近期，QNAP发布了几项安全公告，其中一项针对严重的安全问题，该问题允许在易受攻击的QVR系统上远程执行任意命令，该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码，专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588，严重程度得分为9.8。它会影响早于5.1.6 build 20220401的QVR版本。 根据QNAP发布的公告，该漏洞会影响运行QVR的QNAP VS系列NVR。如果被利用，此漏洞允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至还可以被当成深入目标网络的踏板。正如我们过去所见，当漏洞利用公开可用时，QNAP系统中的关键漏洞几乎立即在网络攻击中被利用。 目前BleepingComputer表示已与QNAP联系，要求提供有关 CVE-2022-27588是否被积极利用的信息，并将根据公司的回应做出及时报道。 除了QVR 中的严重问题外，QNAP还解决了其他产品中的8个漏洞，严重程度介于中到高之间。 以下是修复的完整列表： CVE-2022-27588：QNAP QVR 中的严重RCE CVE-2021-38693：thttpd中的中等严重性路径遍历漏洞，影响 QTS、QuTS hero 和 QuTScloud。 CVE-2021-44055：中等严重性缺陷，允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44056：中等严重性缺陷，允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44057：运行 Photo Station 的 QNAP NAS 中的高危漏洞。 CVE-2021-44051：高严重性命令注入漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中执行任意远程命令。 CVE-2021-44052：高严重性链接解析漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中执行恶意文件操作。 CVE-2021-44053：高严重性跨站点脚本 (XSS) 漏洞，允许在 QTS、QuTS hero 和 QuTScloud 中进行远程代码注入。 CVE-2021-44054：高严重性开放重定向漏洞，允许用户重定向到 QTS、QuTS hero 和 QuTScloud 中带有恶意软件的页面。 目前，QNAP尚未提供缓解指南，因此建议您将软件更新到最新的可用版本。 转自 FreeBuf ，原文链接：https://www.freebuf.com/articles/332343.html 封面来源于网络，如有侵权请联系删除

近期谷歌发布了Android的5月安全补丁的第二部分，其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600，是Linux内核中的一个权限提升漏洞，威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核，因此该漏洞也会影响操作系统。 谷歌的研究人员曾在1月份就披露了该Linux漏洞 ，并引入了一个修复程序，该修复程序也及时同步给Linux供应商，然而在谷歌自己的安卓操作系统中修复这个漏洞则需要几个月的时间。 4月，CISA披露该漏洞正在被积极利用，并将其添加到其“已知被利用漏洞目录”中。在5月的Android安全公告中，谷歌确认该编号为CVE-2021-22600的漏洞可能被有针对性的利用。目前尚不清楚该漏洞是如何被用于攻击的，但它很可能被用于执行特权命令并通过企业网络中的Linux系统横向传播。 最近的Android版本（10、11、12）包含了越来越严格的权限，使得恶意软件很难获得高级功能所需的权限。因此，在感染后利用漏洞来获得更高的特权并非不可能。此漏洞的第二个潜在用途是用户安装并激活后，可以在设备上获得root权限的设备root工具。 以下是本月修复的内容摘要： Android框架中的四个提权 (EoP) 和一个信息泄露 (ID) 漏洞 Android系统中的三个EoP、两个ID 和两个拒绝服务(DoS) 漏洞 内核组件中的三个EoP 和一个 ID 缺陷 联发科组件中的三个高危漏洞 高通组件中的15个高严重性和1个严重严重性缺陷 需要注意的是，针对CVE-2021-22600和所有来自第三方供应商的修复程序都在2022-05-05 安全补丁程序级别上可用，而不是在2022年5月1日发布的第一个安全补丁程序级别上可用。无论如何，所有这些修复仍然包含在下个月的第一个安全补丁级别中，该补丁将于 2022 年6月1日发布。 同时，该安全补丁并不适用于Android 9或更早版本，建议用户出于安全原因，应该升级到更新的Android操作系统版本。使用Google Pixel设备的用户本月收到了额外的修复，其中一个仅影响使用Titan-M芯片的最新Pixel 6 Pro系列。最有趣的两个是漏洞是CVE-2022-20120和CVE-2022-20117，一个是影响引导加载程序的严重远程执行漏洞，一个是Titan-M上的严重信息泄露漏洞。 转自 FreeBuf ，原文链接：https://www.freebuf.com/articles/332228.html 封面来源于网络，如有侵权请联系删除

