Hackernews 编译，转载请注明出处： 随着使用macOS的人数不断增加，黑客利用苹果操作系统漏洞的想法也在增加。 macOS面临哪些威胁? macOS的粉丝们有一个普遍的误解，认为苹果设备不受黑客攻击和恶意软件感染。然而，用户最近面临着越来越多的危险。善于创新的攻击者专门将Mac系统作为目标，使用如“Geacon”Cobalt Strike的工具进行攻击。该工具使他们能够执行恶意操作，例如数据盗窃、特权提升和远程设备控制等，将Mac用户的安全和隐私置于严重风险之中。 今年早些时候，研究人员还发现了MacStealer恶意软件。该软件也窃取了苹果用户的敏感数据：文件、iCloud钥匙链数据、浏览器cookie、信用卡凭证等，没有什么是安全的。 但这还不是全部。CloudMensis 是专门针对 macOS 系统的恶意软件，通过电子邮件附件传播并危及设备安全性。它可以窃取敏感信息并授予对用户系统的未经授权的访问。另一方面，JockerSpy则可以通过欺骗性网站或捆绑看似无害的软件渗透到系统中。安装后，它可以监控用户的活动、捕获击键和访问个人数据。 就连朝鲜的Lazarus Group等政府支持的黑客组织也开始瞄准苹果的mac系统。你认为这是否给那些认为自己的设备不会受到攻击的苹果用户敲响了警钟? Mac安全调查2023:用户意识和行为 为了了解Mac电脑的网络安全状况，Moonlock团队进行了一项调查。Moonlock团队由MacPaw的研究人员和工程师组成，专注于Mac用户的网络安全需求。从他们对Mac用户行为和误解的担忧出发，以下是Mac用户如何应对日益复杂的安全环境: 网络安全“传说”依然存在 尽管风险越来越大，但许多Mac用户仍然对网络安全掉以轻心。Moonlock的《Mac安全调查2023》显示，三分之一的Mac用户认为他们的数据不会引起网络罪犯的兴趣。57%的Mac用户要么同意要么不完全同意“恶意软件不存在于macOS上”这一说法。 意识很高，但危险行为比比皆是 事实上，许多Mac用户已经成为了攻击的受害者。超过50%的受访者亲身或在其最近的环境中遭受过恶意软件、黑客攻击或欺诈。69%的受访者至少亲身面临过以下一种威胁: 恶意软件、病毒 账户侵入、窃取密码 骗局 从浏览器和社交网络收集个人数据 破坏个人资料 网络钓鱼 违反网络支付安全 身份盗窃(包括SSN盗窃) 访问通信和私人文件。 这表明macOS是多么脆弱，并强调需要更强的安全性。 尽管受到威胁，22%的Mac用户仍对多个账户使用相同的密码，31%的用户跳过软件更新。与此同时，45%的人认为他们在保护自己免受网络威胁方面做得不够。 安全工具缺乏明确性 当涉及到数字安全时，安全工具的使用似乎缺乏明确性。你知道吗，在使用密码管理器的受访者中，有11%的人实际上是把密码存储在浏览器里的?有趣的是，35%自称安全的浏览器用户认为Safari和Google Chrome是安全的选择。 缺乏可靠的信息 根据Moonlock的研究，52%的Mac用户实际上希望与专家讨论如何确保网络安全。然而，30%的用户很难找到有关该主题的可靠信息来源。 Mac用户应该保持警惕，优先考虑网络安全，并随时了解不断变化的威胁形势，这至关重要。通过提高网络安全意识和推广积极的安全措施，我们可以加强对Mac系统的保护，从而保护我们的数字生活。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

美国国家航空航天局（NASA）天体生物学专用网站存在一个严重的安全漏洞，可能通过伪装带有NASA名称的危险URL来诱骗用户访问恶意网站。 太空旅行无疑是危险的。然而，在访问NASA网站的时候也有可能如此。Cybernews研究团队发现了一个NASA天体生物学网站的开放式重定向漏洞。 经过研究人员的调查，早在几个月前（2023年1月14日）已经有研究人员通过漏洞赏金计划发现并报告该漏洞，但该机构没有处理和修复。 攻击者可以利用这个漏洞将任何人重定向到恶意网站，从而获取他们的登录凭证、信用卡号码或其他敏感数据。 自4月初以来，Cybernews研究团队已多次联系美国国家航空航天局，截止到今天尚未收到任何答复。 