Zyxel在其网络附加存储 ( NAS )设备中发现了多个严重漏洞，其中包括三个关键漏洞，这些漏洞可能允许未经身份验证的攻击者在受影响的设备上执行任意命令 。 合勤科技的 NAS 系统用于网络上的集中数据存储，旨在处理大量信息。它们提供备份、媒体流和共享选项定制等功能。 典型的合勤科技 NAS 用户包括寻求数据管理、远程和协作解决方案的中小型企业。除了企业领域之外，一些处理大文件的 IT 专业人士、摄像师和数字艺术家也需要 NAS。 在 11 月 30 日发布的安全公告 中，制造商警告以下漏洞影响固件版本 5.21(AAZF.14)C0 及更早版本的 NAS326 设备以及固件版本 5.21(ABAG.11)C0 及更早版本的 NAS542 设备： CVE-2023-35137 ： Zyxel NAS 设备身份验证模块中的漏洞允许未经身份验证的攻击者通过特制 URL 获取系统信息（CVSS评分7.5）； CVE-2023-35138 ：Zyxel NAS 设备的“show_zysync_server_contents”函数中的命令注入漏洞允许未经身份验证的攻击者通过特制的 HTTP POST 请求执行操作系统命令（CVSS 评分 9.8）； CVE-2023-37927 ：Zyxel NAS 设备的 CGI 程序中存在漏洞，允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）； CVE-2023-37928 ：Zyxel NAS 设备的 WSGI 服务器中的身份验证后命令注入漏洞允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）； CVE-2023-4473 ：Zyxel NAS 设备的 Web 服务器中存在命令注入漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）； CVE-2023-4474 ：Zyxel NAS 设备的 WSGI 服务器中存在漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）。 攻击者可以利用上述漏洞获得未经授权的访问、执行操作系统命令、获取敏感系统信息或完全控制受影响的 Zyxel NAS 设备。 为了解决这些风险，建议NAS326用户升级到V5.21(AAZF.15)C0或更高版本。NAS542用户应将固件更新至V5.21(ABAG.12)C0或更高版本以解决上述安全漏洞。 制造商尚未提供缓解或解决方法建议，建议将固件更新作为主要保护措施。   转自安全客，原文链接：https://www.anquanke.com/post/id/291628 封面来源于网络，如有侵权请联系删除

来自不同供应商（包括英特尔、宏碁和联想）的数百种消费级和企业级 x86 和 ARM 型号可能容易受到 Bootkit 和接管的影响。 研究人员发现了“LogoFAIL”，这是PC统一可扩展固件接口 (UEFI) 生态系统中存在的一组关键漏洞。 利用这些漏洞会使基本的端点安全措施失效，并使攻击者能够对受影响的系统进行深度控制。 根据将于下周在伦敦举办的 Black Hat Europe 上正式发布的 Binarly Research 报告，这些缺陷源自启动过程中的图像解析库，影响了 x86 和基于 ARM 设备的所有主要设备制造商。 研究人员警告说，LogoFAIL 的广泛影响加剧了其严重性，并指出它影响整个生态系统，而不仅仅是个别供应商。这些发现是通过 CERT/CC VINCE 系统报告的，预计供应商补丁计划于 12 月 6 日发布，与题为“ LogoFAIL：系统期间图像解析的安全影响”的黑帽演讲同时进行。 使用LogoFAIL劫持启动过程 Binarly 研究人员发现，通过在 EFI 系统分区 (ESP) 或未签名的固件更新部分嵌入受损映像，威胁参与者可以在启动期间执行恶意代码，从而劫持启动过程。 这种利用绕过了安全启动和英特尔启动防护等关键安全措施，有助于插入在操作系统级别下运行的持久固件启动套件。 Binarly 首席执行官兼创始人 Alex Matrosov 解释道：“由于攻击者正在将特权代码执行权写入固件，因此它在设计上绕过了安全边界，就像安全启动一样。” “英特尔 Boot Guard 和其他可信启动技术不会在运行时扩展，并且在验证固件后，它只是在系统启动流程中进一步启动。” 他说，Binarly 研究团队最初是在实验室的一台联想设备上尝试修改徽标。 “有一天，它在显示启动徽标后突然开始重新启动，”他说。“我们意识到问题的根本原因是原始标志的改变，这导致了更深入的调查。” 他补充道，“在这种情况下，我们正在处理修改后的启动徽标图像的持续利用，在运行时触发有效负载交付，其中所有完整性和安全性测量都在加载固件组件之前进行。” 这并不是第一次发现安全启动绕过；2022 年 11 月，五款 Acer 笔记本电脑型号中发现固件缺陷，可用于禁用安全启动并允许恶意攻击者加载恶意软件；BlackLotus或BootHole威胁之前已经为引导进程劫持打开了大门。