近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞，该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261，CVSS v3 得分为 9.8，是一个输入验证故障，由用户提供的数据处理不当引起，允许远程攻击者在主机操作系统上执行任意命令。 Zyxel 警告称某些 AP 和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。 受 CVE-2024-7261 影响的 Zyxel 接入点 (AP) 如下： NWA 系列： NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻击，请升级至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻击，请升级至 6.70(ABVT.5) 及更高版本。 WAC 系列： WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻击，请升级至 6.28(AAXH.3) 及更高版本。 WAX 系列： WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACHF.2) 及更高版本。 WBE 系列： WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACLE.2) 及更高版本。 Zyxel 表示，运行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影响，但该型号已通过云自动更新到 V2.00(ACIP.3)，其中实施了 CVE-2024-7261 的修补程序。 更多 Zyxel 修复 Zyxel 还针对 APT 和 USG FLEX 防火墙中的多个高严重性缺陷发布了安全更新。摘要如下： CVE-2024-6343：CGI 程序中的缓冲区溢出可能导致通过身份验证的管理员发送伪造的 HTTP 请求，从而导致 DoS。 CVE-2024-7203：验证后命令注入允许通过伪造的 CLI 命令执行操作系统命令。 CVE-2024-42057：在 IPSec VPN 中的指令注入，允許未認證的攻擊者在「使用者為本-PSK」模式下，利用偽造的長使用者名稱執行作業系統指令。 CVE-2024-42058：取消引用空指针可通过未认证攻击者发送的伪造数据包导致 DoS。 CVE-2024-42059：身份验证后命令注入允许身份验证的管理员通过 FTP 上传伪造的压缩语言文件执行操作系统命令。 CVE-2024-42060： 認證後指令注入漏洞，令已認證的管理員可透過上載精心製作的內部使用者協議檔案，執行作業系統指令。 CVE-2024-42061：dynamic_script.cgi “中的反射 XSS 允许攻击者诱骗用户访问伪造的 URL，从而可能泄漏基于浏览器的信息。 上述漏洞中 CVE-2024-42057 值得特别关注 ，它是 IPSec VPN 功能中的命令注入漏洞，无需验证即可被远程利用。 利用漏洞所需的特定配置要求会降低其严重性，包括在基于用户的 PSK 身份验证模式下配置设备，以及用户的用户用户名长度超过 28 个字符。 有关其他受影响的防火墙更多详细信息，可具体查看 Zyxel 公告。   转自Freebuf，原文链接：https://www.freebuf.com/news/410154.html 封面来源于网络，如有侵权请联系删除。

