Hackernews 编译，转载请注明出处： 周四，美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞，称有证据表明这些漏洞被积极利用。 这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关，这两个漏洞都可以链接在受影响的电子邮件服务器上，实现未经身份验证的远程代码执行。 CVE-2022-27925（CVSS评分：7.2） – 认证用户通过mboximport远程代码执行（RCE）（在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复） CVE-2022-37042 – MailboxImportServlet中的身份验证绕过（在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复） “如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26，你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。 CISA没有透露任何有关利用这些漏洞进行攻击的信息，但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。 简而言之，这些攻击涉及利用上述身份验证绕过漏洞，通过上传任意文件在底层服务器上获得远程代码执行。 Volexity表示：“在访问CVE-2022-27925使用的同一端点（mboximport）时，有可能绕过身份验证，并且该漏洞可以在没有有效管理凭据的情况下被利用，从而大大提高了该漏洞的严重性。” 它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例，其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。 这些攻击发生在2022年6月底，还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。 Volexity说：“CVE-2022-27925最初被列为需要身份验证的RCE漏洞，然而，当与一个单独的漏洞结合使用时，它变成了一个未经验证的RCE漏洞，从而使远程利用攻击变得微不足道。” 一周前，CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924，如果被利用，攻击者可能会从目标实例的用户那里窃取明文凭据。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员披露了资产管理平台Device42的多个严重安全漏洞，如果成功利用这些漏洞，黑客可以控制受影响的系统。 Bitdefender在周三的一份报告中说：“通过利用这些漏洞，攻击者可以冒充其他用户，获得应用程序中的管理员级别访问权限（通过泄露与LFI的会话），或者获得对设备文件和数据库的完全访问权限（通过远程代码执行）。” 更令人担忧的是，在主机网络中具有任何级别访问权限的攻击者可以用菊花链连接其中三个漏洞，以绕过身份验证保护，并以最高权限实现远程代码执行。 漏洞如下： CVE-2022-1399 – 计划任务组件中的远程执行代码 CVE-2022-1400 – Exago WebReportsApi中的硬编码加密密钥IV.dll CVE 2022-1401 – Exago中提供的路径验证不足 CVE-2022-1410 – ApplianceManager控制台中的远程代码执行 其中最关键的漏洞是CVE-2022-1399，它通过命令注入和root权限执行bash指令，授予攻击者对底层设备的完全控制权。 虽然远程代码执行本身无法实现，但它可以与CVE 2022-1401和CVE-2022-1400串联在一起，通过利用Exago报告组件中发现的本地文件包含漏洞，来提取已认证用户的有效会话标识符。 罗马尼亚网络安全公司于2月18日披露之后，Device42在2022年7月7日发布的18.01.00版本中解决了这些漏洞。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 思科修复了一个严重漏洞，跟踪为CVE-2022-20866，影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。 该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理，未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥，攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。 “RSA密钥存储在执行硬件加密的平台内存中时，存在逻辑错误，从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞，成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。 该公告指出，在受影响的设备上可能会观察到以下情况： 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥；并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。 RSA密钥可能有效，但它具有特定的特征，容易受到RSA私钥潜在泄露的影响。 RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用，并且TLS客户端连接到运行思科ASA软件或FTD软件的设备，如果使用格式错误的RSA密钥，将导致TLS签名失败，这意味着易受攻击的软件版本创建了无效的RSA签名，无法通过验证。如果攻击者获取RSA私钥，他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备，或解密设备流量。 