Hackernews 编译，转载请注明出处： 视频消息公司Zoom修复了macOS的会议Zoom客户端中的一个高严重性漏洞，跟踪为CVE-2022-28762。 适用于macOS的会议Zoom客户端（标准版和IT管理员版）受调试端口配置错误的影响，该漏洞被跟踪为CVE-2022-28762，CVSS评分为7.3。当通过运行特定的Zoom应用程序作为Zoom App Layers API的一部分启用相机模式渲染上下文时，客户端会打开一个本地调试端口。本地恶意用户可以利用调试端口连接并控制Zoom客户端中运行的应用程序。 受影响的版本范围在5.10.6和5.12.0之间（不包括在内）。 该漏洞是由该公司内部安全团队在例行评估中发现的。 该公司还解决了一个中等严重程度的问题，被跟踪为CVE-2022-28761（CVSS评分6.5），该漏洞影响了Zoom内部部署会议连接器多媒体路由器（MMR）。 “版本4.8.20220916.131之前的Zoom内部部署会议连接器（MMR）包含一个不正确的访问控制漏洞。因此，在他们有权参加的会议或网络研讨会中，黑客可能会阻止参与者接收音频和视频，从而导致会议中断。”公告中写道。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

援引 Bleeping Computer 报道，存在于 Windows Mark of the Web (MotW) 中的零日漏洞正被攻击者积极利用。MotW 应用于提取 ZIP 存档文件、可执行文件和源自网络上不受信任位置的文档。 MOTW 是 The Mark of the Web 的英文简称，MOTW 是 Windows Internet Explorer通过强制使IE浏览器浏览存储下来的网页在安全的位置的一种机制，目的是增强安全性。MOTW 是一个注释作为标签添加到HTML网页中的，当用户打开存储在本地的HTML文档时，IE浏览器通过读这个注释判断是否在安全区域。 因此，由于攻击者阻止了 MotW 标签的应用，警告信号将不会被执行，从而使用户忘记了文件可能存在的威胁。值得庆幸的是，虽然微软仍然没有关于这个问题的官方修复，但 0patch 现在已经提供了该漏洞的修复补丁。 0patch 联合创始人兼 ACROS 安全首席执行官 Mitja Kolsek 表示：“攻击者更喜欢他们的恶意文件没有被 MOTW 标记；此漏洞允许他们创建 ZIP 存档，这样提取的恶意文件将不会被标记。攻击者可以在下载的 ZIP 中传送 Word 或 Excel 文件，由于没有 MOTW（取决于 Office 宏安全设置），它们的宏不会被阻止，或者会逃避 Smart App Control 的检查”。 该问题首先由 IT 解决方案公司 Analygence 的高级漏洞分析师 Will Dormann 报告。有趣的是，Dormann 在 7 月份首次向微软介绍了这个问题，但尽管在 8 月份阅读了报告，但仍然无法为每个受影响的 Windows 用户提供修复程序。 适用系统包括： ● Windows 11 v21H2 ● Windows 10 v21H2 ● Windows 10 v21H1 ● Windows 10 v20H2 ● Windows 10 v2004 ● Windows 10 v1909 ● Windows 10 v1903 ● Windows 10 v1809 ● Windows 10 v1803 ● Windows 7 with or without ESU ● Windows Server 2022 ● Windows Server 2019  ● Windows Server 2016 ● Windows Server 2012 ● Windows Server 2012 R2 ● Windows Server 2008 R2 with or without ESU 转自 cnBeta，原文链接：https://static.cnbetacdn.com/article/2022/1018/70f368e7d6c5635.webp 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Palo Alto Networks发布了安全补丁，以解决一个高严重性认证绕过漏洞，跟踪为CVE-2022-0030（CVSS评分8.1），影响PAN-OS 8.1软件。 该漏洞存在于其PAN-OS 8.1软件的Web界面中，基于网络的攻击者对目标防火墙或Panorama设备有特定了解，可以利用该漏洞模拟现有PAN-OS管理员并执行特权操作。 以下是受影响版本的列表： 版本 影响 未受影响 Cloud NGFW 无 全部 PAN-OS 10.2 无 全部 PAN-OS 10.1 无 全部 PAN-OS 10.0 无 全部 PAN-OS 9.1 无 全部 PAN-OS 9.0 None All PAN-OS 8.1 < 8.1.24 >= 8.1.24 Prisma Access 无 全部 该漏洞已在PAN-OS 8.1.24及更高版本中得到解决，该公司指出，PAN-OS 8.1生命周期已经结束（EOL），并且仅在PA-200，PA-500和PA-5000系列防火墙以及M-100设备上受支持，直到它们也达到EOL状态。 安全供应商表示，他们不知道有任何黑客利用此漏洞的恶意行为。 