HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Illumina iSeq 100 DNA测序仪的固件存在安全漏洞。若该漏洞被成功利用，攻击者便可在易受攻击的设备上使其瘫痪或植入持久性恶意软件。 Eclypsium在向The Hacker News分享的一份报告中指出：“Illumina iSeq 100采用了非常过时的BIOS固件实现方式，使用了CSM（兼容性支持模式），且未启用安全启动或标准固件写保护。” “这将使系统上的攻击者能够覆盖系统固件，从而导致设备瘫痪或安装固件植入物，以实现攻击者的持续存在。” 尽管统一可扩展固件接口（UEFI）是基本输入输出系统（BIOS）的现代替代品，但这家固件安全公司表示，iSeq 100启动的是BIOS的旧版本（B480AM12 – 2018年4月12日），该版本存在已知漏洞。 值得注意的是，该设备还缺少指示硬件可以读取和写入固件位置的保护措施，从而允许攻击者修改设备固件。同时，安全启动也未启用，因此恶意更改固件的行为将不会被检测到。 DNA测序仪 Eclypsium指出，不建议新型高价值资产支持CSM，因为CSM主要用于无法升级且需要保持兼容性的旧设备。在负责任地披露漏洞后，Illumina已发布修复程序。 在假设的攻击场景中，攻击者可以瞄准未打补丁的Illumina设备，提升权限，并向固件写入任意代码。 这并不是Illumina的DNA基因测序仪首次披露严重漏洞。2023年4月，一个关键安全漏洞（CVE-2023-1968，CVSS评分：10.0）可能使攻击者能够窃听网络流量并远程传输任意命令。 “能够在iSeq 100上覆盖固件将使攻击者能够轻松禁用设备，在勒索软件攻击的背景下造成重大破坏。这不仅会使高价值设备停止服务，而且通过手动重新刷新固件来恢复设备也需要付出相当大的努力，”Eclypsium表示。 “在勒索软件或网络攻击的背景下，这可能会显著提高风险。测序仪对于检测遗传疾病、癌症、识别耐药细菌以及疫苗生产至关重要。因此，除了勒索软件行为者的传统财务动机外，这些设备还可能成为具有地缘政治动机的国家行为者的理想目标。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。 该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。 项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ” Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。 腾讯云鼎安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。 此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。 它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。 建议用户将其实例更新到软件的最新版本，以防范潜在威胁。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/AlMi5CgBPNhmkSF0h-fhzQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 最近一项对取证工具 Cellebrite 软件的披露展示，所有的智能手机设备都可以被破解。总部位于新加坡的网络安全公司 Group-IB 警告称，不论是使用 Apple iOS 还是 Google Android 操作系统的智能手机用户都面临着风险。 Cellebrite Premium 是一种执法机构用于从锁定智能手机中提取数据的工具，自 2024 年 2 月以来一直受到关注。美国联邦调查局曾利用该工具，在 40 分钟内破解了唐纳德·特朗普枪击事件嫌疑人的手机。 本周，国际特赦组织报告揭示了塞尔维亚当局如何利用这一由以色列公司开发的产品，非法侵入记者和社会运动人士的设备。 Group-IB 提出了关于透明度和用户安全的紧迫问题：“最近的研究发现，智能手机制造商往往会淡化或掩盖安全漏洞，这让个人和企业暴露于数据泄露、身份盗窃和企业间谍等风险之下。”该公司在报告中表示，几乎所有现代智能手机在第一次解锁后都面临着被数据提取的威胁。 “虽然旧设备尤为易受攻击，但即便是最新的设备也远非免疫。遗憾的是，所有运行 Apple iOS 和 Google Android 的现代智能手机用户都面临风险。”Group-IB 的报告写道。 手机解锁与取证工具的功能 取证工具开发者自己列出了他们工具的功能。 