近日，研究人员披露了一个名为“Dirty Stream”的严重安全漏洞，该漏洞可能影响几款下载总量数十亿的 Android 应用程序。 微软威胁情报团队成员 Dimitrios Valsamaras 在一份报告中声明，黑客可以利用该安全漏洞，执行任意代码以及盗取令牌。一旦成功利用漏洞，黑客就可以完全控制应用程序的“行为”，并利用窃取的令牌在未经授权的情况下访问受害者的在线账户和其他数据。 这一安全漏洞可能会给大量设备带来威胁风险， Google Play 商店中目前已经发现了几个易受攻击的应用程序，这些应用程序的总安装量超过了 40 亿，其中受该安全漏洞影响程度最大的两个应用程序如下： 小米文件管理器 (com.mi. Android.globalFileexplorer) -，安装量超过 10 亿次 WPS Office (cn.wps.moffice_eng) -，安装量超过 5 亿次 安卓系统通过为每个应用程序分配专用的数据和内存空间来实现隔离，并以安全的方式促进应用程序之间的数据和文件共享。但实施过程中的疏忽可能会导致绕过应用程序主目录内的读/写限制。 Valsamaras 表示，这种基于内容提供商的模式提供了一种定义明确的文件共享机制，使服务应用程序能够以安全的方式与其他应用程序共享文件，并进行细粒度控制。 然而，在执行的过程中，经常遇到消费应用程序并不验证其接收到的文件内容，而且最令人担忧的是，它使用服务应用程序提供的文件名将接收到的文件缓存在消费应用程序的内部数据目录中。当服务应用程序为了实现应用程序之间的文件共享而声明恶意版本的 FileProvider 类时，这一“陷阱”可能会造成严重后果，最终导致消费应用程序覆盖其私有数据空间中的关键文件。 换句话说，该机制利用了消费应用程序盲目信任输入这一事实，通过自定义、明确的意图，在用户不知情或未经用户同意的情况下发送带有特定文件名的任意有效载荷，从而导致代码执行。 这时候，威胁攻击者就可以覆盖目标应用程序的共享首选项文件，使其与受其控制的服务器通信，从而外泄敏感信息。另一种情况是应用程序从自己的数据目录（而不是”/data/app-lib”）加载本地库，在这种情况下，恶意应用程序可以利用上述漏洞，在加载本地库时用恶意代码覆盖该库并执行。 值得一提的是，在接到安全漏洞披露通知后，小米和 WPS Office 均已于 2024 年 2 月对该安全漏洞问题进行了整改。与此同时，谷歌也就此发布了详细的指导意见，敦促开发者正确处理服务器应用程序提供的文件名。 谷歌方面强调，当客户端应用程序将接收到的文件写入存储时，应该忽略服务器应用程序提供的文件名，而使用自己内部生成的唯一标识符作为文件名，如果生成唯一的文件名不能轻易实现，客户端应用程序就应该对提供的文件名进行核验、清查。 最后，微软方面指出，该安全漏洞问题非常普遍，相关开发者应当采取措施，仔细检查自身应用程序是否存在类似问题。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400004.html 封面来源于网络，如有侵权请联系删除

知名智能门铃/摄像头厂商 Ring，不但未能阻止员工和黑客窥探用户，而且未经用户同意使用用户视频训练算法，其产品在乌克兰等地甚至被滥用成监控工具，最终因产品安全漏洞和用户隐私泄露而遭受重罚。 近日，美国联邦贸易委员会(FTC)将向智能家居安防厂商 Ring 的用户发放总计 560 万美元的退款，主要原因如下： Ring 用户的私人视频录像遭到亚马逊员工和承包商的未经授权访问 Ring 未经用户同意使用用户视频训练算法 因产品安全防护不足导致用户账户和设备被黑客入侵 该处罚是 2023 年 5 月 FTC 针对 Ring 提起诉讼后达成的和解协议的一部分。诉讼指控 Ring 未实施足够的安全措施来保护设备免遭未授权访问。 Ring 是亚马逊的一家子公司，以其智能家居安防产品而闻名全球，主打产品包括视频门铃、室内外安全摄像头、中央警报集线器、智能传感器、运动感应灯等。这些设备连接互联网，用户可以通过移动应用程序远程访问和控制。 FTC 在最初的起诉书中称，Ring 为了提高工作效率和开发速度，允许其员工无限制访问用户的Ring 设备。