该漏洞会影响运行易受攻击的思科ASA（9.16.1及更高版本）或思科FTD（7.0.0及更高版本）软件的产品，这些软件执行基于硬件的加密功能： ASA 5506-X with FirePOWER Services ASA 5506H-X with FirePOWER Services ASA 5506W-X with FirePOWER Services ASA 5508-X with FirePOWER Services ASA 5516-X with FirePOWER Services Firepower 1000 Series Next-Generation Firewall Firepower 2100 Series Security Appliances Firepower 4100 Series Security Appliances Firepower 9300 Series Security Appliances Secure Firewall 3100 思科建议ASA/FTD设备的管理员删除格式错误或易受攻击的RSA密钥，并吊销可能与这些RSA密钥相关的任何证书，因为RSA私钥可能已泄露给攻击者。 思科对加州大学圣地亚哥分校的Nadia Heninger和George Sullivan以及科罗拉多大学博尔德分校的Jackson Sippe和Eric Wustrow报告该安全漏洞表示感谢。 产品安全事件响应团队尚未发现有利用此漏洞进行的野外攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间，并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高，并且是目录遍历漏洞，可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713，非正式地称为DogWalk，MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的，但他的报告被错误地归类为未描述安全风险，因此被驳回。今年，安全研究员j00sean再次引起了公众的关注，他总结了攻击者可以通过利用它实现的目标，并提供了视频证明。 该漏洞的成功利用需要用户交互，这是一个很容易通过社会工程克服的障碍，尤其是在电子邮件和基于Web的攻击中，微软在今天的一份咨询中表示： 在电子邮件攻击场景中，攻击者可以通过向用户发送特制文件并诱使用户打开文件来利用该漏洞。在基于 Web 的攻击情形中，攻击者可能拥有一个网站（或利用接受或托管用户提供的内容的受感染网站），其中包含旨在利用该漏洞的特制文件。 自6月初以来，0patch微补丁服务已为大多数受影响的Windows 版本（Windows 7/10/11 和 Server 2008 至 2022）提供了一个非官方补丁。作为2022年8月Windows安全更新的一部分，微软今天解决了CVE-2022-34713 。该公司指出，该问题已在攻击中被利用。 添加到CISA 的已知已利用漏洞目录的第二个漏洞编号为CVE-2022-30333，它是用于Linux 和 Unix系统的 UnRAR 实用程序中的路径遍历漏洞。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置，从而在目标系统上植入恶意文件。 瑞士公司SonarSource于 6 月下旬在一份报告中披露了该安全问题，该报告描述了如何将其用于远程执行代码，从而在未经身份验证的情况下破坏 Zimbra 电子邮件服务器。本月早些时候，被利用的代码已添加到Metasploit渗透测试软件中。对于这两个漏洞，美国的联邦机构预计将在 8 月 30 日之前应用供应商的更新。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341495.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： VMware警告其客户，在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码，该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞，并且今天发布了针对该漏洞的概念验证（PoC）漏洞利用代码，并提供了有关该漏洞的技术细节。 上周，这家虚拟化巨头解决了CVE-2022-31656漏洞，该漏洞影响了多个产品的本地域用户，未经身份验证的攻击者可以利用此漏洞获取管理员权限。 虚拟化巨头发布的公告称：“具有用户界面网络访问权限的攻击者，可能无需进行身份验证即可获得管理访问权限。” 该漏洞影响Workspace ONE Access、Identity Manager和vRealize Automation产品，被评为严重漏洞，CVSS v3评分为9.8。 今天，VMware报告了CVE-2022-31656和CVE-2022-31659的PoC漏洞的可用性。 已更新的咨询信息表明，VMware已确认可以在受影响的产品中利用CVE-2022-31656和CVE-202-31659的恶意代码。 好消息是，供应商没有意识到这些攻击利用了野外攻击中的漏洞。 该公司发布的一份公告称：“在发布本文时，VMware并未意识到这些漏洞被利用了。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 8月4日，美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了最近披露的Zimbra电子邮件中的高危漏洞，有证据表明该漏洞被积极利用。 追踪为CVE-2022-27924（CVSS评分：7.5），这是平台中的命令注入漏洞，可能导致执行任意Memcached命令并窃取敏感信息。 CISA表示：“Zimbra Collaboration允许攻击者将memcached命令注入目标实例，从而导致任意缓存条目的覆盖。” 具体而言，该漏洞与用户输入验证不足有关，如果成功利用该漏洞，攻击者可以从目标Zimbra实例的用户那里窃取明文凭据。 SonarSource于6月披露了该漏洞，2022年5月10日Zimbra发布了8.8.15版本P31.1和9.0.0版本P24.1的补丁。 CISA尚未透露在野外利用该漏洞进行攻击的技术细节，也尚未将其归因于某个黑客。 鉴于该漏洞被积极利用，建议用户对软件进行更新，以减少潜在的网络攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： DrayTek公司已发现多达29种不同型号的路由器受到一个新的关键、未经身份验证的远程代码执行漏洞的影响，如果成功利用该漏洞，可能导致设备完全受损，并未经授权访问更广泛的网络。 Trellix研究员Philippe Laulheret说：“如果设备的管理界面面向互联网，则可以在没有用户交互的情况下进行攻击。