不久前，研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞，这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。 这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955，CVSS 评分为 8.8，影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后，这些漏洞的修复程序于 2023 年 8 月 23 日发布。 Akamai 安全研究员 Tomer Peled表示：该漏洞允许在 Kubernetes 集群内的所有 Windows 端点上以 SYSTEM 权限远程执行代码。要利用这个漏洞，攻击者需要在集群上应用恶意YAML文件。 亚马逊网络服务（AWS）、谷歌云（Google Cloud）和微软Azure都发布了针对这些漏洞的公告，这些漏洞影响到以下版本的Kubelet kubelet < v1.28.1 kubelet < v1.27.5 kubelet < v1.26.8 kubelet < v1.25.13，以及 kubelet < v1.24.17 简而言之，CVE-2023-3676 允许拥有 “应用 “权限（可与 Kubernetes API 交互）的攻击者注入任意代码，这些代码将在具有 SYSTEM 权限的远程 Windows 机器上执行。 Peled 还指出，CVE-2023-3676要求的权限很低，因此为攻击者设置的门槛也很低。他们需要的只是访问节点和应用权限。 该漏洞与 CVE-2023-3955 一样，都是由于缺乏输入清理而导致的，从而使特制的路径字符串被解析为 PowerShell 命令的参数，从而有效地执行命令。 另一方面，CVE-2023-3893 与容器存储接口（CSI）代理中的权限升级案例有关，它允许恶意行为者获得节点上的管理员访问权限。 具体来说，在处理 Pod 定义时，软件未能充分验证或清理用户输入。这一疏忽使得恶意用户能够制作带有环境变量和主机路径的 pod，这些环境变量和主机路径在处理时会导致权限升级等后果。   转自Freebuf，原文链接：https://www.freebuf.com/news/378035.html 封面来源于网络，如有侵权请联系删除

