HackerNews 编译，转载请注明出处： Atlassian发布警告称：Confluence Data Center 和 Confluence Server 中存在严重的远程代码执行漏洞，该漏洞被编号为CVE-2023-22527（CVSS 评分10.0），会影响旧版本。 此漏洞是一种模板注入漏洞，允许远程攻击者在易受攻击的Confluence上执行任意代码。Confluence Data Center和Server的以下版本受到影响：8.0.x、8.1.x、8.2.x、8.3.x、8.4.x以及8.5.0至8.5.3，最新版本不受此问题的影响。 根据ZoomEye网络空间搜索引擎的测绘数据，目前有超44万条搜索结果。 “在Confluence Data Center和Server的旧版本存在模板注入漏洞，允许未经身份验证的攻击者在受影响的版本上实现远程代码执行（RCE）。”厂商在发布的安全公告中还指出。“该RCE漏洞影响2023年12月5日之前发布的Confluence Data Center和Server 8、以及8.4.5版本，根据修复策略，相关版本后续不再进行修复，建议用户安装最新版本。” Atlassian通过发布8.5.4（LTS）、8.6.0（仅适用于Data Center）和8.7.1（仅适用于Data Center）版本来解决此漏洞。同时建议用户立即安装最新版本以修补相关漏洞。 安全公告还提到，此漏洞目前暂未发布相关修复措施。 消息来源：securityaffairs，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站披露，GitHub 轮换了 12 月份修补的漏洞可能泄露的密钥，漏洞被追踪为 CVE-2024-0200，不仅允许威胁攻击者在未打补丁的服务器上远程执行代码，还支持威胁攻击者访问生产容器的环境变量（包括凭据）。 近期，GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补，GitHub 方面敦促所有客户应尽快安装安全更新，以避免遭受网络安全威胁。 值得一提的是，针对 CVE-2024-0200 漏洞的利用可能稍微有点复杂并，如果想要成功利用漏洞，威胁攻击者需要使用组织所有者角色（具有组织的管理员访问权限）进行身份验证。 Github 副总裁兼副首席安全官 Jacob DePriest 表示，2023 年 12 月 26 日，GitHub 通过 Bug 赏金计划收到一份安全报告，其中显示了一个安全漏洞，如果一旦成功利用该漏洞，便可以轻松访问生产容器中的凭据。事发当天，公司就组织了安全研究人员在 GitHub.com 上修复了漏洞，并开始轮换所有可能暴露的凭证。 在进行了全面调查后，根据漏洞问题的独特性以及对内部的遥测和日志记录的分析，公司研究人员有信心地认为 CVE-2024-0200  漏洞没有被威胁攻击者发现和利用过。DePriest 还强调，根据安全程序且出于谨慎考虑，公司对凭证进行了轮换，并强烈建议用户定期从 API 中提取公钥，以确保使用的是来自 GitHub 的最新数据。 此外，尽管 GitHub 在 12 月份轮换的大部分密钥无需客户自行操作，但那些使用 GitHub 提交签名密钥和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客户加密密钥的用户需要导入新的公钥。 近期，GitHub 似乎很不”健康“，接连爆出多个安全漏洞。前段时间，GitHub 方面修复了一个高严重性企业服务器命令注入漏洞（CVE-2024-0507），该漏洞允许威胁攻击者使用具有编辑器角色的管理控制台用户账户提升权限。 2023 年 3 月，GitHub.com 的私人 SSH 密钥意外地通过 GitHub 公共仓库 “短暂 “暴露了一段时间，影响了使用 RSA 通过 SSH 进行的 Git 操作，之后该公司也轮换了 GitHub.com 的私人 SSH 密钥。 2022 年 12 月，威胁攻击者在攻破 GitHub 公司的开发和发布计划存储库后，窃取了大量敏感数据，迫使GitHub 不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389885.html 封面来源于网络，如有侵权请联系删除

