上周晚些时候，动漫游戏《原神》的中国服务器曝出严重漏洞，允许黑客利用外挂从其他玩家的联机世界中删除游戏物品和要素。 同时，《原神》的许多玩家在论坛报告称在游戏内遭遇黑客（外挂）攻击，游戏难以正常进行，因为该外挂可通过四星游戏角色Kaveh删除在组团模式中取得游戏进度至关重要的元素，例如玩家需要与之交互的谜题或NPC（甚至包括Boss）。 还有玩家报告说，他们的探索点被外挂操纵逆转。 本周二，在沉默数日后，《原神》的开发商米哈游公司在推特（X）上发布声明称给大量玩家造成困扰的“Kaveh外挂攻击”已经基本得到控制，”少数帐户中的某些项目可能尚未恢复。这不会影响玩家的正常游戏体验。此问题将在未来的更新中完全解决，我们将通过游戏内邮件通知受影响的旅行者。受影响的帐户将通过游戏内消息单独收到通知。” 米哈游还在玩家社区就游戏内黑客事件做出了回应，声称已经封禁使用Kaveh外挂的账户，并警告将对责任者采取法律行动。 “目前，我们已确认该插件的开发者和用户正在社区或视频网站上发布内容，伪装成受害者，迷惑公众，煽动恐慌。”米哈游在推文中说道。 《原神》是一款广受欢迎的动漫风格开放世界探索游戏，支持包括Android、iOS、PS4和Windows在内的多个平台，拥有超过6000万活跃玩家。2022年10月，据GamesRadar报道，《原神》的开发商米哈游（海外公司名HoYoverse）曾遭遇大规模数据泄露，多名米哈游QA测试人员的数据泄露并被在网络上分享，泄露信息包括《原神》3.3到3.8版本的新角色、任务和事件的细节。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/VvW2yaehmkB1SDBQCIM-CA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，新版 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中一个严重远程代码执行漏洞感染设备，漏洞被追踪为 CVE-2023-33246，主要影响 RocketMQ 5.1.0 及以上版本。 据悉，Juniper Threat Labs 安全研究人员发现利用 CVE-2023-33246 漏洞进行 DreamBus 攻击的安全事件，并报告称该攻击在 2023 年 6 月中旬开始激增。 攻击者利用未打补丁的服务器 Juniper Threat Labs 报告称 2023 年 6 月初，第一批利用 CVE-2023-33246 漏洞的 DreamBus 攻击主要针对 RocketMQ 默认 10911 端口以及其他七个端口。 攻击数量时间表（Juniper Threat Labs） 研究人员发现网络攻击者使用 “interactsh “开源侦察工具确定互联网服务器上运行的软件版本，并推断出潜在的可利用漏洞。此外，研究人员还观察到威胁攻击者从 Tor 代理服务下载一个名为 “reketed “的恶意 bash 脚本（该混淆脚本是从 Tor 网站获取的 DreamBus 主模块（ELF 文件）的下载和安装程序，在执行后会被删除，以尽量减少被检测到的机会，可以躲过了 VirusTotal 上反病毒引擎的检测）。 从 Tor 获取有效载荷 DreamBus 主模块采用定制的 UPX 包装，因此能通过所有 VirusTotal AV 扫描而不被发现，该模块有几个 base64 编码的脚本，可执行包括下载恶意软件的附加模块等不同的功能。主模块对这些字符串进行解码以执行任务，例如向 C2 发送在线状态信号、下载 XMRig 开源 Monero 矿机、执行其他 bash 脚本或下载新的恶意软件版本。 XMRig 配置（Juniper Threat Labs） DreamBus 通过设置一个系统服务和一个 cron 作业（两者都设置为每小时执行一次）来确保其在受感染系统上保持持续活跃。 值得一提的是，该恶意软件还包含使用 ansible、knife、salt 和 pssh 等工具的横向传播机制，以及一个能够扫描外部和内部 IP 范围以发现漏洞的扫描仪模块。 DreamBus 的传播模块（Juniper Threat Labs） 研究人员透露，DreamBus 恶意网络活动的主要目标似乎是挖掘门罗币，不过其模块化特性允许网络攻击者随时在未来更新中轻松扩展其它功能。再考虑到 RocketMQ 服务器用于通信，网络攻击者理论上可以决定窃取被入侵设备管理的敏感对话数据，这样的话可能比在被劫持的资源上进行加密货币挖矿具有更大的货币化潜力。 据了解，早期版本的 DreamBus 恶意软件还针对 Redis、PostgreSQL、Hadoop YARN、Apache Spark、HashiCorp Consul 和 SaltStack，因此建议管理员对所有软件产品进行良好的补丁管理，以应对这一网络威胁。     转自Freebuf，原文链接:https://www.freebuf.com/news/376570.html 封面来源于网络，如有侵权请联系删除