然而，Matrosov 表示，LogoFAIL 与之前的威胁不同，因为它不会通过修改引导加载程序或固件组件来破坏运行时完整性。 事实上，他说 LogoFAIL 是一种纯数据攻击，当恶意输入来自固件映像或在系统启动过程中从 ESP 分区读取徽标时就会发生-因此很难检测到。 “这种使用 ESP 攻击向量的方法在固件本身内部留下了零证据，因为该徽标来自外部来源，”他解释道。 大多数 PC 生态系统都很脆弱 配备来自三个主要独立 BIOS 供应商 (IBV) Insyde、AMI 和 Phoenix 的固件的设备很容易受到影响，这表明不同硬件类型和架构之间存在潜在影响。Matrosov 表示，这三者合计覆盖了 BIOS 生态系统的 95%。 事实上，Matrosov 表示，LogoFAIL 影响“全球大多数设备”，包括来自不同供应商的消费级和企业级 PC，包括宏碁、技嘉、惠普、英特尔、联想、微星、三星、超微、富士通和“许多其他供应商”。 “受影响设备的确切列表仍在确定中，但值得注意的是，所有三个主要 IBV（AMI、Insyde 和 Phoenix）都受到与图像解析器相关的多个安全问题的影响，这些安全问题是作为固件的一部分提供的”，Binarly 报告警告说。“我们估计 LogoFAIL 会以某种方式影响这些供应商提供的几乎所有设备。” Phoenix Technologies 本周发布了一份早期安全通知（现已删除，但可作为缓存使用，直到 12 月 6 日恢复），详细说明该错误 (CVE-2023-5058) 存在于低于 1.0 的所有版本中.5 的 Phoenix SecureCore Technology 4，这是一种 BIOS 固件，可为各种设备提供高级安全功能。 通知称，“该缺陷存在于系统启动期间处理用户提供的启动屏幕中，可以被对设备进行物理访问的攻击者利用”，并指出有更新版本可用。“通过提供恶意启动屏幕，攻击者可以引发拒绝服务攻击或在 UEFI DXE 阶段执行任意代码，绕过安全启动机制并损害系统完整性。” LogoFAIL 还被 Insyde 跟踪为 CVE-2023-40238，并被 AMI 跟踪为 CVE-2023-39539 和 CVE-2023-39538。 Matrosov 表示，该公司正在与多家设备供应商积极合作，协调整个领域的披露和缓解工作。 固件更新是最大限度降低风险的关键 为了最大限度地降低固件风险，用户应及时了解制造商的建议并及时应用固件更新，因为它们通常可以解决关键的安全缺陷。 此外，审查供应商也是必须的。Matrosov 补充道：“对您每天依赖的个人设备或跨企业基础设施的设备供应商要挑剔。” “不要盲目信任供应商，而是验证供应商的安全承诺，并找出设备库存及其他方面的差距。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291618 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发布的一篇论文给“百模大战”的生成式人工智能开发热潮浇了一盆冷水。研究发现，黑客可利用新的数据提取攻击方法从当今主流的大语言模型（包括开源和封闭，对齐和未对齐模型）中大规模提取训练数据。 论文指出，当前绝大多数大语言模型的记忆（训练数据）可被恢复，无论该模型是否进行了所谓的“对齐”。黑客可以通过查询模型来有效提取训练数据，甚至无需事先了解训练数据集。 研究者展示了如何从Pythia或GPT-Neo等开源语言模型、LLaMA或Falcon等主流半开放模型以及ChatGPT等封闭模型中提取数以GB计的训练数据。 研究者指出，已有技术足以攻击未对齐的模型，对于已经对齐的ChatGPT，研究者开发了一种新的发散数据提取攻击，该攻击会导致大语言模型改变聊天机器人的内容生成方式，以比正常行为高150倍的速率疯狂输出训练数据（下图）： 图1:发散攻击导致对齐后的chatGPT以150倍的速度输出训练数据 研究者表示：发散数据提取攻击方法在实际攻击中可恢复的训练数据大大超出了事前的预期，同时也证明当前的大语言模型对齐技术并不能真正消除记忆。 研究者利用偏差攻击提取训练数据中的隐私信息 据研究者介绍，大型语言模型（LLMs）会从其训练数据集中记忆样本，可被攻击者利用提取隐私信息（上图）。先前的安全研究工作已经对开源模型记忆的训练数据总量进行了大规模研究，并且通过手动标注示记忆和非记忆样本，开发并验证了针对（相对）小型模型如GPT-2的训练数据提取攻击。 在最新发布的论文中，研究者将“成员推断攻击”（用于确定数据样本是否训练数据）和数据提取攻击两种方法统一起来，对语言模型中的“可提取记忆”进行了大规模研究。 研究者开发了一种可扩展方法，通过与TB级数据集比对，检测模型输出的数万亿个token的记忆内容，并对流行的开源模型（例如Pythia，GPT-Neo）和半开源模型（例如LLaMA，Falcon）进行了分析。