Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了2个新漏洞，一个Windows权限提升漏洞，跟踪为CVE-2022-37969，以及一个任意代码执行漏洞，跟踪为CVE-2022-32917，影响iPhone和Mac。 根据具有约束力的操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CVE-2022-37969漏洞已在微软周二发布的补丁安全更新中得到解决，它是一个Windows通用日志文件系统驱动程序权限提升漏洞。 微软将报告此漏洞归功于DBAPPSecurity的Quan Jin、Mandiant的Genwei Jiang、FLARE OTF、CrowdStrike和Zscaler ThreatLabz。 该公司没有透露利用该漏洞进行攻击的详细信息。 CISA目录中添加的第二个漏洞是一个任意代码执行漏洞，跟踪为CVE-2022-32917。该漏洞是苹果公司今年解决的第八个被积极利用的零日漏洞。 苹果针对该漏洞发布的公告中写道：“应用程序可能能够以内核权限执行任意代码，这个问题已通过改进边界检查得到解决。” 该漏洞影响iPhone 6s及以上版本、iPad Pro(所有型号)、iPad Air 2及以上版本、iPad第5代及以上版本、iPad mini 4及以上版本、iPod touch(第7代、运行macOS Big Sur 11.7和macOS Monterey 12.6的mac)。 黑客可以通过创建特制的应用程序来利用此漏洞，以内核权限执行任意代码。该漏洞由一位匿名研究人员报告，苹果公司证实它知道该漏洞“可能已被积极利用”。 CISA 命令联邦机构在2022年10月5日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 最新版本的WordPress付费插件WPGateway中的一个零日漏洞正在被积极利用，可能允许黑客完全接管受影响的网站。 WordPress安全公司Wordfence指出，该漏洞被跟踪为CVE-2022-3180（CVSS 评分：9.8），正在被武器化以将恶意管理员用户添加到运行WPGateway插件的站点。 Wordfence研究员Ram Gall在一份报告中说：“部分插件功能暴露了一个漏洞，允许未经验证的攻击者插入恶意管理员。” WPGateway是站点管理员从统一仪表板上安装、备份和克隆WordPress插件和主题的工具。 运行该插件的网站被入侵的最常见迹象是存在用户名为“rangex”的管理员。 此外，访问日志中出现对“//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1”的请求，表明WordPress网站已被该漏洞锁定，尽管这并不一定意味着成功入侵。 Wordfence表示，在过去30天内，它阻止了超过460万次试图利用该漏洞攻击超过28万个网站的攻击。 由于积极利用和防止其他黑客利用该漏洞，因此未提供有关该漏洞的更多详细信息。在没有补丁的情况下，建议用户从WordPress安装中删除该插件，直到有补丁可用。 几天前，Wordfence警告称，另一个名为BackupBuddy的WordPress插件存在零日漏洞。 同时，Sansec透露，黑客入侵了Magento-WordPress集成供应商FishPig的扩展许可系统，注入恶意代码，旨在安装名为Rekoobe的远程访问木马。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞。这可能会允许代理下载未经验证的回滚组件并执行任意代码。攻击者需要能够登录到产品的管理控制台才能利用此漏洞。由于攻击者之前肯定已经窃取了产品管理控制台的身份验证信息，因此仅使用此漏洞是不可能渗透到目标网络的。趋势科技知道使用此漏洞的攻击（CVE-2022-40139）。我们建议尽快更新到最新版本。” 该公司指出，只有有权访问身份验证数据的攻击者才能利用该漏洞。 趋势科技没有分享利用此漏洞进行攻击的详细信息。 以下是安全公司解决的漏洞列表： 适用漏洞 产品/组件/工具 CVSS3.0 严重性 评分 CVE-2022-40139 Apex One 7.2  高 CVE-2022-40140 5.5 中 CVE-2022-40141 Apex One SaaS 5.6 中 CVE-2022-40142 7.8 高 CVE-2022-40143 7.3 高 CVE-2022-40144 8.2 高   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 苹果发布了新一轮安全更新，以解决iOS和macOS中的多个漏洞，其中包括一个新的零日漏洞，该漏洞曾在野外攻击中使用。 