日前，代码托管网站 GitHub 被曝高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。 用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 例如上传到 GitHub 的文件 URL 地址可以表明来自微软，但事实上该项目代码中从未提及相关内容，IT 之家附上两个案例如下： https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip 而且该漏洞并不需要任何复杂的专业技术，只需要上传恶意文件到指定 comment 即可。攻击者可以在任何受信任的存储库中上传恶意软件，然后通过 GitHub 链接进行分发。 而且这些链接属于 GitHub 官方 URL 域名，且后缀是“Microsoft”等官方储存库，因此用户很大几率认为该 URL 下载链接的内容是正规安全的。 GitHub 目前已经删除了部分恶意软件链接，对尚未完全修复该漏洞。对于开发者而言，现阶段没有足够有效的方法阻止这种滥用，唯一的方案就是完全禁用 comment。     转自FreeBuf，原文链接：https://www.freebuf.com/news/399336.html 封面来源于网络，如有侵权请联系删除

EDR/XDR 是当前流行的网络安全解决方案，在高级威胁检测中发挥着重要作用，监控着数以百万计的端点和服务器。然而，权力越大，责任越大，这些安全工具中的严重漏洞可被黑客武器化成“超级恶意软件“，用来部署勒索软件、窃取机密信息，而且难以被发觉和删除。 近日，安全研究员 Shmuel Cohen 在 Black Hat Asia 大会上展示了如何用逆向工程破解 Palo Alto Networks 的 Cortex XDR 安全软件，并将其转换为隐蔽持久的“超级恶意工具“，用于部署后门程序和勒索软件。这一发现凸显了 EDR/XDR 等强大安全工具的潜在风险，也为网络安全防御敲响了警钟。 XDR（Extended Detection and Response）是一种集成了威胁检测、调查和响应功能的安全解决方案，能够为企业提供全面的安全防护。然而，强大的功能也伴随着潜在的风险。Shmuel Cohen 的研究表明，EDR/XDR 本身也可能成为攻击者的目标，被用来实施恶意攻击。 Cohen 通过逆向工程和分析 Cortex XDR 软件，发现了一些可以被利用的漏洞。他利用这些漏洞，成功地绕过了 Cortex XDR 的安全机制（包括机器学习检测模块、行为模块规避、实时预防规则以及防止文件篡改的过滤驱动程序保护）。 具体来说，Cohen 做到以下几件事： 修改了 XDR 的安全规则，使其无法检测到他的恶意活动。 部署了后门程序，使他能远程控制受感染的计算机。 植入了勒索软件，向受害者索取赎金。 敏感用户账号泄露 在系统中长期驻留（无法从管理界面远程删除） 整机加密（FUD） 完整的 LSASS 内存转储 隐藏恶意活动通知 绕过 XDR 管理员密码 全面利用XDR 实施攻击 Cohen 指出，虽然 Palo Alto Networks 与其合作修复了漏洞并发布补丁程序，但其他 XDR 平台也很可能存在类似的漏洞，容易受到攻击。 Cohen 的攻击证明，即使是像 Palo Alto Cortex XDR 这样的知名安全软件也并非绝对安全。 安全专家指出，用户部署使用功能强大的安全工具时，不可避免地存在“魔鬼交易“：为了让这些安全工具完成工作，必须授予它们高级权限来访问系统中的每个角落。 例如，为了跨 IT 系统执行实时监控和威胁检测，XDR 需要尽可能高的权限，访问非常敏感的信息，而且启动时不能被轻易删除。 这意味着一旦攻击者能够利用安全软件的漏洞，就可将其变成杀伤力极大的攻击武器。因此，企业在部署 EDR/XDR 等安全解决方案时，需要提高警惕，加强安全管理，并定期进行安全评估和漏洞修复。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16198.html 封面来源于网络，如有侵权请联系删除

