上周五，美国网络安全和基础设施安全局(CISA)在其漏洞(KEV)目录中新增三个安全漏洞，具体如下： CVE-2023-28432 (CVSS评分- 7.5)- MinIO信息泄露漏洞 CVE-2023-27350 (CVSS评分- 9.8)-剪纸MF/NG不当访问控制漏洞 CVE-2023-2136 (CVSS评分-待定)-谷歌Chrome Skia整数溢出漏洞 MinIO的维护人员在2023年3月21日发布的一份资讯报告中表示，在集群部署中，MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD会还原所有环境变量，导致信息泄露。 据GreyNoise收集的数据显示，在过去的30天里，来自美国、荷兰、法国、日本和芬兰等多达18个恶意IP地址试图利用该漏洞。值得注意的是，这家威胁情报公司在上月底发布的警报文件中指出，OpenAI为开发者提供了一个参考方法，阐述了如何将他们的插件集成到ChatGPT上，主要是依赖于一个旧版本的MinIO，而该版本存在CVE-2023-28432的漏洞。 GreyNoise表示，OpenAI开发的新功能对于那些想在ChatGPT集成中访问不同提供商实时数据的开发人员来说，的确是一个非常有价值的工具，但安全性始终应该是摆在首位的核心设计原则。 此外，KEV目录中还添加了一个会致使PaperCut软件远程代码执行错误的漏洞。攻击者可以通过该漏洞实现免身份验证，并直接远程运行任意代码。 不过截至2023年3月8日，供应商已经修复了该漏洞，并发布了PaperCut MF和PaperCut NG20.1.7,21.2.11和22.0.9版本。Zero Day Initiative已于2023年1月10日正式报告了该问题，并预计将于2023年5月10日发布更多技术细节。 本周早些时候，有一家总部位于墨尔本的公司分享了一则最新消息称：有证据表明，在2023年4月18日左右，有攻击者通过漏洞攻击了未打补丁服务器。网络安全公司北极狼(Arctic Wolf)表示，此前也发现了一些PaperCut服务器被入侵的情况。一经入侵，RMM的工具Synchro MSP会直接在被损害系统上自动加载。 最后一个被添加至目录的是谷歌Chrome漏洞，该漏洞会直接影响到Skia 2D图形库，并可以让威胁者通过精心制作的HTML页面执行沙盒逃逸。 CISA建议美国联邦民事行政部门(FCEB)机构在2023年5月12日之前尽快修复这几个漏洞，以确保其网络安全。 转自 Freebuf，原文链接：https://www.freebuf.com/news/364502.html 封面来源于网络，如有侵权请联系删除

近日，惠普在一份安全公告中宣布，修复影响某些企业级打印机固件的严重漏洞最多需要 90 天。 该安全问题被追踪为 CVE-2023-1707，它影响了大约 50 种 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型号。 该公司使用 CVSS v3.1 标准计算出的严重性得分为 9.1（满分 10），并指出利用该标准可能会导致信息泄露。 尽管得分很高，但由于易受攻击的设备需要运行 FutureSmart 固件版本 5.6 并启用 IPsec，因此存在利用环境受限的情况。 IPsec（Internet 协议安全）是用于企业网络的 IP 网络安全协议套件，用于保护远程或内部通信并防止未经授权访问资产（包括打印机）。 FutureSmart 允许用户通过打印机上可用的控制面板或用于远程访问的 Web 浏览器来工作和配置打印机。 在这种情况下，信息泄露漏洞可能允许攻击者访问易受攻击的 HP 打印机与网络上其他设备之间传输的敏感信息。 BleepingComputer 媒体已联系HP官方以了解有关该缺陷的确切影响的更多信息，以及供应商是否看到了积极利用的迹象，但目前还没有收到任何声明。 以下打印机型号受 CVE-2023-1707 影响： HP Color LaserJet Enterprise M455 HP Color LaserJet Enterprise MFP M480 HP Color LaserJet Managed E45028 HP Color LaserJet Managed MFP E47528、 E785dn、E78523、E78528 HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35 HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70 HP LaserJet Enterprise M406、M407 HP LaserJet Enterprise MFP M430、M431 HP LaserJet Managed MFP E42540 HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、E73030 HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40 HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70 惠普表示，解决该漏洞的固件更新将在 90 天内发布，因此目前没有可用的修复程序。 