Cellebrite 的更新日志详细说明了其新增加的功能，包括强力破解运行 iOS 12.5-17.2.1 的 iPhone，以及支持包括 Qualcomm 和 Exynos 型号在内的 Samsung Galaxy S24 系列。 此前泄露的支持矩阵甚至包括了新款智能手机，如 Pixel 8 系列和 iPhone 15 系列。厂商明确指出，最新款智能手机在第一次解锁后就存在漏洞。 苹果公司最近对此作出了回应，引入了一项新的 iOS 安全功能，即在设备 72 小时不活动后自动重启 iPhone。 另一个手机解锁和取证工具，GrayKey，声称能够部分访问所有运行 iOS 18 或更旧版本的 iPhone。然而，根据 Group-IB 的说法，该工具在最新的 iOS 更新中表现不佳。该工具列出了所有 Google Pixel 设备在第一次解锁后也存在漏洞。 “旧设备，如 iPhone X 及其之前的版本，非常脆弱，容易受到攻击，”Group-IB 的研究人员表示，“尽管采用了先进的加密技术，现代设备依然无法免疫，事实上，目前的设备依然存在漏洞，尤其是在第一次解锁后的 AFU 模式下。” 其他未授权方也越来越多地使用越狱和文件替换工具来利用被盗或丢失的智能手机。这些工具使攻击者能够访问系统文件并替换为篡改的数据。 另一种绕过激活锁的方法是未授权方使用伪造的响应，似乎来自苹果服务器，或者通过替换备份文件来绕过“查找我的 iPhone”和“激活锁”等功能。 “即使是最安全的智能手机，在被盗或丢失时也可能被破解。”研究人员警告道。许多攻击针对的是引导加载程序或 USB 端口的漏洞，这些漏洞通常出现在设备处于活动状态时。 Group-IB 共享了地下市场上各种苹果设备解锁的价格清单。 “这些绕过方法通常是临时的，通常只持续到固件重置或更新。但它们为攻击者提供了足够的时间，将被盗设备转售为功能完好的智能手机。”研究人员表示。 尽管智能手机容易受到威胁，研究人员还提出了另一个问题——如果数据完整性无法得到保证，这些设备作为证据是否可信？信息很容易被篡改或植入。 如何保护自己？ Cellebrite 和其他工具可能让智能手机用户面临风险，包括数据泄露、身份盗窃、证据篡改甚至企业间谍活动。 Group-IB 建议 iOS 用户启用锁定模式，因为这可以限制设备的可被攻击性，并尽可能频繁地升级智能手机硬件。Android 用户应使用安全型号，如 Google Pixel 8 及更新的智能手机，并启用 MTE功能。 “经验丰富的用户可以考虑自定义操作系统，将 AFU 模式转为 BFU，并记得锁定引导加载程序。”Group-IB 说道。 制造商应通过启用完全断开智能手机端口的模式（仅充电模式），来增强硬件安全性，这样可以保护端口硬件并中断数据传输。 Group-IB 还建议效仿苹果，引入将智能手机转为 BFU 模式的功能，即使是在更短时间的非活动后也能切换。“加强引导加载程序：识别并修复引导加载程序中的漏洞，并确保这些漏洞得到报告。一些旧智能手机可以通过暴力破解密码被攻破（因此建议设置最小密码长度）。”Group-IB 提到。   消息来源：cyber news, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种新近开发的技术，利用了Windows的一个辅助功能框架——UI Automation（UIA），来执行多种恶意活动，同时巧妙地避开了端点检测和响应（EDR）解决方案的监控。 Akamai的安全研究员Tomer Peled在一份与The Hacker News分享的报告中指出：“要利用这项技术，必须说服用户运行一个利用UI Automation的程序。”这可能导致隐蔽的命令执行，进而窃取敏感数据、将浏览器重定向至网络钓鱼网站等。 更糟糕的是，本地攻击者可能会利用这一安全漏洞执行命令，从Slack和WhatsApp等消息应用中读取或发送消息。此外，这种技术还可能被用来通过网络操控用户界面元素。 UI Automation最初随Windows XP和Microsoft .NET Framework一同推出，旨在提供对各种用户界面（UI）元素的程序化访问，并帮助用户通过辅助技术产品（如屏幕阅读器）来操作这些元素，它也可用于自动化测试场景。 微软在一份支持文件中提到：“辅助技术应用通常需要访问受保护的系统UI元素，或者可能以更高权限运行的其他进程。因此，辅助技术应用必须获得系统的信任，并以特殊权限运行。” “要访问更高权限级别的进程，辅助技术应用必须在应用的清单文件中设置UIAccess标志，并由具有管理员权限的用户启动。” 与其他应用中的元素进行UI交互，是通过组件对象模型（COM）作为进程间通信（IPC）机制来实现的。这使得创建UIA对象成为可能，通过设置事件处理程序，在检测到特定UI变化时触发，从而与焦点应用进行交互。 