谷歌旗下的网络威胁情报巨头 Mandiant 分享了其官方 X 账户被劫持事件的调查结果，此前该公司发生了一波与加密货币相关的 X 账户遭遇黑客攻击的事件。 2024 年 1 月 3 日，Google Cloud 子公司 Mandiant 的 X（以前的 Twitter）账户被攻击者接管，之后开始向其 123,5000 名关注者发送指向加密货币 Drainer 钓鱼页面的链接。 该公司第二天恢复了其帐户，并在社交媒体上发布了以下帖子：“正如您可能注意到的那样，昨天，Mandiant 失去了对这个启用了 2FA 的 X 帐户的控制。目前，除了受影响的 X 帐户之外，没有任何迹象表明存在恶意活动，该帐户已回到我们的控制之下。一旦得出结论，我们将分享我们的调查结果。” 1 月 11 日，该公司公布了此次调查的结果，确定此次劫持很可能是由于暴力密码攻击造成的，并且仅限于该公司的主 X 帐户 @Mandiant。 调查发现“没有证据表明任何 Mandiant 或 Google Cloud 系统上存在恶意活动或受到损害，从而导致该帐户受到损害。” Mandiant 指责：都是 X 的错 Mandiant 在其沟通中指出，其账户的双因素身份验证 (2FA) 配置错误，该公司将部分责任归咎于 X。 “通常情况下，2FA 会缓解这种情况，但由于一些团队的过渡以及 X 2FA 政策的变化，我们没有得到充分的保护。我们已经对流程进行了更改，以确保这种情况不会再次发生。”该公司在社交媒体上发帖称。 尽管网络安全提供商没有具体说明它指的是哪些 X 更改，但 2FA 最近成为 X Premium 订阅者的专有功能。 以前，所有用户都可以启用 2FA 以提高安全性，但现在，只有那些支付订阅服务费用的用户才能访问此功能的元素。 具体来说，2023 年 2 月，非 Twitter Blue 用户禁用了 2FA 的短信/短信方法，身份验证应用程序和安全密钥方法仍然可用。 这一决定在用户群中引发了相当大的争议，因为 2FA 被认为是一项重要的安全措施，限制其可用性引发了对潜在漏洞的担忧。 @Mandiant 帐户的 X 上没有黄金复选标记，这可能意味着该公司尚未订阅社交媒体的高级计划。 事件背后的黑客组织 Mandiant 已使用 CLINKSINK 加密钱包 Drainer 识别出与 Drainer-as-a-service (DaaS) 组相关的 35 个 ID，CLINKSINK 是一种利用智能合约漏洞或用户错误窃取资金的恶意软件。 CLINKSINK 用户专门针对 Solana (SOL) 钱包。 这些数字诈骗者使用被劫持的 X 和 Discord 帐户来共享以加密货币为主题的网络钓鱼页面，这些页面冒充 Phantom、DappRadar 和 BONK，并带有虚假代币主题。 以 $PHNTM 空投为主题的网络钓鱼页面示例 他们利用这些被盗用的帐户，以免费代币的承诺来引诱受害者，部署伪装成流行加密平台令人信服的网络钓鱼页面。 他们并没有让自己的目标变得更加富有，而是直接将资金转移到自己的腰包中，其中 20% 归自己所有，其余的则留给了幕后人物。 Mandiant 估计，这一邪恶计划已对毫无戒心的加密货币爱好者造成了至少 90 万美元的损失。 自 2023 年 12 月以来，这 35 个附属 ID 一直在使用 CLINKSINK 在不同的活动中窃取 Solana 用户的资金和代币。 一波与加密货币相关的 X 账户劫持事件 包括Netgear、Hyundai 和 Certik 在内的几家公司的 X 社交媒体帐户最近也被攻击者劫持并用于加密货币诈骗。 1 月 10日，美国证券交易委员会的 X 账户@SECGov 遭到入侵，并发布了有关批准比特币交易所交易基金（ETF）在证券交易所上市的虚假公告，导致比特币价格短暂飙升。 X 的安全团队后来表示，此次接管是由于在 SIM 卡交换攻击中与 @SECGov 帐户相关的电话号码被劫持所致。X 还指出，SEC 的帐户在遭到黑客攻击时并未启用双因素身份验证 (2FA)。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Pbz3fzy0thTm-xo8F6-sSA 封面来源于网络，如有侵权请联系删除

