Mirai 僵尸网络在全球 DDoS 攻击中发挥了重要作用，特别是针对 IoT 设备和服务器的攻击。最近，Mirai的命令和控制服务器中发现了一个新漏洞，该漏洞允许攻击者执行DDoS攻击，但同时也能被安全人员用来进行反制。 僵尸网络的核心基础设施完全依赖于 C2 服务器，其中可以控制数千台受感染的僵尸计算机。一位名叫“Jacob Masse”的研究人员发现表明，这种DDoS 攻击的存在是由于 CNC 服务器上的会话管理不当造成的。 研究人员表示，发起此攻击不需要身份验证，从而很容易被利用。执法部门或安全研究人员也可以使用这种攻击场景来使 CNC 服务器无法运行，从而导致僵尸网络被拆除。具体原理基于此漏洞会压垮服务器的会话缓冲区，当同时建立多个连接时，无法正确处理该缓冲区。 此外，这种攻击还存在于预验证阶段，即验证打开后的多个同时连接尝试未得到正确处理。 在此情况下，攻击者可以使用根用户名发送验证请求，从而在 CNC 服务器上打开多个连接。 服务器无法管理这些连接尝试，从而导致资源耗尽和服务器崩溃。 因此，对于安全人员而言，利用此漏洞可以破坏僵尸网络活动，从而随后消除与僵尸网络相关的威胁。但从攻击者角度出发，该漏洞导致的恶意网络压力也会破坏数据并造成业务中断。 Mirai 僵尸网络被发现于2016年8月，因其潜在的DDoS攻击和庞大网络而多次成为头条新闻，特别是针对 IoT 设备和服务器的攻击。Mirai 拥有数千台遭到入侵的设备，并通过利用弱默认密码和已知漏洞来瞄准 IP 摄像头和家用路由器等消费类设备，其他几个变体的源代码与 Mirai相似。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409539.html 封面来源于网络，如有侵权请联系删除

开源GPS跟踪系统Traccar近日曝出两个高危漏洞，可被黑客利用远程执行代码。在全球GPS跟踪市场中，Traccar因其灵活的开源架构和可定制化特点，深受企业和个人用户的青睐。它被广泛应用于物流运输、车队管理、资产跟踪、安全监控以及个人定位等多个领域。通过Traccar，用户可以实现对车辆位置的实时监控、历史轨迹回放、地理围栏设置等功能，从而提高运营效率和安全性。根据Horizon3.ai的研究员Naveen Sunkavally所述，披露的两个漏洞都是路径遍历（PathTraversal）漏洞，当启用访客注册功能（Traccar5的默认配置）时，漏洞就会被武器化利用。以下是这两个漏洞的简要描述： CVE-2024-24809（CVSS分数：8.5）-路径遍历漏洞，允许上传具有危险类型的文件，攻击路径为dir/../../filename。 CVE-2024-31214（CVSS分数：9.7）-设备图片上传功能中存在不受限制的文件上传漏洞，可能导致远程代码执行。 Sunkavally表示：“CVE-2024-31214和CVE-2024-24809的综合结果是，攻击者可将任意内容的文件放置到文件系统的任意位置。不过，攻击者只能部分控制文件名。” 这些问题与程序处理设备图片文件上传的方式有关，攻击者可以借此覆盖文件系统中的某些文件，从而触发代码执行。这些文件必须符合以下命名格式： device.ext：攻击者可以控制ext（扩展名），但必须存在扩展名。 blah”：攻击者可以控制blah，但文件名必须以双引号结尾。 blah1″;blah2=blah3：攻击者可以控制blah1、blah2和blah3，但必须包含双引号、分号序列和等号。 攻击场景与利用方式 在Horizon3.ai提出的概念验证（PoC）中，攻击者可以利用Content-Type头中的路径遍历漏洞来上传crontab文件，从而在攻击者主机上获取反向shell。然而，这种攻击方式无法在基于Debian或Ubuntu的Linux系统上运行，因为这些系统禁止crontab文件包含句号或双引号。另一种攻击方式是利用Traccar以root用户权限安装的特性，攻击者可以投放一个内核模块，或者配置一个udev规则，使其在每次触发硬件事件时执行任意命令。在易受攻击的Windows实例中，攻击者可以通过在C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp目录中放置一个名为device.lnk的快捷方式文件来实现远程代码执行。当目标用户登录Traccar主机时，该文件会被自动执行。 受影响版本及修复措施 Traccar版本5.1至5.12均受到CVE-2024-31214和CVE-2024-24809的影响。这些漏洞已在2024年4月发布的Traccar 6中得到修复，新版本默认关闭了自注册功能，从而减少了攻击面。 Sunkavally进一步解释道：“如果注册设置为true、readOnly为false且deviceReadonly为false，那么未经身份验证的攻击者可以利用这些漏洞。而这些正是Traccar 5的默认配置。” 总结 Traccar GPS是颇为流行的开源GPS跟踪系统，此次曝光的两个远程执行漏洞对设备和系统安全构成严重威胁。虽然这些漏洞已在Traccar 6中得到了修复，但对使用Traccar 5系列的用户来说，关闭自注册功能并更新至最新版本至关重要。确保这些配置安全，才能有效抵御潜在的网络攻击。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TbvItWzI_KWWUzcsqBueUg 封面来源于网络，如有侵权请联系删除