在默认设备配置下，也可以从局域网内执行一键攻击。” 根据CVE-2022-32548，该漏洞在CVSS评分系统上的严重等级为10.0，因为它能够让攻击者完全控制路由器。 其核心缺陷是Web管理界面（“/cgi-bin/wlogin.cgi”）中存在缓冲区溢出漏洞，黑客可以通过提供特制的输入来将其武器化。 据称，这家台湾制造商生产的20多万台设备在互联网上暴露了易受攻击的服务，不需要用户交互即可被利用。 破坏Vigor 3910等网络设备不仅会使网络容易受到恶意操作，如凭证和知识产权盗窃、僵尸网络活动或勒索软件攻击，还会导致拒绝服务（DoS）情况。 一个多月前，华硕、思科、DrayTek和NETGEAR的路由器受到了针对北美和欧洲网络的新型恶意软件ZuoRAT的攻击。 虽然到目前为止还没有迹象表明该漏洞在野外被利用，但建议尽快应用固件补丁，以防范潜在威胁。 Laulheret指出：“边缘设备，如Vigor 3910路由器，位于内部和外部网络之间的边界上，因此，他们是网络犯罪分子和黑客的首要目标。远程破坏边缘设备可能会导致企业内部网络完全受损。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，思科修复了一组影响小型企业 VPN 路由器的关键漏洞，该组漏洞允许未经身份验证的攻击者在易受攻击设备上执行任意代码或指令。 安全研究人员在基于 Web 管理界面和 Web 过滤器的数据库更新功能中发现了这组安全漏洞（分别追踪为 CVE-2022-20842 、 CVE-2022-20827 ），经过分析后发现，该组漏洞均是由输入验证不足引起的。 这些漏洞影响的路由器主要包括 Small Business RV160、RV260、RV340和 RV345 系列 VPN 路由器（CVE-2022-20842 仅影响最后两个）。 受漏洞影响的路由器系列 攻击者利用漏洞能够执行任意命令 安全研究人员披露，攻击者可以利用 CVE-2022-20842 配合精心制作的 HTTP 输入，在底层操作系统上以“root”身份执行任意代码或重新加载设备，从而导致 DoS 条件。 对于 CVE-2022-20827，攻击者能够利用该漏洞向 Web 过滤器数据库更新功能提交精心设计的输入指令，以“ root”权限在底层操作系统上执行任意命令。 上述漏洞由 IoT Inspector 研究实验室、Chaitin 安全研究实验室和 CLP 团队的安全研究人员发现。目前，思科已经发布了软件更新来解决这两个漏洞，但强调没有解决方法能够消除攻击向量。 其它漏洞也已修复 值得一提的是，思科近日修补了 RV160、RV260、RV340 和 RV345 系列路由器开放即插即用 (PnP) 模块中的高严重性漏洞 (CVE-2022-20841)。如果用户不及时更新补丁，攻击者可以利用该漏洞向未打补丁的设备发送恶意指令，在底层 Linux 操作系统上执行任意操作。 上月，思科还解决了 Cisco Nexus Dashboard 数据中心管理解决方案中的另一组严重安全漏洞，这些漏洞允许未经身份验证的攻击者使用 root 或管理员权限远程执行任意命令和操作。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341009.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Google修补了Android操作系统中的一个关键漏洞，跟踪为CVE-2022-20345，可利用该漏洞通过蓝牙实现远程代码执行。 Google没有透露有关该漏洞的其他细节。 “本节中最严重的漏洞可能导致通过蓝牙远程执行代码，而不需要额外的执行权限。”Google发布的安全公告中写道。 Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。 CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。 Google还修补了Google Pixel设备中的数十个安全漏洞，包括四个关键的远程代码执行漏洞，跟踪如下： CVE REFERENCES TYPE SEVERITY COMPONENT CVE-2022-20237 A-229621649 * RCE Critical Modem CVE-2022-20400 A-225178325* RCE Critical Modem CVE-2022-20402 A-218701042 * RCE Critical Modem CVE-2022-20403 A-207975764 * RCE Critical Modem   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 安全研究人员发现了一个名为ParseThru的新漏洞，该漏洞会影响基于Golang的应用程序，这些应用程序可能会被滥用以未经授权访问基于云的应用程序。 以色列网络安全公司Oxeye在与The Hacker News分享的一份报告中表示：“由于使用了该语言内置的不安全URL解析方法，新发现的漏洞允许黑客在某些情况下绕过验证。” 这个问题的核心在于，与引入Golang的URL解析逻辑(在“net/url”库中实现)的更改导致的不一致有关。 虽然1.17之前的编程语言版本将分号视为有效的查询分隔符（例如，example.com？a=1;b=2&c=3），但此行为已被修改为在找到包含分号的查询字符串时引发错误。 现在，带有非百分比编码分号的设置将被拒绝，在请求URL中遇到警告时，net/http服务器将向‘Server.ErrorLog’记录警告。 当构建在版本1.17或更高版本上的基于Golang的公共API与运行早期版本的后端服务进行通信时，就会出现问题，从而导致黑客可以走私包含查询参数的请求，否则这些请求将被拒绝。 简而言之，这个想法是发送在查询字符串中包含分号的特制请求，面向Golang API的用户会忽略该请求，但内部服务会处理它。 Oxeye表示，它在Harbor、Traefik和Skipper等开源项目中发现了几个ParseThru实例，这使得绕过现有的验证并执行未经授权的操作成为可能。在向各供应商披露后，这些问题已得到解决。 这不是URL解析第一次引起安全问题。今年1月初，Claroty和Snyk披露了用C、JavaScript、PHP、Python和Ruby语言编写的第三方库中多达八个漏洞，这些漏洞源于URL解析中的混乱。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文