这些漏洞被跟踪为CVE-2022-37913和CVE-2022-37914，未经身份验证的攻击者可以远程利用这些漏洞来获取目标系统上的管理员权限。10月11日发布了描述这些漏洞的通报。 该通报还通知了Aruba客户，一个严重的未经过身份验证的远程代码执行漏洞（CVE-2022-37915）影响同一协调器产品。 该公司表示：“Aruba EdgeConnect Enterprise Orchestrator基于web的管理界面中存在漏洞，使得未经身份验证的远程攻击者能够在底层主机上运行任意命令。成功利用此漏洞，攻击者可以在底层操作系统上执行任意命令，从而导致整个系统受损。” 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 西门子Simatic可编程逻辑控制器（PLC）中的漏洞可以被用来检索硬编码的全局私有加密密钥，并获取对设备的控制权。 工业网络安全公司Claroty在一份新报告中表示：“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击，同时绕过其所有四个访问级别保护。” “黑客可能会利用这些机密信息，以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。” 该关键漏洞被追踪为CVE-2022-38465，在CVSS评分为9.3，西门子已在2022年10月11日发布的安全更新中对其进行了处理。 受影响的产品和版本列表如下： SIMATIC 驱动控制器系列（2.9.2之前的所有版本） SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2，包括 SIPLUS 变体（21.9 之前的所有版本） SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体（所有版本） SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体（4.5.0 之前的所有版本） SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体（V2.9.2 之前的所有版本） SIMATIC S7-1500 软件控制器（21.9 之前的所有版本） SIMATIC S7-PLCSIM 高级版（4.0 之前的所有版本） Claroty表示，它能够通过利用西门子PLC中之前披露的漏洞（CVE-2020-15782）来获得对控制器的读写权限，从而恢复私钥。 这样做不仅可以让攻击者绕过访问控制并覆盖本机代码，还可以完全控制每个受影响的西门子产品线的PLC。 CVE-2022-38465反映了去年在罗克韦尔自动化PLC（CVE-2021-22681）中发现的另一个严重漏洞，该漏洞可能使对手能够远程连接到控制器，并上传恶意代码，从PLC下载信息或安装新固件。 Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。” 西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信，并安全访问TIA Portal和CPU，以防止未经授权的连接。 这家德国工业制造公司还采取措施，使用TIA Portal版本17中的传输层安全性（TLS）对工程站、PLC和HMI面板之间的通信进行加密，同时警告“黑客滥用全球私钥的可能性越来越大。” 这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初，Claroty详细介绍了西门子SINEC网络管理系统（NMS）中的十几个漏洞，这些漏洞可能会被滥用以获得远程代码执行功能。 然后在2022年4月，该公司在罗克韦尔自动化PLC中发现了两个漏洞（CVE-2022-1159和CVE-2022-1161），这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Aruba修复了EdgeConnect Enterprise Orchestrator中的多个严重漏洞，远程攻击者可以利用这些漏洞来破坏易受攻击的主机。 Aruba EdgeConnect Orchestrator是一种集中式SD-WAN管理解决方案，允许企业控制其WAN。 以下是Aruba解决的漏洞: CVE-2022-37913和CVE-2022-37914 (CVSS v3.1 – 9.8)认证绕过漏洞，存在于EdgeConnect Orchestrator的web管理界面中。黑客可以触发该漏洞来绕过身份验证。 “Aruba EdgeConnect Enterprise Orchestrator基于web的管理界面中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证。成功利用这些漏洞可能会让攻击者获得管理权限，从而导致Aruba EdgeConnect  Enterprise Orchetrator主机完全受损。“供应商发布的公告中写道。 该公司还解决了Aruba EdgeConnect Enterprise Orchestrator基于Web的管理界面中未经身份验证的远程代码执行漏洞。该漏洞被追踪为CVE-222-37915，可被利用在底层主机上执行任意命令，从而导致整个系统受损。 