The Hacker News 网站消息，Ruhr University Bochum 的安全研究人员在 SSH 加密网络协议中发现一个新安全漏洞，黑客能够利用漏洞破坏安全通道的完整性，从而降低 SSH 连接的安全性。 SSH 协议依靠加密技术验证和加密设备之间的连接，这一过程主要通过握手实现。握手过程中，客户端和服务器就加密原语达成一致，并交换建立安全通道所需的密钥，从而确保传输信息的保密性、完整性和安全性。 安全漏洞被称为 Terrapin（CVE-2023-48795，CVSS 得分：5.9），研究人员称其是有史以来第一个可实际针对 SSH 协议的前缀截断攻击。 研究人员 Fabian Bäumer、Marcus Brinkmann 和 Jörg Schwenk 指出，当使用 SSH 扩展协商时，处于主动中间对手（AitM）位置并有能力在 TCP/IP 层拦截和修改连接流量的威胁攻击者能够降低 SSH 连接的安全性。 黑客通过在握手过程中”精心“调整序列号，便能够在安全通道开始时删除客户端或服务器发送的任意数量的信息，整个过程客户端或服务器都不会察觉，研究人员进一步解释称，黑客还可以通过截断誊本中的扩展协商消息（RFC8308）来降低连接的安全性。（截断会使 OpenSSH 9.5 中针对击键计时攻击的特定对策失效） 从目前披露的消息来看，Terrapin 漏洞影响包括 OpenSSH、Paramiko、PuTTY、KiTTY、WinSCP、libssh、libssh2、AsyncSSH、FileZilla 和 Dropbear 等在内的许多 SSH 客户端和服务器。值得一提的是，黑客能够完成攻击活动的关键前提是被攻击目标使用易受攻击的加密模式，例如 ChaCha20-Poly1305 或 CBC with Encrypt-then-MAC 等。 Qualys 还表示在现实世界中，黑客可以利用这一漏洞截获敏感数据，或使用管理员权限控制关键系统，对于拥有大型互联网络并提供权限数据访问的企业来说，这种风险尤为突出。 最后，JFrog 公司安全研究部高级安全研究员 Yair Mizrahi 指出，由于 SSH 服务器，尤其是 OpenSSH 在整个基于云的企业应用环境中使用非常广泛，因此企业必须确保已采取适当措施为服务器打补丁，以避免遭受更大的网络攻击。此外，Mizrahi 特别强调，连接到修补服务器的易受攻击的客户端仍然会导致连接易受攻击。因此，企业还必须采取措施，识别其整个基础设施中的每一个易受攻击的漏洞，并立即采取缓解措施。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388549.html 封面来源于网络，如有侵权请联系删除

总部位于以色列的网络安全事件响应公司 Security Joes 报道，一种新的 DLL 搜索顺序劫持技术允许黑客在 Windows WinSxS 文件夹内的应用程序中加载并执行恶意代码。 通常，DLL 搜索顺序劫持不会滥用指定所需库或文件的完整路径，而是依赖预定义搜索顺序来定位它的应用程序。 黑客将恶意 DLL 放置在按搜索顺序优先的文件夹中（通常位于应用程序的工作目录中），以便在应用程序所需的合法库之前加载它。在某些情况下，黑客还会删除合法但易受攻击的应用程序，以使用恶意 DLL 加载。 “操纵这个加载过程可以让黑客在受信任进程的内存空间中注入和执行未经授权的代码，从而有效地欺骗安全工具和分析师。”Security Joes 解释道。 该公司称，黑恶可以故意瞄准 WinSxS 文件夹中的文件，使他们的攻击更加隐蔽，同时无需删除额外的二进制文件或获得在 Windows 文件夹中的应用程序中执行代码的高权限。 WinSxS（Windows Side by Side）文件夹存储重要系统文件的各种版本，包括 DLL，确保应用程序兼容性和系统完整性，并方便激活或停用 Windows 功能，而无需额外安装。 “实际上，在安装 Windows 组件、更新或软件应用程序期间，文件会系统地存储在 WinSxS 目录中。