对于运行 FutureSmart 5.6 的客户，建议的缓解措施是将其固件版本降级到 FS 5.5.0.3。 “惠普建议立即恢复到以前版本的固件（FutureSmart 版本 5.5.0.3）。预计将在 90 天内更新固件以解决该问题。” 惠普官方声明。 此外，还建议用户从HP 官方下载门户获取固件包，在那里他们可以选择自己的打印机型号并获取相关软件。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/TZbfXTbo3f4uK-fD4IPV3Q 封面来源于网络，如有侵权请联系删除

黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞，该插件已被超过1200万个网站使用。 Elementor Pro是一款WordPress页面构建器插件，允许用户轻松构建专业外观的网站而无需了解编码知识，具有拖放、主题构建、模板集合、自定义小部件支持以及面向在线商店的WooCommerce构建器等功能。 这个漏洞是由NinTechNet研究员Jerome Bruandet于2023年3月18日发现的，并在本周分享了关于如何利用与WooCommerce一起安装时可以利用此漏洞的技术细节。 该漏洞影响v3.11.6及其之前的所有版本，允许像商店客户或网站成员这样的经过身份验证的用户更改网站设置甚至完全接管网站。 经过身份验证的攻击者可以利用此漏洞创建管理员帐户，方法是启用注册并将默认角色设置为’管理员’、更改管理员电子邮件地址或通过更改siteurl将所有流量重定向到外部恶意网站等多种可能性。 需要注意的是，要利用这个特定漏洞，网站上还必须安装WooCommerce插件，才能激活Elementor Pro上相应的易受攻击模块。 Elementor插件漏洞正在被积极利用 WordPress安全公司PatchStack现在报告称黑客正在积极利用这个Elementor Pro插件漏洞将访问者重定向到恶意域名（”away[.]trackersline[.]com”）或上传后门到被攻击的网站中。 此后门将允许攻击者完全访问WordPress网站，无论是窃取数据还是安装其他恶意代码。PatchStack表示，大多数针对易受攻击的网站的攻击来自以下三个IP地址，建议将它们添加到阻止列表中：193.169.194.63、193.169.195.64和194.135.30.6。如果您的网站使用Elementor Pro，则必须尽快升级到3.11.7或更高版本（最新版本为3.12），因为黑客已经开始针对易受攻击的网站进行攻击。       转自 Freebuf，原文链接：https://www.freebuf.com/news/362558.html 封面来源于网络，如有侵权请联系删除

谷歌威胁分析小组（TAG）透露，去年解决的一些零日漏洞被商业间谍软件供应商利用，以Android和iOS设备为目标。 这两个不同的活动都有很强的针对性，利用补丁发布与目标设备上实际修复之间的时间差。 这些供应商正在使危险的黑客工具的扩散，武装那些无法在内部开发这些能力的政府，TAG的Clement Lecigne在一份新报告中说。 虽然根据国家或国际法律，监控技术的使用部分是合法的，但人们经常发现有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。 这两次行动中的第一次发生在2022年11月，通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送缩短的链接。点击后，这些URL将收件人重定向到承载安卓或iOS漏洞的网页，然后他们又被重定向到合法的新闻或货运追踪网站。 iOS的漏洞链利用了多个漏洞，包括CVE-2022-42856（当时的零日）、CVE-2021-30900和一个指针认证代码（PAC）绕过，将一个.IPA文件安装到易受影响的设备上。 安卓系统的漏洞链包括三个漏洞–CVE-2022-3723、CVE-2022-4135（滥用时为零日）和CVE-2022-38181以传递一个未指定的有效载荷。 虽然CVE-2022-38181是一个影响Mali GPU内核驱动的特权升级漏洞，在2022年8月被Arm打了补丁，但对方可能在补丁发布之前已经掌握了该漏洞的利用方法。 另一点值得注意的是，点击链接在三星浏览器中打开的安卓用户，被使用一种称为意图重定向的方法重定向到Chrome。 第二个活动是在2022年12月观察到的，包括几个针对最新版本的三星浏览器的零日和n日，这些漏洞通过短信作为一次性链接发送到位于阿联酋的设备。 