美国国家航空航天局（NASA）天体生物学专用网站存在一个严重的安全漏洞，可能通过伪装带有NASA名称的危险URL来诱骗用户访问恶意网站。 太空旅行无疑是危险的。然而，在访问NASA网站的时候也有可能如此。Cybernews研究团队发现了一个NASA天体生物学网站的开放式重定向漏洞。 经过研究人员的调查，早在几个月前（2023年1月14日）已经有研究人员通过漏洞赏金计划发现并报告该漏洞，但该机构没有处理和修复。 攻击者可以利用这个漏洞将任何人重定向到恶意网站，从而获取他们的登录凭证、信用卡号码或其他敏感数据。 自4月初以来，Cybernews研究团队已多次联系美国国家航空航天局，截止到今天尚未收到任何答复。 什么是开放式重定向漏洞？ 开放式重定向漏洞简单来说就像是一个假冒的出租车司机。例如你叫了一辆出租车并告诉司机你想去哪里，但是他并没有把你送到目的地，而是把你带到另一个地方。 同样，试图访问 astrobiology.nasa.gov 的用户可能就被重定向进入了一个恶意的网站。通常情况下，网络应用程序会验证用户提供的输入，如URL或参数，以防止恶意重定向的发生。 网络新闻研究人员解释说：攻击者可以利用该漏洞，通过将恶意网址伪装成合法网址，诱使用户访问恶意网站或钓鱼网页。 为什么开放式重定向漏洞是危险的？ 攻击者可以用额外的参数修改NASA的网站，将用户引导到他们选择的地方。重新跳转的网站甚至可能类似于NASA的页面，只是在其中加入要求输入信用卡数据的提示。 此外，攻击者可以利用开放的重定向漏洞，引导用户进入网站，在登陆后立即将恶意软件下载到他们的电脑或移动设备上。 另一种利用该漏洞的方式是通过将用户重定向到展示低质量内容或垃圾邮件的网站来控制搜索引擎的排名。 虽然我们没有确认是否有人真正利用了NASA网站的这个漏洞，但是事实上这个漏洞已经暴露了几个月。 如何减轻开放式重定向漏洞的影响？ 利用开放式重定向漏洞可以使恶意行为者进行网络钓鱼攻击，窃取凭证并传播恶意软件。 为了避免此类事故，Cybernews研究团队强烈建议网站验证所有用户输入，包括URL。 研究人员解释说：这可能包括使用正则表达式来验证URL的正确格式，检查URL是否来自受信任的域，并验证URL不包含任何额外或恶意的字符。 为了防止恶意字符被注入URLs，网站管理员还可以使用URL编码。同时，网站所有者可以创建一个可信URL的白名单，只允许重定向到这些URL。防止攻击者将用户重定向到恶意的或未经授权的网站。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368750.html 封面来源于网络，如有侵权请联系删除

苹果公司的iTunes在微软Windows系统上使用时存在一个安全漏洞，可能使攻击者劫持受影响设备的操作系统。虽然目前苹果已经打上了补丁，但该漏洞已经存在了六个月之久。 苹果公司于5月23日推出了适用于Windows10和Windows11的iTunes12.12.9版本更新。在11月24日确认该漏洞的存在后，至今已过去了近六个月。该漏洞最初是在两个月前被网络安全分析机构Synopsys研究中心发现的。 该漏洞被Synopsys标记为CVE-2023-32353，对其描述为 “本地权限升级漏洞”，创建访问控制较弱的特权文件夹。 Synopsys说：普通用户有可能将这个文件夹的创建重定向到Windows系统目录中。然后可以利用这一点获得更高级别的系统外壳。 iTunes的漏洞需要在C: Drive中创建一个文件夹，该文件夹有可能让任何从该设备访问该音乐应用程序的人完全控制该目录。 Synopsys说：安装后，第一个运行iTunes应用程序的用户可以删除SC信息文件夹（用于在特定设备上授权该应用程序），创建一个链接到Windows系统文件夹，并重新创建该文件夹。 根据Synopsys的说法，该漏洞的风险评级为7.8（满分10分），按照这个过程，威胁者可以 “获得Windows系统级的访问权限”。 Synopsys最后补充说，任何在补丁日期之前在微软Windows上使用的比12.12.9版本之前的苹果设备都可能受到影响。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368603.html 封面来源于网络，如有侵权请联系删除

