Hackernews 编译，转载请注明出处： 网络安全公司JFrog的新发现表明，针对npm生态系统的恶意软件可以利用npm命令行接口（CLI）工具中的“意外行为”来逃避安全检查。 npm CLI的安装和审计命令具有内置功能，可以检查软件包及其所有依赖项是否存在已知漏洞，通过突出漏洞有效地为开发人员提供警告机制。 但正如JFrog所确认的那样，当软件包遵循特定的版本格式时，不会显示安全建议，这会造成严重缺陷，可能直接或通过软件包的依赖关系引入其系统的情况。 具体来说，只有当安装的软件包版本包含连字符（例如，1.2.3-a）时，问题才会出现，其中连字符用于表示npm模块的预发布版本。 虽然项目维护人员将常规npm软件包版本和预发布版本之间的差异视为一种预期功能，但这也使它成为攻击者试图毒害开源生态系统的成熟机会。 Or Peles说：“黑客可能会利用这种行为，故意在他们看起来无辜的软件包中植入易受攻击或恶意代码，这些代码将被其他开发人员包括在内，因为它们有价值的功能，或由于感染技术的错误，如拼写错误或依赖关系混淆 。” 换句话说，对手可以发布一个预发版本格式看似无害的软件包，然后可能会被其他开发人员接收，尽管有相反的证据，但不会被告知该软件包是恶意的。 该开发再次重申了软件供应链是如何构建为各方之间的信任链的，以及一个环节的妥协如何影响使用恶意第三方依赖的所有下游应用程序。 为了应对这种威胁，建议开发人员避免安装带有预发布版本的npm包，除非已知源代码完全可靠。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周一在其已知漏洞利用目录（KEV）中，添加了一个影响Oracle Fusion中间件的关键漏洞，引用了积极利用漏洞的证据。 该漏洞被跟踪为CVE-2021-35587, CVSS评分为9.8，影响Oracle Access Manager (OAM)版本11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。 成功利用远程命令执行漏洞可能会使具有网络访问权限的未经身份验证的攻击者完全破坏并接管access Manager实例。 越南安全研究员Nguyen Jang (Janggggg)在今年3月初报告了peterjson的漏洞，他指出：“它可以让攻击者访问OAM服务器，创建拥有任何特权的用户，或者只是在受害者的服务器中执行代码。” 2022年1月，Oracle在其关键补丁更新中解决了该漏洞。 有关这些攻击的性质和利用规模的其他细节目前尚不清楚。威胁情报公司GreyNoise收集的数据表明，将该漏洞武器化的企图一直在进行，其源头是美国、中国、德国、新加坡和加拿大。 CISA还将最近修补的Google Chrome浏览器（CVE-2022-4135）中的堆缓冲区溢出漏洞添加到KEV目录中，这家互联网巨头承认该漏洞在野外被滥用。 联邦机构需要在2022年12月19日前应用供应商补丁，以保护其网络免受潜在威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： ESET宣布发现了一个影响宏碁笔记本电脑的漏洞，该漏洞允许攻击者停用UEFI Secure Boot。 专家解释说，该漏洞被追踪为CVE-2022-4020，与联想公司本月早些时候披露的漏洞类似。 与联想的情况一样，攻击者可以直接从OS创建NVRAM变量来触发这个漏洞，使UEFI安全引导失效。 Secure Boot是最新的统一可扩展固件接口（UEFI）2.3.1的一个安全特性，旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项rom的篡改。在检测能够攻击或感染系统规范之前，它们将被阻止运行。 能够绕过Secure Boot的攻击者可以绕过计算机上运行的任何安全措施，即使在重新安装操作系统的情况下也可以实现持久性。 CVE-2022-4020影响宏碁Aspire A315-22的某些版本，该漏洞存在于这些宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中。与联想的问题类似，具有提升权限的攻击者可以利用该漏洞通过修改NVRAM变量来修改UEFI Secure Boot设置。如果NVRAM变量“BootOrderSecureBootDisable”存在，则DXE驱动程序BootOrderDxe只需禁用UEFI Secure Boot。 ESET解释说，该漏洞仅影响Aspire A315-22/22G、A115-21和Extensia EX215-21/21G 5台设备。根据宏碁的说法，更新应该作为关键的Windows更新发布。或者，可以在此处下载更新的BIOS版本。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

