Atlassian Confluence 协作软件的用户昨天被警告要么限制对该软件的互联网访问，要么由于一个严重的漏洞而禁用它。 Atlassian于6月2日发布的一份公告称，已检测到“当前活跃的利用”。该公告现已更新，以反映该公司已发布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1，其中包含对此的修复问题。建议用户更新到这些版本。 美国网络安全和基础设施局 (CISA) “强烈建议组织查看Confluence 安全公告 2022-06-02以获取更多信息。CISA 敦促使用受影响的 Atlassian 的 Confluence 服务器和数据中心产品的组织阻止所有进出这些设备的互联网流量，直到更新可用并成功应用。” 如果没有来自公司防火墙外部的 VPN 访问，阻止访问将使协作变得不可能。在有如此多的远程工作的时候，这可能会带来极大的不便，或者可能会使远程工作人员无法使用该软件。鉴于 Atlassian 的网站声称 Confluence 在全球拥有超过 60,000 名用户，这可能会对大量公司造成非常严重的影响。 安全公司 Volexity 检测到该漏洞并将其报告给 Atlassian。Volexity 在其网站的博客中发布了他们的分析。 根据 Volexity 的说法，“攻击者使用了一个零日漏洞，现在分配了 CVE-2022-26134，它允许在服务器上执行未经身份验证的远程代码。” 分析继续警告说“这些类型的漏洞是危险的，因为只要可以向 Confluence Server 系统发出 Web 请求，攻击者就可以在没有凭据的情况下执行命令并完全控制易受攻击的系统。” 攻击者部署了BEHINDER植入程序的内存副本。Veloxity 指出，“这是一个广受欢迎的网络服务器植入程序，源代码可在 GitHub上找到。”BEHINDER 允许攻击者使用仅内存的 webshell，内置支持与Meterpreter和Cobalt Strike的交互。 在内存中植入BEHINDER特别危险，因为它允许攻击者执行指令而无需将文件写入磁盘。由于它没有持久性，因此重新启动或服务重新启动会将其清除。然而，在此之前，攻击者可以访问服务器并执行命令，而无需将后门文件写入磁盘。 Atlassian最初的建议表明所有受支持的Confluence Server和Data Center版本都受到了影响，并重复了限制对Internet的访问或禁用Confluence Server的建议。该公司现在表示，没有任何Atlassian Cloud站点受到影响，并且所有受影响的客户都已收到修复通知。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/OUwDJD41OSgXaEfXFOUQng 封面来源于网络，如有侵权请联系删除

据快科技报道，紫光展锐芯片组基带处理器被曝存在一个高危漏洞。由于该漏洞出现在芯片层，且直接负责网络连接的网络解调器，因此，攻击者通过该漏洞向用户发送损坏的数据包，可中断或禁止目标设备的网络连接。 网络安全公司Check Point Research在对摩托罗拉Moto G20手机内的紫光展锐T700芯片上的LTE协议栈的逆向工程中，发现了该漏洞。2022年5月，该公司已经向紫光展锐提交了该漏洞的信息，紫光展锐官方也已经确定漏洞的存在，并将其划分为9.4级的严重漏洞。 同时紫光展锐也已经表示，将会立即对该漏洞进行修复；谷歌也确认了这一漏洞，并表示将会在下一个Android安全补丁中修复该漏洞。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335294.html 封面来源于网络，如有侵权请联系删除

在发送给美国各州选举官员的一份通知中，美国网络安全和基础设施局(CISA)表示至少有 16 个州目前在使用、来自一家主要供应商的电子投票机存在软件漏洞，如果不加以解决，很容易受到黑客攻击。 Jack Hanrahan/Erie Times-News CISA 表示，目前并没有证据表明有黑客利用 Dominion Voting Systems 公司的设备漏洞来篡改选举结果。该咨询是基于一位知名计算机科学家和长期诉讼案专家证人的测试，该诉讼案与前总统唐纳德·特朗普在 2020 年大选失利后推动的盗窃选举的虚假指控无关。 根据美联社获取的这份报告，其中详细介绍了 9 个漏洞，并建议采取保护措施，以防止或检测其利用。在有关选举的错误信息和虚假信息的漩涡中，CISA 似乎行走在不惊动公众和强调选举官员采取行动的边界线上。 