The register 网站披露，巴西南部地区部署的 Microsoft Azure DevOps 服务”罢工“了约十个小时。随后，微软首席软件工程经理 Eric Mattingly 为本次中断事件公开道歉，并透露中断原因是一个简单拼写错误致使 17 个生产数据库被删除。 Mattingly 表示 Azure DevOps  工程师会定期对生产数据库进行快照（Snapshot）处理，以便及时调查报告上来的问题或测试性能是否改进，这些举动都依赖一个每天运行的后台系统，该系统会在特定时间删除旧的快照。 在 Azure DevOps 工程师近期进行的一次代码升级中，用支持的 Azure.ResourceManager.*NuGet 包取代了弃用的 Microsoft.Azure.Management.*包，此举引起一个大型的拉取请求，其中更换了旧包和新包中的 API 调用。 然而拉取请求中却出现了拼写错误，误将删除快照数据库的调用改成了删除托管数据库的 Azure SQL Server 的调用，导致后台快照删除作业删除了整个服务器。 事故原因 Mattingly 指出 Azure DevOps 有专门的测试来捕捉此类问题，但是错误的代码只在某些特定条件下才得以运行，因此在现有的测试中没有很好的覆盖到。（据推测，这些条件需要存在于一个足够“老”的数据库快照，以便被删除脚本所捕获。） Mattingly 进一步指出由于没有任何快照数据库，Sprint 222 的内部部署（第0环）没有发生任何意外，几天后，软件变更被部署到客户环境（第1环）被用于南巴西规模单位（一个特定角色的服务器集群）。该环境中有一个快照数据库，其年龄“老”到足以触发该错误，最终导致后台工作删除了该规模单位的“整个 Azure SQL 服务器和所有 17 个生产数据库”。 经过十多个小时的努力，微软方面已经全部恢复了数据库，为防止此类问题再次发生，微软已经采取各种修复和重新配置措施。花费如此长时间的原因如下： 第一：由于客户自己无法恢复 Azure SQL Server， 必须由 Azure 工程师来处理这一问题，这一过程大约需要一个小时： 第二：数据库具有不同的备份配置，一些数据库被配置为区域冗余备份，另一些数据库被设置为最近的地理区域冗余备份，协调这种不匹配的冗余备份，需要花费几个小时； 最后一个原因：在数据库开始恢复在线后，由于自身网络服务器存在一系列复杂问题，使用这些数据库的客户也无法立刻访问整个规模单元。 据悉，这些问题由服务器预热任务引起，该任务通过测试调用在可用数据库列表中反复进行，恢复过程中的数据库出现了一个错误，就会触发预热测试 执行指数回退重试，导致预热平均需要 90 分钟，在正常情况下此操作只需要几秒钟。 更为复杂的是，整个恢复过程交错进行，一旦有一两台服务器开始接受客户流量，就会出现过载现象，然后停机。因此，恢复服务需要阻断所有到巴西南部规模单位的流量，直到一切都充分准备好后，才重新加入负载平衡器并处理流量。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368490.html 封面来源于网络，如有侵权请联系删除

美国联邦贸易委员会（FTC）对亚马逊旗下的Alexa语音助手和Ring（智能门铃）安全摄像头的一系列隐私问题累计罚款3080万美元。 其中包括对违反儿童隐私法的2500万美元的罚款，因为他们永久保存了Alexa的语音记录，并阻止父母进行删除。 FTC的Samuel Levine说：”亚马逊误导父母，无限期保留儿童的录音，并无视父母的删除请求，这违反了COPPA，为了利润侵犯了隐私”。 在法院的判决中，这家零售巨头被要求删除收集的信息，包括并不活跃的儿童账户、地理位置数据和语音记录，并禁止收集这些数据来训练其算法。 美国联邦贸易委员会当天在其官网宣布，Ring将为其受到的侵犯客户隐私指控支付580万美元。美国联邦贸易委员会指控Ring未能限制其员工和承包商访问客户视频，并在未经同意的情况下使用客户视频来完善其算法。在一个案例中，一名Ring员工在数月期间查看了至少81名女性用户的数千份私密空间监控频。 美国联邦贸易委员会还表示，大量Ring公司的摄像头产品被黑客入侵。