Akamai的研究发现，这种方法也可能被滥用，允许恶意行为者读取或发送消息、窃取在网站（如支付信息）中输入的数据，并在浏览器中当前显示的网页刷新或更改时执行命令，将受害者重定向至恶意网站。 Peled指出：“除了我们可以在屏幕上与之交互的UI元素外，还有更多的元素被预先加载并存储在缓存中。我们也可以与这些元素交互，比如阅读屏幕上未显示的消息，甚至在屏幕上不显示的情况下设置文本框并发送消息。” 需要指出的是，这些恶意场景都是UI Automation的预期功能，类似于Android的辅助服务API已经成为恶意软件从受感染设备中提取信息的常用手段。 Peled补充说：“这归根结底是应用程序的预期用途：这些权限级别必须存在才能使用它。这就是为什么UIA能够绕过Defender——应用程序没有发现任何异常。如果某功能被视为特性而非缺陷，机器的逻辑就会遵循这一特性。” Deep Instinct披露，分布式COM（DCOM）远程协议允许软件组件通过网络通信，可能被利用来远程编写自定义有效载荷，创建嵌入式后门。 安全研究员Eliran Nissan表示：“这种攻击允许在目标机器上编写自定义DLL，将它们加载到服务中，并使用任意参数执行它们的功能。”这种后门式攻击滥用了IMsiServer COM接口。 Nissan说：“到目前为止，DCOM横向移动攻击的研究主要集中在基于IDispatch的COM对象上，因为它们可以被脚本化。”新的“DCOM上传和执行”方法“远程将自定义有效载荷写入受害者的[全局程序集缓存]，从服务上下文执行它们，并与它们通信，有效地充当嵌入式后门。这里的研究证明，许多意想不到的DCOM对象可能被用于横向移动，应该对齐适当的防御措施。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417529.html 封面来源于网络，如有侵权请联系删除

本文揭示了 DeepSeek 人工智能聊天机器人中的一个现已修补的安全漏洞的详细信息，如果成功利用，黑客可通过输入注入攻击方式控制受害者的账户。 安全研究人员 Johann Rehberger，他记录了许多针对各种人工智能工具的注入攻击，发现在 DeepSeek 聊天中提供”Print the xss cheat sheet in a bullet list. just payloads”的输入触发了 JavaScript 代码的执行，作为生成的响应的一部分——这是典型的跨站脚本（XSS）攻击。 XSS 攻击可能会产生严重后果，因为它们导致在受害者的网络浏览器上执行未经授权的代码。攻击者可以利用这些漏洞劫持用户的会话并访问与 chat.deepseek[.]com 域关联的 cookie 和其他数据，从而导致账户被接管。 “经过一些实验，我发现采取控制用户会话所需的全部是 chat.deepseek.com 域存储的 userToken，” Rehberger 表示，他补充道，可以使用特殊设计的提示来触发 XSS 并通过注入攻击访问被攻击用户的 compromised user’s userToken 。 提示包含了一系列的指令和一个 Base64 编码的字符串，DeepSeek 聊天机器人将其解码后执行 XSS 载荷，用于提取受害者的会话令牌，最终允许攻击者冒充用户。 与此同时，Rehberger 还展示了 Anthropic 的Claude Computer Use 可以通过提示注入来滥用，Claude Computer Use 可以使开发人员通过光标移动、按键点击和键入文本来控制计算机。通过提示注入，攻击者可以滥用 Computer Use 来下载 Sliver 命令与控制（C2）框架，执行该框架，并与攻击者控制的远程服务器建立联系，从而自主运行恶意命令。 此外，还发现可以利用大型语言模型（LLM）的 ANSI 转义码输出来通过提示注入劫持系统终端。这种攻击主要针对 LLM 集成的命令行界面（CLI）工具，被命名为 Terminal DiLLMa 。 “十年前的功能为 GenAI 应用提供了意想不到的攻击面，” Rehberger 说。”对于开发者和应用设计者来说，考虑将 LLM 输出插入的上下文是很重要的，因为输出是不可信的，可能包含任意数据。” 这还不是全部，威斯康辛大学麦迪逊分校和圣路易斯华盛顿大学的学者进行的新研究揭示了 OpenAI 的ChatGPT 在给出的附加标记格式的外部图像链接渲染的问题，这些链接可能涉及淫秽和暴力内容，以一个普通的善意目标为借口。 此外，还发现通过提示注入，可以间接调用 ChatGPT 插件，而无需用户确认，甚至可以绕过 OpenAI 设定的限制，以防止渲染来自危险链接的内容，将用户的聊天记录泄露到由攻击者控制的服务器上。     转自Freebuf，原文链接：https://www.freebuf.com/news/417305.