什么是开放式重定向漏洞？ 开放式重定向漏洞简单来说就像是一个假冒的出租车司机。例如你叫了一辆出租车并告诉司机你想去哪里，但是他并没有把你送到目的地，而是把你带到另一个地方。 同样，试图访问 astrobiology.nasa.gov 的用户可能就被重定向进入了一个恶意的网站。通常情况下，网络应用程序会验证用户提供的输入，如URL或参数，以防止恶意重定向的发生。 网络新闻研究人员解释说：攻击者可以利用该漏洞，通过将恶意网址伪装成合法网址，诱使用户访问恶意网站或钓鱼网页。 为什么开放式重定向漏洞是危险的？ 攻击者可以用额外的参数修改NASA的网站，将用户引导到他们选择的地方。重新跳转的网站甚至可能类似于NASA的页面，只是在其中加入要求输入信用卡数据的提示。 此外，攻击者可以利用开放的重定向漏洞，引导用户进入网站，在登陆后立即将恶意软件下载到他们的电脑或移动设备上。 另一种利用该漏洞的方式是通过将用户重定向到展示低质量内容或垃圾邮件的网站来控制搜索引擎的排名。 虽然我们没有确认是否有人真正利用了NASA网站的这个漏洞，但是事实上这个漏洞已经暴露了几个月。 如何减轻开放式重定向漏洞的影响？ 利用开放式重定向漏洞可以使恶意行为者进行网络钓鱼攻击，窃取凭证并传播恶意软件。 为了避免此类事故，Cybernews研究团队强烈建议网站验证所有用户输入，包括URL。 研究人员解释说：这可能包括使用正则表达式来验证URL的正确格式，检查URL是否来自受信任的域，并验证URL不包含任何额外或恶意的字符。 为了防止恶意字符被注入URLs，网站管理员还可以使用URL编码。同时，网站所有者可以创建一个可信URL的白名单，只允许重定向到这些URL。防止攻击者将用户重定向到恶意的或未经授权的网站。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368750.html 封面来源于网络，如有侵权请联系删除

日前，Zyxel发布了一份指南，旨在保护防火墙和VPN设备免受利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的持续攻击。 指南中提到，该公司一直在通过多种渠道敦促用户安装补丁，比如已经给注册用户和资讯订阅者发送了多份安全资讯，通过本地设备的Web GUI推送通知通知用户升级；以及对尚未升级的基于云的设备强制执行预定的固件升级等。 有威胁行为者正在尝试利用命令注入漏洞CVE-2023-28771以影响Zyxel防火墙。他们的目标是利用这个漏洞在受影响的系统上部署和安装恶意软件。美国CISA目前已将该漏洞添加到其已知利用漏洞目录中。 4月下旬，Zyxel方面称已解决了其防火墙设备中的严重漏洞CVE-2023-28771 (CVSS评分9.8)，并建议其客户立即安装补丁，以尽快修复漏洞避免造成更大影响。 另外两个被追踪到的漏洞是CVE-2023-33009和CVE-2023-33010，这两个是关键的缓冲区溢出漏洞。 远程的、未经认证的攻击者可以触发这些缺陷，在易受攻击的设备上造成拒绝服务（DoS）条件和远程代码执行。 该公司表示，设备一旦遭受攻击，其Web GUI或SSH管理界面将无法访问，可能出现网络中断和VPN连接断开等问题。下表列出了受这些缺陷影响的产品和固件版本，以及解决这些问题的最新固件更新： 与此同时，Zyxel还提供了针对这些漏洞的缓解措施，例如从WAN(广域网)禁用HTTP/HTTPS服务。 如果管理员需要从广域网侧管理设备，可启用“策略控制”功能，并添加只允许可信源IP地址访问的规则。该指南还建议启用GeoIP过滤，只允许来自受信任位置的访问。如果不需要IPSec VPN功能，Zyxel方面建议关闭UDP端口500和4500。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368489.html 封面来源于网络，如有侵权请联系删除