一些入侵者不仅观看了用户视频，还利用摄像头骚扰、威胁和侮辱用户，并更改设备的设置。 根据和解协议，Ring公司必须删除2018年之前收集的用户数据以及从这些数据中取得的成果。 虽然和解协议必须经法院批准才能生效，但亚马逊表示，我们会认真并负责任的对待此次事件，会进一步采取有效措施保护客户隐私，严格的保护客户数据。 几周前，联邦贸易委员会同样指责 Meta公司 “一再”违反其隐私承诺，监管机构还在寻求全面禁令，禁止该公司从儿童数据中获利。Meta认为这些指控只是“政治噱头”，并表示其运营着“行业领先的隐私计划”。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368490.html 封面来源于网络，如有侵权请联系删除

自2016年以来，出现了一种名为AceCryptor的加密恶意软件，被用于打包各种恶意软件。 斯洛伐克网络安全公司ESET表示，他们在2021年和2022年的遥测中发现了超过24万次密码检测，且每月的点击量超过1万次。 AceCryptor中包含一些比较知名的恶意软件，比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等，且多发现于秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度。 Avast于2022年8月首次对AceCryptor进行了详细说明，介绍了该恶意软件以7-Zip文件的形式在Discord上分发Stop勒索软件和红线窃取器。 加密器的原理与打包器类似，但不是使用压缩，而是用加密来混淆恶意软件的代码，使检测和反向工程更具挑战性。 ESET研究员Jakub kalonik说：尽管威胁行为者可以创建和维护他们自己的自定义密码，但对于犯罪软件威胁行为者来说，将他们的密码保持在所谓的FUD(完全不可检测)状态通常是一项耗时或技术上困难的任务。 对这种保护的需求创造了多种打包恶意软件的加密即服务(CaaS)选项。acecryptor包装的恶意软件是通过盗版软件的木马安装程序、带有恶意附件的垃圾邮件或其他已经危及主机的恶意软件来传递的。它也被怀疑是作为CaaS出售的，因为它被多个威胁者用来传播不同的恶意软件。 据悉，该加密器被严重混淆，并纳入了一个三层架构，以逐步解密和解包每个阶段，并最终启动有效载荷，同时还具有反虚拟机、反调试和反分析技术，以便在雷达下飞行。 据ESET称，第二层似乎是在2019年引入的，作为一种额外的保护机制。另一个代号为ScrubCrypt的加密器服务曾被8220团伙等加密劫持组织利用，因其在受感染的主机上非法挖掘加密货币。 今年1月初，Check Point还发现了一个名为TrickGate的打包器，它被用来部署各种恶意软件，比如TrickBot、Emotet、AZORult、Agent Tesla、FormBook、Cerber、Maze和REvil。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367971.html 封面来源于网络，如有侵权请联系删除

谷歌宣布了一项新的漏洞赏金计划，名为Mobile VRP（漏洞奖励计划），该计划涵盖其移动应用程序，用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用（谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面）才在新赏金计划的范围内。 谷歌将奖励任意代码执行漏洞和可能导致敏感数据被盗的漏洞。同时也在发掘以下漏洞： 导致任意文件写入的路径遍历/压缩路径遍历漏洞 导致启动非出口应用组件的意图重定向 因不安全使用待定意图而导致的漏洞 孤立权限 下面的表格报告了该公司对不同类别的漏洞和根据这些漏洞与用户交互程度所提供的奖励： 白帽可以赚取高达30000美元，因为一级应用程序的漏洞可以在没有用户交互的情况下被远程利用，以实现任意代码执行。 谷歌在公告中指出，当调查一个漏洞时，请只针对你自己的账户，千万不要试图访问其他人的数据，也不要参与任何会对谷歌造成破坏或损害的活动。 有兴趣参加移动VRP的挖洞人员应通过谷歌的报告页面提交发现。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367384.html 封面来源于网络，如有侵权请联系删除

