与俄罗斯有关的黑客FlyingYeti正在以乌克兰为目标进行网络钓鱼活动，以提供PowerShell恶意软件COOKBOX。 Cloudflare研究人员发现了一名与俄罗斯有关的黑客FlyingYeti（又名UAC-0149）针对乌克兰进行的网络钓鱼活动。专家们发表了一份报告，描述了破坏和延迟这种威胁活动的实时努力。 在2022年2月24日俄罗斯入侵乌克兰之初，乌克兰暂停驱逐和终止未偿还债务的公用事业服务。暂停期于2024年1月结束，导致乌克兰公民承担巨额债务，并增加了财务压力。FlyingYeti运动利用这种焦虑，使用债务主题的诱饵诱骗目标打开嵌入消息中的恶意链接。打开文件后，PowerShell恶意软件COOKBOX会感染目标系统，使攻击者能够部署额外的有效载荷并控制受害者的系统。 黑客利用WinRAR漏洞CVE-2023-38831向目标感染恶意软件。 Cloudflare表示，FlyingYeti的战术、技术和程序（TTP）与乌克兰CERT在分析UAC-0149集群时详细说明的战术、技巧和程序相似。 至少从2023年秋天开始，UAC-0149就用COOKBOX恶意软件攻击乌克兰国防实体。 Cloudflare发布的报告中写道：“黑客将动态DNS（DDNS）用于其基础设施，并利用基于云的平台托管恶意内容和进行恶意软件指挥与控制（C2）。”“我们对FlyingYeti TTPs的调查表明，这很可能是一个与俄罗斯结盟的威胁组织。该行为者似乎主要专注于针对乌克兰军事实体。” 黑客以基辅Komunalka公共住房网站的恶搞版本为目标用户(https://www.komunalka.ua)，托管在参与者控制的GitHub页面上（hxxps[：]//comunalka[.]GitHub[.]io）。Komunalka是基辅地区公用事业和其他服务的支付处理商。 FlyingYeti很可能通过网络钓鱼电子邮件或加密信号消息将目标引导到此页面。在这个被欺骗的网站上，一个大的绿色按钮提示用户下载一个名为“Рахунок.docx”（“Invoice.docx”）的文件，而该文件下载了一个标题为“ЗаборгованасапоЖКП.rar”（“住房和公用事业债务.rar”）的恶意档案。 一旦打开RAR文件，CVE-2023-38831漏洞就会触发COOKBOX恶意软件的执行。 RAR档案包含多个文件，其中一个文件的Unicode字符为“U+201F”，在Windows系统中显示为空白。此字符可以通过添加过多的空格来隐藏文件扩展名，使恶意CMD文件（“Рахунокнаоплару.pdf[unicode character U+201F].CMD”）看起来像pdf文档。该档案还包括一个良性的PDF文件，其名称相同，但没有Unicode字符。打开档案后，目录名称也与良性PDF名称匹配。这种命名重叠利用了WinRAR漏洞CVE-2023-38831，导致目标尝试打开良性PDF时执行恶意CMD。 “CMD文件包含名为COOKBOX的Flying Yeti PowerShell恶意软件。该恶意软件被设计为持久存在于主机上，作为受感染设备的立足点。一旦安装，该COOKBOX变体将向DDNS域postposterk[.]serveftp[.]com请求C2，等待恶意软件随后运行的PowerShell cmdlet。”报告继续说道。“除了COOKBOX，还打开了几个诱饵文档，其中包含使用Canary Tokens服务的隐藏跟踪链接。   转自E安全，原文链接：https://mp.weixin.qq.com/s/sG5cSjt29W55VFOwkLfkDw 封面来源于网络，如有侵权请联系删除