此外，Ring 还向高级客户支持人员授予了高级访问权限，其中包括数百名位于乌克兰和其他地方的第三方承包商，他们可以在没有限制的情况下操作设备，无法保护客户免遭滥用访问的侵害。 除了内部访问政策松懈之外，FTC 还指控Ring 直到 2019 年才实施基本的安全措施，例如多因素认证(MFA)。这使得用户账户更容易被劫持，攻击者可以通过凭证填充和暴力破解攻击来访问私人视频录像。 作为对用户损失的补偿，根据和解协议，FTC 将通过PayPal 向 11.7 万名 Ring 用户（由 Ring 提供名单）直接发放退款。 FTC 指出，所购买产品存在投诉中指控的隐私和安全问题的 Ring 用户都有资格获得退款。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16236.html 封面来源于网络，如有侵权请联系删除

近日，网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过 250 万台主机。 老牌恶意软件藏身U盘 PlugX 是有着十多年历史的老牌恶意软件（蠕虫病毒），最早可追溯到 2008 年，最初只被亚洲的黑客组织使用，主要针对政府、国防、技术和政治组织。2015 年发生代码泄露后，PlugX 被改造成大众化的流行黑客工具，被全球网络犯罪分子广泛使用，其中一些黑客组织将其与数字签名软件结合，用于实施侧加载加密的攻击载荷。 PlugX 的最新变种增加了蠕虫组件，可通过 U 盘感染物理隔离系统。2023 年派拓网络公司（PaloAltoNetwork）的 Unit42 团队在响应 BlackBasta 勒索软件攻击时，在 VirusTotal 扫描平台上发现了PlugX 的一个新变种可通过 U 盘传播，并能将目标敏感文件隐藏在 U 盘中。 2023 年 3 月，Sophos 也报告了这种可通过 USB 自我传播的 PlugX 新变种，并称其已经“传播了半个地球”。 全球 250万台主机中招，中美都是重灾区 六个月前，Seqoia 的研究人员发现了一个被黑客废弃的 PlugX 恶意软件变种（Sinkhole）的命令和控制(C2)服务器。 在 Seqoia 联系托管公司并请求控制 IP 后，研究人员花费 7 美元获取了该服务器的 IP 地址 45.142.166.xxx ，并使用该 IP 获得了对服务器的 shell 访问权限。 分析人员设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为，捕获来自受感染主机的 HTTP 请求并观察流量的变化。 C2 服务器的操作记录显示，每天有 9-10 万个主机发送请求，六个月内全球有近 250 万个独立 IP 连接到该服务器（下图）： 研究人员发现，PlugX 已传播到全球 170 个国家，但集中度较高，15 个国家占感染总数的 80% 以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。 研究人员强调，由于被废弃的 PlugXC2 服务器没有唯一标识符，这导致受感染主机的统计数字可能并不十分准确，因为： 许多受感染的工作站可以通过相同的 IP 地址连接 由于采用动态 IP 寻址，一个受感染系统可以连接多个 IP 地址 许多连接是通过 VPN 服务进行的，这可能使来源国家/地区的数据失真 两种杀毒方法 Sekoia 建议各国网络安全团队和执法机构采取两种杀毒方法。 第一种方法是发送 PlugX 支持的自删除命令，该命令应将其从计算机中删除，而无需执行其他操作。但需要注意的是，因为 PlugX 新变种可通过 USB 设备传播，第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件，仍然存在重新感染的风险。 第二种方法较为复杂，需要在受感染的计算机上开发和部署自定义有效负载，从系统以及与其连接的受感染 USB 驱动器中删除 PlugX。 Sekoia 还向各国国家计算机紧急响应小组(CERT)提供了执行“主权消毒”所需的信息。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16239.html 封面来源于网络，如有侵权请联系删除