该漏洞被追踪为CVE-2022-32917，根源于内核组件，可能使恶意应用程序能够以内核权限执行任意代码。 “苹果知道有报告称，该漏洞可能被积极利用。”这家iPhone制造商在一份简短声明中承认，并补充说，它通过改进绑定检查解决了该漏洞。 一位匿名研究人员报告了这一漏洞。值得注意的是，CVE-2022-32917也是苹果在不到一个月的时间内修复的第二个与内核相关的零日漏洞。 补丁适用于iOS 15.7、iPadOS 15.7、iOS 16、macOS Big Sur 11.7和macOS Monterey 12.6版本。iOS和iPadOS更新包括iPhone 6s及以上、iPad Pro（所有型号）、iPad Air 2及以上、iPad第5代及以上、iPad mini 4及以上和iPod touch（第 7 代）。 自今年年初以来，苹果已经解决了7个积极利用的零日漏洞和一个公开的零日漏洞： CVE-2022-22587 （IOMobileFrameBuffer）- 恶意应用程序可能能够以内核权限执行任意代码 CVE-2022-22594（WebKit存储）- 网站可能能够跟踪敏感的用户信息（公开但未被积极利用） CVE-2022-22620（WebKit）- 处理恶意制作的网页内容可能导致任意代码执行 CVE-2022-22674（英特尔显卡驱动程序）- 应用程序可能能够读取内核内存 CVE-2022-22675（AppleAVD）- 应用程序可能能够以内核权限执行任意代码 CVE-2022-32893（WebKit）- 处理恶意制作的网页内容可能导致任意代码执行 CVE-2022-32894（内核）- 应用程序可能能够以内核权限执行任意代码 除了CVE-2022-32917之外，苹果还修复了iOS 16中的10个安全漏洞，包括联系人、内核地图、MediaLibrary、Safari和WebKit。iOS 16更新还加入了一种新的锁定模式，旨在使零点击攻击更加困难。 iOS还引入了一种称为快速安全响应的功能，使用户可以在iOS设备上自动安装安全补丁，而无需完整的操作系统更新。 苹果在周一发布的修订支持文件中表示：“在它们成为未来软件更新中其他改进的一部分之前，快速安全响应可以更快地提供重要的安全改进。” 最后，iOS 16还支持Safari网页浏览器中的密钥，这是一种无密码登录机制，允许用户通过Touch ID或Face ID进行身份验证来登录网站和服务。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

9月9日，WordPress安全公司Wordfence透露，一个名为BackupBuddy的WordPress插件存在一个零日漏洞，正被积极利用。 “未经认证用户可以利用该漏洞下载WordPress网站的任意文件，包括主题文件、页面、帖子、小部件、用户信息和媒体信息。”Wordfence表示，该插件有14万活跃安装。 该漏洞（CVE-2022-31474，CVSS评分：7.5）的影响范围为8.5.8.0至8.7.4.1版本。9月2日发布的8.7.5版本中已经解决了这个问题。 漏洞的根源在于“本地目录复制”功能，根据Wordfence表示，该漏洞是不安全的实现结果，它使未经认证的威胁行为者能够下载服务器上的任意文件。 鉴于该漏洞以被积极再也利用，有关漏洞的其他细节暂不公布。 BackupBuddy插件的开发者iThemes表示：“这个漏洞可以让攻击者查看服务器上任何可以被WordPress装置读取的文件内容。这可能包括WordPress的wp-config.php文件以及敏感文件，如/etc/passwd。” Wordfence指出，针对CVE-2022-31474的攻击始于2022年8月26日，在这段时间内，它已经阻止了近500万次攻击。多数攻击指向/etc/passwd、/wp-config.php、.my.cnf、.accesshash文件。 建议已安装BackupBuddy插件的用户升级到最新版本。如果已经被入侵，建议用户重置数据库密码，更改WordPress Salts，并旋转存储在wp-config.php的API密钥。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344225.html 封面来源于网络，如有侵权请联系删除

