FortiGuard 实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的 Adobe ColdFusion 漏洞。 远程攻击者可利用Adobe ColdFusion 2021中的验证前RCE漏洞，获取受影响系統的控制权力。 Adobe 已发布安全补丁来解决这些漏洞，但攻击者仍在利用这些漏洞。 攻击活动涉及多个阶段，包括探测、反向外壳和部署恶意软件。 目前已发现四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 建议用户及时升级系统并部署保护机制，以挫败正在进行的攻击。 由于 Adobe ColdFusion 存在漏洞，Windows 和 macOS 平台的众多用户目前都面临风险。该软件套件是网络应用程序开发的热门选择，最近由于远程攻击者发现并利用了认证前远程代码执行（RCE）漏洞而受到攻击。这些漏洞使攻击者有能力夺取受影响系统的控制权，从而将危险系数提升到了严重级别。 这些攻击的核心目标是 Adobe ColdFusion 2021 中的 WDDX 反序列化过程。虽然Adobe迅速回应了安全更新（APSB23-40、APSB23-41和APSB23-47），但FortiGuard实验室仍观察到持续的攻击尝试。 从对攻击模式的分析，研究人员发现了威胁行为者执行的一个过程。他们使用 “interactsh “等工具发起探测活动，以测试漏洞利用的有效性。观察到这些活动涉及多个域，包括 mooo-ngcom、redteamtf 和 h4ck4funxyz。探测阶段让攻击者深入了解了潜在漏洞，并为更多的恶意行动的做好铺垫。 攻击活动的复杂性还体现在反向外壳的使用上。通过对有效载荷进行 Base64 编码，攻击者试图在未经授权的情况下访问受害者系统，从而实现远程控制。 值得注意的是，分析揭示了一种多管齐下的方法，包括部署各种恶意软件变种。攻击是从不同的 IP 地址发起的，这引起了人们对该活动影响范围之广的担忧。恶意软件有效载荷以 Base64 编码，在解码前隐藏了其真实性质。研究人员发现了四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 XMRig Miner 主要与 Monero 加密货币挖矿有关，被用来劫持系统处理能力。通过利用 6.20.0 版本，攻击者设法利用被入侵的系统获取经济利益。 Lucifer是一个混合型机器人，结合了加密劫持和分布式拒绝服务（DDoS）功能，是一个强大的实体。该恶意软件变种不仅展示了其挖矿能力，还展示了其在指挥和控制操作、通过漏洞传播以及复杂的 DDoS 攻击方面的能力。 与 “Lucifer “相连的 RudeMiner 携带着以前的 DDoS 攻击遗产。它在当前威胁环境中的参与表明了它的持久性和适应性，使其成为一个重大隐患。 BillGates/Setag 后门之前与 Confluence 服务器漏洞有关，在此背景下再次出现。表明它具有多方面的能力，包括系统劫持、C2 通信和多种攻击方法，其中包括基于 SYN、UDP、ICMP 和 HTTP 的攻击。 尽管有安全补丁可用，但攻击的持续不断，也突显了采取行动的紧迫性。我们强烈建议用户及时升级系统并部署保护机制，包括防病毒服务、IPS 签名、网络过滤和 IP 信誉跟踪，以遏制持续不断的攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376962.html 封面来源于网络，如有侵权请联系删除