最新消息，思科修复了其产品中的多个缺陷，其中包括 NX-OS 和 FXOS 软件中的三个高严重性缺陷。攻击者可以利用这三个问题导致拒绝服务 (DoS) 情况。 以下是供应商在2023 年 8 月 23 日发布的半年度 FXOS 和 NX-OS 软件安全咨询捆绑出版物中解决的缺陷列表。 这家 IT 巨头会在每年 2 月和 8 月的第四个星期三发布 FXOS 和 NX-OS 软件安全公告捆绑包。 最严重的问题被追踪为 CVE-2023-20200（CVSS 评分 7.7），是存在于 Firepower 4100 系列和 Firepower 9300 安全设备的 Cisco FXOS 软件以及 Cisco 的简单网络管理协议 (SNMP) 服务中的 DoS 错误。UCS 6300 系列结构互连。 经过身份验证的远程攻击者可以利用该缺陷在易受攻击的设备上造成拒绝服务 (DoS) 情况。 该公司发布的公告：该漏洞是由于对特定 SNMP 请求的处理不当造成的。攻击者可以通过向受影响的设备发送精心设计的 SNMP 请求来利用此漏洞。成功利用该漏洞可能会让攻击者导致受影响的设备重新加载，从而导致 DoS 情况。此漏洞影响所有受支持的 SNMP 版本。要通过 SNMPv2c 或更早版本利用此漏洞，攻击者必须知道受影响设备上配置的 SNMP 社区字符串。要通过 SNMPv3 利用此漏洞，攻击者必须拥有在受影响设备上配置的 SNMP 用户的有效凭据。 第二个高严重性缺陷为CVE-2023-20169（CVSS 评分 7.4），是影响 Nexus 3000 和 9000 系列交换机的 DoS 问题。该缺陷是由于解析入口 IS-IS 数据包时输入验证不足造成的。威胁参与者可以通过向受影响的设备发送精心设计的 IS-IS 数据包来触发该问题 第三个高严重性缺陷为CVE-2023-20168（CVSS 评分 7.1），影响 NX-OS 软件的 TACACS+ 和 RADIUS 远程身份验证。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Q-g2wL8D7POWG4lpwkyBuQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员发现了一个与Microsoft Entra ID(以前的Azure Active Directory)应用程序相关的特权升级案例，该应用程序利用了一个废弃的回复URL。 Secureworks反威胁小组(CTU)在上周发布的一份技术报告中表示:“攻击者可以利用这个废弃的URL将授权码重定向到自己，将非法获得的授权码交换为访问令牌。然后，攻击者可以通过中间层服务调用Power Platform API，并获得更高的权限。” 在2023年4月5日负责任的披露之后，微软通过一天后发布的更新解决了这个问题。Secureworks还提供了一个开源工具，其他组织可以使用它来扫描废弃的回复URL。 回复URL，也称为重定向URI，指的是一旦应用程序被成功授权并授予授权码或访问令牌后，授权服务器发送给用户的位置。 微软在其文档中指出:“授权服务器将代码或令牌发送到重定向URI，因此在应用程序注册过程中注册正确的位置非常重要。” Secureworks CTU表示，他们发现了一个废弃的Dynamics Data Integration应用程序回复URL，该URL与Azure Traffic Manager配置文件相关联，这使得通过中间层服务调用Power Platform API并篡改环境配置成为可能。 在假设的攻击场景中，黑客可能获取现有服务主体的系统管理员角色，并发送删除环境的请求，以及滥用Azure AD Graph API来收集有关目标的信息，以便进行后续活动。 然而，这是基于受害者点击恶意链接的可能性，该行为会导向Microsoft Entra ID在登录时发出的授权代码被传递给攻击者劫持的重定向URL。 Kroll透露，以docusign为主题的网络钓鱼活动正在增加，这些活动利用开放的重定向，使攻击者能够传播特制的URL，当点击这些URL时，将潜在的受害者重定向到恶意网站。 该公司的乔治·格拉斯说:“通过伪造一个值得信赖的网站URL，攻击者可以更容易地操纵用户点击链接，并欺骗/绕过扫描链接以查找恶意内容的网络技术。这会导致受害者被重定向到一个恶意网站，该网站旨在窃取敏感信息，如登录凭据、信用卡详细信息或个人数据。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