渗透测试公司 STM Cyber 报告称，PAX Technology 的基于 Android 的 PoS（销售点）终端受到一系列漏洞的影响，这些漏洞可被利用来执行任意代码或命令。 PAX 总部位于中国，生产支付终端、密码键盘以及 PoS 硬件和软件，产品销往全球。PAX 的 PoS 设备在基于 Android 的 PayDroid 上运行。 据 STM Cyber 称，虽然沙箱可以防止终端上的应用程序相互交互，但具有 root 访问权限的攻击者可以篡改任何应用程序，包括支付流程。 尽管攻击者无法访问解密的支付信息，但他们可以修改交易金额和其他相关数据，STM Cyber 在 PAX PoS 设备中发现了六个漏洞，在一份技术报告中解释道，该报告还包括证明：概念（PoC）利用。 该公司表示，攻击者可以通过物理 USB 访问易受攻击的设备来利用其中三个问题。 第一个漏洞 CVE-2023-4818 允许攻击者将 PAX A920 设备的引导加载程序降级到以前的、可能存在漏洞的版本。然而，签名检查仅允许加载由 PAX 签名的引导加载程序。 第二个问题 CVE-2023-42134 允许攻击者注入内核参数并在任何 PAX PoS 设备上以 root 权限执行任意代码。该错误可以在快速启动模式下通过执行隐藏命令来覆盖未签名的分区来利用。 接下来是 CVE-2023-42135，这是一个类似的内核参数注入缺陷，导致通过刷新不同的未签名分区来执行代码。该问题影响 PAX A920Pro/A50 设备。 STM Cyber 解释说，影响所有 PAX PoS 终端的另外两个漏洞可以被攻击者利用 shell 访问易受攻击的设备来执行任意命令。 第一个漏洞编号为 CVE-2023-42136，允许攻击者注入以特定单词开头的 shell 命令，绕过现有检查并获得“系统”权限。 攻击者可以利用第二个缺陷 CVE-2023-42137 覆盖任意文件，并可能将其权限提升到系统或 root。 第六个安全缺陷（编号为 CVE-2023-42133）的详细信息尚未发布。 STM Cyber 于 2023 年 5 月向 PAX 报告了这些漏洞，并于 8 月通知了波兰 CERT。PAX 已发布针对所有漏洞的补丁。   转自安全客，原文链接：https://www.anquanke.com/post/id/292699 封面来源于网络，如有侵权请联系删除

谷歌发布了一项紧急更新，旨在修复 Chrome 浏览器中的三个高度严重的安全漏洞，并警告其中一个漏洞已被广泛利用。 被利用的零日漏洞被标记为 CVE-2024-0519，被描述为 V8 JavaScript 引擎中的越界内存访问问题。 按照惯例，谷歌未提供关于攻击范围的详细信息，也没有共享遥测数据来帮助防御者寻找妥协的迹象。 谷歌的一份简要声明指出：“谷歌已经获知了与 CVE-2024-0519 漏洞相关的报告。” 公司表示，这个零日漏洞是匿名报告的。 最新的 Chrome 浏览器更新还解决了 V8 中另外两个被评为高危的内存安全问题。谷歌表示，此次更新还包括了在内部通过审计、模糊测试等方式发现的多项修复。 就在几周前，谷歌发布了针对多个内存安全问题的补丁，这些问题使用户容易受到代码执行攻击的威胁。 2023 年，谷歌修复了至少 7 个在野外利用过程中发现的零日漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/292683 封面来源于网络，如有侵权请联系删除

据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 这一安全漏洞被标识为 CVE-2023-36025（CVSS 评分为 8.8），于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁，而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录，证实了在野外攻击中存在相关证据。 根据微软的通报，黑客可以通过向用户发送精心设计的互联网快捷方式文件（URL）并说服收件人点击它来利用该问题。 这家科技巨头表示：“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 在漏洞公开披露后，我们观察到黑客展示了对该漏洞的利用，并发布了各种概念验证 (PoC) 漏洞，并且许多黑客已将此漏洞的利用纳入其攻击链中。 现在，趋势科技报告称，恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer，这是一种以前未知的恶意软件类型，可以从受感染的系统中获取大量信息。 Phemedrone Stealer 采用 C# 编写，可作为开源软件使用，并在 GitHub 和 Telegram 上积极维护。 除了从网络浏览器、加密货币钱包和各种消息应用程序（包括 Telegram、Steam 和 Discord）窃取数据之外，该威胁还会截取屏幕截图并收集系统信息，包括硬件详细信息和位置数据。 然后，收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。 作为观察到的攻击的一部分，利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后，这些文件会下载并执行一个控制面板项 (.cpl) 文件，该文件调用 rundll32.exe 来执行恶意 DLL，充当下一阶段的加载程序，该阶段托管在 GitHub 上。 下一阶段是一个模糊加载器，它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件，进而加载 Phemedrone Stealer 有效负载。 趋势科技指出：“尽管已经打了补丁，但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法，以多种恶意软件类型感染用户，包括勒索软件和 Phemedrone Stealer 等窃取程序。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292678 封面来源于网络，如有侵权请联系删除

