谷歌宣布，从Chrome浏览器116版本开始，其安全更新频率将从过去的每两周一次压缩为每周一次，以解决攻击者通过补丁更新的时间间隔，利用N Day和0 Day漏洞进行攻击活动。 谷歌表示，Chromium 是一个开源项目，任何人都可以查看其源代码并提交漏洞修复，这些更改、修复和安全更新将添加到 Chrome 的开发版本（Beta/Canary）中，并在将其推送到正式稳定版 Chrome 之前对其进行稳定性、性能或兼容性问题测试。 这一机制虽然有良好的透明度，但也让攻击者有可乘之机，即在这些修复正式推送到稳定版 Chrome的庞大用户群之前在野外利用这些漏洞。 谷歌早在几年前就发现了这个问题，当时补丁间隔平均为 35 天，而在 2020 年，随着 Chrome 77 的发布，谷歌将间隔缩短为每两周更新一次， 通过压缩到每周的更新，Google 进一步缩短了补丁间隔，并将N Day漏洞的利用窗口机会减少到一周，从而可以有效阻止需要更复杂利用路径的漏洞利用。这无疑会对 Chrome 的安全性产生积极影响，但仍不能避免攻击者使用已知技术对某些漏洞进行有效利用。 需要注意的是，Android的生态系统让谷歌难以控制，很多情况下，谷歌发布的补丁需要几个月的时间才能将其引入第三方厂家生产的设备中。     转自Freebuf，原文链接:https://www.freebuf.com/news/374385.html 封面来源于网络，如有侵权请联系删除

今日，谷歌的一位高级研究科学家利用一个漏洞设计了一种新的CPU攻击方法，该漏洞可影响多个英特尔微处理器系列，并允许窃取密码、加密密钥以及共享同一台计算机的用户的电子邮件、消息或银行信息等私人数据。 该漏洞被追踪为CVE-2022-40982，是一个瞬态执行侧通道问题，影响基于英特尔微架构Skylake到Ice Lake的所有处理器。 攻击者利用这个安全漏洞可以提取受软件保护扩展(SGX)保护的敏感信息。SGX是英特尔基于硬件的内存加密技术，可以将内存中的代码和数据与系统上的软件分离开来。 SGX目前仅在服务器中央处理单元上得到支持，并为那些操作系统都无法访问的软件提供可信的隔离环境。 收集秘密数据 谷歌研究员Daniel Moghimi发现了这个漏洞，并将其报告给了英特尔，他说他的垮台攻击技术利用了gather指令，“在推测执行期间泄露了内部矢量寄存器文件的内容”。 Gather是英特尔处理器内存优化的一部分，用于加速访问内存中的分散数据。然而，正如Moghimi在今天发表的一篇技术论文中解释的那样：“gather指令似乎使用了一个跨同级CPU线程共享的临时缓冲区，它将数据暂时转发给后来依赖的指令，数据属于不同的进程，并在同一核心上运行gather执行。” Moghimi开发了两种攻击技术，一种是收集数据采样(GDS)，另一种是收集值注入(GVI)，它将GDS与2020年披露的负载值注入(LVI)技术相结合。 通过使用GDS技术，Moghimi 能够在受控虚拟机之外的另一个虚拟机（VM）上窃取 AES 128 位和 256 位加密密钥，每个系统都位于同一 CPU 内核的同胞线程上。 研究人员可在10 秒内一次性窃取 8 个字节，最终成功窃取了 AES 圆形密钥，并将它们组合起来破解了加密。对于 100 个不同的密钥，AES-128 的首次攻击成功率为 100%。对 AES-256 的首次攻击成功率为 86%。 研究人员指出，尝试失败意味着恢复整个密钥需要多次运行攻击，因为主密钥的数据不会在 10 秒内频繁出现。 除了加密密钥外，Moghimi还提供了 GDS 攻击的变种，这种攻击可以窃取静态的任意数据，因为在两种情况下，CPU 会将这类信息预取到 SIMD 寄存器缓冲区中。 威胁评估和微代码性能影响 Moghimi 指出，Downfall 攻击要求攻击者与受害者在同一个物理处理器内核上。但恶意软件等本地程序有可能利用这一漏洞窃取敏感信息。 