SafeBreach 安全研究员 Alon Leviev 发布了其Windows Downdate工具，该工具可用于Windows降级攻击，重新引入最新的 Windows 10、Windows 11 和 Windows Server 系统中的旧漏洞。 在这种攻击中，攻击者强迫最新的目标设备恢复到旧软件版本，从而重新引入可被利用来破坏系统的安全漏洞。 Windows Downdate 是一个基于 Python 的开源程序和预编译的 Windows 可执行文件，可以帮助降级 Windows 10、Windows 11 和 Windows Server 系统组件。 Leviev 分享了多个使用示例，允许将 Hyper-V 虚拟机管理程序降级至两年前的版本、Windows 内核、NTFS 驱动程序和过滤器管理器驱动程序（降级至其基本版本）以及其他 Windows 组件和以前应用的安全补丁。 SafeBreach 安全研究员 Alon Leviev解释说：“您可以使用它来接管 Windows 更新，以降级并暴露 DLL、驱动程序、NT 内核、安全内核、虚拟机管理程序、IUM 信任程序等中的过去漏洞。除了自定义降级之外，Windows Downdate 还提供了易于使用的恢复 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和 PPLFault 补丁的使用示例，以及降级虚拟机管理程序、内核和绕过 VBS 的 UEFI 锁的示例。” 正如 Leviev 在 Black Hat 2024 上披露 Windows Downdate 降级攻击（利用CVE-2024-21302和CVE-2024-38202漏洞）时所说的那样，使用此工具是无法检测到的，因为它无法被端点检测和响应 (EDR) 解决方案阻止，并且 Windows 更新会不断报告目标系统是最新的（尽管已被降级）。 “我发现了多种禁用 Windows 基于虚拟化的安全性 (VBS) 的方法，包括其 Credential Guard 和 Hypervisor 保护的代码完整性 (HVCI) 等功能，即使在使用 UEFI 锁强制执行的情况下也是如此。据我所知，这是第一次在没有物理访问的情况下绕过 VBS 的 UEFI 锁。” Leviev 说。“结果，我能够让一台完全修补过的 Windows 机器受到过去数千个漏洞的攻击，将已修复的漏洞变成零日漏洞，并让世界上任何一台 Windows 机器上的‘完全修补’一词变得毫无意义。” 尽管微软于 8 月 7 日发布了安全更新 ( KB5041773 ) 来修复 CVE-2024-21302 Windows 安全内核模式权限提升漏洞，但该公司尚未针对 Windows 更新堆栈权限提升漏洞 CVE-2024-38202 提供补丁。 在安全更新发布之前，微软建议客户实施本月早些时候发布的安全公告中分享的建议，以帮助防止 Windows Downdate 降级攻击。 该问题的缓解措施包括配置“审计对象访问”设置来监控文件访问尝试、限制更新和恢复操作、使用访问控制列表来限制文件访问以及审计权限来识别利用此漏洞的尝试。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/va31Jea1GBsHGhhqIW3vcg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。 这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。 MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。 JFrog 研究人员在一份详细报告中表示：“固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。” 一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行（例如，Pickle 模型文件）。 这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。 另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。 研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会呈现这些内容。” 这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。 换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。 为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/33OxeqSO2YfF6Ffv-Ows0g 封面来源于网络，如有侵权请联系删除

