据美国国土安全部（DHS）近日透露，加入“Hack DHS”漏洞赏金项目（bug bounty program）的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞，其中27个被评估为严重漏洞。 据悉，国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度，每个漏洞最多可获得5,000美元的奖励。 “在‘Hack DHS’的第一阶段，安全研究人员们的热情参与使我们能够在关键漏洞被利用之前找到并修复它们”，国土安全部首席信息官（CIO）Eric Hysen对媒体表示道，“随着‘Hack DHS’项目的进展，我们期待进一步加强我们与研究人员群体的联系与合作。” “Hack DHS”项目的建立借鉴了美国联邦政府和私营部门类似成果的经验，比如“黑掉五角大楼”（Hack the Pentagon）项目。 事实上，国土安全部第一次推出漏洞赏金试点项目是在2019年，这比“Hack DHS”还要早两年。当时，《安全技术法案》（SECURE Technology Act）正式签署成为法律，要求政府组织建立安全漏洞披露政策和赏金项目。 旨在为其他政府组织树立榜样 “Hack DHS” 漏洞赏金项目成立于2021年12月。项目要求黑客们披露自己发现的漏洞以及漏洞相关的详细信息。例如，如何利用该漏洞，以及如何利用该漏洞访问国土安全部系统的数据。 所有报告的安全漏洞将在48小时内由国土安全部安全专家进行验证，并在15天内（有时需要更长时间）完成内修复，具体时间取决于漏洞的复杂性。 在“Hack DHS”项目启动一周后，国土安全部扩大了赏金的范围，允许研究人员追踪受 Log4j 相关漏洞影响的国土安全部系统。此前，美国网络安全和基础设施安全局（CISA）发布了一项紧急指令，要求联邦民事行政部门在12月23日前为自身的系统打补丁，以应对严重的Log4Shell漏洞。 对此，国土安全部部长Alejandro N. Mayorkas表示:“包括国土安全部等联邦机构在内的各规模各部门的组织都应该保持警惕并采取措施加强其网络安全。而‘Hack DHS’项目正是兑现了我们部门以身作则，保护国家网络和基础设施免受威胁的承诺。”   转自 FreeBuf，原文链接：https://www.freebuf.com/news/331076.html 封面来源于网络，如有侵权请联系删除

近日 Android 设备被爆存在安全漏洞，但根源来自于苹果的无损音频编解码器（ALAC）。目前，美国市场 95% 的 Android 设备来自于高通和联发科，安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-of-Bounds”安全漏洞，容易被黑客控制。 该漏洞存在于 ALAC 中，它通常被称为苹果无损音频编解码器。ALAC 是苹果公司早在 2004 年就推出的一种音频格式。顾名思义，该编解码器承诺在互联网上提供无损音频。 虽然苹果公司设计了自己的 ALAC 专利版本，但存在一个开源版本，高通公司和联发科在Android智能手机中依赖该版本。值得注意的是，这两家芯片组制造商都在使用一个自 2011 年以来没有更新过的版本。 在一篇试图解释安全漏洞的博客文章中，Check Point写道： 我们的研究人员发现的 ALAC 问题可以被攻击者用来通过畸形的音频文件对移动设备进行远程代码执行攻击（RCE）。RCE 攻击允许攻击者在计算机上远程执行恶意代码。RCE 漏洞的影响范围很广，从恶意软件的执行到攻击者获得对用户多媒体数据的控制，包括从被攻击机器的摄像头中获得流媒体。 高通公司一直在用 CVE 识别标签 CVE-2021-30351 追踪该漏洞，而联发科则使用 CVE ID CVE-2021-0674 和 CVE-2021-0675。撇开技术术语不谈，开源版苹果无损检测中的漏洞可被无特权的Android应用利用，将其系统权限升级到媒体数据和设备麦克风。这基本上意味着应用程序不仅可以窃听电话交谈，还可以窃听附近的谈话和其他环境声音。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261179.htm 封面来源于网络，如有侵权请联系删除

4月6日消息，安全公司Kryptowire警告说，三星的各种设备都容易受到重大安全漏洞的影响，该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST)，这是一种扫描漏洞以及安全和隐私问题的工具。 据该公司称，它发现了一个漏洞（CVE-2022-22292），该漏洞可能允许黑客采取一系列行动，包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景，甚至恢复出厂设置。 由于预装的手机应用程序具有“不安全组件”，该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行，这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。 Kryptowire于2021年11月首次发现该漏洞并通知了三星。该公司于2022年2月发布了修复程序，鼓励所有三星用户立即更新以确保他们的手机安全。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1254955.htm 封面来源于网络，如有侵权请联系删除