该目录充当系统文件（尤其是 DLL）的集中存储库。”Security Joes 解释道。 针对 WinSxS 应用程序的 DLL 搜索顺序劫持的执行流程 作为其研究的一部分，该网络安全公司首先在 WinSxS 文件夹中发现了一个存在漏洞的二进制文件，然后在搜索系统文件时滥用 Windows 的行为，以确保该二进制文件使用 DLL 加载放置在桌面上自定义文件夹中的精心设计的 DLL搜索顺序劫持。 “除了自定义 DLL 之外，我们还开发了一个可执行文件，其唯一目的是执行 WinSxS 文件夹中的所有其他二进制文件并监视它们的操作。该可执行文件旨在识别 WinSxS 文件夹中存在的易受攻击的文件。”该公司表示。 该公司发现，WinSxS 文件夹中的一些二进制文件正在自定义桌面文件夹中搜索 DLL，这表明如果要重命名该库以匹配可执行文件正在搜索的预期 DLL 文件，它们将加载精心设计的库。 据 Security Joes 称，攻击者可以从使用自定义文件夹作为工作目录的 shell 启动命令，而无需将易受攻击的二进制文件移至 WinSxS 文件夹之外。 “此操作将导致目标二进制文件执行我们的 DLL，因为它只会将其定位在我们的目录中。这凸显了我们实现的强大功能，只需要注入命令行和 DLL。”Security Joes 指出。 通过依赖位于 WinSxS 中的易受攻击的可执行文件，该技术改进并简化了依赖 DLL 搜索顺序劫持的感染链，因为它消除了删除易受攻击的应用程序的需要。 此外，该网络安全公司指出，该技术可用于针对 Windows 10 和 11 系统。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XIMkRT0TV2LUqmvVv1BvpA 封面来源于网络，如有侵权请联系删除

高通公司在元旦披露了一个严重漏洞，该漏洞允许通过 LTE 网络上的恶意语音通话进行远程攻击。 2024 年1月的安全公告共列出了影响高通芯片组的 26 个漏洞，其中包括 4 个高危漏洞。补丁已经提供给使用高通芯片（包括流行的 Snapdragon 系列芯片）的原始设备制造商 (OEM)。 高通公司的高危漏洞在通过 LTE 接听电话时会带来风险 据高通称，最严重的漏洞编号为CVE-2023-33025，CVSS 评分为 9.8。此漏洞涉及一个典型的缓冲区溢出缺陷，导致数据调制解调器中的内存损坏，当会话描述协议 (SDP) 主体不标准时，在 LTE 语音 (VoLTE) 呼叫期间会发生这种情况。 SDP 通常通过以标准化格式提供某些会话、媒体、定时和网络信息来帮助促进两个设备之间的连接以进行通信会话，例如 VoLTE 呼叫。如果黑客可以使用自己的内容操纵 SDP 主体并发起调用，其中恶意 SDP 由接收设备的数据调制解调器处理，则黑客可以利用调制解调器中的内存损坏进行远程代码执行 (RCE)。 高通发言人表示，这种利用虽然可能，但很难实现，因为黑客需要控制 LTE 网络本身才能进行攻击。因此，建议用户仅连接到安全、可信的 LTE 网络。 CVE-2023-33025 影响两大高通芯片组，包括 Snapdragon 680 和 Snapdragon 685 4G 移动平台。这些芯片用于一系列智能手机和平板电脑，包括三星 Galaxy、摩托罗拉 Moto 以及华为 Enjoy 和 Nova 产品系列中的型号。较新的 Snapdragon X65 5G 调制解调器和 Snapdragon X70 调制解调器射频系统也受到影响。 OEM 于 2023 年 7 月 7 日首次收到有关该缺陷的通知。 高通发言人表示，CVE-2023-33025 将包含在周二的 2024 年 1 月Android 安全公告中。 其他严重错误可能导致永久性 DoS、本地攻击 三个本地访问漏洞也被标记为高危，其中一个可能导致永久性 DoS，另外两个会导致内存损坏。 CVE-2023-33036被 Qualcomm 授予关键安全评级，CVSS 评分高达 7.1，由于 NULL 指针取消引用，导致虚拟机管理程序软件永久中断。