Facebook的母公司Meta因将该地区用户的个人数据转移到美国，被欧盟数据保护监管机构处以破纪录的13亿美元罚款。 在欧洲数据保护委员会（EDPB）发布的一项具有约束力的政策中，Meta公司被勒令使其数据转移符合GDPR的规定，并在六个月内删除非法存储和处理的数据。 此外，给Meta五个月的时间调整，禁止今后向美国转移Facebook用户的数据。 EDPB主席Andrea Jelinek在一份声明中说：EDPB发现Meta IE的侵权行为非常严重，因为它涉及系统性、重复性和连续性的转移。 Facebook在欧洲有数百万用户，因此转移的个人数据量是巨大的。此次破纪录的罚款也是向其他组织发出的一个强烈信号，即对用户数据的侵权行为会带来严重的后果。 欧洲数据保护当局一再强调，美国缺乏与GDPR对等的隐私保护措施，这让美国情报部门可以通过数据转移获取属于欧洲人的数据。 NOYB的创始人Schrems说，最简单的解决方法是美国出台类似GDPR的隐私保护措施。大西洋两岸都有一个共识，即我们需要有正当理由和司法保护的监控。 为了实现对欧洲用户数据的基本保护，接下来将会对美国云计算供应商进行审查了。任何其他大型美国云计算供应商，如亚马逊、谷歌或微软，都可能根据欧盟法律受到类似决定的打击。 Schrems进一步补充说：”Meta公司计划通过新的协议进行数据处理，但这很可能只是一个临时性的修复”。”在我看来，新协议被欧盟法院通过的概率很低。除非美国的监控法律得到完善，否则美公司很可能必须将欧盟的数据保留在欧盟”。 Schrems还指责爱尔兰数据保护委员会(DPC)一直试图阻止案件的进展，并试图保护Meta公司不被罚款和不得不删除已经转移的数据。但这两项均被EDPB驳回。 Meta公司回应说，他们打算对裁决提出上诉，称罚款是 “不合理且不必要的”，美国政府的数据访问准则与欧洲的隐私权之间存在着 “根本的法律冲突”。 Meta公司的Nick Clegg和Jennifer Newstead说：如果没有跨境传输数据的能力，互联网有可能被分割成国家和地区的孤岛，限制了全球经济，使不同国家的公民无法获得我们已经开始依赖的许多共享服务。 去年，该公司曾表示表示，如果被勒令暂停向美国传输数据，它可能不得不停止在欧盟提供 “我们最重要的一些产品和服务”。据《华尔街日报》报道，一项新的跨大西洋数据传输协议有望在今年晚些时候敲定，以取代隐私保护。 这笔罚款是建立欧盟GDPR隐私法有史以来最大的一笔罚款，超过了2021年7月对亚马逊类似隐私侵犯行为的7.46亿欧元（约为8.866亿美元）的罚款。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367289.html 封面来源于网络，如有侵权请联系删除

近日，一张由AI生成的假照片在推特上疯传，照片上显示的是华盛顿五角大楼发生剧烈爆炸的画面。这个事件暴露出了马斯克的Twitter Blue付费认证的真正问题。 周一上午晚些时候，这张假照片在社交信息平台上一经发布后不久就在网上疯传，直到美国政府官员出面，证实并谴责该照片只是个骗局才得以平息。 俄罗斯国家媒体和一个虚假的彭博新闻账户的个人资料名称旁边出现了蓝色对勾认证标记，此事备受争议。 美国东部时间上午10点左右，一张五角大楼草坪上熊熊燃烧的照片开始被大量转发，并快速传播，该照片的标题为“华盛顿特区五角大楼附近发生大爆炸的初步报告”。 据《福布斯》报道，美国国防部发言人已经声明这张照片是个“错误信息”。 到美国东部时间上午10点27分，阿灵顿消防和急救中心也在推特上谴责这是张假照片。该部门的推特账号发布内容称：@PFPAOfficial和ACFD注意到网上流传的有关五角大楼附近发生爆炸的社交媒体报道，但在五角大楼保留区或附近并未发生任何爆炸事件，对公众不会造成直接的危险或危害。 OSINT专家在几分钟内就对图像进行了全面检查，并指出了差异，证明图像确实是由AI生成的假图像。 Bellingcat的数字调查员Nick Walters表示，想伪造这样一个事件非常困难，甚至可以说根本不可能。