Security Affairs 网站披露，美国网络安全和基础设施安全局（CISA）在其已知被利用的漏洞目录中增加了七个新安全漏洞。 漏洞详情： CVE-2023-25717：Cybir 的研究人员发现 Ruckus 无线接入点（AP）软件在 web 服务组件中存在一个未知漏洞。一旦用户在 AP 上启用了 web 服务组件，攻击者就可以执行跨站点请求伪造（CSRF）或远程代码执行（RCE）。此漏洞会影响 Ruckus ZoneDirector、SmartZone 和 Solo AP，用户应尽快安装补丁； CVE-2021-3560：Red Hat Polkit 通过绕过 D-Bus 请求的凭据检查，包含一个不正确的授权漏洞，攻击者可以利用该漏洞进行权限升级。polkit 是一个应用层面的工具包，用于定义和处理允许非特权进程与特权进程对话的策略，它被默认安装在几个 Linux 发行版上。 CVE-2014-0196：Linux 内核在 n_tty_write 函数中包含一个竞争条件漏洞，该漏洞允许本地用户通过长字符串的读写操作造成拒绝服务或获得特权。； CVE-2010-3904：Linux 内核在可靠数据报套接字（RDS）协议实现中包含一个不正确的输入验证漏洞，该漏洞允许本地用户通过精心使用 sendmsg 和 recvmsg 系统调用来获得权限； CVE-2015-5317：Jenkins用户界面（UI）包含一个信息泄露漏洞，该漏洞允许用户在“指纹”页面上查看作业和构建的名称。 CVE-2016-3427：Oracle Java SE、Java SE Embedded 和 JRockit 中的 JMX 子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件，影响数据的保密性，完整性及可用性。 攻击者可通过沙盒 Java Web Start 应用程序和沙盒 Java 小程序利用该漏洞，也可以通过向指定组件中的 API 提供数据来利用漏洞。受到影响版本包括 Oracle Java SE 6u113 版本，7u99 版本，8u77 版本，Java SE Embedded 8u77 版本，Jrockit R28.3.9 版本； CVE-2016-8735：Apache Tomcat 中存在一个远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码。一旦攻击者使用 JmxRemoteLifecycleListener 并且获得访问 Java 管理扩展（JMX）端口的权限，就可以轻松利用该漏洞允，执行远程代码。受影响版本包括 Apache Tomcat 6.0.48 之前的版本，7.0.73 之前的7.x版本，8.0.39 之前的 8.x 版本，8.5.7 之前的 8.5.x 版本，9.0.0.M12 之前的 9.x 版本。 根据约束性操作指令（BOD）22-01的要求，所有联邦民事行政部门机构(FCEB)在被添加到 CISA 的已知利用漏洞(KEV)目录后，必须在到期日前解决已识别的漏洞，保护其系统免受此安全漏洞的影响，降低已知被利用漏洞的重大风险。此外，网络安全专家建议私营组织也应该审查 CISA 目录中的漏洞，并解决其基础设施中存在的漏洞。 最后，CISA 命令联邦机构在 2023 年 6 月 2 日之前修复上述漏洞！     转自 Freebuf，原文链接：https://www.freebuf.com/news/366718.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞，对大型商业实体进行网络攻击。 Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统，就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点，创建新用户帐户，随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。 CACTUS  善于利用各种工具 自 2023 年 3 月以来，安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外，网络攻击者采用了双重勒索策略，在加密前窃取敏感数据。值得一提的是，截至目前为止尚未发现任何数据泄露。 CACTUS 恶意软件利用存在漏洞 VPN 设备后，进入目标系统，设置一个 SSH 后门，以谋求后续能够“长久”入侵。在完成上述步骤后，开始执行一系列 PowerShell 命令进行网络扫描，并确定用于加密的计算机列表。 此外，在 CACTUS 恶意软件攻击过程中，还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制，同时也“积极”利用 AnyDesk 等远程监控和管理（RMM）软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS  恶意软件感染过程中禁用和卸载目标系统的安全解决方案，以及从 Web 浏览器和本地安全子系统服务（LSASS）中提取凭证以提升自身权限。 CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现，其中赎金软件是通过 PowerShell 脚本实现的（Black Basta 也使用过类似方法）。 Cactus 与其它恶意软件存在明显差异 与其它勒索软件相比，Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件，Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本质上是对自身进行加密，使其更难检测，并帮助其避开防病毒和网络监控工具。（CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件，然后在执行有效负载之前删除 .7z 档案。) Cactus 勒索软件存在三种主要的执行模式，每种模式都使用特定的命令行开关进行选择：设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行参数运行时读取该文件。 从研究人员的分析结果来看，CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞，侵入目标受害者网络，这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞，进行初始入侵。 几天前，趋势科技也发现名为 Rapture 的勒索软件，它的整个感染链最多可持续三到五天。 最后，研究人员强调有理由怀疑，攻击活动是通过易受攻击网站和服务器促进入内部系统的，因此实体组织必须采取措施保持系统的最新状态，并执行最低特权原则（PoLP）。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366111.html 封面来源于网络，如有侵权请联系删除

近日，一个名为“AndoryuBot”的新恶意僵尸网络瞄准了Ruckus无线管理面板上的一个严重漏洞。该漏洞可以感染未打补丁的Wi-Fi接入点，用于DDoS攻击。 该漏洞被追踪为CVE-2023-25717，会影响所有版本为10.4及之前版本Ruckus无线管理面板。该漏洞允许远程攻击者通过向易受攻击的设备发送未经认证的HTTP GET请求来执行代码执行。2023年2AndoryuBot首次出现，2月8日被修复，但针对Ruckus设备的更新版本于4月中旬才出现。 僵尸网络恶意软件旨在将易受攻击的设备加入到其DDoS(分布式拒绝服务)群中，以获取利润。 Ruckus攻击细节 恶意软件通过恶意HTTP GET请求感染易受攻击的设备，然后从一个硬编码的URL下载一个额外的脚本，以达到进一步传播的目的。 恶意HTTP请求(Fortinet) Fortinet分析的变体可以针对许多系统架构，包括x86、arm、spc、m68k、mips、sh4和mpsl。恶意软件在感染设备后，通过SOCKS代理协议与C2服务器建立通信、隐身并绕过防火墙，然后等待命令。 建立C2通信(Fortinet)     转自 Freebuf，原文链接：https://www.freebuf.com/news/366099.html 封面来源于网络，如有侵权请联系删除

据Security affairs 5月4日消息，VulnCheck 研究人员最近利用打印管理软件 PaperCut 服务器中的一个严重漏洞，设计了一种新的利用方法，可以绕过所有当前安全检测。 PaperCut为佳能、爱普生、施乐和几乎所有其他主要打印机品牌生产打印管理软件，其产品被7万多个组织使用，包括世界各地的政府机构、大学和大公司。此次利用的漏洞被追踪为 CVE-2023-27350，CVSS评分高达9.8，是 PaperCut MF/NG 不当访问控制漏洞。PaperCut MF/NG 在 SetupCompleted 类中包含一个不正确的访问控制漏洞，允许绕过身份验证并在 SYSTEM 上下文中执行代码。 VulnCheck研究人员公开了两个漏洞利用变体： 1.使用 PaperCut 打印脚本接口执行 Windows 命令的漏洞（Horizon3.ai 漏洞的变体）； 2.利用打印脚本接口投放恶意 JAR。 这两种方法都滥用了系统内置的 JavaScript 接口。JavaScript 引擎是 Rhino，允许该用户执行任意 Java。PaperCut Software 实施了配置选项来降低这种任意代码执行向量的风险，但由于攻击者拥有完全的管理访问权限，这些保护措施很容易被禁用。 VulnCheck 设计的 PoC 漏洞利用将 auth 程序设置为 Linux 上的“/usr/sbin/python3”和 Windows 上的“C:\Windows\System32\ftp.exe”，攻击者可以通过在登录尝试期间提供恶意用户名和密码，在易受攻击的服务器上执行任意代码。 4 月 19 日，PaperCut 确认了该漏洞，该公司收到了网络安全公司趋势科技两份关于 PaperCut MF/NG 严重安全漏洞报的告。 趋势科技计划在 2023 年 5 月 10 日披露有关该漏洞的更多信息。 好在PaperCut通过发布 PaperCut MF 和 PaperCut NG 20.1.7、21.2.11 和 22.0.9 及更高系统版本解决了漏洞问题，强烈建议用户升级到其中一个包含修复程序的版本。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365552.html 封面来源于网络，如有侵权请联系删除