SamMobile 报道称，尽管三星总能在 Google 正式发布修复之前，就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机，还是被发现存在一个出厂即有的安全漏洞，使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出，问题在于 Galaxy S8 / S9 / S10 / S20 / S21 等系列机型未能妥善存储其加密密钥。 在近日发布的一份报告（PDF）中，Alon Shakevsky、Eyal Ronen 和 Avishai Wool 详细介绍了他们是如何绕过三星设备的安全措施的。 研究配图 – 1：设备信任区的软硬件隔离架构解析 文中涉及许多安全技术专业术语，需要读者具有一定的知识基础。庆幸的是，消费者们无需对此感到过于担心，因为研究人员及时地向三星进行了通报，该公司早已完成对上述安全隐患的修复。 研究配图 – 2：一款 Android 应用的硬件密钥管理示例 据悉，首个修复从 2021 年 8 月的安全补丁开始推送，然后于 10 月份完成了所有修补。若你仍在使用老旧的版本，还请尽快更新到受支持的最新版本。 研究配图 – 5：安全密钥导入流程流程简析 最后，若设备已经超出了三星的官方支持期，也可考虑换用仍在提供安全更新的第三方定制 ROM 。   （消息及封面来源：cnBeta）

获悉，目前在渥太华抗议加拿大国家疫苗规定的卡车司机使用的捐赠网站已经修复了一个安全漏洞，该漏洞暴露了捐赠者的护照和驾驶执照。位于马萨诸塞州波士顿的捐赠服务GiveSendGo上周成为Freedom Convoy的主要捐赠服务商，此前GoFundMe冻结了数百万美元的捐赠，理由是警方报告了该市的暴力和骚扰。 抗议活动始于1月，数千名抗议者和卡车司机来到加拿大首都，致使街道交通陷入瘫痪。他们反对强制接种COVID-19疫苗。在GoFundMe上的一个筹款页面达到了约790万美元的捐款，众包巨头出面阻止了该活动，促使筹款工作转移到GiveSendGo–该公司公开宣布支持抗议活动。根据一份新闻稿，GiveSendGo表示，在该公司主办活动的第一天，它已经为Freedom Convoy的抗议者处理了超450万美元的捐款。 在安全领域工作的一位工作人员发现了一个暴露的亚马逊托管的S3储存库，其中包含超过50GB的文件–里边有在捐赠过程中收集的护照和驾驶执照，之后TechCrunch得到了这个数据丢失的消息。 该研究人员称，他们通过查看自由车队在GiveSendGo上的网页的源代码发现了这个暴露的桶的网络地址。 S3储存库用于在亚马逊的云中存储文件、文档甚至整个网站，但默认设置为私有，在储存库的内容被公开供任何人访问之前需要一个多步骤的过程。 自2月4日Freedom Convoy的页面首次在GiveSendGo上建立以来，被曝光的储存库内有超1000张照片和护照及驾驶执照的扫描件。这些文件名表明，这些身份文件是在支付过程中上传的，一些金融机构在处理一个人的付款或捐款之前需要这些文件。 当地时间周二，TechCrunch联系了GiveSendGo的联合创始人Jacob Wells以了解了被曝光的储存库的细节信息，但Wells没有回应。 目前还不知道这个储存库到底被暴露了多久，但一位不愿透露姓名的安全研究员留下的一个文本文件显示日期为2018年9月，并警告称这个储存库“没有正确配置”、可能会产生“危险的安全影响”。   （消息及封面来源：cnBeta）

专业处理固件威胁的安全研究公司 Binarly，刚刚在周二的一篇博客文章中披露了 InsydeH2O“Hardware-2-Operating System”UEFI BIOS 中存在的问题。作为微软、英特尔、惠普、戴尔、联想、西门子、富士通等多家科技巨头的固件供应商，这意味着它们都易受将近两打安全漏洞的影响。 Binarly.io 在网站上披露了总共 23 个此类漏洞，可知其主要波及所谓的“系统管理模式”（简称 SMM）： 由于这是固件级别的缺陷，因而成功利用可能导致几乎无法摆脱的持久性恶意软件。 其中大多数漏洞（CVSS 评分 7.5 – 8.2 / 高危）可利用 SMM 权限执行代码，在借此绕过安全功能之后，这些漏洞还可在长期持久性的第二阶段继续发挥作用。 得逞后，攻击者可让消费者在重装系统后也无法摆脱顽固的恶意软件，并允许其绕过端点安全解决方案（EDR / AV）、安全启动、以及基于虚拟化的安全隔离措施。 更糟糕的是，由于可信平台模块（TPM）的固件运行时可见性设计限制，固件完整性监测系统和远程设备健康证明解决方案也无法检测到对所有已发现漏洞的主动利用。 据悉，Binarly 首先是在富士通 LifeBook 笔记本电脑上发现了这一漏洞，然后很快意识到其它供应商也面临同样的问题 —— 因为它们都选用了 InsydeH2O UEFI 解决方案。   （消息及封面来源：cnBeta）