The Hacker Hews 网站披露，零日计划（ZDI）在上周发布的一份报告中表示，研究人员发现 Sonos One 无线扬声器中的多个安全漏洞有可能已经被网络攻击者用来窃取敏感信息和执行远程代码。 值得一提的是，在 2022 年年底多伦多举行的 Pwn2Own 黑客大赛上，来自 Qrious Secure、STAR Labs 和 DEVCORE 的三个不同团队”展示“这些漏洞，并获得了 105000 美元及奖金。 影响 Sonos One 音箱 70.3-35220 的四个漏洞详情如下： CVE-2023-27352 和 CVE-2023-27355（CVSS评分：8.8）：未经授权安全漏洞，允许网络攻击者在受影响的设备上执行任意代码。 CVE-2023-27353 和 CVE-2023-27354（CVSS评分：6.5）：未经认证安全漏洞，允许与网络攻击者在受影响设备上窃取敏感信息。 CVE-2023-27352 漏洞源于处理 SMB 目录查询命令时，CVE-2023-27355 漏洞存在于 MPEG-TS 解析器中。一旦成功利用这两个漏洞，网络攻击者便可以在根用户的上下文中执行任意代码。 此外，研究人员指出网络攻击者也可以将这两个信息披露漏洞与系统中的其它漏洞结合起来，实现以高权限执行代码。2022 年 12 月 29 日，漏洞披露之后，Sonos 在 Sonos S2 和 S1 软件版本 15.1 和 11.7.1 的更新中解决了该问题，建议用户应用最新的补丁以减轻潜在的安全风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368066.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，美国网络安全和基础设施安全局（CISA）在其已知被利用的漏洞目录中增加了七个新安全漏洞。 漏洞详情： CVE-2023-25717：Cybir 的研究人员发现 Ruckus 无线接入点（AP）软件在 web 服务组件中存在一个未知漏洞。一旦用户在 AP 上启用了 web 服务组件，攻击者就可以执行跨站点请求伪造（CSRF）或远程代码执行（RCE）。此漏洞会影响 Ruckus ZoneDirector、SmartZone 和 Solo AP，用户应尽快安装补丁； CVE-2021-3560：Red Hat Polkit 通过绕过 D-Bus 请求的凭据检查，包含一个不正确的授权漏洞，攻击者可以利用该漏洞进行权限升级。polkit 是一个应用层面的工具包，用于定义和处理允许非特权进程与特权进程对话的策略，它被默认安装在几个 Linux 发行版上。 CVE-2014-0196：Linux 内核在 n_tty_write 函数中包含一个竞争条件漏洞，该漏洞允许本地用户通过长字符串的读写操作造成拒绝服务或获得特权。； CVE-2010-3904：Linux 内核在可靠数据报套接字（RDS）协议实现中包含一个不正确的输入验证漏洞，该漏洞允许本地用户通过精心使用 sendmsg 和 recvmsg 系统调用来获得权限； CVE-2015-5317：Jenkins用户界面（UI）包含一个信息泄露漏洞，该漏洞允许用户在“指纹”页面上查看作业和构建的名称。 CVE-2016-3427：Oracle Java SE、Java SE Embedded 和 JRockit 中的 JMX 子组件存在安全漏洞。远程攻击者可利用该漏洞控制组件，影响数据的保密性，完整性及可用性。 攻击者可通过沙盒 Java Web Start 应用程序和沙盒 Java 小程序利用该漏洞，也可以通过向指定组件中的 API 提供数据来利用漏洞。受到影响版本包括 Oracle Java SE 6u113 版本，7u99 版本，8u77 版本，Java SE Embedded 8u77 版本，Jrockit R28.3.9 版本； CVE-2016-8735：Apache Tomcat 中存在一个远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码。一旦攻击者使用 JmxRemoteLifecycleListener 并且获得访问 Java 管理扩展（JMX）端口的权限，就可以轻松利用该漏洞允，执行远程代码。