分类: 漏洞

Terra 区块链曝出被忽视七个月的 DeFi 漏洞 致 9000 万美元资金被窃取

上周,一名 Terra 社区成员意外发现了某个被疏忽七个月的 DeFi 漏洞,并且得到了 BlockSec 安全分析师的证实。2021 年 10 月,DeFi 应用程序 Mirror Protocol 在旧 Terra Mirror Protocol 建立在 Terra 区块链之上,然而在 TerraUSD(UST)稳定币失去与美元的锚定之后,其姊妹代币 Luna 在本月早些时候也被拖累到几乎一文不值。 在经历了混乱的几周后,社区投票通过了硬分叉的 Terra 2.0 以消弭影响,而原始链则倍改名为 Terra Classic 。 区块链上遭受了 9000 万美元的攻击损失,但社区直到上周才意识到它的存在。据悉,Mirror Protocol 允许用户使用合成资产,对科技股进行做多或做空。 本文提到的漏洞,由 Terra 社区成员兼分析师“FatMan”曝光。这对最新推出的 Terra 2.0 区块链,他也是最直言不讳的反对者之一。 同时安全公司 BlockSec 通过分析特定的漏洞利用交易,证实了 FatMan 的这一发现。 可知每当有人想要在 Mirror 上做空时,其必须将包括UST、LUNA Classic(LUNC)和 mAssets 在内的抵押品锁定至少 14 天。 交易结束后,用户可解锁抵押品、并将资产释放回钱包,且所有相关操作都是在智能合约生成的 ID 号的帮助下完成的。 然而由于代码上的 Bug,报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 ID 来提取资金。 于是 2021 年 10 月,某个不知名的实体发现了这一漏洞,并借此利用重复 ID 列表来反复解锁数以百倍的抵押品 —— 基本上意味着肇事者能够在没有任何授权的情况下提取资金。 后续的区块链记录表明,该实体总共撬走了约 9000 万美元的资金。然而更让人感到无语的是,这一漏洞直到七个月后才被人曝光。 通常情况下,为透明起见,项目放都会尽快向公众通报安全事件 —— 即便类似 Mirror Protocol 漏洞的事件相当罕见。 BlockSec 指出:与 ETH 和兼容区块链相比,在 Terra 上扫描相关问题的人较少,因而该漏洞才迟迟未被公众所知晓。 此外 Mirror 网站上没有可以查看协议中抵押品总量的界面,这使得在不筛选大量区块链数据的情况下,更难发现相关漏洞。 本月早些时候,大约在 UST 稳定币开始崩溃的同时,Mirror 开发人员悄悄修复了该漏洞 —— 补丁发布一周后,社区成员开始怀疑是否存在漏洞。 当然,这并不是黑客首次盯上加密货币的区块链协议。比如 2022 年 3 月,在黑客从 Ronin 侧链窃走 6 亿美元之后一周,无法提取资金的人们才意识到有糟糕的事情发生。 最后,被美国证券交易委员会(SEC)调查的 Mirror Protocol 尚未就此事发表官方评论。 The Block 向 Mirror / Terraform Labs 团队发去了置评请求,但截止发稿时,它们都未予置评。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1275465.htm 封面来源于网络,如有侵权请联系删除

微软发现 Android 预装应用受高危漏洞影响

5月27日,微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601, CVSS评分在 7.0分-8.9分之间, 能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样,如果没有获得设备的 root 访问权限,一些受影响的应用程序就无法完全卸载或禁用。 在微软公开披露这些漏洞之前,mce Systems 已修复问题并向受影响的提供商提供框架更新,但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本,如果用户安装了包名为 com.mce.mceiotraceagent的应用,其设备也可能会受到试图滥用这些漏洞的攻击,建议用户及时清除这些应用,并更新至最新的系统版本。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334690.html 封面来源于网络,如有侵权请联系删除