SolarWinds 在其 Web Help Desk 产品中留下了硬编码凭证，可供远程、未经身份验证的攻击者使用，登录易受攻击的实例、访问内部功能并修改敏感数据 该软件制造商称这是一个严重的疏忽，目前已发布更新修复；制造商鼓励用户安装修复程序，该修复程序会删除内置的硬编码凭证。 该安全漏洞编号为CVE-2024-28987，CVSS 严重性评级为 9.1（满分 10）。 它影响 Web Help Desk 12.8.3 HF1 及所有先前版本，并已在 12.8.3 HF2 中修复。昨天发布的修补程序必须手动安装。 WHD 是 SolarWinds 的 IT 帮助台票务和资产管理软件，其网站拥有来自政府、教育、医疗保健、非营利组织和电信领域客户的推荐。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z9feIKhNS9VrRE__XM6xsA 封面来源于网络，如有侵权请联系删除

Atlassian 发布了 2024 年 8 月安全公告，详细介绍了影响 Bamboo、Confluence、Crowd 和 Jira 产品的九个高严重性漏洞。 Bamboo 数据中心和服务器收到了针对两个高严重性漏洞的补丁，其中包括一个经过身份验证的远程代码执行漏洞，其漏洞编号为 CVE-2024-21689。 第二个漏洞是一个拒绝服务 (DoS) 安全缺陷，影响 Bouncy Castle Jva 依赖项。该漏洞编号为 CVE-2024-29857，无需身份验证即可利用。 针对 Confluence 数据中心和服务器发布的补丁解决了两个高严重性安全缺陷，包括 Apache Tomcat (CVE-2024-34750) 中的 DoS 问题，该问题可能被未经身份验证的攻击者利用。 第二个缺陷是反射式跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 问题，编号为 CVE-2024-21690，它可能允许远程、未经身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 该公司解释说，攻击者可以“强迫最终用户在当前已经过身份验证的 Web 应用程序上执行不必要的操作”。 Atlassian 解决了 Crowd Data Center 和 Server 中的三个高严重性 SSRF 漏洞。这三个漏洞被标记为 CVE-2024-22259、CVE-2024-22243 和 CVE-2024-22262，均会影响该产品使用的 Spring Framework。 该公司还宣布了针对 Jira 数据中心和服务器以及 Jira 服务管理数据中心和服务器的 Apache Tomcat 依赖项中高严重性漏洞的补丁。该漏洞编号为 CVE-2024-34750，可导致 DoS 攻击。 Atlassian 在其安全公告中表示，针对这些漏洞的补丁已于上个月发布。尽管该公司并未提及这些漏洞是否已被利用，但建议用户尽快更新其安装。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yLPxy0MQx1vzpF4acGJS-g 封面来源于网络，如有侵权请联系删除

黑客使用有效的管理员凭据获得了对交换机的访问权限，然后从应用程序级别“越狱”到操作系统级别。 进一步的证据表明，经验丰富的攻击者越来越多地攻击边缘设备和网络设备，以提高隐身性和持久性：在这个案例中，一个名为“Velvet Ant”的黑客组织实力雄厚，但却鲜为人知。 2024 年 7 月 1 日，思科发布了一份公告，详细介绍了影响其 Nexus 交换机使用的 NX-OS 软件的 CLI 命令注入漏洞。 同一天，Sygnia 报告称发现该漏洞已被其追踪的黑客组织 Velvet Ant 使用。Sygnia 现已发布有关 Velvet Ant TTP 的更多信息。 Velvet Ant是 Sygnia 为该黑客组织的命名。该公司没有发现任何证据表明其他研究人员研究过该组织。 Velvet Ant攻击事件是老练攻击者通过边缘或网络设备攻击网络的典型案例。此类设备通常设计为黑匣子，用户访问权限有限，通常没有日志记录，安全堆栈也无法查看。成功攻击者的优势在于隐蔽性和持久性显著提高。 在一篇新博客文章中，Sygnia 描述了 Velvet Ant 多年来如何向网络基础设施的“更深、更黑暗”部分过渡，并最终危及思科交换机的安全。 Nexus 交换机运行 NX-OS。它具有分层架构，包括有限的 CLI“应用程序”级别和基于 Linux 的底层操作系统级别。授权管理员使用应用程序级别 CLI 执行网络管理任务，但不能（或不应该）直接访问受保护的操作系统级别。交换机的管理与操作系统分离，并受 CLI 的限制。操作系统级别处理核心系统功能、运行进程和管理对交换机操作至关重要的资源。 在可见性方面，操作系统层面发生的事情仍停留在操作系统层面——管理员和网络安全堆栈无法看到。“这些交换机设备不允许用户访问底层操作系统，因此几乎不可能扫描到入侵指标。”研究人员指出。 