近日，Citizenlab 研究人员调查了多家厂商的输入法应用安全漏洞并报告称：除华为以外，百度、荣耀、科大讯飞、OPPO 、三星、腾讯、Vivo 和小米等供应商的九款应用程序中有八款均存在安全漏洞。 随着用户规模的不断增长，云输入法应用的后端技术正变得越来越复杂，人们对此类应用的潜在安全风险也越来越重视。其中，用户数据在云服务器上是否安全；信息从用户设备传输到云服务器的过程中是否安全是研究人员关注的两个重点问题。 为此，研究人员分别测试了腾讯、百度、讯飞、三星、华为、小米、OPPO 、vivo和荣耀输入法的多个平台版本（安卓、iOS 和 Windows 版本）。 其中腾讯、百度和科大讯飞是键盘输入法应用的开发者；三星、华为、小米、OPPO 、vivo和荣耀是手机制造商，它们要么自己开发了键盘输入法，要么预装了上述三个输入法产品。 为了更好地了解这些厂商的键盘应用是否安全地实现了其云推荐功能，研究者对这些输入法进行了安全分析以确定它们是否充分加密了用户的输入按键记录。 对九家厂商的输入法进行分析后，研究者发现只有华为的输入法应用在传输用户按键记录时未发现任何安全问题。其余八家厂商的每一家至少有一款应用发现了漏洞，黑客可以利用该漏洞完全窃取用户输入的内容。 去年 8 月，多伦多大学跨学科实验室发现了腾讯搜狗输入法中的加密漏洞，此次披露的信息建立在该实验室此前研究的基础上。 据估计，有近十亿用户受到这类漏洞的影响，其中搜狗、百度和 iFlytek 的输入法编辑器（IME）占据了很大的市场份额。 已发现出现漏洞的输入法应用如下： 腾讯 QQ 拼音易受 CBC padding oracle 攻击，可恢复明文 百度输入法，由于 BAIDUv3.1 加密协议中的错误，允许网络窃听者解密网络传输并提取 Windows 上键入的文本 iFlytek IME，其安卓应用程序允许网络窃听者恢复未充分加密的网络传输明文 安卓系统上的三星键盘，通过未加密的纯 HTTP 传输按键数据 小米手机，预装了百度、iFlytek 和搜狗的键盘应用程序 OPPO，预装了百度和搜狗的键盘应用程序 vivo，预装搜狗 IME 荣耀，预装百度 IME 由于输入法安全漏洞可导致个人财务信息、登录账号和隐私泄露。因此研究人员建议使用这些键盘的用户及时更新应用程序和操作系统，并改用完全在设备上操作的键盘应用程序，以减少这些隐私问题。 隐私专家建议手机用户应保持应用程序和操作系统更新到最新版本。如果用户担心云输入法的隐私问题，建议考虑切换到完全在设备上运行的本地输入法应用。 同时，应用程序开发人员应注意使用经过严格测试的标准加密协议，而不是开发可能存在安全问题的自制版本。此外，研究人员还敦促应用程序商店运营商不要对安全更新进行地理封锁，并允许开发者证明所有数据都是通过加密传输的。 以下是研究人员给广大用户的建议： 荣耀预装键盘的用户或 QQ 拼音用户应立即切换键盘。 任何搜狗、百度或科大讯飞键盘的用户，包括操作系统上捆绑或预装的版本，都应确保其键盘和操作系统是最新的。 任何百度输入法输入法键盘的用户都应考虑切换到其他键盘或禁用“基于云”的功能。 有隐私顾虑的用户不应在其键盘或 IME 上启用“基于云”的功能，或者应切换到不提供“基于云”预测的键盘。 有隐私顾虑的 iOS 用户不应为其键盘或 IME 启用“完全访问权限”。 研究人员表示，在大多数情况下，攻击者只需要是网络上的被动窃听者即可利用这些漏洞。但是，在某种情况下，针对使用腾讯搜狗 API 的应用，攻击者还需要能够向云服务器发送网络流量，但他们不必一定是中间人(MitM)或在网络第 3 层欺骗来自用户的流量。在所有情况下，攻击者都必须能够访问客户端软件的副本。 由于苹果和谷歌的键盘输入法应用都没有将按键记录传输到云服务器以进行云推荐，因此没有（也无法）分析这些键盘的安全功能。 研究者表示，虽然业界一直在推动开发能够保密用户数据的隐私感知云输入法，但目前并未得到广泛使用。 对此，研究人员分析了大量中文键盘应用程序，发现它们几乎普遍存在用户按键被网络窃听者解密的漏洞。然而，造成这些漏洞的既没有通用的库，也没有单一的实施缺陷。虽然有些键盘应用程序确实从其他公司获得了代码授权，但目前只能解释为大量开发者独立地犯了同样的错误。 公民实验室推断，中国的应用程序开发商大概率不会使用“”西方”加密标准，因为他们担心这些标准可能包含后门。事实上，这并非杞人忧天，有太多类似的事件被曝光，不少国外的标准在里面埋下了安全风险。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399237.html 封面来源于网络，如有侵权请联系删除