本周三晚间，安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。 过去一个月，大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。 然而，Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。 例如，Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。 Alevski在一篇技术博客文章（链接在文末）透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据，并将其替换为任意内容。 该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息（DM）共享的文件（Mastodon上的DM与Twitter不同，省略了加密）。攻击者还有可能实施包括删除服务器文件的破坏性攻击。总之，这个安全漏洞为各种恶作剧和恶意行为敞开了大门。 Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞后立即得到响应。 Bell表示：“该漏洞是存储桶访问策略配置错误，我没有从默认访问路径中删除写访问权限。” 在问题解决后发布的博客文章中，Alevski补充说：“对象存储级别的系统配置错误会破坏Mastodon的所有安全机制”。 Alevski最后警告说：infosec.exchange绝不是Mastodon生态系统中系统配置漏洞的个案。安全研究人员仍在不断发现其他Mastodon实例上的配置错误。 “我在其中几个（其他实例）中发现了类似的问题，并且已经报告了这些漏洞。”Alevski说道。 转自 安全内参，原文链接：https://www.secrss.com/articles/49338 封面来源于网络，如有侵权请联系删除

从理论上讲，将照片和视频上传到云端应该是确保你的文件安全可靠的一种便捷方式。但在Windows版iCloud的情况下，结果似乎正好相反。来自MacRumors的一份报告指出了一系列来自iCloud for Windows用户的投诉，他们解释说，在将他们的视频上传到云端后，文件最终被完全损坏，以至于无法再观看它们。 然而，更令人担忧的是，一些用户最终获得了属于他人的照片，原因至今都还没有确定。目前还不太清楚为什么会出现这种情况，但苹果公司还没有对这个bug发表评论。但根据上述消息来源，整个事情有可能是由服务器端问题引起的，删除iCloud forWindows并重新安装该应用似乎并不能使事情恢复正常。 “iCloud for Windows正在破坏从iPhone14 Pro Max录制的视频，导致出现带有一条白色扫描线的黑色视频。在极少数情况下，它还会显示可能是其他人的iCloud账户里的内容，我在我的iCloud账户中看到了我在生活中从未见过的其他人的家庭照片，足球比赛和其他随机照片。显然，这非常令人担忧，并不完全让我感到使用iCloud有足够安全。”一位用户解释说。 在这一点上，看起来Windows版iCloud运行的平台不是主要原因，因为这个问题在Windows 10和Windows 11上都会发生。目前官方似乎还没有提供解决的办法。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7168862497855209999/?log_from=3332e25087635_1669171877414 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SecuRing的研究人员Wojciech Reguła（@_r3ggi）发布了一个macOS沙盒逃逸漏洞的技术细节和概念验证（PoC）代码，该漏洞被追踪为CVE-2022-26696（CVSS评分7.8）。 在Regula发表的总结中，研究人员观察到，这个漏洞是由他在沙盒macOS应用程序中观察到的一个奇怪行为引起的，这个行为可能会启动任何不继承主应用程序沙盒配置文件的应用程序。 苹果公司发布的建议写道：“沙盒进程可能可以绕过沙盒限制，该建议通过改进环境卫生解决了该漏洞。 ZDI发布的报告中写道：“该漏洞允许远程攻击者逃离受影响的Apple macOS安装上的沙盒。攻击者必须首先获得在目标系统上执行低权限代码的能力，才能利用此漏洞。LaunchServices组件中的XPC消息处理过程中存在特定漏洞，精心制作的消息可能会触发特权操作的执行。攻击者可以利用此漏洞提升权限，并在当前用户的上下文中执行任意代码。” 