当不支持电源状态协调接口 (PSCI) 的不受信任虚拟机进行 PSCI 调用（即与电源管理相关的请求）时，就会出现此问题。该漏洞影响了 100 多个芯片组，其中包括 Snapdragon 系列中的许多芯片组。 CVE-2023-33030（CVSS 得分为 9.3）是另一个缓冲区溢出错误，在运行 Microsoft PlayReady 用例（即播放受 PlayReady 保护的媒体文件）时，会导致高级操作系统 (HLOS) 内存损坏。防复制技术）。此漏洞影响 200 多个芯片组，从智能手机和计算机芯片到可穿戴设备和其他物联网设备中使用的芯片组。 CVE-2023-33032 的CVSS 分数也为 9.3，是一个整数溢出或环绕缺陷。当从可信应用程序 (TA) 区域请求内存分配时，ARM TrustZone 安全操作系统中可能会发生内存损坏。该缺陷影响超过 100 个高通芯片组。 客户于 2023 年 7 月 3 日收到有关所有这些严重缺陷的通知，所有错误均通过高通提供的软件补丁得到解决。该公司建议包含受影响芯片的设备的用户联系设备制造商以获取有关修补状态的信息并应用所有可用的更新。 转自安全客，原文链接：https://www.anquanke.com/post/id/292335 封面来源于网络，如有侵权请联系删除

网络安全公司 Palo Alto Networks 报告称，有权访问 Kubernetes 集群的黑客可以串联 Google Kubernetes Engine (GKE) 中的两个漏洞来提升权限并接管集群。 这些问题本身可能不会构成重大风险，但已在 FluentBit（GKE 中的默认日志记录代理）和 Anthos Service Mesh (ASM)（用于控制服务间通信的可选插件）环境中发现。 FluentBit 是一种轻量级日志处理器和转发器，自 2023 年 3 月以来一直是 GKE 中的默认日志记录代理，从一开始就被部署为 DaemonSet（控制器）。ASM是Google对Istio Service Mesh开源项目的实现，用于服务的管理和可视化。 Palo Alto Networks 表示，最近在 FluentBit 和 ASM 中发现的漏洞可以作为第二阶段攻击的一部分被利用，前提是黑客已经在 FluentBit 容器中实现了远程代码执行，或者他们可以突破另一个容器。 “如果黑客有能力在 FluentBit 容器中执行并且集群安装了 ASM，他们就可以创建一个强大的链来完全控制 Kubernetes 集群。黑客可以利用此访问权限进行数据盗窃、部署恶意 Pod 并破坏集群的运行。” Palo Alto Networks 解释道。 FluentBit 中的错误配置可能允许黑客使用节点中任何 pod 的令牌来冒充该 pod，获得对集群的未经授权的访问，并列出所有正在运行的 pod。 “除了获得对集群的未经授权的访问之外，黑客还可以升级他们的权限或执行有害的操作。事实上，这为黑客提供了巨大的攻击面，具体取决于节点中相邻 Pod 的权限。”Palo Alto Networks 表示。 此外，网络安全公司发现，安装后，ASM 的容器网络接口 (CNI) DaemonSet 保留过多的权限，允许黑客使用这些权限创建新的 pod，并获得对集群的特权访问。 通过利用FluentBit问题，黑客可以映射集群以找到Istio容器，并滥用ASM CNI DaemonSet的过多权限来创建“强大”的pod，瞄准具有高权限的服务帐户，并获得充当集群管理员的权限。 12 月 14 日，谷歌宣布针对这两个问题发布补丁，敦促用户手动更新集群和节点池。GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000，以及 ASM 版本 1.17.8-asm.8、1.18.6- asm.2 和 1.19.5-asm.4 解决了这些错误。 “这些漏洞在 GKE 中无法单独利用，需要进行初步妥协。我们不知道有任何利用这些漏洞的实例，”谷歌在其公告中指出。 转自安全客，原文链接：https://www.anquanke.com/post/id/292303 封面来源于网络，如有侵权请联系删除