Google发布了一个紧急安全更新，修复了一个新出现的 Chrome 浏览器零日安全漏洞。该公司在一份安全公告中宣布：”Google意识到，CVE-2023-4863 的漏洞已被外部利用。这个问题被描述为堆缓冲区溢出，存在于 WebP 图像格式中。” 当程序试图向分配的内存缓冲区写入超过缓冲区实际设计容量的数据时，就会发生堆缓冲区溢出。在某些情况下，这个漏洞可能会让攻击者执行任意代码，这意味着他们可以在受影响的系统上运行自己选择的代码。 苹果安全工程与架构（SEAR）和多伦多大学蒙克学院公民实验室于 2023 年 9 月 6 日发现并报告了这一漏洞。不过，Google没有披露该漏洞的详细信息，也没有提供攻击者如何利用该漏洞的信息。 强烈建议 Chrome 浏览器用户将浏览器更新到最新版本，Mac 和 Linux 版为 116.0.5845.187，Windows版为 116.0.5845.187.188。此更新非常重要，因为它解决了 CVE-2023-4863 漏洞。 新版本目前正向稳定版和扩展稳定版渠道的用户推出，可能在未来几天或几周内向所有用户推出。当我们在 Windows PC 上通过 Chrome 浏览器菜单 > 帮助 > 关于 Google Chrome 浏览器检查新更新时，该更新可供下载。 Google在 8 月份宣布将每周为稳定版 Chrome 浏览器用户发布安全更新后，最新的漏洞又出现了。该公司表示，如果发现安全漏洞在野外被积极利用，它将及时处理并为 Chrome 浏览器发布计划外补丁。   转自cnBeta，原文链接：https://www.toutiao.com/article/7277976038813057575/?log_from=2aa9a72b6c06a_1694586469894 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，安全研究员发现 GitHub 中存在一个新安全漏洞，该漏洞可能导致数千个存储库面临劫持攻击的风险。据悉，在 2023 年 3 月 1 日漏洞披露后，微软旗下的代码托管平台已于 2023 年 9 月 1 日解决了安全漏洞问题。 Checkmarx 安全研究员 Elad Rapoport 在与 The Hacker News 分享的一份技术报告中指出，漏洞问题影响深远，一旦网络攻击者成功利用安全漏洞，便可以劫持使用 Go、PHP 和 Swift 等语言的 4000 多个代码包以及 GitHub 操作，从而影响开源社区的安全。 repocapping 是存储库劫持（repository hijacking）的简称，是一种威胁攻击者能够绕过一种流行的存储库命名空间退役的安全机制并最终控制存储库的技术。（该保护措施的作用是防止其他用户在重命名其用户帐户时创建与包含 100 个以上克隆的存储库同名的存储库。）换句话说，用户名和存储库名称的组合被视为“已退役”状态。 如果这一保障措施被轻易规避，威胁攻击者就可以用相同的用户名创建新账户并上传恶意存储库，从而可能导致软件供应链攻击。 Checkmarx 提出的新方法主要利用了创建存储库和重命名用户名之间的潜在竞争条件来实现劫持存储库。具体来说，需要以下步骤： 受害者拥有命名空间 “victim_user/repo 受害者将 “victim_user “重命名为 “renamed_user” 受害者用户/repo “版本库已退役 用户名为 “acker_user “的威胁攻击者同时创建一个名为 “repo “的存储库，并将用户名 “acker_user “重命名为 “victor_user” 最后一步是使用 API 请求创建版本库，并截获重命名请求以更改用户名。 值得一提的是，GitHub 在近九个月前还修补了一个类似的绕过漏洞，该漏洞可能会为劫持攻击打开“方便之门”。   转自Freebuf，原文链接：https://www.freebuf.com/news/377948.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，思科自适应安全设备（Cisco Adaptive Security Appliance，ASA）和思科威胁防御系统（Cisco Firepower Threat Defense，FTD）中存在一个漏洞（CVE-2023-20269 ），勒索软件组织正在利用该漏洞对部分企业内部网络进行初始化访问。 CVE-2023-20269 漏洞主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能，允许未经授权的远程网络攻击者对用户现有账户进行暴力攻击，网络攻击者通过访问帐户，可以在被破坏公司的网络中建立无客户端 SSL VPN 会话。 值得一提的是，上个月，Bleeping Computer 曾报道称 Akira 勒索软件组织已开始通过思科 VPN 设备入侵某些企业的内部网络。当时，网络安全公司 SentinelOne 推测网络攻击者可能利用了一个未知安全漏洞。 一周后，Rapid7 表示除 Akira 外，Lockbit 勒索软件组织也在利用思科 VPN 设备中一个未记录的安全漏洞，但没有透露该安全漏洞的更多其它细节。事后不久，思科就发布了一份咨询警告，称上述违规行为是网络攻击者通过在未配置 MFA 的设备上强行使用凭据，才成功入侵部分公司的内部网络。 本周，思科证实存在一个被勒索软件团伙利用的零日漏洞，并在临时安全公告中提供了解决方法。不过，受影响产品的安全更新尚未发布。 漏洞详情 CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 设备的 web 服务接口内，由于未正确分离 AAA 功能和其他软件功能造成。（具有处理身份验证、授权和计费（AAA）功能的功能）。 这就导致攻击者可以向 web 服务接口发送身份验证请求以影响或破坏授权组件的情况，由于这些请求没有限制，网络攻击者能够使用无数的用户名和密码组合来强制使用凭据，从而避免受到速率限制或被阻止滥用。 要使暴力攻击奏效，Cisco 设备必须满足以下条件： 至少有一个用户在 LOCAL 数据库中配置了密码，或者 HTTPS 管理身份验证指向有效的 AAA 服务器； 至少在一个接口上启用了 SSL VPN，或者至少在一一个接口中启用了 IKEv2 VPN。 如果目标设备运行 Cisco ASA 软件 9.16 版或更早版本，在无需额外授权情况下，网络攻击者可以在成功身份验证后建立无客户端SSL VPN 会话。 要建立此无客户端 SSL VPN 会话，目标设备需要满足以下条件： 攻击者在 LOCAL 数据库或用于 HTTPS 管理身份验证的 AAA 服务器中拥有用户的有效凭据，这些证书可以使用暴力攻击技术获得； 设备正在运行 Cisco ASA 软件 9.16 版或更早版本； 至少在一个接口上启用了 SSL VPN； DfltGrpPolicy 中允许使用无客户端 SSL VPN 协议。 如何缓解漏洞？ 据悉，思科将发布安全更新以解决 CVE-2023-20269 安全漏洞问题，但在修复更新可用之前，建议系统管理员采取以下措施： 使用 DAP（动态访问策略）停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道； 通过将 DfltGrpPolicy的vpn 同时登录调整为零，并确保所有 vpn 会话配置文件都指向自定义策略，拒绝使用默认组策略进行访问； 通过使用“组锁定”选项将特定用户锁定到单个配置文件来实现 LOCAL 用户数据库限制，并通过将“VPN 同时登录”设置为零来阻止 VPN 设置。 Cisco 还建议通过将所有非默认配置文件指向 AAA 服务器（虚拟 LDAP 服务器）来保护默认远程访问 VPN 配置文件，并启用日志记录以尽早发现潜在网络攻击事件。 最后，需要注意的是，多因素身份验证（MFA）可以有效降低网络安全风险，原因是即使网络攻击者成功强制使用帐户凭据，也不足以劫持 MFA 安全帐户并使用它们建立 VPN 连接。   转自freebuf，原文链接：https://www.freebuf.com/news/377627.html 封面来源于网络，如有侵权请联系删除