与应用安全相比，产品安全的“全域安全”方法变得越来越受欢迎。 无论是所谓的“安全左移”、“内生安全”还是“设计安全”，当今最具前瞻性思维的企业都明白，需要站在业务和产品的整个生命周期的高度考虑安全性问题，而不是仅仅局限于单个应用程序。为此，越来越多的企业正在通过产品安全团队和首席产品安全官（CPSO）来推动这一变革。 产品安全远远超出应用安全以软件测试为主的范畴，扩展到安全意识宣传、业务团队协作、设计思维、威胁建模、架构规划甚至企业风险管理领域。Appdome首席产品官ChrisRoeckl指出：“通过积极参与产品开发的每个阶段，产品安全团队能将安全要素嵌入到软件的设计、架构、编码、测试以及生产环境发布；这种主动方法是一种良性循环，可以最大限度地降低漏洞风险，并确保网络安全成为企业产品不可或缺的重要元素。” 如果方法得当，产品安全将成为CISO兑现DevSecOps倡导者多年来所作承诺的重要杠杆。 应用安全和产品安全有何不同？ 虽然应用安全和产品安全都有一个共同的目标——帮助企业发布和维护安全的软件，但二者在实现这一目标中所扮演的角色是不同的。应用安全真正关注的是测试、验证和工具链，而产品安全则涵盖整个SDLC的业务规则，包括软件开发中薄弱的“人的因素”。 此外，虽然应用安全团队会深入研究并强化每个应用程序，但产品安全能从全局、端到端角度审视有助于确保产品的“全域安全”。换而言之，产品安全是应用安全的延伸。应用安全专注于保护单个软件应用程序的代码和功能，而产品安全则对产品进行整体审视，考虑的维度和场景（环境）更多，包括各组件之间的通信可能存在的潜在攻击媒介。 简而言之，产品安全需要考虑的环境要素包括大量应用程序、硬件组件和相关服务，以及所有这些要素部署在一起时的安全状况。 对于有些企业来说，产品安全可能更多关注的是外部客户，但也有企业认为后端财务或人力资源等内部系统和项目也属于产品安全保护的范围。无论哪种方式，产品安全的前景都更加广阔和全面，软件开发公司EPAMSystems的首席信息安全官SamRehman认为：“产品安全的范围更广，包括运营和技术控制、整体环境、客户身份以及检测和响应服务中潜在问题的机制。” 黑莓产品安全副总裁ChristineGadsby用一个形象的比喻来帮助理解应用安全和产品安全的区别：如果将应用程序比喻为蛋糕，那么应用安全就是在将一块蛋糕提供给某人之前的俺安全检查，以确保蛋糕看起来安全并且没有污染物。产品安全则是指改进面包店制作蛋糕的方式及其使用的工具，以确保每个蛋糕都是安全且味道鲜美的。“产品安全更多的是一种‘全局’方法——从原料到成品的整个烘焙过程的每一步都采取正确的行动和流程，以确保蛋糕的成分稳定，风味能够满足客户的要求。 产品安全正在迅速崛起 产品安全（人员）进入企业组织结构图的事实并不是对传统应用安全测试的否定。事实上，越来越多的企业技术负责人认识到应用程序并非在真空中运行，在应用安全之外，企业还需要一个产品安全团队来帮助观察各应用程序之间安全差距。产品安全团队的成员还充当安全宣贯者，帮助将安全基础知识灌输到开发流程和“软件工厂”中。 API安全测试公司StackHawk的联合创始人兼首席安全官ScottGerlach表示，产品安全的出现类似于DevOps运动早期引入的站点可靠性工程：“随着软件交付速度越来越快，从开始到交付的整个过程中都需要将可靠性融入到产品中。如今，应用安全团队在开发过程中与软件的交互通常很少，而产品安全团队则能参与到整个产品生命周期中，从产品启动到发布进行整合，可以实现更快、更安全的产品交付周期，让安全尽早融入产品。” 产品安全也不是应用安全的替代品。EPAM的Rehman认为，在协调良好的产品安全框架内，应用安全在保护软件安全方面将继续发挥重要作用：“产品安全依赖应用安全来减少和修复应用程序中的漏洞，以此为基础，其他产品安全措施才能确保高标准的产品安全。” 产品安全可以促进安全文化 产品安全在实施安全设计原则中发挥着关键作用。Rehman表示，产品安全团队全面参与产品或服务的设计阶段，这种参与延伸到产品策略和控制，而这些策略和控制会深入根植到到产品的架构和功能中。 帮助定义产品策略只是开始，因为产品安全是工程和开发、业务利益相关者和安全领导之间协作的催化剂。企业经常让产品安全团队充当变革推动者，在企业范围推动难以捉摸但又至关重要的安全文化。 