Hackernews 编译，转载请注明出处： 安全公司Oxeye的研究人员在Spotify的后台发现了一个关键的远程代码执行漏洞（CVSS评分为9.8）。Backstage是Spotify用于构建开发人员门户的开源平台，它被多个组织使用，包括美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games。 此问题可通过触发vm2第三方库中最近披露的虚拟机沙箱逃逸漏洞（CVE-2022-36067 又名Sandbreak）来利用。 Oxeye研究人员通过Spotify的漏洞赏金计划报告了这个RCE漏洞，Backstage开发团队在1.5.1版本中迅速修复了这个漏洞。 “未经身份验证的黑客可以通过利用Scaffolder核心插件中的vm2沙箱逃逸，在Backstage应用程序上执行任意系统命令。”Oxeye发布的建议写道。 该漏洞存在于允许开发人员在Backstage中创建组件的软件模板工具中。 研究人员解释说，模板引擎利用vm2库来防止不可信代码的执行。 “在审查如何限制这种风险时，我们注意到可以通过在隔离环境之外使用带有Nunjucks的用户控制模板，来运行shell命令。因此，Backstage开始使用vm2 JavaScript沙盒库来降低这种风险。在早期的研究论文中，Oxeye发现了一个vm2沙盒逃逸漏洞，导致主机上的远程代码执行（RCE）。 研究人员在Shodan中对Backstage favicon哈希进行了简单的查询，并发现了500多个暴露在互联网上的Backstage实例。 专家们注意到，默认情况下部署Backstage时没有身份验证机制或授权机制，允许来宾访问。一些公开的Backstage实例不需要任何身份验证。 通过进一步的测试，专家们可以确定，在许多情况下，不需要身份验证就可以利用该漏洞。 “任何基于模板的虚拟机转义的根源都是在模板中获得JavaScript执行权限。通过使用“无逻辑”模板引擎（如Mustache），可以避免引入服务器端模板注入漏洞。尽可能将逻辑与演示文稿分离，可以大大减少您受到最危险的基于模板的攻击风险。有关缓解基于模板的漏洞的更多信息，请参阅PortSwigge的技术公告。如果您使用Backstage进行身份验证，请同时在前端和后端启用它。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员已经披露了Zendesk Explore中现已修补的漏洞的详细信息，攻击者可能利用这些漏洞从启用了该功能的客户帐户中获取未经授权的信息访问权限。 Varonis在与The Hacker News共享的一份报告中表示：“在修补之前，该漏洞将允许黑客在启用Explore的情况下访问Zendesk帐户中的对话、电子邮件地址、票证、评论和其他信息。” 这家网络安全公司表示，没有证据表明这些问题在现实世界的攻击中被积极利用。客户无需采取任何行动。 Zendesk Explore是一种报告和分析解决方案，允许组织“查看和分析有关客户和支持资源的关键信息”。 根据该安全软件公司的说法，利用该漏洞首先需要攻击者以新的外部用户身份注册受害者Zendesk帐户的票务服务，该功能可能默认启用，以允许最终用户提交支持票证。 该漏洞与GraphQL API中的SQL注入有关，该注入可能被滥用，以管理员身份泄露数据库中存储的所有信息，包括电子邮件地址、票证以及与实时代理的对话。 第二个漏洞涉及与查询执行API相关的逻辑访问问题，该API被配置为在不检查进行调用的“用户”是否有足够权限的情况下运行查询。 这意味着新创建的最终用户可以调用此API，更改查询，并从目标Zendesk帐户的RDS中的任何表中窃取数据，而无需SQLi。 Varonis表示，这些问题已于8月30日向Zendesk披露，随后该公司于2022年9月8日纠正了这些漏洞。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