SafeBreach 研究人员 Or Yair 设计了一种技术，利用 DOS 到 NT 路径转换过程中的漏洞，在 Windows 上实现类似 rootkit 的功能。 当用户在 Windows 中执行带有路径参数的函数时，文件或文件夹的 DOS 路径将转换为 NT 路径。在此转换过程中出现了一个已知问题，即该函数从任何路径元素中删除尾随点，并从最后一个路径元素中删除尾随空格。此行为在 Windows 中的大多数用户空间 API 中都是一致的。 利用此已知问题的专家发现了以下漏洞： CVE-2023-36396，Windows 压缩文件夹远程代码执行漏洞 RCE 漏洞存在于 Windows 针对所有新支持的存档文件类型的新提取逻辑中。该专家制作了一个恶意档案，一旦提取，该档案就会写入他选择的远程计算机上的任何位置，从而导致代码执行。 CVE-2023-32054，卷影复制特权提升漏洞 可以利用此漏洞来获取正在运行受影响应用程序的用户权限。研究人员发现了两个特权提升 (EoP) 漏洞。CVE -2023-32054允许在没有所需权限的情况下写入文件，方法是从卷影副本操纵先前版本的恢复过程，以及另一个允许在没有所需权限的情况下删除文件的恢复过程。 “除了引导我发现这些漏洞之外，MagicDot 路径还赋予了我类似 rootkit 的能力，任何非特权用户都可以访问这些能力。”Or Yair写道。“我发现恶意行为者（没有管理员权限）如何隐藏文件和进程、隐藏存档中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、禁用 Process Explorer具有拒绝服务 (DoS) 漏洞等等。” 用户空间 Rootkit 旨在拦截用户空间 API 调用、执行原始函数、过滤掉恶意数据并将更改后的信息返回给调用者。攻击者需要管理员权限才能运行此类 Rootkit，因为他们需要通过在具有提升权限的进程中进行操作来向用户（包括管理员）隐藏自己的存在。 内核 Rootkit 在内核中运行并尝试拦截系统调用，从而更改返回给请求该信息的用户空间进程的信息。 运行内核 Rootkit 需要访问内核，通常需要管理权限并克服各种安全措施，例如补丁防护、驱动程序签名强制、驱动程序阻止列表和 HVCI。因此，内核 Rootkit 的流行率显著下降。 Or Yair 于 2023 年向微软安全响应中心（MSRC）报告。微软承认了这些问题，并采取了以下行动： 远程代码执行（CVE-2023-36396，CVSS：7.8）：由 Microsoft 修复。 权限提升（写入）（CVE-2023-32054，CVSS：7.3）：由 Microsoft 修复。 权限提升（删除）：该漏洞已被微软重现并确认。不过，该公司并未发布 CVE 或修复程序。以下是微软的回应。“再次感谢您向 Microsoft 提交此问题。我们确定此问题不需要立即提供安全服务，但确实揭示了意外行为。该产品或服务的未来版本将考虑解决此问题。” Process Explorer 非特权 DOS 反分析 (CVE-2023-42757)：由 Process Explorer 工程团队在版本 17.04 中修复。MITRE 为该漏洞保留了 CVE-2023-42757。MITRE 已向 Microsoft 确认了该漏洞，并将在在线发布详细信息后发布 CVE。 “这项研究首次探讨了如何利用看似无害的已知问题来开发漏洞，并最终构成重大安全风险。我们相信，这些影响不仅与 Microsoft Windows 相关，而且与所有软件供应商相关，其中大多数供应商也允许已知问题在其软件版本之间持续存在。”Or Yair 总结道。（详情）   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rSackBlb-DECGTuk4-xm_A 封面来源于网络，如有侵权请联系删除

近日，思科针对集成管理控制器 (IMC) 中的一个关键漏洞发布了概念验证 (PoC) 漏洞利用程序。该漏洞被识别为 CVE-2024-20356，允许命令注入，可使攻击者获得受影响系统的 root 访问权限。 漏洞概述 该漏洞存在于思科集成管理控制器（IMC）基于网络的管理界面中，而 IMC 是用于远程管理思科硬件的重要组件。 根据思科发布的官方安全公告，该漏洞是由于 IMC 界面的用户输入验证不足造成的，这一疏忽导致拥有管理权限的经过验证的远程攻击者能够注入恶意命令。 受影响的产品包括一系列思科服务器和计算系统，主要有： 5000 系列企业网络计算系统 (ENCS) Catalyst 8300 系列边缘 uCPE 独立模式下的 UCS C 系列 M5、M6 和 M7 机架式服务器 UCS E 系列服务器 UCS S 系列存储服务器 漏洞利用的技术细节 Nettitude 安全研究人员表示，利用程序涉及多个步骤，攻击者通过 Web 界面发送精心制作的命令，就可以在思科硬件的底层操作系统上以 root 权限执行任意代码。 名为 “CISCown “的 PoC 漏洞利用程序是 Nettitude 开发的工具包的一部分，可在 GitHub 上下载，它通过目标 IP、用户名和密码等参数实现漏洞的自动化利用。该工具包还可用于测试漏洞，允许在受影响设的备上部署 telnetd root shell 服务。 