法国政府失业登记和金融援助机构 Pôle emploi 通报一起数据泄露事件，该事件泄露了 1000 万名民众的个人数据信息。Pôle emploi 在新闻稿中声称其一家供应商的信息系统遭到网络破坏，可能会泄露求职者的个人数据信息，主要影响 2022 年 2 月登记的求职者和就业中心的前用户。 虽然  Pôle emploi 并未说明受此事件影响的具体人数，但据《巴黎人报》报道受影响人数估计为 1000 万，其依据是截至 2022 年 2 月，有 600 万人在 Pôle emploi 的 900 个就业中心上进行了登记，另有 400 万人在攻击发生前的 12 个月内进行了登记，这些民众的数据都没有从该机构的系统中删除。 资助项目未受数据泄露事件影响 泄露的民众信息包括全名和社会安全号，但电子邮件地址、电话号码、密码和银行数据没有受到此次数据泄露事件的影响。尽管泄露的数据在网络犯罪活动中的“作用”有限，但 Pôle emploi 还是建议注册求职者对收到的信息保持谨慎，该机构还设立了一条专门的电话支持热线，以解决民众对数据泄漏事件提出的任何疑问和担忧。 Pôle emploi 承诺其内部团队目前正努力确保求职者的数据信息安全，并将继续实施额外保护措施和程序，以防止再次发生类似事件，该机构还表示此次数据泄露事件不会影响其财政援助计划，求职者可放心访问 “pole-employment.fr “在线就业门户网站。 MOVEit 漏洞 安全公司 Emsisoft 在其 MOVEit 页面中列出了 Pôle emploi，并证实有 1000 万民众受到数据泄露事件的影响。 然而，实施大规模 MOVEit 网络攻击的 Clop 勒索软件团伙尚未在其勒索网站上公布法国机构 Pôle emploi。 据悉，就受影响人数而言，Pôle emploi 位居第二，仅次于 Maximus 的 1100 万曝光人数，MOVEit 攻击活动的受影响人数已达 5920 万，涉及 988 个组织。     转自Freebuf，原文链接:https://www.freebuf.com/news/376325.html 封面来源于网络，如有侵权请联系删除

美国联邦调查局于近日警告称，梭子鱼电子邮件安全网关（ESG）的一个重要远程命令注入漏洞的补丁 “无效”，已打补丁的设备仍在不断受到攻击。 该漏洞被追踪为CVE-2023-2868，于2022年10月首次被发现。不法分子通过该漏洞入侵了ESG设备并从被入侵系统中窃取数据。 攻击者部署了以前未知的恶意软件 SeaSpy 和 Saltwater 以及恶意工具 SeaSide，以建立远程访问的反向外壳。 随后CISA 分享了在相同攻击中部署的 Submariner 和 Whirlpool 恶意软件的更多细节。 5月27日，美国网络安全机构还将该漏洞添加到其在野外被积极利用的漏洞目录中，并警告联邦机构检查其网络是否存在漏洞证据。 尽管梭子鱼在5月20日，也就是发现漏洞的第二天，就对所有设备进行了远程修补，并阻止了攻击者对被入侵设备的访问。但可能由于它无法确保完全清除攻击中部署的恶意软件，所以其在6月7日向客户发出了新的警告，称必须立即更换所有受影响的设备， 联邦调查局也警告梭子鱼客户更换设备 联邦调查局现在加强了警告，告知梭子鱼客户应立即隔离和更换被黑客攻击的设备。由于补丁无效，所以客户们即使给设备打好补丁也有被入侵的风险。 联邦执法机构在周三发布的紧急警报[PDF]中警告说：强烈建议客户立即隔离和更换所有受影响的 ESG 设备，并立即扫描所有网络与所提供的入侵指标列表的连接。 联邦调查局观察此次的主动入侵行为后认为梭子鱼 ESG 设备极易容易受到该漏洞的攻击。 另外，FBI已经证实所有被利用的ESG设备，即使是那些由梭子鱼推送补丁的设备，仍然存在被利用的风险。 此外，该机构还建议梭子鱼客户通过扫描与咨询中共享的入侵指标（IOC）列表中的 IP 的出站连接，调查其网络是否存在潜在的其他入侵。 那些在梭子鱼设备上使用企业特权凭据，如活动目录域管理员等用户也被敦促撤销和轮换这些凭据，以确保网络安全。 梭子鱼表示，其安全产品已被全球20多万家企业使用，其中包括三星、达美航空、三菱和卡夫亨氏等知名企业。     转自Freebuf，原文链接:https://www.freebuf.com/news/376173.html 封面来源于网络，如有侵权请联系删除