上周五，美国网络安全和基础设施安全局（CISA）在它们的漏洞（KEV）目录中又补充了五大安全漏洞的信息。为了进一步说明这些漏洞的情况，他们还引用了该漏洞在实验室和研究机构外部的计算机活跃开发利用病毒的一些证据。 其中包括Veritas Backup Exec代理软件中的三个高危漏洞： CVE-2021-27876（CVSS评分：8.1）– Veritas Backup Exec Agent文件访问漏洞 CVE-2021-27877（CVSS评分：8.2）–Veritas Backup Exec Agent不当认证漏洞 CVE-2021-27878 (CVSS 平分：8.8) — Veritas Backup Exec Agent命令执行漏洞 这些漏洞会在底层系统上直接执行特权命令，不过去年3月Veritas就发布了专门针对这些漏洞的补丁，目前漏洞已经得到修复。 据上周谷歌旗下的Mandiant公司的一份报告透露，与BlackCat（又名ALPHV和Noberus）勒索软件相关的一个附属机构，最近一直在尝试通过利用上述三个漏洞来获得初始访问权，以完成Veritas Backup Exec安装的最终目的。 这家威胁情报公司称最早是在2022年10月22日发现的这种利用漏洞的情况，并且实施操作的人还使用了名为UNC4466的代号，目前他们正在以这个代号为线索来追踪其背后真正的“操控者”。 值得注意的是，之前Mandiant公司也曾提到过类似的事情，UNC4466在破解了一台Windows服务器的访问权后，先是侦查了一下服务器的情况，然后就立刻自行提升了系统权限，并直接禁用了该服务器防御系统的实时监控能力，以完成部署基于Rust的勒索软件的有效负载。 第四个被CISA新增到KEV目录中的漏洞是CVE-2019-1388（CVSS评分：7.8），这个漏洞不仅会影响到Windows证书对话框权限，还能够在那些已经被攻击的主机上直接运行一些更高权限的操作。 最后是第五个漏洞——Arm Mali GPU内核驱动中的一个信息披露漏洞（CVE-2023-26083）。上个月，谷歌威胁分析小组（TAG）曾提到，有一个不知名的间谍软件供应商就利用了这个漏洞入侵了三星安卓智能手机的系统。 联邦民事行政部门（FCEB）被勒令必须在4月28日之前部署好针对这些漏洞的补丁，以保障各系统的信息安全。 与此同时，因受到CVE-2023-28205和CVE-2023-28206两个漏洞的影响，苹果公司近日也发布了iOS、iPadOS、macOS和Safari网络浏览器的更新版本，以确保系统的运行安全。       转自 Freebuf，原文链接：https://www.freebuf.com/news/363327.html 封面来源于网络，如有侵权请联系删除

苹果公司上周五发布了iOS、iPadOS、macOS和Safari网络浏览器的安全更新，以解决在野外被利用的零日漏洞。 漏洞的内容如下 CVE-2023-28205– WebKit 中释放后使用的问题，在处理特制的 Web 内容时可能导致任意代码执行。 CVE-2023-28206– IOSurfaceAccelerator 中存在一个越界写入问题，该问题可能使应用能够以内核权限执行任意代码。 苹果表示，目前已经通过改进内存管理解决了CVE-2023-28205，并通过更好的输入验证解决了第二个漏洞，虽然现在已经修复但是并不排除这些漏洞“可能已被积极利用”。 发现和报告这些漏洞的是谷歌威胁分析小组（TAG）的Clément Lecigne和大赦国际安全实验室的Donncha Ó Cearbhaill。 鉴于这两个漏洞可能正在被利用，为了防止更多的攻击者滥用这些漏洞，有关这两个漏洞的细节并没有公布。 此次更新在iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1和Safari 16.4.1版本中可用。这些修复措施也覆盖了诸多设备，包括iPhone 8及更高版本、iPad Pro（所有型号）、iPad Air第三代及更高版本、iPad第五代及更高版本、iPad mini第五代及更高版本、运行macOS Big Sur、Monterey和Ventura的Mac电脑。 自今年年初以来，苹果已经修补了三个零日。此前在2月份，苹果修复了WebKit中另一个被积极利用的零日（CVE-2023-23529），该零日可导致任意代码执行。 根据Google TAG披露，商业间谍软件供应商正在利用Android和iOS中的零漏洞，用监视恶意软件感染移动设备。苹果官方也提醒用户及时更新。       转自 Freebuf，原文链接：https://www.freebuf.com/news/363089.html 封面来源于网络，如有侵权请联系删除  