一个名为Head Mare 的黑客组织涉嫌发动网络攻击，攻击对象主要是俄罗斯和白俄罗斯目标。 卡巴斯基在周一对该组织的策略和工具的分析中表示：“Head Mare 使用更为先进的方法来获取初始访问权限。例如，攻击者利用了 WinRAR 中相对较新的CVE-2023-38831漏洞，该漏洞允许攻击者通过特制的存档在系统上执行任意代码。这种方法使该组织能够更有效地传递和伪装恶意负载。” Head Mare 自 2023 年起活跃，是一年前开始的俄乌冲突背景下攻击俄罗斯组织的黑客组织之一。 它还在 X 上存在，并在那里泄露受害者的敏感信息和内部文件。该组织的攻击目标包括政府、交通、能源、制造业和环境部门。 与其他可能以对两国公司造成“最大程度损害”为目标的黑客活动分子不同，Head Mare 还使用 LockBit （Windows版本）和 Babuk （Linux版本）加密受害者的设备，并索要解密赎金。 其工具包还包括PhantomDL 和 PhantomCore，前者是一个基于 Go 的后门，能够提供额外的有效载荷并将感兴趣的文件上传到命令和控制 (C2) 服务器。 PhantomCore（又名 PhantomRAT）是 PhantomDL 的前身，是一种具有类似功能的远程访问木马，允许从 C2 服务器下载文件、将文件从受感染主机上传到 C2 服务器，以及在 cmd.exe 命令行解释器中执行命令。 “攻击者创建名为 MicrosoftUpdateCore 和 MicrosoftUpdateCoree 的计划任务和注册表值，将其活动伪装成与微软软件相关的任务。”卡巴斯基表示，“我们还发现该组织使用的某些 LockBit 样本具有以下名称：OneDrive.exe [和] VLC.exe。这些样本位于 C:\ProgramData 目录中，伪装成合法的 OneDrive 和 VLC 应用程序。” 我们发现，这两种文件都是通过网络钓鱼活动以具有双扩展名的商业文档的形式进行分发的（例如，решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe 或 тз на разработку.pdf.exe）。 其攻击武器库的另一个关键组成部分是Sliver，这是一个开源 C2 框架，以及各种公开可用的工具的集合，例如 rsockstun、ngrok 和 Mimikatz，用于促进发现、横向移动和凭证收集。 入侵最终会根据目标环境部署 LockBit 或 Babuk，然后留下一封勒索信，要求用户付款以换取解密器来解锁文件。 这家俄罗斯网络安全供应商表示：“Head Mare 组织所使用的策略、方法、程序和工具与俄乌冲突背景下针对俄罗斯和白俄罗斯目标进行攻击的其他组织类似。该组织的特点是使用 PhantomDL 和 PhantomCore 等定制恶意软件，以及利用相对较新的漏洞 CVE-2023-38831，在网络钓鱼活动中渗透到受害者的基础设施中。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_8z5DsDXY8XnKHJfxf7fCw 封面来源于网络，如有侵权请联系删除

近日，安全研究人员在航空运输安全系统中发现一个严重漏洞，可允许未经授权人员（例如恐怖分子）绕过机场安检，获得进入飞机驾驶舱的权限。 安全研究人员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）在FlyCASS系统中发现了这一漏洞。FlyCASS是一个由第三方提供的web服务，一些航空公司使用它来管理和操作已知机组成员（KCM）计划和驾驶舱访问安全系统（CASS）。 KCM是美国运输安全管理局（TSA）的一项计划，允许飞行员和空乘人员通过机场安全处的一条特殊通道绕过安检。而CASS则为授权飞行员在搭乘飞机时使用驾驶舱的跳座提供进入飞机驾驶舱的身份验证。 KCM系统由ARINC（柯林斯宇航的子公司）运营，通过在线平台验证航空公司员工的身份。 KCM的流程相当简单，机组人员只需出示（扫描）KCM条形码或输入员工编号，通过TSA的终端笔记本电脑与航空公司的数据库进行交叉核对，验证通过的人员无需安检即可快速进入无菌区。 CASS系统类似KCM，用于验证飞行员是否有资格在通勤或旅行时进入驾驶舱内使用“跳座”（驾驶舱内供其无执飞任务机组人员搭乘航班的临时座位）。 CASS的主要功能是通过访问航空公司员工数据库来验证搭乘航班的飞行员的身份和就业状态，从而确保只有授权机组人员才能够进入驾驶舱并使用跳座。