去年 8 月，英特尔发现了 Downfall/GDS 漏洞，并与 Moghimi 合作进行了研究，并且目前提供了微码更新来缓解这一问题。 为了给原始设备制造商（OEM）和通信服务提供商（CSP）留出测试和验证解决方案的时间，并为他们的客户准备必要的更新，有关该漏洞的细节保密了近一年。 英特尔告诉 BleepingComputer，该问题不会影响 Alder Lake、Raptor Lake 和 Sapphire Rapids，Downfall 会影响以下三个系列的处理器： Skylake 系列（Skylake、Cascade Lake、Cooper Lake、Amber Lake、Kaby Lake、Coffee Lake、Whiskey Lake、Comet Lake） 虎湖系列 冰湖系列（Ice Lake、Rocket Lake） 英特尔修复和响应工程副总裁 Vivek Tiwari 认为，试图在受控实验室环境之外利用这一点将是一项复杂的工作。 英特尔在给 BleepingComputer 的一份声明中表示，客户可以查看公司提供的风险评估指南，并决定通过 Windows 和 Linux 以及虚拟机管理器（VMM）中的可用机制禁用微码缓解功能。 做出这样的决定可能是出于对Downfall/GDS缓解措施可能带来的性能问题的担忧，也可能是因为该问题对环境不构成威胁。 英特尔为客户提供了威胁评估和性能分析信息，其结论是在某些环境中该问题的影响可能很小。在频繁执行收集指令的情况下，存在潜在影响，这是高性能计算（HPC）环境所特有的。 不过，该芯片制造商表示，由于攻击的条件和这些环境的典型配置，该问题在高性能计算环境中可能不会被视为威胁。 例如，攻击者需要在与目标相同的物理内核上运行，并能够运行不受信任的代码等，而这些在这些环境中并不常见。 基于软件的缓解措施 要消除 Downfall/GDS 攻击的风险，需要重新设计硬件。虽然基于软件的替代方案是存在的，不过这些方案都有注意事项，而且只能暂时解决问题。Moghimi 提出了四种这样的替代方案，其中三种有明显的缺点： 禁用同步多线程（SMT）可部分缓解 GDS 和 GVI 攻击，但削减超线程会带来 30% 的性能损失，而且跨上下文切换的泄漏仍会发生 通过操作系统和编译器禁止受影响的指令，以防止它们向收集泄密；缺点是一些应用程序可能会被打乱，而且如果漏掉某些指令，泄密仍会发生 禁用收集。缺点是使用该指令的应用程序可能会变得缓慢甚至崩溃 防止收集指令后的瞬时数据转发（添加加载栅栏，如 lfence 指令）可减轻 Downfall，这也是英特尔在最新微代码更新中采用的解决方案。 不过，Moghimi 表示，要创建这样的工具并不容易，因为它们需要更好地覆盖硬件和支持的指令，鉴于硬件的复杂性和专有障碍，这是一项具有挑战性的任务。 这位研究人员发布了 Downfall 的代码，以便其他人可以查看和试用。此外，Daniel Moghimi 还计划在美国黑帽安全大会上讨论 Downfall 漏洞和攻击技术。 英特尔发布了 CVE-2022-40982 的安全公告，目前的严重程度为 6.5 级。基于此漏洞，该公司还提供了一份技术文件，以及 Moghimi 关于 Downfall 的采访内容。   转自Freebuf，原文链接:https://www.freebuf.com/news/374376.html 封面来源于网络，如有侵权请联系删除