受影响版本包括 Apache Tomcat 6.0.48 之前的版本，7.0.73 之前的7.x版本，8.0.39 之前的 8.x 版本，8.5.7 之前的 8.5.x 版本，9.0.0.M12 之前的 9.x 版本。 根据约束性操作指令（BOD）22-01的要求，所有联邦民事行政部门机构(FCEB)在被添加到 CISA 的已知利用漏洞(KEV)目录后，必须在到期日前解决已识别的漏洞，保护其系统免受此安全漏洞的影响，降低已知被利用漏洞的重大风险。此外，网络安全专家建议私营组织也应该审查 CISA 目录中的漏洞，并解决其基础设施中存在的漏洞。 最后，CISA 命令联邦机构在 2023 年 6 月 2 日之前修复上述漏洞！     转自 Freebuf，原文链接：https://www.freebuf.com/news/366718.html 封面来源于网络，如有侵权请联系删除

通过该漏洞，用户可以免费获得无限的信用额度来测试不同的OpenAI项目，包括ChatGPT。 不久前，OpenAI 为了让用户尝试其他开放的人工智能项目，特意为新用户提供了免费的信用积分额度（约7美元）。随后网络安全公司Checkmarx表示，目前发现了一个漏洞，允许用户滥用试用，并在新账户上获得无限的信用积分额度。 研究人员表示：通过拦截和修改OpenAI的API请求，我们发现了这一漏洞。该漏洞能够使用同一个电话号码注册任意数量的账户，获得无限的免费积分额度。 为了注册试用，用户必须输入他们的电子邮件地址，点击发送到收件箱的激活链接，输入一个电话号码，然后输入短信验证码。电子邮件和电话号码都必须是唯一的，用户才能获得免费的积分额度。 然而，不法分子为了让同一账户获得更多的信用积分额度。他们对电话号码进行细微的改动，例如在国家/地区代码前面添加前缀。最终，他们通过使用同一电话号码的不同前缀的变化绕过了要求。 研究人员解释说：这一漏洞允许一个恶意的用户拥有多个账户，并获得更多的信用积分额度，而且用的是同一个电话号码。 但这对他们来说似乎还不够，因为他们想将信用积分值提高到一个更恐怖的数额。 然后，研究人员将开源工具REcollapse投入使用。这允许用户模糊输入和绕过验证等。 经过一些初步测试，观察到OpenAI API对一些模式进行了清理。在某些非ASCII（美国信息交换标准代码）字节上使用Unicode编码使我们能够绕过它并注册更多帐户。 目前该公司在收到通知后修复了该漏洞。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365537.html 封面来源于网络，如有侵权请联系删除

服务定位协议（SLP）被曝高严重性安全漏洞，该漏洞可被用作武器化，对目标发起体积性拒绝服务（DoS）攻击。 Bitsight和Curesec的研究人员Pedro Umbelino和Marco Lux在一份与《黑客新闻》分享的报告中说：攻击者利用这个漏洞可以发动大规模的拒绝服务（DoS）放大攻击，系数高达2200倍，有可能成为有史以来最大的放大攻击之一。 据称，该漏洞为CVE-2023-29552（CVSS评分：8.6），影响全球2000多家企业和54000多个通过互联网访问的SLP实体。 这其中包括VMWare ESXi管理程序、柯达打印机、Planex路由器、IBM集成管理模块（IMM）、SMC IPMI等其他665种产品。 易受攻击的SLP实体最多的前十个国家分别是美国、英国、日本、德国、加拿大、法国、意大利、巴西、荷兰和西班牙。 SLP是一个服务发现协议，使计算机和其他设备能够在局域网中找到服务，如打印机、文件服务器和其他网络资源。 攻击者利用受CVE-2023-29552漏洞影响的SLP实体，发起放大攻击，用超大规模虚假流量攻击目标服务器。 要做到这一点，攻击者需要做的就是在UDP 427端口找到一个SLP服务器并注册 ，直到SLP拒绝更多的条目，然后以受害者的IP作为源地址反复对该服务发起请求。 这种攻击可以产生高达2200倍的放大系数，导致大规模的DoS攻击。