Group-IB 的最新发现显示，自 2023 年 4 月以来， WinRAR 压缩软件中一个最近修补的安全漏洞已被利用为零日漏洞。 该漏洞被标记为 CVE-2023-38831，允许威胁者仿用文件扩展名，从而在伪装成看似无害的图像或文本文件的压缩包中启动恶意脚本。2023 年 8 月 2 日发布的 6.23 版本修补了这一漏洞，同时修复的还有 CVE-2023-40477。 在新加坡公司于 2023 年 7 月发现的攻击中，通过 Forex Station 等交易相关论坛分发的特制 ZIP 或 RAR 压缩文件被用于传播 DarkMe、GuLoader 和 Remcos RAT 等多种恶意软件。 Group-IB 恶意软件分析师安德烈-波罗文金（Andrey Polovinkin）说：在感染设备后，网络犯罪分子会从经纪人账户中提取资金。目前尚不清楚受害者总人数和由此造成的经济损失。 诱杀压缩文件的创建方式是包含一个图像文件和一个同名文件夹。 因此，当受害者点击图片时，文件夹中的批处理脚本就会被执行，然后用于启动下一阶段，即用于提取和启动其他文件的 SFX CAB 存档。与此同时，脚本还会加载诱饵图片，以免引起怀疑。 波罗文金告诉《黑客新闻》：CVE-2023-38831 是由于在打开 ZIP 压缩包中的文件时出现处理错误造成的。武器化的 ZIP 压缩包已在至少 8 个流行的交易论坛上传播，因此受害者的地理位置非常广泛，攻击并不针对特定的国家或行业。 目前还不知道谁是利用 WinRAR 漏洞进行攻击的幕后黑手。尽管如此，DarkMe 是一种 Visual Basic 木马，归属于 EvilNum 组织，NSFOCUS 于 2022 年 9 月首次记录到它与一个代号为 DarkCasino 的针对欧洲在线赌博和交易服务的网络钓鱼活动有关。 同样使用这种手段传播的还有一种名为 GuLoader（又名 CloudEye）的恶意软件，它随后会尝试从远程服务器获取 Remcos RAT。 Polovinkin 说：最近利用 CVE-2023-38831 的案例提醒我们，与软件漏洞相关的风险始终存在。攻击者手段资源丰富，他们总能找到新的方法来发现并利用漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/376183.html 封面来源于网络，如有侵权请联系删除

Openfire是一款广泛使用的基于Java的开源聊天（XMPP）服务器，下载量达900万次。但成千上万的Openfire服务器仍然容易受到CVE-2023-32315的攻击，这是一个被积极利用的路径漏洞，允许未经身份验证的用户创建新的管理员帐户。 该漏洞影响了2015年4月发布的3.10.0版本，Openfire开发人员发布了4.6.8、4.7.5和4.8.0版本的安全更新来解决这个问题。尽管如此，在6月份，该漏洞仍被积极利用，在未修补的服务器上创建管理用户并上传恶意插件。 正如VulCheck漏洞研究人员在一份报告中强调的那样，OpenFire社区并没有急于应用安全更新，有3000多台服务器仍然存在漏洞。更糟糕的是，有一种方法可以利用该漏洞，在不创建管理帐户的情况下上传插件。 太多未修补的服务器 VulCheck报告称，Shodan扫描显示6324台面向互联网的Openfire服务器，其中50%（3162台服务器）由于运行过时的版本，仍然容易受到CVE-2023-32315的攻击。 只有20%的用户进行了修补，25%的用户使用的版本早于3.10.0，也就是漏洞被引入软件的时候，另有5%的用户运行的开源项目分支可能会受到影响，也可能不会受到影响。虽然这个数字可能并不令人印象深刻，但考虑到这些服务器在通信基础设施、处理敏感信息等方面所扮演的角色，这个数字是巨大的。 更好的PoC CVE-2023-32315利用依赖于创建一个管理员用户，以允许攻击者上传恶意Java JAR插件，这些插件打开反向外壳或在受损服务器上执行命令。     转自E安全，原文链接:https://mp.weixin.qq.com/s/9qvaRZ4ludjdtZzq5rh-4w 封面来源于网络，如有侵权请联系删除