苏黎世联邦理工学院的研究人员发现了一种新型瞬态执行攻击，能在所有型号的 AMD Zen CPU上执行特定命令并泄露敏感数据。 瞬态执行攻击利用了CPU上的推测执行机制，该机制旨在让CPU处理比较费时的任务时预先设置下一步操作或结果，以此提高CPU性能。但问题在于这可能会留下可供攻击者观察或分析的痕迹，以检索本应受到保护的有价值数据。 研究人员将一种名为“幻影推测”的旧漏洞（CVE-2022-23825）与一种名为“瞬态执行训练”(TTE) 的新瞬态执行攻击相结合，创建了一种更强大的“初始” 攻击。“幻影推测”允许攻击者触发错误预测，在任意 XOR 指令处创建推测执行周期（瞬态窗口）；TTE 则是通过向分支预测器注入新的预测来操纵未来的错误预测，以此来创建可利用的推测执行。 该攻击所能利用的漏洞已被追踪为CVE-2023-20569，允许攻击者使CPU相信XOR指令（简单的二进制运算）是递归调用指令，进而导致攻击者控制的目标地址溢出返回堆栈缓冲区，从而允许攻击者从任何 AMD Zen CPU 上运行的非特权进程中泄露任意数据。 Inception逻辑图 通过此种 Inception攻击实现的数据泄露速率为每秒39 字节，窃取 16 个字符的密码大约需要半秒，窃取 RSA 密钥需要 6.5 秒。 如何防止 Inception 攻击？ 研究人员表示，所有基于 AMD Zen 的 Ryzen 和 EPYC CPU都容易受到 Phantom 和 Inception 的攻击。 尽管研究人员创建的概念验证旨在 Linux 上执行，但这些攻击可能适用于任何使用AMD CPU 的操作系统，因为这是一个硬件缺陷，而不是软件缺陷。 缓解这一问题的策略是在不信任上下文之间切换时，完全刷新分支预测器状态，但在较老的 Zen 1(+) 和 Zen 2 CPU 上会带来 93.1% 到 216.9% 的性能开销。对于 Zen 3 和 Zen 4 CPU，虽然最初缺乏对此缓解策略的足够硬件支持，但 AMD 此后发布了微代码更新以启用此功能，建议基于 Zen 的 AMD 处理器的用户安装最新的微代码更新。 此外，AMD最新表示，Inception只能在本地被利用，例如通过下载恶意软件，并建议客户采用安全最佳实践，包括运行最新的软件和恶意软件检测工具。目前AMD 尚未发现研究环境之外对Inception有任何利用。     转自Freebuf，原文链接:https://www.freebuf.com/news/374277.html 封面来源于网络，如有侵权请联系删除

黑客可利用常旅客系统漏洞窃取客户隐私数据和积分，甚至控制整个系统给任何人授予无限飞行里程或酒店住宿积分。 Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日，安全研究人员发现Points.com的API中存在可利用漏洞，攻击者可利用这些漏洞泄漏客户数据、窃取客户的“忠诚货币”（例如里程），甚至接管Points全球管理帐户获得对整个忠诚度计划的控制权。 知名航空公司和酒店通常有自己的常旅客或所谓忠诚度（积分）奖励计划，许多此类计划的数字基础设施（包括达美航空的“飞凡里程常客计划”、美联航的前程万里(MileagePlus)、希尔顿的荣誉客会和万豪旅享家）都搭建在Points.com的平台上，后端系统和服务套件包括API也都由Points.com提供。 黑客可授予任何用户无限里程 研究人员IanCarroll、ShubhamShah和SamCurry在今年3月至5月期间向Points报告了一系列严重漏洞，此后所有漏洞均已得到修复。 其中一个漏洞允许研究人员从PointsAPI基础设施的一个部分遍历到另一个内部系统，进而能够查询奖励计划客户订单。该系统包含2200万条订单记录，其中包含客户奖励帐号、地址、电话号码、电子邮件地址和部分信用卡号码等数据。Points.com对系统一次可以返回的响应数量进行了限制，这意味着攻击者无法立即转储整个数据库。但研究人员指出，随着时间的推移，查找特定个人或慢慢从系统中吸取数据是可能的。 研究人员发现的另一个漏洞是API配置问题，攻击者可能仅凭姓名和会员编号即可为任何用户生成帐户授权令牌。这两条数据可以来自以前的数据泄漏事件，也可以通过利用第一个漏洞获取。有了这个令牌，攻击者就可以接管客户帐户，并将里程或其他奖励积分转移给自己，从而“掏空”受害者的帐户。 