Cisco Talos发现Lazarus 集团在今年的一波攻击，主要锁定VMware Horizon环境中含有Log4Shell漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA)归咎于朝鲜政府。 在于Java纪录框架Apache Log4j中的Log4Shell漏洞（CVE-2021-44228），持续成为黑客入侵组织的起始点，朝鲜黑客集团Lazarus 从今年2月到7月间，锁定了VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击，并在这些组织的系统内植入其它恶意程序。 据悉，思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在Cisco Talos调查中，确定了威胁参与者使用的三种不同的 RAT，包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告（VSingle、YamaBot），详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。 2021年11月被公布的Log4Shell为一任意程序执行漏洞，其CVSS风险等级高达10，大约有20个Apache专案受到Log4Shell漏洞的影响，而因为采用Log4j或相关专案而受到波及的商业服务则不计其数，安永会计师事务所（Ernest & Young）曾估计93%的云端环境都存在风险，而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。 Cisco Talos指出，Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步通道，继之再部署该集团所开发的恶意程序，以常驻于受害网络上，目的是为了窃取这些组织的机密资讯与智慧财产，以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行，使得黑客完全不必担心权限问题，并在进入受害网络之后，关闭系统的防毒软件。 在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中，Lazarus集团使用了3种客制化恶意程序，其中的两款是已知的VSingle与YamaBot，以及新的MagicRAT。 VSingle早在去年3月就被公开，它是个HTTP机器人，能与远端的C&C伺服器通讯，以自远端执行任意程序，或是下载与执行外挂程序；YamaBot则是个以Golang撰写的恶意程序，原本锁定Linux平台，但亦有支援Windows的版本，两个版本皆允许黑客自远端执行命令，至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C伺服器，功能亦是用来维系黑客对系统的存取能力。 网络安全专家建议，在部署涉及Log4Shell的软件漏洞时，最好先确定现有的漏洞尚未被黑客开采，再进行软件更新，否则也许早就遭客黑渗透而不自知。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/GuqwiHVZMa_dVt4Q8GiLTQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络设备制造商Zyxel发布了针对影响其网络附加存储 (NAS) 设备的关键安全漏洞的补丁。 跟踪为CVE-2022-34747（CVSS评分：9.8），该问题与影响NAS326、NAS540和NAS542模型的“格式字符串漏洞”有关。Zyxel研究员Shaposhnikov Ilya报告了该漏洞。 该公司在9月6日发布的公告中表示： “在Zyxel NAS产品的特定二进制文件中发现了一个格式字符串漏洞，该漏洞可能允许攻击者通过特制的UDP数据包实现未经授权的远程代码执行。” 该漏洞影响以下版本 ： NAS326（V5.21(AAZF.11)C0及更早版本） NAS540（V5.21(AATB.8)C0 及更早版本） NAS542（V5.21(ABAG.8)C0及更早版本） 本次披露之际，Zyxel曾于7月解决了影响其防火墙产品的本地权限升级和认证目录遍历漏洞（CVE-2022-30526 和 CVE-2022-2030 ）。 入侵NAS设备已成为一种常见做法。如果您不采取预防措施或使软件保持最新状态，攻击者可能会窃取您的敏感数据和个人数据。在某些情况下，他们甚至能够永久删除数据。 2022年6月，它还修复了一个安全漏洞 ( CVE-2022-0823 )，该漏洞使GS1200系列交换机容易受到定时侧信道攻击的密码猜测攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

