国外媒体近期披露，威胁攻击者正在积极利用 Brick Builder 中的关键远程代码执行 (RCE) 漏洞，在易受攻击的网站上执行恶意 PHP 代码。 Bricks Builder 是一个高级 WordPress 插件，被“誉为”是创新的、社区驱动的可视化网站构建工具，拥有约 25000 个有效安装，可促进网站设计的用户友好性和定制化。 2 月 10 日，一个名为 “snicco “的研究员发现了一个被追踪为 CVE-2024-25600 的安全漏洞，影响了以默认配置安装的 Brick Builder 主题。同一天，snicco 还披露了 CVE-2024-25600 安全漏洞的一些其它细节，加入了攻击演示，但没有加入漏洞利用代码。 据悉，漏洞 CVE-2024-25600 是由 “prepare_query_vars_from_settings “函数中的一个 eval 函数错误调用导致的，未经身份验证的威胁攻击者可利用该函数执行任意 PHP 代码。 WordPress 安全漏洞 Patchstack 平台在收到安全漏洞报告后，立刻通知了 Bricks 团队。2 月 13 日，在 发布的 1.9.6.1 版本中修复漏洞问题。值得一提的是，WordPress 公告指出，虽然没有证据能够表明 CVE-2024-25600 安全漏洞是否被威胁攻击者利用了，但还是敦促用户尽快升级到最新版本。 安全漏洞 CVE-2024-25600 其它详情 Patchstack 在近期发布的文章中分享了 CVE-2024-25600 安全漏洞的详细信息，此前该公司安全人员已经检测到了从 2 月 14 日开始的漏洞主动利用尝试。随后，Patchstack 进一步指出，CVE-2024-25600 安全漏洞源于通过 prepare_query_vars_from_settings 中的 eval 函数执行用户控制的输入，$php_query_raw 是从 queryEditor 构建的。 尽管在 render_element_permissions_check 中进行了 nonce 检查，但由于可公开访问的 nonces 和不充分的权限检查，允许未经验证的访问，因此可以通过用于服务器端渲染的 REST API 端点利用这一安全风险。 Patchstack 方面还表示，研究人员在 CVE-2024-25600  漏洞暴露后阶段观察到威胁攻击者使用了特定的恶意软件，这些恶意软件可以禁用 Wordfence 和 Sucuri 等安全插件。 以下 IP 地址与大多数攻击有关： 200.251.23.57 92.118.170.216 103.187.5.128 149.202.55.79 5.252.118.211 91.108.240.52 Wordfence 确认了 CVE-2024-25600 安全漏洞的活跃利用状态，并报告称在过去发现了 24 次检测。因此，安全专家强烈建议 Bricks 用户立即升级到 1.9.3.1 版本。（具体方法是在 WordPress 面板中导航 “外观 > 主题 “并点击 “更新”，或从此处手动升级）。   转自Freebuf，原文链接：https://www.freebuf.com/news/392060.html 封面来源于网络，如有侵权请联系删除

近日，Fortinet旗下FortiGuard实验室的威胁研究小组发现了一种新型安卓恶意软件投放器，负责传递最终有效载荷。由于它们通常包含一个波兰语字符串“Kolko_i_krzyzyk”，英语译为TicTacToe，因此被命名为TicTacToe Dropper。目前研究人员发现TicTacToe Dropper在Windows设备上投放各种恶意软件，其中包括著名的包括AgentTesla和LokiBot。 这些投放器在加载和初始执行期间对最终有效载荷进行了混淆，包括Leonem、AgentTesla、SnakeLogger、LokiBot、Remcos、RemLoader、Sabsik、Taskun、Androm和Upatre。 根据FortiGuard的说法，井字棋投放器在过去12个月中分发了多个最终阶段的远程访问工具（RATs），而且最终有效载荷具有几个共同特征，包括多阶段分层有效载荷、.NET 可执行文件/库、使用SmartAssembly软件的有效载荷混淆、DLL文件嵌套以及反射加载。 在这次活动中，恶意软件执行文件通常通过.iso文件传递，这是一种经常被用来避免被杀毒软件检测的技术，也是一种绕过网络标记的技术。可执行文件包含多个DLL文件层，这些文件层在运行时被提取并直接加载到内存中。 