2023 年总共分配了超过 28,000 个 CVE ID，并命名了 84 个新的 CVE 编号机构 (CNA)。 与上一年相比，2023 年指定 CVE 编号机构 (CNA) 的组织数量以及分配的常见漏洞和暴露 (CVE) 标识符的数量有所增加。 思科威胁检测与响应首席工程师 Jerry Gamblin 表示，2023 年发布了 28,902 个 CVE，高于 2022 年的 25,081 个。平均每天有近 80 个新 CVE。自 2017 年以来，已发布的 CVE 数量一直在稳步增加。 从严重程度来看，2023 个 CVE 的平均 CVSS 评分为 7.12，其中 36 个漏洞的评分为 10。 根据MITRE 维护、美国政府赞助的 CVE 计划的数据，2023 年宣布的新 CNA 数量从 2022 年的 56 个增加到 84 个。目前，有来自 38 个国家的近 350 个 CNA。 CNA 是供应商、网络安全公司和其他组织，它们被允许将 CVE 标识符分配给自己的产品和/或其他产品中发现的漏洞。 新的 CNA 名单包括独立黑客组织，例如 Austin Hackers Anonymous；ServiceNow、开放设计联盟等软件组织；Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商；政府机构，例如芬兰国家网络安全中心 (NCSC-FI)；网络安全公司，例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer；以及印刷巨头利盟、佳能（欧洲、中东和非洲）和施乐。 Gamblin 指出，2023 年有 250 个 CNA 发布了至少一个 CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年总共分配了超过 6,700 个 CVE。 最常分配的常见弱点枚举 (CWE) 标识符类型是 CWE-79，即网页生成期间输入的不正确中和，也称为跨站点脚本攻击 (XSS)。去年，超过 4,100 个 CVE 被分配给 XSS 漏洞。 XSS 紧随其后的是 SQL 注入漏洞，此类安全漏洞大约有 2,000 个。 转自FreeBuf，原文链接：https://www.anquanke.com/post/id/292487 封面来源于网络，如有侵权请联系删除

黑客破坏了航班信息显示系统，周日出发和抵达信息被一条指责真主党组织将黎巴嫩置于与以色列全面战争风险的信息所取代。信息中写道：“哈桑·纳斯鲁拉，如果你用一场你将承担责任和后果的战争诅咒黎巴嫩，你将不再有支持者。” 这与多年来批评真主党通过黎巴嫩走私武器和弹药的指责相似。 屏幕上显示的信息来自一个被称为“上帝战士”的强硬基督教组织，该组织在过去一年中因其反对黎巴嫩 LGBTQ+ 群体的活动而受到关注，而一个鲜为人知的自称“发言者”的组织则来自该组织。在一份视频声明中，该基督教团体否认参与其中，而另一个团体则在其社交媒体频道上分享了屏幕照片。 据报道，这次袭击导致 BHS 行李检查系统中断，机场的内部安全部队正在努力实施替代计划，并维持在机场运作的所有安全和行政机构的正常行动。 事件发生后，黎巴嫩人的手机上收到了两条短信。第一份似乎是由信息部门发送的，第二份似乎是由中东航空公司发送的。然而，据 LBCI 称，这两条消息是假的，来源不明。 最新消息称，屏幕已恢复工作，并逮捕了 3 名嫌疑人，但目前没有提供更多细节。 自10月8日（加沙哈马斯与以色列战争爆发的第二天）以来，真主党一直在袭击该国北部与黎巴嫩边境附近的以色列军事基地和阵地。作为反击，以色列也一直在攻击真主党阵地。 过去一周，以色列在贝鲁特南部郊区发动的袭击导致哈马斯高级官员兼指挥官萨利赫·阿鲁里丧生，几乎每天都发生的冲突急剧加剧。 在周六的一次讲话中，真主党领导人赛义德·哈桑·纳斯鲁拉在一次讲话中誓言该组织将进行报复。他驳斥了有关真主党寻求与以色列发动全面战争的批评，但表示，如果以色列发动一场战争，真主党就准备好发动一场“无限制”的战争。 周六，真主党宣布对阿鲁里被杀做出“初步回应”，向梅龙山的以色列空中监视基地发射了 62 枚火箭弹。 黎巴嫩政府和国际社会一直在努力防止黎巴嫩发生战争，他们担心这场战争会引发地区溢出效应。 转自E安全，原文链接：https://mp.weixin.qq.com/s/HTyn4H5ESdnSbYka1Z3mgw 封面来源于网络，如有侵权请联系删除