黑莓产品安全副总裁ChristineGadsby表示：“产品安全团队可以帮助企业创建一种安全意识文化，让每个人都了解并通过定期交流最新安全知识、成功经验和挑战来提高员工日常工作中的安全意识。产品安全团队可以制定明确的指导方针和标准，提供资源来教育员工最佳安全实践，并与开发团队合作将安全性集成到软件开发生命周期中。” 虽然产品安全做了相当多的宣传和政策制订工作，但优秀的产品安全团队不满足于提（安全）要求，SynopsysIntegrityGroup副首席安全顾问JamieBoote表示，产品安全团队还应该帮助减少（安全与业务的）摩擦。 一种可能阻碍企业安全文化的摩擦是认知摩擦，即理解和解决安全问题所需的脑力劳动，产品安全团队可以通过提供培训、可重用的解决方案以及其他团队可以轻松适应和使用的安全设计组件来减少开发人员、架构师、工程师和其他利益相关者所经历的认知摩擦。” 谁来负责产品安全？ 企业需要在产品安全团队中安排合适的人选并建立相应的汇报机制来推动变革。优秀的产品安全专业人员需要同时具备熟练的技术和软技能，以便推动其他团队的协作，不善言辞的技术大咖显然并非理想人选。同样，产品安全团队还需要一位对业务和工程都有深刻理解的负责人。Rehman表示：“为了推动有效的产品安全，企业必须任命一位同时具备扎实的产品知识和深厚的安全专业知识的人员。” 根据不同的企业需求和文化，产品安全团队的汇报对象会有很大差异。如果产品安全团队是围绕产品开发搭建的，那么他们可能会嵌入到工程或产品部门中。产品安全团队最常见的直接汇报渠道通常是CISO、CTO、CIO、副总裁或安全总监。但也有一些团队可能会根据监管或法律风险向法律或合规部门报告。 Rehman表示，“如果安全安全团队技术能出色且稳健，建议直接向CISO报告，确保产品安全工作与公司安全战略保持一致，并确保在所有产品和服务中始终如一地实施安全措施。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/-VcNPQgZgO1FXJKHZfOCXA 封面来源于网络，如有侵权请联系删除

Qakbot是迄今为止规模最大、运行时间最长的僵尸网络之一。8月29日，FBI牵头的一次名为“猎鸭行动”的大规模跨国执法行动成功捣毁了Qakbot的基础设施网络，但也有业界人士担忧FBI的做法带来了“窃听风险”。 最大规模的僵尸网络清除行动 Qakbot僵尸网络是网络犯罪分子中非常流行的网络犯罪工具，用于实施勒索软件、金融欺诈和其他活动。多年来，Qakbot一直充当各种勒索软件团伙及其附属组织的初始感染载体，包括Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex以及最近的BlackBasta。 Qakbot主要通过包含恶意附件或链接的钓鱼邮件感染受害者计算机。用户下载或单击钓鱼邮件发送的恶意附件或链接后，其计算机将被恶意软件控制成为Qakbot僵尸网络的一部分，Qakbot僵尸网络会向他们的计算机投送其他恶意软件（包括勒索软件）。多年以来，大多数Qakbot受害者都不知道自己的计算机已被Qakbot感染。 据路透社报道，受访安全研究人员表示Qakbot源自俄罗斯，并攻击过从德国到阿根廷等世界各地的组织。自2008年问世以来，Qakbot恶意软件已被大量用于勒索软件攻击和其他网络犯罪，给全球各地的个人、企业、医疗提供商和政府机构造成了数亿美元的损失。 据保守估计，Qakbot僵尸网络（也称为Qbot和Pinkslipbot）与全球至少40起针对公司、医疗提供商和政府机构的勒索软件攻击联系起来，造成了数亿美元的损失。 根据FBI和美国司法部的联合公告，“猎鸭”行动在美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国同步进行，是美国主导的对僵尸网络基础设施的史上最大规模的执法行动之一。 “猎鸭行动”扣押了Qakbot网络犯罪组织价值近900万美元的加密货币。