2024 年前夕发生的大规模加密货币盗窃事件正在引起加密社区的恐慌。 身份不明的黑客入侵了 Orbit Bridge（Orbit Chain 协议的跨链桥接服务），在新年前三个小时窃取了总计 近8200 万美元的资金。 在 X 上 12 月 31 日的帖子中，假名用户 Kgjr 强调了该漏洞可能被利用的情况，指出 Orbit Chain Bridge 协议出现大量资金外流。中央情报局在线调查员和区块链安全公司 Cyvers 也发布了类似信息 。 根据区块链分析平台 Arkham Intelligence 的数据，黑客总共窃取了 8168 万美元。 在五笔单独的交易中，3000 万美元的 Tether ( USDT )、1000 万美元的美元硬币 (USDC)、9,500 以太币 (ETH)、231 个 Wrapped 比特币 (WBTC) 和 1000 万美元的算法稳定币 DAI 被转移到新钱包中。 在 X 最近的一条推文中，Orbit Chain 证实了其协议被攻击，并称其为对桥的“身份不明的访问”。该公司指出，它正在积极与执法机构合作，以确定黑客的身份，并对攻击的根本原因进行深入分析。 Orbit Chain 协议应该与 Klaytn (KLAY) 网络（一个模块化的第 1 层区块链）有紧密的联系。根据 Block Explorer数据 ，Klaytn 网络上总市值最大的 8 个资产都是 Orbit Bridge 上的打包资产。 Orbit Chain 于 2018 年在韩国推出，是一个多资产区块链，主要专注于不同去中心化网络之间的跨链传输。它通常用于在 EVM 兼容网络和 Klaytn 之间转移资产。 值得注意的是，尽管名称相似，Orbit Chain 是一个独立的实体，与 Orbiter Finance 跨链桥协议无关。 该漏洞的性质尚不清楚。 转自安全客，原文链接：https://www.anquanke.com/post/id/292297 封面来源于网络，如有侵权请联系删除

广泛用于企业资源规划 ( ERP )的Apache OfBiz系统 中发现了一个严重的 0day 漏洞。它允许黑客绕过身份验证系统，并使许多企业面临网络攻击的风险。  SonicWall 研究团队发现了一个 名为 CVE-2023-51467的漏洞 。该问题与登录功能有关，是由于对先前的关键漏洞CVE-2023-49070 的修复不完整造成的 ，该修复已于本月早些时候发布。  CVE-2023-49070 是一个未经身份验证的远程代码执行漏洞。它影响 12.18.10 之前的版本，并可能导致服务器完全控制和机密数据被盗。该问题是由 Apache OFBiz 中已弃用的 XML-RPC 组件引起的。  CVE-2023-51467 由 HTTP 请求中的空或无效的 USERNAME 和 PASSWORD 参数触发，导致身份验证成功消息。这使得黑客能够访问内部资源。  该攻击依赖于 URL 中设置为“Y”（是）的“requirePasswordChange”参数，这使得无论提供的用户和密码信息是否正确，都可以绕过身份验证。  美国国家漏洞数据库 ( NVD ) 指出，该漏洞允许绕过身份验证并导致服务器端请求伪造 ( SSRF ) 漏洞，并强烈建议 Apache OFbiz 用户更新到 18.12.11 版本或更高版本，以减少潜在威胁。 转自安全客，原文链接：https://www.anquanke.com/post/id/292261 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Apache OfBiz 是一种开源企业资源规划（ERP）系统。最近发现 Apache OfBiz 存在一种新的零日安全漏洞，这个漏洞可能允许黑客绕过身份验证保护。 