安全内参7月25日消息，挪威政府警告称，黑客利用第三方软件的零日漏洞发动网络攻击，12个部委使用的信息通信技术平台受到影响。 据悉，除总理办公室、国防部、司法与公共安全部、外交部之外，挪威其他所有部委均使用该平台。 挪威政府安全和服务组织（DSS）在发现网络攻击后通知了国家安全局（NSM），并协同警方进行调查。挪威数据保护局也已收到有关网络攻击的通报，表明黑客可能已经访问和/或窃取了信息通信技术系统中的敏感数据，导致数据泄露事件。 尽管受到攻击的平台在政府的日常运作中扮演着关键角色，但最近的网络攻击不会导致工作活动陷入停滞。 DSS发布公告解释道：“需要强调的是政府仍将正常运作。DSS已经采取了多项安全措施来保护受影响信息通信技术平台上的信息。DSS还成立了危机小组，并正与国家安全局和其他安全专家一起调查和处理此事件。” DSS总干事Erik Hope表示，黑客利用政府使用的某应用程序中的零日漏洞入侵了信息通信技术平台。 漏洞目前已经得到修复，DSS还实施了额外的安全措施，例如限制部委员工通过移动设备远程访问DSS的信息通信技术平台，尤其是邮件服务，但他们仍然可以正常使用工作设备。 然而，DSS并未提供关于受攻击软件的任何详细信息。因此，目前尚不清楚本次漏洞是否会引发新一轮网络攻击，对其他国家的组织造成影响。 Erik Hope评论说，目前将攻击归因于特定的黑客还为时过早，也无法估计攻击的范围。挪威政府需要等待警方调查找到这些问题的答案。     转自安全内参，原文链接:https://www.secrss.com/articles/57059 封面来源于网络，如有侵权请联系删除

苹果公司发布了安全更新，修复针对 iPhone、Mac 和 iPad 的零日漏洞。 苹果公司在一份公告中描述了一个 WebKit 漏洞，该漏洞被标记为 CVE-2023-37450，已在本月初的新一轮快速安全响应 (RSR) 更新中得到解决。 本次修补的另一个零日漏洞是一个新的内核漏洞，被追标记为 CVE-2023-38606，该漏洞主要针对运行旧版的 iOS 设备。 苹果公司表示：我们注意到有报告称，该漏洞可能已在 iOS 15.7.1 之前发布的 iOS 版本中被主动利用。 攻击者可以在未打补丁的设备上利用它来修改敏感的内核状态。目前苹果公司已通过改进检查和状态管理修复了这两个漏洞。 卡巴斯基 GReAT 首席安全研究员 Boris Larin 称，CVE-2023-38606 是零点击漏洞利用链的一部分，用于通过 iMessage 在 iPhone 上部署 Triangulation 间谍软件。 该公司还向运行 tvOS 16.6 和 watchOS 9.6 的设备回传了 5 月份修复的零日漏洞（CVE-2023-32409）的安全补丁。 苹果通过改进边界检查、输入验证和内存管理，解决了 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 以及 Safari 16.5 中的三个零日漏洞。 本次修复的两个零日漏洞影响的设备非常广，包括各种型号的 iPhone 和 iPad，以及运行 macOS Big Sur、Monterey 和 Ventura 的 Mac。 今年修复的第十一个零日漏洞 自今年年初以来，苹果已经修复了 11 个被攻击者利用的零日漏洞。 本月初的时候，苹果发布了快速安全响应（RSR）更新，以修复影响 iPhone、Mac 和 iPad 的漏洞（CVE-2023-37450）。 但是由于RSR 更新破坏了一些网站的网页浏览，该公司又在两天后发布了漏洞补丁的修复版本。 在此之前，苹果还修复了： 6 月份的三个零点漏洞（CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439） 5 月份又处理了三个零点漏洞（CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373） 4 月份的两个零日漏洞（CVE-2023-28206 和 CVE-2023-28205） 以及 2 月份的另一个 WebKit 零日漏洞（CVE-2023-23529） 总计十一个零日漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/372954.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络会议服务 Apache OpenMeetings 存在多个安全漏洞，Sonar 漏洞研究员 Stefan Schiller 表示网络攻击者可以利用这些漏洞夺取管理帐户的控制权，并在易受影响的服务器上执行恶意代码。 