8月14日，波多黎各自治区最大的银行——人民银行向缅因州司法部长提交了一份客户信息泄露报告。该报告指出，由于供应商普华永道使用的MOVEit软件存在安全漏洞，导致银行82217名储户的个人信息被泄露。 目前，波多黎各人民银行已经陆续通知了数千名银行用户，向其告知数据泄露的安全风险，并表示普华永道会计师事务所一直为银行提供相应的审计服务，双方已经连续合作超过二十年。 由于其工作性质和要求，使得该银行必须要和普华永道贡献客户信息，以便后者可以完成财务报表方面的独立审计工作，从而造成了此次客户数据泄露事件。 MoveIt作为软件公司Progress Software旗下一款产品，是被多国企业和政府客户广泛使用的文件共享工具。由于其产品本身存在漏洞，被俄罗斯勒索软件组织 Clop发现并进行攻击，引发多个企业出现数据泄露的危机。 自从6月初爆发以来，Clop 勒索软件团伙已经利用这个漏洞渗透和利用了100多个组织，其中包括施耐德和西门子这样的实体能源巨头，也有提供行业并购数据服务的虚拟数据室服务商 。 此外，德勤(Deloitte)、安永(EY)、高盛(Goldman Sachs)、杰富瑞(Jefferies)、摩根大通(JPMorgan)、毕马威(KPMG)和瑞银(UBS)等多家金融巨头，此外，杰克逊国家银行、美国联邦地方在内的政府机构也没有幸免。 报告指出，波多黎各人民银行泄露的个人信息包括姓名、社会安全号码、抵押贷款号码以及其他抵押相关字段等。在发现漏洞后，普华永道表示已经及时停止使用该软件，并在企业内部开展相关安全调查。 报告最后部分指出，银行将会为存在数据泄露风险的客户免费提供两年的 Equifax安全风险监控服务，同时分享了几种可有效缓解数据泄露带来安全威胁的方法。     转自Freebuf，原文链接:https://www.freebuf.com/news/375127.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 近日，2000余个思杰(Citrix) NetScaler实例被一个后门所破坏。该后门将最近披露的一个武器化后的关键安全漏洞，作为黑客大规模攻击的一部分。 NCC集团在周二发布的一份报告中表示:“攻击者似乎以自动的方式利用了CVE-2023-3519漏洞，在易受攻击的NetScaler上放置了web shell，以获得持久访问权限。” “攻击者可以用这个webshell执行任意命令，即使NetScaler打了补丁和/或重新启动也无济于事。” CVE-2023-3519是指影响NetScaler ADC和网关服务器的关键代码注入漏洞，可能导致未经身份验证的远程代码执行。思杰(Citrix)公司于上个月打了补丁。 一周前，Shadowserver基金会表示，他们发现了近7000个易受攻击、未打补丁的NetScaler ADC和网关实例。“该漏洞正在被滥用，在易受攻击的服务器上投放PHP web shell以进行远程访问。” NCC集团的后续分析显示，1,828台NetScaler服务器仍然存在后门，其中大约1,248台已经针对该漏洞打了补丁。 该公司表示:“这表明，虽然大多数管理员都意识到了这个漏洞，并且已经将他们的NetScaler打了补丁，安装为不受攻击的版本，但他们并没有(适当地)检查安装是否成功。” 总的来说，该公司在1952个不同的NetScaler设备中发现了多达2,491个web shell。大多数被泄露的实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。 除了欧洲之外，另一个值得注意的方面是，虽然加拿大、俄罗斯和美国上个月底有数千个易受攻击的NetScaler服务器，但没有在其中任何一个服务器上发现web shell。 截至2023年7月21日，在31,127个易受CVE-2023-3519影响的NetScaler实例中，有6.3%受到了大规模攻击。 Mandiant还发布了一个开源工具，帮助组织扫描他们的思杰设备，寻找与CVE-2023-3519相关的开发后活动的证据。   消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，纽约大学和鲁汶大学的研究人员发现大多数VPN产品中都存在长达二十多年的多个漏洞，攻击者可利用这些漏洞读取用户流量、窃取用户信息，甚至攻击用户设备。 “我们的攻击所需的计算资源并不昂贵，这意味着任何具有适当网络访问权限的人都可以实施这些攻击，且不受VPN安全协议限制。换而言之，无论VPN使用何种安全协议，所发现的漏洞都可能被滥用。即使是声称使用“军用级加密”或使用自行开发的加密协议的VPN（包括微软和苹果操作系统的内置VPN）也可能受到攻击。”纽约大学的Nian Xu声称： “即使受害者使用了HTTPS加密，我们的攻击也会泄露用户正在访问哪些网站，这可能会带来重大的隐私风险。” 