该漏洞于2021年12月22日报告给供应商，并于2022年8月15日披露。 Regula将分析重点放在Terminal.app的Objective-C方法上。 专家写道：“设置__OSINSTALL_ENVIRONMENT环境变量时，+[TTApplicationisRunningInInstallEnvironment]将返回YES，因此，当终端启动，+[TTApplicationisRunningInInstallEnvironment]返回YES时，一些环境变量没有被清除。通过简单的命令注入，我能够在终端中执行代码，而无需任何沙盒！” 专家通过将漏洞嵌入到Word文档中，并加载Mythic的JXA有效载荷，从而将漏洞武器化。 Regula解释道：“在终端内执行代码可能非常危险，因为它可能已经获得了一些TCC权限。” Reguła分享了一个视频PoC，演示了如何将Word文档武器化，以逃离沙盒并在终端内执行代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

“网络通”麻某本可以靠自身技能找工作赚干净钱，却抵不住金钱的诱惑走上邪路，一手好牌被自己打的稀烂，硬生生将自己送进“班房”，冰城警方果断出手斩断了麻某非法窃取公民信息的“黑手”。 近日，哈尔滨市公安局南岗分局网安大队民警在工作中发现，境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据，自称持有数据量约20GB，售价0.2比特币，该用户还公布了29条数据样本，样本中还包括了公民姓名、联系电话、家庭住址等个人信息。由于该线索涉及侵犯公民个人信息犯罪，且涉案数据量较大，立即引起了各级网安部门的高度重视。在哈尔滨市公安局网安支队统一指挥下，两级网安部门成立专案组，合力开展侦查工作。 专案组民警在调查中发现，犯罪嫌疑人精通电脑操作及网络知识，隐藏得很深，给侦查工作造成了不小的难度。专案组的民警们昼夜不眠，将被泄露数据在海量的数据源中进行比对、分析，经过96小时的艰苦奋战，最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。 10月22日，南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获，并在其电脑中查获非法获取的公民个人信息10万余条。经审讯，犯罪嫌疑人麻某供述，其为IT行业从业人员，利用某医疗机构微信公众号的系统漏洞，在今年4月至10月间，通过技术手段非法获取该计算机系统数据10万余条，而后在境外某黑客论坛发帖出售，截至落网前，已非法获利1500美元。 目前，麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕，案件正在进一步工作中。 转自 安全内参，原文链接：https://www.secrss.com/articles/49228 封面来源于网络，如有侵权请联系删除

美国联邦调查局和CISA在11月16日发布的联合公告中透露，一个未命名的伊朗支持的威胁组织入侵了美国联邦民事行政部门（FCEB）组织，以部署XMRig加密恶意软件。 攻击者使用针对Log4Shell （CVE-2021-44228） 远程代码执行漏洞的攻击方式，在入侵了未修补的 VMware Horizon 服务器后进而入侵美国联邦网络。 联合公告中写道：“在事件响应活动过程中，CISA确定网络威胁行为者利用未修补的VMware Horizon服务器中的Log4Shell漏洞，安装XMRig加密挖掘软件，横向移动到域控制器（DC），破坏凭据，然后在多个主机上植入Ngrok反向代理以保持持久性，” 这两个美国联邦机构还补充说：“所有尚未针对Log4Shell修补VMware系统的组织都应该假设他们已经遭到破坏，并建议他们开始在其网络中寻找恶意活动。” CISA也在六月份警告说：“VMware Horizon和Unified Access Gateway（UAG）服务器仍然受到多个威胁行为者的攻击，包括国家支持的黑客组织，使用Log4Shell漏洞开展攻击。” Log4Shell 可以被远程利用，以暴露在本地或 Internet 访问下的易受攻击的服务器为目标，在被破坏的网络之间横向移动，以访问存储敏感数据的内部系统。 国家黑客正在进行的Log4Shell利用 自从 2021 年 12 月披露后，多个威胁行为者几乎立即开始扫描和利用未修补的系统。 攻击者名单包括来自伊朗、朝鲜和土耳其的国家支持的黑客组织，以及与一些勒索软件团伙关系密切而闻名的访问经纪人。 根据此类情况，CISA建议拥有易受攻击的VMware服务器的组织做好他们已遭到破坏的假设并启动威胁搜寻活动。VMware也在一月份敦促客户尽快保护其VMware Horizon服务器免受Log4Shell攻击。 