最近，我们观察到了一种名为”Fake Browser Update”的诱骗策略，让用户执行恶意二进制文件。在分析这些二进制文件时，我们确定使用了一个新的加载程序，用于在受感染的系统上执行信息窃取程序，其中包括StealC和Lumma。 IDAT 加载程序是我们于2023 年 7 月首次发现的一种新型、复杂的加载程序。在较早版本的加载器中，它被伪装成一个7-zip安装程序，传送SecTop RAT。现在，我们观察到该加载器被用来传送Stealc、Lumma和Amadey等信息窃取程序。它采用了几种逃避技术，包括 Process Doppelgnging、DLL Search Order Hijacking和Heaven’s Gate。IDAT加载器得名于威胁行为者将恶意载荷存储在PNG文件格式的IDAT块中。 在采用这种技术之前，我们观察到背后的黑客利用恶意JavaScript文件来与命令和控制（C2）服务器建立联系，或者传送Net Support远程访问木马（RAT）。 从SocGholish恶意软件，到黑客手中的窃取信息，下面的分析涵盖了整个攻击流程。 技术分析 黑客经常通过安全工具无法检测到的方式发起攻击，而安全研究人员也很难对其进行调查。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3027/ 消息来源：rapid7，译者：知道创宇404实验室翻译组；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

拥有5亿以上用户的WinRAR，曝出新的漏洞（CVE-2023-40477，CVE-2023-38831）； CVE-2023-40477的PoC 虽然被认为是RCE假定可被利用，但实际上影响并不大； 本文研究内容包括：其影响、可被利用的场景以及缓解措施； 该漏洞已在最新的Winrar v6.23中得到修复，本文也会提出解决办法。 CVE-2023-40477:概述和PoC 八月中旬，WinRAR 6.23发布了一些关于关键漏洞的警告。我们了解到漏洞（CVE-2023-40477）目前已经修复，且公布了以下信息，具体内容详看下文： 尽管其CVE等级很高，但成功利用漏洞所需的复杂性表明广泛滥用的可能性很低，这与广泛利用的Log4j RCE漏洞不同。 可考虑的应对措施主要有两方面： 完全修复：将Winrar更新到6.23+将完全修复。 补丁修复：如果更新不可用或难以部署，可以考虑阻止使用*.rev文件（最好同时阻止*.rXX文件和*.partXX.rar文件）。尽管并没有官方支持肯定，但这可能是目前的一个快速的修复方法。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3019/ 消息来源：wildptr.io，译者：知道创宇404实验室翻译组； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

来自意大利和英国的研究人员在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了4个漏洞，攻击者可以利用这些漏洞窃取目标的 WiFi 密码。 TP-Link  Tapo L530E 是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序，在Google Play上拥有1000万安装量 。 智能灯泡缺陷 第一个漏洞涉及 Tapo L503E 上的不正确身份验证，允许攻击者在会话密钥交换步骤中冒充设备。此高严重性漏洞（CVSS v3.1 评分：8.8）允许相邻攻击者检索 Tapo 用户密码并操纵 Tapo 设备。 第二个漏洞也是一个高严重性漏洞（CVSS v3.1 得分：7.6），由硬编码的短校验和共享密钥引起，攻击者可以通过暴力破解或反编译 Tapo 应用程序来获取该密钥。 第三个漏洞是一个中等严重性缺陷，涉及对称加密过程中缺乏随机性，使得加密方案可预测。 第四个漏洞源于缺乏对接收消息的新鲜度的检查，保持会话密钥在 24 小时内有效，并允许攻击者在此期间重放消息。 攻击场景 研究发现，最令人担忧的攻击场景是利用上述的第一个和第二个漏洞进行灯泡冒充和检索 Tapo 用户帐户详细信息，然后通过访问 Tapo 应用程序，攻击者可以提取受害者的 WiFi SSID 和密码，并获得连接到该网络的所有其他设备的访问权限。 设备需要处于设置模式才能使攻击起作用。然而，攻击者可以取消灯泡的认证，迫使用户重新设置以恢复其功能。 灯泡模拟图 而未配置的 Tapo 设备也可能受到 MITM 攻击，方法是再次利用第一个漏洞，在设置过程中连接到 WiFi、桥接两个网络并路由发现信息，最终以易于破译的 base64 编码形式检索 Tapo 密码、SSID 和 WiFi 密码。 MITM 攻击图 最后，第四个漏洞允许攻击者发起重放攻击，复制之前嗅探到的消息以实现设备的功能更改。 披露和修复 研究人员在发现这些漏洞后向 TP-Link 进行了披露，对方承认了这些问题的存在，并告知将很快对应用程序和灯泡固件进行修复。在这之前，研究人员建议用户将这些类型的设备与关键网络隔离，使用最新的可用固件更新和配套应用程序版本，并使用 MFA 和强密码保护帐户。   转自Freebuf，原文链接:https://www.freebuf.com/news/375669.html 封面来源于网络，如有侵权请联系删除