EDR/XDR 是当前流行的网络安全解决方案，在高级威胁检测中发挥着重要作用，监控着数以百万计的端点和服务器。然而，权力越大，责任越大，这些安全工具中的严重漏洞可被黑客武器化成“超级恶意软件“，用来部署勒索软件、窃取机密信息，而且难以被发觉和删除。 近日，安全研究员 Shmuel Cohen 在 Black Hat Asia 大会上展示了如何用逆向工程破解 Palo Alto Networks 的 Cortex XDR 安全软件，并将其转换为隐蔽持久的“超级恶意工具“，用于部署后门程序和勒索软件。这一发现凸显了 EDR/XDR 等强大安全工具的潜在风险，也为网络安全防御敲响了警钟。 XDR（Extended Detection and Response）是一种集成了威胁检测、调查和响应功能的安全解决方案，能够为企业提供全面的安全防护。然而，强大的功能也伴随着潜在的风险。Shmuel Cohen 的研究表明，EDR/XDR 本身也可能成为攻击者的目标，被用来实施恶意攻击。 Cohen 通过逆向工程和分析 Cortex XDR 软件，发现了一些可以被利用的漏洞。他利用这些漏洞，成功地绕过了 Cortex XDR 的安全机制（包括机器学习检测模块、行为模块规避、实时预防规则以及防止文件篡改的过滤驱动程序保护）。 具体来说，Cohen 做到以下几件事： 修改了 XDR 的安全规则，使其无法检测到他的恶意活动。 部署了后门程序，使他能远程控制受感染的计算机。 植入了勒索软件，向受害者索取赎金。 敏感用户账号泄露 在系统中长期驻留（无法从管理界面远程删除） 整机加密（FUD） 完整的 LSASS 内存转储 隐藏恶意活动通知 绕过 XDR 管理员密码 全面利用XDR 实施攻击 Cohen 指出，虽然 Palo Alto Networks 与其合作修复了漏洞并发布补丁程序，但其他 XDR 平台也很可能存在类似的漏洞，容易受到攻击。 Cohen 的攻击证明，即使是像 Palo Alto Cortex XDR 这样的知名安全软件也并非绝对安全。 安全专家指出，用户部署使用功能强大的安全工具时，不可避免地存在“魔鬼交易“：为了让这些安全工具完成工作，必须授予它们高级权限来访问系统中的每个角落。 例如，为了跨 IT 系统执行实时监控和威胁检测，XDR 需要尽可能高的权限，访问非常敏感的信息，而且启动时不能被轻易删除。 这意味着一旦攻击者能够利用安全软件的漏洞，就可将其变成杀伤力极大的攻击武器。因此，企业在部署 EDR/XDR 等安全解决方案时，需要提高警惕，加强安全管理，并定期进行安全评估和漏洞修复。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16198.html 封面来源于网络，如有侵权请联系删除

近期是微软 2024 年 4 月补丁日，近期的安全更新修复了 150 个缺陷，其中 67 个为远程代码执行漏洞（RCE）。本月的补丁日不包含针对 Microsoft 披露的0day漏洞的任何修复程序。 超过一半的 RCE 缺陷是在 Microsoft SQL 驱动程序中发现的，可能存在一个共同的缺陷。 每个漏洞类别中的漏洞数量： 31个特权提升漏洞 29个安全功能绕过漏洞 67个远程代码执行漏洞 13个信息泄露漏洞 7个拒绝服务漏洞 3个欺骗漏洞 150 个漏洞总数不包括 4 月 4 日修复的 5 个 Microsoft Edge 缺陷和 2 个 Mariner 缺陷。Mariner 是  Microsoft 为其 Microsoft Azure 服务开发的开源 Linux 发行版。 微软呼吁紧急关注一个让黑客完全控制 Azure Kubernetes 集群的漏洞。 微软在安全公告中表示，该漏洞编号为CVE-2024-29990，允许未经身份验证的黑客窃取凭据并影响超出 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围的资源。 