在今天的公告中，CISA和FBI更是进一步建议组织应用建议的缓解和防御措施，包括： 1、将受影响的 VMware Horizon 和统一接入网关 （UAG） 系统更新到最新版本。 2、最大程度地减少组织面向 Internet 的攻击面。 3、针对映射到 CSA 中 MITRE ATT&CK FOR ENTERPRISE 框架的威胁行为，执行、测试和验证组织的安全计划。 4、根据公告中所述的 ATT&CK 技术测试组织的现有安全控制。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/TAv7j9MctreutCUoog6Qmw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Rapid7研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了安全控制的几个绕过，安全供应商F5并不认为这是可利用的漏洞。 专家发现的漏洞有： CVE-2022-41622是一种通过跨站点请求伪造 （CSRF） 执行未经身份验证的远程代码，会影响BIG-IP和BIG-IQ产品。 供应商发布的公告表示：“攻击者可能会欺骗具有资源管理员角色权限并通过iControl SOAP中的基本身份验证的用户执行关键操作。攻击者只能通过控制平面（而不是数据平面）利用此漏洞。如果被利用，此漏洞可能会危及整个系统。” CVE-2022-41800是通过RPM规范注入执行经过身份验证的远程代码，驻留在设备模式iControl REST中。在设备模式下，具有分配管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。 公告中写道：“在设备模式下，具有分配给管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。这是一个控制平面问题；没有数据平面暴露。设备模式由特定许可证强制实施，或者可以为单个虚拟群集多处理器（vCMP）来宾实例启用或禁用。” 上述漏洞被评为高严重性。 Rapid7于2022年8月18日向F5报告了这两个漏洞，并支持供应商解决这些问题。 以下是 F5 因不可利用而拒绝的安全控制的绕过： ID1145045 – 通过错误的UNIX套接字权限提升本地权限 （CWE-269） ID1144093 – 通过不正确的文件上下文绕过SELinux （CWE-732） ID1144057 – 通过更新脚本中的命令注入绕过SELinux （CWE-78）   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

11月15日，据Info Risk Today报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。 该漏洞出现之际正值埃隆•马斯克（Elon Musk）执掌推特第三周，公司的主要安全合规人员离职，大量员工和承包商被解雇。 一位匿名研究人员向媒体透露，向推特验证服务发送“STOP”会导致关闭短信双因素认证，它会自动回复“您的设备已被移除，所有账户的短信双因素验证已被禁用。” 经ISMG验证，该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证，包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道，其沟通团队已解体。 账户安全一直是推特的痛处。2017年，十几岁的黑客接管了数十个知名账户，包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户，并在其账户中发布加密货币欺诈等信息。 纽约金融服务部（New York Department of Financial Services）认定，推特的内部安全协议薄弱，而且缺乏负责网络安全的高管。 在马斯克担任首席执行官期间，出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。 据路透社13日报道，推特早前推出的每月8美元蓝V用户付费认证订阅服务，导致假账号激增，已于11日被叫停。据报道，此前，推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来，启动大规模改革，于5日正式推出全新订阅服务，每月收费8美元，以向用户提供蓝V认证标记。报道称，该公司的安全团队曾事先警告马斯克，8美元并不能阻止假帐号。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349902.html 封面来源于网络，如有侵权请联系删除