这通过观察图像中的建筑物的正面，以及围栏融入人群屏障的方式就能轻松判断真伪。 Nick Walters称，对于这样一个重大的新闻报道，没有其他第一手目击者的照片或视频发布在网上就没那么可信。 此外，Nick Walters还在推特上写道：人口稠密地区发生的大多数极端物理事件(爆炸、恐怖袭击、大规模打斗)都会产生可识别的数字涟漪。 虚假的人工智能图像虽然对创作者和观众来说很有趣，但自去年11月ChatGPT发布以来，这一直是治理实体和人工智能专家关注的最大问题之一。 本月早些时候，一名男子因利用深度技术在网上传播虚假新闻而在中国被捕，面临最高10年的监禁。这名男子被指控使用ChatGPT制作了一个虚假的人工智能新闻视频，该视频描述了一场致命的火车相撞事故，然后将其发布在多个社交媒体网站上。 专家表示，随着人工智能模型近年来不断发展，社交媒体上的虚假信息非常令人担忧，尤其是在2024年美国总统大选周期刚刚开始的情况下。 《赫芬顿邮报》的高级编辑Andy Campbell提到了去年秋天，推特首席执行官马斯克接管该公司时，他与推特用户就其Twitter Blue认证展开的斗争。 以前是某家社交媒体公司能够证明某个组织或个人的合法性后，其账户才会被授予推特的蓝勾认证，但现在是只要有人愿意每月支付8美元，都可免费授予该标记。 3月份，这个问题的争议情况达到了顶峰，很多曾经认证过的名人和记者拒绝为曾经免费的服务付费，并表示可以将这个认证过的蓝色标记从他们的账户中移除掉。 Andy Campbell称，这个蓝色标记付费验证系统危险就在于，如果某个账户在推特上发布了一张AI生成的关于五角大楼爆炸的假新闻照片，但有了认证，乍一看该账户像是一个合法的彭博新闻推送。 那个虚假的彭博新闻账户已经被推特停用，但目前仍不知道这张伪造的五角大楼图片是从哪里来的。虽然，这次的虚假五角大楼爆炸新闻的病毒式传播很短暂，但这个谣言仍然导致周一纽约证券交易所出现了大跌的情况。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367258.html 封面来源于网络，如有侵权请联系删除

近日，全球多地华硕路由器的用户反馈，他们的设备突然莫名其妙地死机，然后在反复重启后，每隔几分钟就会因为设备内存耗尽而停止工作。华硕官方就服务器端安全维护错误向其客户道歉，该错误导致大量受影响的路由器型号失去网络连接。 自2023年5月16日以来，该问题已在社交媒体和讨论平台上得到广泛报道，人们对多个华硕路由器同时出现的连接问题感到困惑，而其他人则抱怨供应商方面缺乏沟通。 正如这家台湾硬件制造商在今天发布的声明和安全公告中所解释的那样，该问题是由服务器设置文件配置错误引起的。 华硕在支持公告中解释道：“在例行安全维护期间，我们的技术团队发现我们服务器设置文件的配置存在错误，这可能会导致部分路由器的网络连接中断。” 华硕路由器连接问题声明 虽然该公司的声明没有明确说明发生了什么类型的错误以及它对远程路由器的影响究竟如何，但Reddit上的一位用户解释说，连接问题是由ASD(ASUS AiProtection )的损坏定义文件引起的。 Reddit上的用户解释道，“更新固件几乎可以普遍解决这个问题，但只要清除NVRAM，只需将路由器重置为出厂默认设置也是如此。事实上，任何删除有问题的文件 (/jffs/asd/chknvram20230516) 的方法都会使路由器恢复正常。” ASD 是 Trend Micro 提供的内置安全守护程序，广泛用于各种路由器型号，以实时防御新出现的威胁。但是，无论用户是否在其设备上启用了自动安全（固件）更新，该组件都会更新。 据报道，损坏的 ASD 定义文件被自动推送到所有受影响的路由器，导致它们耗尽文件系统空间和内存并最终崩溃。 修复问题 华硕表示其技术团队已经解决了服务器问题，因此所有受影响的路由器现在应该恢复正常运行。 但在某些情况下，用户将不得不手动重启他们的设备以消除连接问题。 如果这仍然不够，华硕建议按照这些分步说明执行恢复出厂设置并重新上传设置文件。 对于无法执行重置的受影响用户，供应商建议他们按住设备上的重置按钮 5-10 秒，直到电源 LED 指示灯开始闪烁，这表明重置已完成。 供应商在声明中总结道，“对于此次事件可能造成的任何不便，我们深表歉意，并致力于防止此类事件再次发生。对于已执行建议操作但仍遇到问题的用户联系‘华硕支持’以获得更多帮助和指导。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/OVRs3Q0751SQ9xr002Yfpw 封面来源于网络，如有侵权请联系删除

