Security Affairs 网站披露，NAS 厂商 QNAP（威联通）在安全公告表示， QTS 5.0.1 和 QuTS hero h5.0.1 两款软件中存在严重漏洞 （追踪为 CVE-2022-27596，CVSS v3 评分：9.8）。 据悉，即使远程攻击者没有获得用户交互权限或易受攻击设备上其它权限，也可以轻松利用 CVE-2022-27596 漏洞在受影响的 QNAP 设备上注入恶意代码。 漏洞影响 QTS 5.0.1 和 QuTS hero h5.0.1 版本。 漏洞披露不久后，QNAP 就发布了 QTS 和 QuTS 固件安全更新。目前，以下操作系统版本已修复了 CVE-2022-27596 漏洞。 QTS 5.0.1.2234 build 20221201 及更高版本 QuTS hero h5.0.1.2248 build 20221215 及更高版本 网络安全公司 Censys 对互联网上暴露的 QNAP 设备进行了全面扫描，发现 30000 台设备运行 QTS 5.0.1 和 QuTS hero h5.0.1易受攻击的版本，可能会受到 CVE-2022-27596 漏洞的影响。 此外，Censys 对 67415 台据称运行基于 QNAP 系统的主机进行了检查，但只从 30520 台主机中获得了版本号。在这 30520 台具有版本的主机中，只有 557 台更新了安全补丁，这意味着 29968 台主机可能受到 CVE-2022-27596 漏洞的影响。值得一提的是，其中易感染的系统主要位于意大利（3200）、美国（3149）和台湾（1942）。 易受攻击的版本： 最后，Censys 强调一旦 CVE-2022-27596 漏洞被网络犯罪分子发布并武器化，可能会给成千上万的 QNAP 用户带来麻烦。因此强烈建议用户立刻升级其 QNAP 设备，以免遭受网络攻击。   转自 Freebuf，原文链接：https://www.freebuf.com/news/356449.html 封面来源于网络，如有侵权请联系删除

Meta公司为用户管理其Facebook和Instagram的登录而创建的一个新的集中式系统中的一个错误可能使恶意的黑客仅仅通过知道他们的电子邮件地址或电话号码就能关闭一个账户的双因素保护措施。 来自尼泊尔的安全研究员Gtm Mänôz意识到，当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时，Meta没有设置尝试次数的限制，该中心帮助用户连接他们所有的Meta账户，如Facebook和Instagram。 有了受害者的电话号码或电子邮件地址，攻击者就会到集中的账户中心，输入受害者的电话号码，将该号码与他们自己的Instagram或Facebook账户连接起来，然后用暴力破解双因素短信代码。这是关键的一步，因为某人可以尝试的次数是没有上限的。 一旦攻击者获得正确的代码，受害者的电话号码就会与攻击者的账户联系起来。一次成功的攻击仍然会导致Meta公司向受害者发送一条信息，说他们的双因素被禁用，因为他们的电话号码被链接到了别人的账户上。在这个过程中，影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。   Meta公司发给一个用户的电子邮件的截图，上面写着：”我们想让你知道，你的电话号码在Facebook上被另一个人注册和验证了。” 理论上，鉴于目标不再启用双因素，攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。 Mänôz去年在Meta账户中心发现了这个漏洞，并在9月中旬向公司报告。Meta公司在一个月后修复了该漏洞，并向Mänôz支付了27200美元的奖励。 目前还不清楚怀有恶意的黑客是否也发现了这个漏洞，并在Facebook修复它之前利用了它，Meta公司没有立即回应评论请求。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7194496182545023547/ 封面来源于网络，如有侵权请联系删除