Ivanti 于 1 月 4 日修复了其端点管理器 (EPM) 软件中的一个严重漏洞 (CVSS 9.6)，该漏洞可能会让具有内部访问权限的攻击者启动远程代码执行 (RCE)。 该漏洞（CVE-2023-39336）如果被利用，可能会让黑客利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出，而无需进行身份验证。 Ivanti在博客文章中表示，这可以让黑客控制运行 EPM 代理的计算机，并且当核心服务器配置为使用 SQL Express 时，这可能会导致核心服务器上出现 RCE。 Ivanti 明确表示，没有迹象表明客户受到该漏洞的影响。不过，该公司表示，该错误会影响该产品的所有受支持版本，并已在Ivanti EPM 2022 服务更新 5中得到解决。供应商将hir0ot归功于识别和报告 Ivanti EPM 问题。 安全专业人员应注意，Ivanti 在过去几个月中其产品遇到了问题。8 月，Ivanti披露其 Ivanti Sentry 网关中的一个零日漏洞正在被广泛利用。2023 年夏天，其端点管理器移动 (EPMM) 平台面临两个备受瞩目的严重漏洞，其中一个漏洞在对挪威政府12 个部委的攻击中被利用。 太多 IT 资产忽视端点保护 Sevco Security 联合创始人 Greg Fitzgerald 解释说，黑客已经非常擅长劫持易受攻击的端点并利用它们访问数据和企业网络。Fitzgerald 表示，Ivanti 漏洞的好消息是，似乎没有人利用了该漏洞。坏消息：这种类型的漏洞只是端点安全的冰山一角。 Fitzgerald 指出，Sevco 最近的研究发现了一个更深层次的问题：许多公司对缺少端点保护等关键控制的 IT 资产视而不见。研究发现，11% 的 IT 资产一开始就缺少端点保护。同一数据显示，15% 的 IT 资产未被企业补丁管理解决方案覆盖，31% 的 IT 资产未被企业漏洞管理系统覆盖。 “这些数据点结合起来指向了一个需要注意的问题，”菲茨杰拉德说。“太多的 IT 资产对于安全团队来说是不可见的。您无法保护或修补您不了解的 IT 资产。这就是为什么准确、最新的 IT 资产清单至关重要。” Ontinue 威胁响应负责人 Balasz Greksza 补充道，除了启动 RCE 之外，最新的缺陷还可能通过卸载/禁用运行 EPM 代理的主机上的安全产品、部署恶意驱动程序或勒索软件，以及留下持久性植入来删除它们。在组织的关键主机上。 Greksza 表示：“该漏洞的利用噪音相对较低，并且需要安全事件响应人员直接监控 SQL 查询。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292442 封面来源于网络，如有侵权请联系删除

安全研究人员近期检测到了数百个 IP 地址，这些地址扫描或试图利用 Apache RocketMQ 服务中存在的远程命令执行漏洞 CVE-2023-33246 和 CVE-2023-37582。 这两个安全漏洞的危险程度都很高，其中 CVE-2023-33246 漏洞主要影响包括 NameServer、Broker 和 Controller 等在内的多个组件。 据悉，Apache 已经发布了一个针对 RocketMQ 中 NameServer 组件的不完整的修复程序，但 Apache RocketMQ 项目管理委员会成员 Rongtong Jin 警告称，鉴于 CVE-2023-33246 漏洞问题在 5.1.1 版本中未得到完全修复，RocketMQ NameServer 组件中仍存在远程命令执行漏洞。 安全研究人员表示，在易受攻击的网络系统上，当 NameServer 的地址在未经适当权限检查的情况下在线暴露时，黑客便可以利用 CVE-2023-33246 漏洞，使用 NameServer 上的更新配置功能来执行任意命令。 