全球领先的商业通信公司Mitel发布了一份重要的安全公告，指出其MiCollab软件中存在一个严重的SQL注入漏洞，该漏洞特别影响音频、网络和视频会议（AWV）组件。该漏洞被命名为 CVE-2024-47223，CVSS 得分为 9.4，表明一旦被利用将可能造成重大损失。 该漏洞源于对用户输入的 sanitization 不足，允许未经认证的攻击者通过特制 URL 进行 SQL 注入攻击。 Mitel 在其公告中警告说：“成功利用该漏洞需要特制的 URL，并可能对系统的保密性、完整性和可用性造成影响。鉴于 MiCollab 被广泛用于企业环境中的协作和会议解决方案，因此该风险尤为突出。” 如果攻击者成功利用了 CVE-2024-47223，他们就可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。然而，潜在的危害还不止于此。Mitel 的公告称，攻击者还可以 “运行任意 SQL 数据库查询来破坏或删除表，从而可能导致 MiCollab 系统无法运行。 鉴于该漏洞的严重性，Mitel 强烈建议其客户更新到最新的 MiCollab 版本。该公告指出：“Mitel 建议受影响产品版本的客户更新到最新版本”，并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。 OSI Security公司的Patrick Webster发现并报告了这一漏洞，他的及时发现引起了Mitel的注意。 对于无法立即升级的客户，Mitel 还为 9.8、9.8 SP1 和 9.8 SP1FP1 版本提供了临时补丁，以降低风险。该补丁可通过 Mitel 的知识管理系统获取，并提供了帮助保护受影响系统的具体说明。     转自安全客，原文链接：https://www.anquanke.com/post/id/300846 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会最近发布的一份报告显示，尽管数月前就已发布了修补程序，但仍有大量 Fortinet 设备存在严重的远程代码执行 (RCE) 漏洞。 CVE-2024-23113 是一个影响 fgfmd 守护进程的认证前 RCE 漏洞，Fortinet 早在 2024 年 2 月就首次披露并修补了该漏洞。该漏洞允许未经身份验证的攻击者通过无需用户交互的简单攻击，在有漏洞的设备上执行任意代码。 Shadowserver 在 2024 年 10 月 12 日的扫描中发现了惊人的 87390 个唯一 IP 地址，这些地址仍在托管易受攻击的 Fortinet 设备。美国的暴露设备数量最多（约14,000台），其次是日本（5,100台）和印度（4,800台）。 我们现在报告的Fortinet IP仍有可能受到CVE-2024-23113（格式字符串预验证RCE）的攻击。该漏洞已知在野外被利用。 2024-10-12 扫描发现 87,390 个 IP。顶部：美国（14K）、日本（5.1K）、印度（4.8K） 该漏洞影响 Fortinet 的多种产品，包括： FortiOS 7.0 及更新版本 FortiPAM 1.0 及更高版本 FortiProxy 7.0 及以上版本 FortiWeb 7.4 Fortinet 于 2024 年 2 月首次披露并修补了该漏洞，敦促管理员更新系统以避免被利用。该公司建议，作为一项重要的缓解措施，从所有接口移除对易受攻击的 fgfmd 守护进程的访问，但这需要以限制 FortiManager 发现 FortiGate 为代价。Fortinet 还建议管理员实施本地策略，限制特定 IP 地址的 FGFM 连接。但他们强调，这只是一种缓解措施，而不是全面的解决方案，因为漏洞仍可能从允许的 IP 被利用。 尽管有这些警告，但仍有大量设备未打补丁，给全球组织带来持续风险。 上周，网络安全和基础设施安全局（CISA）发出警报，确认 CVE-2024-23113 正在被攻击者利用。Shadowserver最近的发现进一步凸显了这一漏洞的规模，因为仍有数千台Fortinet设备暴露在漏洞中。这种广泛的暴露使关键基础设施、企业和政府组织面临网络攻击的风险，特别是由于利用该漏洞只需极少的努力。     转自安全客，原文链接：https://www.anquanke.com/post/id/300839 封面来源于网络，如有侵权请联系删除

HashiCorp 发布了一份安全公告，披露了其 Vault 秘密管理平台中的一个漏洞，该漏洞可能允许攻击者将权限升级到高度敏感的根策略。 图片来源：安全客 该漏洞被追踪为 CVE-2024-9180，CVSSv3 得分为 7.2，源于 “Vault 内存实体缓存中条目处理不当”。公告解释说，拥有 “根命名空间身份端点写权限 ”的恶意行为者可以通过 Vault 节点上的身份 API 端点操作其缓存的实体记录，并有可能将其权限升级到该节点上的 Vault 根策略。 从本质上讲，这意味着攻击者可以利用这个漏洞获得对 Vault 实例的完全控制权，从而可能泄露敏感数据并中断关键操作。 幸运的是，这个漏洞的影响是有限的。HashiCorp 澄清说：“被操纵的实体记录不会在整个集群中传播，也不会持久化到存储后端，而且会在服务器重启时被清除。” 此外，该漏洞只影响根命名空间中的实体，不会影响标准命名空间或管理命名空间中的实体。由于 HCP Vault Dedicated 依赖于管理命名空间，因此也不会受到影响。 不过，HashiCorp 敦促所有 Vault 用户 评估与此问题相关的风险，并考虑升级 到已打补丁的版本。 以下版本提供了补救措施： Vault 社区版 1.18.0 Vault 企业版：1.18.0、1.17.7、1.16.11、1.15.16 作为升级的替代方案，HashiCorp 建议实施 Sentinel EGP 策略或修改默认策略，以限制对身份终端的访问。此外，监控 Vault 审计日志，查找 “identity_policy ”数组中包含 “root ”的条目，有助于发现潜在的利用企图。     转自安全客，原文链接：https://www.anquanke.com/post/id/300825 封面来源于网络，如有侵权请联系删除