上星期，我们以“创宇资讯”角度发布了2021年最受关注的十大网络安全事件。 以下为创宇资讯整理并总结出的2021年十大安全漏洞，希望以此为网络安全建设提供参考。 （转载本文请注明出处：https://hackernews.cc/archives/37322）   一．Apache Log4j2 远程代码执行漏洞   Apache Log4j2是一个基于Java的日志记录工具，该日志框架被大量用于业务系统开发，用来记录日志信息。 Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷，就可以实现目标服务器任意命令执行，获取目标服务器权限。 由于日志记录存在的普遍性，所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见，未来数月甚至数年该漏洞才能得到比较全面的修补。 漏洞涉及CVE编号： CVE-2021-44228 漏洞影响版本： Apache log4j2 2.0 至 2.14.1 版本   二．QNAP NAS Roon Server套件认证绕过、命令注入漏洞   威联通科技股份有限公司(QNAP Systems, Inc.)，是极少数以商用服务器获得世界认同的中国台湾省跨国企业，致力于研发并提供高质量网络储存设备及专业网络监控录像设备 给家庭、SOHO 族、以及中小企业用戶。 2021年6月11日，CNCERT物联网安全研究团队与启明星辰金睛安全研究团队共同发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》。报告中详细介绍了权限饶过漏洞（CVE-2021-28810）和命令注入漏洞（CVE-2021-28811）相关的细节，并指出早在2021年5月8日就已经捕获在野利用攻击。在后续和厂商的沟通中，QNAP官方于2021年6月4日重新发布修复后的应用。 在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件。该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金。 勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率。该漏洞不是第一个也不会是最后一个。 漏洞涉及CVE编号：CVE-2021-28810、CVE-2021-28811   三．Microsoft Exchange高危攻击链   2021年3月3日微软紧急发布了Exchange更新补丁，披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用，其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证，可以结合CVE-2021-26858/CVE-2021-27065形成高危攻击链。相关漏洞详情如下： CVE-2021-26855 服务端请求伪造漏洞，可以绕过Exchange Server的身份验证。 CVE-2021-26858/CVE-2021-27065 任意文件写入漏洞，需要身份验证。可配合CVE-2021-26855形成无需交互的高危攻击链。 漏洞涉及CVE编号：CVE-2021-26855、CVE-2021-26858、CVE-2021-27065   四．VMware vCenter Server 未授权远程命令执行漏洞   Vmware vCenter Server是ESXi的控制中心，可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。 2021年5 月 25 日，VMware 官方发布安全公告，修复了 VMware vCenter Server 和 VMware Cloud Foundation 远程代码执行漏洞（CVE-2021-21985）和身份验证漏洞（CVE-2021-21986）。其中 CVE-2021-21985 漏洞攻击复杂度低，且不需要用户交互，攻击者可利用该漏洞在目标系统上执行任意命令，从而获得目标系统的管理权限。 漏洞涉及CVE编号：CVE-2021-21985 漏洞影响版本： Vmware vCenter Server 7.0 系列 < 7.0.U2b Vmware vCenter Server 6.7系列 < 6.7.U3n Vmware vCenter Server 6.5 系列 < 6.5.U3p Vmware Cloud Foundation 4.x 系列 < 4.2.1 Vmware Cloud Foundation 3.x 系列 < 3.10.2.1   五．Zyxel NAS FTP 服务未授权远程命令执行漏洞   Zyxel(合勤科技)是国际知名品牌的网络宽带系统及解决方案的供应商。 2020 年，Zyxel 多个型号 NAS 以及防火墙设备被曝出存在未授权 RCE 漏洞（CVE-2020-9054 ），该漏洞被用于地下黑市售卖，其价值高达 20000 美元，漏洞成因是 Zyxel NAS 和防火墙产品中使 用的 PAM 认证模块存在漏洞，未经身份认证的攻击者可以通过 Web 服务入口 weblogin.cgi 程序的 username 字段注入任意命令达到远程命令执行的目的。