2020年以来，意图发起“狩猎大型猎物”（BGH）攻击的网络犯罪团伙越来越多地针对VMware ESXi vSphere管理程序，部署专门设计的Linux版本勒索软件。 美国安全公司CrowdStrike观察到，这一趋势持续到了2023年第一季度，Alphv、Lockbit和Defray（CrowdStrike内部代号为ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER）等勒索软件即服务（RaaS）平台均被用来攻击ESXi。 鉴于ESXi本身设计上不支持第三方代理或反病毒软件，并且VMware在其文档中明确表示不需要反病毒软件，这一趋势尤其值得注意。ESXi是一种广泛使用的虚拟化和管理系统，这使得它对网络犯罪团伙极具吸引力。 ESXi是什么？ ESXi是VMware开发的裸机虚拟机管理器（Type-1类型）。虚拟机管理器是一种管理虚拟机的软件。与运行在传统操作系统上的托管虚拟机管理器（Type-2类型）相比，裸机虚拟机管理器直接运行在专用主机硬件上，性能更佳，主要用于数据中心、云服务等场景。 ESXi系统通常由vCenter管理，vCenter是一个集中的服务器管理工具，可以控制多个ESXi设备。尽管ESXi不是Linux操作系统，但在ESXi命令行程序中可以运行一些Linux编译的ELF二进制文件。 与ESXi平台相关的几个重要的VMware产品包括： ESXi（或vSphere虚拟机管理器）：作为服务器，包括虚拟机管理器组件、身份和管理组件以及与服务器硬件相关的资源管理组件； vCenter：身份和管理组件，以及用于一组ESXi服务器的完整资源管理器； ONE Access（或Identity Manager）：提供单点登录（SSO）解决方案，用于连接到vCenter或ESXi； Horizon：VMware的全面虚拟架构管理解决方案。 ESXi安全现状 VMware建议：“vSphere虚拟机管理器不需要使用防病毒软件，也不支持使用此类软件。” 除了缺乏ESXi安全工具外，网络犯罪团伙还积极利用了一些漏洞。2023年2月，法国计算机应急响应小组（CERT-FR）报告了一起勒索软件攻击事件，追踪代号为ESXiArgs。该攻击事件针对的是易受CVE-2020-3992或CVE-2021-21974漏洞影响，暴露于互联网的VMware ESXi虚拟机管理器。 这两个漏洞都针对ESXi虚拟机管理器中的OpenSLP服务。CVE-2021-21974允许未经身份验证的相邻网络攻击者在受影响的VMware ESXi实例上执行任意代码，但此前尚未被实际利用。CVE-2020-3992已被在野利用，它允许未经身份验证的对手在管理网络中的ESXi机器上访问端口427，并触发OpenSLP服务中的使用后释放问题，导致远程代码执行。 此前的公开报告还确认了CVE-2019-5544被实际利用，它同样影响了OpenSLP服务，并支持在受影响系统上执行远程代码。 在公开报告的CVE-2020-3992和CVE-2021-21974实际利用案例中，威胁行为者部署了一个名为vmtools.py的Python后门，存放在文件路径/store/packages/；这个文件名和文件路径与一个用户在公开论坛上分享的与当前ESXiArgs活动相关的行程序脚本的内容相匹配。 威胁态势正在恶化 由于在虚拟化领域中占据主导地位，VMware的产品线通常是组织的IT基础设施虚拟化和管理系统的关键组成部分，因此VMware虚拟基础架构产品对攻击者具有很大的吸引力。 越来越多的网络犯罪团伙意识到，缺乏安全工具、接口缺乏充分的网络分段以及被实际利用漏洞使ESXi成为一个诱人的攻击环境。 例如，2023年4月，CrowdStrike发现了一个名为MichaelKors的新的勒索软件即服务程序，为附属团队提供针对Windows和ESXi/Linux系统的勒索软件二进制文件。