在这起事件中，Velvet Ant 首先使用有效的管理员凭据访问了交换机，然后从应用程序级别“越狱”（使用命令注入漏洞）进入操作系统级别。攻击者通过应用程序级别访问网络，并在操作系统级别实现隐藏持久性。 该漏洞编号为CVE-2024-20399，仍在等待 NVD 分析。思科公告将其评为中等严重性等级，漏洞描述为“思科 NX-OS 软件 CLI 中的漏洞可能允许拥有管理员凭据经过身份验证的用户在受影响设备的底层操作系统上以 root 身份执行任意命令。” 通过控制交换机，Velvet Ant 能够直接转向网络上的其他设备，而无需采用通常的横向移动方法——大多数不良行为者入侵都是通过这种方法检测到的。Velvet Ant 的目的是从事间谍活动。 研究人员表示：“这种访问使攻击者能够提升对交换机的控制权，使他们能够执行恶意脚本并操纵系统，超出预期的管理能力。” 该漏洞的发现是针对 Velvet Ant 间谍活动的大规模取证调查的一部分。在此期间，Sygnia 发现了使用有效管理凭据执行的可疑 Base64 编码命令。这些命令曾用于加载和执行二进制文件，并被追溯到交换机。 Velvet Ant 在利用后删除驻留证据。尽管如此，Sygnia 还是能够从设备内存中重建已使用的恶意软件。它将该恶意软件命名为 VelvetShell – 两种开源工具 TinyShell（Unix 后门）和 3proxy 的混合构造。 虽然这些工具长期以来一直被单独用于恶意目的，但 Velvet Ant 将它们整合到单个二进制文件中。在这种组合格式下，它可以执行任意命令、下载和上传文件，以及创建用于代理网络流量的隧道。简而言之，它对受感染系统提供了广泛的控制，既可以实现数据泄露，也可以实现持续访问。 最初的0day漏洞（现已被思科修补）并不容易利用。攻击者必须拥有网络访问权限和管理员凭据才能访问 Nexus 交换机。这种复杂性解释了为什么思科自己的公告中只给 Nexus 漏洞一个“中等”严重评级。 如果能做到这一点，攻击者可以利用该漏洞访问和控制交换机操作系统，并从那里访问和利用其他设备，同时保持对网络安全堆栈的隐藏。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JC3ml71XHISjRWIepP4Ocg 封面来源于网络，如有侵权请联系删除

最近，众多Linux用户报告称他们的设备在尝试启动时，收到了一条神秘的错误消息：“系统出了严重问题。”这起事件的罪魁祸首是微软在月度安全更新中发布的一个补丁，用于修复一个存在已久的GRUB漏洞。这次更新却导致了Linux和Windows双系统设备的启动问题，引发大量用户投诉和抱怨。 Linux/Windows双系统“躺枪” 新发现的漏洞编号为CVE-2022-2601，最早于2022年被发现，其漏洞评分高达8.6分（满分10分）。该漏洞允许攻击者绕过安全启动机制，进而可能在启动过程中加载恶意软件。尽管该漏洞早在两年前便已被披露，但微软却迟至本月才发布补丁。然而，这次修复的副作用让许多Linux用户措手不及。 多款Linux发行版受影响 此次更新对运行双系统的设备带来了严重影响，特别是那些同时运行Windows和Linux的用户。用户报告称，当他们尝试加载Linux系统时，收到如下错误信息：“验证shim SBAT数据失败：安全策略违规。”相关的讨论和支持论坛瞬间被用户抱怨的声音所淹没，受影响的发行版包括Debian、Ubuntu、Linux Mint、Zorin OS和Puppy Linux等。微软发布的公告原本声称该更新仅适用于运行Windows的设备，且不会影响双系统设备。然而，事实证明，许多运行较新版本Linux的设备同样受到了影响，包括Ubuntu 24.04和Debian 12.6.0等最新发行版。 用户自救解决方案 面对微软的沉默，受影响的用户不得不自行寻找解决办法。最直接的方法是进入EFI面板并关闭安全启动功能。然而，对于注重设备安全性的用户而言，这一选项可能并不可行。另一种临时解决方案是删除微软推送的SBAT策略，这能够让用户保留部分安全启动的保护功能，同时避免由于CVE-2022-2601漏洞而导致的攻击风险。具体步骤包括： 禁用安全启动 登录Ubuntu系统并打开终端 使用命令删除SBAT策略： Select all sudo mokutil –set-sbat-policy delete 重启并重新登录Ubuntu以更新SBAT策略 再次重启并在BIOS中重新启用安全启动 安全启动的局限性 此次事件暴露了Windows安全启动机制的诸多问题。尽管安全启动旨在保护操作系统免受恶意软件的威胁，但近年来，研究人员已经发现了至少四个漏洞，足以破坏这一安全机制。最近的一次漏洞利用甚至影响了超过200款设备型号，证明了安全启动机制的脆弱性。 安全分析师Will Dormann指出：“尽管安全启动的初衷是让Windows的启动更加安全，但它似乎正逐渐暴露出越来越多的缺陷，无法完全兑现其应有的安全保障。” 这一观点也得到了业界的广泛认同，安全启动的复杂性和微软在这一机制中的核心角色，使得任何漏洞都可能给Windows设备带来致命的安全隐患。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/AMwv-4PTcfHyQ2dO_k0e8Q 封面来源于网络，如有侵权请联系删除