近日，Cox Communications修复了一个授权绕过漏洞，该漏洞允许远程攻击者滥用暴露的后端api来重置Cox调制解调器的设置并窃取客户的敏感个人信息。据悉，该漏洞影响到了数百万Cox提供的调制调节器。 Cox是美国最大的私人宽带公司，通过光纤网络为30多个州的近700万家庭和企业提供互联网、电视和电话服务。 此次的 Cox安全漏洞是由赏金猎人Sam Curry发现的。他发现一旦威胁行为者成功利用该漏洞，就能够获取到与ISP技术支持类似的一组权限。 攻击者可以利用这一访问权限，通过存在漏洞的 Cox API 访问数百万台 Cox 设备，覆盖配置设置并在设备上执行命令。 举例来说，通过利用这个身份验证绕过漏洞，恶意行为者可以通过暴露的 API，使用 Cox 客户的姓名、电话号码、电子邮件地址或账号查找他们并窃取他们的个人身份信息（PII），包括 MAC 地址、电子邮件、电话号码和地址。 不仅如此，攻击者还可以通过查询在前一攻击阶段窃取的硬件 MAC 地址，收集连接设备的 Wi-Fi 密码和其他信息。继而执行未经授权的命令、修改设备设置并控制受害者的账户。 库里表示：这一系列漏洞也展示了一种方法。在不具备任何先决条件的情况下，由外部攻击者执行命令并修改数百万调制解调器的设置，可访问任何企业客户的 PII，并获得与 ISP 支持团队基本相同的权限。 目前已有 700 多个公开的 API，其中许多提供了管理功能，如查询调制解调器的连接设备。每个 API 都存在相同的权限问题，重复重放 HTTP 请求将允许攻击者运行未经授权的命令。 不过，该公司在Curry 报告后的 6 小时内就立即关闭了暴露的 API 调用，并在第二天修补了漏洞。 作为后续安全审查的一部分，Cox 方面还调查了这一攻击向量在被报告之前是否曾被利用过，但截至目前并未发现被滥用的证据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402577.html 封面来源于网络，如有侵权请联系删除

根据 Veracode 的数据显示，公共部门使用的应用程序比私营部门创建的应用程序存在更多的安全漏洞。 Veracode  在一份报告中，详细调查分析了全球超过 25 个国家的公共部门组织，最终发现 59% 的公共部门应用程序存在安全漏洞（超过一年仍未修复的安全漏洞）。值得一提的是，把调查对象扩展到社会各个行业面上，这一比例为 42%。 Veracode 首席研究员 Chris Eng 表示，数十年来，为政府服务的应用程序中，未打补丁的软件和糟糕的安全配置累积了大量安全漏洞。如果相关方面一直不采取系统性、持续性的保护措施查找、修复安全漏洞，公共部门就会面临遭受黑客攻击的安全风险。 政府系统面临日益严重的网络攻击威胁 随着威胁网络犯罪分子以更具破坏性、颠覆性的攻击技术”瞄准“公共部门组织，联邦政府系统正日益受到网络攻击。对此，联邦政府正在实施一系列加强网络安全的举措，努力政府部门使用的应用程序中存在的安全风险。 2024 年 3 月，网络安全和基础设施安全局  CISA 与管理和预算办公室  OMB 联合发布了《安全软件开发声明表》，要求联邦政府的供应商对不安全的软件负责。 Veracode 研究人员还发现，虽然公共部门机构（68%）的安全漏洞略少于其他行业，但这些部门经过很多年的”积累“，往往存在更多的安全漏洞。调查显示，公共组织使用的应用程序中只有 3% 的不存在漏洞，而其他行业的这一比例为 6%。 更令人担忧的是，40% 的公共部门机构存在持续久、严重程度大、影响范围广的安全漏洞，这些漏洞交织在一起，构成政府机构的安全”债务”，一旦被威胁攻击者利用，企业的保密性、完整性和可用性将面临严重安全风险。 Eng 指出，公共部门组织存在的所有安全漏洞中，有三分之二存在不到一年，或者严重程度并不严重。此外，在所有安全漏洞中，只有不到 1%的漏洞构成关键安全”债务“，通过集中精力优先处理这些安全”债务“，企业可以最大限度地降低风险，然后再根据自身的风险承受能力和能力处理非关键漏洞。 公共部门的安全”债务“主要集中在旧版应用程序中 报告显示，公共部门的安全”债务“主要影响第一方代码（93%），但大部分关键安全”债务“来自第三方依赖（55.5%），这种情况就迫使公共部门必须重视开源安全软件倡议（OS3I）的重要性，并且要求各组织需要关注第一和第三方代码，以有效减少安全”债务“。 安全研究进一步表明，公共部门的担保”债务“主要集中在申请时间较长、规模较大的申请中 （22%）。关键安全”债务“（30%）尤其如此，这就证实了应用程序使用年限与安全”债务“积累之间的相关性。 此外，研究人员还比较了不同开发语言的安全”债务“状况，发现 Java 和 .NET 应用程序是公共部门的重要债务来源。公共部门的软件安全现状进一步说明了将安全设计作为整个网络连接世界的标准方法的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/402484.html 封面来源于网络，如有侵权请联系删除