近日，安全研究人员在流行的开源电子病历系统OpenEMR中发现多个严重漏洞，可被攻击者组合利用，在服务器上远程执行代码。 OpenEMR是一种全球流行的电子病历(EHR)系统和医疗实践管理解决方案，被全球超过10万家医疗机构使用，服务超过2亿患者。 开源OpenEMR项目由非营利组织OpenEMR基金会提供支持，由数百名志愿者和专业人士维护。OpenEMR基金会的愿景是“让每个医疗服务机构都能用上高质量的医疗信息技术。” 专业人士指出，由于OpenEMR是开源软件，非常适合安全研究人员查找漏洞，因为这样做不必担心负面的法律后果。事实上，开源解决方案的安全性正是得益于安全研究人员的努力而不断提升。 三个严重漏洞 安全研究人员Brinkrolf使用SonarSource的静态应用程序安全测试(SAST)引擎分析OpenEMR的软件代码，发现了三个严重漏洞： 经过身份验证的文件读取 经过身份验证的本地文件包含 经过身份验证的反射型XSS 第一个漏洞可能允许未经身份验证的攻击者利用流氓MySQL服务器从OpenEMR实例读取任意文件，包括证书、密码、令牌和备份。后两者可用于接管开放的、易受攻击的OpenEMR实例。SonarSource的公告提供了三个漏洞的更深入的技术细节（链接在文末）。 好消息是，OpenEMR维护人员在不到一周的时间内修复了这些漏洞，并推出了软件的补丁/新版本(v7.0.0)。建议使用OpenEMR的医疗机构尽早升级到该版本。   转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/kgoqfeG63RA9fGrxwXKihA 封面来源于网络，如有侵权请联系删除

目前，鉴于各平台对密码的要求越来越复杂，越来越多用户使用密码管理软件统一存储密码，虽然此举可以很好帮助用户管理账户信息，但也意味着一旦此类软件存在漏洞，很容易导致机密数据泄露。 近日，Bleeping Computer 网站披露，开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055，网络攻击者能够利用漏洞在用户毫不知情的情况下，以纯文本形式导出用户的整个密码数据库。 不同于 LastPass 、BitwardenKeePass 等云托管的数据库，KeePass 允许用户使用本地存储的数据库来管理密码，并允许用户通过主密码加密数据库，以避免泄漏，这样恶意软件或威胁攻击者就很难访问数据库并自动窃取其中存储的密码。 但 CVE-2023-24055 允许获得目标系统写入权限的威胁攻击者更改 KeePass XML 配置文件并注入恶意触发器，从而将数据库中所有用户名和密码以明文方式导出。 据悉，当目标用户启动 KeePass 并输入主密码以解密数据库时，将触发导出规则，并将数据库内容保存到一个文件中，攻击者可以稍后将其导出到其控制的系统中。值得一提的是，整个数据库导出过程都在系统后台完成，不需要前期交互，不需要受害者输入密码，甚至不会通知受害者，悄悄导出所有数据库中存储的密码信息。 安全研究人员认为 CVE-2023-24055 漏洞爆出可能使威胁攻击者更容易在受损设备上转储和窃取 KeePass 数据库的内容。部分户要求 KeePass 开发团队在黑客“悄悄”导出数据库之前添加确认提示，或者提供一个没有导出功能的应用程序版本。 KeePass 官方表示暂无漏洞修补措施 KeePass 官方声明表示，CVE-2023-24055 漏洞不应该归咎于 KeePass，并且这一漏洞不是其所能够解决的，有能力修改写入权限的网络攻击者完全可以进行更强大的网络攻击。 当用户常规安装 KeePass 时，一旦攻击者具有写入权限，就可以执行各种命令，开展攻击活动，就算用户运行可移植版，威胁攻击者也可以用恶意软件替换 KeePass 可执行文件。 上述两种情况表明，对 KeePass 配置文件进行写入意味着攻击者实际上可以执行比修改配置文件更强大的攻击（这些攻击最终也会影响 KeePass，而不受配置文件保护）。因此，KeePass 建议用户只有保持环境安全（使用防病毒软件、防火墙、不打开未知电子邮件附件等），才能防止此类攻击。 最后，KeePass 开发人员指出，即使用户无法获得更新版本，仍然能够通过系统管理员身份登录并创建强制配置文件来保护数据库。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356226.html 封面来源于网络，如有侵权请联系删除

近日，有记者在消费者和企业信用报告领域的全球领导者 Experian 的官方网站上披露了一个安全漏洞的惊人细节，该漏洞正被身份盗窃诈骗者利用，而 Experian 对此一无所知。到 2022 年底，Experian 网站允许用户绕过这些 MCQ，在输入姓名、出生日期、地址和社会安全号码后直接访问信用报告。 乌克兰安全研究员 Jenya Kushnir 向记者透露了这个漏洞，身份窃贼正在利用这个漏洞，因为他们可以通过专门用于此目的的 Telegram 聊天频道获取被盗身份。根据 Kushnir 的调查结果，网络犯罪分子可以通过在身份验证过程中的某个时刻编辑浏览器 URL 栏中的地址来诱骗 Experian 网站允许他们访问任何用户的信用报告。 访客必须提供他们的姓名、出生日期、地址和社会安全号码。当 Brian Krebs 提供此信息时，他被重定向到 Experian.com 以完成身份验证。那是 MCQ 出现的阶段。 