微软安全响应团队表示，Azure Kubernetes 服务错误的 CVSS 严重性评分为 9/10，可被利用来接管其可能绑定的网络堆栈之外的机密来宾和容器。 微软警告说：“未经身份验证的攻击者可以将相同的工作负载转移到他们控制的机器上，而攻击者是root用户。” Azure Kubernetes 服务错误是一个大型补丁包的头条新闻，其中包括针对 Microsoft Defender for IOT 中的三个远程代码执行错误的修复以及标记为已被利用的严重 Windows 安全启动绕过。 4月补丁日修复了数十个影响 WIndows 操作系统和软件组件、Microsoft Office 生产力套件、Microsoft SQL Server、DNS Server、Visual Studio 和 Bitlocker 的远程代码执行问题。 据跟踪软件补丁发布的公司ZDI称，这是微软至少自 2017 年以来最大的一次发布，且不包括对今年 Pwn2Own 黑客大赛中所利用漏洞的修复。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/y4h9TzbL8xJwTyMWqHASOg 封面来源于网络，如有侵权请联系删除

戴尔正在向 PowerProtect DD 产品客户通报 8 个漏洞，其中许多漏洞被评为“高危”，并敦促他们安装补丁。 漏洞影响 PowerProtect Data Domain (DD) 系列设备，这些设备旨在帮助组织大规模保护、管理和恢复数据。 APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备和 PowerProtect Data Manager 设备也受到影响。 最严重的缺陷是 CVE-2023-44286（CVSS 得分为 8.8），被描述为基于 DOM 的跨站点脚本 (XSS) 问题，允许未经身份验证的远程攻击者将恶意代码注入目标用户的浏览器。 利用该漏洞可能会导致客户端请求伪造、会话盗窃和信息泄露。虽然戴尔的通报中没有具体说明，但利用这些类型的缺陷通常涉及攻击者诱骗受害者点击恶意链接。 其他几个漏洞已被授予“高危”评级，包括操作系统命令注入和不当访问控制缺陷。 命令注入错误可被利用以利用易受攻击的权限在底层操作系统上执行任意命令，并且它们可能允许攻击者接管目标系统。 利用该漏洞需要本地访问权限以及较低或较高的权限。但是，攻击者有可能利用 CVE-2023-44286 等漏洞来实现身份验证要求。 PowerProtect 产品中发现的三个中等危险缺陷可被经过身份验证的攻击者利用，绕过安全限制并接管系统，获得对操作系统文件的读写访问权限，并在应用程序的后端数据库上执行任意 SQL 命令并获得读取访问权限到应用程序数据。 “Dell Technologies 发布了针对影响某些 Dell PowerProtect Data Domain 产品的漏洞的修复措施。我们鼓励客户立即查看并实施戴尔安全通报 (DSA-2023-412) 中针对受影响的产品、版本和其他信息的补救步骤。我们产品的安全性是重中之重，对于保护我们的客户至关重要。”戴尔在 SecurityWeek 分享的一份声明中表示。 该公司表示，它已迅速修复了该漏洞，目前尚未发现任何活跃的利用情况。 值得注意的是，已知戴尔产品漏洞已被复杂的威胁行为者利用进行攻击。 戴尔最近还向客户通报了PowerEdge服务器BIOS中存在高危权限升级漏洞，PowerMax 和 Unisphere 产品，以及影响 VxRail Manager 第三方组件的数十个漏洞。 转自 安全客 ，原文链接：https://www.anquanke.com/post/id/291944 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，思科自适应安全设备（Cisco Adaptive Security Appliance，ASA）和思科威胁防御系统（Cisco Firepower Threat Defense，FTD）中存在一个漏洞（CVE-2023-20269 ），勒索软件组织正在利用该漏洞对部分企业内部网络进行初始化访问。 