HackerNews 编译，转载请注明出处： Veeam 和 IBM 近日发布了安全更新，以修复其 Backup 和 AIX 系统中的高风险漏洞。 Veeam 发布了安全更新，修复了影响其 Backup & Replication 软件的一个关键安全漏洞，该漏洞可能导致远程代码执行。该漏洞编号为 CVE-2025-23120，其 CVSS 评分为 9.9（满分 10.0），影响 12.3.0.310 版本及所有更早的 12 版本。 Veeam 在周三发布的安全公告中表示：“该漏洞允许经过身份验证的域用户执行远程代码。” 安全研究人员 Piotr Bazydlo（来自 watchTowr）因发现并报告该漏洞而受到赞誉，该漏洞已在 12.3.1 版本（构建号 12.3.1.1139）中得到修复。 根据 Bazydlo 和研究员 Sina Kheirkhah 的分析，CVE-2025-23120 源自 Veeam 对反序列化机制的不一致处理，导致一个允许反序列化的白名单类为一种内部反序列化铺平了道路，而这种内部反序列化采用了基于黑名单的方法来阻止公司认为有风险的数据反序列化。 这也意味着攻击者可以利用黑名单中缺失的反序列化工具（例如 Veeam.Backup.EsxManager.xmlFrameworkDs 和 Veeam.Backup.Core.BackupSummary）来实现远程代码执行。 “任何属于 Veeam 服务器 Windows 主机本地用户组的用户都可以利用这些漏洞，”研究人员表示，“更糟糕的是，如果你的服务器已加入域，那么任何域用户都可以利用这些漏洞。” Veeam 的补丁将这两个工具添加到现有黑名单中，这意味着如果发现其他可行的反序列化工具，该解决方案可能会再次面临类似风险。 与此同时，IBM 也发布了补丁，修复了其 AIX 操作系统中的两个关键漏洞，这些漏洞可能允许执行命令。受影响的 AIX 版本为 7.2 和 7.3，具体漏洞如下： CVE-2024-56346（CVSS 评分：10.0）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimesis NIM 主服务执行任意命令。 CVE-2024-56347（CVSS 评分：9.6）：这是一个不当访问控制漏洞，可能允许远程攻击者通过 AIX nimsh 服务的 SSL/TLS 保护机制执行任意命令。 尽管目前没有证据表明这些关键漏洞已被实际利用，但用户仍被建议尽快应用必要的补丁，以防范潜在威胁。 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti发布了针对Ivanti Connect Secure（ICS）、Ivanti Policy Secure（IPS）和Ivanti Secure Access Client（ISAC）的安全更新，修复了多个漏洞，其中包括三项严重漏洞。 该公司通过其负责任的披露计划，收到了来自CISA、Akamai的安全研究人员以及HackerOne漏洞赏金平台的报告，才得知这些漏洞。 Ivanti在安全公告中指出，尚未收到这些问题在实际环境中被积极利用的报告。然而，Ivanti建议用户尽快安装安全更新。 三个关键的安全漏洞 Ivanti修复的三项关键安全漏洞如下： CVE-2025-22467：ICS中的基于堆栈的缓冲区溢出漏洞，允许具有低权限的远程认证攻击者执行代码（严重性评分：9.9）。 CVE-2024-38657：外部控制文件名漏洞，允许远程认证攻击者在ICS和IPS中执行任意文件写入（严重性评分：9.1）。 CVE-2024-10644：代码注入漏洞，允许远程认证攻击者在ICS和IPS中执行远程代码（严重性评分：9.1）。 利用这三项漏洞可以从远程位置进行攻击，但攻击者需要先进行身份认证。并且，其中两项漏洞需要管理员权限才能执行远程代码或写入任意文件。 尽管如此，风险仍然相当大，因为内部威胁或通过钓鱼、先前的泄露或暴力破解密码窃取凭证的攻击者，依然可以利用这些漏洞进行恶意操作。 此外，公告中还列出了五个中到高严重性的漏洞，包括跨站脚本（XSS）漏洞、硬编码密钥、敏感数据以明文存储以及权限不足等问题。 影响版本 这些漏洞影响的版本包括： ICS 22.7R2.5及更早版本 IPS 22.7R1.2及更早版本 ISAC 22.7R4及以下版本 每个漏洞影响的具体产品版本详情，请参见下表。 这些问题已经在ICS 22.7R2.6、IPS 22.7R1.3和ISAC 22.8R1中修复，系统管理员应升级至这些版本。 Pulse Connect Secure 9.x Ivanti还确认该问题也影响Pulse Connect Secure 9.x版本，但表示由于这些产品的支持期已经结束，因此不会为这些版本提供修复。 Ivanti解释称：“Pulse Connect Secure 9.x版本于2024年6月达到了工程结束，并且自2024年12月31日起已结束支持。” “因此，9.x版本的Connect Secure不再接收回溯修复，”公司补充道，并鼓励客户升级到Ivanti Connect Secure 22.7版本。 Ivanti未提供对已修复漏洞的任何缓解措施，安装最新更新是推荐的解决方案。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