TicTacToe Dropper针对Windows系统 2024年2月，Amey Gat和Mark Robson在FortiGuard博客中指出，这种中等严重性级别的加载器主要影响Microsoft Windows平台，可能导致凭证泄露并使进一步的恶意活动成为可能。 2023年初的样本包含了“TicTacToe ”字符串，而后来的活动使用了不同的字符串和不同的最终阶段有效载荷。这表明该工具在不断发展，开发者试图避开基于字符串的分析。 第一个样本是一个名为‘ALco.exe’的32位可执行文件，它提取并加载了一个名为‘Hadval.dll’或‘stage2 payload’的.NET PE DLL文件。该文件使用了DeepSea版本4.1进行了混淆，导致函数名称和代码流难以阅读。 使用de4dot工具 de4dot工具是一个开源（GPLv3）的.NET反混淆和解包器，在攻击中使用，成功绕过了某些DeepSea混淆技术，导致Hadval.dll文件的大部分被反混淆。 这个文件负责提取一个gzip blob，在解压后，显示出另一个32位PE DLL文件和另一个.NET库。第三阶段的有效载荷，内部命名为‘cruiser.dll’，受到SmartAssembly软件的保护。 cruiser.dll文件包含一个名为‘Munoz’的类，它在临时文件夹中创建了可执行文件的副本。第三阶段的代码从位图对象‘dZAu’中提取、加载并执行第四阶段的有效载荷。另一个DLL文件，‘Farinell2.dll’，使用了自定义混淆器进行混淆。 AgentTesla恶意软件 之前分析了另一个TicTacToe 投放器样本，它投放了众所周知的RAT（远程管理工具）AgentTesla。这个32位的.NET可执行文件使用了相同的技术来加载存储在文件资源元素中的代码。 第二阶段的有效载荷内部名为‘Pendulum.dll’，第三阶段的有效载荷名为‘cruiser.dll’。第三阶段的有效载荷从位图对象‘faLa’中提取了第四阶段的有效载荷，最终的有效载荷是AgentTesla。 为了缓解威胁，研究人员认为基于哈希的检测对已知的活动是有效的。然而，鉴于这种恶意软件的动态本质，对于新的活动需要基于行为的端点安全工具。像FortiEDR这样的EDR技术可以有效检测异常行为。   转自Freebuf，原文链接：https://www.freebuf.com/news/391906.html 封面来源于网络，如有侵权请联系删除

Darkreading网站消息，为应对全球范围内网络钓鱼、银行恶意软件和勒索软件攻击的激增，一项打击行动在非洲和中东地区展开，成功摧毁了多个指挥与控制（C2）服务器。 这项行动名为“Synergia”行动，由国际刑警组织、当地执法机构（涉及60个执法机构，包括来自中东和非洲MEA地区的17个机构）、以及外部网络安全公司（包括Group-IB、卡巴斯基、ShadowServer、Team Cymru和趋势科技）合作开展。该行动从去年九月持续到十一月，全球共有31人被逮捕，并另外确认了70名嫌疑人。其中，在非洲南苏丹和津巴布韦摧毁的服务器数量最多，并成功逮捕4人。 国际刑警组织表示，此次行动科威特执法机构与互联网服务提供商（ISP）进行密切合作，目的是为了识别受害者，进行现场调查，并提供技术指导以减轻行动带来的影响。 除了中东和非洲（MEA）地区，国际刑警组织报告的其他情况如下： 在欧洲，大部分的指挥控制（C2）服务器被关闭，共有26人被逮捕； 香港和新加坡警方分别关闭了153台和86台服务器； 玻利维亚动员了多个公共机构来识别恶意软件及其导致的安全漏洞。 “Synergia”行动还在全球50多个国家识别出了恶意基础设施和资源，这些基础设施和资源分布在世界各地的200多个网络托管服务提供商中。到目前为止，已有70%的指挥和控制（C2）服务器被关闭，其余的仍在调查中。 国际刑警组织网络犯罪局副局长贝尔纳多·皮洛特在一份声明中表示：“这次行动的成果是多个国家和合作伙伴共同努力的结果，它显示了我们维护数字空间安全的坚定承诺。通过瓦解网络钓鱼、银行恶意软件和勒索软件攻击背后的基础设施，我们离保护我们的数字生态系统，为所有人提供一个更安全的在线环境又近了一步。”   转自Freebuf，原文链接：https://www.freebuf.com/news/391382.html 封面来源于网络，如有侵权请联系删除