OAS 平台受关键 RCE 和 API 访问漏洞的影响

Bleeping Computer 网站消息,威胁分析专家披露开放自动化软件(OAS)平台存在安全漏洞,漏洞可导致设备访问、拒绝服务和远程代码执行受到严重影响。 众所周知,OAS 平台是一个广泛使用的数据连接解决方案,它将工业设备(PLC、OPC、Modbus)、SCADA 系统、物联网、网络点、自定义应用程序、自定义 API 和数据库结合在一个整体系统下。 另外,OAS 平台还是一个灵活的多功能硬件和软件连接解决方案,能够促使来自不同供应商的专有设备和应用程序之间数据传输,并将数据连接到公司特定的产品、定制软件等。 目前,包括米其林、沃尔沃、英特尔、JBT AeroTech、美国海军、Dart Oil and Gas、General Dynamics、AES Wind Generation等在内的一些高知名度工业实体,都在使用 OAS。 鉴于 OAS 用户众多,平台中的漏洞可能会使关键工业部门面临中断和机密信息泄露的风险。 严重漏洞 根据思科 Talos 的一份报告显示,OAS 平台 16.00.0112 及以下版本容易受到一系列高危漏洞的影响,可能会带来破坏性的网络攻击。 其中最危险的 CVE-2022-26833 漏洞,严重性等级为 9.4(满分 10 分),主要涉及 OAS 中未经授权的访问和使用 REST API功能。 思科表示,REST API 旨在为“默认”用户提供对配置更改和数据查看的编程访问权限,但 Talos 研究人员能够通过发送一个带有空白用户名和密码的请求来进行身份验证。 未使用任何凭据进行身份验证 攻击者可以通过向易受攻击的端点,发送一系列特制的 HTTP 请求来利用该漏洞。 另外一个关键漏洞追踪为 CVE-2022-26082,评级为 9.1(满分 10 分),是 OAS 引擎 SecureTransferFiles 模块的一个文件写入漏洞。 据思科称,向有漏洞的端点发送一系列特制的网络请求可能导致任意远程代码执行。思科 Talos 表示,通过向 OAS 平台发送格式正确的配置消息,有可能将任意文件上传到底层用户允许的任何位置。 默认情况下,这些消息可以被发送到 TCP/58727,一旦成功,将由具有正常用户权限的用户 oasuser 处理。这种情况使得远程攻击者能够将新的 authorized_keys 文件上传到 oasuser 的 .ssh 目录中,从而可以通过 ssh 命令访问系统。 Cisco Talos 发现的其他高严重性漏洞(CVSS:7.5)如下: CVE-2022-27169:通过网络请求获得目录列表 CVE-2022-26077:针对账户凭证的信息泄露 CVE-2022-26026:拒绝服务和丢失数据链接 CVE-2022-26303和CVE-2022-26043:外部配置更改和创建新用户和安全组 针对上述漏洞,思科提供了一些缓解建议,主要包括禁用服务和关闭通信端口,如果用户不能立刻升级到较新版本,这些措施是个不错的选择。 当然,最好的修复方式还是升级到较新版本,上述两个关键漏洞已在 16.00.0.113 版本中得到修复,建议立刻升级到最新版本。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334469.html 封面来源于网络,如有侵权请联系删除