近日，一个名为“No Defener”的项目在GitHub上爆火，能永久关闭微软的Windows Defender杀毒软件和防火墙，这引起了网络安全研究人员的广泛关注。 CERT高级漏洞分析师Will Dormann指出，该工具模仿了第三方杀毒软件禁用微软Defender的方法，从而让自己的程序无干扰地运行。 “No Defener”项目的开发者“es3n1n”透露，他逆向工程了杀毒软件用来禁用Windows Defender的API。 es3n1n指出，Windows有一个被杀毒软件用来通知系统有其他杀毒软件运行的Windows安全中心（WSC）服务。这个WSC API是不公开的，要获得其文档需要与微软签署保密协议。Es3n1n通过逆向工程Avast杀毒软件中的一个名为wsc_proxy.exe的服务，使之为Avast设置WSC API，进而改造这个服务以插入自己的代码。 值得注意的是，为了让WSC设置在重启后依然有效，“No Defener”将自己（实际上是Avast的模块）添加到自启动项，因此需要在磁盘上保留“NoDefener”的二进制文件。 安全研究者和测试人员经常在研究和测试过程中关闭微软操作系统的安全防护，因此类似“NoDefener”的工具也有其合法用途。然而，正如Dormann指出的，运行“No Defender”工具需要管理员权限，这也为Windows用户提供了另一个不以管理员身份运行Windows系统的理由。如果不以管理员身份登录Windows，用户就不必过于担心（该工具被恶意使用）。 一位匿名安全人士人为，“No Defener”暴露的是Avast而非微软的漏洞，因为它需要一个签名级别为AuthentiCode SigningLevel 7的可执行文件。这更像是Avastwsc_proxy.exe组件的一个漏洞，它允许不受信任或未签名的代码与之交互。 Dormann认为：“No Defener工具本质上是一次规则突破而非漏洞。它允许拥有管理员权限的用户执行管理员操作，包括重新配置他们所在的系统，甚至是内核级别的访问。”   转自安全内参，原文链接：https://www.goupsec.com/news/16488.html 封面来源于网络，如有侵权请联系删除

Fortinet FortiSIEM 产品的一个关键漏洞出现了一个可行的攻击（PoC），这为更广泛的攻击提供了更多机会。 该漏洞被追踪为 CVE-2024-23108，于今年 2 月披露并修复，同时修复的还有与其相关的另一个漏洞 CVE-2024-23109。这两个漏洞在 CVSS 评分系统中的最高严重性评分均为 10 分，都是未经身份验证的命令注入漏洞，攻击者可能利用伪造的 API 请求实现远程代码执行（RCE）。 据 Horizon3AI 的研究人员称，该漏洞被他们称为“NodeZero”，允许用户“以 root 身份在受影响的 FortiSIEM 设备上盲目执行命令”。在 PoC 中，他们使用该漏洞加载了一个用于后继活动的远程访问工具。 FortiSIEM 是 Fortinet 的安全信息和事件管理（SIEM）平台，用于支持企业网络安全运营中心。因此，如果该平台被攻破，攻击者可以以此为跳板进一步入侵企业环境。 受漏洞影响的 FortiSIEM 版本包括 7.1.0 至 7.1.1、7.0.0 至 7.0.2、6.7.0 至 6.7.8、6.6.0 至 6.6.3、6.5.0 至6.5.2 以及 6.4.0 至 6.4.2，用户应立即打上补丁，以避免受到威胁。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402244.html 封面来源于网络，如有侵权请联系删除