这一系统在“9·11”事件后变得尤为重要，因为它可以有效减少未经授权的人员进入驾驶舱的风险。 研究人员发现，FlyCASS的登录系统存在SQL注入漏洞，攻击者可以利用该漏洞插入恶意SQL语句进行数据库查询，并以航空公司——如航空运输国际（Air Transport International）的管理员身份登录，篡改系统中的员工数据。 令研究人员惊讶的是，在FlyCASS系统中添加航空公司飞行员和乘务员名单无需进一步检查认证，可以将任何人添加为KCM和CASS的授权用户。 研究人员成功添加一个名为“Test TestOnly”的虚构员工账户，并赋予其KCM和CASS的访问权限，实现了“绕过安检并进入商用飞机驾驶舱”（上图）。 “任何具备基本SQL注入知识的人都可以登录该网站，并将任意人员添加到KCM和CASS系统中，从而跳过安检并进入商用飞机的驾驶舱。”卡罗尔说道。 意识到问题的严重性后，研究人员立即展开了漏洞披露流程，并于2024年4月23日联系了美国国土安全部（DHS）。研究人员决定不直接联系FlyCASS网站，因为它似乎由一个人运营，研究人员担心直接披露会引起对方的恐慌。 国土安全部在接到通知后，也认识到这一漏洞的严重性，并确认FlyCASS已于2024年5月7日从KCM/CASS系统中断开。不久之后，FlyCASS上的漏洞被修复。 然而，在进一步协调安全披露的过程中，研究人员遇到了阻力，国土安全部停止回复他们的电子邮件。 此外，TSA的新闻办公室也向研究人员发送了一份声明，否认该漏洞对系统的影响，声称系统的审查过程会阻止未经授权的访问。然而，在研究人员通知TSA之后，TSA悄悄删除了其网站上与其声明相矛盾的信息。 “在我们通知TSA后，他们删除了网站上提到的手动输入员工ID的内容，但并未回应我们的更正。我们已确认TSA的界面仍然允许手动输入员工ID。”卡罗尔说道。 卡罗尔还表示，这一漏洞可能导致更严重的安全漏洞，例如攻击者可以篡改现有的KCM成员档案（例如用户照片和姓名），冒名顶替现有成员从而绕过对新成员的审查过程。 在研究人员发布报告后，另一位名为阿莱桑德罗·奥尔蒂斯的研究人员发现，FlyCASS似乎在2024年2月曾遭受过MedusaLocker勒索软件攻击，Joe Sandbox的分析显示该系统中存在被加密文件和勒索信。 此次曝光的可绕过机场安检的严重漏洞再次提醒我们，即便是用于关键安全保障的系统也可能存在严重安全隐患，需要持续监控和及时修补。 漏洞披露时间线： 2024年4月23日：首次向ARINC和FAA披露 2024年4月24日：随后通过CISA向DHS披露 2024年4月25日：国土安全部CISO确认他们正在制定解决方案 2024年5月7日：国土安全部CISO确认FlyCASS已与KCM/CASS断开连接 2024年5月17日：向国土安全部CISO跟进有关TSA声明的情况（无回复） 2024年6月4日：向国土安全部CISO跟进有关TSA声明的情况（无回复）   转自GoUpSec，原文链接：https://www.goupsec.com/news/17386.html 封面来源于网络，如有侵权请联系删除

Progress Software 的企业网络监控和管理解决方案 WhatsUp Gold 中存在的严重漏洞可能会使系统遭受全面攻击。 WhatsUp Gold 提供对设备、应用程序、服务器和流量的可视性，允许组织监控其云和本地基础设施，使其成为企业环境的关键组成部分。 本周，Censys 表示，它发现互联网上存在超过 1,200 个 WhatsUp Gold 实例可访问，并警告称其中许多实例可能受到最近披露的严重级别漏洞的影响，针对该漏洞的概念验证 (PoC) 代码已发布。 该漏洞编号为CVE-2024-4885（CVSS 评分为 9.8），可能允许远程、未经身份验证的攻击者在受影响的 WhatsUp Gold 实例上执行任意代码。 据 4 月份发现并报告此漏洞的Summoning Team 称，CVE-2024-4885 存在的原因是 WhatsUp Gold 对 GetFileWithoutZip 方法的实现没有正确验证用户输入。 