近日，高乐氏公司称去年 9 月的一次网络攻击迄今已造成该公司 4900 万美元的损失。高乐氏作为一家美国消费和专业清洁产品制造商，拥有 8700 名员工，2023 年收入近 75 亿美元。 去年8 月 11 日，高乐氏遭遇了一次网络攻击，该攻击导致公司运营受到严重破坏，导致生产下降和消费品供应减少。 本周四（2月1日），高乐氏在提交给美国证券交易委员会的一份财报中披露，截至 2023 年底，该公司因网络攻击导致的损失已达 4900 万美元。 高乐氏在季报中写道，所产生的费用主要与第三方咨询服务有关，包括信息技术恢复和取证专家以及调查和修复攻击所产生的其他专业服务，以及由此导致的公司业务运营中断所产生的增量运营成本。 该公司表示，他们正在努力让公司从网络攻击中恢复如初，并且预计未来与网络攻击相关的成本将会减少。 高乐氏董事长兼首席执行官Linda Rendle在一份 8-K 文件中表示：公司第二季度的业绩反映出高乐氏的网络攻击恢复计划执行的很得力。高乐氏正在提前重建零售商的库存，以便公司能尽快恢复商品销售和分销等工作。虽然要想恢复如初还有更多的工作要做，但不管面对多少挑战，公司都会尽最大努力去做，以推动顶线增长并重建利润率。 除了高乐氏以外，江森自控国际公司也在本周证实，其在去年 9 月遭遇的勒索软件攻击事件导致公司损失 2700 万美元，并且造成了公司数据泄露。 攻击与 Scattered Spider 有关 根据彭博社的报道，虽然高乐氏公司并未提供有关其攻击的更多细节，但据信这次攻击是由名为 Scattered Spider 的黑客组织实施的。 Scattered Spider 是一个由威胁行为者组成的民间组织，该组织中有不少人专门从事社会工程攻击，入侵公司网络。 同时，Scattered Spider 也是 BlackCat/ALPHV 勒索软件团伙的附属组织，但 BlackCat/ALPHV一般情况下只与母语为俄语的黑客合作，而Scattered Spider 中的大部分成员的母语为英语。 Scattered Spider 此前曾参与过多次网络攻击，包括米高梅、凯撒、DoorDash 和 Reddit 等。   转自Freebuf，原文链接：https://www.freebuf.com/news/391364.html 封面来源于网络，如有侵权请联系删除

研究人员发现了容器引擎组件中的四个漏洞，他们将其称为“Leaky Vessels”，其中三个漏洞为攻击者提供了突破容器并在底层主机系统上执行恶意操作的方法。 其中一个漏洞（编号为CVE-2024-21626）影响 runC（适用于 Docker 和其他容器环境的轻量级容器运行时）。它是四个漏洞中最紧急的一个，CVSS 评分标准的严重性评分为 8.6 分（满分 10 分）。 Snyk 的安全研究员 Rory McNamara（该公司发现了这些缺陷并将其报告给 Docker）表示，runC 漏洞可以在容器的构建时和运行时实现容器逃逸。 在最坏的情况下，未经授权访问底层主机操作系统的攻击者可能会访问同一主机上运行的任何其他内容，包括但不限于允许对手发起进一步攻击的关键凭据。 McNamara 警告说：“由于此漏洞会影响任何使用容器构建应用程序的人（基本上是全球所有云原生开发人员），未经检查的访问可能会损害整个 Docker 或 Kubernetes 主机系统。” Leaky Vessels 缺陷 其他三个漏洞影响 BuildKit，Docker 的默认容器镜像构建工具包。其中之一 ( CVE-2024-23651)涉及与运行时缓存层的安装方式相关的竞争条件。另一个 ( CVE-2024-23653 ) 影响 BuildKit 远程过程调用协议中的安全模型；第三个漏洞（CVE-2024-23652）是一个文件删除漏洞，也在 BuildKit 中。 在 1 月 31 日的博客文章中，安全供应商建议组织“检查提供容器运行时环境的任何供应商的更新，包括 Docker、Kubernetes 供应商、云容器服务和开源社区。” Snyk 指出，受影响的容器映像组件和构建工具的广泛使用是组织在提供商提供可用后立即升级到固定版本的原因。 其中两个 Docker BuildKit 漏洞（CVE-2024-23651 和 CVE-2024-23653）仅在构建时进行转义。“最后一个 Docker 漏洞 (CVE-2024-23652) 是任意主机文件删除，这意味着它不是典型的容器逃逸，”麦克纳马拉说。 一个日益严重的问题 容器漏洞给企业组织带来了一个日益严重的问题。Sysdig 去年进行的一项研究发现，生产中87% 的容器镜像中至少存在一个高严重性或严重性漏洞。该公司将高比例的漏洞归因于组织匆忙部署云应用程序而没有适当关注安全问题。Rezilion 在 2023 年的研究发现了数百个 Docker 容器映像，其中包含标准漏洞检测和软件组合分析工具无法检测到的漏洞。 这一趋势导致去年人们对集装箱安全的看法发生了变化。例如，D-Zone 的一项调查发现，只有 51% 的受访者表示容器化使他们的应用程序更加安全，而 2021 年这一比例为 69%。约 44% 的受访者表示容器化实际上降低了他们的应用程序环境的安全性，而这一数字仅为 7% 2021 年的百分比。 