近日，TP-Link Archer C5400X 游戏路由器被曝存在高危安全漏洞，未经认证的远程威胁攻击者能够通过发送特制请求，在受影响设备上任意执行代码。 据悉，安全漏洞被追踪为 CVE-2024-5035，CVSS 评分为 10.0，主要影响包括 1_1.1.6 及之前版本在内的所有版本的 TP-Link Archer C5400X 游戏路由器固件。鉴于 CVE-2024-5035 安全漏洞的影响范围广、危害程度大、可利用性高等特点，TP-Link 方面在 2024 年 5 月 24 日发布的 1_1.1.7 版本中，修补了安全漏洞。 CVE-2024-5035 安全漏洞详情 CVE-2024-5035 安全漏洞产生的根源在于一个与射频测试 “rftest ”相关的二进制文件，该文件在启动时暴露了 TCP 端口 8888、8889 和 8890 上的网络监听器，从而允许未经认证威胁攻击者，能够远程轻松执行任意代码。 虽然该网络服务被设计为只接受以 “wl ”或 “nvram get ”开头的命令，但网络安全公司 ONEKEY 发现，只要在 shell 元字符（如 ; 、& 或 |）（如 “wl;id;”）之后注入命令，就可以轻松绕过这一限制。TP-Link 公司在版本 1_1.1.7 Build 20240510 的更新中，通过丢弃任何包含这些特殊字符的命令解决该漏洞。 近段时间，TP-Link 公司频频爆出安全漏洞问题，在 CVE-2024-5035 安全漏洞披露的前几周，TP-Link 公司还披露了台达电子 DVW W02W2 工业以太网路由器和 Ligowave 网络设备中存在的两个安全漏洞，分别被追踪为 CVE-2024-3871 和 CVE-2024-4999，远程威胁攻击者能够利用这些安全漏洞，提升的自身权限，执行任意远程命令。 更糟糕的是，由于 TP-Link 公司不再对上述两个安全漏洞进行积极维护，导致受影响的相关设备仍未打补丁。因此，用户必须采取适当措施限制管理界面的暴露，以最大程度上降低威胁攻击者利用安全漏洞的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402141.html 封面来源于网络，如有侵权请联系删除

据黑客新闻（The Hacker News）消息，中国安全厂商奇安信在过去3个月内发现名为CatDDoS 的恶意软件僵尸网络利用80多个漏洞对各类软件实施攻击，包括分布式拒绝服务 （DDoS） 攻击。 奇安信X实验室团队发现，这些漏洞影响了Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Realtek、Seagate、SonicWall、Tenda、TOTOLINK、TP-Link、ZTE 和 Zyxel 等厂商的路由器、网络设备。 奇安信和绿盟科技曾在 2023 年8月首次观测到 CatDDoS，将其描述为能够使用 UDP、TCP 和其他方法执行 DDoS 攻击的 Mirai 僵尸网络变体。除了使用 ChaCha20 算法加密与 C2 服务器的通信外，它还利用 C2 的 OpenNIC 域来试图逃避检测，这一技术也曾被另一个基于 Mirai 的 DDoS 僵尸网络 Fodcha 采用。 根据绿盟科技截至 2023 年 10 月共享的信息，该恶意软件的大多数攻击目标位于中国，其次是美国、日本、新加坡、法国、加拿大、英国、保加利亚、德国、荷兰和印度。X实验室表示，这些攻击涵盖云服务提供商、教育、科学研究、信息传输、公共管理、建筑等行业。 CatDDoS攻击趋势数据 虽然CatDDoS被怀疑已在2023年12月中止了攻击活动，但源代码已被放在了Telegram 群组中出售，进而后续出现了如RebirthLTD、Komaru、Cecilio Network等攻击变种。