此外，研究人员进一步指出，黑客还能够利用 CVE-2023-37582 安全漏洞，以 RocketMQ 正在运行的系统用户身份执行任意命令，建议将 RocketMQ 5.x/4.x 的 NameServer 升级到 5.1.2/4.9.7 或更高版本，以避免遭受网络攻击。 威胁跟踪平台 The ShadowServer Foundation 已记录了数百个主机扫描在线暴露的 RocketMQ 系统，其中一些主机正在试图利用 CVE-2023-33246 和 CVE-2023-37582 这两个安全漏洞。ShadowServer 强调，它所观察到的攻击活动可能是潜在黑客的侦查尝试、利用行为，甚至是研究人员扫描暴露端点的一部分。 至少从 2023 年 8 月起，就有很多黑客瞄准了易受攻击的 Apache RocketMQ 系统，当时研究人员就已经观察了 DreamBus 僵尸网络利用 CVE-2023-33246 安全漏洞，在易受攻击的服务器上投放 XMRig Monero 矿机。 2023 年 9 月，美国网络安全和基础设施安全局（CISA）敦促联邦机构在当月底前修补 CVE-2023-33246漏洞，并就其活跃利用状态发出了严重警告。 转自FreeBuf，原文链接：https://www.freebuf.com/articles/389018.html 封面来源于网络，如有侵权请联系删除

加密货币支付网关 CoinsPaid 在过去六个月内面临第二次网络攻击。据 Web3 安全公司 Cyvers 称，已发现约 750 万美元的未经授权交易。 人工智能 Cyvers 在 1 月 6 日检测到多笔可疑交易，期间价值 610 万美元的数字资产被提取，包括 Tether (USDT)、Ether (ETH)、USD Coin (USDC)，以及 CoinsPaid 自有的加密货币 CPD。 Cyvers 团队报告称，攻击者将约 9700 万个 CPD 代币（价值约 36.8 万美元）兑换为 ETH，并将资金转移到外部账户和加密货币交易所 MEXC、WhiteBit 和 ChangeNOW。根据 CoinGecko 的数据，过去 24 小时内 CPD 费率下跌了 39.5%，跌到 0.0006 美元。 经过进一步分析，Cyvers 发现了超过 100 万美元的未经授权的 BNB 交易，使被盗资金总额达到近 750 万美元。 CoinsPaid 是一家爱沙尼亚加密货币支付处理公司，迄今为止已处理超过 190 亿欧元的加密货币交易。目前该公司尚未对此事做出回应。 该平台还于 2023 年 7 月 遭受网络攻击 ，导致超过 370 亿美元被盗。据 CoinsPaid 报道，黑客利用虚假采访来欺骗该公司的一名员工。据称，该员工响应了一份工作邀请并下载了恶意代码，这使得黑客能够访问 CoinsPaid 基础设施。 CoinsPaid 在一份调查报告中将此次事件归咎于朝鲜支持的组织 Lazarus，并指出该组织自 2023 年 3 月以来曾多次试图渗透该平台，但在失败后转向使用“高科技和主动的社会工程技术”，并以员工为目标，而不是以整个公司为目标。 据信，Lazarus 组织是 2023 年多起针对加密货币的网络攻击的幕后黑手。据 TRM Labs 称，该团伙去年窃取了至少 6 亿美元的加密货币。 转自安全客，原文链接：https://www.anquanke.com/post/id/292431 封面来源于网络，如有侵权请联系删除

安全研究人员深入研究 SpectralBlur 的内部运作方式，发现这是一个新的 macOS 后门，似乎与最近发现的朝鲜恶意软件系列 KandyKorn 有关。 观察到的 SpectralBlur 样本最初于 2023 年 8 月上传到 VirusTotal，但仍未被防病毒引擎检测到，直到本周才引起研究人员的注意。 该恶意软件最初由安全研究员 Greg Lesnewich 进行了剖析，他得出的结论是，该恶意软件包含了通常在后门中常见的功能，例如文件上传/下载、文件删除、shell 执行、配置更新和睡眠/休眠。 Lesnewich 在报告中指出，这些操作是根据从命令与控制 (C&C) 服务器收到的命令执行的。