该网页与西班牙间谍软件公司Variston IT使用的网页类似，都植入了一个基于C++的恶意工具包，能够从聊天和浏览器应用程序中获取数据。 被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。据信，该漏洞链被瓦里斯顿信息技术公司的一个客户或合作伙伴所利用。 目前，这两个活动的规模和目标的性质目前还不清楚。 在拜登签署“限制使用商业间谍软件”的行政命令几天后，这些消息就被披露出来。足以见得，商业间谍软件行业任然在蓬勃发展。监控供应商之间正在分享漏洞和技术，即使是较小的监控供应商也能获得零日漏洞。供应商秘密储存和使用零日漏洞在短时间内对互联网仍构成严重的风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362018.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，软件供应商 SAP 发布了 19 个漏洞的安全更新，其中 5 个被评为高危漏洞。 此次修复的安全漏洞影响多款 SAP 产品，其中高危漏洞主要影响 SAP Business Objects Business Intelligence Platform（CMC）和 SAP NetWeaver。 此次修复的五个高危漏洞如下： CVE-2023-25616: SAP Business Intelligence Platform 中存在的高危（CVSS v3:9.9）代码注入漏洞，允许攻击者访问仅对特权用户开放的资源，影响版本 420 和 430。 CVE-2023-23857：严重程度（CVSS v3:9.8）的信息泄露、数据操纵和 DoS 漏洞，影响 SAP NetWeaver AS for Java 7.50 。该漏洞允许未经身份验证的攻击者连接到开放接口并通过目录 API 访问服务来执行未经授权的操作。 CVE-2023-27269：影响 SAP  NetWeaver Application Server for ABAP 的严重性（CVSS v3:9.6）目录遍历漏洞。该漏洞允许非管理员用户覆盖系统文件，影响版本 700、701、702、731、740、750、751、752、753、754、755、756、757 和 791。 CVE-2023-27500：APRSBRO 中的目录遍历漏洞，允许具有非管理权限的攻击者利用该漏洞重写系统文件。在这种攻击中，无法读取任何数据，但可能会过度写入关键 OS 文件，从而导致系统不可用。 CVE-2023-25617: SAP Business Objects Business Intelligence Platform 版本 420 和 430 中存在严重性（CVSS v3:9.0）命令执行漏洞。该漏洞允许远程攻击者在特定条件下使用 BI Launchpad、中央管理控制台或基于公共 java SDK 的自定义应用程序在操作系统上执行任意命令。 除上述之外，SAP 还修复了其它四个高严重性漏洞以及十个中等严重性漏洞。 SAP 漏洞影响广泛 SAP 是世界上最大的 ERP 供应商，在 180 个国家拥有 42.5 万客户，占全球市场份额的 24%。超过 90% 的《福布斯全球 2000 强》使用其 ERP、SCM、PLM 和 CRM 产品。因此，其产品中存在的安全漏洞是威胁攻击者的绝佳目标，可以作为侵入企业系统的入口。 早在 2022 年 2 月，美国网络安全和基础设施安全局（CISA）就敦促其管理员修补一组影响 SAP 业务应用程序的严重漏洞，以防止数据被盗、勒索软件攻击以及任务关键流程和操作中断。       转自 Freebuf，原文链接：https://www.freebuf.com/articles/360507.html 封面来源于网络，如有侵权请联系删除

近日，安全专家建议IT团队应优先修补两个零日漏洞，一个是微软Outlook的认证机制，另一个是web标记的绕过。这两个漏洞是微软在其3月补丁星期二安全更新中披露的74个安全漏洞的一部分。 在一篇博文中，Automox的研究人员建议企业在24小时内修补这两个漏洞，因为攻击者正在野外利用它们。此外，3月更新中的几个关键漏洞能够实现远程代码执行（RCE），因此它们也是需要高度优先修补的。 特权升级零日 其中一个零日是微软Outlook中的一个关键的权限升级漏洞，被追踪为CVE-2023-23397，它允许攻击者访问受害者的Net-NTLMv2挑战-回应认证哈希，然后冒充用户。 该漏洞的危险之处在于，攻击者只需发送一封特制的电子邮件，在用户在预览窗口中查看该邮件之前，Outlook就会检索并处理该邮件。 Tenable公司的高级研究工程师评论说：这是因为该漏洞是在电子邮件服务器端触发的，这意味着在受害者查看恶意邮件之前就会被利用。