该公司发布以下版本来解决这个问题: Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 及更高版本 Aruba不会发布已达到支持终止（EoS）版本的更新。在撰写本报告时，支持的版本包括： Aruba EdgeConnect Enterprise Orchestrator 9.2.x Aruba EdgeConnect Enterprise Orchestrator 9.1.x Aruba EdgeConnect Enterprise Orchestrator 9.0.x Aruba EdgeConnect Enterprise Orchestrator 8.10.x 为了最大限度地减少利用上述漏洞的可能性，供应商建议将CLI和基于Web的管理接口限制在专用的第2层分段/VLAN 和/或由第3层及以上的防火墙策略控制。 在本文发布时，该公司并未发现有利用上述漏洞的野外攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer消息，VMware于10月11日通知客户，vCenter Server 8.0（最新版本）仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。 该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份验证）机制中发现，影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署，具有非管理访问权限的攻击者可以利用漏洞，在未打补丁的服务器上将权限提升到更高权限组。 VMware 表示，只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分，该攻击需要低权限且无需用户交互（但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低- 复杂性攻击）。 尽管如此，VMware 仍将该漏洞的严重性评估为“重要”， 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。 尽管该公司在 2022 年 7 月发布安全更新，但仅解决了当时运行最新可用版本（vCenter Server 7.0 Update 3f）的服务器漏洞，即便如此，该补丁也在发布 11 天后被撤回，因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。 补丁发布之前的解决方法 尽管所有受影响产品都还在苦苦等待补丁的到来，但 VMware 提供了一种解决方法，允许管理员删除攻击媒介。 为了阻止攻击尝试，VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证（仅限 vSphere 7.0）。 转自 Freebuf，原文链接：https://www.freebuf.com/news/346632.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Fortinet已证实，最近披露的关键身份验证绕过问题(CVE-2022-40684)正被在野利用。该漏洞被跟踪为CVE-2022-40684，影响了FortiGate防火墙和FortiProxy网络代理。 攻击者可以利用此漏洞登录易受攻击的设备。 “在FortiOS和FortiProxy中使用备用路径或通道[CWE-88]的身份验证绕过可能允许未经身份验证的攻击者通过特制的HTTP或HTTPS请求在管理界面上执行操作。”PSIRT公司发布的公告中写道。 由于存在远程利用该漏洞的风险，该公司建议客户立即解决此关键漏洞。 该漏洞会影响从7.0.0到7.0.6以及从7.2.0到7.2.1的FortiOS版本，从7.0.0至7.0.6和7.2.0的FortiProxy版本也会受到影响。 这家网络安全公司通过发布FortiOS/FortiProxy 7.0.7或7.2.2版本解决了该漏洞。该公司还为那些无法立即部署安全更新的人提供了解决方法。 无法升级其系统的客户应禁用HTTP/HTTPS管理接口或限制可以访问的IP地址。 公告指出：“Fortinet知道有一个实例利用了此漏洞，建议立即根据设备日志中的以下危害指标验证您的系统：user=”Local_Process_Access“”。 Horizon3攻击团队的安全研究人员开发了一种概念验证（PoC）攻击代码，并计划于本周晚些时候发布。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在发现攻击者利用新的关键零日漏洞攻击其客户网络后，安全软件公司Sophos发布了其防火墙产品的补丁更新。 该漏洞跟踪为CVE-2022-3236（CVSS 评分：9.8），影响Sophos Firewall v19.0 MR1 (19.0.1) 及更早版本，并涉及用户门户和Webadmin组件中的代码注入漏洞，该漏洞可能导致远程代码执行。 该公司表示，它已经发现该漏洞被用于针对一小部分特定组织，主要是在南亚地区，并直接通知了这些实体。 Sophos建议用户采取措施确保用户门户和Webadmin不会暴露于WAN。或者，用户可以更新到最新版本。 