CI/CD管道中存在安全漏洞，攻击者可以利用这些漏洞来破坏开发过程并在部署时推出恶意代码。 近日，研究人员在Apache和Google的两个非常流行的开源项目的GitHub环境中发现了一对安全漏洞，可用于秘密修改项目源代码、窃取机密并在组织内部横向移动。 据Legit Security的研究人员称，这些问题是持续集成/持续交付（CI/CD）缺陷，可能威胁到全球更多的开源项目，目前主要影响Google Firebase项目和Apache运行的流行集成框架项目。 研究人员将这种漏洞模式称为“GitHub环境注入”。它允许攻击者通过写入一个名为“GITHUB_ENV”的GitHub环境变量创建一个特制的有效负载，来控制易受攻击项目的GitHub Actions管道。具体来说，问题存在于GitHub在构建机器中共享环境变量的方式，它允许攻击者对其进行操作以提取信息，包括存储库所有权凭证。 Legit Security首席技术官兼联合创始人Liav Caspi补充道，这个概念是，构建Actions本身信任这些提交以供审查的代码，不需要任何人对其进行审查。更糟糕的是，任何对GitHub做出过贡献的人都可以触发它，而无需任何人对其进行审查。所以，这个一个非常强大且危险的漏洞。 不要忽视CI/CD管道的安全性 根据Caspi的说法，他的团队在对CI/CD管道的持续调查中发现了这些漏洞。随着“SolarWinds式”供应链缺陷的激增，他们一直在寻找GitHub生态系统中的缺陷，因为它是开源世界和企业开发中最受欢迎的源代码管理（SCM）系统之一，因此也是将漏洞注入软件供应链的天然工具。 他解释称， “这些缺陷既体现了GitHub平台设计方式的设计缺陷，也体现了不同的开源项目和企业如何使用该平台。如果您非常了解风险并有意规避许多有风险的操作，您可能会编写一个非常安全的构建脚本。但我认为没有人真正意识到这一点，GitHub Actions中有一些非常危险的机制用于日常构建操作。” 他建议称，企业开发团队应始终对GitHub Action和其他构建系统保持“零信任”原则，假设他们用于构建的组件都可能会被攻击者利用，然后隔离环境并审查代码。 正如Caspi所解释的那样，这些缺陷不仅表明开源项目本身是供应链漏洞的潜在载体，而且构成CI/CD管道及其集成的代码也是如此。 好消息是，目前这两个漏洞都已得到修复。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343842.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： QNAP发布了一项新的公告，建议其网络连接存储（NAS）设备的用户升级到最新版本的Photo Station。此前，又一轮DeadBolt勒索软件攻击在野外肆虐，利用了软件中的零日漏洞。 这家台湾公司表示，它在9月3日检测到了这些攻击，并表示该活动似乎针对运行Photo Station且暴露在互联网上的QNAP NAS设备。 该问题已在以下版本中得到解决： QTS 5.0.1：Photo Station 6.1.2及更高版本 QTS 5.0.0/4.5.x：Photo Station 6.0.22及更高版本 QTS 4.3.6：Photo Station 5.7.18及更高版本 QTS 4.3.3：Photo Station 5.4.15及更高版本 QTS 4.2.6：Photo Station 5.2.14及更高版本 目前该漏洞的细节尚不清楚，该公司建议用户禁用路由器上的端口转发，防止NAS设备在互联网上访问，升级NAS固件，为用户帐户应用强密码，并定期备份以防止数据丢失。 自2022年1月以来，这是针对QNAP设备第四轮DeadBolt攻击的最新进展，随后在5月和6月发生了类似的入侵。 该公司表示：“QNAP NAS不应该直接连接到互联网。我们建议用户使用QNAP提供的myQNAPcloud Link功能，或启用VPN服务。这样可以有效加固NAS，降低被攻击的几率。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 9月2日，谷歌发布了紧急补丁，以修复Chrome浏览器中的一个安全漏洞，据称该漏洞正在被广泛利用。 该漏洞被跟踪为CVE-2022-3075，涉及Mojo中数据验证不足的情况，Mojo指的是为进程间通信 (IPC) 提供与平台无关机制的运行库的集合。 这家互联网巨头表示：“谷歌知道有报道称CVE-2022-3075在野外存在漏洞，但没有深入研究有关攻击性质的更多细节，以防止其他黑客利用该漏洞。” 这是自今年年初以来谷歌解决的第6个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free漏洞 CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 CVE-2022-2856 – Intents中不受信任的输入验证不足 建议用户升级到适用于Windows、macOS和Linux的版本105.0.5195.102，以缓解潜在威胁。还建议基于Chrome浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户在修复应用程序时利用该补丁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文