PoC 代码已公布,这个 VMware auth 高危漏洞需尽快修补

据Bleeping Computer网站5月26日消息,VMware 已在近期发布了安全更新,以解决影响 Workspace ONE Access、VMware Identity Manager (vIDM) 或 vRealize Automation 的 CVE-2022-22972 漏洞。该漏洞属于多个 VMware 产品中的一个关键身份验证绕过漏洞,能允许攻击者获得管理员权限。 随着漏洞被修补,Horizon3 安全研究人员在26日发布了针对该漏洞的概念验证 (PoC) 漏洞利用和技术分析。 研究人员表示,CVE-2022-22972是一个相对简单的主机标头漏洞,攻击者可以较为容易的开发针对此漏洞的利用。虽然Shodan 搜索引擎仅显示了有限数量的 VMware 设备受到针对此漏洞的攻击,但仍有一些医疗保健、教育行业和政府组织成为攻击目标的风险正在增加。 具有严重后果的安全漏洞 VMware曾警告:“此漏洞的后果很严重。鉴于漏洞的严重性,我们强烈建议立即采取行动。”美国网络安全和基础设施安全局 (CISA)也曾发布新的紧急指令进一步强调了此安全漏洞的严重程度,该指令命令联邦民事执行局 (FCEB) 机构紧急更新或从其网络中删除 VMware 产品。 今年4 月,VMware 修复了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另外两个严重漏洞:一个远程代码执行错误 (CVE-2022-22954) 和一个root权限提升漏洞(CVE-2022-229600)。尽管 CVE-2022-22972 VMware auth bypass 尚未在野外被利用,但攻击者已能够在这两个漏洞披露的 48 小时内部署了系统后门和植入了挖矿木马。 网络安全机构表示,CISA 预计攻击者能够迅速开发出针对这些新发布的漏洞,在相同受影响的 VMware 产品中进行利用的能力。 延伸消息:博通宣布将以610亿美元收购VMware 当地时间5月26日,无线通信巨头博通公司(Broadcom)宣布,已经就收购VMware达成了协议,收购金额达到了610亿美元,并承担VMware 80亿美元的债务。一旦收购完成,博通软件部门将更名为VMware继续运营,并将现有的基础设施和安全软件解决方案与VMware产品进行整合。CNBC称,这是仅次于微软收购动视暴雪,戴尔收购EMC之后的全球第三大科技行业并购。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334457.html 封面来源于网络,如有侵权请联系删除

谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备

谷歌的威胁分析小组(TAG) 表示,国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商Cytrox开发的Predator间谍软件。部分攻击活动开始于2021年8月至2021年10月之间,攻击者利用针对Chrome和Android 操作系统的零日漏洞在最新的Android设备上植入Predator 间谍软件。 Google TAG成员Clement Lecigne和Christian Resell说:“这些漏洞是由一家商业监控公司 Cytrox 打包并出售给不同的政府支持的参与者,这些参与者至少在三个活动中使用了这些漏洞。”根据谷歌的分析,购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这些发现与CitizenLab于2021年12月发布的关于Cytrox雇佣间谍软件的报告一致,当时其研究人员在逃亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。Nour的手机也感染了NSO Group的Pegasus间谍软件,根据 CitizenLab 的评估,这两种工具由两个不同的政府客户操作。 这些活动中使用的五个以前未知的0-day漏洞包括: Chrome中的 CVE- 2021-37973、  CVE-2021-37976、  CVE-2021-38000、  CVE-2021-38003 Android中的 CVE-2021-1048 威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击: 活动 #1 -从Chrome 重定向到 SBrowser (CVE-2021-38000) 活动 #2 – Chrome 沙盒逃逸(CVE-2021-37973、CVE-2021-37976) 活动 #3 – 完整的 Android 0day漏洞利用链(CVE-2021-38003、CVE-2021-1048) 谷歌TAG分析师表示,“这三个活动都通过电子邮件向目标Android用户提供了模仿 URL 缩短服务的一次性链接。但它们是有限制的,根据我们的评估,活动目标数量每次都是几十个用户。当目标用户单击后,该链接会将目标重定向到攻击者拥有的域,该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接失效,则用户被直接重定向到合法网站。”这种攻击技术也被用于记者和其他一些被警告说是政府支持的攻击目标的谷歌用户。在这些活动中,攻击者首先安装了带有 RAT功能的Android Alien银行木马,用于加载Predator Android植入程序,并允许录制音频、添加 CA 证书和隐藏应用程序。 该报告是2021年7月对当年在Chrome、Internet Explorer 和 WebKit (Safari) 中发现的其他四个 0day漏洞的分析的后续报告。正如 Google TAG 研究人员透露的那样,与俄罗斯外国情报局 (SVR) 有关联的俄罗斯支持的政府黑客利用 Safari 零日漏洞攻击西欧国家政府官员的 iOS 设备。谷歌TAG 周四补充说:“TAG正在积极跟踪30多家向政府支持的参与者出售漏洞或监视设备的供应商,这些供应商的复杂程度和公开曝光程度各不相同。” 转自 Freebuf,原文链接:https://www.freebuf.com/news/333988.html 封面来源于网络,如有侵权请联系删除