四大数据泄露漏洞危及全球VPN客户端 研究者发现的四个普遍存在的VPN漏洞的CVE编号分别是：CVE-2023-36672、CVE-2023-35838、CVE-2023-36673和CVE-2023-36671。 CVE-2023-36672：LocalNet攻击导致明文流量泄漏。参考CVSS分数为6.8。 CVE-2023-35838：LocalNet攻击导致流量阻塞。参考CVSS分数为3.1。 CVE-2023-36673：ServerIP攻击与DNS欺骗相结合，可以将流量泄漏到任意IP地址。参考CVSS分数为7.4。 CVE-2023-36671：ServerIP攻击，只有VPN服务器真实IP地址的流量才会被泄露。参考CVSS分数为3.1。 第一对漏洞可在LocalNet攻击中被利用，即当用户连接到攻击者设置的Wi-Fi或以太网时（下图）： 后一对漏洞可被攻击者或恶意互联网服务提供商(ISP)所利用，通过不受信任的Wi-Fi/以太网发动ServerIP攻击。 ServerIP攻击示意图 研究人员表示：“这两种攻击都会操纵受害者的路由表，诱骗受害者将流量发送到受保护的VPN隧道之外，从而使对手能够读取和拦截传输的流量。” 除了数据泄露，此类攻击还产生另外一个风险：VPN通常用于保护较旧或不安全的协议，VPN防护失效意味着攻击者随后可以攻击较旧或不安全的协议，例如RDP、POP、FTP、telnet等。 研究者公布了多种攻击的视频演示 （https://www.youtube.com/watch?v=vOawEz39yNY&t=52s），还发布了可用于检查VPN客户端是否易受攻击的脚本（https://github.com/vanhoefm/vpnleaks）。 研究人员补充说：“一旦足够多的VPN设备修补了有关漏洞，如果有必要和/或有益，攻击脚本也将被公开发布。” 苹果设备VPN客户端几乎“全军覆没” 在测试了许多消费者和企业级VPN解决方案后，研究人员发现苹果设备上的VPN客户端几乎全军覆没（无论是Mac电脑、iPhone或iPad），Windows和Linux设备的VPN也很容易受到上述一种或两种攻击。在Android设备上，只有四分之一左右的VPN应用程序容易受到攻击——这可能与Android“精心设计”的API有关。 如上图所示，大多数Windows、macOS和iOS的内置VPN客户端都容易受到攻击，超过三分之一的Linux上的VPN客户端也是如此。 研究人员表示，他们并不知道这些漏洞是否在野外被利用，如果有的话，也很难发现。 据悉，研究人员已经向一些VPN供应商通报了他们发现的漏洞，其中一些供应商已经修复了漏洞，但却没有在更新说明中提及（以遵守研究人员在其研究发表之前的保密要求）。 研究人员在论文的末尾提供了各种设备上经过测试的VPN应用程序的完整列表，可供用户检查自己的VPN应用/客户端是否容易受到攻击。 缓解建议 研究人员指出：“一些VPN产品已经修复漏洞，包括Mozilla VPN、Surfshark、Malwarebytes、Windscribe（可以导入OpenVPN配置文件）和Cloudflare的WARP。” 思科已确认其适用于Linux、macOS和Windows的思科安全客户端和AnyConnect安全移动客户端容易受到CVE-2023-36672的影响，但仅限于特定的非默认配置。Mulvad则表示只有其iOS应用程序容易受到LocalNet攻击。 如果用户的VPN安全更新不可用，研究人员给出的建议是通过禁用本地网络访问来缓解LocalNet攻击。用户还可以通过确保网站使用HTTPS来缓解攻击，现在大多数网站都支持HTTPS。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/66_qEv_K-CS3psoD9EaioQ 封面来源于网络，如有侵权请联系删除

近日，微软安全专家透露，德国工业软件巨头欧德神思（Codesys）的系统中存在15个高危安全漏洞，可导致电厂关停或重要关基系统信息被窃取。2022年9月，微软情报威胁专家Vladimir Tokarev向Codesys报告了Codesys Control V3 3.5.19.0 之前版本存在的安全漏洞。2023年4月Codesys发布了相关漏洞的补丁。 总部位于德国的德国工业软件巨头欧德神思（Codesys）提供工控系统的自动化软件，广泛存在于大量设备中——500 多家制造商生产的大约 1,000 种不同类型的产品。 这15个安全漏洞的编号为CVE-2022-47379到CVE-2022-47393，均属于高危评级，其中多数评分为8.8/10，可被用于拒绝服务 (DoS) 攻击或远程代码执行 (RCE)。其中的12个漏洞为缓存溢出漏洞，可用于对PLC实现远程代码执行。但需要攻击者可以绕开身份验证，以及绕过数据执行保护（DEP）和地址空间配置随机加载（ASLR）措施。 安全专家认为，这些漏洞利用的难度不低，攻击者不仅需要需要绕过身份认证或窃取登录凭证，还需要深入了解 Codesys V3 的专有协议和协议使用的不同服务的架构。但考虑到这些的漏洞极大风险——可能导致工厂停工和切断电力，专家强烈建议尽快修补漏洞。 微软公司在博客中发布了相关漏洞的列表：     转自安全内参，原文链接:https://www.secrss.com/articles/57788 封面来源于网络，如有侵权请联系删除