5月5日，SentinelLabs 发布报告，显示他们曾在知名防病毒产品Avast 和 AVG （2016 年被 Avast 收购）中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523，存在于名为 aswArPot.sys 的反 rootkit 内核驱动程序中，该驱动程序于 2012 年 6 月的 Avast 12.1 版本中引入，其问题的根源来自内核驱动程序中的套接字连接处理程序，可允许攻击者提升权限并禁用防病毒软件，甚至还会造成系统蓝屏、死机。 由于这些漏洞的性质，它们可以从沙箱中触发，并且可能在除本地权限提升之外的上下文中被利用。例如，这些漏洞可能被用作第二阶段浏览器攻击的一部分，或执行沙盒逃逸。 SentinelOne 于 2021 年 12 月 20 日报告了这些漏洞，Avast 在 2022 年 2 月 8 日发布的防病毒版本 22.1 中已对其进行了修复，目前为止还没有迹象表明这些漏洞已被广泛利用。但不可否认，由于这两个漏洞已“潜伏”了近10年之久，受影响的用户数量可能已达数百万。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332215.html 封面来源于网络，如有侵权请联系删除

近日，Nozomi Networks发出警告，uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞，编号为CVE-2022-05-02，该漏洞将影响所有版本uClibc-ng库的域名系统（DNS），因此，数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示，uClibc库专门为OpenWRT设计的一个分支，OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。 通过该漏洞，攻击者可以进行DNS中毒或DNS欺骗攻击，并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到，该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起，可能允许攻击者对目标设备执行DNS中毒攻击。 目前，uClibc库被广泛应用于各大厂商，包括Linksys、Netgear和Axis，或嵌入式Gentoo等Linux发行版。安全专家尚未透露该漏洞的细节，因为供应商暂时没有解决该问题。 Nozomi的研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。他们从Wireshark 的输出中确定执行DNS请求的模式，事务ID首先是递增的，然后重置为0x2值，然后再次递增。请求的事务ID是可预测的，这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。 研究人员分析了可执行文件，发现创建DNS请求的问题出现在C标准库uClibc 的0.9.33.2版本。 Nozomi报告中写到，研究人员通过源代码审查发现，uClibc库通过调用位于源文件“/libc/inet/resolv.c”中的内部“__dns_lookup”函数来实现DNS请求。鉴于交易ID的可预测性，攻击者想要利用该漏洞，就需要制作包含正确源端口的DNS响应，并赢得来自DNS服务器的合法DNS响应的竞争。由于该函数不应用任何显式源端口随机化，如果操作系统配置为使用固定或可预测的源端口，则很可能以可靠的方式轻松利用该问题。 如果操作系统使用源端口的随机化，则利用该问题的唯一方法是通过发送多个DNS响应，暴力破解16位源端口值，同时赢得与合法响应的竞争。 最后，Nozomi报告总结道，截止该报告发布时，该漏洞仍未修复。开发者似乎无法修复该漏洞，自2022年1月以来，CERT/CC 向200多家受邀参与VINCE案例的供应商披露了该漏洞，并在公开发布前30天通知他们。   转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332069.html 封面来源于网络，如有侵权请联系删除

近日，应用交付领域（ADN）全球领导者F5公司发布了一项安全警告，其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388，CVSS 3.0评分为9.8，危险等级非常高。该漏洞允许未经身份验证的网络攻击者执行任意系统命令，执行文件操作，并禁用BIG-IP上的服务。 根据F5的安全研究显示，这个漏洞存在于iControl REST组件中，并允许攻击者发送未公开的请求以绕过BIG-IP中的iControl REST认证。 由于该漏洞的严重性以及BIG-IP产品的广泛应用，CISA（美国网络安全和基础设施安全局）也对此发出了警告。 受影响产品的完整名单如下: BIG-IP versions 16.1.0 to 16.1.2 BIG-IP versions 15.1.0 to 15.1.5 BIG-IP versions 14.1.0 to 14.1.4 BIG-IP versions 13.1.0 to 13.1.4 BIG-IP versions 12.1.0 to 12.1.6 BIG-IP versions 11.6.1 to 11.6.5 F5公司方面表示，目前已在版本v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4.6 和 v13.1.5 中引入了修复补丁。而版本12.x和11.x 可能将不会受到修复。 此外，在安全报告中，研究人员特别指出了BIG-IQ集中管理（Centralized Management），F5OS-A, F5OS-C，和Traffic SDC不会受到CVE-2022-1388的影响。 对于那些暂时不能进行安全更新的人，F5提供了以下3个有效的缓解措施：通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问；通过管理界面将访问限制为仅受信任的用户和设备；修改 BIG-IP httpd 配置。 在F5发布的安全报告中，我们可以看到关于如何完成上述操作的所有细节。但有些方法，如完全阻止访问可能对服务产生影响，包括破坏高可用性（HA）配置。因此，如果可以的话，安全更新仍然是最佳的途径。 由于F5 BIG-IP设备被企业广泛应用，这个漏洞就导致了攻击者获得对企业网络的初始访问权限的重大风险。对此，F5发布了一项通用性更高的安全报告，涵盖了在BIG-IP中发现和修复的另外17个高危漏洞。 更糟糕的是，自2020年以来，安全研究人员Nate Warfield发现，被公开暴露的BIG-IP设备数量显著增加，而企业妥善保护的设备数量却没有。 基于Warfield共享的查询，在搜索引擎Shodan上，我们可以看到当前共有有16,142台F5 BIG-IP设备被公开暴露在网络上。 这些设备大多位于美国，其次是中国、印度、澳大利亚和日本。 现在，安全研究人员已经开始缩小范围地检测漏洞，或许就在不久的将来，我们就可以看到攻击者如何扫描易受攻击的设备。 报告的结尾，研究人员建议管理员务必对设备进行补丁修复，或者采取报告建议的方法减轻漏洞的影响。   转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332097.html 封面来源于网络，如有侵权请联系删除