尽管不同的变种管理方式不同，但在代码、通信设计、字符串、解密方法等方面几乎没有变化。 另一种威胁—— DNSBomb 就在研究人员披露CatDDoS僵尸网络之际，一种被称为DNSBomb的脉冲式拒绝服务技术（PDoS）也浮出水面。该攻击利用合法的 DNS 功能，例如查询速率限制、查询-响应超时、查询聚合和最大响应大小设置，使用恶意设计的权威服务器和易受攻击的递归解析器创建定时响应泛洪。 清华大学NISL实验室博士生李想表示，DNSBomb 利用多种广泛实现的 DNS 机制来累积以低速率发送的 DNS 查询，将查询放大为大型响应，并将所有DNS响应集中到一个短而大容量的周期性脉冲爆发以压倒目标系统，所进行的小规模实验表明，峰值脉冲幅度可以接近8.7Gb/s，带宽放大因子可以超过2万倍。 由于DNSBomb 旨在通过周期性爆发的放大流量来淹没目标，因此难以对这些流量进行检测。 目前该研究已于2023年10月公布在上海举行的GEEKCON 2023活动中，并在2024年5月20日至23日举行的旧金山第45届IEEE安全与隐私研讨会上再次发表。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402138.html 封面来源于网络，如有侵权请联系删除

近日，美国马里兰大学的安全研究人员发表论文披露苹果设备的Wi-Fi定位系统（WPS）存在安全设计缺陷，可用于大规模监控全球用户（不使用苹果设备的人也会被监控），从而导致全球性隐私危机。 研究者还在俄乌战场和以色列哈马斯加沙冲突地带实际验证了该漏洞的有效性和危险性。 比GPS更可怕的WPS定位：可监控全球数亿台设备 随着人们对位置服务的需求日益增加，移动设备也更依赖于频繁且精准的地理位置信息。这些服务包括地图导航、广告推送、游戏定位以及丢失或被盗设备追踪（例如苹果的“查找我的设备”功能）。然而，由于耗电量过高，GPS并不能满足如此频繁的定位需求。 为解决这一难题，苹果和谷歌等科技巨头推出了基于Wi-Fi的定位系统(WPS)。该系统允许移动设备通过查询服务器上的Wi-Fi接入点信息来获取自身位置。简单来说，使用过GPS定位的移动设备会定期向WPS上报所观察到的Wi-Fi接入点的MAC地址（即BSSID）及其对应的GPS坐标。WPS服务器会存储这些上报的BSSID位置信息。 之后，其他不使用GPS的移动设备也可以通过查询WPS服务获取位置信息。设备查询涉及发送附近BSSID及其信号强度的列表到WPS。 总之，WPS为客户端设备提供了一种比全球定位系统（GPS）更节能的定位方式。对于移动设备，WPS的耗电量也显著低于GPS。苹果是几家运营WPS的大型科技公司之一，其他公司还包括谷歌、Skyhook等。 由于常用的WPS系统（尤其是苹果和谷歌的系统）都是公开可访问的，并且不会要求查询数据库的设备证明其确实能看到所声称的BSSID。换句话说，任何人都可以通过查询任意MAC地址来定位跟踪个人（如果该地址存在于WPS数据库中，服务器就会返回其位置信息）。 例如，遭受伴侣暴力的人搬到了一个未公开的地址，他们的前伴侣可以通过BSSID定期查询WPS，直到受害者的Wi-Fi接入点（或旅行调制解调器、启用Wi-Fi的电视等）的位置出现，从而泄露受害者的位置信息。 通常来说，这种基于BSSID查询的WPS定位需要攻击者事先了解目标信息（例如MAC地址），并且攻击对象仅限单个目标。 近日，在题为《通过Wi-Fi定位系统监视大众》的论文中，美国马里兰大学博士生ErikRye和副教授DaveLevin介绍了一种全新的苹果WPS查询方法，可被滥用于大规模监视，甚至不使用苹果手机（以及Mac电脑和iPad等苹果设备）的人也可被监控。 这种全新的WPS查询方法能够监控全球范围内的设备，并可以详尽地跟踪设备进入和离开目标地理区域。研究者对苹果WPS提供的数据进行了系统的实证评估，发现这些数据涵盖了数亿台设备，并且允许我们监控Wi-Fi接入点和其他设备的移动情况。 苹果的WPS最危险 根据论文描述，WPS一般以两种方式之一作出响应。 