攻击者可以使用受害者的Net-NLMv2哈希值进行攻击，利用NTLM挑战-响应机制，让对手以用户身份进行认证。 ZDI研究员在博文中补充说，这使得该漏洞更像是一个认证绕过漏洞，而不是一个权限升级问题。而且，禁用预览窗口选项并不能减轻威胁，因为该漏洞甚至在这之前就已经被触发了。 安全绕过零日 微软将第二个零日漏洞确定为CVE-2023-248，这是一个Windows SmartScreen安全功能绕过问题，攻击者可以利用它绕过微软用来识别用户可能从互联网上下载的文件的Mark of the Web指定。 CVE-2023-248 影响到所有运行Windows 10及以上版本的桌面系统和运行Windows Server 2016、2019和2022的系统。 Goettl在一份声明中说：CVSSv3.1的得分虽然只有5.4，这可能不会引起太多企业的注意。确实，就其本身而言，CVE可能没有那么大的威胁，但它很可能被用在一个有其他漏洞的攻击链中。 其他安全漏洞 需要特别注意的一个RCE漏洞是CVE-2023-23415，它存在于网络设备用来诊断通信问题的互联网控制消息协议（ICMP）中。 微软表示：攻击者可以通过使用一个低级别的协议错误来远程利用这个漏洞，该错误在其标题中包含一个碎片化的IP数据包，被发送到目标机器上。该漏洞影响到多个微软产品，包括Windows 10、Windows 11、Windows Server 2008、2012、2016、2019和2022。 Automox还建议企业在72小时内解决CVE-2023-23416，即Windows加密服务协议中的一个RCE漏洞。这是因为，除其他外，它影响到所有版本的台式机Windows 10及以上，以及从Server 2012开始的所有Windows服务器版本。 除了新漏洞的补丁，微软还在3月的补丁周期中发布了四个之前漏洞的更新，全部来自2022年。Ivanti说，这次更新扩大了受漏洞影响的微软软件和应用程序的数量，并为它们提供了补丁。该安全厂商将这四个更新补丁列为CVE-2022-43552，CVE-2022-23257，CVE-2022-23825，以及CVE-2022-23816。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360485.html 封面来源于网络，如有侵权请联系删除  

近日，根据 Fortinet 最新报告：不明来源的的攻击者利用零日漏洞针对政府和大型组织，导致操作系统和文件损坏以及数据丢失。 Fortinet于2023年3月7日发布了安全更新，以解决这个高危安全漏洞（CVE-2022-41328），该漏洞可以让攻击者执行未经授权的代码或命令。 该公司在公告中说：FortiOS中的路径名对受限目录漏洞的不当限制（路径穿越）[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。 受影响的产品包括FortiOS 6.4.0至6.4.11版本，FortiOS 7.0.0至7.0.9版本，FortiOS 7.2.0至7.2.3版本，以及FortiOS 6.0和6.2的所有版本。 虽然该漏洞的公告没有提到该漏洞被人在野外利用，但Fortinet上周发布的一份报告显示，CVE-2022-41328漏洞已被用来入侵并攻陷客户的多个FortiGate防火墙设备。 数据窃取恶意软件 该事件是在被攻击的Fortigate设备中断后发现的，由于FIPS错误，系统进入错误模式并无法重新启动。 Fortinet说，发生这种情况是因为其支持FIPS的设备验证了系统组件的完整性，而且它们被设置为自动关闭并停止启动，以便在检测到破坏时阻止网络入侵。 这些Fortigate防火墙是通过受害者网络上的FortiManager设备被破坏的，因为它们同时停止，并且FortiGate路径遍历漏洞与通过FortiManager执行的脚本同时启动。 随后的调查显示，攻击者修改了设备固件镜像（/sbin/init），在启动过程开始前启动一个有效载荷（/bin/fgfm）。 这种恶意软件在收到含有”;7(Zu9YTsA7qQ#vm “字符串的ICMP数据包时，可以进行数据渗透，下载和写入文件，或打开远程外壳。 用来攻击政府网络的零日 Fortinet认为，这些攻击具有很强的针对性，主要针对政府网络。攻击者还具有很强的攻击手段及能力，包括反向设计FortiGate设备的部分操作系统。因为该漏洞需要对FortiOS和底层硬件有深入的了解。 今年1月，Fortinet披露了一系列非常类似的事件，2022年12月打了补丁并被追踪为CVE-2022-42475的FortiOS SSL-VPN漏洞也被用作针对政府组织和政府相关实体的零日漏洞。 最后，该公司建议Fortinet的用户立即升级到FortiOS的补丁版本，以阻止潜在的攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360360.