2023年年初，Synack Red Team (SRT) 成员 Neil Graves、Jorian van den Hout 和 Malcolm Stagg 发现了CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189 漏洞 。 2023年7月，总部位于法国的软件公司 Iagona 在其 ScrutisWeb 网络应用程序的 2.1.38 版本中修补了这些漏洞。 一直以来，Synack 红队（SRT）全球安全研究人员经常会在 Synack 客户的基础架构和网络服务器中发现漏洞，在某些 Synack 目标上，SRT 成员可以相互协作，最大限度地发挥广泛的技能组合。 在最近与 Synack 客户的一次合作中，SRT 某团队发现了 ScrutisWeb 中存在的软件缺陷，ScrutisWeb 是一种用于监控银行和零售 ATM 机群的安全解决方案。 ScrutisWeb的开发商Iagona表示，ScrutisWeb可通过任何浏览器访问，帮助全球各组织监控自动取款机，并在出现问题时缩短响应时间。ATM 机群可包括支票存款机等敏感设备以及连锁餐厅的支付终端。 ScrutisWeb 具有一系列功能： 重新启动或关闭一个终端或整个机群 检索银行服务信息 监控（ATM）银行卡读卡器 发送和接收文件（至 ATM） 远程修改数据（在自动取款机上） 目标枚举 Synack 客户在此次合作中有超过 1,000 个唯一 IP 地址需要评估。在初步侦查期间，安全研究人员注意到有一个网络服务器向访问者发送了一个超大的 23MB JavaScript 文件。该文件中包含一个允许客户端下载服务器 webroot 中完整路径的函数： this.window.location.href = “/Download.aspx?folder=” + name； 安全研究人员发现，提供”/”的文件夹名称会导致 ScrutisWeb 压缩整个网络根，并将其作为下载文件发送到浏览器。于是他们按照设计的功能使用该功能下载了网络根目录。在检查 Download.aspx 时发现它调用了 “Scrutis.Front.dll “库，该库似乎负责处理大部分用户功能。 CVE-2023-33871： 绝对路径遍历 安全研究人员还注意到 “Download.aspx “的参数为 “文件 “或 “文件夹”。同时，他们还很快就找到了真正有趣的部分，即处理单个文件下载的字符串： str = !path1.Contains(“:”) ? this.Server.MapPath(path1) : path1.Contains(“:”)； 这段代码查看的是作为 URL 的 “file “参数传递给该方法的 “path1 “变量。如果参数中不包含冒号，网络服务器将返回与网络根相关的文件，例如，”https://example.com/Download.aspx?file=thisfile.txt “将下载位于 “https://example.com/thisfile.txt “的文件。但是，如果参数中包含冒号，网络服务器就会返回与系统相关的文件，例如 “https://www.example.com/Download.aspx?file=c:\file.txt” 将下载服务器上位于 “c:\file.txt “的文件。成功！我们可以从服务器上下载配置、日志和数据库。 CVE-2023-35189： 远程代码执行 安全研究人员进一步检查 Scrutis.Front.dll 后，发现了 AddFile() 方法。AddFile() 接受多部分表单 POST 请求，并将上传的文件存储到网络目录”/Files/telechar/”中。 这意味着未经身份验证的用户可以上传任何文件，然后通过网络浏览器再次查看。其中一个问题是，最终存放上传文件的目录已被配置为允许解释和执行上传的脚本。我们创建了一个运行简单命令 “ipconfig /all “的概念验证（poc.asp），并将其上传到服务器。随后，他们访问了 “https://[redacted]/poc.asp “网站，服务器执行了系统命令 “ipconfig /all “并返回了响应，成功命令注入。 