GrapheneOS 团队开发了一个专注于隐私和安全的 Android 操作系统版本，并提出在 Android 中引入自动重启功能。这一功能将使得利用固件漏洞变得更加困难。 该团队最近报告了影响 Google Pixel 和三星 Galaxy 智能手机的 Android 漏洞。当设备处于非活动状态时，该漏洞可用于窃取数据并监视用户。 当设备关闭或打开后未解锁时，设备被视为“静止”。在这种状态下，隐私保护非常高，并且设备的功能受到限制，因为加密密钥尚未被可供安装的应用程序使用。 重新启动后的首次解锁会将许多加密密钥移至缓存中，从而允许应用程序正确运行并使设备从休眠状态唤醒。GrapheneOS 团队指出，使用设备后锁定屏幕并不会使其恢复到静止状态，因为仍然存在一些安全异常。 重新启动设备会结束所有可被利用的临时状态、进程或操作，并需要进行 PIN、密码或生物识别验证等身份验证操作，从而恢复所有安全机制。 GrapheneOS 开发人员没有透露有关他们发现的可利用固件漏洞的详细信息，但他们提出了一个在大多数情况下有效的通用解决方案：GrapheneOS 操作系统中已经存在的自动重启功能。 该功能的目的是通过比用户更频繁地重置所有设备安全系统来最大程度地减少攻击者的机会。GrapheneOS 自动重启系统每 18 小时重置一次设备。 GrapheneOS 发言人解释说，虽然 GrapheneOS 由于硬件限制无法直接修复固件错误，但新功能提供了重启时固件内存擦除功能，并提供了管理 API 改进，可以更安全地擦除设备中的数据。 GrapheneOS 还指出，许多人认为智能手机上的飞行模式可以降低受到攻击的风险，但实际上通常仍然允许通过 Wi-Fi、蓝牙、NFC 和 USB 以太网进行数据交换。根据攻击向量的不同，飞行模式可能不是有效的防御措施。 开发人员还涉及与设备加密和安全系统相关的 PIN 和密码安全主题，因为此类身份验证方法被用作加密设备数据的密钥。使用短 PIN 码和密码来防止隐藏的暴力破解非常重要，这不仅可以解锁屏幕，还可以解锁设备芯片上的受保护区域。 作为 Android 漏洞奖励计划 (VRP) 的一部分，GrapheneOS 团队向 Google 报告了发现的漏洞。该公司正在审查和确定后续步骤。 经常重新启动 Android 或 iOS 设备已被认为是解决过热、内存或通话信号障碍等问题的有效方法。从安全角度来看，此操作可以防止攻击者恢复数据或对不具备有效恢复机制的移动设备造成其他威胁。 因此，GrapheneOS 在 Android 中引入自动重启功能的提议，是基于对该过程作为提高设备安全性手段的重要性的理解。重启不仅有助于解决常见的技术问题，而且还是对抗数据安全和用户隐私潜在威胁的关键要素。   转自安全客，原文链接：https://www.anquanke.com/post/id/292653 封面来源于网络，如有侵权请联系删除

Guardio Labs 的安全研究人员发现 Windows 和 macOS 操作系统的 Opera Web 浏览器存在严重缺陷。利用这些缺陷，攻击者可以在计算机的基本操作系统上运行任何文件，包括恶意文件。 专家将该漏洞命名为“MyFlaw”（文字游戏，直译为“我的漏洞”），因为它与“我的流程”功能相关联，该功能允许用户在移动设备和桌面设备之间同步消息和文件。 攻击者使用受其控制的浏览器扩展来实现这个漏洞，成功绕过了浏览器的沙箱和整个工作流程。该问题同时影响 Opera 和 Opera GX 的常规版本。 My Flow 具有类似聊天的界面，用于在智能手机和台式计算机之间共享笔记和文件。事实证明，来自该聊天的文件可以直接通过浏览器的网络界面启动，不受浏览器安全性的影响。 My Flow 的运行由名为“Opera Touch Background”的内置扩展来实现，该扩展负责与移动模拟设备进行通信。该扩展包含自己的清单文件，其中指定了其行为以及所有必要的权限，包括“externally_connectable”属性，该属性声明其他网页和扩展可以连接到它。 可以与扩展程序通信的域必须与模式“*.flow.opera.com”和“.flow.op-test.net”匹配，由浏览器开发人员自己控制。然而，Guardio Labs 研究人员在“web.flow.opera.com”域上发现了 My Flow 起始页的“被遗忘”版本。 