然而，Kushnir 指出，在这个阶段，如果他将 URL 的最后一部分从“/acr/oow/”更改为“/acr/report”，他的信用报告就会出现。当他被重定向到 Experian 网站时，它没有显示 MCQ，而是显示了 URL“/acr/OcwError”，表明它没有足够的数据来验证他的身份。接下来，该网站为 Krebs 提供了三个选项： 发送带有身份验证文件的信用报告电子邮件 致电益博睿 在网站上传身份证明 当 Krebs 按照 Kushnir 告诉他的那样将 URL 更改为“/acr/report”时，即使 Experian 无法验证他的身份，他也会看到他的完整信用档案。 Brian Krebs于 2022 年 12 月 23 日与 Experian分享了他的发现，该公司的公关团队于 2022 年 12 月 27 日确认了该通知。在此期间，该漏洞得到了修补。然而，目前还不清楚这个问题被身份窃贼知道并被利用了多久。Experian 安全和数据泄露 Experian 是世界领先的信用报告机构之一，收集和汇总超过 10 亿人和企业的信息。它可以访问 2.35 亿美国个人消费者以及 2500 万美国企业的数据，使其成为金融机构、雇主、房东等的强大工具。 Experian 也因大规模数据泄露和严重安全漏洞而闻名。几年前，一个这样的漏洞允许攻击者获得客户的账户访问权限和他们的信用冻结 PIN 码。 2020 年 8 月，据透露，Experian 遭受了大规模数据泄露，其中 2200 万客户的个人详细信息被盗。在另一起事件中，Experian 巴西分会 Serasa Experian 再次遭受数据泄露，导致 2.23 亿人的数据在黑客论坛上泄露。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/Ct1Coet0Fa5jZVO1fETNbg 封面来源于网络，如有侵权请联系删除  

近日，苏黎世联邦理工学院研究人员在安全审计中发现瑞士军队使用的安全通信软件Threema存在大量严重漏洞，并且已经存在很长时间。 该大学的应用密码学小组本周发布了研究论文（链接在文末），详细介绍了Threema自主开发的密码协议中的七个严重漏洞。利用这些漏洞，不法分子将能克隆帐户并读取用户消息，窃取私钥和联系人，甚至出于勒索目的炮制有害资料。 Threema总部位于瑞士，数据中心位于阿尔卑斯山地区，自称是比WhatsApp（编者：已经被瑞士军队禁用）更安全的非美国加密通信产品的替代品。Threema没有Signal或Telegram流行，但是对于瑞士军队这样的客户来说，小众的Threema似乎更安全，因为流行消息应用往往无法避免海外政府的窥探。 Threema目前拥有超过1000万用户和7000名本地客户——包括德国总理奥拉夫舒尔茨。 Threema在博客文章中淡化了研究者发现的漏洞，声称这些漏洞是在Threema停用的协议中发现的。“虽然这些漏洞从理论上讲可能很有趣，但它们没有对现实世界产生任何重大影响”。 以下是Threema的声明： 去年，苏黎世联邦理工学院计算机科学系的一名学生撰写了关于Threema通信协议的硕士论文。该大学现已将他的作品作为论文/预印本发表。但是，该论文基于不再使用的旧协议。调查结果不适用于Threema当前的通信协议“Ibex”，或者已经得到解决。他们都没有对现实世界产生过任何重大影响。 披露Threema漏洞的三位研究人员——计算机科学教授Kenneth Paterson和博士生Matteo Scarlata与Kien Tuong Truong在一个关于Threema安全漏洞的网站上指出，他们最初是在2022年10月向Threema披露了他们的发现，后者同意研究者在1月9日公开披露。 Threema于2022年11月下旬发布了其Ibex协议，研究人员表示尚未审核这一在漏洞发现后发布的新协议。不过研究人员表示“相信所有漏洞都已通过Threema最近的补丁得到缓解”。 在给The Register的电子邮件中，Paterson指出，Threema声明中的所谓“旧协议”，其实就是ibex协议发布之前使用的协议。 他补充说，Threema的声明“极具误导性，这令人非常失望。” 虽然安全研究人员承认这些漏洞不再对Threema客户构成威胁，但他们的发现仍然凸显了评估“自主开发加密协议安全声明”的困难性。 “理想情况下，任何使用新型加密协议的应用程序都应该进行正式的安全分析（以安全证明的形式），以提供强大的安全保证，”研究者补充道：“这样的分析有助于降低类似Threema这样的软件中暗藏更严重漏洞的风险。”   转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/Ct1Coet0Fa5jZVO1fETNbg 封面来源于网络，如有侵权请联系删除