通常，人们会认为 RCE 是漏洞利用链的高潮。在这种情况下，通过利用其余漏洞获取 ATM 控制器的用户访问权限，可以实现更大的恶意价值。可以在 Scrutis.Front.dll 中找到每个有漏洞的调用，并在未经身份验证的情况下使用。 CVE-2023-38257： 不安全的直接对象引用 安全研究人员发现 GetUserDetails 方法原型是将单个整数作为 HTTP POST 请求的输入。[HttpPost］public UIUser GetUserDetails([FromBody] int idUser) 同时， idUser 参数似乎是一个从数字 1 开始的连续整数值。通过向该函数发送数字为 1 的 POST，服务返回了用户 “administrateur “的信息，包括加密密码。 CVE-2023-35763 硬编码加密密钥 由于密码显然已加密，安全研究人员决定尝试逆向工程加密机制。在方法名称中搜索 “crypt “一词，显示了一个解密函数，该函数将密码文本作为输入，并返回一个明文 UTF8 字符串。该函数中有一行披露了明文字符串，该字符串被用作加密/解密用户密码的加密密钥： public static string Decrypt(string cipherString, bool useHashing) { … numArray = cryptoServiceProvider.ComputeHash(Encoding.UTF8.GetBytes(“ENCRYPTIONKEY”))； … return Encoding.UTF8.GetString(bytes)； } 安全研究人员编写了一个简单的 python 脚本，它可以获取使用 CVE-2023-38257 发现的加密密码，并将密码解密为明文。至此已经可以以管理员身份登录 ScrutisWeb了。 影响 CVE-2023-38257 和 CVE-2023-35763 这两个漏洞让以管理员身份登录 ScrutisWeb 管理控制台成为可能。恶意行为者可以监控机群中各个自动取款机的活动。控制台还允许将 ATM 降为管理模式、上传文件、重新启动和完全关闭。需要进行进一步检查，以确定是否可以将定制软件上载到个别自动取款机上，以执行银行卡外渗、Swift 转账重定向或其他恶意活动。不过，此类额外测试不在评估范围之内。 CVE-2023-35189 还可用于清除 ScrutisWeb 上的日志，并删除恶意行为者曾在那里活动的证据。从客户端基础架构中的这一立足点可能会发生额外的漏洞利用，使其成为恶意行为者面向互联网的支点。 修复漏洞：更新至 ScrutisWeb 2.1.38 版 值得一提的是，Iagona 非常重视安全问题，在及时向研究人员通报进展的同时，还迅速解决了四个发现的问题。     转自Freebuf，原文链接:https://www.freebuf.com/news/374875.html 封面来源于网络，如有侵权请联系删除

据bleepingcomputer消息，福特汽车供应商的安全人员向福特公司报告了一个安全漏洞，漏洞编号 CVE-2023-29468。该漏洞位于汽车信息娱乐系统集成的 WiFi 系统 WL18xx MCP 驱动程序中，允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。 资料显示，SYNC3 是一款现代信息娱乐系统，支持车载 WiFi 热点、电话连接、语音命令、第三方应用程序等，YNC3 信息娱乐系统被广泛应用与多款福特和林肯汽车上。 受影响的汽车型号如下所示： 该漏洞发布后，安全研究人员与福特汽车公司、供应商和其他汽车制造商合作，承诺将很快推出相关漏洞补丁，客户可通过USB安装到车辆上，以保护其客户、产品和企业免受影响。 福特汽车公司发布公告称，尚未有任何证据表明该漏洞已经被黑客利用，原因在于利用WiFi软件漏洞需要较为扎实的黑客技术，且攻击者还需在物理上靠近已打开点火装置和 Wi-Fi 设置的车辆。 福特汽车公司进一步指出，哪怕该漏洞已经被利用，也不会影响车辆乘坐人员的人身安全，因为该漏洞只纯在于娱乐系统集成中，转向、油门和制动等控制装置有专门的防火墙保护。“如果用户担心该漏洞带来风险，可通过 SYNC 3 信息娱乐系统的设置菜单关闭 WiFi 功能。” 事实上，随着汽车智能化程度持续提升，所包含的安全漏洞也越来越多，福特、大众、丰田等知名汽车制作商屡屡被曝出存在安全漏洞，直接影响用户的使用体验和安全。 英国消费杂志《Which》曾联合网络安全公司Context Information Security发布报告称：大众、福特两大汽车行业巨头计算机系统存在大量安全漏洞，可导致车辆监控、预警系统发出错误信息，误导驾驶员行驶判断，并泄露娱乐系统中的相关敏感信息。 