研究人员还发现另外两个类似的漏洞，其中一个仅影响维珍航空的VirginRed常旅客计划，另一个仅影响美联航的前程万里常旅客计划。（Points.com已经修复了这两个漏洞） 最重要的是，研究人员在Points.com全球管理网站中还发现了一个漏洞，其中分配给每个用户的加密cookie使用了易于猜测的秘密（“秘密”一词本身，即secret）进行加密，这使得研究人员可以轻松解密Points.com的cookie，重新分配网站的全局管理员权限，重新加密cookie，并可开启“上帝模式”访问任何积分奖励系统，甚至授予帐户无限里程或其他好处。 行业共享平台成黑客重点目标 “令我惊讶的是，世界上几乎每个大品牌都使用Points的忠诚度积分系统，”Shah说道：“从这一点来看，我很清楚，发现Points系统中的漏洞将对每家使用其忠诚度后端的公司产生连锁效应。我相信，一旦其他黑客意识到以Points为目标意味着他们能在忠诚度系统上窃取无限的积分，Points.com将成为热门攻击目标。” Points发言人CarrieMumford在一份声明中表示：“作为我们正在进行的数据安全活动的一部分，Points最近与一群熟练的安全研究人员合作，研究系统中潜在的网络安全漏洞。”“没有证据表明这些信息存在恶意或滥用行为，安全研究人员访问的所有数据均已被销毁。与任何负责任的披露一样，Points在得知该漏洞后立即采取行动，解决并修复所报告的问题。我们的补救措施已经通过第三方网络安全专家的审查和验证。” 发现漏洞的研究人员证实，Points的修复措施有效，而且Points在解决这些披露问题方面反应非常积极且协作。该小组之所以发掘Points的系统漏洞，部分原因是长期以来对忠诚奖励计划的内部运作感兴趣，其中一位安全研究人员本人甚至经营着一个优化里程和销售机票的旅游网站。该事件也从侧面表明安全研究人员开始将关注重点放在那些向众多企业或机构提供共享基础设施的行业平台上。 与此同时，越来越多的不法分子也开始将行业关键业务平台作为重点目标，进行供应链攻击并开展间谍活动，或发现广泛使用的软件和设备中的漏洞并利用它们进行网络犯罪攻击。 “我们正在努力寻找高影响力的系统和平台，因为这些平台一旦遭到攻击者入侵，可能会造成重大损失，”Curry说：“我认为很多公司掌握了超过预期的海量数据和系统，但他们不一定会认真评估自己的数据安全能力。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/c2ezQSA7u-eOd1rSK-xYFQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络罪犯通常会利用40多种常见漏洞，攻击全球范围内“没坏就不修”的系统。一份新的报告显示，他们使用旧软件漏洞的频率比新发现的漏洞要高。他们的主要目标是未打补丁并面向互联网的系统。 据CISA在内的国际网络安全机构联合编写的网络安全咨询报告，许多软件漏洞或漏洞链的概念验证代码是公开的，并受到了恶意网络行为者更广泛的利用。 关键、广泛、公开的漏洞为网络犯罪分子提供了低成本、高影响的工具。他们可以连续几年使用这些漏洞，因为组织在修补他们的系统方面进展缓慢。 常规利用的漏洞列表包括40多个条目。 大多数利用已知漏洞的成功可以在公开披露后的两年内实现，因为随着软件的更新或升级，这些漏洞的价值会逐渐降低。 报告写道:“黑客可能会优先开发严重的、全球普遍存在的常见漏洞和暴露的漏洞。” 及时打补丁会降低此类攻击的有效性，并促使黑客更加努力地工作，采用更昂贵、更耗时的方法。 零日漏洞攻击或供应链操作通常由老练的黑客执行。 网络安全机构建议供应商、开发人员和最终用户组织识别最容易被利用的漏洞，实施适当的缓解措施，遵循安全软件设计和开发实践，并相应地改善其网络安全状况。 建议以“及时更新IT网络资产上的软件、操作系统、应用程序和固件”开头。