其他能够针对ESXi环境进行攻击的勒索软件服务平台也在浮出水面，如Nevada勒索软件。 2022年9月末，Mandiant研究人员发现并披露了一个主要针对VMware ESXi和VMware vCenter服务器的新型恶意软件生态系统，它部署为恶意远程管理工具（RAT）。该远程管理工具可在受感染服务器上持久化运行，并与底层虚拟机进行交互、提取敏感信息。 在2022年末，CrowdStrike观察到ALPHA SPIDER使用Cobalt Strike变体对ESXi服务器进行后渗透活动，并使用SystemBC变体通过受感染的vCenter服务器在网络中持久运行。此外，SCATTERED SPIDER利用开源代理工具rsocx持续访问受害者的ESXi服务器。 CrowdStrike评估发现，很多知名网络犯罪团伙在不同行业和地区使用Log4Shell (CVE-2021-44228) 攻击VMware Horizon实例，包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。 针对虚拟基础架构组件实施攻击具有诸多优势。目标组件通常没有得到足够的安全保护，放大了单次入侵的影响或帮助规避检测和防范机制。VMware产品过去曾受到关键漏洞的影响，攻击者可能会继续针对任何潜在弱点进行攻击。入侵成功通常能获得高价值资源的访问权限。 攻击向量 凭证窃取 对ESXi 虚拟机管理程序最直接的攻击向量是窃取用户凭证。在窃取凭证后，攻击者可以轻松通过服务器的身份验证，根据攻击者的目的推进攻击。如果攻击者获得足够的权限，可以启用和访问SSH控制台，甚至能直接执行任意代码，即使在最新版ESXi上也是如此。 如果被入侵的账户具备访问虚拟机网络管理功能的权限，攻击者可以将虚拟机重新配置为代理，用于访问内部网络。此外，如果被入侵的账户仅提供对一组虚拟机的访问权限，攻击者可以针对影响虚拟化操作系统的配置弱点或漏洞，以侵入目标网络。 一旦权限有限的攻击者成功访问了ESXi服务器，从初始访问到实现实际目标之间，需要权限升级这一关键中间步骤。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站脚本攻击（XSS）漏洞可以作为欺骗特权用户执行代码的手段进行攻击。例如，CVE-2020-3955首先将恶意载荷嵌入虚拟机属性（例如主机名）中，然后欺骗系统管理员通过VMware管理界面访问这些恶意属性。据目前所知，这些XSS漏洞没有被用于实际攻击。另外，还存在CVE-2021-22043这种权限升级漏洞，它允许具备访问设置权限的用户升级权限；然而，截至本文撰写时，尚无公开可用的针对此漏洞的概念验证（POC）代码或武器化利用代码。CrowdStrike也没有了解到涉及这一特定漏洞的实际攻击活动。 根据行业报道，凭证窃取似乎是攻击者针对ESXi服务器的主要攻击向量。此外，CrowdStrike观察到的案例表明，攻击者通常通过其他手段获取对目标网络的访问权限，然后尝试收集ESXi凭证以达到最终目标，如部署勒索软件；所有这些案例中，攻击者窃取的凭证具备足够的特权，使其可以直接执行任意代码。 虚拟机访问 如上文介绍，虚拟机可以通过两种方式访问：直接访问或通过ESXi管理界面访问。两种方式的凭证窃取过程类似，在此不再重复。 如果可以直接访问虚拟机，则可能存在以下两种情况： 如果虚拟机与内部网络的其余部分没有足够的隔离，它可能作为在网络中横向移动的代理，导致无需对ESXi服务器发起攻击。 如果网络的唯一入口是一个可访问的、正确隔离的虚拟机，攻击者无法对网络进一步渗透，必须直接在ESXi虚拟机管理器级别上运行代码。攻击者必须掌控ESXi 虚拟机管理器，因为管理器到网络中其他机器存在网络路径。为了从虚拟机攻击底层虚拟机管理器，攻击者一般需要利用虚拟机逃逸漏洞。 实现虚拟机逃逸有两种方法：第一种是攻击虚拟机管理器虚拟化组件，比如利用影响虚拟机管理器硬件仿真组件的漏洞。这通常需要掌握虚拟机内核级权限，即需要利用额外的漏洞攻击虚拟机。第二种方法是利用通过网络可达的影响虚拟机管理器的漏洞，并使用虚拟机向虚拟机管理器传输恶意网络数据包。 