2023 年 3 月 20 日，研究人员披露了漏洞详情，2 个月后。 更新的 Openmeetings 7.1.0 版本中解决了漏洞问题。 漏洞的列表详情如下： CVE-2023-28936 （CVSS 得分：5.3）- 邀请哈希值检查不足； CVE-2023-29032 （CVSS 得分：8.1）- 身份验证绕过，导致通过邀请哈希进行不受限制的访问； CVE-2023-29246 (CVSS 得分：7.2) – 一个 NULL 字节 (%00) 注入，允许具有管理员权限的攻击者执行代码。 据悉，使用 OpenMeetings come 创建的会议邀请不仅绑定到特定的会议室和用户，还会附带一个特定的哈希，应用程序使用该哈希来检索与邀请相关的详细信息。简言之，前两个漏洞与用户提供的哈希与数据库中储存的哈希之间的弱哈希比较有关。此外，还存在一个特别的情况，即允许在没有分配会议室的情况下创建房间邀请，导致出现邀请没有附加会议室的情况。 这时候，网络攻击者就可以利用上述漏洞创建一个会议议程并加入相应的房间，此时会为管理员用户创建一个到不存在房间的邀请。下一步，网络攻击者可以利用弱哈希比较错误来枚举发送的邀请，并通过提供通配符哈希输入来兑换邀请。 Schiller 进一步表示虽然当相关会议议程被删除时，房间也会被删除，但网络攻击者在房间里的存在使这里成为僵尸房间。此外，尽管在兑换此类邀请的哈希时会引发错误，但会为具有此用户完全权限的受邀者创建有效的 web 会话。 换言之，僵尸会议室可能允许攻击者获得管理员权限并对 OpenMeetings 实例进行修改，包括添加和删除用户和组、更改会议室设置以及终止连接用户的会话。 此外，Sonar 表示第三个漏洞源于一项功能，该功能使管理员能够为与 ImageMagick 相关的可执行文件配置路径（ImageMagick 是一种用于编辑和处理图像的开源软件），这就使得具有管理员权限的攻击者可以通过将 ImageMagic 路径更改为“/bin/sh%00x”并触发任意 shell 命令来获得代码执行。 最后，Schiller 强调目前上传一个包含有效图像头和任意 shell 命令的假图像时，转换会产生/bin/sh，第一个参数是假图像，有效地执行了其中的每个命令。结合帐户接管，此漏洞使自注册攻击者能够在底层服务器上远程执行代码。     转自Freebuf，原文链接:https://www.freebuf.com/news/372703.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 7月19日消息，化妆品巨头雅诗兰黛最近遭到了来自两个不同勒索软件的攻击。 在7月18日提交给美国证券交易委员会 (SEC) 的文件中，雅诗兰黛公司证实了其中一次攻击，称攻击者获得了其部分系统的访问权限，并可能窃取了数据。 该公司没有提供有关该事件的太多细节，称其积极采取行动并关闭了一些系统，但已这次攻击似乎是受MOVEit Transfer漏洞的影响，让Clop 勒索软件获得了对该公司的访问权限。在其数据泄露网站上，Clop 列出了雅诗兰黛，并注明已经获取了131GB的数据。 与此同时，BlackCat 勒索软件组织也将雅诗兰黛添加到了受害者名单中，并表示雅诗兰黛对勒索邮件保持沉默让他们感到不满。但BlackCat 在提到雅诗兰黛请来进行调查的安全专家时表示，尽管该公司使用了微软的检测和响应团队 (DART) 和 Mandiant，但网络仍然受到威胁，他们仍然可以访问。 BlackCat表示，他们没有对公司的任何系统进行加密，并补充说，除非雅诗兰黛参与谈判，否则他们将透露有关被盗数据的更多细节，并暗示泄露的信息可能会影响客户、公司员工和供应商。 雅诗兰黛对 BlackCat 的沟通没有做出回应，这表明公司不会与攻击者进行任何谈判。 在向 SEC 提交的文件中，雅诗兰黛重点强调了补救措施，包括恢复受影响的系统和服务，并对可能造成的持续性影响做了评估。     转自Freebuf，原文链接:https://www.freebuf.com/news/372587.html 封面来源于网络，如有侵权请联系删除