这一 PoC 漏洞的发布标志着使用思科受影响产品的企业面临着严重的威胁。因为获得 root 访问权限后攻击者就可能完全控制硬件，导致数据被盗、系统宕机，甚至进一步的网络破坏。 为此，思科已发布软件更新来解决这一漏洞，强烈建议所有受影响的企业立即更新，确保系统安全。 针对 CVE-2024-20356 的 PoC 漏洞利用的发布凸显了保护复杂网络环境安全所面临的持续挑战，用户和管理员应访问思科官方安全公告页面和托管漏洞利用工具包的 Nettitude GitHub 存储库，了解更多详细信息并及时更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/398701.html 封面来源于网络，如有侵权请联系删除

CrushFTP 是一款文件传输服务器软件，可实现安全高效的文件传输功能。它支持FTP、SFTP、FTPS、HTTP、HTTPS、WebDAV和WebDAV SSL协议等各种功能，允许用户在不同的网络上安全地传输文件。CrushFTP 还提供对自动化、脚本、用户管理和广泛的自定义选项的支持，以满足企业和组织的多样化需求。 CrushFTP 已通知用户，虚拟文件系统逃逸漏洞会影响其 FTP 软件，该漏洞可能使用户能够下载系统文件。 “低于 11.1 的 CrushFTP v11 版本存在一个漏洞，用户可以逃避其 VFS 并下载系统文件。此问题已在 v11.1.0 中修复。在其主 CrushFTP 实例前面使用DMZ的客户 将受到其使用的协议转换系统的保护。”官方漏洞通告中这样描述。 空客 CERT 的 Simon Garrelou 发现了该漏洞。 Crowdstrike 研究人员发现，攻击者在野外针对性攻击中利用了这个关键的0day漏洞。 “2024 年 4 月 19 日，CrushFTP 告知其 FTP 软件中存在虚拟文件系统逃逸漏洞，该漏洞可能允许用户下载系统文件。Falcon OverWatch 和 Falcon Intelligence 观察到该漏洞正在以有针对性的方式在野外使用。” 详情可参考Crowdstrike 在 Reddit 上发表的一篇文章。该漏洞尚未获得 CVE。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rzp2Fpqx_cds-jhuKSi3hA 封面来源于网络，如有侵权请联系删除

研究人员发现，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。 虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补，但由于缺乏 CVE 标识符或建议，这意味着它被 AMI MegaRAC BMC 的开发人员忽视，最终出现在产品中由英特尔和联想提供。 Lighttpd（发音为“Lighty”）是一款开源高性能 Web 服务器软件，专为速度、安全性和灵活性而设计，同时针对高性能环境进行了优化，且不会消耗大量系统资源。 Lighttpd 的静默修复涉及越界读取漏洞，该漏洞可用于泄露敏感数据，例如进程内存地址，从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。 该固件安全公司表示：“缺乏有关安全修复的及时和重要信息，阻碍了固件和软件供应链上这些修复的正确处理。” 缺陷描述如下—— Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取 Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取 1.4.51 之前的 Lighttpd 中的越界读取 英特尔和联想选择不解决该问题，因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态，不再有资格进行安全更新，从而实际上将其变成了永远的错误。该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。 研究人员补充道：“这是某些产品中永远无法修复的另一个漏洞，并将在很长一段时间内给行业带来高影响风险。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/ORiQEaUS6folKzT2_KlK6A 封面来源于网络，如有侵权请联系删除