施耐德电气就其 Harmony 工业 PC 系列和 Pro-face PS5000 传统工业 PC 系列的系统监控应用程序中的一个关键漏洞发布了安全通报。 该漏洞被跟踪为 CVE-2024-8884，CVSS v3.1 得分为 9.8，因此是一个严重威胁，如果不打补丁，可能会暴露敏感信息和潜在的运行故障。 该漏洞存在于这些工业 PC 中使用的系统监视器应用程序中，这些工业 PC 以轻薄耐用的设计著称，为工业环境提供灵活的连接。该关键漏洞是由于敏感信息通过不安全的 HTTP 连接暴露给了未经授权的行为者。具体来说，如果攻击者能通过网络与应用程序进行交互，就能获取凭证。 这一漏洞使企业面临拒绝服务（DoS）攻击、敏感数据泄漏和潜在完整性问题的重大风险，最终可能导致关键工业环境中的运行故障。 CVE-2024-8884 漏洞影响以下产品中所有版本的系统监视器应用程序： Harmony 工业 PC 系列：HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP； Pro-face PS5000 传统工业 PC 系列。 这两个产品系列在工业环境中被广泛用于监控和管理生产系统，因此对于依赖施耐德电气解决方案来确保其设施无缝运行的公司来说，这一威胁尤其令人担忧。 施耐德电气为受此漏洞影响的客户提供了详细的修复策略。建议的解决方案是卸载系统监控应用程序。 施耐德电气还强烈建议客户遵循行业最佳实践，包括在测试和开发环境或离线基础架构中测试卸载过程，以避免对生产造成意外干扰。     转自安全客，原文链接：https://www.anquanke.com/post/id/300810 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。 美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞： CVE-2024-43047 高通多个芯片组使用后免费漏洞 CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞 CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞 高通公司本周解决了其产品中的 20 个漏洞，其中包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “使用后免费”（use-after-free）错误。 该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。 “目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配，则可能导致免费使用（UAF）漏洞。作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。” 谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。 谷歌威胁分析小组称，CVE-2024-43047 可能正受到有限的、有针对性的利用，Wang 也证实了野外活动。 研究人员还没有公布利用 CVE-2024-43047 的攻击细节，但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 关于CISA添加到KEV目录中的微软漏洞，IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。 微软证实，这两个问题正在被恶意利用。 CVE-2024-43572 (CVSS score: 7.8) – 微软管理控制台远端执行程式码漏洞： 如果用户加载恶意的 MMC snap-in，Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限，但管理员应立即应用更新以减轻潜在危害。 CVE-2024-43573（CVSS 得分：6.5）- Windows MSHTML 平台欺骗漏洞： 尽管该漏洞被评为中度，但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善，因此建议及时测试和部署此更新。 根据约束性操作指令 (BOD) 22-01： FCEB 机构必须在规定日期前处理已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私营机构审查目录并解决其基础设施中的漏洞。 CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300813 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 近日，GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，其中包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的关键漏洞。该漏洞被跟踪为 CVE-2024-9164，CVSS 得分为 9.6（满分 10 分），攻击者可以在某些情况下以任意用户身份触发Pipeline，可能导致权限提升或执行恶意操作 。 GitLab 在一份公告中说：“在 GitLab EE 中发现了一个漏洞，影响了从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本，以及从 17.4 开始到 17.4.2 之前的所有版本。” 目前，GitLab CE/EE 17.1.7，17.2.5，17.3.2及以上版本已修复该漏洞。 在其余七个问题中，四个被评为严重程度高，两个被评为严重程度中，一个被评为严重程度低： CVE-2024-8970（CVSS 得分：8.2），允许攻击者在某些情况下以其他用户身份触发管道 CVE-2024-8977（CVSS 得分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中进行 SSRF 攻击 CVE-2024-9631 (CVSS score: 7.5)，可导致在查看有冲突的合并请求的差异时速度变慢 CVE-2024-6530 （CVSS 得分：7.3），由于跨站点脚本问题，当授权新应用程序时，会在 OAuth 页面中注入 HTML 近几个月来，GitLab 不断披露与管道相关的漏洞，该公告是其中的最新进展。 近期历史漏洞回顾 GitLab近期频繁披露与管道相关的漏洞，此次更新只是其中的一部分。 上个月，GitLab修复了另一个关键漏洞（CVE-2024-6678，CVSS得分：9.9），该漏洞允许攻击者以任意用户身份运行管道作业。 此前，GitLab还修补了其他三个类似的缺陷——CVE-2023-5009（CVSS得分：9.6）、CVE-2024-5655（CVSS得分：9.6）和CVE-2024-6385（CVSS得分：9.6）。 尽管目前没有证据表明这些漏洞已被主动利用，但GitLab强烈建议用户将其实例更新至最新版本，以确保系统安全并防范潜在威胁。定期更新和监控是保护关键基础设施免受攻击的重要措施。 GitLab的安全更新反映了当前软件安全环境的动态性，企业需保持警惕并及时响应安全公告，以维护其数字资产的安全。 参考来源：New Critical GitLab Vulnerability Could Allow Arbitrary CI/CD Pipeline Execution (thehackernews.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412651.html 封面来源于网络，如有侵权请联系删除

Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞。Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。 这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。 这些漏洞可让攻击者： 执行凭证填充攻击—— 利用缺乏登录尝试限制 (CVE-2024-7292)； 对用户密码进行暴力破解攻击—— 由于密码要求较弱 (CVE-2024-7293)； 发起拒绝服务攻击—— 在没有速率限制的情况下针对匿名端点进行攻击(CVE-2024-7294)； 在服务器上执行任意代码—— 通过不安全的类型解析漏洞 (CVE-2024-8015)。 这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1，攻击者可完全控制报告服务器。 Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。 对于无法立即更新至修补版本的用户，Progress Software建议采取以下缓解措施，以应对CVE-2024-8015： 将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。 有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300739 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 勒索软件团伙现在利用一个关键的安全漏洞，让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现，该安全漏洞（现在被追踪为CVE-2024-40711）是由未受信任数据的反序列化弱点引起的，未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。 Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新，而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过，watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日，以便管理员有足够的时间确保服务器安全。 企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案，用于备份、恢复和复制虚拟机、物理机和云计算机，从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。 正如 Sophos X-Ops 事件响应人员在上个月发现的那样，CVE-2024-40711 RCE 漏洞很快被发现，并在 Akira 和 Fog 勒索软件攻击中被利用，与之前泄露的凭证一起，向本地管理员和远程桌面用户组添加“点”本地帐户。 在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示：所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。 在每起案件中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。 在Fog勒索软件事件中，攻击者将其部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone外泄数据。 这并非勒索软件攻击针对的首个Veeam漏洞 去年，即 2023 年 3 月 7 日，Veeam 还修补了备份与复制软件中的一个高严重性漏洞（CVE-2023-27532），该漏洞可被利用来入侵备份基础架构主机。 几周后的3月下旬，芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中，FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。 几个月后，同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。 Veeam表示，其产品已被全球超过55万家客户使用，其中包括至少74%的全球2000强企业。 参考来源：Akira and Fog ransomware now exploit critical Veeam RCE flaw (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412525.html 封面来源于网络，如有侵权请联系删除

Mozilla 透露，一个影响 Firefox 和 Firefox Extended Support Release (ESR) 的关键安全漏洞已被恶意利用。 该漏洞被追踪为 CVE-2024-9680，被描述为动画时间轴组件中的 “use-after-free ”漏洞。 Mozilla 在周三的一份公告中说：“攻击者利用了动画时间轴中的use-after-free，在内容进程中执行了代码。我们收到了关于该漏洞在野外被利用的报告。” 斯洛伐克 ESET 公司的安全研究员 Damien Schaeffer 发现并报告了这一漏洞。 该问题已在以下版本的网络浏览器中得到解决： 火狐 131.0.2 火狐浏览器 ESR 128.3.1 火狐浏览器 ESR 115.16.1 目前还没有关于该漏洞在实际攻击中如何被利用以及幕后威胁者身份的详细信息。 尽管如此，此类远程代码执行漏洞可以通过多种方式加以利用，既可以作为针对特定网站的灌水漏洞攻击的一部分，也可以通过欺骗用户访问虚假网站的 “偷渡式下载 ”活动加以利用。 建议用户更新到最新版本，以抵御主动威胁。     转自安全客，原文链接：https://www.anquanke.com/post/id/300716 封面来源于网络，如有侵权请联系删除

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中，发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。 CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果，问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制（UAC）提示的情况下启动安装程序，从而触发安装修复。在修复过程中，一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行，并与程序文件目录下的 libeay32.dll 文件交互。 Baer 解释说，这个过程打开了一个重大漏洞： “在使用 msiexec.exe 的修复功能时，发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口。这样，攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统，从而完全控制机器。” 开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件（即使该文件已从其原始位置删除）并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。 通过在特定时间点小心地释放和保持锁，攻击者可以确保 conhost.exe 窗口保持打开，从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭，因此可以与之交互，”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。 分析显示，GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过，5.2.x 版本已达到使用寿命，将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300697 封面来源于网络，如有侵权请联系删除