如果你正在寻找一种可以很快赚到很多钱的方法，你可以尝试寻找操作系统和关键应用软件中的安全漏洞，并申请漏洞赏金。一位研究人员在发现了一种无需密码就能解锁Android手机的方法后，从Google那里获得了7万美元的报酬，而且他是无意中做到的。 匈牙利的研究人员David Schütz报告了这个高危漏洞，被追踪为CVE-2022-20465，它被描述为由于代码中的逻辑错误导致的锁屏绕过，可能导致本地权限升级，不需要额外的执行权限。 触发该漏洞需要攻击者拥有一台Android设备，但它的危害程度相当大，可以一次规避包含由PIN、形状、密码、指纹或脸部保护的屏幕锁在内的所有保护方法。Schütz在旅行24小时后发现了这个缺陷，他的Pixel 6在发送一系列短信时出现死机。连接充电器并重启设备后，Pixel要求输入SIM卡的PIN码，这与锁屏密码是分开的；它的目的是阻止别人从物理上盗取SIM卡并使用它。舒兹记不起他的密码，在他输入三次错误的数字后，导致SIM卡被锁定。 重置锁定的SIM卡的唯一方法是使用个人解锁密码，即PUK。这些代码通常印在SIM卡的包装上，或者可以通过致电运营商的客户支持来获得。Schütz使用了前者，使他能够重置PIN。但是，Pixel没有要求提供锁屏密码，而只是要求进行指纹扫描，出于安全考虑，Android设备在重启后要求提供密码/PIN。 舒茨对这种异常情况进行了实验。最终，他发现可以再不重启设备的情况下重现这些动作，从而绕过整个锁屏，甚至不需要指纹就可以进入主界面。 Schütz说，这个过程在他的Pixel 6和Pixel 5上均有作用。Google在11月5日的最新Android系统更新中修复了这一问题，但不怀好意的攻击者至少可以在接下来的数月内继续利用它。所有运行Android 10到Android 13的设备如果没有更新到2022年11月的补丁都会受到影响。 Google可以向报告锁屏绕过漏洞的人支付最高10万美元，Schütz获得了相对较少的7万美元，这是因为有人已经报告了他发现的那个漏洞，但Google无法重现它。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7166223697941660191/?log_from=1f8eee6993cb3_1668563046935 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌Project Zero研究人员报告称，一家监控供应商正在使用三星手机的三个零日漏洞，分别追踪为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370。 这三个漏洞是： CVE-2021-25337：SMR MAR-2021第1版之前的三星移动设备中剪贴板服务访问控制不当，允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369：SMR MAR-2021第1版之前的sec_log文件中存在一个不正确的访问控制漏洞，导致敏感的内核信息暴露给用户空间。 CVE-2021-25370：SMR Mar-2021第1版之前，dpu驱动程序中处理文件描述符的实现不正确，导致内存损坏，从而导致内核崩溃。 研究人员指出，这家监控公司在其间谍软件中包含了这三个漏洞，而这些漏洞在被利用时是零日漏洞。 这个野外漏洞利用链是一个很好的例子，它展示了与我们过去看到的许多Android漏洞不同的攻击面和“形状”。该链中的三个漏洞都在制造商的自定义组件中，而不是在AOSP平台或Linux内核中。并且3个漏洞中有2个是逻辑和设计漏洞，而不是内存安全漏洞。 监控供应商利用上述漏洞入侵三星手机。 TAG团队仅获得了可能处于测试阶段的三星手机的部分漏洞链。专家透露，该样本可追溯到2020年底。 该链值得进一步分析，因为它是一个3个漏洞链，其中所有3个漏洞都在三星自定义组件中，包括Java组件中的漏洞。 专家们解释说，该漏洞样本针对的是运行内核4.14.113和Exynos SOC的三星手机。在欧洲和非洲销售的手机使用这种特定的SOC，该漏洞依赖于Exynos三星手机的Mali GPU驱动程序和DPU驱动程序。 2020年末运行4.14.113内核的三星手机包括S10、A50和A51。 Google在2020年末发现这些漏洞后立即向三星报告，该供应商于2021年3月解决了这些漏洞。 谷歌没有透露监控供应商的名字，只是强调了与其他针对Android用户活动的相似之处，即意大利和哈萨克斯坦。 Project Zero指出，三星针对这些漏洞发布的公告并未提及它们在野外的利用。 当已知漏洞在野外被利用时，标记对于目标用户和安全行业都很重要。如果野外零日漏洞没有被披露，那么我们无法使用该信息来进一步保护用户，使用补丁分析和变体分析来了解攻击者已经知道的情况。 对这个漏洞链的分析为我们提供了新见解，让我们了解到了攻击者是如何瞄准Android设备的。这突出了对制造商特定组件进行更多研究的必要性。