该远程代码执行 (RCE) 漏洞已于 5 月份随着 WhatsUp Gold 版本 23.1.3 的发布而得到解决，此外还解决了其他三个严重漏洞和多个高严重性错误。 在 6 月份的一份公告中，Progress Software 警告称 WhatsUp Gold 23.1.2 之前的版本存在漏洞，并敦促客户尽快升级到修补版本。 Progress 警告称：“这些漏洞可能会让客户遭受攻击。虽然我们尚未发现已知漏洞的证据，但您的系统可能会受到攻击，包括未经授权访问根帐户。” 8 月中旬，该软件制造商宣布对 WhatsUp Gold 进行另一个安全更新，即版本 24.0.0，该更新解决了另外两个严重程度的错误，并再次敦促客户升级其安装。 不过升级过程可能并不简单。虽然客户可以将 WhatsUp Gold 20.0.2 及以上版本升级到 24.0.0，但之前的版本需要先升级到 20.0.2，这需要联系 Progress 客服获取安装文件。 WhatsUp Gold 有多个组件，Progress 建议将其安装在专用的、物理隔离的服务器上——该公司还建议使用强账户密码、仅将管理账户委托给受信任的用户，并应用安全最佳实践。 升级到新版本需要管理员登录 Progress 的客户门户，验证他们的许可证，下载最新的软件版本，安装它，然后重新启动服务器。 每次发布新的 WhatsUp Gold 版本时，手动执行升级的需求可能会阻止一些管理员执行该过程，并且 Censys 观察到的至少一些暴露在互联网上的实例很可能尚未针对 CVE-2024-4885 进行修补。 虽然没有关于此漏洞被主动利用的报告，但 PoC 代码的公开可用性以及之前 WhatsUp Gold 版本中存在的其他几个严重缺陷应该说服管理员尽快升级到最新版本。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/6ycSSjSNDTDc2SlXGZr4pw 封面来源于网络，如有侵权请联系删除

微软最近发现朝鲜黑客利用最近修补的 Google Chrome 0day漏洞 (CVE-2024-7971)，在利用 Windows 内核漏洞获取系统权限后部署 FudModule 根工具包。 此漏洞允许攻击者在受感染的设备上执行恶意代码，朝鲜黑客组织Citrine Sleet 使用虚假加密货币网站等高级策略进行攻击。 微软周五发布了一份报告，披露上周发现朝鲜黑客组织 Citrine Sleet 利用了 Chromium 浏览器中的0day漏洞。 这份由微软威胁情报和微软安全响应中心 (MSRC) 发布的报告将该漏洞标识为 CVE-2024-7971，这是 Chromium 使用的 V8 Javascript 和 Webassembly 引擎中的一个类型混淆缺陷。 此0day漏洞允许在浏览器的隔离渲染器进程中执行远程代码执行 (RCE)，从而使攻击者能够在目标系统上运行有害代码。 微软表示：我们正在进行的分析和观察到的基础设施使我们有中等信心将此活动归因于 Citrine Sleet。 Citrine Sleet 以专注于加密货币领域而闻名，其目标是获取经济利益。进一步分析表明，Citrine Sleet 可能与另一个朝鲜威胁组织 Diamond Sleet 共享工具和基础设施，特别是通过使用 Fudmodule rootkit 恶意软件。 报告指出，Citrine Sleet 也被称为 Applejeus 和 Hidden Cobra，Citrine Sleet 的目标是金融机构，重点关注加密货币组织和相关个人，此前曾与朝鲜侦察总局 121 局有联系。 该组织采用先进的技术，包括建立虚假的加密货币网站并发送恶意的工作机会或加密货币钱包来欺骗受害者。 其他网络安全供应商将该朝鲜威胁组织追踪为 AppleJeus、Labyrinth Chollima 和 UNC4736。朝鲜黑客还利用伪装成合法加密货币交易平台的恶意网站，向潜在受害者发送虚假求职申请、武器化的加密货币钱包或交易应用程序。 