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站消息，可信平台模块 ( TPM ) 2.0 参考库规范中爆出一个严重安全漏洞，这些漏洞可能会导致设备信息泄露或权限提升。 漏洞或影响数十亿物联网设备 2022 年 11 月，网络安全公司 Quarkslab 发现并报告漏洞问题，其中一个漏洞被追踪为 CVE-2023-1017（涉及越界写入），另一个漏洞追踪为 CVE-2023-1018（可能允许攻击者越界读取）。 Quarkslab 指出，使用企业计算机、服务器、物联网设备、TPM 嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响，并一再强调，漏洞可能会影响数十亿设备。 可信平台模块 (TPM) 可信平台模块 (TPM) 技术是一种基于硬件的解决方案，可为现代计算机上的操作系统提供安全的加密功能，使其能够抵抗篡改。 微软表示，最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用，在系统启动过程中，可以测量加载的启动代码（包括固件和操作系统组件）并将其记录在 TPM 中，完整性测量值可用作系统启动方式的证据，并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。 可信计算组织（TCG） 漏洞事件发酵后，可信计算组织（简称：TCG，由 AMD、惠普、IBM、英特尔和微软组成）指出，由于缺乏必要的检查，出现漏洞问题，最终或引起本地信息泄露或权限升级。CERT 协调中心（CERT/CC）在一份警报中表示，受影响的用户应该考虑使用 TPM 远程验证来检测设备变化，并确保其 TPM 防篡改。 最后，安全专家建议用户应用 TCG 以及其它供应商发布的安全更新，以解决这些漏洞并减轻供应链风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/359428.html 封面来源于网络，如有侵权请联系删除

德国波鸿和萨尔布吕肯的研究人员们从无人机巨头大疆（DJI）的产品中发现多个安全漏洞，其中部分漏洞相当严重。例如，用户可利用漏洞修改无人机的序列号，或覆盖掉安全当局用于跟踪无人机及其操纵者的机制。在特定攻击场景下，无人机甚至可能在飞行中被远程击落。 德国波鸿鲁尔大学Horst Görtz IT安全研究所的Nico Schiller和Thorsten Holz教授领导的研究团队，已经在2月27日至3月3日美国圣迭戈召开的网络和分布式系统安全研讨会（NDSS）上公布了自己的发现。该团队以前在波鸿，目前在萨尔布吕肯的CISPA亥姆霍兹信息安全中心。 在向公众发布此次发现之前，研究人员已经将检测到的16个漏洞上报给了大疆，该制造商也已采取措施进行修复。 四款机型参与测试 该团队共测试了三款型号的大疆无人机，分别为小型机Mini 2、中型机Air 2和大型机Mavic 2。之后，IT专家们又在经过更新的Mavic 3机型上重现了攻击效果。他们向无人机的硬件和固件发出大量随机输入，并检查哪些输入会导致无人机坠毁、或者对无人机数据（例如序列号）执行意外篡改。为了实现整个模糊测试，他们首先需要开发出一种新的算法。 Nico Shciller表示，“一般来说，我们在模糊测试时往往准备好了设备的完整固件。但这次情况并非如此。”由于大疆无人机相对复杂，所以必须在实时系统中执行模糊测试。 “将无人机接入笔记本电脑后，我们首先研究了如何与之通信，还有我们可以在测试中使用哪些接口。”事实证明，大部分通信是经由DUML协议完成的，该协议负责以数据包的形式向无人机发送命令。 发现四个严重错误 研究人员开发的模糊测试工具要生成DUML数据包，将其发送至无人机并评估哪些输入可能导致软件崩溃。只要能够引发崩溃，就说明编程中存在错误。Thorsten Holz解释道，“但并不是所有安全漏洞都会引发崩溃，也有一些错误会导致序列号等数据发生变化。” 为了检测此类逻辑漏洞，研究团队将无人机与运行大疆应用的手机配对。这样他们就能定期检查应用，查看模糊测试是否改变了无人机的状态。 结果发现，参与测试的四款大疆机型全部存在安全漏洞。研究人员共记录下16个漏洞，且大疆Mini 2、Mavic Air 2和Mavic 3机型还存在4个严重缺陷，允许攻击者在系统中扩大访问权限。 Thorsten Holz解释称，“攻击者可以借此篡改日志数据或序列号，并伪装自己的身份。另外，虽然大疆采取了预防措施以阻止无人机飞越机场或监狱等禁区，但这些机制也可能被破解。”该研究小组甚至能让飞行中的无人机在半空中坠毁。 在未来的研究中，研究团队打算进一步测试其他无人机型号的安全性。 传输的位置数据未经加密 此外，研究人员还检查了大疆无人机当中用于传输设备位置及操纵者信息的协议。通过这些信息，授权机构（包括安全机构或关键基础设施运营商）可以访问并管理无人机的使用情况。 通过大疆固件及无人机发出的无线电信号进行逆向工程，研究团队首次记录到名为“DroneID”的跟踪协议。