该漏洞被标记为 CVE-2023-51467，位于系统的登录功能中，其出现源于对本月初发布的另一个关键漏洞（CVE-2023-49070, CVSS评分：9.8）补丁的不完全修复。 发现这个漏洞的 SonicWall Capture Labs 威胁研究团队在与 The Hacker News 分享的声明中说道，“对 CVE-2023-49070 的修补并未从根本上解决问题，导致身份验证绕过的问题依旧存在。”   CVE-2023-49070 是指一个存在于 Apache OFBiz 18.12.10 及更早版本的预认证远程代码执行漏洞。这个漏洞被利用后，黑客可能完全控制受影响的服务器并访问敏感数据。这是由于 Apache OFBiz 中已弃用的 XML-RPC 组件引起的。 根据 SonicWall 的说法，CVE-2023-51467 可以通过在 HTTP 请求中使用空的或无效的 USERNAME 和 PASSWORD 参数来触发，从而返回一个认证成功消息，有效地绕过保护，使黑客能够访问原本未授权的内部资源。 该攻击取决于 URL 中的参数“requirePasswordChange”被设置为“Y”（即“是”），导致无论在用户名和密码字段中传递了什么值，身份验证都会被轻易绕过。 NIST 国家漏洞数据库（NVD）表示：“这个漏洞允许黑客绕过身份验证，从而实现一个简单的服务器端请求伪造（SSRF）。” 使用 Apache OFbiz 的用户应尽快更新到 18.12.11 版本或更高版本，以避免任何潜在的威胁。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基实验室最近的一项研究发现，自 2022 年 6 月以来，攻击者一直在积极利用Windows CLFS 驱动程序中的一系列漏洞，作为复杂黑客攻击的一部分。总共在五个不同的 CLFS 驱动程序中发现了漏洞，包括 CVE-2022-24521 、 CVE-2022-37969 、 CVE-2023-23376 和 CVE-2023-28252 。 CLFS 自 Windows Server 2003 R2 和 Windows Vista 开始使用，是一种在操作系统内核级别运行的复杂日志机制。该系统的关键要素是基本日志文件（BLF），其中包含大量元数据。 在研究过程中，卡巴斯基实验室专家发现了 BLF 文件格式的严重缺陷。它们由内核内存结构组成，包括内存指针，这增加了漏洞的风险。自2018年以来，已有30多个类似的CLFS漏洞被修复，证实这是一个真正的安全威胁。 对 BLF 格式的详细研究表明，此类文件由存储在块中的记录组成。这些块具有复杂的结构，包括标头和偏移数组。 尽管 CLFS 已针对最佳性能进行了优化，但其复杂性和遗留代码是导致漏洞的因素。块内偏移错误可能会导致严重后果，包括攻击者的权限升级。 该研究强调了仔细设计和维护安全系统的重要性，尤其是关键操作系统组件。关于 CLFS 安全性的问题需要进一步关注，并且可能需要彻底重新思考数据保护方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/292135 封面来源于网络，如有侵权请联系删除

变色龙安卓银行木马最近重出江湖并发布了最新的版本，它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能，以窃取设备的 PIN 码。但不得不说，确实可以实现窃取 Android 手机PIN码。 它通过使用 HTML 页面的技巧来获取访问辅助服务的权限，并采用一种干扰生物识别操作的方法，来窃取 PIN 码并随意解锁设备。今年四月份发现的变色龙早期版本冒充澳大利亚政府机构、银行以及 CoinSpot 加密货币交易所，对被感染的设备进行键盘记录、覆盖注入、窃取 Cookie 和短信。 ThreatFabric 的研究人员一直在跟踪这款恶意软件，他们报告称，目前该恶意软件通过伪装成 Google Chrome 的 Zombinder 服务进行分发。