高访问要求 McNamara 表示，Snyk 发现的四个漏洞相对容易利用，并且通常涉及不到 30 行的 Dockerfile。然而，他说，访问要求很高。要利用这些缺陷，攻击者需要能够执行以下操作：在目标上运行任意容器；在目标上构建任意容器；或危害上游容器或导致受害系统使用受控上游容器。 McNamara 表示，这些缺陷并不是真正可以远程执行的，除非 Kubernetes 和类似受影响的环境可以通过网络访问。“但从真正的‘远程’利用的意义上来说，答案是否定的，”他说。“仍然需要充分访问该环境，使其在功能上是本地的。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293037 封面来源于网络，如有侵权请联系删除

据AT&T Cybersecurity 的研究显示，有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件，从而在受害者系统中安装 DarkGate 恶意软件。 据统计，攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求，攻击者会诱骗他们下载一个使用双扩展名的文件，文件名为 “Navigating Future Changes October 2023.pdf.msi”，这是 DarkGate 常用的伎俩。 安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器，Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。 由于在默认情况下，微软允许外部 Microsoft Teams 用户向其他用户发送消息，这才给了这种类型的网络钓鱼攻击可乘之机。 AT&T Cybersecurity 网络安全工程师Peter Boyle认为：除非日常的必要业务需使用，否则他建议大多数公司禁用 Microsoft Teams 中的外部访问，因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样，很可能不是那种典型的电子邮件钓鱼诈骗形式。 网络钓鱼群聊 Microsoft Teams 拥有数量庞大的 2.8 亿用户，是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点，通过 Microsoft Teams 推送恶意软件。 去年也出现过类似的活动，恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。 Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络，还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输，攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷， APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门，它利用这种方式攻击了全球数十个组织，包括政府机构。 DarkGate 恶意软件攻击激增 自去年 8 月 Qakbot 僵尸网络被捣毁后，网络犯罪分子更多地转向 DarkGate 恶意软件加载器，将其作为初始访问企业网络的首选。 而就在 Qakbot 僵尸网络被攻陷之前，有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称，它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。 在开发者发布消息后，就出现了越来越多的 DarkGate 攻击事件，网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/391138.html 封面来源于网络，如有侵权请联系删除

研究人员警告称，年收入超过 1 亿美元的墨西哥公司面临定期网络攻击的风险。 据BlackBerry 专家称，犯罪分子正在使用 AllaKore RAT 恶意软件窃取银行凭证和独特的身份验证信息。 以经济利益为目的的攻击已经持续了两年多，而且没有减弱的迹象。研究人员注意到攻击者对大公司的持续兴趣。 有证据表明 AllaKore RAT 通过鱼叉式网络钓鱼和路过式攻击进行分发，其中恶意代码会自动发送给受感染网站的访问者。 AllaKore RAT 是一款开源远程访问软件，此前曾被用于印度的间谍攻击。尽管很简单，但该恶意软件具有键盘记录、屏幕捕获、下载/上传文件，甚至远程控制受害者设备的功能。 攻击的目标受众不限于任何行业，两年来的黑客活动已经影响了零售、农业、公共部门、制造业、运输、商业服务、资本货物和银行部门的公司。 黑莓报告还提到，这种恶意活动可能与 FIN13 组织有联系，其动机是经济利益， Mandiant 研究人员在 2021 年底（即当前活动开始前后） 描述了这一点。   转自安全客，原文链接：https://www.anquanke.com/post/id/292941 封面来源于网络，如有侵权请联系删除