WPS定位主要又两种工作方式：要么计算客户端位置并返回这些坐标，要么返回提交的BSSID的地理位置（与AP硬件相关联），并让客户端进行计算以确定其位置。谷歌的WPS采用前者，而苹果的WPS采用后者。 研究人员指出，谷歌和苹果的WPS系统在基本工作原理上有根本区别，苹果的系统由于其开放性，为安全研究人员和潜在的攻击者提供了进行这项研究的途径。 研究人员指出，苹果的WPS系统特别“热情健谈”（下图）： 论文指出：“除了客户端提交的BSSID的地理位置，苹果的API还会随机性地返回多达数百个附近BSSID的地理位置。” “在苹果的WPS版本中，用户提交BSSID进行地理定位，苹果WPS则会返回其认为的BSSID位置，同时返回的还包括用户未请求的多达400个附近BSSID的位置。这400个额外的BSSID对于安全研究人员/黑客的研究非常重要，因为它们允许研究人员在短时间内积累大量的地理定位BSSID。此外，苹果的WPS服务接口没有设置认证或速率限制，可以免费使用。” 相比之下，谷歌的WPS则仅返回计算出的位置，并且经过认证、速率限制和收费，使得进行类似攻击或安全研究变得难以负担，因此比苹果的WPS要安全得多。 俄乌战争和以色列哈马斯冲突实战案例 利用苹果WPS系统的设计缺陷，Rye和Levin获取并编译了一个包含4.9亿个BSSID的全球数据库，从而可以追踪全球大量个人和人群（包括军事人员）的移动。 论文解释道：“由于苹果WPS的精度在几米范围内，这使我们在许多情况下能够识别出AP所在的个人家庭或企业。出于对用户隐私的尊重，我们在本研究中审查的案例中不包括可能公开识别个人的例子。” 尽管如此，研究人员表示，使用论文中描述的技术“显然有可能”确定个人或他们所属群体的身份，“可以精确到个人姓名、军事单位和基地，甚至是房车停车场。” 为了进一步展示利用WPS进行开源情报(OSINT)潜在的攻击手法，研究者分享了几个重点案例研究，包括： 俄乌战争：研究者首先利用苹果的WPS分析了进出乌克兰和俄罗斯的设备移动情况，从而获得了有关正在进行的战争的一些见解（这些见解尚未公开）。研究者发现疑似军用人员将个人设备带入战区，暴露了预部署地点和军事阵地。研究结果还显示了一些离开乌克兰并前往世界各地的人员信息，这验证了有关乌克兰难民重新安置地点的公开报道。 以色列-哈马斯加沙战争：研究者使用苹果的WPS追踪加沙地带居民的离境和迁徙情况，以及整个加沙地带设备的消失情况。该案例研究表明，研究者可以利用苹果的WPS数据跟踪大规模停电和设备丢失事件。更糟糕的是，被追踪设备的用户从未选择加入苹果的WPS，在研究者进行这项研究时也没有退出机制。仅仅处于苹果设备的Wi-Fi范围内，就可能导致设备的位置和移动信息被广泛公开。事实上，研究者在苹果的WPS中识别了来自1万多家不同厂商的设备。 防御措施：IEEE不作为，马斯克遭到表扬 研究团队已将发现报告给苹果、Starlink和GL.iNet，并建议通过在AP的WiFi网络名称中添加“_nomap”字符串来防止BSSID进入WPS数据库。苹果已在其隐私和位置服务帮助页面中增加了对“_nomap”的支持，而谷歌和WiGLE则早在2016年就已支持这一措施。 此外，研究人员建议实施BSSID随机化，以防止通过WPS追踪。这一措施得到了SpaceX产品安全团队的迅速响应，他们在所有Starlink设备中加快了BSSID随机化的实施步伐。然而，GL-iNet对这一建议的反应不积极，表示暂无计划部署该防御措施。 尽管目前业界尚未意识到将BSSID随机化纳入WiFi标准工作的重要性和紧迫性，研究人员希望这项研究能引起IEEE技术专家的重视，推动这一问题的解决，就像过去推动MAC地址随机化那样。 Rye指出：“BSSID随机化是防止通过WPS追踪的最有效的防御措施，因为每次设备启动（或移动位置）时生成一个随机标识符，将使其在WPS中看上去像是一个完全不同的设备。” Rye还称赞了SpaceX的产品安全团队迅速解决这一问题并在其产品中实施BSSID随机化的举措。 Rye透露：“在我们的研究期间，一些厂商的产品已经开始实施BSSID随机化，但星链对安全的重视程度显然更高；与研究者交流后，星链加快了在所有星链设备上实施的步伐。