高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队，OPPO琥珀安全实验室的Zinuo Han，IceSword Lab的Gengjia Chen，研究人员nicolas（nicolas1993），STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。 以下是公司解决的最严重漏洞报告： 最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出（CVSS 得分 9.3）。“汽车中的内存损坏是由于整数溢出到缓冲区溢出，同时向共享缓冲区注册新侦听器。 高通公司修复的另外两个严重问题是： CVE-2022-33218（CVSS 得分 8.2） – 该漏洞是由于输入验证不当而导致的汽车内存损坏。 CVE-2022-33265（CVSS 得分 7.3）– 该漏洞是电力线通信固件中的信息暴露。 这些漏洞影响了使用联想，微软和三星制造的Snapdragon芯片组的笔记本电脑和其他设备。 联想发布安全更新 1月3日，Lenovo（联想）发布安全更新，修复了ThinkPad X13s BIOS中的多个安全漏洞，本地用户可利用这些漏洞导致内存损坏或敏感信息泄露。 本次ThinkPad X13s BIOS更新中共修复了如下漏洞： CVE-ID 类型 评分 受影响产品/组件 描述 CVE-2022-40516 基于堆栈的缓冲区溢出导致内存损坏 8.4 Qualcomm BIOS 本地用户可利用这些漏洞导致内存损坏、拒绝服务或任意代码执行。 CVE-2022-40517 CVE-2022-40520 CVE-2022-40518 缓冲区过度读取 6.8 Qualcomm BIOS 本地用户可利用这些漏洞导致信息泄露。 CVE-2022-40519 CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435 缓冲区过度读取 None ThinkPad X13s BIOS 本地用户可利用这些漏洞导致信息泄露。 影响范围 ThinkPad X13s BIOS 版本<1.47 (N3HET75W) 目前这些漏洞已经修复，Lenovo ThinkPad X13s用户可将BIOS更新到1.47 (N3HET75W)版本。   转自 Freebuf，原文链接：https://www.freebuf.com/news/354778.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究员 Sam Curry 和他的团队在数十家汽车制造商生产的车辆和车辆解决方案提供商实施的服务中发现了多个漏洞。这些漏洞可能已被威胁行为者利用来执行范围广泛的恶意活动，从解锁汽车到跟踪汽车。 据悉，专家发现的漏洞影响了起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、创世纪、宝马、劳斯莱斯、法拉利、福特、保时捷、丰田、捷豹、路虎等知名品牌的车辆。研究团队还发现了 Reviver、SiriusXM 和 Spireon 提供的服务存在缺陷。 利用这些漏洞，可以通过配置不当的 SSO 访问数百个梅赛德斯关键任务内部应用程序。攻击者也可能利用它们在多个系统上实现远程代码执行。这些缺陷还允许攻击者访问某些系统内存的内容，从而导致梅赛德斯的员工/客户 PII 暴露。 在 BMW 和 Rolls Royce 的案例中，专家发现了 SSO 漏洞，这些漏洞允许他们以任何员工的身份访问任何员工应用程序。专家们能够通过提供 VIN 号访问内部经销商门户并检索 BMW 的销售文件。 专家们还能够代表任何员工访问锁定在 SSO 后面的任何应用程序，包括远程工作人员和经销商使用的应用程序。 在测试 BMW 资产时，我们为 BMW 的员工和承包商确定了一个定制的 SSO 门户。这对我们来说非常有趣，因为这里发现的任何漏洞都可能允许攻击者破坏与所有 BMW 资产相关的任何账户。例如，如果经销商想要访问 BMW 实体经销商的经销商门户，他们必须通过该门户进行身份验证。 此外，此 SSO 门户还用于访问内部工具和相关的 devops 基础设施。” 阅读库里发表的分析。“为了证明该漏洞的影响，我们只需在谷歌上搜索“BMW 经销商门户”，然后使用我们的账户访问在 BMW 和劳斯莱斯实体经销商处工作的销售人员使用的经销商门户。 专家们还能够通过已弃用的经销商门户网站实现对起亚汽车的全面接管。一些漏洞允许研究人员检索车主信息，包括实际地址，在其他情况下，这些漏洞允许跟踪车辆。 影响保时捷的问题相关的分析发现，通过影响车辆远程信息处理服务的漏洞发送检索车辆位置、发送车辆命令和检索客户信息。 此外，专家们还演示了如何利用一些漏洞访问 Reviver 车牌服务并将任何车辆状态更新为“STOLEN”，从而更新车牌。专家发现的所有缺陷都已由汽车制造商和服务提供商解决。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/aSw7xcZRQLH3RfYBPYvXYw 封面来源于网络，如有侵权请联系删除