在一份声明中，CISA 执行董事布兰登·威尔士（Brandon Wales）表示：“各州的标准选举安全程序将检测出对这些漏洞的利用，在许多情况下将完全防止这些企图。然而，该建议似乎表明各州做得还不够。它敦促迅速采取缓解措施，包括继续和加强防御性措施，以减少利用这些漏洞的风险。公告说，这些措施需要在每次选举前实施，而很明显，所有使用这些机器的州都没有这样做”。 密歇根大学计算机科学家亚历克斯-霍尔德曼(J. Alex Halderman)撰写了这份咨询报告，他长期以来一直认为，使用数字技术来记录选票是危险的，因为计算机本身容易受到黑客攻击，因此需要采取多种保障措施，但这些措施并没有得到统一的遵守。他和其他许多选举安全专家都坚持认为，使用手写纸质选票是最安全的投票方法，也是唯一可以进行有意义的选举后审计的选择。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1276043.htm 封面来源于网络，如有侵权请联系删除

上周，一名 Terra 社区成员意外发现了某个被疏忽七个月的 DeFi 漏洞，并且得到了 BlockSec 安全分析师的证实。2021 年 10 月，DeFi 应用程序 Mirror Protocol 在旧 Terra Mirror Protocol 建立在 Terra 区块链之上，然而在 TerraUSD（UST）稳定币失去与美元的锚定之后，其姊妹代币 Luna 在本月早些时候也被拖累到几乎一文不值。 在经历了混乱的几周后，社区投票通过了硬分叉的 Terra 2.0 以消弭影响，而原始链则倍改名为 Terra Classic 。 区块链上遭受了 9000 万美元的攻击损失，但社区直到上周才意识到它的存在。据悉，Mirror Protocol 允许用户使用合成资产，对科技股进行做多或做空。 本文提到的漏洞，由 Terra 社区成员兼分析师“FatMan”曝光。这对最新推出的 Terra 2.0 区块链，他也是最直言不讳的反对者之一。 同时安全公司 BlockSec 通过分析特定的漏洞利用交易，证实了 FatMan 的这一发现。 可知每当有人想要在 Mirror 上做空时，其必须将包括UST、LUNA Classic（LUNC）和 mAssets 在内的抵押品锁定至少 14 天。 交易结束后，用户可解锁抵押品、并将资产释放回钱包，且所有相关操作都是在智能合约生成的 ID 号的帮助下完成的。 然而由于代码上的 Bug，报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 ID 来提取资金。 于是 2021 年 10 月，某个不知名的实体发现了这一漏洞，并借此利用重复 ID 列表来反复解锁数以百倍的抵押品 —— 基本上意味着肇事者能够在没有任何授权的情况下提取资金。 后续的区块链记录表明，该实体总共撬走了约 9000 万美元的资金。然而更让人感到无语的是，这一漏洞直到七个月后才被人曝光。 通常情况下，为透明起见，项目放都会尽快向公众通报安全事件 —— 即便类似 Mirror Protocol 漏洞的事件相当罕见。 BlockSec 指出：与 ETH 和兼容区块链相比，在 Terra 上扫描相关问题的人较少，因而该漏洞才迟迟未被公众所知晓。 此外 Mirror 网站上没有可以查看协议中抵押品总量的界面，这使得在不筛选大量区块链数据的情况下，更难发现相关漏洞。 本月早些时候，大约在 UST 稳定币开始崩溃的同时，Mirror 开发人员悄悄修复了该漏洞 —— 补丁发布一周后，社区成员开始怀疑是否存在漏洞。 当然，这并不是黑客首次盯上加密货币的区块链协议。比如 2022 年 3 月，在黑客从 Ronin 侧链窃走 6 亿美元之后一周，无法提取资金的人们才意识到有糟糕的事情发生。 最后，被美国证券交易委员会（SEC）调查的 Mirror Protocol 尚未就此事发表官方评论。 The Block 向 Mirror / Terraform Labs 团队发去了置评请求，但截止发稿时，它们都未予置评。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1275465.htm 封面来源于网络，如有侵权请联系删除