完整建议列表包括网络安全卫生的所有基本实践: 例行执行自动资产发现 实现健壮的补丁管理流程 记录所有IT/OT组件的安全基线配置 定期执行安全系统备份 维护更新的网络安全事件响应计划 对所有用户实施防网络钓鱼的多因素身份验证(MFA) 对所有VPN连接强制MFA 定期审查、验证或删除特权帐户 根据最小权限原则配置访问控制 正确配置和保护面向internet的网络设备 实现零信任网络架构(ZTNA) 持续监控攻击面 减少第三方应用程序和独特的系统/应用程序构建 与软件供应商讨论他们的设计安全程序 12个最容易被利用的漏洞: CVE-2018-13379.对该漏洞的持续利用，影响了Fortinet SSL vpn，表明许多组织未能及时修补软件，仍然容易受到黑客的攻击。 CVE-2021-34473, CVE-2021-31207, CVE-2021-34523. ProxyShell漏洞影响Microsoft Exchange电子邮件服务器。利用允许远程参与者执行任意代码。这些漏洞存在于微软客户端访问服务中，该服务通常暴露在互联网上，允许用户通过移动设备和web浏览器访问他们的电子邮件，该服务在微软互联网信息服务(IIS)(例如，微软的web服务器)的443端口上运行。 CVE-2021-40539.此漏洞允许Zoho ManageEngine ADSelfService Plus中未经身份验证的远程代码执行(RCE)，并且与使用过时的第三方依赖项有关。 CVE-2021-26084.此漏洞影响Atlassian Confluence服务器和数据中心(政府和私营公司使用的基于网络的协作工具)。它可以使未经身份验证的网络参与者在易受攻击的系统上执行任意代码。这一漏洞在披露后一周内发布了概念验证后，迅速成为最常被利用的漏洞之一。 CVE-2021-44228. 这个被称为Log4Shell的漏洞影响了Apache的Log4j库，这是一个被整合到全球数千种产品中的开源日志框架。参与者可以通过向易受攻击的系统提交特制的请求来利用此漏洞，从而导致执行任意代码。该请求允许网络行为者完全控制系统。 CVE-2022-22954, CVE-2022-22960. 这些漏洞允许在VMware Workspace ONE Access、Identity Manager和其他VMware产品中使用RCE、特权升级和身份验证绕过。具有网络访问权限的恶意网络行为者可能触发服务器端模板注入，从而导致远程代码执行。 CVE-2022-1388.此漏洞允许未经身份验证的攻击者绕过F5 BIG-IP应用交付和安全软件上的iControl REST身份验证。 CVE-2022-30190. 此漏洞影响Windows中的Microsoft Support诊断工具(MSDT)。未经身份验证的远程网络攻击者可以利用此漏洞控制受影响的系统。 CVE-2022-26134.此严重的RCE漏洞影响Atlassian Confluence和数据中心。该漏洞最初可能是在2022年6月公开披露之前作为零日漏洞被利用的。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近期黑客挟持企业的facebook帐号的攻击行动，有不少是通过脸书广告，打着提供生成式AI机器人应用程序的名义，散布窃资软件来进行，但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手，并将钓鱼网站架设于脸书脸书内嵌应用程序平台的域网域上，从而回避系统的侦测，并骗取受害组织的脸书帐号。 云平台的系统管理工具有可能遭到滥用，因此成为黑客的“木马程序”, 研究人员揭露利用AWS EC2系统管理工具System Manager的攻击手法，攻击者有可能透过这项工具管理其他组织的AWS EC2实体。 已被用于攻击Citrix NetScaler系统存在的零时差漏洞CVE-2023-3519，有研究人员揭露初步调查结果，他们找到640台服务器已被部署了后门，并强调这可能仅是受害范围的冰山一角。 