VMware 修补了多个产品中的关键身份验证绕过漏洞

Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。 据悉,该漏洞被追踪为 CVE-2022-22972,最早由 Innotec Security 的 Bruno López 发现并报告,恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。 漏洞主要影响了 Workspace ONE Access、VMware Identity Manager(vIDM)和 vRealize Automation,目前尚不清楚是否在野被利用。 敦促管理员立即打补丁 漏洞披露不久后,VMware 发布公告表示,鉴于该漏洞的严重性,强烈建议用户应立刻采取行动,根据 VMSA-2021-0014 中的指示,迅速修补这一关键漏洞。 VMware 还修补了另外一个严重本地权限升级安全漏洞(CVE-2022-22973),攻击者可以利用该漏洞在未打补丁的设备上,将权限提升到 “root”。 受安全漏洞影响的 VMware 产品列表如下: VMware Workspace ONE Access (Access) VMware身份管理器(vIDM) VMware vRealize Automation (vRA) VMware云计算基础 vRealize Suite Lifecycle Manager 通常情况下,VMware 会在大多数安全公告中加入关于主动利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明。 其他临时解决方案 VMware 还为不能立即给设备打补丁的管理员提供了临时解决方法。具体步骤是,要求管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务。临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁。 因此 VMware 不建议应用临时方法,想要彻底解决 CVE-2022-22972 漏洞,唯一方法是应用 VMSA-2021-0014 中提供的更新补丁。 值得一提的是,4月份,VMware 还修补了 VMware Workspace ONE Access和VMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333590.html 封面来源于网络,如有侵权请联系删除

NVIDIA 修复了 Windows GPU 显示驱动程序中的十个漏洞

NVIDIA发布了针对各种显卡型号的安全更新,解决了其GPU驱动程序中的四个高危漏洞和六个中危漏洞。该安全更新修复了可能导致拒绝服务、信息泄露、特权提升、代码执行等的漏洞。这些更新已适用于Tesla、RTX/Quadro、NVS、Studio 和 GeForce 软件产品,涵盖驱动R450、R470 和 R510等类型。有趣的是,除了积极支持的当前和最近的产品线,NVIDIA的更新还涵盖了GTX 600和 GTX 700 Kepler系列显卡,这类产品在2021年10月就停产了。NVIDIA此前承诺将继续为这些产品提供关键安全更新,直至2024年9月,而此次驱动程序更新兑现了这一承诺。 本月修复的四个高严重性缺陷是: CVE-2022-28181(CVSS v3 得分:8.5) – 由通过网络发送的特制Shader导致的内核模式层越界写入,可能导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改。 CVE-2022-28182(CVSS v3 得分:8.5)——DirectX11 用户模式驱动程序存在缺陷,允许未经授权的攻击者通过网络发送特制的共享并导致拒绝服务、权限升级、信息泄露和数据篡改。 CVE-2022-28183(CVSS v3 分数:7.7)- 内核模式层中的漏洞,非特权普通用户可能导致越界读取,这可能导致拒绝服务和信息泄露。 CVE-2022-28184(CVSS v3 得分:7.1) – DxgkDdiEscape 的内核模式层 (nvlddmkm.sys) 处理程序中的漏洞,普通非特权用户可以访问管理员特权寄存器,这可能导致拒绝服务、信息泄露,以及数据篡改。 这些漏洞对权限要求低且无需用户交互,因此它们可以被整合到恶意软件中,从而允许攻击者执行具有更高权限的命令。前两个可以通过网络利用,而另外两个可以通过本地访问来利用,这对于感染低权限系统的恶意软件仍然很有帮助。 发现CVE-2022-28181和CVE-2022-28182的Cisco Talos今天还发布了一篇文章,详细介绍了他们如何通过提供格式错误的Compute Shader来触发内存损坏漏洞,威胁行为者可以通过WebAssembly和WebGL在浏览器中使用恶意Shader。 对于CVE-2022-28181,Talos说“特制的可执行/ shader文件可能导致内存损坏。这个漏洞可能由运行虚拟化环境(即 VMware、qemu、VirtualBox 等)的虚拟机触发,以执行虚拟机到主机的逃逸。理论上这使用webGL和webassembly的Web浏览器也可能触发漏洞。” 有关本月涵盖的所有修复程序以及每个软件和硬件产品的更多详细信息,请查看NVIDIA官网的安全公告。建议所有用户尽快应用已发布的安全更新。用户可以从NVIDIA的下载中心找到他们型号的最新更新。但是如果用户不是特别需要该软件来保存游戏配置文件或使用其流媒体功能,NVIDIA建议可以不要使用它,因为它会带来不必要的安全风险和资源使用。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333474.html 封面来源于网络,如有侵权请联系删除