根据FBI发布的证据，仅在2021年10月至2023年4月期间，Qakbot管理员就收取了受害者支付的约5800万美元赎金。 虽然大型僵尸网络遭受执法机构的沉重打击后经常“复活”（例如EMonet），但FBI局长克里斯托弗·雷(ChristopherWray)言之凿凿地表示：“FBI消灭了这个影响深远的犯罪供应链，已将其彻底斩断。” 70万台僵尸网络计算机的流量被导向FBI控制的服务器 在启动全球执法行动之前，FBI设法渗透了Qakbot僵尸网络基础设施的一部分（其中包括Qakbort管理员使用的一台计算机），并获得了对Qakbot基础设施的访问权限，发现Qakbot在全球范围已经感染了超过70万台受感染的计算机，其中超过20万台位于美国（50万台分布在全球各地）。 在Qakbot管理员使用的一台（感染Qakbot的）计算机上，FBI找到了许多与Qakbot僵尸网络操作相关的文件，包括Qakbot管理员和同谋之间的聊天内容，以及虚拟货币钱包的信息。 为了彻底捣毁Qakbot的大规模僵尸网络，FBI将Qakbot流量重定向到FBI控制的服务器，并获取了在全球受感染设备上部署卸载程序所需的访问权限。FBI报告称其服务器指示受感染的计算机下载卸载程序文件，进而删除Qakbot恶意软件，并可阻止设备安装任何其他恶意软件。FBI声称此举是为了彻底清除感染并防止部署其他恶意负载。 虽然FBI声称在部署Qakbot卸载工具时通过从受害者计算机收集的IP地址和路由信息通知了受害者，但没有用户在卸载程序从系统中删除恶意软件时收到通知。用户也可以通过在HaveIBeenPwned或荷兰国家警察网站（https://politie.nl/checkyourhack）上提交电子邮件地址来检查是否受到感染。 FBI承诺，自己在主动从受感染的私人系统中删除恶意软件的过程中不会查看或收集任何个人信息。 美国司法部也在本周二的新闻稿中再次强调：“此次执法行动的范围仅限于Qakbot在受害者计算机上安装的信息。它（该行动）没有扩展到修复已安装在受害者计算机上的其他恶意软件，也没有涉及访问或修改受感染计算机所有者和用户的信息。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/AOm2zUCecPK_hWhpwNSZjw 封面来源于网络，如有侵权请联系删除

全球最大的云计算和托管服务提供商之一Leaseweb通知用户，公司最近遭遇一起安全事件，导致一些“关键”系统被迫关闭，目前正在努力恢复。 这家荷兰云服务提供商在给客户发送电子邮件写道，上周二（8月22日）晚间，公司在调查客户门户网站停机问题时，发现了其基础设施某些部分出现“异常”活动的迹象。 为了减轻安全风险，Leaseweb关闭了一些受影响的系统，并表示其团队正在努力恢复此次事件中受影响的关键系统。公司表示：“8月22日晚间，我们的监控系统在云环境的特定区域内侦测到了异常活动。该问题影响了我们云基础设施的某些部位，导致少数云客户停机。” “为应对此事件，我们迅速采取果断措施，减少潜在风险。具体措施包括临时禁用影响客户门户的某些关键系统。我们团队正在努力恢复这些系统。预计客户门户将在未来几个小时内恢复正常。” 在遭受攻击后，Leaseweb聘请了数字取证和事件响应方面的网络安全公司来调查安全事件并遏制攻击。 这家托管服务提供商补充说：“为确保我们的服务安全可靠，我们已制定了强有力的遏制计划，并与备受尊敬的网络安全和取证公司密切合作。” “虽然调查仍在继续，但我们已成功遏制了这一事件，改进了安全措施，没有发现更多的未经授权活动。” Leaseweb是全球主要的云计算和网络服务提供商之一，公司创建于1997年，目前拥有超过20000名客户。客户群既包括中小型企业，也包括知名大企业。 Leaseweb拥有超过80000台服务器。该公司提供了任务关键型基础设施，并在欧洲、亚洲、澳大利亚和北美运营25个数据中心。 外媒BleepingComputer主动联系Leaseweb，该公司发言人暂时没有发表评论。     转自安全内参，原文链接:https://www.secrss.com/articles/58280 封面来源于网络，如有侵权请联系删除