他解释说，与服务器的通信是通过 RC4 封装的套接字进行的。 Lesnewich 对后门的分析揭示了与KandyKorn的相似之处，KandyKorn 是 macOS 后门，朝鲜黑客组织Lazarus 最近在针对加密货币交易平台的攻击中使用了该后门。 KandyKorn 是一种先进的植入程序，旨在逃避检测并为黑客提供监视受感染设备并与之交互的能力。 Lesnewich 指出，SpectralBlur 和 KandyKorn 似乎是来自不同开发人员的恶意软件系列，但它们是根据相同的要求构建的。 Lesnewich 发表研究结果后，Objective-See 的安全研究员 Patrick Wardle 也对 SpectralBlur 进行了分析（https://objective-see.org/blog/blog_0x78.html），得出了类似的结论：该后门包含标准后门功能，与网络通信、文件和进程操作以及其自身配置相关。 初始化后，恶意软件执行解密/加密其配置和网络流量的功能，然后继续执行旨在阻碍分析和检测的各种操作。 根据 Wardle 的说法，SpectralBlur 使用伪终端来执行从 C&C 接收到的 shell 命令，并被设计为在打开文件并用零覆盖其内容后擦除文件。 Lesnewich 和 Wardle 似乎都相信 SpectralBlur 是 Lazarus 武器库中的另一个 macOS 后门，Lazarus 是一个著名的朝鲜黑客组织，至少自 2009 年以来一直活跃。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vpT_DcZ5CEKmWXOJjFNSRA 封面来源于网络，如有侵权请联系删除

荷兰安全公司 Hunt & Hackett在周五的一份分析报告中表示：“目标的基础设施很容易受到供应链和跳岛攻击，黑客组织利用这些攻击来收集出于政治动机的信息，例如少数群体的个人信息和潜在的政治异议。” “被盗信息可能会被用于对特定群体和/或个人进行监视或情报收集。” Sea Turtle，也被称为 Cosmic Wolf、Marbled Dust（以前称为 Silicon）、Teal Kurma 和 UNC1326，最初由 Cisco Talos 于 2019 年 4 月记录，详细描述了国家支持的黑客组织针对中东和北非地区目标的攻击。 据信，该组织自 2017 年 1 月以来一直保持活跃，主要利用DNS 劫持将试图查询特定域的潜在目标重定向到黑客控制的，能够收集其凭据的服务器。 Talos 当时表示：“考虑到黑客针对各种 DNS 注册商和注册机构的方法，Sea Turtle 活动几乎肯定会比DNSpionage造成更严重的威胁。” 微软指出，2021 年末，黑客组织从亚美尼亚、塞浦路斯、希腊、伊拉克和叙利亚等国进行情报收集，以满足土耳其的战略利益，攻击电信和 IT 公司，目的是“通过利用已知漏洞在其目标的上游建立入侵立足点。 普华永道 (PwC) 威胁情报团队的报告称，上个月，黑客在 2021 年至 2023 年期间实施的攻击中使用了 Linux（和 Unix）系统的简单反向 TCP shell（名为 SnappyTCP）。 “Web shell 是一个用于 Linux/Unix 的简单反向 TCP shell，具有基本的[命令和控制]功能，并且也可能用于建立持久性。”该公司在分析报告中表示。“至少有两种主要变体；一种使用 OpenSSL 通过 TLS 创建安全连接，另一种则忽略此功能并以明文发送请求。” Hunt & Hackett 的最新调查报告表明，Sea Turtle 仍然是一个以秘密间谍活动为重点的组织，利用防御规避技术突破安全防御系统收集电子邮件档案。 在 2023 年观察到的一次攻击中，一个被盗但合法的 cPanel 帐户被用作在系统上部署 SnappyTCP 的初始访问向量。目前尚不清楚黑客是如何获得凭据的。 该公司指出：“黑客使用 SnappyTCP 向系统发送命令，在可通过互联网访问的网站的公共 Web 目录中创建使用 tar 工具创建的电子邮件存档的副本。” “黑客组织很可能通过直接从 Web 目录下载文件来窃取电子邮件存档。” 为了减轻此类攻击带来的风险，建议组织实施强密码策略、实施双因素身份验证 (2FA)、限制登录尝试速率以减少暴力尝试的机会、监控 SSH 流量并保持所有系统和软件是最新的。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/YaK9K_4TrwIeAPvWE0qiSw 封面来源于网络，如有侵权请联系删除