Nico Schiller总结道，“我们证实了传输的数据未经加密，几乎任何人都可以用相对简单的方式读取到操作者和无人机的位置信息。”     转自 安全内参，原文链接：https://mp.weixin.qq.com/s/htekiq6-ROneWr6Q8fLKUQ 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）和安全研究人员报告称，一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用，他们正利用该漏洞向未打补丁的服务器部署后门。专家表示，这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA已将CVE-2022-36537添加到其已知已开发漏洞（KEV）目录中，该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。 根据KEV列表，在ZK框架AuUploader servlets中发现的这个漏洞，可能允许攻击者 “检索位于Web上下文中的文件内容”，从而窃取敏感信息。CISA表示：该漏洞可以影响多个产品，包括但不限于ConnectWise R1Soft Server Backup Manager。 事实上，该漏洞在2022年10月首次出现便引起广泛关注，当时ConnectWise对其产品中漏洞的存在发出了警报，特别是ConnectWise Recover和R1Soft服务器备份管理器技术。Huntress的高级安全研究人员John Hammond和Caleb Stewart随后发表了一篇关于如何利用该漏洞的博文。 CISA和Huntress都是根据Fox-IT 2月22日发表的研究报告发出警告的，该报告发现有证据表明攻击者使用易受攻击版本的ConnectWise R1Soft Server Backup Manager软件 作为初始访问点和控制通过R1Soft Backup Agent连接的下游系统的平台，研究人员在一篇博客文章中写道。 研究人员在博文中还写道：这个代理被安装在系统上，以支持被R1Soft服务器软件备份，通常以高权限运行。这意味着，在对手最初通过R1Soft服务器软件获得访问权后，它能够在连接到该R1Soft服务器的所有运行代理的系统上执行命令。 漏洞的历史 ConnectWise方面在10月迅速采取行动为产品打补丁，向ConnectWise服务器备份管理器（SBM）的云端和客户端实例推送了自动更新，并敦促R1Soft服务器备份管理器的客户立即升级到新的SBM v6.16.4。 总部位于德国的安全厂商Code White GmbH的一名研究人员率先发现了CVE-2022-36537，并在2022年5月向ZK Java Web框架的维护者报告。他们在该框架的9.6.2版本中修复了这个问题。 根据Huntress的博文，ConnectWise意识到其产品的漏洞，当时同一公司的另一位研究人员发现ConnectWise的R1Soft SBM技术正在使用有漏洞的ZK库版本，并向公司报告了这个问题。 当该公司在90天内没有回应时，研究人员在Twitter上公布了一些关于如何利用该漏洞的细节，Huntress的研究人员利用这些细节复制了该漏洞并完善了一个概念验证（PoC）漏洞。 Huntress的研究人员最终证明他们可以利用该漏洞泄露服务器私钥、软件许可信息和系统配置文件，并最终在系统超级用户的背景下获得远程代码执行。 当时，研究人员通过Shodan发现了 多达5000个暴露的服务器管理器备份实例，所有这些都有可能被威胁者利用，同时还有他们的注册主机。他们推测，该漏洞有可能影响到比这更多的机器。 供应链面临风险 当Huntress对该漏洞进行分析时，没有证据表明存在主动利用的情况。现在，随着这种情况的改变，不仅在ConnectWise，在其他产品中也存在任何未打补丁的ZK Java Web框架版本。这对攻击者来说无疑是利好的，同时这可能给供应链带来重大风险。 Fox-IT的研究表明，全世界对ConnectWise的R1Soft服务器软件的利用大约始于11月底，也就是Huntress发布其PoC之后不久。 研究人员写道：在指纹识别的帮助下，我们已经在全球范围内确定了多个被攻击的主机供应商。 Fox-IT研究人员在1月9日说，他们已经确定了 总共有286台运行R1Soft服务器软件的服务器带有特定后门。 根据KEV列表，CISA敦促任何仍在使用受影响ConnectWise产品的未修补版本的组织“根据供应商说明”更新其产品。虽然到目前为止，该漏洞的存在仅在ConnectWise产品中被发现，但使用未修补版本的框架的其他软件也容易受到攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/359129.html 封面来源于网络，如有侵权请联系删除