近日，美国伊利诺伊大学厄巴纳-香槟分校（UIUC）的四位计算机科学家在一篇新发布的论文中指出，只需提供描述漏洞的 CVE 公告，OpenAI 的 GPT-4 大语言模型便可以成功地利用现实世界真实存在的安全漏洞。 这项新研究建立在先前发现的 LLMs 可以在受控环境中用于自动攻击网站的基础上，研究过程共收集了 15 个 1day 漏洞（已披露但尚未修补的漏洞），研究人员发现，当提供其 CVE 描述时，GPT-4 能够成功利用这些漏洞之中的 87%，而其他测试的模型（如 GPT-3.5、一些开源 LLMs 以及专门设计的漏洞扫描器）则无法利用任何漏洞。目前因欠缺条件未对 GPT-4 的两个主要商业竞争对手—— Anthropic 的 Claude 3 和 Google 的 Gemini 1.5 Pro 进行测试。 这 15 个测试样本中，GPT-4 仅未能成功利用其中两个：Iris XSS（CVE-2024-25640）和Hertzbeat RCE（CVE-2023-51653）。前者是由于 Iris 网络应用程序具有极难导航的界面，后者则是由于漏洞详细描述为中文不便于理解操作。研究人员认为，未来的模型很可能比现今的黑客更有实力且更具性价比，他们计算了成功进行 LLM 代理攻击的费用，得出的结果是每次攻击的成本为 8.80 美元，比雇佣人类渗透测试员的成本要低得多。 论文作者还表示，这项研究最终仅包含 91 行代码和 1056 个提示词。OpenAI 已明确要求论文作者不得公开他们用于这个实验的提示——作者对此同意，但也表示他们会根据收到的请求提供，他们乐于促进合作，以在这个新兴的人工智能驱动的网络安全领域取得进一步进展。 论文链接：https://arxiv.org/pdf/2404.08144.pdf   转自安全内参，原文链接：https://www.secrss.com/articles/65375 封面来源于网络，如有侵权请联系删除

流行开源 SSH 客户端 PuTTY 近日发布了重要安全更新，修复了一个可泄露用户加密密钥的严重漏洞。受影响的 PuTTY 版本号为 0.68  至 0.80，最新的 PuTTY 0.81 修复了此漏洞。 依赖受影响 PuTTY 版本的其他程序（例如 FileZilla、WinSCP、TortoiseGit 和 TortoiseSVN）也存在漏洞。这些产品也提供了相应的补丁程序或缓解措施。 PuTTY 是一款用于 SSH、Telnet 等网络协议的开源客户端程序，可帮助用户连接远程服务器并传输文件。德国鲁尔大学的两位研究人员发现，PuTTY 客户端及其相关组件在使用“NISTP-521”的情况下，会“生成严重偏差的 ECDSA 随机数(nonce)”，从而导致私钥泄露。该漏洞编号为 CVE-2024-31497。 研究人员解释说：“恶意行为者只要监测到由使用相同密钥的任何 PuTTY 组件生成的大约 60个有效 ECDSA 签名，就能够完全恢复 NISTP-521 密钥的私钥。” 研究人员指出，这些所需的签名可以通过恶意服务器窃取，也可以来自其他来源，例如签名的 Git 提交记录。 研究人员警告说：“即使修复了源代码中的漏洞后攻击仍能进行（假设对手拥有大约60个漏洞未修复时的签名），因此所有用于 PuTTY 的 NIST P-521 客户密钥都应被视为已泄露。” PuTTY 开发人员也发布安全报告并解释说：“攻击者只需拥有几十条签名消息和公钥，就足以恢复私钥，然后伪造签名，冒充用户的身份进行登录操作（例如，登录您使用该密钥的任何服务器）。为了获得这些签名，攻击者只需短暂攻破用来验证密钥的服务器，或暂时访问保存密钥的 Pageant 程序的副本即可。” PuTTY 开发人员敦促用户立即撤销受影响的密钥。美国国家标准与技术研究院(NIST)国家漏洞数据库中的 CVE-2024-31497 条目警告称，该漏洞可能导致供应链攻击。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16183.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）发布了一则警告，指出 Chirp Systems 智能锁存在一个“低攻击复杂性”的远程漏洞，攻击者可以远程解锁智能锁并物理渗透受保护的位置。 该漏洞是由 Chirp Android 应用程序硬编码密码和私钥造成的。这些数据可用于访问智能锁提供商 August 的 API，从而远程控制锁。据称，Chirp 系统已经拥有超过 50,000 个用户。 Chirp 的软件允许控制与 August 和 Yale 等公司的产品兼容的锁，后者是瑞典公司 Assa Abloy 旗下的产品。 根据 CVSS（通用漏洞评分系统）的评估，该漏洞 ID 为 CVE-2024-2197，严重程度评为 9.1 分（满分 10 分）。CISA 也因此发布了警告，指出 Chirp 尚未采取必要措施修复该漏洞。 这个问题是由 Amazon Web Services 的工程师 Matt Brown 发现的。