找到的页面在视觉上与当前版本类似，但不同之处在于缺少内容安全策略标记以及存在调用JavaScript文件而不检查其完整性的脚本标记。 Guardio Labs 的报告称：“这正是攻击者所需要的——一种不安全、被遗忘且易受代码注入攻击的资源，并且具有对浏览器 API 的非常高的特权访问权限。” 最后的攻击链涉及攻击者创建一个特殊的扩展程序，将自己伪装成移动设备来与受害者的计算机进行通信，并通过修改后的 JavaScript 文件传输加密的恶意代码，以便随后只需点击用户的屏幕即可执行。 “MyFlaw”攻击方案 研究人员表示：“尽管在孤立的环境中运行，扩展程序仍然可以成为黑客的强大工具，使他们能够窃取信息并突破浏览器的安全边界。” Opera在2023年11月22日修复了这个漏洞，仅在漏洞被披露的5天后。开发人员还进行了服务器端修复，并采取了一系列措施来防止将来出现类似问题。出于安全原因，决定现在才公开披露该漏洞，以确保尽可能多的用户能够自动接收到必要的更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/292647 封面来源于网络，如有侵权请联系删除

Security Affairs 网站消息，苹果近期发布了 Magic Keyboard 固件更新版本 2.0.6，解决了蓝牙键盘注入漏洞问题（漏洞被追踪为 CVE-2024-0230）。据悉，该安全漏洞是一个会话管理问题，由 kySafe 公司研究员 Marc Newlin 发现并上报，黑客能够利用漏洞获取键盘物理访问权限，窃取其蓝牙配对密钥并监控蓝牙通信。 苹果公司在公告中指出，威胁攻击者一旦成功对配件进行物理访问，就有可能提取其蓝牙配对密钥并监控蓝牙流量。此外，威胁攻击者还可以利用未经验证的蓝牙连接到受影响的设备并注入恶意程序，从而实现安装应用程序、执行任意命令、转发消息等操作。 未打补丁的设备在以下情况下容易受到网络攻击： 只要启用蓝牙，安卓设备就会受到攻击； Linux/BlueZ 要求蓝牙可被发现/连接； iOS 和 macOS 在启用蓝牙且 Magic Keyboard 已与手机或电脑配对的情况下存在漏洞。 Magic Keyboard 固件更新 2.0.6 适用于 Magic Keyboard、Magic Keyboard (2021)、带数字键盘的 Magic Keyboard、带 Touch ID 的 Magic Keyboard 以及带 Touch ID 和数字键盘的 Magic Keyboard 等版本。 最后，研究人员指出锁定模式并不能阻止黑客利用 CVE-2024-0230 安全漏洞，目前也尚不清楚漏洞是否已被在野攻击被利用。 过去一年，苹果曝出多个高危漏洞 2023 年 2 月份，苹果公司发布安全更新，解决旧款 iPhone 和 iPad 中的零日漏洞  CVE-2023-23529。据悉，该漏洞是一个 WebKit 类型的混淆问题。 CVE-2023-23529 安全漏洞危害极大，一旦被威胁攻击者成功利用，可能会引起操作系统崩溃，威胁攻击者甚至可以在诱骗受害者打开恶意网页后，在目标 iPhone 和 iPad 上执行任意代码（该漏洞也会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1）。 2023 年上半年 ，研究人员还在 WebKit 浏览器引擎中发现了三个零日漏洞，分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373。 威胁攻击者可以利用上述三个漏洞，侵入用户设备访问用户敏感信息，甚至可以诱使受害者目标加载恶意制作的网页（网络内容），在受损设备上执行任意代码。 接收到漏洞反馈后，苹果公司通过改进边界检查、输入验证和内存管理苹果在 5 月 1 日发布的 iOS 16.4.1 和 macOS 13.3.1设备的快速安全响应（RSR）补丁解决 CVE-2023-28204 和 CVE-2023-32373 这两个漏洞问题。   转自Freebuf，原文链接：https://www.freebuf.com/news/389665.html 封面来源于网络，如有侵权请联系删除