美国 IT 软件公司 Ivanti 今天提醒客户，一个关键的 Sentry API 身份验证绕过漏洞正在被恶意利用。 Ivanti Sentry（前身为 MobileIron Sentry）在 MobileIron 部署中充当 Microsoft Exchange Server 等企业 ActiveSync 服务器或 Sharepoint 服务器等后端资源的守门员，它还可以充当 Kerberos 密钥分发中心代理（KKDCP）服务器。 网络安全公司 mnemonic 的研究人员发现并报告了这个关键漏洞（CVE-2023-38035），未经身份验证的攻击者可以通过 MobileIron 配置服务（MICS）使用的 8443 端口访问敏感的管理门户配置 API。 攻击者利用限制性不足的 Apache HTTPD 配置绕过身份验证控制后，就可以实现这一点。 成功利用后，他们就可以在运行 Ivanti Sentry 9.18 及以前版本的系统上更改配置、运行系统命令或写入文件。 Ivanti 建议管理员不要将 MICS 暴露在互联网上，并限制对内部管理网络的访问。   Ivanti 表示：”截至目前，我们仅发现少数客户受到 CVE-2023-38035 的影响。该漏洞不会影响其他 Ivanti 产品或解决方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM”。 随后，该公司补充说：”在得知该漏洞后，我们立即调动资源修复该问题，并为所有支持版本提供了RPM脚本。我们建议客户首先升级到支持的版本，然后应用专门为其版本设计的 RPM 脚本”。 四月份以来被攻击利用的其他 Ivanti 漏洞 自 4 月份以来，国家支持的黑客已经利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前称为 MobileIron Core）中的另外两个安全漏洞。 其中一个（被追踪为 CVE-2023-35078）是一个重要的身份验证绕过漏洞，该漏洞作为零日漏洞被滥用，入侵了挪威多个政府实体的网络。 该漏洞还可与一个目录遍历漏洞（CVE-2023-35081）结合，使具有管理权限的威胁行为者能够在被入侵系统上部署网络外壳。 CISA在8月初发布的一份公告中说：高级持续威胁（APT）组织至少在2023年4月至2023年7月期间利用CVE-2023-35078作为零日漏洞，从多个挪威组织收集信息，并访问和入侵了一个挪威政府机构的网络。 在CISA与挪威国家网络安全中心（NCSC-NO）发布联合公告之前，本月早些时候曾发布命令，要求美国联邦机构在8月15日和8月21日前修补这两个被主动利用的漏洞。 一周前，Ivant 还修复了其企业移动管理（EMM）解决方案 Avalanche 软件中的两个关键的基于堆栈的缓冲区溢出，被追踪为 CVE-2023-32560，利用后可能导致崩溃和任意代码执行。     转自Freebuf，原文链接:https://www.freebuf.com/news/375839.html 封面来源于网络，如有侵权请联系删除

AMD 最近披露了一个新发现的”Inception”CPU 漏洞，但没有透露任何关于应用缓解措施后性能影响的信息。不过，Phoronix 已经测试了新微码的效果，结果显示性能显著下降。 “Inception”的目的是通过创建一条指令，将 CPU 引导到一个重复函数中，从而误导处理器。这可能会导致潜在的数据泄露，对拥有”敏感数据”的企业来说是灾难性的。此外，该漏洞还扩展到所有 Zen CPU，这给 AMD平台上的消费者带来了令人担忧的局面。 听到 AMD 还没有发布缓解措施，你一定会感到失望；不过，基于内核的缓解措施可以解决 Zen 1 和 Zen 2 CPU 的问题，而 Zen 3 和 Zen 4 用户可能需要等待。不过，AMD 已经发布了针对”Family 19h”处理器（即 EPYC 处理器）的缓解微代码。Phoronix 利用 AMD EPYC 7763 上的微代码获得了基准测试结果，结果确实很有趣。 在深入研究基准测试之前，您将看到在”安全 RET”和其他条件下获得的多种结果。需要说明的是，这些都是 AMD 发布的分级”缓解措施”，其中一些是”基于内核”的，而另一些则完全基于新发布的微代码，因此性能各不相同。 Phoronix 进行了大量测试，尤其是在 Blender 和 Mozilla Firefox 等流行应用程序中。结果显示，新的”缓解措施”对用户应用程序几乎没有影响。下降幅度最大的是 7zip 压缩，性能下降了近 13%。由此得出结论，普通消费者不必担心应用该缓解措施。 然而，在更”密集”的应用程序（如 MariaDB）中却出现了明显的性能下降。性能折损超过了 50%，表明微代码严重影响了基于数据处理的应用程序。 新漏洞层出不穷是业界的常态，性能下降也是其缓解的结果。最近英特尔的”Downfall”就是一个典型的例子，它导致性能下降超过 50%。我们希望这些漏洞能尽快得到解决，因为如果修复时间过长，这些漏洞可能会导致非常惨痛的后果。     转自cnBeta，原文链接:https://www.toutiao.com/article/7268090281315009063/?log_from=723dd0372b274_1692260070216 封面来源于网络，如有侵权请联系删除