今年在温哥华举行的Pwn2Own黑客大赛向发现和利用许多以前未知的零日安全漏洞的研究人员颁发了超过100万美元的奖金。这笔钱的一半以上给了一个团队。Pwn2Own是由趋势科技的零日计划（ZDI）在温哥华CanSecWest安全会议期间举办的年度黑客大赛。 每年，安全研究人员和代码专家都会加入数字战场，希望能大获全胜，赢得ZDI提供的丰厚的现金奖励。今年，五支安全专家团队揭露了流行软件和技术产品中的一些黑客行为。 在为期三天的活动结束时，参赛者披露了27个独特的零日漏洞，共分得103.5万美元（和被黑的汽车）。渗透测试公司Synacktiv团队获得了”Pwn大师”称号，他们获得了53个Pwn大师积分、53万美元和特斯拉Model 3汽车。 Synacktiv在第一天取得了绝对的领先优势，其团队攻陷了一辆特斯拉Model 3，并破解了macOS的访问权限。第二天，Synacktiv通过展示针对特斯拉信息娱乐系统的堆溢出和OOB写零日漏洞链，进一步巩固了其领先地位。 Synacktiv的代码破解者Thomas Imbert和Thomas Bouzerar还展示了一个在Oracle VirtualBox上升级权限的三个漏洞链，价值80000美元。Tanguy Dubroca在Ubuntu桌面上成功地进行了权限升级演示，获得了30000美元。在第三天的比赛结束时，Thomas Imbert又获得了30000美元的奖金，因为他成功地利用Use-After-Free零日漏洞入侵了一个完全打过补丁的Windows11系统。 Star Labs在利用了微软SharePoint和VMWare Workstation的零日漏洞以及Ubuntu Desktop上的一个先前已知的碰撞后，获得了19.5万美元和19.5 MoP积分，位居第二。Viettel团队获得了第三名，通过入侵微软团队和甲骨文VirtualBox，获得了115000美元和12个MoP积分。Qrious Security和独立安全研究人员AbdulAziz Hariri分别以55000美元（5.5分）和50000美元（5分）的奖金结束了比赛，排名第四和第五。 零日计划现在将向各自的软件供应商提供Pwn2Own 2023期间演示的所有27个零日漏洞的详细信息。在ZDI公开披露这些漏洞之前，各公司将有90天的时间来修复这些漏洞并发布其安全补丁，无论补丁是否可用。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7215722988144951819/ 封面来源于网络，如有侵权请联系删除  

Bleeping Computer 网站披露，苹果公司近期发布了安全更新，以解决旧款 iPhone 和 iPad 的零日漏洞。 漏洞被追踪为 CVE-2023-23529，是一个 WebKit 类型的混淆问题。值得一提的是，苹果公司于 2023 年 2 月 13 日已经在较新的 iPhone 和 iPad 设备上修复了该漏洞。 CVE-2023-23529 漏洞危害极大，一旦攻击者成功利用，可能会引起操作系统崩溃，威胁攻击者甚至可以在诱骗受害者打开恶意网页后，在目标 iPhone 和 iPad 上执行任意代码（该漏洞也会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1）。 苹果公司曾在一份报告中声称，CVE-2023-23529 漏洞可能被积极利用了。该公司最后通过改进检查来解决 iOS 15.7.4 和 iPadOS 15.7.4 中的零日问题。 受影响的设备包括： iPhone 6s（所有型号）、iPhone 7（所有机型）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和 iPod touch（第七代）设备。 建议用户尽快更新 苹果公司表示其内部知道漏洞可能在攻击中被利用了，但尚未公布有关这些事件的详细信息。 虽然 CVE-2023-23529 漏洞可能只用于有针对性的攻击，但强烈建议用户尽快安装安全更新，以阻止针对运行旧软件的 iPhone 和 iPad设 备用户的潜在攻击企图。 此外，用户还能够通过限制对技术细节的访问，尽可能多的保护个人设备，并减缓攻击者开发和部署针对易受攻击设备的额外攻击的速度。 今年 1 月，苹果还将一个可远程利用的零日漏洞的补丁（由谷歌威胁分析小组的 Clément Leigne 发现并报告）移植到了旧款 iPhone 和 iPad 上。