Guardio揭露CRM平台Salesforce的漏洞PhishForce，黑客借此漏洞绕过该CRM平台的寄件人验证措施，并滥用脸书内嵌应用程序平台，来大规模发送钓鱼邮件。 研究人员指出，黑客滥用了Email-to-Case的功能，该功能主要是让组织能将客户寄入的电子信件转换为Salesfoce系统传递的处理工单，但黑客将其用来设置新的工作流程，进而控制Salesforce产生的电子邮件信箱，并产生 salesforce.com 域的内部信箱，且将其设置为组织全局的电子邮件信箱，然后用于发送钓鱼邮件， 而能绕过Salesforce的验证措施，以及组织设置的邮件安全系统。 在其中一起攻击行动里，黑客假借Meta的名义，声称收信人的脸书帐号出现异常，一旦依照指示点选信中链接，就会被带往架设在脸书内嵌应用程序平台（apps.facebook.com）的钓鱼网页。 对此，Salesforce获报后着手修补漏洞，Meta移除钓鱼网页，并着手调查黑客如何滥用该脸书内嵌应用程序平台。     转自E安全，原文链接:https://mp.weixin.qq.com/s/e66rx1ptF_oAJ2Iw8ng8Qw 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，柏林工业大学（Technical University of Berlin）的研究人员开发出一种新技术，可以破解特斯拉近期推出所有车型上使用的基于 AMD 的信息娱乐系统，并使其运行包括付费项目在内的任何软件。 实验过程中，研究人员提取特斯拉在其服务网络中用于汽车身份验证的唯一硬件绑定 RSA 密钥，并通过电压故障激活软件锁定的座椅加热和 “加速度提升”等付费功能。研究人员向 Bleeping Computer 分享了许多实验细节，并表示研究内容将在 2023 年 8 月 9 日举行的 BlackHat 2023 演讲中发表。（演讲题目为《2023 年的电动汽车越狱或特斯拉基于 x86 的座椅加热器热启动的意义》。 研究人员之所以能够利用基于该团队之前 AMD 研究的技术入侵信息娱乐系统，是发现了故障注入攻击可以从平台中提取机密。特斯拉的信息娱乐 APU 基于易受攻击的 AMD Zen 1 CPU，因此研究人员可以尝试利用之前发现的漏洞实现越狱。 研究人员进一步解释称为此正在对 AMD 安全处理器（ASP）使用已知的电压故障注入攻击，作为系统信任的根源。首先，研究人员介绍了如何使用低成本的非自带硬件来安装闪烁攻击，以颠覆 ASP 的早期启动代码。然后，展示了如何逆向设计启动流程，从而在他们的恢复和生产 Linux 发行版上获得 root shell”。 此后，通过获得 root 权限，研究人员可以自由地进行任意更改，以在信息娱乐系统重启和特斯拉的“空中传送”更新后幸存下来。研究人员还可以访问和解密存储在汽车系统中的敏感信息，如车主的个人数据、电话簿、日历条目、通话记录、Spotify 和 Gmail 会话 cookies、WiFi 密码以及出行记录。 通过越狱，攻击者能够提取受 TPM 保护的证明密钥，特斯拉使用该密钥对汽车进行身份验证，验证其硬件平台的完整性，并将其迁移到另一辆汽车。研究人员强调，除在特斯拉网络上模拟汽车 ID 外，这也有助于在不受支持的地区使用汽车或进行独立维修和改装。 至于破解特斯拉信息娱乐系统需要哪些工具？研究人员克里斯蒂安-韦林（Christian Werling）指出仅仅需要一个烙铁和价值 100 美元的电子设备（如 Teensy 4.0 电路板）就足够了。 值得一提的是，研究人员已经负责任地向特斯拉披露了他们的发现，汽车制造商正在对发现的问题进行补救。特斯拉在接到警示后通知研究人员他们启用后座加热器的概念验证是基于旧版本的固件，在较新的版本中，只有在特斯拉提供有效签名（并由网关检查/强制执行）的情况下，才能对该配置项进行更新。 