WinRAR是最为流行的Windows解压缩软件之一，据称拥有数以亿计的用户。近日，趋势科技Zero Day Initiative在该软件中发现了一个高危漏洞——打开压缩文件时会允许黑客在计算机上执行任意代码。 据了解，该漏洞（CVE-2023-40477）存在于恢复卷的处理过程中，原因是缺乏对用户提供数据的正确验证。2023年6月8日，Zero Day Initiative的研究员“goodbyeselene”将该漏洞报告给了RARLAB厂商。 ZDI在公告中写道：“此漏洞允许远程攻击者在受影响的RARLAB WinRAR安装上执行任意代码。利用此漏洞需要用户交互（如打开恶意文件）。具体的缺陷存在于恢复卷的处理过程中。问题在于缺乏对用户提供数据的正确验证，这可能导致内存访问超出已分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。” 从实际角度来看，攻击者欺骗用户执行所需操作并不会太过困难，而且考虑到WinRAR的庞大用户群，攻击者有足够的几率进行成功利用。对此此类安全风险，谨慎打开RAR文件、使用杀毒软件进行扫描是一个良好的安全习惯。 2023年8月2日，官方在最新发布的WinRAR 6.23版本中已修复了此漏洞，建议WinRAR用户立即进行安全更新。 更新地址：https://www.win-rar.com/download.html?&L=7 值得注意的是，微软目前正在测试Windows 11对RAR、7-Zip等文件的原生支持，此后若是对其高级功能没有需求，将有可能不再需要WinRAR等第三方软件。   转自安全内参，原文链接:https://www.secrss.com/articles/58009 封面来源于网络，如有侵权请联系删除

近日，微软安全专家透露，德国工业软件巨头欧德神思（Codesys）的系统中存在15个高危安全漏洞，可导致电厂关停或重要关基系统信息被窃取。2022年9月，微软情报威胁专家Vladimir Tokarev向Codesys报告了Codesys Control V3 3.5.19.0 之前版本存在的安全漏洞。2023年4月Codesys发布了相关漏洞的补丁。 总部位于德国的德国工业软件巨头欧德神思（Codesys）提供工控系统的自动化软件，广泛存在于大量设备中——500 多家制造商生产的大约 1,000 种不同类型的产品。 这15个安全漏洞的编号为CVE-2022-47379到CVE-2022-47393，均属于高危评级，其中多数评分为8.8/10，可被用于拒绝服务 (DoS) 攻击或远程代码执行 (RCE)。其中的12个漏洞为缓存溢出漏洞，可用于对PLC实现远程代码执行。但需要攻击者可以绕开身份验证，以及绕过数据执行保护（DEP）和地址空间配置随机加载（ASLR）措施。 安全专家认为，这些漏洞利用的难度不低，攻击者不仅需要需要绕过身份认证或窃取登录凭证，还需要深入了解 Codesys V3 的专有协议和协议使用的不同服务的架构。但考虑到这些的漏洞极大风险——可能导致工厂停工和切断电力，专家强烈建议尽快修补漏洞。 微软公司在博客中发布了相关漏洞的列表：     转自安全内参，原文链接:https://www.secrss.com/articles/57788 封面来源于网络，如有侵权请联系删除

本文讨论了SugarCRM 0-day漏洞（CVE-2023-22952）的认证如何绕过远程代码执行，并总结出了防御者们应该注意的事项。由于该漏洞是一个Web应用程序，如果没有进行正确配置或保护，一旦黑客了解了云服务提供商使用的基础技术，并获取了适当权限，可能会引发多次安全事件。 在过去的一年中，Unit 42响应了多起案例，其中 SugarCRM 漏洞 （CVE-2023-22952） 是主要的初始攻击媒介，其允许黑客访问AWS 账户。但这并不是因为AWS的漏洞，任何云环境都可能发生这种情况。相反，黑客后期利用错误配置来扩大他们的访问权限。 本文参考 MITRE ATT&CK 框架对AWS环境遇到的各种攻击事件进行分析，并总结了各个组织可以来保护自己的多种预防保护机制。这些保护措施包括利用AWS提供的控制和服务、云最佳实践以及足够多的数据来捕获完整的攻击过程。 这些攻击的复杂性更加表明了设置日志记录和监控对于检测未经授权的AWS API调用的重要性。一旦黑客得以立足，那么可能会导致更加严重的威胁行为，而这些行为是不可被追溯的。云安全保护并非一刀切，这些攻击暴露了需要重点关注的领域，而这样也可以让我们在面对攻击时能做出更充分的准备。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3006/ 消息来源：unit42，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。