为了减轻这种威胁，建议用户在直接连接到互联网的系统上禁用SLP，或者过滤UDP和TCP 427端口的流量。 研究人员表示：同样需要注意的是，实施强有力的认证和访问控制，只允许授权用户访问正确的网络资源，并对访问进行密切监控和审计。 网络安全公司Cloudflare在一份公告中说，预计基于SLP的DDoS攻击的普遍性将在未来几周内大幅上升，因为攻击者正在尝试新的DDoS放大载体。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/364915.html 封面来源于网络，如有侵权请联系删除  

据CybelAngel称，企业防火墙外的关键漏洞是网络安全威胁的最大来源。 在所有行业中，这些由未受保护或被破坏的资产、数据和凭证组成的漏洞，已成为对企业检测和保护的一个巨大挑战。 关键的网络安全漏洞 该报告还强调了黑客到达目标的关键路径，以及网络犯罪的趋势、数据风险的关键领域和按行业分列的风险暴露。 在暴露的问题中，CybelAngel发现： 所有检测到的威胁中，87%来自第三方或恶意行为者。 在所有检测到的面向互联网的资产中，9%存在相关的未修补漏洞。排名前十的CVE被发现未打补丁的次数至少各为1200万次。 目前有超过700亿个文件，包括知识产权和金融信息，在不安全的网络服务器上免费提供，没有受到保护。 安全措施不足 如果对照行业来看，这些检测中的趋势甚至更令人担忧，大量的风险领域威胁着关键的基础设施，包括电信、建筑、石油和天然气。暴露的前三的行业是： 零售业，在其资产中检测到的恶意域名和许多漏洞的数量最高。 电信业，在我们检查的许多风险领域中排名明显靠前。包括开放的端口、不安全的数据库、敏感文件、泄露的凭证和暗网活动。 商业服务部门在暗网活动和恶意域名的数量上都占了很大比例。 CybelAngel公司首席执行官Erwan Keraudy说：企业网络安全领导者和决策者在确保自身安全边界方面做得很好，但关键基础设施和其他现代化方面却不足。这本身就是一个严重的问题。 由于大部分被检测到的风险来自于外部资产和恶意攻击者，在今天的安全形势下，被动和反应性的安全措施已经不够了。网络安全团队必须采取主动和全面的立场寻找风险，包括已知资产、影子资产、合作伙伴、供应商、供货商资产等等。 凭证泄露和暗网市场活动 信息窃取恶意软件将在企业内部扩散。在对CybelAngel平台的扫描中，50%的与客户相关的电子邮件带有未隐藏的密码，这意味着它们是纯文本且未加密的。在不同的违规事件中，许多被曝光的电子邮件要么共享相同的密码，要么是与另一个被曝光的密码相似。从凭证泄露和暗网市场活动来看，旨在窃取这些数据的恶意软件将迅速增长。 包括OT和IoT在内的影子IT将增加。尽管公司在保护其已知资产方面投入了大量资金，但对影子IT的盲点做同样的保护是很有挑战性的，特别是随着互联网连接资产的使用越来越多，这些资产很少是安全的。报告发现，在所有检测到的OT/IoT设备中，有8%存在漏洞，这些漏洞可以作为攻破其他安全网络的桥梁。 不安全和错误配置的云的数量不断上升。复杂的多云环境极大地扩展了EASM的范围， CybelAngel检测到140万个错误配置的云设备。在检测到的所有开放云设备中，几乎有50%是个人谷歌云驱动器。在所有检测中AWS – S3设备或存储桶，是最常被黑客访问的。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364788.html 封面来源于网络，如有侵权请联系删除  

