的 webroot 中。而Web Shell 除了为威胁者提供后门访问被攻击主机的权限外，还用于发送 PowerShell 脚本，这个脚本主要是为了执行加载器，再反过来加载 Gracewire。同时，攻击者还部署了第二个 PowerShell 脚本，用于在部署恶意有效载荷后清除利用证据。 而攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike，这是一个合法的后剥削框架。 所以为了更大程度的降低勒索软件攻击的伤害，使用 SysAid 的企业最好尽快安装补丁。同时要注意在打补丁之前扫描环境，看看是否有被利用的迹象。   转自Freebuf，原文链接：https://www.freebuf.com/news/383432.html 封面来源于网络，如有侵权请联系删除

谷歌发布警告称，近日有多名黑客在网络上共享一个概念验证(PoC)漏洞，该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施。 2023 年 6 月， 谷歌 Calendar RAT (GCR)首次在 GitHub 上发布，该工具能够利用 Gmail 帐户将谷歌 Calendar Events用于C2上。 此脚本的开发者和研究员Valerio Alessandroni表示：该脚本利用Google Calendar中的事件描述创建了一个名为MrSaighnal的隐秘通道，该通道可直接连接到谷歌。 谷歌在第八版Threat Horizons 报告中提到，目前并未观察到该工具有在野外被使用的情况，但Mandiant威胁情报部门发现目前有几个PoC的威胁行为者有在地下论坛上分享相关内容。 谷歌方面表示：GCR 在受感染的机器上运行会定期轮询 Calendar 事件描述，然后执行获取到的新命令，输出更新事件描述。由于该工具只在合法基础设施上运行，因此防御者很难及时地发现可疑活动。 这证明威胁行为者对于滥用云服务这件事还是比较感兴趣的。比如某伊朗民族国家行为者，就曾利用宏文档，通过一个代号为 BANANAMAIL 的 Windows NET 后门程序入侵了用户，并借助电子邮件控制了C2。 谷歌方面表示：这个后门程序会利用 IMAP 连接攻击者控制的网络邮件账户，在那些账户中完成解析邮件以获取命令、执行命令，最终将包含解析结果的邮件重新发回。谷歌的威胁分析小组称现已禁用那些被攻击者控制Gmail 账户，以防止这些账户被其利用作为通道使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/383056.html 封面来源于网络，如有侵权请联系删除