不知名的黑客组织至少在过去 11 个月内一直向美国境内被的选定目标传送 AsyncRAT 恶意软件，该黑客组织使用了数百个独特的加载程序样本和 100 多个域。 AsyncRAT 是一款适用于 Windows 的开源远程访问工具 (RAT)，自 2019 年起公开发布，具有远程命令执行、键盘记录、数据泄露和删除额外负载的功能。 多年来，无论是该工具的原版还是修改后的版本，已频繁地被网络犯罪分子用于在目标上搭建立足点、窃取文件和数据以及部署其他恶意软件。 微软安全研究员Igal Lytzki 去年夏天发现了通过劫持电子邮件线程进行的攻击，但无法检索最终的有效负载。 9 月，AT&T 的 Alien Labs 研究人员团队注意到“针对某些公司的特定个人的网络钓鱼电子邮件激增”并开始调查。 “受害者及其公司都是经过精心挑选的，以方便扩大该活动的影响。一些已确定的目标管理着美国的关键基础设施。”——AT &T Alien Labs 这些攻击首先会发送是一封带有 GIF 附件的恶意电子邮件，该附件会生成一个 SVG 文件，该文件会下载经过混淆处理的 JavaScript 和 PowerShell 脚本。 通过一些反沙箱检查后，加载程序与命令和控制 (C2) 服务器进行通信，并确定受害者是否有资格感染 AsyncRAT。 部署 AsyncRAT (AT&T)的第 3 阶段脚本 硬编码的 C2 域托管在 BitLaunch 上，该服务允许使用加密货币进行匿名支付，这对黑客来说是一个非常有用的选择。 如果加载程序确定它在分析环境中运行，它就会部署诱饵有效负载，这可能是为了误导安全研究人员和威胁检测工具。 感染链 （AT&T） 加载程序使用的反沙箱系统涉及通过 PowerShell 命令执行的一系列验证，这些验证会检索系统信息详细并计算分数以指示其是否在虚拟机中运行。 AT&T Alien Labs 确定黑客在过去 11 个月内使用了 300 个独特的加载程序样本，每个样本都对代码结构、混淆以及变量名称和值进行了微小的更改。 随着时间线看到的独特加载程序样本 (AT&T) 研究人员的另一个观察结果是黑客使用了域生成算法 (DGA)，该算法每周日都会生成新的 C2 域。 根据 AT&T Alien Labs 的调查结果，该活动中使用的域名遵循特定的结构：位于“顶级”TLD，使用八个随机字母数字字符，在 Nicenic.net 中注册，使用南非作为国家/地区代码，并且是托管在 DigitalOcean 上。 域生成逻辑 (AT&T) AT&T 能够解码域名生成系统背后的逻辑，甚至预测 2024 年 1 月将生成并分配给恶意软件的域名。 研究人员并未将这些攻击归因于特定对象，Alien Labs 团队提供了一组检测指标（IOCs）以及Suricata网络分析和威胁检测签名，企业、机构可以使用这些软件来检测与此 AsyncRAT 活动相关的入侵活动。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Gr1K8bwFeP4fpFd_Kp6yrw 封面来源于网络，如有侵权请联系删除

未知组织已针对 Apache 的 OfBiz 企业资源规划 (ERP) 框架中发现的零日漏洞发起了调查，该框架是一种日益流行的分析补丁以寻找绕过软件修复方法的策略。 根据网络安全公司 SonicWall 的分析，12 月 26 日披露的 Apache OFBiz 中的0day 漏洞(CVE-2023-51467)允许黑客访问敏感信息并针对使用 ERP 框架的应用程序远程执行代码。Apache 软件基金会最初发布了针对相关漏洞CVE-2023-49070的补丁 ，但该修复无法防范其他变体的攻击。 