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF 提供商，包括 Akamai、Cloudflare、Fastly 和 Imperva，并极有可能导致拒绝服务（DoS）攻击、勒索软件攻击，甚至是全面的应用程序入侵。 研究人员发现，漏洞导致的错误配置影响了涉及财富1000强公司相关的14多万个域。其中，3.6万个后端服务器有 8000 个域名与之相连，这些对潜在的攻击者开放，容易受到 DDoS 攻击。 根据分析，有近 40% 的 “财富 100 强 “企业和 20%  “财富 1000 强 “企业都受到了影响，这凸显了错误配置的普遍性。 一些全球知名企业，包括摩根大通、Visa、英特尔、伯克希尔·哈撒韦和联合健康等，都被发现受到了影响。比如，例如，研究团队的发现迅速披露了直接影响摩根大通主网站 chase.com 的问题；对伯克希尔·哈撒韦子公司 BHHC 拥有的一个网域进行的 20 秒钟拒绝服务攻击试验，展示了该漏洞的严重性。 根据 Zafran 的技术分析，缺陷在于现今 WAF 提供商的双重功能，它们也作为内容交付网络 (CDN) 运行，以增强网络可靠性和缓存。当后端服务器不能正确检查流量时，这种架构设计就会出现漏洞，让攻击者绕过 WAF 保护，直接攻击后端基础设施。比如，攻击者可以通过将外部域映射到后端 IP 地址来利用这一漏洞。 这一发现凸显了 WAF/CDN 解决方案在设计和实施过程中存在的系统性缺陷。 有效的 WAF 通常是面向公众的网络应用程序的主要或唯一防御层，因此这种错误配置尤其令人担忧。 最近的趋势表明，攻击者越来越多地瞄准配置不佳的网络应用程序。  此外，针对暴露在外的网络应用程序的云勒索软件攻击也越来越常见。 此类攻击造成的经济损失通常十分惊人，例如，一次持续一小时的 DDoS 攻击会给金融组织造成大约 180 万美元的损失，而类似的宕机时间给大型披萨连锁店造成的损失可能高达 190 万美元。 缓解措施 为了防范与这种 WAF 错误配置相关的风险，Zafran 概述了几种缓解策略： IP 白名单（源 IP 访问控制列表）： 只允许 CDN 提供商的 IP 地址访问后端服务器。 这种方法虽然简单，但并非万无一失； 自定义标头中的预共享密钥： 使用带有预共享密钥的自定义 HTTP 标头来验证流量。 虽然短期内有效，但这需要定期轮换密钥； 双向TLS（mTLS）：采用客户端认证来验证服务器和 CDN。 这是最安全的方法，但需要专门的工具，可能并非所有常用的负载均衡器都支持这些工具。 Zafran 从 2024 年 8 月 23 日开始启动了为期 90 天的协调披露流程，以通知受影响的公司。该团队向 Visa、英特尔、摩根大通、伯克希尔·哈撒韦公司的 BHHC 和联合健康报告了该漏洞。值得注意的是，摩根大通和联合健康已经解决了这个问题，防止了潜在的漏洞利用。     转自Freebuf，原文链接：https://www.freebuf.com/news/417317.html 封面来源于网络，如有侵权请联系删除

Ubuntu Server（自 21.04 版起）默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞，这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权限。 Qualys 威胁研究部门 (TRU)于上个月初发现并报告了这些漏洞，并表示这些漏洞很容易被利用，因此用户必须迅速采取行动来修复。 据信这些漏洞自 2014 年 4 月 27 日发布的needrestart 0.8引入解释器支持以来就一直存在。 Ubuntu 在一份公告中表示：“这些 needrestart 漏洞允许本地特权升级 (LPE)，这意味着本地攻击者能够获得 root 权限” ，并指出这些问题已在 3.8 版中得到解决。“这些漏洞影响 Debian、Ubuntu 和其他 Linux 发行版。” Needrestart 是一个实用程序，它可以扫描系统以确定在应用共享库更新后需要重新启动的服务，以避免整个系统重新启动。 具体来说，如果服务正在使用过时的共享库（例如在软件包更新期间替换库），它会标记服务以进行重新启动。 由于它集成到服务器映像中，因此 needrestart 设置为在 APT 操作（如安装、升级或删除，包括无人值守升级）后自动运行。其主要作用是识别在关键库更新后需要重新启动的服务，例如 C 库 (glibc)。此过程可确保服务使用最新的库版本，而无需完全重启系统，从而提高正常运行时间和性能。 通过使用最新的库及时更新服务，needrestart 对于维护 Ubuntu Server 的安全性和效率至关重要。 