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361786.html 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局(CISA)发布了八项工业控制系统 (ICS)公告，警告称存在影响Delta Electronics和Rockwell Automation设备的严重缺陷。 这包括Delta Electronics 的实时设备监控软件 InfraSuite Device Master 中的 13 个安全漏洞。1.0.5 之前的所有版本都受这些问题的影响。 “成功利用这些漏洞可能允许未经身份验证的攻击者获得对文件和凭据的访问权限、提升权限并远程执行任意代码。”CISA表示。 排在首位的是CVE-2023-1133（CVSS评分：9.8），这是一个严重缺陷，源于 InfraSuite Device Master 接受未经验证的 UDP 数据包并反序列化内容，从而允许未经身份验证的远程攻击者执行任意代码。 CISA警告说，另外两个反序列化缺陷CVE-2023-1139（CVSS评分：8.8）和CVE-2023-1145（CVSS评分：7.8）也可以被武器化以获取远程代码执行。 Piotr Bazydlo 和一位匿名安全研究员发现了这些缺陷并向 CISA 报告。 另一组漏洞与罗克韦尔自动化的 ThinManager ThinServer 相关，影响以下版本的客户端和远程桌面协议 (RDP) 服务器管理软件 ： 6.x – 10.x 11.0.0 – 11.0.5 11.1.0 – 11.1.5 11.2.0 – 11.2.6 12.0.0 – 12.0.4 12.1.0 – 12.1.5 13.0.0 – 13.0.1 最严重的问题是跟踪为CVE-2023-28755（CVSS评分：9.8）和CVE-2023-28756（CVSS评分：7.5）的两个路径遍历缺陷，可能允许未经身份验证的远程攻击者将任意文件上传到目录ThinServer.exe 的安装位置。 更令人不安的是，对手可以将CVE-2023-28755武器化，用木马化版本覆盖现有的可执行文件，从而可能导致远程代码执行。 “成功利用这些漏洞可能允许攻击者在目标系统/设备上执行远程代码或使软件崩溃。”CISA指出。 我们的建议 1、用户更新至版本11.0.6、11.1.6、11.2.7、12.0.5、12.1.6和 13.0.2 以减轻潜在威胁。ThinManager ThinServer 版本 6.x – 10.x 已停用，要求用户升级到受支持的版本。 2、建议将端口 2031/TCP 的远程访问限制为已知的客户端和 ThinManager 服务器。 在CISA警告Rockwell Automation ThinManager ThinServer（CVE-2022-38742，CVSS 评分：8.1）中存在可能导致任意远程代码执行的高严重性缓冲区溢出漏洞后的六个多月，该漏洞才被披露。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/9TyE8Ec9QTsJqfj6fsaBkg 封面来源于网络，如有侵权请联系删除

最近使用Google Pixel 手机的用户需要注意，你打过码的照片未必安全！ 安全研究人员 Simon Aarons 和 David Buchanan 最近在推特披露称，Google Pixel 自带的照片编辑工具Markup存在一个名为“Acropalypse的安全漏洞，能够还原用户照片中已经打码或裁剪掉的内容。 Aarons 分享了一个示例，演示他们如何使用 Acropalypse 漏洞恢复上传到 Discord 的信用卡照片。最开始，该信用卡卡号码已使用Markup工具进行了打码处理。但当他们的利用Acropalypse exploit 运行照片后，已经被打码的卡号信息得到了还原。 Acropalypse 示例 据悉，这两名研究人员于今年1月向谷歌报告了该漏洞，谷歌也与3月13日发布的更新中对其进行了修复。分析指出，经过Markup编辑处理的照片有大约80%能够被恢复，如果用户将未压缩的图片发布至互联网或社交平台，就可能导致敏感信息泄露。当然，一些平台会自动压缩、重新编码上传的照片，从而在一定程度上减少了信息泄露的范围。 虽然Acropalypse漏洞已经得到修复，但仍需值得注意的是，漏洞存在的时间长达5年之久，这期间已经共享出去的照片难以计数，且没有任何补救措施。此外，该漏洞广泛存在于所有运行 Android 9 Pie 及更高版本的 Pixel 型号手机中，一些较老型号的手机并不会在第一时间得到安全更新，安全风险依然存在。 最后，Acropalypse漏洞还会影响其他品牌的定制化Android手机，可能完全沿用原生的Markup对照片进行编辑。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361126.html 封面来源于网络，如有侵权请联系删除