然而，Werling 告诉 BleepingComputer，在最新特斯拉软件更新中，密钥提取攻击仍然有效，这个漏洞目前仍然可以被潜在的攻击者利用。最后，对于一些新闻媒体声称越狱可以解锁特斯拉全自动驾驶（FSD）一事，研究人员表示此事是假的。     转自Freebuf，原文链接:https://www.freebuf.com/news/374071.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，五眼联盟网络安全机构、CISA、美国国家安全局（NSA）和联邦调查局（FBI）联合发布了一份 2022 年最容易被利用的 12 个漏洞清单，五眼联盟网络安全机构呼吁全球各地的实体组织尽快部署补丁管理系统，解决安全漏洞问题，以最大限度地降低潜在的网络风险。 联合公告中指出在 2022 年，相比对新披露漏洞的利用，网络威胁攻击者越来越多地将攻击重点放在“过时”的软件漏洞上，特别是针对未修补和暴露在互联网上的系统。值得一提的是，许多软件漏洞或漏洞链的概念验证（PoC）代码都是公开的，这就为网络攻击者利用漏洞提供了便利。 此外，截至 2022 年底，常见漏洞和暴露（CVE）计划公布了超过 25000个新安全漏洞，但同年只有 5 个新漏洞进入网络攻击中最常用前12个漏洞名单中。以下是 2022 年被利用最多的 12 个安全漏洞列表，以及国家漏洞数据库条目的相关链接： 第一个漏洞被追踪为 CVE-2018-13379，是一个 Fortinet SSL VPN 漏洞，该公司在 2019 年 5 月修复该洞。问题。据悉，CVE-2018-13379 漏洞被某些具有国家背景的黑客用来入侵美国政府选举支持系统。 公告中还重点介绍了另外 30 个经常被用来入侵世界各地实体组织的漏洞，包括关于安全团队如何减少利用这些漏洞进行攻击的信息。为确保系统安全并降低入侵风险，供应商、设计人员、开发人员和最终用户组织应该根据公告中列出的缓解措施，尽快修复。 今年 6 月，MITRE 就已经公布了过去两年中持续存在的 25 个最普遍、最危险的软件漏洞；两年前，MITRE 还分享了最危险的编程、设计和架构硬件安全漏洞；CISA 和 FBI 还发布了 2016 年至 2019 年被利用最多的十大安全漏洞汇编。 最后，美国国家安全局网络安全局技术总监尼尔-齐林（Neal Ziring）一再警告如果各实体组织继续使用未打补丁的软件和系统，就会给网络威胁攻击者留下容易被利用的漏洞，较早的漏洞更是为网络攻击者“访问”实体组织的敏感数据提供了便利。     转自Freebuf，原文链接:https://www.freebuf.com/news/373882.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员在亚马逊云平台（AWS）中发现了一种新的后渗透漏洞，能允许 AWS 系统管理器代理（SSM 代理）作为远程访问木马在 Windows 和 Linux 环境中运行。 Mitiga的研究人员Ariel Szarf和Or Aspir在与The Hacker News分享的一份报告中说：“SSM代理是管理员用来管理实例的合法工具，攻击者如果在安装SSM代理的端点上获得了高权限访问，就可以重新利用它来持续开展恶意活动。” SSM Agent是一个安装在Amazon EC2实例上的软件，使管理员可以通过统一界面更新、管理和配置其 AWS 资源。 使用 SSM 代理作为木马具有诸多优点，能受到端点安全解决方案的信任，并且无需部署可能触发检测的其他恶意软件。为了进一步混淆视听，攻击者可以使用自己的恶意 AWS 帐户作为命令和控制 (C2) 来远程监控受感染的 SSM 代理。 