7-Zip 中存在一个高严重性漏洞，攻击者可以利用该漏洞绕过 Windows 安全功能 Mark of the Web (MotW)，并在从嵌套归档文件中提取恶意文件时在用户的计算机上执行代码。 7-Zip 于 2022 年 6 月从 22.00 版开始添加了对 MotW 的支持。从那时起，它会自动将 MotW 标志（特殊的“Zone.Id”备用数据流）添加到从下载的档案中提取的所有文件中。 此标志通知操作系统、网络浏览器和其他应用程序，文件可能来自不受信任的来源，应谨慎处理。 因此，当双击使用 7-Zip 提取的危险文件时，用户会收到警告，打开或运行此类文件可能会导致潜在的危险行为，包括在其设备上安装恶意软件。 Microsoft Office 还将检查 MotW 标志，如果找到，它将在受保护的视图中打开文档，这会自动启用只读模式并禁用所有宏。 使用 MoTW 标志启动下载的可执行文件（BleepingComputer） 然而，如趋势科技在周末发布的一份公告中所解释的那样，一个被追踪为CVE-2025-0411的安全漏洞可以让攻击者绕过这些安全警告并在目标电脑上执行恶意代码。 Trend Micro 表示：“此漏洞允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互，即目标必须访问恶意页面或打开恶意文件。” “特定缺陷存在于存档文件的处理中。从带有网络标记的精心设计的存档中提取文件时，7-Zip 不会将网络标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。” 7-Zip 已于2024 年 11 月 30 日发布 7-Zip 24.09修补了此漏洞 。 “7-Zip 文件管理器没有传播从嵌套档案中提取的文件的 Zone.Identifier 流（如果另一个打开的档案内有一个打开的档案）。”Pavlov 说。 利用类似漏洞可部署恶意软件 由于 7-Zip 没有自动更新功能，许多用户可能仍在运行易受攻击的版本，攻击者可以利用7ZIP的旧版本感染恶意软件。 所有 7-Zip 用户应尽快修补其安装，因为此类漏洞经常被恶意软件攻击所利用。 例如，6 月份，微软解决了 Mark of the Web 安全绕过漏洞 (CVE-2024-38213)， DarkGate 恶意软件运营商自 2024 年 3 月以来一直在利用该漏洞作为0day武器来绕过 SmartScreen 保护并安装伪装成 Apple iTunes、NVIDIA、Notion 和其他合法软件安装程序的恶意软件。 以经济利益为目的的 Water Hydra（又名 DarkCasino）黑客组织还利用另一个 MotW 绕过（CVE-2024-21412），使用DarkMe 远程访问木马 (RAT)针对股票交易 Telegram 频道和外汇交易论坛发起攻击。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UC2bhaDJEdyNE0MsWN5EjQ 封面来源于网络，如有侵权请联系删除

12月23日，Adobe发布紧急安全更新，以解决一个ColdFusion严重漏洞，已存在概念验证（PoC）漏洞利用。 漏洞被标识为CVE-2024-53961，影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件，暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的，源于对受限目录的路径名限制不当。通过利用这个缺陷，攻击者可以绕过安全限制，未经授权地访问预期目录之外的文件。 概念验证PoC漏洞利用已存在 令人担忧的是，Adobe已确认CVE-2024-53961的概念验证漏洞利用已经存在。这意味着攻击者有可能积极利用这个漏洞，因此用户必须立即更新ColdFusion安装。 受影响的版本和补救措施 以下ColdFusion版本受到影响： ColdFusion 2023：更新11及更早版本 ColdFusion 2021：更新17及更早版本 Adobe已发布更新解决漏洞，强烈建议用户升级到最新版本： ColdFusion 2023：更新12 ColdFusion 2021：更新18 Adobe尚未披露此漏洞是否已被广泛利用。公司建议客户查看Adobe更新的串行过滤器文档，以便获取更多关于如何阻止不安全的Wddx反序列化攻击的信息。     转自E安全，原文链接：https://mp.weixin.qq.com/s/oO5YQIVgwD5yicAeY8z3kw 封面来源于网络，如有侵权请联系删除