Zombinder 将恶意软件“粘贴”到合法的安卓应用程序上，这样受害者就可以享受他们原本意图安装的应用程序的全部功能，从而降低了他们怀疑后台运行危险代码的可能性。 该平台声称其恶意软件捆绑包在运行时无法被检测到，可以绕过 Google Protect 的警报，并规避在被感染设备上运行的任何杀毒产品。 伪装成Google Chrome的携带变色龙恶意软件的APK文件（ThreatFabric） 新版变色龙特性 最新变色龙变体的首个新特性是能够在运行 Android 13 及更高版本的设备上显示 HTML 页面，提示受害者授予应用程序使用辅助服务的权限。 Android 13及更高版本受到一项名为“受限设置”的安全特性的保护，该特性可以阻止危险权限的批准，如辅助功能权限，恶意软件可以利用该权限窃取屏幕内容、授予自身额外权限和执行导航手势。 当变色龙检测到设备运行的是Android 13或14时，它会加载一个HTML页面，指导用户手动过程以启用应用的辅助功能，从而绕过系统的保护。 变色龙的HTML页面提示（ThreatFabric） 第二个值得注意的新特性是能够通过使用辅助服务强制设备回退到 PIN 码或密码认证，从而中断设备上的生物识别操作，如指纹解锁和面部解锁。该恶意软件会捕获受害者输入的任何 PIN 码和密码以解锁他们的设备，并且稍后可以随意使用这些凭据来解锁设备，以便在不被发现的情况下执行恶意活动。 Java代码片段干扰Android上的生物识别服务（ThreatFabric） ThreatFabric 报告称，变色龙通过 AlarmManager API 增加了任务调度功能，以管理活动周期并定义活动类型。根据辅助功能是否启用，恶意软件会适应性地发起覆盖攻击或执行应用使用数据收集，以决定注入的最佳时机。 ThreatFabric 警告说：“这些增强功能提升了新变色龙变种的复杂性和适应性，使其成为不断变化的移动银行木马威胁环境中更为强大的威胁。” 为了防范变色龙威胁，应该避免从非官方渠道下载 APK（Android 安装包），因为这是 Zombinder 服务的主要分发方式。此外，请确保 Play Protect 始终处于启用状态，并定期运行扫描，以确保设备没有恶意软件和广告软件。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387465.html 封面来源于网络，如有侵权请联系删除

ESET 已修补 CVE-2023-5594，这是一个高危漏洞，可能导致浏览器信任不应信任的网站。 ESET 已为其多个端点和服务器安全产品发布了补丁，以解决一个高危漏洞，该漏洞可能被利用导致 Web 浏览器信任不应信任的网站。 该漏洞编号为 CVE-2023-5594，影响了 ESET 产品中的 SSL/TLS 协议扫描功能。它可能导致浏览器信任使用过时且不安全的算法签名的证书的网站。 “安全流量扫描功能中的漏洞是由于服务器证书链验证不当造成的，”ESET 在其通报中解释道。 它补充说，“使用 MD5 或 SHA1 算法签名的中间证书被认为是可信的，因此启用了 ESET 安全流量扫描功能的系统上的浏览器可能会信任使用此类证书保护的网站。” 受影响的 ESET 产品列表包括 NOD32 Antivirus、Internet Security、Smart Security Premium、Security Ultimate、Endpoint Antivirus、Endpoint Security、Server Security、Mail Security、Security for Microsoft SharePoint Server 和 File Security for Microsoft Azure。 自 11 月 21 日起，补丁已通过自动产品更新推出 – 无需用户交互即可安装修复程序。 一位希望保持匿名的个人向 ESET 报告了该漏洞。该网络安全公司表示，尚未发现任何利用此漏洞的黑客。 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除