CVE-2023-20269 漏洞主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能，允许未经授权的远程网络攻击者对用户现有账户进行暴力攻击，网络攻击者通过访问帐户，可以在被破坏公司的网络中建立无客户端 SSL VPN 会话。 值得一提的是，上个月，Bleeping Computer 曾报道称 Akira 勒索软件组织已开始通过思科 VPN 设备入侵某些企业的内部网络。当时，网络安全公司 SentinelOne 推测网络攻击者可能利用了一个未知安全漏洞。 一周后，Rapid7 表示除 Akira 外，Lockbit 勒索软件组织也在利用思科 VPN 设备中一个未记录的安全漏洞，但没有透露该安全漏洞的更多其它细节。事后不久，思科就发布了一份咨询警告，称上述违规行为是网络攻击者通过在未配置 MFA 的设备上强行使用凭据，才成功入侵部分公司的内部网络。 本周，思科证实存在一个被勒索软件团伙利用的零日漏洞，并在临时安全公告中提供了解决方法。不过，受影响产品的安全更新尚未发布。 漏洞详情 CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 设备的 web 服务接口内，由于未正确分离 AAA 功能和其他软件功能造成。（具有处理身份验证、授权和计费（AAA）功能的功能）。 这就导致攻击者可以向 web 服务接口发送身份验证请求以影响或破坏授权组件的情况，由于这些请求没有限制，网络攻击者能够使用无数的用户名和密码组合来强制使用凭据，从而避免受到速率限制或被阻止滥用。 要使暴力攻击奏效，Cisco 设备必须满足以下条件： 至少有一个用户在 LOCAL 数据库中配置了密码，或者 HTTPS 管理身份验证指向有效的 AAA 服务器； 至少在一个接口上启用了 SSL VPN，或者至少在一一个接口中启用了 IKEv2 VPN。 如果目标设备运行 Cisco ASA 软件 9.16 版或更早版本，在无需额外授权情况下，网络攻击者可以在成功身份验证后建立无客户端SSL VPN 会话。 要建立此无客户端 SSL VPN 会话，目标设备需要满足以下条件： 攻击者在 LOCAL 数据库或用于 HTTPS 管理身份验证的 AAA 服务器中拥有用户的有效凭据，这些证书可以使用暴力攻击技术获得； 设备正在运行 Cisco ASA 软件 9.16 版或更早版本； 至少在一个接口上启用了 SSL VPN； DfltGrpPolicy 中允许使用无客户端 SSL VPN 协议。 如何缓解漏洞？ 据悉，思科将发布安全更新以解决 CVE-2023-20269 安全漏洞问题，但在修复更新可用之前，建议系统管理员采取以下措施： 使用 DAP（动态访问策略）停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道； 通过将 DfltGrpPolicy的vpn 同时登录调整为零，并确保所有 vpn 会话配置文件都指向自定义策略，拒绝使用默认组策略进行访问； 通过使用“组锁定”选项将特定用户锁定到单个配置文件来实现 LOCAL 用户数据库限制，并通过将“VPN 同时登录”设置为零来阻止 VPN 设置。 Cisco 还建议通过将所有非默认配置文件指向 AAA 服务器（虚拟 LDAP 服务器）来保护默认远程访问 VPN 配置文件，并启用日志记录以尽早发现潜在网络攻击事件。 最后，需要注意的是，多因素身份验证（MFA）可以有效降低网络安全风险，原因是即使网络攻击者成功强制使用帐户凭据，也不足以劫持 MFA 安全帐户并使用它们建立 VPN 连接。   转自freebuf，原文链接：https://www.freebuf.com/news/377627.html 封面来源于网络，如有侵权请联系删除