数字全球世界地图及勒索软件攻击技术研究发展分析发现了一种名为“FAUST”的 Phobos 勒索软件新变种，该变种令人担忧，因为它可以在网络环境中保持持久性，并创建多个线程以实现高效执行。 FortiGuard Labs 研究人员在 1 月 25 日的博客文章中表示，他们通过发现一份 Office 文档发现了这一点，该文档包含旨在传播 FAUST 勒索软件的 Visual Basic (VBA) 脚本。 研究人员表示，攻击者使用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。FortiGuard Labs 表示，当这些文件被注入系统内存时，它们会发起文件加密攻击。 FortiGuard 实验室研究人员表示，Phobos 勒索软件家族于 2019 年出现，此后参与了多次网络攻击。Phobos 勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。研究人员表示，他们已经捕获并报告了 Phobos 系列的多个勒索软件变体，包括 EKING 和 8Base。 StrikeReady 首席产品官 Anurga Gurtu 表示，Fortinet 对 Phobos 勒索软件 FAUST 变体的研究表明，它是一种复杂的威胁，特别是因为它的无文件攻击方法和持续嵌入网络的能力。 “虽然建议用户不要点击可疑链接是一种基本防御措施，但显然还需要采取更强有力的措施，”古尔图说。“企业应考虑先进的网络安全策略，包括定期软件更新、员工网络安全培训以及采用全面的安全系统来检测和减轻此类威胁。” Bambenek Consulting 总裁 John Bambenek 补充说，宏仍然是恶意软件传播的危险部分，因为 VBA 提供了许多公司用于日常应用程序的功能。 “应对这种威胁的最安全方法是完全禁用 Office 中的 VBA，”Bambenek 解释道。“但是，如果这不是一个选择，组织至少可以使用 Windows 防御攻击面减少来禁用 VBA 中的‘高风险’功能，例如阻止 Office 应用程序创建子进程或创建可执行内容。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292954 封面来源于网络，如有侵权请联系删除

中文用户已成为通过Telegram等消息应用程序传播的恶意 Google 广告的攻击目标。 Malwarebytes 在周四的一份报告中表示：“攻击者正在滥用 Google 广告商帐户来创建恶意广告，将毫无戒心的用户指向下载远程管理木马 (RAT) 的页面。” “此类程序使攻击者能够完全控制受害者的计算机，并能够删除其他恶意软件。” 该活动代号为FakeAPP ，是2023 年 10 月下旬针对在搜索引擎上搜索 WhatsApp 和 Telegram 等消息应用程序攻击浪潮的延续。 该活动的最新版本还将消息应用程序 LINE 添加到消息应用程序列表中，将用户重定向到 Google 文档或 Google 协作平台上托管的虚假网站。 Google 基础设施用于嵌入到攻击者控制下的其他站点的链接，以便提供最终部署PlugX和Gh0st RAT等木马的恶意安装程序文件。 Malwarebytes 表示，它追踪到欺诈性广告来自两个位于尼日利亚的广告商帐户，分别为Interactive Communication Team Limited和Ringier Media Bulgaria Limited 。 攻击者似乎通过不断推送新的有效负载和基础设施作为命令和控制（C2）服务器，优先考虑数量而非质量。 这一进展正值 Trustwave SpiderLabs 披露名为Greatness的网络钓鱼即服务 (PhaaS) 平台的使用激增之际，该平台用于创建针对 Microsoft 365 用户的看似合法的凭据收集页面。 该公司表示：“该工具包允许个性化发件人姓名、电子邮件地址、主题、消息、附件和二维码，从而增强相关性和参与度。”并补充说，它配备了反检测措施，例如随机标头、编码和混淆，旨在绕过垃圾邮件过滤器和安全系统。 Greatness 以每月 120 美元的价格出售给其他犯罪分子，有效降低了进入门槛，帮助他们进行大规模攻击。 