5月27日，微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞，多个运营商的默认预装应用受影响，其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601， CVSS评分在 7.0分-8.9分之间， 能够让用户遭受命令注入和权限提升攻击，受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动，可以远程调用以利用多个漏洞，攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中，表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样，如果没有获得设备的 root 访问权限，一些受影响的应用程序就无法完全卸载或禁用。 在微软公开披露这些漏洞之前，mce Systems 已修复问题并向受影响的提供商提供框架更新，但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本，如果用户安装了包名为 com.mce.mceiotraceagent的应用，其设备也可能会受到试图滥用这些漏洞的攻击，建议用户及时清除这些应用，并更新至最新的系统版本。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334690.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，威胁分析专家披露开放自动化软件（OAS）平台存在安全漏洞，漏洞可导致设备访问、拒绝服务和远程代码执行受到严重影响。 众所周知，OAS 平台是一个广泛使用的数据连接解决方案，它将工业设备（PLC、OPC、Modbus）、SCADA 系统、物联网、网络点、自定义应用程序、自定义 API 和数据库结合在一个整体系统下。 另外，OAS 平台还是一个灵活的多功能硬件和软件连接解决方案，能够促使来自不同供应商的专有设备和应用程序之间数据传输，并将数据连接到公司特定的产品、定制软件等。 目前，包括米其林、沃尔沃、英特尔、JBT AeroTech、美国海军、Dart Oil and Gas、General Dynamics、AES Wind Generation等在内的一些高知名度工业实体，都在使用 OAS。 鉴于 OAS 用户众多，平台中的漏洞可能会使关键工业部门面临中断和机密信息泄露的风险。 严重漏洞 根据思科 Talos 的一份报告显示，OAS 平台 16.00.0112 及以下版本容易受到一系列高危漏洞的影响，可能会带来破坏性的网络攻击。 其中最危险的 CVE-2022-26833 漏洞，严重性等级为 9.4（满分 10 分），主要涉及 OAS 中未经授权的访问和使用 REST API功能。 思科表示，REST API 旨在为“默认”用户提供对配置更改和数据查看的编程访问权限，但 Talos 研究人员能够通过发送一个带有空白用户名和密码的请求来进行身份验证。 未使用任何凭据进行身份验证 攻击者可以通过向易受攻击的端点，发送一系列特制的 HTTP 请求来利用该漏洞。 另外一个关键漏洞追踪为 CVE-2022-26082，评级为 9.1（满分 10 分），是 OAS 引擎 SecureTransferFiles 模块的一个文件写入漏洞。 据思科称，向有漏洞的端点发送一系列特制的网络请求可能导致任意远程代码执行。思科 Talos 表示，通过向 OAS 平台发送格式正确的配置消息，有可能将任意文件上传到底层用户允许的任何位置。 默认情况下，这些消息可以被发送到 TCP/58727，一旦成功，将由具有正常用户权限的用户 oasuser 处理。这种情况使得远程攻击者能够将新的 authorized_keys 文件上传到 oasuser 的 .ssh 目录中，从而可以通过 ssh 命令访问系统。 Cisco Talos 发现的其他高严重性漏洞（CVSS：7.5）如下： CVE-2022-27169：通过网络请求获得目录列表 CVE-2022-26077：针对账户凭证的信息泄露 CVE-2022-26026：拒绝服务和丢失数据链接 CVE-2022-26303和CVE-2022-26043：外部配置更改和创建新用户和安全组 针对上述漏洞，思科提供了一些缓解建议，主要包括禁用服务和关闭通信端口，如果用户不能立刻升级到较新版本，这些措施是个不错的选择。 当然，最好的修复方式还是升级到较新版本，上述两个关键漏洞已在 16.00.0.113 版本中得到修复，建议立刻升级到最新版本。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334469.