近日，日本汽车巨头丰田表示，其意大利办事处的安全漏洞可能已经暴露了客户数据。 在给 The Record 的一份声明中，丰田汽车北美发言人 Corey Proffitt 证实了Cybernews 的调查结果，Cybernews 是一家网络安全研究机构，该机构于 2 月 14 日在意大利丰田官方网站上发现了一个环境文件 (.env)。 该环境文件于2021 年 5 月 21 日首次被物联网 (IoT) 搜索引擎编入索引，这意味着很多人都可以进行公开访问。 根据 Cybernews 研究团队的说法，该环境文件泄露的原因是，丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud公开了用户账户凭证访问权限。黑客获取了Salesforce Marketing Cloud公司的权限，并借此访问丰田意大利用户的账户凭证。 通过账户凭证，攻击者顺势访问到了用户的电话号码、电子邮件地址、客户跟踪信息以及电子邮件、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚假的SMS消息、电子邮件、编辑&启动营销活动、创建自动化脚本、编辑与 Salesforce 营销云相关的内容，甚至向丰田的客户发送推送通知。 此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌。虽然这部分数据不像 Salesforce Marketing Cloud 账号凭证那么敏感，但是攻击者可能会滥用它来查询大量请求并增加丰田 API 使用的成本。 Proffitt 说：“在 Cybernews 团队通知丰田汽车意大利公司其 IT 环境中存在网络安全漏洞后，该公司立即采取了一切必要措施来纠正因未能遵守我们公司的数据安全政策而导致的情况。目前已经采取了一套额外的对策来恢复和加强我们的网络安全系统和协议。我们已向有关当局报告了这种数据隐私风险，并全力配合正在进行的调查。” Proffitt 补充说，丰田正在对其网络安全系统进行更广泛的调查，以“防止类似事件再次发生”。 该事件发生在一系列影响汽车公司的数据泄露事件中。1 月，勒索软件攻击者因对英国最大的汽车经销商之一Arnold Clark的攻击而受到赞扬。当汽车经销商拒绝支付赎金时，该团伙泄露了国家保险号码（相当于美国的社会保险号码）和护照数据，以及地址和电话号码。 2022 年 2 月，来自现已解散的 Hive 组织的勒索软件攻击者攻击了欧洲最大的汽车经销商之一埃米尔弗雷，上周法国的一家宝马经销商也遭到勒索软件攻击。路透社上周报道称，特斯拉员工正在共享从客户车辆内的摄像头收集的数据。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/lw9XijA7nFOlwGmM06lA_A 封面来源于网络，如有侵权请联系删除  

最近使用Google Pixel 手机的用户需要注意，你打过码的照片未必安全！ 安全研究人员 Simon Aarons 和 David Buchanan 最近在推特披露称，Google Pixel 自带的照片编辑工具Markup存在一个名为“Acropalypse的安全漏洞，能够还原用户照片中已经打码或裁剪掉的内容。 Aarons 分享了一个示例，演示他们如何使用 Acropalypse 漏洞恢复上传到 Discord 的信用卡照片。最开始，该信用卡卡号码已使用Markup工具进行了打码处理。但当他们的利用Acropalypse exploit 运行照片后，已经被打码的卡号信息得到了还原。 Acropalypse 示例 据悉，这两名研究人员于今年1月向谷歌报告了该漏洞，谷歌也与3月13日发布的更新中对其进行了修复。分析指出，经过Markup编辑处理的照片有大约80%能够被恢复，如果用户将未压缩的图片发布至互联网或社交平台，就可能导致敏感信息泄露。当然，一些平台会自动压缩、重新编码上传的照片，从而在一定程度上减少了信息泄露的范围。 虽然Acropalypse漏洞已经得到修复，但仍需值得注意的是，漏洞存在的时间长达5年之久，这期间已经共享出去的照片难以计数，且没有任何补救措施。此外，该漏洞广泛存在于所有运行 Android 9 Pie 及更高版本的 Pixel 型号手机中，一些较老型号的手机并不会在第一时间得到安全更新，安全风险依然存在。 最后，Acropalypse漏洞还会影响其他品牌的定制化Android手机，可能完全沿用原生的Markup对照片进行编辑。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361126.html 封面来源于网络，如有侵权请联系删除