攻击链需要发送带有恶意 HTML 附件的网络钓鱼电子邮件，当收件人打开这些附件时，会将其引导至虚假登录页面，该页面捕获输入的登录凭据，并通过 Telegram 将详细信息上传给攻击者。 其他感染序列利用附件在受害者的计算机上投放恶意软件，以促进信息盗窃。 为了增加攻击成功的可能性，电子邮件会欺骗银行和雇主等受信任的来源，并使用“紧急发票付款”或“需要紧急帐户验证”等主题引发错误的紧迫感。 Trustwave 表示：“目前受害者人数尚不清楚，但 Greatness 得到了广泛使用和良好支持，其自己的 Telegram 社区提供了有关如何操作该工具包的信息，以及其他提示和技巧。” 据观察，网络钓鱼攻击还利用冒充 Kakao 等科技公司的诱饵来攻击韩国公司，通过恶意 Windows 快捷方式 (LNK) 文件分发 AsyncRAT。 AhnLab 安全情报中心 (ASEC)表示：“伪装成合法文档的恶意快捷方式文件正在不断传播。” “用户可能会将快捷方式文件误认为是普通文档，因为‘.LNK’扩展名在文件名上不可见。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5cwfbe3hvy-rbocUExnCRg 封面来源于网络，如有侵权请联系删除

有消息称：谷歌刚刚修复了一个影响重要云服务的漏洞。此前研究人员发现，多家组织（包括一家上市公司）的系统容易受到该漏洞影响。 该问题影响了谷歌Kubernetes引擎（GKE），这是一种用于部署、扩展和管理应用程序“容器化”的系统。GKE是谷歌针对Kubernetes开源项目的商用服务，广泛用于医疗保健、教育、零售和金融服务，以及数据处理和人工智能与机器学习操作。 云安全厂商Orca Security的研究人员解释说，他们在GKE中发现了一个问题，“可以让攻击者使用任何有效的谷歌帐号，接管配置错误的Kubernetes集群，这可能导致严重的安全事件，如加密挖矿、拒绝服务和敏感数据窃取。” 该问题主要与权限有关，GKE允许用户使用任何有效的谷歌帐户访问系统。 Orca Security表示，“当管理员决定将某个组绑定到权限过大的角色时，会造成重大安全漏洞。”研究人员将此漏洞称为Sys:All。 Orca Security表示，经过扫描发现超过1300个集群可能遭到暴露，其中有100多个集群暴露程度极高，可以被广泛访问。 图：攻击者可借此获得大量敏感信息 他们指出，“Kubernetes将其托管的容器化应用程序，与各种不同类型的关键数据资产连接在一起，如数据库、代码存储库和其他第三方供应商，这使得它成为恶意行为者手中的毁灭性工具。” 容器化，是指开发人员将应用程序的代码与运行在任何计算基础设施上所需的一切（如文件和库）捆绑在一起，从而灵活地构建和部署软件。 客户资产大门洞开 Orca Security表示，至少有一个受影响的集群属于一家纳斯达克上市公司，暴露信息给黑客提供了访问AWS网络服务凭证的权限，得以更深入地访问该公司的系统和数据。研究人员说，恶意行为者“有可能访问这些系统，提取或操纵敏感数据，干扰服务，甚至更进一步进入网络。” Orca Security表示，他们向该公司报告了这个问题，并与之合作解决了这些漏洞，其中包括收紧权限、保护暴露的云储存桶等。 研究人员同时向其他多家易受漏洞影响的企业报告了这个问题，并指出，所有组织“应该始终在身份和访问领域追求细粒度，避免给不需要的实体赋予过多的访问权限。” Orca Security还向谷歌报告了这个问题。谷歌认识到问题的严重性，并“积极采取预防措施、发布客户通知，还将继续采取行动确保客户安全。” 一位谷歌发言人表示，他们与Orca Security合作解决该漏洞。发言人指出，谷歌还在上周发布了一份安全公告，“针对有限数量的受影响GKE用户，详细说明了他们应采取的步骤，以保护自己免受任何意外授权的伤害。” 谷歌还向一些客户直接发送了这份公告。 谷歌在1月19日发布的建议中说道，“我们已经确定了几个群集，用户已经授予Kubernetes权限给system:authenticated组，其中包括所有具有谷歌帐户的用户。我们不建议进行这些类型的绑定，因为它们违反了最小权限原则，向过多用户群体授予了访问权限。” Orca Security指出，谷歌认为这是“可以预期的问题”，因为最终这是一种用户可以预防的分配权限漏洞。客户有责任配置其访问控制。 研究人员认同谷歌的评估，即组织“有责任以没有安全风险和漏洞的方式部署资产和权限。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/0LZlgqK5QU2zbzfurvdVbA 封面来源于网络，如有侵权请联系删除