Ivanti 解决了其云服务设备（CSA）解决方案中的一个关键身份验证绕过漏洞。 Ivanti 解决了影响其云服务设备（CSA）解决方案的一个关键身份验证绕过漏洞，该漏洞被追踪为 CVE-2024-11639（CVSS 评分 10）。 远程未认证的攻击者可以利用该漏洞获得管理员访问权限。 这个漏洞是由 CrowdStrike 高级研究团队发现的，影响 5.0.2 及之前版本。 “在 Ivanti CSA 5.0.3 之前的版本的管理员网络控制台中存在一个身份验证绕过问题，允许远程未认证的攻击者获得管理员访问权限。”公司发布的公告中写道。 该公司还修复了一个关键的 SQL 注入漏洞，该漏洞被追踪为 CVE-2024-11772（CVSS 评分 9.1），影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 公司解决的第三个问题是另一个关键的 SQL 注入漏洞，被追踪为 CVE-2024-11773（CVSS 评分 9.1），同样影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者也可以利用该漏洞执行任意 SQL 语句。 Ivanti 发布了 CSA 5.0.3 版本来解决上述问题，并指出公司不知道有在野利用这些漏洞的攻击。 “在我们公开披露之前，没有客户被这些漏洞所利用的消息。这些漏洞是通过我们的负责任披露计划被披露的。”公告总结道，“目前，没有已知的公开利用这些漏洞的情况，也无法提供妥协指标。” 早在 10 月初，这家软件公司就警告了其云服务设备（CSA）中的三个新的安全漏洞（CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381），这些漏洞正在野外攻击中被积极利用。 以下是这三个漏洞的描述： CVE-2024-9379（CVSS 评分 6.5）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的 SQL 注入。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 CVE-2024-9380（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的操作系统命令注入漏洞。具有管理员权限的远程认证攻击者可以利用该漏洞实现远程代码执行。 CVE-2024-9381（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前的版本中的路径遍历问题。具有管理员权限的远程认证攻击者可以利用该漏洞绕过限制。 威胁行为者将这些三个漏洞与 CSA 零日漏洞 CVE-2024-8963（CVSS 评分 9.4）链接起来，该漏洞在 9 月被软件公司解决。 威胁行为者可以利用这些漏洞在易受攻击的 CSA 网关上执行 SQL 注入攻击、通过命令注入执行任意代码，并利用路径遍历弱点绕过安全限制。 “我们了解到有限的客户运行 CSA 4.6 补丁 518 及之前的版本，当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 链接时，这些客户遭到了利用。”Ivanti 发布的公告中写道，“我们没有证据表明其他漏洞在野外被利用。这些漏洞不影响 Ivanti 的任何其他产品或解决方案。”     转自安全客，原文链接：https://www.anquanke.com/post/id/302694 封面来源于网络，如有侵权请联系删除

2024 年 12 月 10 日，微软披露了Windows 远程桌面服务中的一个严重漏洞，能够让攻击者在受影响的系统上执行远程代码，从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115，CVSS 评分为 8.1，由昆仑实验室的研究员 k0shl发现。漏洞影响Windows Server 的多个版本，包括Windows Server 2016、Windows Server 2019、Windows Server 2022和Windows Server 2025。 漏洞源于两个关键缺陷： CWE-591：在锁定不当的内存中存储敏感数据 CWE-416：释放后使用 攻击者可通过连接到具有远程桌面网关角色的系统并触发竞争条件来利用此漏洞。 