云安全公司Orca Security在谷歌云构建（Google Cloud Build）服务中发现了一个关键的设计漏洞，该漏洞会让攻击者的权限升级，使他们可以在未经授权的情况下访问谷歌构件注册表（Google Artifact Registry）代码库。 该漏洞被称为 “Bad.Build”，可使威胁者冒充谷歌云构建管理的服务账户，针对构件注册表运行 API 调用，并控制应用程序映像。 这样，他们就可以注入恶意代码，从而在客户环境中部署恶意软件，导致潜在的供应链攻击。 Orca安全研究员Roi Nisimi表示：潜在的威胁可能是多种多样的，所有使用构件注册中心作为主要或次要镜像库的组织都应该警惕。 最直接的影响是破坏依赖于这些镜像的应用程序。这也可能导致 DOS、数据窃取和向用户传播恶意软件。正如我们在 SolarWinds 以及最近的 3CX 和 MOVEit 供应链攻击中所看到的那样，这可能会产生深远的影响。 Orca Security的攻击利用了cloudbuild.builds.create来升级权限，允许攻击者使用artifactregistry权限来篡改谷歌Kubernetes引擎（GKE）的docker镜像，并以root身份在docker容器内运行代码。 在 Orca Security 报告该问题后，谷歌安全团队实施了部分修复措施，撤销了默认云构建服务账户中与构件注册表无关的 logging.privateLogEntries.list 权限。 但是，这一措施并不能直接解决Artifact Registry中的底层漏洞，权限升级和供应链攻击风险依然存在。 因此，企业必须密切关注谷歌云构建服务账户的行为。应用 “最小特权原则”（Principle of Least Privilege）和实施云检测与响应功能来识别异常从而降低风险。 美国东部时间 7 月 18 日谷歌发表了如下声明： 我们创建了漏洞奖励计划，专门用于识别和修复类似的漏洞。我们非常感谢 Orca 和更多的安全社区参与这些计划。我们感谢研究人员所做的工作，并已根据他们的报告在 6 月初发布的安全公告中进行了修复。 参考链接：https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/     转自Freebuf，原文链接:https://www.freebuf.com/news/372456.html 封面来源于网络，如有侵权请联系删除

近日，思科发布安全报告称，已经解决了一个关键的未经认证的RESTAPI访问漏洞，漏洞编号CV-2023-20214(cvss得分9.1)。该漏洞会影响思科SDS-WAN管理软件，允许攻击者发起远程攻击，并且可以获得设备的读写权限或限制写入权限。 SD-WAN是近几年推出的新方案，正在成为未来的发展趋势之一。SD-WAN，即软件定义广域网络，是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务，旨在帮助用户降低广域网的开支和提高网络连接灵活性。 思科安全公告称，该漏洞是由于使用其他API特性时请求验证不足。攻击者可以通过向受影响的SD-WAN管理设备发送精心制作的API请求来利用这个漏洞，并从设备中获取敏感信息。 思科进一步强调，该漏洞安全性缺陷只会影响其他API，不会影响基于网络的管理界面或CLI。受影响的SD-WAN管理版本如下： v20.6.3.3 – fixed with the release v20.6.3.4 v20.6.4 – fixed with the release v20.6.4.2 v20.6.5 – fixed with the release v20.6.5.5 v20.9 – fixed with the release v20.9.3.2 v20.10 – fixed with the release v20.10.1.2 v20.11 – fixed with the release v20.11.1.2 从思科发布的安全报告可以得知，SD-WAN管理版本20.7和20.8也会遭受影响，对于这些版本的更新，思考建议用户迁移至固定版本。 思科建议企业网络管理员通过以下方式减少攻击面: 使用访问控制列表(ACLS)限制对SD-WAN管理实例的访问； 使用API键访问API； 检查日志，以检测访问其他API的尝试。     转自Freebuf，原文链接：https://www.freebuf.com/news/372376.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 攻击者正在积极利用WooCommerce Payments WordPress插件近期披露的一个严重安全漏洞，作为大规模针对性攻击的一部分。 该漏洞被追踪为CVE-2023-28121 (CVSS得分:9.8)，一种身份验证绕过的情况。