近日，大量Windows用户在安装微软8月2日发布的Windows11和Windows10系统更新（KB5029351预览版）后遭遇蓝屏死机问题，错误提示为：“UNSUPPORTED_PROCESSOR”（不支持的处理器）： 微软上周三首次承认了更新存在缺陷，称受影响的平台包括Windows11 22H2和Windows10 21H2/22H2。微软补充说，有缺陷的可选更新“可能会自动卸载，以允许Windows按预期启动”，并警告客户不要重新安装它，以避免出现进一步的问题。 但本周一微软态度转变，声称最近困扰部分Windows用户的蓝屏死机问题并不是由2023年8月发布的可选更新中的问题引起的。相反，微软暗示其根本原因是部分设备固件的不兼容问题。 微软表示：“在调查这些报告后，我们发现‘UNSUPPORTED_PROCESSOR’错误不是由KB5029351中的问题引起的，并且仅限于特定的处理器子集。” 微软建议用户：如果继续遇到（蓝屏死机）问题，应联系其设备的处理器制造商（例如英特尔和AMD）。但有趣的是，虽然蓝屏错误提示为“不受支持的处理器”，但目前只有中国台湾主板厂商微星公司（MSI）正式确认其某些主板型号的用户可能会受到此已知问题的影响。 微星上周正式确认使用其部分型号主板的Windows用户在安装8月的可选预览更新后蓝屏死机(BSOD)问题激增。微星建议已更新了系统并受到蓝屏影响的用户将主板BIOS恢复到以前的版本并卸载可选的（8月）Windows更新。 微星上周五表示：“已收到多份报告，称用户在安装Windows11更新KB5029351预览版后，MSI600/700系列主板用户遇到蓝屏死机问题，错误消息为‘UNSUPPORTED_PROCESSOR’。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/9tNkrvEeBGfMysaYW3rekg 封面来源于网络，如有侵权请联系删除

最新消息，思科修复了其产品中的多个缺陷，其中包括 NX-OS 和 FXOS 软件中的三个高严重性缺陷。攻击者可以利用这三个问题导致拒绝服务 (DoS) 情况。 以下是供应商在2023 年 8 月 23 日发布的半年度 FXOS 和 NX-OS 软件安全咨询捆绑出版物中解决的缺陷列表。 这家 IT 巨头会在每年 2 月和 8 月的第四个星期三发布 FXOS 和 NX-OS 软件安全公告捆绑包。 最严重的问题被追踪为 CVE-2023-20200（CVSS 评分 7.7），是存在于 Firepower 4100 系列和 Firepower 9300 安全设备的 Cisco FXOS 软件以及 Cisco 的简单网络管理协议 (SNMP) 服务中的 DoS 错误。UCS 6300 系列结构互连。 经过身份验证的远程攻击者可以利用该缺陷在易受攻击的设备上造成拒绝服务 (DoS) 情况。 该公司发布的公告：该漏洞是由于对特定 SNMP 请求的处理不当造成的。攻击者可以通过向受影响的设备发送精心设计的 SNMP 请求来利用此漏洞。成功利用该漏洞可能会让攻击者导致受影响的设备重新加载，从而导致 DoS 情况。此漏洞影响所有受支持的 SNMP 版本。要通过 SNMPv2c 或更早版本利用此漏洞，攻击者必须知道受影响设备上配置的 SNMP 社区字符串。要通过 SNMPv3 利用此漏洞，攻击者必须拥有在受影响设备上配置的 SNMP 用户的有效凭据。 第二个高严重性缺陷为CVE-2023-20169（CVSS 评分 7.4），是影响 Nexus 3000 和 9000 系列交换机的 DoS 问题。该缺陷是由于解析入口 IS-IS 数据包时输入验证不足造成的。威胁参与者可以通过向受影响的设备发送精心设计的 IS-IS 数据包来触发该问题 第三个高严重性缺陷为CVE-2023-20168（CVSS 评分 7.1），影响 NX-OS 软件的 TACACS+ 和 RADIUS 远程身份验证。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Q-g2wL8D7POWG4lpwkyBuQ 封面来源于网络，如有侵权请联系删除