Chromium 是一个开源网络浏览器项目，是 Google Chrome 的基础，其中包含额外的专有功能和服务。由于 Chrome 是基于 Chromium 的代码库构建的，因此 Chromium 中的漏洞通常也会影响 Chrome。 当目标连接到域名 voyagorclub[.]space 时，会利用0day漏洞，导致下载恶意软件并逃离 Windows 安全沙箱。尽管微软在 8 月 13 日修补了该漏洞，但与 Citrine Sleet 的活动没有直接联系，这表明该漏洞可能是由不同的团体同时发现的，或者通过共享情报发现的。 微软建议：0day漏洞不仅需要保持系统更新，还需要提供跨网络攻击链统一可见性的安全解决方案，以检测和阻止入侵后的攻击者工具和攻击后的恶意活动。 谷歌上周修补了 CVE-2024-7971 0day漏洞，称其为 Chrome V8 JavaScript 引擎中的类型混淆漏洞。此漏洞使攻击者能够在重定向到攻击者控制的网站 voyagorclub[.]space 的目标的沙盒 Chromium 渲染器进程中获得远程代码执行。 逃离沙盒后，他们使用受感染的 Web 浏览器下载了针对Windows 内核中CVE-2024-38106漏洞（微软已于本月补丁日修复）的 Windows 沙盒逃离漏洞，这使他们获得了 SYSTEM 权限。 攻击者还下载并加载了 FudModule 根工具包到内存中，用于内核篡改和直接内核对象操作 (DKOM)，并允许他们绕过内核安全机制。 自2022 年 10 月发现以来，该 rootkit 也被另一个朝鲜黑客组织 Diamond Sleet 使用，Citrine Sleet 与其共享其他恶意工具和攻击基础设施。 韩国联合通讯社 3 月份援引联合国安理会的一项研究称，与朝鲜有关的黑客在 2017 年至 2023 年期间窃取了价值 30 亿美元的加密货币，该研究将朝鲜称为“世界最大的网络窃贼”。 联合国研究报告援引“某个成员国”提供的信息称，朝鲜“50%的外汇收入”来自网络攻击，而这些收入“被用来资助其武器计划”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rA1u6rs5vGkyy5JyhoOYdg 封面来源于网络，如有侵权请联系删除

Hackread报道，近期Cisco Talos（思科威胁情报团队）发现，BlackByte勒索软件正在对全球企业发起新一轮攻击。BlackByte组织利用VMware ESXi虚拟机监控程序中最近被修补的漏洞，通过VPN访问发动攻击。 思科建议各组织实施多因素认证（MFA）并加强安全措施以降低风险。 被利用的漏洞为CVE-2024-37085，它允许攻击者绕过身份验证并控制易受攻击的系统。除了这个漏洞之外，还观察到BlackByte组织使用受害者授权的远程访问机制，例如VPN。这种策略使得BlackByte在可见性较低的情况下运营，并逃避安全监控系统。 另一个令人担忧的事态发展是该组织使用被盗的Active Directory凭据来传播其勒索软件。这意味着他们可以更快、更有效地在网络内传播感染，从而增加潜在的损害。 思科团队研在8月28日星期三研究结果发布前，与Hackread分享了他们的发现。研究人员认为，BlackByte实际活动比公共数据泄露网站上显示的更活跃。网站只显示了他们成功发起攻击的一小部分，可能掩盖了他们行动的真实范围。 BlackByte针对的5个最主要目标行业：制造业；运输/仓储；专业人士、科学和技术服务；信息技术；公共行政。 研究人员建议各个组织优先考虑修补系统，包括VMware ESXi虚拟机管理程序，为所有远程访问和云连接实施多因素身份验证（MFA），应审核VPN配置，并限制对关键网段的访问。 限制或禁用NTLM的使用，并选择更安全的身份验证方法也非常重要。部署可靠的端点检测和响应（EDR）解决方案可以大大提高安全性。 此外，全面的安全策略应包括主动威胁情报和事件响应能力，以有效保护系统免受BlackByte和类似攻击等威胁。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Ep_KcP3AmAOSGjzs3IZU3w 封面来源于网络，如有侵权请联系删除