漏洞允许未经身份验证的攻击者冒充包括管理员在内的任意用户，并执行一些操作。这可能导致网站被黑客接管。 Wordfence安全研究员Ram Gall在文章中表示:“针对该漏洞的大规模攻击始于2023年7月14日，并持续了整个周末。16日，针对15.7万个站点的攻击达到了130万次。” WooCommerce Payments的4.8.0到5.6.1版本存在风险，超过60万个网站都安装了该插件。WooCommerce早在2023年3月就发布了该漏洞的补丁，WordPress也向使用该软件受影响版本的网站发布了自动更新信息。 这类攻击的一个共同点是使用了HTTP请求标头“X-Wcpay-Platform-Checkout-User: 1”，这导致易受影响的站点将任何额外的有效负载均视为来自管理员的操作。 Wordfence表示，上述漏洞被用于部署WP Console插件。管理员可以使用该插件执行恶意代码，以设置持久性和后门受感染的站点。 Adobe ColdFusion漏洞被利用 Rapid7报告称，从2023年7月13日开始，Adobe ColdFusion漏洞就在多个客户环境中被积极利用，且在受感染的端点上部署web shell。 Rapid7安全研究员Caitlin Condon表示:“攻击者似乎正在利用CVE-2023-29298以及一个次要漏洞。”另外一个漏洞是CVE-2023-38203 (CVSS得分:9.8)，这是一个反序列化漏洞，在7月14日发布的带外更新中得到了解决。 CVE-2023-29298 (CVSS评分:7.5)涉及一个访问控制绕过漏洞，影响ColdFusion 2023、ColdFusion 2021 Update 6及以下，以及ColdFusion 2018 Update 16及以下。 “该漏洞允许攻击者通过在请求的URL中插入额外斜杠字符来访问管理端。”Rapid7上周披露到。他们表示，CVE-2023-29298的修复是不完整的，攻击者仍可以可以通过琐碎的修改来绕过Adobe发布的补丁。 thehackernews建议用户更新到最新版本的Adobe ColdFusion，以防止潜在的威胁，因为修复CVE-2023-38203的程序打破了漏洞利用链。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Security Affairs 网站披露，Adobe 公司警告客户 ColdFusion 中存在一个严重的预身份验证远程代码执行漏洞，该漏洞被追踪为 CVE-2023-29300（CVSS 评分 9.8），目前可能正在被网络威胁攻击者大肆利用。 Adobe 公司在其向客户发送的一份声明中表示，CVE-2023-29300 漏洞问题由 CrowdStrike 的安全研究员 Nicolas Zilio发现的不可信数据的反序列化， Adobe 已经发现 CVE-2023-29300 在针对 Adobe ColdFusion 的非常有限攻击中被攻击者野外利用。 未经认证的访问者可以利用该漏洞在易受攻击的Coldfusion 2018、2021 和 2023 服务器上远程执行命令。 目前，Adobe 没有透露关于 CVE-2023-29300 更多的技术细节，也没有透露威胁攻击者在野外利用它的方式。 值得一提的是，Adobe 在 ColdFusion 中总共解决了三个漏洞，以下是已修复问题的完整列表： 2023 年 3 月，美国网络安全和基础设施安全局（CISA）将 Adobe ColdFusion中关键漏洞 CVE-2023-26360（CVSS评分：8.6）添加到其已知被利用漏洞目录中。 CVE-2023-26360 漏洞属于不当访问控制，可允许远程攻击者执行任意代码，该漏洞还可能导致任意文件系统读取和内存泄漏。     转自Freebuf，原文链接：https://www.freebuf.com/news/372341.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，超过百万 WordPress 网站使用的 All-In-One Security（AIOS）WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中，此举可能危及账户安全。 AIOS 是 Updraft 开发的一体式解决方案，主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具，以阻止机器人并防止暴力攻击。 