美国多个联邦机构近日向该国航天工业发出警告，要求警惕外国警报机构的间谍活动。 美国国家情报总监办公室下属的国家反情报与安全中心（NCSC）称，全球太空经济投入将从 2021 年的 4690 亿美元增长到 2030 年的超过 1 万亿美元，而美国是这一增长的主要驱动力，并且对能源、金融、电信、交通、农业等多行业起到重要作用。NCSC认为外国情报机构已经认识到商业航天工业对美国经济和国家安全的重要性，包括关键基础设施对其产生的依赖性。 NCSC例举了针对美国航天工业进行间谍活动的可能形式，包括利用网络攻击、空壳公司或老式间谍手段收集有关美国太空能力或创新技术的敏感信息，也可能使用卫星干扰或黑客攻击等反空间系统来破坏或削弱美国卫星系统。 2021 年，NASA 成为SolarWinds 漏洞攻击的九个目标机构之一，这次大规模网络攻击被机构领导层称为“警钟”，旨在保护其赖以存储和传播敏感技术数据的网络安全。 在2022年爆发的俄乌战争中，被指与俄罗斯政府有联系的黑客对美国通信公司Viasat、SpaceX 星链系统进行了网络攻击。马斯克于2022年3月在推特上表示，攻击使冲突地区附近的一些星链终端曾一度堵塞数小时。 而在今年举行的美国黑帽技术大会（Black Hat USA）上，安全研究专家的一项研究议题也表示，黑客想要针对卫星进行攻击也非难事。根据对17 种不同卫星型号的 19 名工程师和开发人员的调查，有3名工程师承认他们没有采取任何措施来防止第三方入侵，有9名工程师虽然表示采取了防御措施，但其中只有5名实施了任何类型的访问控制。     转自Freebuf，原文链接:https://hackernews.cc/archives/45320 封面来源于网络，如有侵权请联系删除

Secureworks的研究人员发现，Smoke Loader 僵尸网络背后的网络犯罪分子正在使用一种名为 Whiffy Recon 的新恶意软件，通过 WiFi 扫描和 Google 地理定位 API 来定位受感染设备的位置。 Google 的地理定位 API 是一项带有 WiFi 接入点信息的 HTTPS 请求，能返回纬度和经度坐标以定位没有 GPS 系统的设备。 在 Whiffy Recon 的案例中，了解受害者的位置有助于更好地针对特定地区甚至城市进行攻击，或者通过展示跟踪能力来帮助恐吓受害者。根据该区域 WiFi 接入点的数量，通过 Google 地理定位 API 进行的三角测量精度范围可达20米——50 米甚至更小。但在人口密度较低的区域，该精度可能会降低。 恶意软件首先检查服务名称“WLANSVC”，如果不存在，则会将僵尸程序注册到命令和控制（C2）服务器并跳过扫描部分。 Whiffy Recon 主要功能 对于存在该服务的 Windows 系统，Whiffy Recon 会进入每分钟运行一次的 WiFi 扫描循环，滥用 Windows WLAN API 来收集所需数据，并向 Google 的地理定位 API 发送包含 JSON 格式的 WiFi 接入点信息的 HTTPS POST 请求。 使用 Google 响应中的坐标，恶意软件会制定有关接入点更完整的报告，包括其地理位置、加密方法、SSID，并将其作为 JSON POST 请求发送到攻击者的 C2。 由于此过程每 60 秒发生一次，因此攻击者可以几乎实时对设备进行跟踪。 Secureworks的研究人员于 8 月 8 日发现了这种新型恶意软件，并注意到恶意软件在向 C2 发出的初始 POST 请求中使用的版本号是“1”，表明恶意软件可能还会存在后续开发版本。     转自Freebuf，原文链接:https://www.freebuf.com/articles/376176.html 封面来源于网络，如有侵权请联系删除