Mitiga 详细介绍的后渗透技术假定攻击者已经拥有在安装并运行了 SSM Agent 的 Linux 或 Windows 端点上执行命令的权限，这需要将 SSM Agent 注册为在 “混合 “模式下运行，允许与 EC2 实例所在的原始 AWS 账户之外的不同 AWS 账户通信。这会导致 SSM 代理从攻击者拥有的 AWS 账户执行命令。 另一种方法是使用Linux 命名空间功能启动第二个 SSM 代理进程，该进程与攻击者的 AWS 账户进行通信，而已在运行的 SSM 代理则继续与原始 AWS 账户进行通信。 最后。Mitiga 发现 SSM 代理功能可能被滥用，将 SSM 流量路由到攻击者控制的服务器（包括非 AWS 账户端点），从而允许攻击者控制 SSM 代理而无需依赖AWS 基础设施。 Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件，以检测任何异常活动迹象，并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。     转自Freebuf，原文链接:https://www.freebuf.com/news/373738.html 封面来源于网络，如有侵权请联系删除

该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。 上周六，Minecraft安全社区MMPA的研究人员在一篇博客中提醒游戏用户，《Minecraft》游戏的部分1.7.10/1.12.2模组中存在一个已被多次利用的重大安全漏洞，该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。 据了解，微软旗下的热门游戏《Minecraft》是有史以来销量最高的视频游戏，已售出超过2.38亿份，每月活跃玩家接近1.4亿。MMPA称，BleedingPipe漏洞允许黑客在玩家设备和运行Minecraft模组的服务器上执行完整的远程代码。 根据MMPA的说法，热门模组平台Forge使用了不安全的反序列化代码（反序列化是将复杂数据从序列化格式转换回其原始形式的过程，能够方便存储或传输。如果实施不慎，可被攻击者利用并实现远程代码执行），BleedingPipe漏洞已经被多次利用，该平台上的许多Minecraft模组都受到了影响（数量超过三十个）。已知受影响的模组包括但不限于以下几个：EnderCore（EnderIO的前置模组）、LogisticsPipes、BDLib（1.7-1.12版本）、Smart Moving 1.12、Brazier、DankNull和Gadomancy。并且，只要安装了受影响的模组，任何Minecraft版本都可能受到此漏洞的影响。 这个Minecraft漏洞最早是在2022年3月被发现。当时mod开发团队GTNH为此发布了一个修复补丁。然而，7月初，一位名为Yoyoyopo5的Minecraft玩家在一个带有Forge模组的公共服务器上进行直播时，攻击者利用BleedingPipe漏洞获取了对所有连接玩家设备的控制权并执行了代码。Yoyoyopo5在其帖子中报告了这一事件，称黑客利用这个访问权限从Discord和Steam中窃取了会话cookie。 在最初的报告之后，研究人员发现黑客对IPv4地址空间上的所有Minecraft服务器进行了扫描，并在受影响的服务器上部署了恶意载荷。为降低安全风险，MMPA给出了如下建议： 对于服务器管理员：建议检查服务器中的可疑文件，并更新/删除受此漏洞影响的模组。由于恶意软件通常会感染系统上的其他模组，因此建议在所有已安装的模组上运行jSus或jNeedle之类的程序。 对于玩家：如果游戏玩家不在服务器上游玩游戏，则不受影响。否则建议检查可疑文件，运行杀毒软件进行防病毒扫描。     转自安全内参，原文链接:https://www.secrss.com/articles/57334 封面来源于网络，如有侵权请联系删除