大约在三周前，一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中，用于跟踪登录、注销和失败的登录事件，还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准， 漏洞的初步报告（wordpress.org） 接到反馈后，Updraft 方面回应称该问题是一个 “已知错误”，并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后，Updraft 支持人员两周前向相关用户提供了即将发布的开发版，但是试图安装开发版的用户仍指出密码日志没有被删除。 修复程序现已发布 7 月 11 日，AIOS 供应商发布了 5.2.0 版本，其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误，该错误导致用户密码以明文形式添加到 WordPress 数据库中。 一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码，此举会带来一些安全问题。此外，一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护，“恶意”管理员就可以轻易接管用户的账户。 除了“恶意”管理员带来的安全风险外，使用 AIOS 的网站还将面临黑客入侵的风险，这些黑客一旦获得网站数据库访问权限，便有可能会以明文形式泄露用户密码。 截止到文章发布，WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本，因此推算大概仍有超过 75 万个网站处于易受攻击状态。 更不幸的是，WordPress 一直以来都是网络攻击者的攻击目标，一些使用 AIOS 的网站可能已经被泄露，再加上该安全问题已经在网上传播了三周多，且 Updraft 没有警告用户暴露风险的增加，因此，可能已经发生了一些安全威胁事件。 最后，使用 AIOS 的网站应该尽快更新到最新版本，并要求用户重置密码。     转自Freebuf，原文链接:https://www.freebuf.com/news/372245.html 封面来源于网络，如有侵权请联系删除

近日，谷歌开始针对Google Play上不断入侵的恶意软件采取反制措施，要求所有以机构名义注册的新开发者账户在提交应用程序之前提供一个有效的D-U-N-S号码。 这项新措施能有效提高平台的安全性和可信度，同时也能够有效遏制新账户提交恶意软件的行为。 通常情况下，Google Play上的恶意软件在提交审核时不包含危险代码或有效载荷，这些代码或有效载荷会在安装后通过更新获取。 虽然违规应用被举报后会从Play Store下架，其开发者也会被封杀。但对于他们来说，想再创建一个新帐户并以新的名称和主题提交相同的危险应用程序非常容易。 为了解决这个漏洞，从2023年8月31日开始，谷歌将要求所有创建新Play Console帐户的开发者必须提供有效的D-U-N-S号码。 D-U-N-S(数据通用编号系统)是由商业数据和商业分析公司Dun & Bradstreet分配给各企业的九位标识符，每个号码都是独一无二的。 向Dun & Bradstreet申请D-U-N-S号码的组织必须提交几份文件来完成验证信息，这个过程可能需要长达30天的时间才能完成。 D-U-N-S是全球公认的专有标准数据通用编号系统。同时，美国政府、欧盟委员会、联合国和苹果公司等均在使用该系统，其市场认可度极高，被认为是十分值得信赖的。 通过要求软件开发商提供D-U-N-S编号，谷歌还将加大恶意应用发行商在应用商店重新注册的难度，一旦被判定为恶意软件被驳回，再想要入驻该平台需重新成立一家新公司。 除上述内容外，谷歌还将更改Play Store应用条目的 “联系方式 “部分，将其更名为 “应用支持”，并增加更多有关开发者的信息。 以前这部分内容仅包含开发者的姓名、电子邮件和所在地，现在还将包括公司名称、完整的办公地址、网站URL和电话号码。 新“应用程序支持”部分的模型，图源：谷歌 这一变化将提高Goole Play服务的透明度，让用户能够更清楚地了解负责每个应用程序的公司。谷歌方面表示，他们将定期核实应用程序开发者提供的信息，以便将其纳入该部分。 如果他们发现任何不一致之处，他们将暂停该帐户在Play Store上发布应用的能力，最终在指定时间后删除现有应用。     转自Freebuf，原文链接:https://www.freebuf.com/news/372077.html 封面来源于网络，如有侵权请联系删除