这会产生 “free-after-free”  情况，从而执行任意代码。 值得注意的是，这种攻击不需要用户交互或权限，但其高度复杂性使得没有高级技术技能的攻击者不太可能成功利用该漏洞。 目前所有受影响的版本都已作为微软 2024 年 12 月 “星期二补丁”更新的一部分，打上了相应的安全补丁。虽然漏洞利用代码的成熟度目前尚未得到证实，也没有证据表明存在主动利用或公开披露的情况，但其潜在影响仍然很大。 成功利用后，攻击者可通过远程代码执行完全控制目标系统。 此漏洞反映了与远程桌面协议 （RDP） 等远程访问技术相关存在的持续性风险。 虽然目前还没有主动利用漏洞的报告，但这一漏洞的严重性凸显了立即采取行动保护系统免受潜在攻击的必要性，包括将 RDP 访问限制在受信任的网络、启用网络级身份验证（NLA）和监控可疑活动。     转自Freebuf，原文链接：https://www.freebuf.com/news/417532.html 封面来源于网络，如有侵权请联系删除

MITRE收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞，并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击，包括全完接管系统、窃取数据或系统无法运行。” MITRE对3.1万个漏洞进行了详细地分析，并根据每个漏洞的严重性和利用频率进行评分，其中会重点关注添加到CISA已知利用漏洞（KEV）目录中的安全漏洞。MITRE强调，强烈建议审查列表上的漏洞类型，并指导其软件安全策略，防止软件生命周期中可能出现的严重漏洞。 以下是2022年CWE前25个最危险的软件漏洞列表：       转自Freebuf，原文链接：https://www.freebuf.com/news/415862.html 封面来源于网络，如有侵权请联系删除

在最近的一份报告中，Palo Alto Networks 的研究人员披露了谷歌 Vertex AI 平台中的两个关键漏洞，这些漏洞可能使组织面临严重的安全风险。这些漏洞被称为 “ModeLeak”，可实现权限升级和模型外渗，可能允许攻击者访问 Vertex AI 环境中的敏感机器学习（ML）和大型语言模型（LLM）数据。 第一个漏洞是通过 Vertex AI 中的自定义作业进行权限升级。通过利用 Vertex AI Pipelines 中的自定义作业权限，攻击者可以访问整个项目的数据。报告指出：“通过操纵自定义作业管道，我们发现了一个权限升级路径，它允许我们访问远远超出预期范围的资源。这种访问权限包括从 Google 云存储和 BigQuery 数据集中列出、读取和导出数据的能力–这些操作通常需要更高级别的授权。” 通过自定义代码注入，研究人员演示了攻击者如何注入命令以打开反向 shell，从而在环境中创建后门。这一漏洞源于授予服务代理的默认权限，研究人员发现该权限过于宽泛。“凭借服务代理的身份，我们可以列出、读取甚至导出我们本不应该访问的数据桶和数据集中的数据。” 第二个漏洞带来了更为隐蔽的威胁：通过恶意模型进行模型外渗。恶意行为者可以将中毒模型上传到公共存储库，一旦部署，就会渗透到环境中的其他敏感模型。“想象一下恶意行为者将中毒模型上传到公共模型库的情景，”报告解释道。“一旦部署，恶意模型就会渗透到项目中的所有其他 ML 和 LLM 模型，包括敏感的微调模型。”这种情况创建了一个模型到模型的感染途径，嵌入在微调适配器中的专有信息可被攻击者复制和外渗。 Palo Alto Networks 此后与谷歌分享了这些发现，谷歌已部署了修复程序，以确保谷歌云平台（GCP）上 Vertex AI 的安全。为了抵御类似威胁，Palo Alto Networks 建议企业实施严格的访问控制，并密切监控模型部署流程。报告警告说，如果这些漏洞被威胁行为者利用，特别是在敏感数据驱动模型训练和调整的环境中，可能会造成广泛的后果。     转自Freebuf，原文链接：https://www.anquanke.com/post/id/301816 封面来源于网络，如有侵权请联系删除