勒索软体黑客组织Clop发起MFT档案共享系统MOVEit Transfer零时差漏洞攻击，近六百家企业机构遭殃，亦有部分组织因IT服务供应商遭受攻击而受害，且规模持续扩大。 这起事故发生迄今快2个月，从当初指出攻击者的身份，到黑客组织坦诚犯案、公布受害组织名单，后来则有部分企业与公家机关证实遭遇相关攻击。但相较于先前的事故，这次有许多不同的地方。 事件的首度揭露源自零时差漏洞公告 这起事件的曝光，主要与5月底Progress发布的漏洞公告有关。黑客针对Progress公司旗下MFT档案共享系统MOVEit Transfer的零时差漏洞，发动攻击，窃取组织存放的档案，且已有许多组织受害。 黑客利用的漏洞与Progress在5月31日公布的SQL注入漏洞有关──此漏洞能允许未经身分验证的攻击者取得数据库权限，而能截取MOVEit所采用的数据库内容。 而对于攻击者的身份，微软威胁情报团队于5日表示，根据他们的调查，很有可能就是勒索软体黑客组织Clop所为，理由是该组织也曾利用类似的漏洞来窃取资料，并向受害组织勒索。 受害企业与组织不断浮出台面，表明受到攻击 在微软怀疑攻击者的身份后，黑客组织Clop开始有所行动，同时也有企业与政府单位表明受害。在这些组织当中，有不少MOVEit Transfer，是IT服务业者维护的系统。 最早证实遭到攻击的组织约于6月5日出现，包含了英国航空、英国广播公司（BBC）、薪资系统服务供应商Zellis、加拿大新斯科舍省政府等。 而对于微软的指控，Clop透露，这起攻击行动就是他们所为，并宣称开始发动攻击的时间是5月27日，但不愿透露入侵此种档案共享系统服务器的数量，仅表示他们即将向受害组织进行勒索，要求这些组织于6月14日前进行谈判。 黑客多次公布受害组织名单 值得留意的是，虽然黑客声称有数百个组织受害，但他们分成多次公布部分名单，且初期每次的数量都不多，而使得遭到公布的组织都受到相当程度的关注。 勒索软件Clop于6月14日公布1份受害组织名单，总共列出13个对象，其中包含了石油公司壳牌、保险公司、格鲁吉亚大学、乔治亚大学系统等。 6月15日，这些黑客又公布14个受害组织。这些单位大部分来自美国，其中有3个为欧洲组织，分别是位于法国、瑞士、卢林堡的组织，而且，主要是金融服务业、但也有医疗保健、制药厂，以及科技产业。 6月16日美国东部时间上午，又有10个受害组织被黑客列入名单，值得留意的是，这次开始有亚洲的组织出现。截至目前为止，有58个组织被列于黑客的网站上。 从事件发生之后，Progress总共修补了6个CVE漏洞，不同程度的MOVEit Transfer修补层级，IT人员需要采取的更新步骤也不同，使得修补工作变得更为复杂。     转自E安全，原文链接:https://mp.weixin.qq.com/s/O8vxe2pwYhiZ3jWHTYFxNA 封面来源于网络，如有侵权请联系删除

专家警告说，WordPress的Ninja Forms插件受到多个漏洞的影响（跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393），黑客可以利用这些漏洞升级权限并窃取敏感数据。 WordPress插件Ninja Forms是最受欢迎的表单生成器插件，它有超过900000个活动安装。开发人员可以使用此插件创建任何类型的表单，包括联系表单和付款表单。 第一个漏洞被追踪为CVE-2023-37979，是一个基于POST的反射XSS，未经身份验证的用户可以利用它窃取敏感信息，在本例中，可以在WordPress网站上升级权限，攻击者以此诱骗特权用户访问精心制作的网站来触发该问题。 第二个和第三个漏洞被追踪为CVE-2023-38393和CVE-2023-3 8386，是对表单提交导出功能的访问控制中断。订阅者和参与者用户可以利用这些漏洞导出WordPress网站上提交的所有Ninja表单。 这些漏洞在3.6.26版本中得到了解决。 在某些情况下，插件或主题代码需要从用户提供的字符串中调用特定的函数或类，服务商应始终检查并限制用户可以直接调用的函数或类目，还要格外注意导出数据操作，并始终对相关函数进行权限或访问控制检查。 以下是上述问题的时间表： 2023年6月22日，发现了该漏洞，并联系了插件供应商。 2023年7月4日，Inja Forms 3.6.26版发布，以修补报告的问题。 2021年7月25日将漏洞添加到Patchstack漏洞数据库中。 2021年7月27日公开发布的安全咨询文章。     转自E安全，原文链接:https://mp.weixin.qq.com/s/YXb9KvIWFZilILNTR66k2w 封面来源于网络，如有侵权请联系删除