Openfire是一款广泛使用的基于Java的开源聊天（XMPP）服务器，下载量达900万次。但成千上万的Openfire服务器仍然容易受到CVE-2023-32315的攻击，这是一个被积极利用的路径漏洞，允许未经身份验证的用户创建新的管理员帐户。 该漏洞影响了2015年4月发布的3.10.0版本，Openfire开发人员发布了4.6.8、4.7.5和4.8.0版本的安全更新来解决这个问题。尽管如此，在6月份，该漏洞仍被积极利用，在未修补的服务器上创建管理用户并上传恶意插件。 正如VulCheck漏洞研究人员在一份报告中强调的那样，OpenFire社区并没有急于应用安全更新，有3000多台服务器仍然存在漏洞。更糟糕的是，有一种方法可以利用该漏洞，在不创建管理帐户的情况下上传插件。 太多未修补的服务器 VulCheck报告称，Shodan扫描显示6324台面向互联网的Openfire服务器，其中50%（3162台服务器）由于运行过时的版本，仍然容易受到CVE-2023-32315的攻击。 只有20%的用户进行了修补，25%的用户使用的版本早于3.10.0，也就是漏洞被引入软件的时候，另有5%的用户运行的开源项目分支可能会受到影响，也可能不会受到影响。虽然这个数字可能并不令人印象深刻，但考虑到这些服务器在通信基础设施、处理敏感信息等方面所扮演的角色，这个数字是巨大的。 更好的PoC CVE-2023-32315利用依赖于创建一个管理员用户，以允许攻击者上传恶意Java JAR插件，这些插件打开反向外壳或在受损服务器上执行命令。     转自E安全，原文链接:https://mp.weixin.qq.com/s/9qvaRZ4ludjdtZzq5rh-4w 封面来源于网络，如有侵权请联系删除

厄瓜多尔海外居民在全国大选的远程在线投票遇到故障，该国选举机构将这起事件归因于来自七个不同国家的网络攻击。 南美洲国家厄瓜多尔在上周日举行全国大选，然而海外居民远程在线投票遇到困难。该国选举机构将这些事件归因于来自七个不同国家的网络攻击。 选举当天，远程选民纷纷在社交媒体上表示，他们无法通过政府创建的在线投票系统投票，感到十分沮丧。大选前，约有12万名生活在国外的厄瓜多尔人注册投票。但是，其中很多人在投票截止前无法访问投票系统。 厄瓜多尔国家选举委员会主席Diana Atamaint在上周日召开新闻发布会，将远程投票的问题归咎于网络攻击，但是并没有详细说明攻击的性质。 她说：“我们通知厄瓜多尔人民，根据初步报告，远程投票平台遭受了网络攻击，投票系统访问流畅性受到影响。我们还需要重点澄清，已经投下的选票没有受到侵扰。”她继续表示，“已确认”这些攻击“来自七个国家：印度、孟加拉国、巴基斯坦、俄罗斯、乌克兰、印度尼西亚和中国。” Diana Atamaint接受美国有线电视网西班牙语频道采访时表示，旅居欧洲的厄瓜多尔选民受到的影响最为严重。 她说，“选举当局将在法律框架内分析应该采取哪些适当措施。” 但是，厄瓜多尔国家选举机构没有对评论请求做出回应。 截至周一下午，计票工作已经完成80%。左翼候选人Luisa Gonzalez暂时领先。但是，她需要在今年十月参加第二轮对决，面对首轮选举第二名Daniel Noboa的挑战。 本月早些时候，厄瓜多尔总统候选人Fernando Villavicencio在首都基多举行竞选活动时遭到暗杀，反映该国民主状况堪忧。在地方层面，投票进展较为顺利，但海外投票系统出现的问题在侨民中引发了愤怒和质疑。 旅居西班牙马德里的厄瓜多尔人在社交媒体上发布视频，显示他们在举行示威，抗议无法投票。     转自安全内参，原文链接:https://www.secrss.com/articles/58082 封面来源于网络，如有侵权请联系删除