SonicWall  威胁研究执行总监道格拉斯·麦基 (Douglas McKee) 表示，该事件突显了黑客对针对高价值漏洞发布的任何补丁进行仔细审查的策略，这些努力通常会导致找到绕过软件修复的方法。 “一旦有人完成了工作，说‘哦，这里存在一个漏洞’，现在一大群研究人员或黑客就可以关注这个漏洞，而你就让自己接受了更多的考验，“ 他说。“你已经引起了对该代码区域的注意，如果你的补丁不是坚如磐石或者遗漏了某些内容，那么它更有可能被发现，因为你对它有额外的关注。” SonicWall 研究人员 Hasib Vhora 分析了 12 月 5 日的补丁，发现了利用该问题的其他方法，该公司于 12 月 14 日向 Apache 软件基金会报告了这一情况。 Vhora在问题分析中表示：“在分析 CVE-2023-49070 补丁时，我们对所选择的缓解措施很感兴趣，并怀疑仍然存在身份验证被绕过的情况，因为该补丁只是从应用程序中删除了 XML RPC 代码。” 。“因此，我们决定深入研究代码，找出身份验证绕过问题的根本原因。” 补丁存在漏洞 Apache 并不是唯一一家发布了黑客能够绕过的补丁的公司。根据谷歌威胁分析小组 (TAG) 发布的数据，2020 年，使用零日漏洞攻击的 24 个漏洞中有 6 个 (25%) 是之前修补的安全问题的变体。谷歌在更新的分析中表示，到 2022 年，受到零日漏洞攻击的 41 个漏洞中，有 17 个（41%）是先前修补问题的变体。 Google Mandiant 的高级经理 Jared Semrau 表示，公司未能完全修补问题的原因有很多，从不了解问题的根本原因到处理大量积压的软件漏洞，再到优先考虑立即修补而不是全面修复。 “对于为什么会发生这种情况，没有简单、单一的答案，”他说。“有几个因素可能会导致补丁不完整，但SonicWall 研究人员是绝对正确的 – 很多时候公司只是修补已知的攻击向量。” 谷歌预计，针对未完全修补的漏洞的零日攻击所占比例仍将是一个重要因素。从黑客的角度来看，发现应用程序中的漏洞很困难，因为研究人员和黑客必须查看数十万或数百万行代码。通过专注于可能尚未正确修补的有前途的漏洞，黑客可以继续攻击已知的弱点，而不是从头开始。 解决 OfBiz 问题的方法 在很多方面，这就是 Apache OfBiz 漏洞所发生的情况。原始报告描述了两个问题：需要访问 XML-RPC 接口 (CVE-2023-49070) 的 RCE 缺陷，以及为不受信任的黑客提供此访问权限的身份验证绕过问题。ASF 安全响应团队在回答 Dark Reading 的问题时表示，Apache 软件基金会认为删除 XML-RPC 端点可以防止这两个问题被利用。 “不幸的是，我们忽略了相同的身份验证绕过还会影响其他端点，而不仅仅是 XML-RPC 端点，”该团队表示。“一旦我们意识到这一点，第二个补丁就在几个小时内发布了。” Apache 软件基金会成员 Deepak Dixit在 Openwall 邮件列表中表示，该漏洞被 Apache 追踪为 OFBIZ-12873，“允许黑客绕过身份验证以实现简单的服务器端请求伪造 (SSRF)” 。他认为 SonicWall 威胁研究员 Hasib Vhora 和另外两名研究人员（Gao Tian 和 L0ne1y）发现了这个问题。 由于 OfBiz 是一个框架，是软件供应链的一部分，因此该漏洞的影响可能会很广泛。例如，流行的 Atlassian Jira 项目和问题跟踪软件使用 OfBiz 库，但该漏洞能否在该平台上成功执行仍然未知。 Sonicwall 的 McKee 表示：“这将取决于每家公司构建网络的方式以及配置软件的方式，”他说。“我想说，典型的基础设施不会面向互联网，它需要某种类型的 VPN 或内部访问。” ASF 安全响应团队表示，无论如何，公司都应该采取措施，将已知使用 OfBiz 的任何应用程序修补到最新版本。 “我们对使用 Apache OFBiz 的公司的建议是遵循安全最佳实践，包括仅向需要的用户授予对系统的访问权限，确保定期更新您的软件，并确保您有能力在安全问题发生时做出响应。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292408 封面来源于网络，如有侵权请联系删除