惠普推送 BIOS 更新 解决影响 200 多个计算机型号的高危漏洞

你是否拥有一台惠普笔记本电脑、台式机或PoS PC?那么你可能需要确保其BIOS是最新的。该公司刚刚为200多个设备型号发布了更新,修复了UEFI固件中的两个高严重级别漏洞。据Bleeping Computer报道,惠普已经就潜在的安全漏洞发出警告,这些漏洞可能允许以内核权限执行任意代码,这将使黑客能够进入设备的BIOS并植入恶意软件,而这些恶意软件无法通过传统的杀毒软件或重新安装操作系统来清除。 这两个漏洞–CVE-2021-3808和CVE-2021-3809–的CVSS 3.1基本得分都是8.8分的高严重程度。 惠普公司没有透露关于这些漏洞的任何技术细节。这一点留给了安全研究员尼古拉斯-斯塔克,他发现了这些漏洞。 斯塔克写道:”这个漏洞可能允许攻击者以内核级权限(CPL==0)执行,将权限提升到系统管理模式(SMM)。在SMM模式下执行操作,攻击者就可以获得对主机的全部权限,从而进一步实施攻击。” Starke补充说,在一些惠普机型中,有一些缓解措施需要被绕过才能使漏洞发挥作用,包括惠普的Sure Start系统,该系统可以检测到固件运行时间被篡改的情况。 受该漏洞影响的设备相当广泛,包括商务笔记本电脑,如Elite Dragonfly、EliteBooks和ProBooks;商务台式电脑,包括EliteDesk和EliteOne;零售点专用电脑,如Engage;台式工作站电脑(Z1、Z2系列);还有四个瘦客户端电脑。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1268631.htm 封面来源于网络,如有侵权请联系删除

微软修复了所有 Windows 版本中的新 NTLM 零日漏洞

微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/332788.html 封面来源于网络,如有侵权请联系删除

黑客正积极利用 BIG-IP 设备漏洞 配置错误引发危险等级 9.8 安全隐患

上周,F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误,黑客可借此以 root 权限运行系统命令。据悉,iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口,而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。 ArsTechnica 指出:BIG-IP 涵盖了超过 16000 个可在线发现的设备实例,且官方宣称有被财富 50 强中的 48 家所采用。 然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是: 由于身份验证的设施方法存在缺陷,该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份,之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。 鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能,它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。 过去一整天,Twitter 上流传的大量图片,揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞,来访问名为 bash 的 F5 应用程序端点的。 其功能是提供一个接口,用于将用户提供的输入,作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是,虽然不少概念验证(PoC)用到了密码,但也有一些案例甚至可在不提供密码的情况下运作。 对于如此重要的设备命令竟然被这样松散地处置,许多业内人士都感到大为不解,此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制(即便修补后也是如此)。 在其中一个案例中,有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。 当然,这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到,这种情况与两年前的 CVE-2020-5902 实在太过相似。 不过随着大家对于 CVE-2022-1388(RCE)漏洞的易得性、强大功能、以及广泛性有了更深入的了解,相关风险也正笼罩到更多人的头上。 如果你所在的组织机构正在使用 F5 的 BIG-IP 设备,还请着重检查并修补该漏洞、以减轻任何可能遇到的潜在风险。 有需要的话,可参考 Randori 热心提供的漏洞详情分析 / 单行 bash 脚本,并抽空详阅 F5 给出的其它建议与指导(KB23605346) 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267699.htm 封面来源于网络,如有侵权请联系删除