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer  网站披露，VMware 近期发布了安全更新，以解决 Workspace ONE Assist 解决方案中的三个严重漏洞，分别追踪为 CVE-2022-31685（认证绕过）、CVE-2022-31686 （认证方法失败）和 CVE-2022-31687 （认证控制失败）。据悉，这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。 Workspace ONE Assist  可以提供远程控制、屏幕共享、文件系统管理和远程命令执行，以帮助服务后台和 IT 人员从 Workspace ONE 控制台实时远程访问设备并排除故障。 未经身份认证的威胁攻击者可以在不需要用户交互进行权限升级的低复杂度攻击中利用这些漏洞。从 VMware 发布的声明来看，一旦具有 Workspace ONE Assist 网络访问权限的恶意攻击者成功利用这些漏洞，无需对应用程序进行身份验证就可以获得管理访问权限。 漏洞现已修复 目前，VMware为Windows 已经为客户发布了 Workspace ONE Assist 22.10（89993），对这些漏洞进行了修补。 此外，VMware 还修补了一个反射式跨站脚本（XSS）漏洞（CVE-2022-31688）以及一个会话固定漏洞（CVE-2022-31689），前者允许攻击者在目标用户的窗口中注入 javascript 代码，，后者允许攻击者获得有效会话令牌后进行身份验证。 值得一提的是，Workspace ONE Assist 22.10 版本修补的所有漏洞都是由 REQON IT-Security的Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 发现并报告给 VMware 的。 VMware 修复了多个安全漏洞 今年 8 月，VMware 警告管理员要修补 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中另外一个关键身份认证绕过安全漏洞，该漏洞允许未经认证的攻击者获得管理权限。 同年 5 月，Mware 修补了一个几乎相同的关键漏洞，该漏洞是 Innotec Security的Bruno López 在 Workspace ONE Access、VMware Identity Manager（vIDM）和vRealize Automation 中发现的另一个身份验证绕过漏洞（CVE-222-22972）。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349339.html 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局（CISA）发布了三份工业控制系统（ICS）公告，涉及ETIC电信、诺基亚和Delta工业自动化的软件中的多个漏洞。其中最突出的是影响ETIC电信公司远程访问服务器（RAS）的一组三个缺陷，它 “可能允许攻击者获得敏感信息，并控制有漏洞的设备和其他连接的机器”，CISA说。 这包括CVE-2022-3703（CVSS评分：9.0），这是一个关键的缺陷，源于RAS网络门户无法验证固件的真实性，从而有可能塞进一个流氓包，授予对手后门权限。 另外两个缺陷与RAS API中的目录穿越错误（CVE-2022-41607，CVSS评分：8.6）和一个文件上传问题（CVE-2022-40981，CVSS评分：8.3）有关，可被利用来读取任意文件和上传恶意文件，从而破坏设备。 以色列工业网络安全公司OTORIO被认为是发现和报告了这些缺陷。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞，法国公司在4.7.3版本中解决了这些问题。 CISA的第二个公告涉及诺基亚ASIK AirScale 5G通用系统模块的三个缺陷（CVE-2022-2482、CVE-2022-2483和CVE-2022-2484），这可能为任意代码执行和安全启动功能的停止铺平道路。所有的缺陷在CVSS严重性等级中被评为8.4级。CISA指出，成功利用这些漏洞可能导致执行恶意内核，运行任意的恶意程序，或运行修改过的诺基亚程序。 据说这家芬兰电信巨头已经公布了影响ASIK 474021A.101和ASIK 474021A.102版本的缺陷的缓解说明。该机构建议用户直接与诺基亚联系，以获得进一步信息。 最后，该网络安全机构还警告说，一个路径穿越漏洞（CVE-2022-2969，CVSS评分：8.1）影响了台达工业自动化公司的DIALink产品，可被利用来在目标设备上植入恶意代码。 该漏洞已在1.5.0.0 Beta 4版本中得到解决，CISA表示可以直接联系台达工业自动化或通过台达现场应用工程（FAEs）获得该版本。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/YlzSIFJSsLkFUAEiTfggaQ 封面来源于网络，如有侵权请联系删除