Google TAG 发布证据显示，俄罗斯 APT29使用的漏洞与以色列 NSO 集团和 Intellexa 使用的漏洞相同或惊人相似，这表明国家支持的黑客组织和有争议的监控软件供应商之间可能获取了工具。 这支俄罗斯黑客团队，又名午夜暴雪或 NOBELIUM，被指控对多起备受瞩目的公司进行黑客攻击，其中包括对微软的入侵，攻击中窃取了源代码和高管电子邮件数据。 据谷歌研究人员称，APT29 已利用多个在野漏洞攻击活动，这些活动通过对蒙古政府网站进行水坑攻击进行传播。这些活动首先传播了影响 16.6.1 以上 iOS 版本的 iOS WebKit 漏洞，随后利用 Chrome 漏洞链攻击运行 m121 至 m123 版本的 Android 用户。 Google TAG 表示：“这些活动使用了nday漏洞，这些漏洞已有补丁，但对未打补丁的设备仍然有效。”并指出，在水坑活动的每次迭代中，攻击者使用的漏洞与 NSO Group 和 Intellexa 之前使用的漏洞相同或极为相似。 谷歌发布了 2023 年 11 月至 2024 年 2 月期间 Apple Safari 活动的技术文档，该活动通过 CVE-2023-41993（由 Apple 修补并归功于公民实验室）提供了 iOS 漏洞。 2023 年 11 月至 2024 年 2 月针对 iOS 的攻击活动中使用的攻击链 谷歌表示：“当使用 iPhone 或 iPad 设备访问时，水坑攻击网站会使用 iframe 来提供侦察负载，该负载会执行验证检查，最终下载并部署另一个带有 WebKit 漏洞的负载，以从设备中窃取浏览器 cookie。” 研究人员指出，WebKit 漏洞不会影响当时运行当前 iOS 版本（iOS 16.7）或启用了锁定模式的 iPhone 的用户。 据谷歌称，该水坑漏洞“使用了完全相同的触发器”，与 Intellexa 使用的公开发现的漏洞“使用相同的触发器”，强烈暗示作者和/或提供商是相同的。 谷歌表示： “我们不知道最近的水坑攻击活动中的攻击者是如何获得这一漏洞的。” 谷歌指出，这两个漏洞利用都共享相同的利用框架，并加载了相同的 cookie 窃取框架，该框架之前曾被俄罗斯政府支持的攻击者利用CVE-2021-1879获取来自 LinkedIn、Gmail 和 Facebook 等知名网站的身份验证 cookie。 研究人员还记录了第二条攻击链，该攻击链利用了 Google Chrome 浏览器中的两个漏洞。其中一个漏洞 ( CVE-2024-5274 ) 被发现为 NSO Group 使用的野外0day漏洞。 2024 年 7 月针对 Google Chrome 的攻击活动中使用的攻击链 在本案中，谷歌发现证据表明俄罗斯 APT 改编了 NSO 集团的漏洞。 “尽管这两个漏洞的触发机制非常相似，但它们的概念却大不相同，相似之处不如 iOS 漏洞那么明显。例如，NSO 漏洞支持 Chrome 107 至 124 版本，而水坑漏洞仅针对版本 121、122 和 123。”谷歌表示。 漏洞重用时间表 俄罗斯攻击链中的第二个漏洞（CVE-2024-4671）也被报告为被利用的0day漏洞，并且包含一个漏洞样本，类似于之前与 Intellexa 相关的 Chrome 沙盒逃逸。 Google TAG 表示：“很明显，APT 参与者正在使用最初由商业间谍软件供应商用作0day漏洞的 n-day 漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jBRdFW-Pd6SdvA8tpO7VHg 封面来源于网络，如有侵权请联系删除