报告显示，大众Polo SELTSI手动1.0L的汽车计算机系统中，负责车辆湿滑路面行驶时牵引力控制的模块存在安全漏洞，黑客可借此获取车辆信息娱乐系统中存储的电话号码、地址以及导航历史记录等敏感信息。 此外，研究人员还发现，只要抬起汽车前部的大众徽章就能进入前雷达模块，黑客可通过这一动作进一步篡改车辆碰撞预警系统。 报告数据显示，福特汽车的安全漏洞似乎更严重一些。研究人员发现，他们使用亚马逊的“廉价笔记本电脑和售价25英镑的渗透小工具”，就能拦截篡改福特福克斯车型上由轮胎压力监控系统（TPMS）发送的消息，比如，在轮胎没有充气时错误地报告轮胎已经正确充气，以此干扰驾驶员做出正确的行驶判断。 在更进一步的分析中，福特计算机系统的代码中还被发现了一些包括wifi详细信息和一个似乎是福特生产线计算机系统的密码，扫描过后，确认该网络属于是福特位于密歇根州底特律的装配厂。同样的，福特汽车中也存在应用程序随时共享车辆敏感信息的现象。 安全研究人员所测试的这两款车型在世界范围内的购买率十分之高，一旦这些漏洞被黑客组织用于投入实战进行攻击，后果不堪设想。     转自Freebuf，原文链接:https://www.freebuf.com/news/374817.html 封面来源于网络，如有侵权请联系删除

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。 CERT 协调中心（CERT/CC）在周五的一份公告中说：当整个 URL 都以空白字符开头时，urlparse 就会出现解析问题。”这个问题会影响主机名和方案的解析，最终导致任何拦截列表方法失效”。 该漏洞为 CVE-2023-24329，CVSS 得分为 7.5。安全研究员 Yebo Cao 于 2022 年 8 月发现并报告了该漏洞。该漏洞已在以下版本中得到解决： >= 3.12 3.11.x >= 3.11.4 3.10.x >= 3.10.12 3.9.x >= 3.9.17 3.8.x >= 3.8.17 3.7.x >= 3.7.17 urllib.parse 是一个广泛使用的解析函数，可将 URL 分解为各个组成部分，或将各个组成部分合并为一个 URL 字符串。 CVE-2023-24329 的出现是由于缺乏输入验证，从而导致有可能通过提供以空白字符开头的 URL（例如 ” https://youtube[.]com”）来绕过 blocklisting 。 该漏洞可以帮助攻击者绕过主机设置的保护措施，同时在多种场景下助力 SSRF 和 RCE。     转自Freebuf，原文链接:https://www.freebuf.com/news/374733.html 封面来源于网络，如有侵权请联系删除

近日，AudioCodes桌面电话和Zoom的Zero Touch Provisioning (ZTP)被曝存在多个安全漏洞，恶意攻击者可能利用这些漏洞进行远程攻击。 SySS安全研究员Moritz Abrell在周五（8月11日）发表的一份分析报告中提到：外部攻击者可利用在AudioCodes公司的桌面电话和Zoom公司的Zero Touch Provisioning功能中发现的漏洞远程控制这些设备。 这种不受约束的访问权限可以通过设备透视和攻击企业网络窃听房间或电话，甚至建立一个由受感染设备组成的僵尸网络。这项研究已在上周早些时候举行的美国黑帽安全大会上发表。 这个问题的根源其实在于 Zoom 的 ZTP，它允许 IT 管理员以集中的方式配置 VoIP 设备，从而使企业能够在需要时轻松地监控、排除故障和更新设备。这是通过部署在本地网络中的网络服务器为设备提供配置和固件更新来实现的。 具体来说，在从 ZTP 服务检索配置文件时，发现它缺乏客户端验证机制，从而导致攻击者有可能触发从恶意服务器下载恶意固件。 该研究进一步揭示了AudioCodes VoIP桌面电话(支持Zoom ZTP)的加密例程中存在不适当的身份验证问题，这些例程允许解密敏感信息，例如密码和配置文件，这些信息通过电话使用的重定向服务器传输，以获取配置。 这两个弱点，即未经验证的所有权错误和认证硬件中的缺陷，可能会被塑造成一个漏洞链，通过滥用Zoom的ZTP并触发任意设备安装它来提供恶意固件。 当这些漏洞结合在一起时，可以用来远程接管任意设备。由于这种攻击具有高度可扩展性，因此可能构成重大的安全风险。 大约一年前，这家德国网络安全公司发现了微软Teams Direct Routing功能中的一个安全问题，该问题可能使安装容易受到收费欺诈攻击。 Abrell当时就曾表示过：外部未经身份验证的攻击者能够发送特制的SIP消息，并假扮这些消息是来自微软。这样受害者的会话边界控制器就会将这些消息正确分类。从而让那些未经授权的外部电话通过受害者的电话进行拨打。     转自Freebuf，原文链接:https://www.freebuf.com/news/374724.html 封面来源于网络，如有侵权请联系删除