据Security affairs网站消息，4月21日，安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码，该漏洞被追踪为CVE-2022-21449（CVSS 分数：7.5）。 漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 ： Oracle Java SE：7u331、8u321、11.0.14、17.0.2、18 Oracle GraalVM 企业版：20.3.5、21.3.1、22.0.0.2 该漏洞被称为 Psychic Signatures，与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关，这是一种加密机制，用于对消息和数据进行数字签名，以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误，能够允许呈现一个易受攻击的完全空白的签名，攻击者可以此利用伪造签名并绕过身份验证措施。 Nassar 证明，设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名，从而有效地允许 TLS 握手的其余部分继续进行。 据悉，漏洞在去年11月就由 ForgeRock 研究员 Neil Madden 发现，并于当天就通报给了甲骨文（Oracle），Madden表示，这个漏洞的严重性再怎么强调都不为过。 目前，甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞，但由于PoC代码的公布，建议在其环境中使用 Java 15、Java 16、Java 17 或 Java 18 的系统组织尽快修复。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/330953.html 封面来源于网络，如有侵权请联系删除

Atlassian解决了其Jira Seraph软件中的一个严重漏洞，该漏洞编号为CVE-2022-0540（CVSS 评分 9.9），未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响，比如：8.13.18之前的Atlassian Jira Server、Data Center版本、8.14.0到8.20.6之间的版本、8.21.0到8.22.0之间的版本。该漏洞还影响 4.13.18 之前的Atlassian Jira Service Management Server和Data Center版本、4.14.0到4.20.6之间的版本、4.21.0到4.22.0之间的版本。 根据公司发布的相关公告，Jira和Jira Service Management容易受到其Web身份验证框架中的身份验证绕过的攻击。尽管该漏洞位于Jira的核心，但它会影响在webwork1操作命名空间需要特定角色的第一方和第三方应用程序。对于被影响的特定操作，该操作还不需要执行任何其他身份验证或授权检查。远程、未经身份验证的攻击者可以通过发送特制的HTTP请求来利用这一点，以使用受影响的配置绕过WebWork操作中的身份验证和授权要求。 该公司为那些无法安装固定版本的Jira或Jira Service Management并使用任何受影响的应用程序的用户提供了缓解措施。它建议用户将任何受影响的应用程序更新到不受影响的版本。使用“确定受影响的应用程序”部分中列出的任何应用程序以及受影响的所有应用程序版本的客户可以通过禁用该应用程序来降低安全风险，直到他们能够安装Jira或Jira Service Management的固定版本。 该漏洞由Viettel Cyber Security的Khoadha报告。9月，趋势科技研究人员在Windows和Linux 的Atlassian Confluence部署中发现了正在积极利用另一个关键远程代码执行漏洞的加密挖掘活动，该漏洞编号为CVE-2021-26084 。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/330970.html 封面来源于网络，如有侵权请联系删除

据美国国土安全部（DHS）近日透露，加入“Hack DHS”漏洞赏金项目（bug bounty program）的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞，其中27个被评估为严重漏洞。 据悉，国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度，每个漏洞最多可获得5,000美元的奖励。 “在‘Hack DHS’的第一阶段，安全研究人员们的热情参与使我们能够在关键漏洞被利用之前找到并修复它们”，国土安全部首席信息官（CIO）Eric Hysen对媒体表示道，“随着‘Hack DHS’项目的进展，我们期待进一步加强我们与研究人员群体的联系与合作。” “Hack DHS”项目的建立借鉴了美国联邦政府和私营部门类似成果的经验，比如“黑掉五角大楼”（Hack the Pentagon）项目。 事实上，国土安全部第一次推出漏洞赏金试点项目是在2019年，这比“Hack DHS”还要早两年。当时，《安全技术法案》（SECURE Technology Act）正式签署成为法律，要求政府组织建立安全漏洞披露政策和赏金项目。 旨在为其他政府组织树立榜样 “Hack DHS” 漏洞赏金项目成立于2021年12月。项目要求黑客们披露自己发现的漏洞以及漏洞相关的详细信息。例如，如何利用该漏洞，以及如何利用该漏洞访问国土安全部系统的数据。 所有报告的安全漏洞将在48小时内由国土安全部安全专家进行验证，并在15天内（有时需要更长时间）完成内修复，具体时间取决于漏洞的复杂性。 在“Hack DHS”项目启动一周后，国土安全部扩大了赏金的范围，允许研究人员追踪受 Log4j 相关漏洞影响的国土安全部系统。此前，美国网络安全和基础设施安全局（CISA）发布了一项紧急指令，要求联邦民事行政部门在12月23日前为自身的系统打补丁，以应对严重的Log4Shell漏洞。 对此，国土安全部部长Alejandro N. Mayorkas表示:“包括国土安全部等联邦机构在内的各规模各部门的组织都应该保持警惕并采取措施加强其网络安全。而‘Hack DHS’项目正是兑现了我们部门以身作则，保护国家网络和基础设施免受威胁的承诺。”   转自 FreeBuf，原文链接：https://www.freebuf.com/news/331076.html 封面来源于网络，如有侵权请联系删除