Qualys 威胁研究部门发现的5个漏洞： CVE-2024-48990（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 PYTHONPATH 环境变量运行 Python     解释器，从而以 root 身份执行任意代码 CVE-2024-48991（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过赢得竞争条件并诱骗 needrestart 运行自己的伪 Python 解释器，以 root     身份执行任意代码 CVE-2024-48992（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 RUBYLIB 环境变量运行 Ruby 解释器，从而以     root 身份执行任意代码 CVE-2024-11003（CVSS 评分：7.8）和CVE-2024-10224（CVSS 评分：5.3）- 这两个漏洞允许本地攻击者利用libmodule-scandeps-perl 软件包（版本 1.36 之前）中的问题以 root 身份执行任意 shell 命令 成功利用上述缺陷可以允许本地攻击者为 PYTHONPATH 或 RUBYLIB 设置特 制的环境变量，从而导致在运行 needrestart 时执行指向攻击者环境的任意代码。 Ubuntu 指出：“在 CVE-2024-10224 中，[…] 攻击者控制的输入可能导致 Module::ScanDeps Perl 模块通过 open() 一个‘讨厌的管道’（例如通过传递‘commands|’作为文件名）或通过将任意字符串传递给 eval() 来运行任意 shell 命令。” “就其本身而言，这不足以实现本地权限提升。然而，在 CVE-2024-11003 中，needrestart 将攻击者控制的输入（文件名）传递给 Module::ScanDeps，并以 root 权限触发CVE-2024-10224。CVE-2024-11003 的修复消除了 needrestart 对 Module::ScanDeps 的依赖。” 虽然强烈建议用户下载最新的补丁，Ubuntu 表示用户可以根据需要禁用解释器扫描器，重新启动配置文件作为临时缓解措施，并确保在应用更新后恢复更改。 Qualys 公司 TRU 产品经理 Saeed Abbasi 表示：“needrestart 实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限，其中 needrestart 通常以 root 用户身份运行。” “利用这些漏洞的攻击者可以获得 root 访问权限，从而损害系统完整性和安全性。” 参考漏洞公告: https://blog.qualys.com/vulnerabilities-threat-research/2024/11/19/qualys-tru-uncovers-five-local-privilege-escalation-vulnerabilities-in-needrestart https://ubuntu.com/blog/needrestart-local-privilege-escalation       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VzdXqbGwPXAfqoXZi_9mxA 封面来源于网络，如有侵权请联系删除  

戴尔发布了企业SONIC操作系统的安全更新，以解决多个漏洞，其中包括可能允许攻击者入侵受影响系统的关键漏洞。 这些漏洞被识别为 CVE-2024-45763、CVE-2024-45764 和 CVE-2024-45765，影响戴尔企业 SONIC 操作系统 4.1.x 和 4.2.x。 CVE-2024-45763： 受影响的 SONiC 版本中存在操作系统命令注入漏洞，“具有远程访问权限的高权限攻击者可利用此漏洞，导致命令执行”。戴爾強烈建議升級至已修補的版本，以減輕此 9.1 CVSS 評級風險 CVE-2024-45764： 身份验证中关键步骤缺失漏洞允许 “拥有远程访问权限的未经身份验证的攻击者[利用]此漏洞，导致保护机制绕过”。该漏洞的 CVSS 得分为 9.0，因此需要立即升级 CVE-2024-45765： 另一个操作系统命令注入漏洞，CVSS 得分为 9.1，可使高权限命令在低权限角色下执行，从而导致命令执行。 该公告称：“这是一个严重程度很高的漏洞，因此戴尔建议客户尽早升级。” 戴尔已经发布了企业SONIC操作系统的更新版本，以解决这些漏洞。我们敦促用户尽快升级到4.1.6或4.2.2版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/301721 封面来源于网络，如有侵权请联系删除

Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞。Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。 这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。 这些漏洞可让攻击者： 执行凭证填充攻击—— 利用缺乏登录尝试限制 (CVE-2024-7292)； 对用户密码进行暴力破解攻击—— 由于密码要求较弱 (CVE-2024-7293)； 发起拒绝服务攻击—— 在没有速率限制的情况下针对匿名端点进行攻击(CVE-2024-7294)； 在服务器上执行任意代码—— 通过不安全的类型解析漏洞 (CVE-2024-8015)。 这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1，攻击者可完全控制报告服务器。 Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。 对于无法立即更新至修补版本的用户，Progress Software建议采取以下缓解措施，以应对CVE-2024-8015： 将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。 有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300739 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 勒索软件团伙现在利用一个关键的安全漏洞，让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现，该安全漏洞（现在被追踪为CVE-2024-40711）是由未受信任数据的反序列化弱点引起的，未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。 Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新，而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过，watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日，以便管理员有足够的时间确保服务器安全。 企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案，用于备份、恢复和复制虚拟机、物理机和云计算机，从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。 正如 Sophos X-Ops 事件响应人员在上个月发现的那样，CVE-2024-40711 RCE 漏洞很快被发现，并在 Akira 和 Fog 勒索软件攻击中被利用，与之前泄露的凭证一起，向本地管理员和远程桌面用户组添加“点”本地帐户。 在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示：所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。 在每起案件中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。 在Fog勒索软件事件中，攻击者将其部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone外泄数据。 这并非勒索软件攻击针对的首个Veeam漏洞 去年，即 2023 年 3 月 7 日，Veeam 还修补了备份与复制软件中的一个高严重性漏洞（CVE-2023-27532），该漏洞可被利用来入侵备份基础架构主机。 几周后的3月下旬，芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中，FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。 几个月后，同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。 Veeam表示，其产品已被全球超过55万家客户使用，其中包括至少74%的全球2000强企业。 参考来源：Akira and Fog ransomware now exploit critical Veeam RCE flaw (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412525.html 封面来源于网络，如有侵权请联系删除