近期，来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞，能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。 研究人员发现漏洞的软件版本涉及三大主流系统，分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其内部定制的EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞（padding oracle）攻击漏洞，能让网络监听者恢复加密网络传输的明文，从而泄露敏感信息。在iOS中虽然发现了漏洞，但并不清楚具体的利用方式。 恢复的数据示例摘录，第 11 行包含键入的文本 EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段，将敏感流量安全地传输到未加密的搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下，研究人员认为这些请求是安全的，但EncryptWall 请求的底层加密技术中可能存在任何缺陷。 研究人员发现，CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击，信息的明文可以一个字节一个字节地恢复，每个字节最多使用 256 条信息。这种攻击依赖于一种称为填充预言的侧通道的存在，它可以明确地揭示接收到的密文在解密时是否被正确填充。 研究人员于今年5月31日向搜狗报告了次漏洞，最终修复版本于7月20日正式发布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），强烈建议搜狗输入法的用户立刻升级至上述版本。 根据研究人员的报告，搜狗输入法是最受欢迎的中文输入法，占中文输入法用户的70%，每月活跃用户超过4.55 亿。     转自Freebuf，原文链接:https://www.freebuf.com/news/374555.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞，每天发动数千次网络攻击活动。据悉，漏洞被追踪为 CVE-2017-18368，是路由器设备远程系统日志转发功能中存在的严重性未验证命令注入漏洞（CVSS v3：9.8），Zyxel 已于 2017 年修补了该漏洞。 早在 2019 年，Zyxel 就强调当时的新变种 Gafgyt 可能会利用该漏洞发动网络攻击，敦促仍在使用旧固件版本的用户尽快升级到最新版本，以保护其设备免遭接管。然而自 2023 年 7 月初以来，Fortinet 仍能够监测到平均每天 7100 次的攻击活动，且攻击数量持续至今。 Fortinet 发布警报表示截止到 2023 年 8 月 7 日，FortiGuard 实验室持续监测到利用 CVE-2017-18368 漏洞的攻击活动，并在过去一个月中阻止了超过数千个独特 IPS 设备的攻击企图。 试图利用 Zyxel 路由器中的 CVE-2017-18368 漏洞（来源：Fortinet ） Fortinet 指出虽然目前还尚不清楚观察到的攻击活动中有哪一部分成功感染了设备，但自 7 月份以来，攻击活动一直保持稳定。值得一提的是，CISA 近期发布了 CVE-2017-18368 在野外被利用的情况，并将该漏洞添加到其已知利用漏洞目录中，要求联邦机构在 2023 年 8 月 28 日前修补 Zyxel 漏洞。 为应对漏洞利用的爆发，Zyxel 又更新了安全公告，提醒客户 CVE-2017-18363 只影响运行 7.3.15.0 v001/3.40(ULM.0)b31 或更旧固件版本的设备，运行 2017 年为修复漏洞而推出的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受影响。 此外，Zyxel 表示 P660HN-T1A 在几年前就已达到报废年限。因此，强烈建议用户将其更换为更新一代的产品，以获得最佳保护。 路由器感染恶意软件常见迹象包括连接不稳定、设备过热、配置突然改变、反应迟钝、非典型网络流量、开放新端口和意外重启，如果怀疑自己的设备受到网络恶意软件的攻击，用户可以执行出厂重置，将设备固件更新到最新版本，更改默认的管理员用户凭据，并禁用远程管理面板，只从内部网络管理设备。     转自Freebuf，原文链接:https://www.freebuf.com/news/374532.html 封面来源于网络，如有侵权请联系删除