近日，谷歌公司宣布通过其漏洞奖励计划报告的Google Chrome单一漏洞的最高奖励金额已超过25万美元。 从8月28日起，谷歌将根据研究人员报告的漏洞质量来对内存损坏漏洞加以区分。奖励金额将从展示Chrome内存损坏和堆栈跟踪的基线报告显著提升至通过功能性漏洞展示远程代码执行的高质量报告。 Chrome 安全工程师 Amy Ressler 表示：现在是时候改进 Chrome VRP 奖励和金额了，以便为向我们报告漏洞的安全研究人员提供改进的结构和更明确的期望，并激励对 Chrome 漏洞进行高质量报告和更深入的研究，探索它们的全部影响和可利用潜力。 对于在非沙盒过程中展示远程代码执行（RCE）的单一问题，最高奖励金额可达25万美元。如果这种RCE能够在不损害渲染器的情况下实现，奖励金额甚至可能更高。 此外，谷歌还将MiraclePtr绕过奖励的金额增加了一倍多，从10万美元提升至25万美元。 Google 还会根据漏洞的质量、影响和对 Chrome 用户的潜在危害，将其他类别的漏洞报告归类为以下类别并给予奖励： 影响较小：可利用的可能性低、利用的先决条件重要、攻击者控制力低、用户危害风险/可能性低 中等影响：利用的先决条件中等，攻击者控制程度一般 高影响：可利用性的直接路径、可证明和重大的用户危害、远程可利用性、利用前提条件低 Ressler 表示：当所有报告包含适用的特征时，它们仍然有资格获得奖金奖励。我们将继续探索更多的实验性奖励机会，类似于之前的全链漏洞利用奖励，并以更好地服务于安全社区的方式发展我们的计划。没有证明安全影响或潜在用户伤害的报告，或者纯粹是理论或推测问题的报告，不太可能有资格获得 VRP 奖励。 本月早些时候，谷歌还宣布，由于可操作漏洞报告数量的减少，其Play安全奖励计划将在8月31日关闭新报告的提交。 7月，谷歌启动了kvmCTF，这是一个新的漏洞奖励计划，旨在提高基于内核的虚拟机（KVM）管理程序的安全性，为完整的VM逃逸漏洞提供高达25万美元的奖励。 自2010年推出漏洞奖励计划以来，谷歌已向报告超过1.5万名漏洞安全研究人员支付了超过5000万美元的奖励。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409700.html 封面来源于网络，如有侵权请联系删除

8月27日，外媒BleepingComputer报道，黑客组织Volt Typhoon（伏特台风）利用Versa Director零日漏洞上传自定义Webshell，窃取凭据并破坏美国公司网络。 本周周一8月26日，Versa公司宣布他们修复了一个被追踪为CVE-2024-39717的高风险漏洞。这个漏洞被未具名的民族国家黑客组织至少利用过一次。 该漏洞存在于上传自定义图标Versa Director GUI的功能中。漏洞允许具有管理员权限的威胁行为者上传伪装成PNG图像的恶意Java文件，然后远程执行这些文件。 Versa表示Director版本21.2.3、22.1.2和22.1.3受到该漏洞的影响。升级到最新版本22.1.4将修复漏洞，管理员应查看供应商的系统强化要求和防火墙指南。 在最近的事件中，Volt Typhoon利用Versa Director中的漏洞上传了一个名为 VersaMem的复杂、定制的Webshell。此WebShell用于拦截和收集凭据，以及在受感染的服务器上执行任意恶意代码，同时避免被发现。 Versa Directo上的Volt Typhoon攻击流程 据报道，Volt Typhoon最新活动目标包括4家美国公司和1家非美国公司，他们属于互联网服务提供商、托管服务提供商和信息技术领域企业。 Lumen的Black Lotus Labs研究人员在6月初发现了Versa零日漏洞。最初版本是从新加坡上传到VirusTotal病毒库的。这个上传时间大约比在美国最早发现Versa Director服务器漏洞事件早了五天。 “我们怀疑威胁行为者可能在对美国目标发起攻击之前，先在其他地区测试了他们的攻击手段。“该公司补充道。当前恶意软件版本在VirusTotal上没有被检测出来。 关于伏特台风，百度百科内容：“伏特台风”（Volt Typhoon），由微软公司根据其黑客组织命名规则命名而来，真实面目是国际勒索软件组织，来自“伏特台风”的恶意程序样本并未表现出明确的国家背景黑客组织行为特征，而是与“暗黑力量”勒索病毒等网络犯罪团伙的关联程度明显。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Y08WuQcpZsL5Vwz9X2VSkA 封面来源于网络，如有侵权请联系删除