v19.5 GA v19.0 MR2 (19.0.2) v19.0 GA, MR1, and MR1-1 v18.5 MR5 (18.5.5) v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4 v18.0 MR3, MR4, MR5, and MR6 v17.5 MR12, MR13, MR14, MR15, MR16, and MR17 v17.0 MR10 运行旧版本Sophos Firewall的用户需要升级才能获得最新的保护和相关补丁。 这一进展标志着Sophos防火墙漏洞在一年内第二次受到主动攻击。今年3月初，另一个漏洞 ( CVE-2022-1040 ) 被用于针对南亚地区的组织。 然后在2022年6月，网络安全公司Volexity分享了攻击活动的更多细节，将入侵行为归因于一种称为DriftingCloud的中国高级持续威胁（APT）。 Sophos防火墙设备以前也曾遭到攻击，部署了所谓的Asnarök 特洛伊木马，企图窃取敏感信息。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二发布了一份工业控制系统（ICS）咨询报告，指出Dataprobe的iBoot PDU配电装置产品存在7个安全漏洞，该产品主要用于工业环境和数据中心。 “成功利用这些漏洞可能会导致在Dataprobe iBoot-PDU设备上执行未经身份验证的远程代码。”该机构在通知中表示。 工业网络安全公司Claroty披露了这些漏洞，并表示这些漏洞可以通过“直接连接到设备的网络或云”远程触发。 iBoot-PDU是一种配电装置（PDU），它通过Web界面为用户提供实时监控功能和复杂的警报机制，从而控制OT环境中设备和其他设备的电源。 根据攻击面管理平台Censys 2021年的一份报告，考虑到互联网上可访问的PDU不少于2600个，其中Dataprobe设备占暴露数量的近三分之一，这些漏洞具有新的意义。 Claroty对PDU固件的分析表明，该产品受到了从命令注入到路径遍历漏洞等问题的影响，使客户面临严重的安全风险： CVE-2022-3183（CVSS 评分：9.8）：命令注入漏洞，源于对用户输入缺乏清理 CVE-2022-3184（CVSS 评分：9.8）：路径遍历漏洞，允许访问未经身份验证的PHP页面，该页面可能被滥用以插入恶意代码 Claroty研究人员Uri Katz说，成功远程利用这些漏洞“使攻击者可以通过切断设备的电源，进而切断连接在设备上的任何东西，在一定距离内破坏关键服务”。 其他五个未被发现的漏洞（从CVE-222-3185到CVE-22-3189）可能会被黑客武器化，从云端访问设备的主管理页面，甚至诱使服务器连接到任意内部或外部系统（即SSRF），从而可能泄漏敏感信息。 Katz说：“即使是通过互联网或基于云的管理平台远程管理的无害配电装置，也可以为攻击者提供目标网络，或者通过切断插入PDU的设备的电源来中断基本服务。” Claroty进一步透露，它找到了一种方法来枚举连接云的iBoot PDU设备，即利用有效cookie和设备 ID（可以轻易猜到的顺序数值）的组合，从而扩大所有连接设备的可用攻击面。 建议Dataprobe iBoot-PDU的用户升级到最新的固件版本(1.42.06162022) 并禁用SNMP、Telnet和HTTP（如果未使用），以缓解其中一些漏洞。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 通过FunJSQ执行任意代码会影响多个Netgear路由器模型，FunJSQ是厦门讯网网络技科技有限公司为在线游戏加速开发的第三方模块。 FunJSQ模块用于各种Netgear路由器和Orbi WiFi系统，影响该模块的问题在2022年5月被发现，现已修复。通过对各种固件的分析，研究人员发现NETGEAR设备（R9000、R7800、RAX200、RAX120、R6230、R6260、RAX40）和一些Orbi WiFi系统（RBR20、RBS20、RBR50、RBS50）中存在漏洞模块。 专家发布的帖子写道：“早在2022年5月，我们就在语料库中的大多数NETGEAR固件图像中发现了FunJSQ，这是由中国厦门讯网网络科技有限公司提供的第三方游戏速度提升服务。随着我们对它的深入研究，事情变得越来越复杂，最终对它进行了全面的漏洞研究。我们发现了影响该第三方组件的多个漏洞，这些漏洞可能导致从LAN和WAN接口执行任意代码。” 专家们在分析NETGEAR R7000使用的固件时发现了以下问题： 由于显式禁用证书验证（-k）而导致通信不安全，这允许我们篡改从服务器返回的数据。 更新包只需通过哈希校验和验证，包不会以任何方式签名。 以提升的权限任意提取根路径，允许控制更新包的人覆盖设备上任何位置的任何内容（这非常信任第三方供应商） 基本上，整个更新过程依赖于仅使用哈希校验和在设备上验证的未签名包。专家还发现，该模块在更新过程中不依赖安全通信，这意味着攻击者可以篡改更新包。 不安全的更新机制漏洞被跟踪为CVE-2022-40620，未经验证的命令注入漏洞被跟踪为CVE-2022-40619。 NETGEAR在6月修复了该漏洞，并指出，攻击者只有在知道受害者的WiFi密码或与受害者路由器的以太网连接的情况下才能利用这些漏洞。 建议用户尽快更新设备。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文