2022年，中国科技巨头华为为旗下的鸿蒙操作系统修复了近300个漏洞。 直到2019年，华为旗下智能手机及其他设备仍在运行Android系统。但随后美国政府一纸政令，禁止美国企业向华为出售软件和技术。 同年稍晚时候，华为发布鸿蒙操作系统（HarmonyOS），可适配手机、平板、电视、可穿戴设备及车载信息娱乐系统等平台。 华为意识到，要想与Android和iOS正面对抗，操作系统一定要安全。为此，公司组织起漏洞奖励计划，为上报的关键漏洞和漏洞利用链给予丰厚奖励。 安全媒体SecurityWeek分析显示，鸿蒙系统在2022年修复了290多个漏洞，其中包括近100个影响第三方库的安全漏洞。这些数据来自华为公司去年发布的月度安全公告。 其中有20余个漏洞被划定为“严重”等级，94个漏洞被评为“高”威胁等级。 这些漏洞可被用于实施拒绝服务（DoS）攻击、远程代码执行、信息获取和权限提升等活动。 根据CVE Details公布的数据，Android系统在2022年约修复了800个漏洞，相比之下数量高出近两倍。当然，Android的应用范围远高于鸿蒙系统，所以受到的安全研究检查也更多。 在鸿蒙漏洞奖励计划中，华为给可能导致任意代码执行的零点击漏洞开出达100万欧元的奖励。而能用绕过新型锁屏机制的研究者，则可获得最高12万欧元报酬。   转自 安全内参，原文链接：https://www.secrss.com/articles/50707 封面来源于网络，如有侵权请联系删除

网络安全分析师警告称，数以千计的Citrix ADC 和网关部署仍然存在安全风险，即便该品牌服务器在此之前已经修复了两个严重的安全漏洞。 第一个漏洞是CVE-2022-27510，已于 11 月 8 日修复。可影响两种 Citrix 产品的身份验证绕过。地二个漏洞是CVE-2022-27510，已于 12 月 13 日披露并修补，其允许未经身份验证的攻击者，在易受攻击的设备上执行远程命令并控制它们。 然而，就在Citrix公司发布安全更新对漏洞进行修复时，攻击者已经在大规模利用CVE-2022-27518漏洞了。 NCC Group公司旗下的Fox IT团队的研究人员报告说，虽然大多数面向公众的 Citrix 端点已更新为安全版本，但仍有数千个端点容易受到攻击。 查找易受攻击的版本 Fox IT 分析师于 2022 年 11 月 11 日扫描了网络，发现共有3万台 Citrix 服务器在线。为了确定有多少太服务器受到上述两个漏洞的影响，安全研究人员首先要确定它们的版本号。虽说版本号未包含在服务器的HTTP 响应中，但是却携带了类似 MD5 哈希的参数，可用于将它们与 Citrix ADC 和 Gateway 产品版本进行匹配。 index.htm 中的哈希值 因此，该团队在VM上下载并部署了他们可以从 Citrix、Google Cloud Marketplace、AWS 和 Azure 获取的所有 Citrix ADC 版本，并将哈希值与版本相匹配。 将哈希链接到版本 (Fox It) 对于无法与来源版本匹配的哈希值，研究人员求助于确定构建日期并据此推断出它们的版本号。 将构建日期与哈希相关联 (Fox It) 这进一步减少了未知版本（孤立哈希）的数量，但总的来说，大多数哈希都与特定的产品版本相关联。 数以千计易受攻击的 Citrix 服务器 最终结果如下图所示，表明截至2022年12月28日，大部分服务器在13.0-88.14版本上，不受这两个安全问题的影响。 Citrix 服务器版本 (Fox It) 使用数量排名第二的版本是12.1-65.21，如果满足某些条件，则容易受到 CVE-2022-27518 的攻击，该版本至少有3500个端点在运行。攻击者对此进行利用的前提是，这些服务器必须要使用SAML SP 或 IdP 配置，因此，并非3500个系统都会受到CVE-2022-27518的影响。 有超过 1000 台服务器容易受到 CVE-2022-27510 的影响，大约 3000 个端点可能容易受上述两个严重安全漏洞的影响。 最后，Fox IT 团队希望其博客能够帮助提高 Citrix 管理员的意识，他们尚未针对最近的严重缺陷应用进行安全更新，这将会让很多用户处于风险之中。而统计数据也表明，要对所有设备的安全漏洞进行修复，供应商和企业仍有许多工作要做。   转自 Freebuf，原文链接：https://www.freebuf.com/news/353804.html 封面来源于网络，如有侵权请联系删除