值得注意的是，这一漏洞并非由SpaceX引起（他们无法控制苹果或谷歌的行为），但他们仍然及时且正确地解决了这一问题。” 研究人员还通知了旅行路由器制造商GL-iNet，但该公司反应不积极。Rye表示：“他们承认了研究者的担忧以及随机化BSSID的解决方案，但告诉我们他们没有计划部署该防御措施。” Rye计划在8月的黑帽大会上展示这篇论文。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16457.html 封面来源于网络，如有侵权请联系删除

近日，数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山，黑客能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头，为开发人员和管理人员提供产品，该公司拥有 10000 多名员工，2023 年报告的收入超过 35 亿美元。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683（ CVSS 得分为 8.3），经过仔细分析得出，黑客可以对受影响的系统实施远程代码执行 (RCE) 攻击。 Cyber news 安全研究小组表示，鉴于很多企业正在使用 Atlassian Confluence Data Center 和 Confluence Server 服务，以帮助其团队协同工作和共享信息。这样的话，黑客就可以利用 CVE-2024-21683 安全漏洞侵入受影响的系统，并盗取受害者大量数据信息。 更为糟糕的是，CVE-2024-21683 安全漏洞不仅允许未经验证的黑客执行任意代码，而且不需要用户交互。 大量 Atlassian 实例暴露在互联网上 值得一提的是，虽然 Atlassian 收到 根据 Cybernews 的勒索软件监控工具 Ransomlooker 的数据，平均赎金要求为 530 万美元，因此尽快修复任何具有 RCE 功能的漏洞至关重要。报告后，便立刻针对两个受影响的服务发布了修复程序。然而，其安全团队还是发现数十万个易受攻击的实例暴露在互联网上，不断”诱惑“威胁攻击者发动网络攻击活动。 Cyber news 的安全研究人员指出，共有多达 224962 个数据中心和服务器实例暴露在互联网上，威胁攻击者可以利用 CVE-2024-21683 安全漏洞侵入受害者的网络系统中，一旦有了“立足点”，就可以轻松获得对系统的完全控制，随意安装恶意软件、访问敏感数据以及操纵系统配置。 此外， Atlassian 暴露的实例还危及到很多普通用户。研究人员认为，黑客可以窃取受害者登录凭证，从而侵入 Atlassian 账户和其他重复使用相同凭证的账户。 对此，研究人员强调，RCE 漏洞是高级勒索软件团伙经常使用的一种攻击载体，可以获得进入目标系统的初始入口，帮助勒索软件团伙开展攻击活动，（ Cyber news 勒索软件监控工具 Ransomlooker 的数据显示，勒索攻击事件平均赎金为 530 万美元）因此尽快修复任何具有 RCE 功能的安全漏洞非常重要。 以著名勒索软件 Cl0p 为例， 该组织曾经利用 Progress 软件公司 MOVEit Transfer 软件中一个零日漏洞（现已修复），入侵了受害者的内部系统，非法访问、盗取大量敏感数据，数千家机构和数千万人受到影响，造成数千万美元的损失。 最后，安全研究人员深入分析后发现，Atlassian Confluence Data Center 和 Confluence Server 出现安全漏洞后，仍旧有五个国家/地区托管了一半易受攻击的实例。其中，美国拥有最多的可能易受攻击的实例，为53195个，另有22007个易受攻击的实例被追踪到日本。 与此同时，南非、法国和德国各自托管了超过 11000 个暴露的未打补丁的 Confluence 服务。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401663.