GitHub 发布了针对 GitHub Enterprise Server 产品中三个安全缺陷的紧急修复程序，并警告称黑客可以利用其中一个缺陷获取网站管理员权限。 最严重的漏洞编号为CVE-2024-6800，该漏洞允许攻击者操纵 SAML SSO 身份验证来配置和/或获取具有站点管理员权限的用户帐户的访问权限。 该漏洞的 CVSS 严重性评分为 9.5/10，被描述为在使用特定身份提供者的 SAML 身份验证时 GitHub Enterprise Server (GHES) 中的 XML 签名包装错误。 安全公告显示：“此漏洞允许直接通过网络访问 GitHub Enterprise Server 的攻击者伪造 SAML 响应，以提供或获取具有站点管理员权限的用户的访问权限。利用此漏洞将允许未经授权访问实例，而无需事先进行身份验证。” GitHub 表示，该漏洞是通过其漏洞赏金计划私下报告的，影响GitHub Enterprise Server 3.14 之前的所有版本，并已在 3.13.3、3.12.8、3.11.14 和 3.10.16 版本中修复。 该公司还记录了一对中等严重程度的漏洞，这些漏洞允许攻击者更新公共存储库中任何问题的标题、受让人和标签；并使用仅具有内容：读取和拉取请求：写入权限的 GitHub 应用程序从私有存储库披露问题内容。 GitHub Enterprise Server 是 GitHub Enterprise 的自托管版本。它安装在本地或私有云上，并提供基于云的 GitHub 版本的功能，包括拉取请求、代码审查和项目管理工具。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kU03OsYUgx3e34bn3DaMEg 封面来源于网络，如有侵权请联系删除

LiteSpeed Cache WordPress 插件中存在一个严重漏洞，攻击者可以利用该漏洞创建恶意管理员账户，从而控制数百万个网站。 LiteSpeed Cache 是一个开源且极受欢迎的 WordPress 网站加速插件，拥有超过 500 万个活跃安装，并支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。 该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 )，该漏洞源自 LiteSpeed Cache 6.3.0.1 及更高版本中的弱hash校验。 安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了此漏洞报告。LiteSpeed 团队开发了一个修复补丁，并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。 成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限，从而可以通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、分发恶意软件或窃取用户数据，完全控制运行易受攻击的 LiteSpeed Cache 版本的网站。 “我们能够确定，暴力攻破解会迭代安全hash的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中，即使以每秒 3 个请求的相对较低速度运行，也能够在几小时到一个星期内以访问到任何给定的用户 ID。”Patchstack 安全研究员 Rafie Muhammad 周三解释说，“唯一的先决条件是知道管理员级别用户的 ID，并将其传递到 litespeed_role cookie 中。确定此类用户的难度取决于目标站点，许多情况下，使用用户 ID 1 就能成功。” 虽然开发团队已于上周二发布了修复此严重安全漏洞的版本，但根据WordPress 官方插件库的下载统计数据，该插件的下载次数仅为 250 多万次，这意味着超过一半使用该插件的网站可能仍面临攻击风险。 今年早些时候，攻击者利用 LiteSpeed Cache未经身份验证的跨站点脚本漏洞 (CVE-2023-40000)创建了恶意管理员账户并控制了易受攻击的网站。5 月，Automattic 的安全团队 WPScan 警告称，威胁行为者在 4 月份开始扫描目标，因为他们发现仅一个恶意 IP 地址就发起了超过 120 万次探测。 Wordfence 威胁情报负责人 Chloe Chamberland 今天也警告称：“我们强烈建议用户尽快更新到 Litespeed Cache 的最新修补版本（截至本文撰写时为 6.4.1 版）。我们认为这个漏洞很快就会被积极利用。” 此外，Wordfence 威胁情报团队在 6 月报告称，某威胁行为者在 WordPress.org 上至少植入了五个插件后门，并添加了恶意 PHP 脚本，以在运行这些插件的网站上创建具有管理员权限的账户。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文