网络安全公司 ESET 称，与韩国有关的网络间谍组织 APT-C-60 利用 Windows 版 WPS Office 中的0day漏洞在东亚目标上安装 SpyGlace 后门。 WPS Office 是中国金山软件开发的一款办公套件，在亚洲非常受欢迎。据报道，它在全球拥有超过 5 亿活跃用户。 该黑客组织被追踪为 APT-C-60，0day漏洞编号为 CVE⁠⁠2024⁠-⁠7262。ESET 将 APT-C-60 描述为“与韩国结盟的网络间谍组织”。 该漏洞允许远程代码执行，已被用来向东亚目标投放名为 SpyGlace 的自定义后门。该0day漏洞 (CVE-2024-7262) 至少自 2024 年 2 月下旬以来就已在野外攻击中被利用，影响的版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。 CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中，特别是“ksoqing://”，它允许通过文档内特制的 URL 执行外部应用程序。 由于对这些 URL 的验证和清理不当，该漏洞允许攻击者制作导致任意代码执行的恶意超链接。 APT-C-60 创建了电子表格文档（MHTML 文件），其中嵌入了隐藏在诱饵图像下的恶意超链接，以诱骗受害者点击它们，从而触发漏洞。 处理后的 URL 参数包括一个 base64 编码的命令，用于执行特定插件 (promecefpluginhost.exe)，该插件试图加载包含攻击者代码的恶意 DLL (ksojscore.dll)。 该DLL是APT-C-60的下载器组件，用于从攻击者的服务器获取最终的有效负载（TaskControler.dll），这是一个名为“SpyGlace”的自定义后门。 攻击链 中国网络安全公司安恒信息（DBAPPSecurity）最近发布了对 WPS Office 漏洞的分析，此前该公司确定该漏洞已被利用来向中国用户传播恶意软件。 SecurityWeek已经看到中国公司和政府机构发布的多份有关 APT-C-60 的报告，该组织在中国被追踪为“伪猎人”。其中一些报告将该 APT 与韩国联系起来。 根据2022 年底 ThreatBook（微步在线） 的一份报告，APT-C-60 还针对了韩国的实体。 ESET 周三报告称，2 月底，一份利用 CVE-2024-7262 漏洞的恶意文档被上传到 VirusTotal。攻击者创建了看似无害的电子表格，当目标用户点击单元格时触发漏洞。 诱饵文档嵌入了一张隐藏恶意超链接的图片 关于此漏洞的另一个有趣的事实是，它也可以通过在 Windows 资源管理器的预览窗格中单击来触发，这使得它更加危险。 据 ESET 称，WPS Office 开发商金山在 2024 年 3 月发布版本 12.1.0.16412 时修补了该0day漏洞。自 2023 年 8 月以来发布的软件版本均受到影响，但仅限于 Windows。 在对 CVE-2024-7262 进行分析时，ESET 发现开发商只修复了部分错误代码，该漏洞仍然可被利用。随后，该供应商发布了针对第二个漏洞的补丁，补丁编号为 CVE-2024-7263。 WPS Office 是一款流行的办公套件，根据官方网站的数据，其全球活跃用户超过 5 亿。这使其成为漏洞利用开发人员的一个有价值的目标。 安全专家建议所有WPS 用户应尽快将软件更新到最新版本。 ESET 提供了APT-C-60 攻击的技术细节以及攻击检测指标 ( IoC )，参考链接：https://github.com/eset/malware-ioc/tree/master/apt_c_60   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/BdUFk6X5CAmBuH7__6UXqg 封面来源于网络，如有侵权请联系删除