Zyxel 官方后续已经对在支持期内的设备释放了固件 补丁。 经过验证，Zyxel官方只修复了漏洞的入口点，对于存在漏洞的库/lib/security/pam_uam.so没有进行任何修复，这也导致该漏洞可以通过FTP服务所在端口再次触发。攻击者仅需要创建FTP连接使用恶意用户名登陆即可触发该漏洞。 漏洞涉及CVE编号：CVE-2020-9054 补丁绕过   六．Windows Print Spooler 远程代码执行漏洞   Windows Print Spooler 是 Windows 的打印机后台处理程序，广泛的应用于各种内网 中。 2021年6 月 29 日，有安全研究人员公开了了一个 Windows Print Spooler 相关的 exp，也被称为PrintNightmare。后经过验证，微软为该漏洞分配了一个新的CVE编号：CVE-2021-34527。利用该exp，攻击者 能够以 SYSTEM 权限控制域控主机，微软在7月7日紧急修复了该漏洞。 攻击者可以通过该漏洞绕过 SplAddPrinterDriver 的安全验证，并在打印服务器中安装 恶意的驱动程序。若攻击者所控制的用户在域中，则攻击者可以连接到 DC 中的 Spooler 服务，并利用该漏洞在 DC 中安装恶意的驱动程序，完整的控制整个域环境。 漏洞涉及CVE编号：CVE-2021-34527   七．Apache HTTPd 路径穿越和远程命令执行漏洞   2021年9 月 29 日，国外安全研究员向 Apache 官方提交了 Apache HTTPd 2.4.49 的一个路径穿越漏洞(CVE-2021-41773)，官方于 10 月 1 日修复了该漏洞并且于 10 月 4 日发布新版本 Apache HTTPd 2.4.50。 2021年10 月 5 日，Github 上开始出现漏洞 CVE-2021-41773 的 POC，经过验证该漏洞可以在文件目录被授权访问的情况下进行文件读取，甚至可以在 cgi 模式下执行命令。与此同时有安全研究员发现该漏洞可以被绕过，于是 10 月 7 日，Apache 官方再次发布新版本 Apache HTTPd 2.4.51 修复了 CVE-2021-41773 的绕过问题并且注册了新的 CVE 编号 CVE-2021-42013。 漏洞涉及CVE编号：CVE-2021-41773，CVE-2021-42013   八．Confluence Webwork OGNL表达式注入漏洞   Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论、信息推送等。 2021年8月25日，Confluence发布漏洞公告，Confluence Webwork OGNL 存在表达式注入漏洞，编号为：CVE-2021-26084。 经过分析，2021年9月1日，国外安全研究人员公开了该漏洞细节，未授权的攻击者可以通过该漏洞实现远程代码执行。经过验证，无需授权访问的接口 /pages/createpage-entervariables.action 存在OGNL表达式注入的问题，这也使得该漏洞的影响面和危害进一步扩大。 漏洞涉及CVE编号：CVE-2021-26084 漏洞影响版本： Confluence Server & Confluence Data Center < 6.13.23 Confluence Server & Confluence Data Center < 7.11.6 Confluence Server & Confluence Data Center < 7.12.5 Confluence Server & Confluence Data Center < 7.4.11   九．锐捷网关未授权远程命令执行漏洞   锐捷⽹络成⽴于2000年1⽉，是中国数据通信解决⽅案领导品牌。2021年1⽉12⽇，⽹上出现了锐捷⽹关Web管理系统的未授权远程命令执行漏洞的 PoC。由于 /guest_auth/guestIsUp.php接口未过滤用户输入，直接拼接到命令执行，未经授权的远程攻击者可以利用该漏洞以root权限在目标设备执行任意命令。 该漏洞影响范围比较广，通过ZoomEye网络空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的记录（数据查询日期：2021年1月19日），主要分布在中国。   十．GitLab未授权远程命令执行漏洞   GitLab是由GitLab Inc.开发，一款基于Git的完全集成的软件开发平台。 2021年4⽉14⽇，GitLab 官⽅发布安全通告，GitLab CE/EE 中存在认证 RCE 漏洞，并分配漏洞编号CVE-2021-22205，随后也有相关的POC公布，但由于需要认证，该漏洞影响范围有限。 2021年10月25日，HN Security 发文称，有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞，并公开了攻击者使用的 payload。随后国内外安全厂商陆续检测到该漏洞的在野利用。漏洞利用难度的降低，带来的是漏洞影响范围的扩大，影响有限的漏洞也能发挥出惊人的破坏力。 漏洞涉及CVE编号：CVE-2021-22205