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站5月26日消息，VMware 已在近期发布了安全更新，以解决影响 Workspace ONE Access、VMware Identity Manager (vIDM) 或 vRealize Automation 的 CVE-2022-22972 漏洞。该漏洞属于多个 VMware 产品中的一个关键身份验证绕过漏洞，能允许攻击者获得管理员权限。 随着漏洞被修补，Horizon3 安全研究人员在26日发布了针对该漏洞的概念验证 (PoC) 漏洞利用和技术分析。 研究人员表示，CVE-2022-22972是一个相对简单的主机标头漏洞，攻击者可以较为容易的开发针对此漏洞的利用。虽然Shodan 搜索引擎仅显示了有限数量的 VMware 设备受到针对此漏洞的攻击，但仍有一些医疗保健、教育行业和政府组织成为攻击目标的风险正在增加。 具有严重后果的安全漏洞 VMware曾警告：“此漏洞的后果很严重。鉴于漏洞的严重性，我们强烈建议立即采取行动。”美国网络安全和基础设施安全局 (CISA)也曾发布新的紧急指令进一步强调了此安全漏洞的严重程度，该指令命令联邦民事执行局 (FCEB) 机构紧急更新或从其网络中删除 VMware 产品。 今年4 月，VMware 修复了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另外两个严重漏洞：一个远程代码执行错误 (CVE-2022-22954) 和一个root权限提升漏洞(CVE-2022-229600)。尽管 CVE-2022-22972 VMware auth bypass 尚未在野外被利用，但攻击者已能够在这两个漏洞披露的 48 小时内部署了系统后门和植入了挖矿木马。 网络安全机构表示，CISA 预计攻击者能够迅速开发出针对这些新发布的漏洞，在相同受影响的 VMware 产品中进行利用的能力。 延伸消息：博通宣布将以610亿美元收购VMware 当地时间5月26日，无线通信巨头博通公司（Broadcom）宣布，已经就收购VMware达成了协议，收购金额达到了610亿美元，并承担VMware 80亿美元的债务。一旦收购完成，博通软件部门将更名为VMware继续运营，并将现有的基础设施和安全软件解决方案与VMware产品进行整合。CNBC称，这是仅次于微软收购动视暴雪，戴尔收购EMC之后的全球第三大科技行业并购。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334457.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞，可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击，在不知不觉中完成交易，最终达到窃取资金的目的。 所谓点击劫持技术，指的是不知情的用户被诱骗点击看似无害的网页元素（如按钮），目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。 而在PayPal的漏洞中，这个技术被用来完成交易。黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时，用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。 2021年10月，h4x0r_dz向PayPal报告了这一漏洞，证明攻击者可以通过利用 Clickjacking 窃取用户的资金。 h4x0r_dz是在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。他表示，“按照逻辑，这个端点应只接受 billingAgreementToken，但在深入测试后发现并非如此，我们可以通过另一种令牌类型完成，这让攻击者有机会从受害者的 PayPal 账户中窃取资金。” 这意味着攻击者可以将上述端点嵌入到iframe中，如下图所示，此时已经登录Web浏览器的受害者点击页面的任何地方，就会自动向攻击者所控制的PayPal 帐户付款。 更令人担忧的是，这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果，从而使攻击者能够从用户的PayPal账户中扣除任意金额。 h4x0r_dz在社交平台上发布的帖子写到，“有一些在线服务可以让你使用 PayPal 将余额添加到你的帐户中，我可以使用相同的漏洞并强迫用户向我的帐户充值，或者我可以利用此漏洞让受害者为我创建/支付 Netflix帐户。” 目前，有安全专家表示，该漏洞尚未完成修复工作，用户应保持足够的警惕。   