流行的文档渲染引擎 Ghostscript 发布了一个重要的安全更新，解决了多个漏洞，其中一些漏洞可能导致远程代码执行。 Ghostscript 是一种广泛使用的 PostScript 和 PDF 文件解释器，它在最新发布的 10.04.0 版本中修补了一系列安全漏洞。这些漏洞源于 Ghostscript 在处理不同文件格式和数据结构时出现的各种编码错误。恶意行为者可以利用这些错误制作专门设计的 PostScript 或 PDF 文件，当这些文件被有漏洞的 Ghostscript 版本处理时，就会触发这些漏洞，导致代码执行或信息泄露。 最严重的漏洞包括 CVE-2024-46951、CVE-2024-46952、CVE-2024-46953 和 CVE-2024-46956： 这些漏洞可让攻击者利用与未检查指针、缓冲区溢出和越界数据访问相关的问题执行任意代码。这些漏洞存在于 Ghostscript 的多个组件中，包括 PostScript 解释器和 PDF 处理模块。 CVE-2024-46954： 此漏洞涉及超长UTF-8编码，可被利用来实现目录遍历，潜在允许攻击者访问敏感文件。 CVE-2024-46955： 该漏洞虽然不太严重，但可能导致越界读取，从而泄露敏感信息。 鉴于 Ghostscript 在各种应用程序中处理 PDF 和 PostScript 文件的作用，这些漏洞凸显了安全文档处理的关键需求，特别是在处理外部或用户提交文件的环境中。与任意代码执行、路径遍历和缓冲区溢出漏洞相关的风险使 Ghostscript 成为恶意行为者利用文档处理漏洞入侵系统的目标。 强烈建议 Ghostscript 用户更新到 10.04.0 或更高版本，以降低被利用的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/301733 封面来源于网络，如有侵权请联系删除

威胁者正积极试图利用Veeam Backup & Replication中一个现已打补丁的安全漏洞，来部署Akira和Fog勒索软件。 网络安全厂商Sophos表示，在过去的一个月里，它一直在追踪一系列利用被泄露的VPN凭证和CVE-2024-40711创建本地帐户并部署勒索软件的攻击。 CVE-2024-40711在CVSS等级中被评为9.8级（满分10.0），是一个允许未经验证的远程代码执行的关键漏洞。2024 年 9 月初，Veeam 在备份与复制 12.2 版本中解决了这一问题。 德国 CODE WHITE 公司的安全研究员 Florian Hauser 是发现并报告该安全漏洞的功臣。 在每个案例中，攻击者最初都是在未启用多因素身份验证的情况下使用被入侵的 VPN 网关访问目标的，Sophos 说，其中一些 VPN 运行的是不支持的软件版本。 每次，攻击者都在端口 8000 的 URI /trigger 上利用 VEEAM，触发 Veeam.Backup.MountService.exe 生成 net.exe。该漏洞利用程序创建了一个本地账户‘point’，并将其添加到本地管理员和远程桌面用户组中。 据说，在导致部署 Fog 勒索软件的攻击中，威胁者将勒索软件投放到未受保护的 Hyper-V 服务器上，同时使用 rclone 实用程序外泄数据。其他勒索软件部署均未成功。 对 CVE-2024-40711 的积极利用促使英国国家医疗服务系统（NHS England）发布了一份警告，指出 “企业备份和灾难恢复应用程序是网络威胁组织的重要目标”。 在披露这一消息的同时，Palo Alto Networks 第 42 部门详细介绍了名为 Lynx 的 INC 勒索软件的后续版本，该版本自 2024 年 7 月以来一直处于活跃状态，其攻击目标是美国和英国的零售、房地产、建筑、金融和环境服务领域的组织。 据说，早在2024年3月，INC勒索软件的源代码就在地下犯罪市场上出售，促使恶意软件作者重新包装锁定器并产生新的变种，从而刺激了Lynx的出现。 “Lynx勒索软件与INC勒索软件共享大量源代码，”Unit 42说。“INC勒索软件最初出现在2023年8月，其变种兼容Windows和Linux。” 在此之前，美国卫生与公众服务部（HHS）卫生部门网络安全协调中心（HC3）也发布警告称，该国至少有一家医疗保健实体已成为 Trinity 勒索软件的受害者，Trinity 勒索软件是另一款相对较新的勒索软件，于 2024 年 5 月首次为人所知，据信是 2023Lock 和 Venus 勒索软件的改版。 HC3表示：“这是一种通过多种攻击载体渗透系统的恶意软件，包括钓鱼电子邮件、恶意网站和利用软件漏洞。一旦进入系统，Trinity 勒索软件就会采用双重勒索策略，将受害者作为攻击目标。” 据观察，网络攻击还提供了一种被称为BabyLockerKZ的MedusaLocker勒索软件变种，该变种由一个有经济动机的威胁行为者提供，据悉自2022年10月以来一直很活跃，目标主要位于欧盟国家和南美洲。 Talos 研究人员表示：“该攻击者使用了几种公开的攻击工具和离岸二进制文件（LoLBins），这是由同一开发者（可能是攻击者）构建的一套工具，用于协助被攻击组织的凭证窃取和横向移动。” 这些工具大多是对公开可用工具的封装，其中包括简化攻击过程的附加功能，并提供图形或命令行界面。     转自安全客，原文链接：https://www.anquanke.com/post/id/300858 封面来源于网络，如有侵权请联系删除