印度的大众快速交通系统依赖通勤智能卡，而这些智能卡容易被利用，并允许任何人有效地免费旅行。安全研究员Nikhil Kumar Singh发现了一个影响德里地铁智能卡系统的漏洞。该研究人员表示，该漏洞利用了充值过程，允许任何人为地铁列车的智能卡充值，金额与次数不限。 Singh表示，他是在无意中使用德里地铁站的一个储值机为自己的地铁智能卡免费充值后发现这个漏洞的。 Singh说，这个错误的存在，是因为当旅客使用地铁站的储值机给他们的地铁智能卡充值时，地铁充值系统没有正确地验证付款。他说，缺乏检查意味着，即使储值机显示购买失败，智能卡也会被欺骗，以为它已经充值。在这种情况下，付款被标记为待定，随后被退回，使该人能够有效地免费乘坐地铁。 “我在德里地铁的系统上试了一下，能够获得免费的充值额度，”Singh表示。”我仍然需要通过使用PhonePe或Paytm支付来启动充值，但由于充值仍未完成，30天后会被退回。这就是为什么在技术上是免费的，”他说。 Singh分享了他在2月份录制的概念验证视频，展示了智能卡如何被骗到德里地铁卡上增值。在更好地了解该漏洞后，该研究人员在一天后联系了德里地铁公司（DMRC）。作为回应，DMRC要求Singh通过电子邮件分享该漏洞的细节，他这样做了，同时还提供了一份技术报告和演示该漏洞运行的日志文件。3月16日，Singh收到了一份模板式的回复，承认收到了他的邮件，但没有收到任何进一步的回复。 这个尚未修复的问题存在于智能卡本身。德里地铁依靠的是荷兰芯片制造商恩智浦半导体公司（NXP）生产的MiFare DESFire EV1智能卡。印度除了首都以外的其他地铁系统，包括班加罗尔，也使用同样的智能卡系统。如果其他州的地铁列车的技术基础设施是一样的，那么这个错误在那里也会起作用。 这不是安全研究人员第一次发现同一品牌的智能卡的问题。过去的研究发现类似的漏洞影响了德里地铁使用的相同的DESFire EV1智能卡，以及其他欧洲大众交通系统。2020年，MiFare推出了DESFire EV3作为其非接触式解决方案，具有更好的安全性。 Singh建议，如果地铁系统迁移到DESFire EV3卡，智能卡的错误可以得到修复。 DMRC的三位发言人没有回答多封寻求评论的电子邮件，恩智浦的发言人表示暂时无法提供评论。负责该市地铁服务的班加罗尔地铁公司也没有发表评论。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161624205958578722/?log_from=39f4d88fc74f_1667544181155&wid=1667544282360 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Fortinet解决了该公司某些产品中的16个漏洞，其中6个漏洞的严重程度很高。 其中一个高严重性漏洞是FortiADC日志页面中的持续XSS，跟踪为CVE-2022-38374。该漏洞的根本原因是FortiADC中网页生成漏洞[CWE-79]期间输入的中和不当。未经身份验证的远程攻击者可触发此漏洞，通过流量和事件日志视图中观察到的HTTP字段执行存储的跨站脚本 （XSS） 攻击。 该公司解决的另一个问题是CLI命令中的命令注入漏洞，跟踪为FortiTester的CVE-2022-33870。 FortiTester命令行解释器中操作系统命令漏洞[CWE-78]中使用的特殊元素的不当中和，可能允许经过身份验证的攻击者通过对现有命令的特制参数执行未经授权的命令。 另一个漏洞，被追踪为CVE-2022-26119，影响FortiSIEM，被描述为“明文存储的Glassfish本地凭证”。 具有命令行访问权限的本地攻击者可以利用该漏洞，通过硬编码密码直接在Glassfish服务器上执行操作。 此处提供了2022年11月解决的漏洞的完整列表。 10月，Fortinet证实，被追踪为CVE-2022-40684的关键身份验证绕过漏洞正在野外被恶意利用。