一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞，可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试，可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒，鼻拭子被插入一个一次性盒中，由电池供电的Cue阅读器进行分析，然后通过蓝牙将结果传送到接受测试者手机上的Cue Health应用程序。 2021年3月，Cue的系统成为第一个获得美国食品和药物管理局紧急授权用于家庭和非处方药的COVID-19分子测试套件。 虽然FDA当时对Cue Health的COVID-19测试的创新方法表示赞赏，但F-Secure公司的企业安全业务WithSecure的安全顾问Ken Gannon发现了测试套件的一个缺陷，可能会使测试结果被修改。这是第二次在连接的COVID-19测试中发现安全漏洞，该研究人员最近在Ellume的COVID-19家庭测试中暴露了类似的漏洞，使人们对在联邦政府的紧急批准权下匆忙上市的测试套件完整性产生了怀疑。 该漏洞（现已修复）是在Cue Reader与Cue Health应用程序通过蓝牙使用Protobuf协议进行通信的过程中发现的，该协议以易于阅读的数据块呈现测试数据。阅读器生成的数据块以”10 02″结尾，表示COVID-19测试结果为阳性，或以”10 03″结尾，表示阴性。Gannon开发了一个脚本，使他能够通过操纵这些数字拦截和修改数据。通过改变结果中的一个数字，或”比特翻转”，可以将阴性结果改为阳性结果，并获得一份验证结果有效的证书。 将阳性结果改为阴性结果的过程基本相同，这可能会造成问题。阴性的COVID-19测试已经成为许多活动的要求，包括进入美国旅行。就目前而言，翻转这些位子所需的技能水平有点高，一个人需要有像样的知识进入黑客移动应用程序，并在Cue的应用程序中运行自定义代码。 然而Ken Gannon一直担心Android应用的黑客定制攻击能力，以便普通消费者可以做同样的黑客攻击。正因为如此，Ken Gannon特意披露了只有逆向工程师才能理解和使用的技术细节和定制代码。Gannon与Cue Health分享了他的研究，Cue Health表示，除了WithSecure报告的结果外，它没有发现任何伪造的测试结果，但表示它已经增加了旨在检测操纵结果的服务器端检查。当被问及公司是否有办法在WithSecure的发现之前检测出操纵结果时，Cue Health没有回应。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261089.htm 封面来源于网络，如有侵权请联系删除

Project Zero 是由 Google 专家和分析师组成的内部团队，负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二，该团队发布公告称，在 2021 年共发现了 58 个已被黑客利用的漏洞，刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷，因此，他们有“零天”时间来修复或“打补丁”。如果不被发现，这种缺陷可能导致数据泄露和勒索软件攻击。去年，微软警告用户 Windows 10 和其他软件的零日漏洞，包括 Microsoft Exchange和Microsoft Office，然后及时为100多个潜在风险发布了安全更新补丁。 自 2014 年成立以来，Project Zero 检测和披露的零日漏洞的最高数量出现在 2015 年，共有 28 个，不到2021年检测的一半。同比之下，反差更大，2020年仅有20个零日漏洞被检测和披露。 这一峰值可能表明网络攻击的增长趋势，在正在进行的COVID-19大流行和加密货币的日益普及期间，网络攻击已经上升，但Project Zero表示，可能的罪魁祸首是检测和报告零日发生的改进。 该报告指出，绝大多数零日漏洞的使用”与以前的[和]公开的漏洞类似”，只有两个事件因其”技术复杂性”或逻辑而脱颖而出。因此，尽管检测到的零日漏洞有所增加，你的在线安全似乎并不比前几年更危险，至少在涉及零日漏洞时是这样。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260329.htm 封面来源于网络，如有侵权请联系删除