转自 Freebuf，原文链接：https://www.freebuf.com/news/334074.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，思科解决了一个影响 iOS XR 软件的中等严重性漏洞，该漏洞在野外被积极利用。 近日，思科发布安全更新，解决影响 iOS XR 软件的一个中等严重程度漏洞，该漏洞被追踪为 CVE-2022-20821 （CVSS评分：6.5），分析结果显示，威胁攻击者在野外攻击中积极利用了这一漏洞。 据悉，该漏洞存在于思科 iOS XR 软件的健康检查 RPM 中，远程攻击者可以利用该漏洞，在未经认证的情况下，访问在 NOSi 容器中运行的 Redis 实例。 从思科发布的安全公告来看，漏洞之所以存在，主要是因为健康检查 RPM 在激活时默认打开 TCP 6379 端口，这时候，攻击者可以通过连接到开放端口的 Redis 实例来利用这一漏洞。 当攻击者成功利用这一漏洞后，就可以任意写内容到 Redis 内存数据库里，写任意文件到容器文件系统中，并检索有关 Redis 数据库的信息。但是，鉴于 Redis 实例运行配置的沙盒容器，远程攻击者将无法执行远程代码或滥用思科 iOS XR 软件主机系统的完整性。 漏洞其他详情 经研究发现，该漏洞主要影响安装了健康检查 RPM，并处于活动状态的思科 8000 系列路由器。至于怎样确定设备是否存在安全漏洞，用户可以发出  run docker ps CLI  命令，如果输出返回了名称为  NOSi  的 docker 容器，则该设备存在漏洞。 漏洞解决方法如下: 选项1：禁用健康检查并明确禁用用例。 选项2：使用基础设施访问控制列表（iACLs），阻止 6379 端口。 值得一提的是，思科 PSIRT 已经意识到，部分攻击者企图在野外利用这个漏洞，强烈建议客户应用合适的解决方法，或者升级到固定的软件版本，迅速补救这个漏洞，以免造成严重后果。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333973.html 封面来源于网络，如有侵权请联系删除

近日，苹果发布了安全更新以解决一项新的零日漏洞，黑客可以利用该漏洞对Mac和Apple Watch设备发起攻击。 5月16日发布的安全报告中，苹果方面透露，公司已经意识到这个安全漏洞“可能正被积极利用”。 该漏洞是一项AppleAVD（音频和视频解码的内核扩展）中的越界写入问题，追踪代码为CVE-2022-22675，它允许应用程序以内核权限执行任意代码。该漏洞由匿名研究人员报告，随后苹果在macOS Big Sur 11.6、watchOS 8.6和 tvOS 15.5系统中对其修复并改进了边界检查。 受该漏洞影响的设备包括Apple Watch Series 3及更新的机型、运行macOS Big Sur的Mac、Apple TV 4K、Apple TV 4K（第2代）和Apple TV HD等。 虽然苹果公司披露了一些关于网络攻击的报告，但并没有发布任何关于这些攻击的额外信息。 外界推测，苹果公司很可能是希望通过隐瞒信息进而在攻击者发现零日漏洞的细节并将它利用于其他攻击之前，让安全更新覆盖尽可能多的Macs和Apple Watch设备。 虽然这个零日漏洞很可能只能被运用于针对性进攻，但苹果公司仍然强烈建议尽快安装macOS和watchOS的安全更新以阻止攻击企图。 2022零日漏洞一览 今年1月，苹果对另外两个被在野利用的零日漏洞进行了修补，一个漏洞使攻击者能够利用内核权限执行人任意代码（追踪编号为CVE-2022-22587），另一个漏洞使攻击者能够跟踪网页浏览活动和用户身份（追踪编号为CVE-2022-22594）。 一个月后，苹果发布了一项新的安全更新，以修补另一个零日漏洞，漏洞的追踪编号为CVE-2022-22620，被用来攻击iPhone、iPad和Macs设备，导致操作系统崩溃，并在受损的苹果设备上远程执行代码。 今年3月，英特尔图形驱动程序和AppleAVD解码器中也发现了两个活跃的零日漏洞，追踪编码分别为CVE-2022-22674和CVE-2022-22675，后者如今依旧活跃在旧版本macOS、watchOS 8.6和tvOS 15.5系统中。 这5个零日漏洞会影响iPhone（iPhone 6s及以上）、运行macOS Monterey的Mac和多种iPad型号的设备。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333384.html 封面来源于网络，如有侵权请联系删除