该问题影响了FortiGate防火墙和FortiProxy web代理。 攻击者可以利用该漏洞登录易受攻击的设备。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞。漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786，主要影响 OpenSSL 3.0.0 及更高版本，现已在 OpenSSL 3.0.7 中得到解决。 据悉，CVE-2022-3602 是一个任意 4 字节堆栈缓冲区溢出漏洞，可能导致拒绝服务或远程代码执行。CVE-2022-3786 可以被攻击者通过恶意电子邮件地址利用，通过缓冲区溢出触发拒绝服务状态。 OpenSSL 团队表示，虽然目前没有证据表明这两个漏洞已经被利用，但鉴于其具有很高的危险性，希望受影响用户尽快安装更新升级补丁，以免遭受网络威胁。此外，OpenSSL 还提供了一些其它缓解措施，例如直到应用新补丁前，要求操作 TLS 服务器的管理员禁用 TLS 客户端认证。 CVE-2022-3602 漏洞危险指数下降 值得一提的是，OpenSSL 最初发布的漏洞警告促使了管理员立即采取行动缓解漏洞，但之后鉴于 CVE-2022-3602 已被降级为高度严重，况且它只影响 OpenSSL 3.0 及更高版本，另外与 OpenSSL 密码库早期版本相比，最近发布的版本也尚未大量部署到生产中使用的软件上，因此造成的实际影响可能很有限， 尽管一些安全专家和供应商将此漏洞的危险性等同于 Apache Log4J 日志库中的 Log4Shell 漏洞，但在Censys 在线发现的 1793000 多个主机中，只有大约 7000个暴露在互联网上的系统正在运行易受攻击的OpenSSL 版本，Shodan 也列出了大约 16000 个可公开访问的 OpenSSL 实例。 此外，云安全公司 Wiz.io 也表示，在分析了主要云环境（AWS、GCP、Azure、OCI和阿里巴巴云）中的部署后，发现只有 1.5% 的 OpenSSL 实例受到这一安全漏洞的影响。 流行 CSP 中存在漏洞的 OpenSSL 实例 最新的 OpenSSL 版本包含在多个流行的 Linux 发行版中，其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被网络安全公司 Akamai标记为有漏洞，荷兰国家网络安全中心目前也正在确认一份受 CVE-2022-3602 漏洞影响的软件产品清单。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348558.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软周二表示，它解决了Azure Cosmos DB的Jupyter Notebooks中的身份验证绕过漏洞，该漏洞启用了完全读写访问权限。 这家科技巨头表示，该漏洞于2022年8月12日出现，并于2022年10月6日在全球范围内得到纠正，两天后，Orca Security披露了该漏洞，并将其称为CosMiss。 研究人员Lidor Ben Shitrit和Roee Sagi说：“如果攻击者知道笔记本的‘forwardingId’，即笔记本工作区的UUID，他们将拥有笔记本的完全权限，而无需进行身份验证，包括读写访问权限，以及修改运行笔记本的容器的文件系统的能力。” 此容器修改最终可以通过覆盖与Cosmos DB 资源管理器相关联的Python文件来生成反向 shell，从而为在笔记本容器中获取远程代码执行铺平道路。 然而，要想成功利用该漏洞，攻击者必须拥有唯一的128位forwardingId，并在一小时内使用该id，之后临时笔记本将自动删除。 Redmond说：“即使知道forwardingId，该漏洞也无法执行笔记本，无法自动将笔记本保存在受害者（可选）连接的GitHub存储库中，也无法访问Azure Cosmos DB帐户中的数据。” 微软在自己的公告中指出，它没有发现恶意活动的证据，并补充说客户不需要采取任何行动。它还将该问题描述为“难以利用”，因为128位forwadingID的随机性及其有限的使用寿命。 “不使用Jupyter Notebooks的客户（99.8%的Azure Cosmos DB客户不使用Jupyter Notebooks）不容易受到此漏洞的影响。”该公司进一步表示。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文