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员披露了GitHub企业服务器（GHES）的关键漏洞（CVE-2024-4985，cvss得分：10.0），该漏洞允许未经授权的攻击者，在不需要预先认证的情况下访问GHES实例。漏洞影响所有GHES 3.13.0之前的版本，并在3.9.15、3.10.12、3.11.10和3.12.4版本中得到修复。 目前GitHub已经推出了修复措施，没有发现该漏洞已经被大规模利用，用户可将GHES更新到已修补的版本（3.9.15、3.10.12、3.11.10、3.12.4或更高版本）。如果无法立即更新，考虑暂时禁用SAML认证或加密断言功能作为临时缓解措施。 GHES是一个自托管的软件开发平台，允许组织使用Git版本控制存储和构建软件，并自动化部署流程。 该漏洞利用了GHES处理加密的SAML声明的方式中的一个缺陷。攻击者可以创建一个包含正确用户信息的假SAML声明。当GHES处理一个假的SAML声明时，它将无法正确验证其签名，从而允许攻击者访问GHES实例。 成功利用这个漏洞可能允许未经授权的攻击者获得对GHES实例的完全管理控制权，使他们能够访问所有数据并在系统上执行任何操作。 GitHub进一步指出，默认情况下不启用加密断言，而且此漏洞不影响那些不使用SAML单一登录（SSO）或使用SAML SSO认证但没有加密断言的实例。加密断言允许网站管理员通过在认证过程中对SAML身份提供者（IdP）发送的消息进行加密，来提高GHES实例的安全性。 附PoC <Assertion ID="1234567890" IssueInstant="2024-05-21T06:40:00Z" Subject="CN=John Doe,OU=Users,O=Acme Corporation,C=US">   <Audience>https://your-ghes-instance.com</Audience>   <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:assertion:method:bearer">     <SubjectConfirmationData>       <NameID Type="urn:oasis:names:tc:SAML:2.0:nameid-type:persistent" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:basic">jdoe</NameID>     </SubjectConfirmationData>   </SubjectConfirmation>   <AuthnStatement AuthnInstant="2024-05-21T06:40:00Z" AuthnContextClassRef="urn:oasis:names:tc:SAML:2.0:assertion:AuthnContextClassRef:unspecified">     <AuthnMethod>urn:oasis:names:tc:SAML:2.0:methodName:password</AuthnMethod>   </AuthnStatement>   <AttributeStatement>     <Attribute Name="urn:oid:1.3.6.1.4.1.11.2.17.19.3.4.0.10">Acme Corporation</Attribute>     <Attribute Name="urn:oid:1.3.6.1.4.1.11.2.17.19.3.4.0.4">jdoe@acme.com</Attribute>   </AttributeStatement> </Assertion>   转自FreeBuf，原文链接：https://www.freebuf.com/news/401583.html 封面来源于网络，如有侵权请联系删除