在大约40个可能通过虚拟化组件实现虚拟机逃逸的漏洞中，只有两个漏洞（CVE-2012-1517和CVE-2012-1516）针对旧版本的ESXi（3.5至4.1）中的虚拟机与虚拟机管理器之间的通信组件。所有其他漏洞都针对模拟设备，如USB（CVE-2022-31705，CVE-2021-2    2041，CVE-2021-22040）、CD-ROM（CVE-2021-22045）或SVGA（CVE-2020-3969，CVE-2020-3962）。 自ESXi 6.5版本引入VMX沙箱以来，利用ESXi虚拟化组件进行虚拟机逃逸攻击至少涉及三个不同的漏洞利用，如下所示： 攻击者通过第一个漏洞在内核级别上入侵虚拟机。 然后，攻击者通过第二个漏洞针对虚拟机内的设备，以在VMX进程中执行代码。 攻击者随后执行第三个漏洞利用，实现VMX沙箱的逃逸。 最后，攻击者可能需要第四个漏洞利用来提升在虚拟化管理器上的权限。 截至目前，公开的这种漏洞链的概念验证代码不存在，有关这类漏洞的文档也很少。由于此类攻击的复杂性，只有高级的行动者，如国家级对手，可能具备所需的能力。 如何保护虚拟机集群？ CrowdStrike提供了五项重要建议，各组织应该实施这些措施，降低虚拟化管理器被攻击的概率或攻击影响。 避免直接访问ESXi主机。使用vSphere客户端管理vCenter服务器所辖ESXi主机。不要使用VMware主机客户端直接访问受管主机，也不要通过直接控制台用户界面更改受管主机。（注：这是VMware特定的建议。） 如果有必要直接访问ESXi主机，请使用具备多因素验证、经过加固的跳板服务器。ESXi访问应仅限于用于管理目的或特定权限目的的跳板服务器，该服务器具有完整的审计功能，并启用了多因素身份验证。应实施网络分段，确保只能从跳板服务器出发访问ESXi或vCenter的任何SSH、Web UI和API。此外，应禁用SSH访问，对任何启用SSH访问的操作发出警报并进行紧急调查。 确保vCenter不通过SSH或HTTP暴露在互联网上。CrowdStrike观察到对手使用有效帐户或利用RCE漏洞（例如CVE-2021-21985）获取对vCenter的初始访问权限。虽然VMware已经解决了这些漏洞，为了减轻风险，但这些服务不应暴露在互联网上。 确保ESXi数据存储卷定期备份。虚拟机磁盘镜像和快照应每天备份（如果可能，更频繁地备份）到离线存储提供商。勒索软件事件中，安全团队应具备从备份中恢复系统的能力，并防止备份本身被加密。 如果发现或怀疑备份正在进行加密，并且无法访问备份以终止恶意进程，可以物理断开ESXi主机的存储连接，甚至切断ESXi主机的电源。威胁行为者在获取访问权限后，通常会更改根密码，将管理员锁在系统之外。尽管物理断开磁盘连接可能会引发问题，或丢失尚未写入后端存储的数据，但它将阻止勒索软件继续加密VMDK文件。关闭虚拟机客户机将无济于事，因为加密是在虚拟化管理器本身上进行的。ESXi的勒索软件通常具有关闭虚拟机客户机的功能，可以解锁磁盘文件并进行加密。 更多ESXi安全建议可在VMware网站上查阅。 结论 基于下列事实：各组织日益使用虚拟化技术将工作负载和基础架构转移到云环境；VMware在企业虚拟化解决方案领域占据主导地位；安全公司追踪到网络犯罪团伙频繁针对虚拟化产品发动攻击。CrowdStrike认为，攻击者很可能会继续针对基于VMware的虚拟化基础架构进行攻击。 凭据窃取是针对基础架构管理和虚拟化产品的最直接的攻击向量。由于 VMware 产品过去曾受到重要漏洞的影响，攻击者和行业研究人员很可能会继续研究并发现未来的潜在弱点。值得注意的是，VMware于2022年10月15日停止对ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持，基本上不再对这些产品进行安全更新。 因为虚拟化技术通常是组织IT基础架构中至关重要的一部分，定期应用安全更新并进行安全态势审查非常关键，即使这些过程会影响网络服务和组件的可用性也必须落实。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/TmmoaE4FigvR26rGbsl8mA 封面来源于网络，如有侵权请联系删除