他在家里安装了这种锁后开始研究 Chirp 应用程序。据他介绍，修复该漏洞并不困难，但由于某种原因，制造公司对此并没有表现出兴趣。 此外，Chirp 还提供 NFC 密钥作为应用程序的替代方案。但由于它以明文形式传输数据，因此无法免受远程攻击。为了能使用这把并不可靠的钥匙，Brown 不得不支付 50 美元。工程师建议拥有通过 Chirp 控制智能锁的人使用额外的机械锁来增强安全性。 最近几个月，与智能锁相关的漏洞变得相当多。例如德国宜必思连锁酒店的锁，在自助服务终端上使用六个破折号就能打开所有门；甚至更早之前，Saflock 锁也出现了漏洞，该锁可以使用廉价的 RFID 读卡器/写卡器轻松打开。   转自安全客，原文链接：https://www.anquanke.com/post/id/295702 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员披露了针对英特尔系统上 Linux 内核的首个原生 Spectre v2 漏洞，该漏洞是2018 年曝出的严重处理器“幽灵”（Spectre）漏洞 v2 衍生版本，利用该漏洞可以从内存中读取敏感数据，主要影响英特尔处理器 + Linux 发行版组合设备。 阿姆斯特丹自由大学系统与网络安全小组（VUSec）的研究人员在一份新的研究报告中提到，该漏洞被称为 “本地分支历史注入漏洞”，被追踪为 CVE-2024-2201。此漏洞可以绕过现有的 Spectre v2/BHI 缓解措施，以 3.5 kB/sec 的速度泄漏任意内核内存。 现阶段很难有效修复 Spectre v2 漏洞，这和处理器现有的推测执行（Speculative execution）机制有关。 推测执行是一种性能优化技术，现代处理器会猜测下一步将执行哪些指令，并提前执行从而加快响应速度。 VUSec 于 2022 年 3 月首次披露了 BHI，并将其描述为一种可以绕过英特尔、AMD 和 Arm 现代处理器中 Spectre v2 保护的技术。虽然该攻击利用了扩展的伯克利数据包过滤器（eBPF），但英特尔为解决该问题提出了禁用 Linux 非特权 eBPF的建议。 英特尔公司表示，特权管理运行时可以配置为允许非特权用户在特权域中生成和执行代码–例如Linux的’非特权eBPF’，这大大增加了瞬时执行攻击的风险，即使存在针对模式内分支目标注入的防御措施。 可以对内核进行配置，在默认情况下拒绝访问非特权 eBPF，同时仍允许管理员在需要时在运行时启用它”。原生 BHI 通过证明 BHI 无需 eBPF 即可实现，从而抵消了这一反制措施。它可能会影响所有易受 BHI 影响的英特尔系统。 访问 CPU 资源的攻击者可以通过安装在机器上的恶意软件影响推测执行路径，从而提取与不同进程相关的敏感数据。 CERT 协调中心（CERT/CC）在一份公告中提到：禁用特权 eBPF 和启用（Fine）IBT 的现有缓解技术目前不足以阻止针对内核/管理程序的 BHI 攻击。未经认证的攻击者可以利用这个漏洞，通过投机性跳转到所选的小工具，从 CPU 泄漏特权内存。 Spectre v2 漏洞利用 经证实，该漏洞已经影响到了 Illumos、英特尔、红帽、SUSE Linux、Triton Data Center 和 Xen等多个系统。 据悉，该漏洞是 Spectre v1 的一个变种，能够通过利用推测执行和竞争条件的组合泄漏 CPU 架构的数据。 苏黎世联邦理工学院（ETH Zurich）的最新研究披露了一系列被称为 “Ahoi攻击 “的攻击，这些攻击可用于破坏基于硬件的可信执行环境（TEE）和破解机密虚拟机（CVM），如AMD安全加密虚拟化-安全嵌套分页（SEV-SNP）和英特尔信任域扩展（TDX）。 这些代号为 Heckler 和 WeSee 的攻击利用恶意中断破坏CVM的完整性，允许威胁者远程登录并获得高级访问权限，以及执行任意读、写和代码注入以禁用防火墙规则和打开root shell。 研究人员表示：Ahoi 攻击是攻击者通过利用管理程序向受害者的vCPU注入恶意中断，并诱使其执行中断处理程序而实现的。这些中断处理程序可以产生全局效应，比如改变应用程序中的寄存器状态等等，攻击者可以触发这些中断处理程序，从而成功入侵受害者的CVM。 目前，英特尔更新了针对 Spectre v2 的缓解建议，现在建议禁用非特权扩展伯克利数据包过滤器（eBPF）功能、启用增强型间接分支限制猜测（eIBRS）和启用监控模式执行保护（SMEP）。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397580.html 封面来源于网络，如有侵权请联系删除