自 12月初以来，黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。 这些安全问题被标识为CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。 与 Ivanti 合作调查该事件的Mandiant的一份报告指出，攻击背后的攻击者从事间谍活动，目前在内部追踪为 UNC5221。 Shadowserver扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备，其中大部分位于美国。 攻击面的影响范围 部署的恶意软件 Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具，其中包括五种自定义恶意软件，用于植入 Webshell、执行命令、删除有效负载和窃取凭据。 以下是攻击中使用的工具的摘要： Zipline     Passive Backdoor：自定义恶意软件，可以拦截网络流量，支持上传/下载操作，创建反向 shell、代理服务器、服务器隧道 Thinspool     Dropper：自定义     shell 脚本 dropper，将 Lightwire Web shell 写入 Ivanti CS，确保持久性 Wirefire     Web shell：基于 Python 的自定义 Web shell，支持未经身份验证的任意命令执行和负载删除 Lightwire     Web shell：嵌入合法文件中的自定义 Perl Web shell，可实现任意命令执行 Warpwire     harverster：基于 JavaScript 的自定义工具，用于在登录时收集凭据，并将其发送到命令和控制（C2）服务器 PySoxy     隧道器：促进网络流量隧道的隐蔽性 BusyBox：多调用二进制文件，结合了各种系统任务中使用的许多     Unix 实用程序 Thinspool     实用程序 (sessionserver.pl)：用于将文件系统重新挂载为“读/写”以启用恶意软件部署 “ZIPLINE 是这些家族中最著名的一个，它是一个被动后门，可以劫持 libsecure\.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理。 ”Mandiant 安全研究员表示。 Zipline (Mandiant)支持的命令 Mandiant 还发现，攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器，并将其位置设置在与目标相同的区域，以逃避检测。 Volexity 此前曾报道称，有迹象表明这些攻击是由某国背景的黑客组织发起。Mandiant 的报告没有明确任何归属，也没有提供有关该黑客组织的潜在来源或从属关系的信息。 谷歌公司表示，没有足够的数据来自信地评估 UNC5221 的来源，并指出其活动与任何先前已知的威胁组织无关。 Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。 安全专家提醒系统管理员，目前没有解决这两个0day漏洞的安全更新，Ivanti 提供了应立即实施的缓解措施。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/MLzP72_NsdOZnGE8iFO0gg 封面来源于网络，如有侵权请联系删除

近日，思科修补了一个关键的 Unity Connection 安全漏洞，该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案，适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、Cisco Unified IP Phone、智能手机或平板电脑，支持高可用性和冗余。 该漏洞（CVE-2024-20272）出现在该软件基于网络的管理界面上，是由于特定 API 缺乏身份验证以及对用户提供的数据验证不当造成的。攻击者可通过向目标和易受攻击系统上传任意文件，在底层操作系统上执行命令。成功利用后，攻击者可以在系统上存储恶意文件，在操作系统上执行任意命令，并将权限提升至 root。 幸运的是，思科的产品安全事故响应小组（PSIRT）表示，目前还没有证据表明该漏洞已被利用的情况出现。 利用 PoC 漏洞进行命令注入 昨天（1月10日），思科宣布修补了多款产品中的十个中等严重性安全漏洞，这些漏洞允许攻击者升级权限、发起跨站脚本（XSS）攻击、注入命令等。 其中一个漏洞的概念验证利用代码已在网上公布，该漏洞是思科 WAP371 无线接入点基于 Web 的管理界面中的一个命令注入漏洞，被追踪为 CVE-2024-20287。 尽管攻击者可以利用这个漏洞在未打补丁的设备上以 root 权限执行任意命令，但要成功利用这个漏洞还需要管理凭据。 思科表示，由于思科WAP371设备已于2019年6月达到报废年限，因此不会发布固件更新来修补 CVE-2024-20287 安全漏洞。 同时，该公司建议网络上有 WAP371 设备的客户尽快迁移到思科 Business 240AC 接入点。 去年10 月，思科还修补了两个零日漏洞（CVE-2023-20198 和 CVE-2023-20273），这些漏洞在一周内被利用入侵了 50,000 多台 IOS XE 设备。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389437.html 封面来源于网络，如有侵权请联系删除