研究者发现，无论开源还是闭源的大语言模型都无法避免新的数据提取攻击，而且参数和Tokens规模更大、性能更强劲的模型更容易受到数据提取攻击： 九个开源大语言模型测试结果 九个半开源（训练算法和训练数据不公开）大语言模型的测试结果 研究者发现，“对齐模型”也不能避免新的数据提取攻击。例如，gpt-3.5-turbo对常规数据提取攻击免疫，看上去似乎成功“忘记了”训练数据。研究者推测是因为ChatGPT已经通过RLHF进行了对齐，目的是使其成为“安全高效”的，可推向市场（生产环境）的个人聊天助手。 但研究者开发了新的提示策略（仅适用于GPT3.5turbo），成功绕过了gpt-3.5-turbo的对齐技术，使其“偏离”预设的聊天机器人风格，表现得像一个基础语言模型，以典型的web文本格式大量输出文本。 为了检查这些输出的文本是否是此前从互联网上采集的训练数据，研究者将几个公开可用的大型网络训练数据集合并成一个9TB大小的数据集。通过与这个数据集匹配，研究者以200美元的查询成本从ChatGPT对话中恢复了一万多个训练数据集样本。研究者粗略估计，通过更多的查询可以提取超过10倍的（训练）数据。 研究者在论文中透露，在7月11日发现该漏洞后，通知了包括OPT、Falcon、Mistral和LLaMA等模型开发者，并在8月30日向OpenAI披露了其漏洞，并根据90天漏洞披露规则，于11月30日发布论文，希望能唤起业界对大语言模型数据安全和对齐挑战的关注。 最后，研究者警告大语言模型应用开发者，渗透测试结果表明现有的大语言模型安全措施（模型对齐和内容记忆测试）难以发现大语言模型的隐私漏洞，更不用说那些隐藏在模型算法代码中的“休眠漏洞”。如果没有极端的安全措施，现阶段不应训练和部署涉及隐私和敏感信息的大模型应用（编者：例如医疗、法律、工程）。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/lmvVLEK9D4q32Q4WwpniiQ 封面来源于网络，如有侵权请联系删除

谷歌周二宣布了一项安全更新，解决了 Chrome 浏览器中的 oday 漏洞。  这个高严重性问题被追踪为 CVE-2023-6345，被描述为 Skia 中的整数溢出错误。Skia 是一个开源 2D 图形库，在 Chrome、Firefox 和其他浏览器中充当图形引擎。  这家互联网巨头在其公告中指出，“谷歌意识到 CVE-2023-6345 的漏洞存在”，但没有提供有关所观察到的漏洞利用的具体细节。  然而，该公司表示，该漏洞是由 Google 威胁分析小组 (TAG) 的 Benoît Sevens 和 Clément Lecigne 报告的，这表明该漏洞可能被间谍软件供应商利用。  在过去的几个月里，Google TAG 研究人员发现了商业监控软件供应商利用的其他几个零日漏洞，包括CVE-2023-5217，Chrome 中的堆缓冲区溢出，已于 9 月底修复。  最新的 Chrome 更新还修复了其他五个高严重性漏洞，包括 Mojo、WebAudio 和 libavif 中的三个释放后使用问题、拼写检查中的类型混淆错误以及 libavif 中的越界内存访问缺陷。  谷歌表示，已向报告研究人员发放了 55,000 美元的奖金，其中最高奖金（31,000 美元）授予了 360 漏洞研究所的 Leecraso 和Guang Kong，原因是 Mojo 漏洞（CVE-2023-6347）。  根据该公司的政策，对于 Google Project Zero 和 Google TAG 研究人员报告的拼写检查和 Skia 缺陷，不会发放任何错误赏金奖励。CVE-2023-6345 是继CVE-2023-5217、CVE-2023-4762、CVE-2023-4863、CVE-2023-3079、CVE-2023-2033和CVE- 2023-2136。  谷歌在 9 月份修补了 CVE-2023-4762，当时它并不知道存在野外利用，但后来表示，在修复程序发布之前可能就存在针对该漏洞的利用。最新的 Chrome 版本现已向用户推出，适用于 macOS 和 Linux 的版本为 119.0.6045.199，适用于 Windows 的版本为 119.0.6045.199/.200。 转自安全客，原文链接：https://www.anquanke.com/post/id/291556 封面来源于网络，如有侵权请联系删除

来自Eurecom的研究人员近期分享了六种新型攻击方式，统称为”BLUFFS”，这些攻击方式能够破坏蓝牙会话的保密性，使设备容易受到冒充和中间人攻击(MitM)。攻击发现者Daniele Antonioli解释道，”BLUFFS”利用了蓝牙标准中两个以前未知的漏洞，这些漏洞与会话密钥的派生方式以及交换数据的解密过程有关。 这些漏洞并非受限于特定的硬件或软件配置，而是系统性的问题，也就是说它们对蓝牙技术产生了根本性的影响。该漏洞被标识为CVE-2023-24023，影响范围包括蓝牙4.2版到5.4版。 考虑到蓝牙作为一种广泛应用的成熟无线通信标准，以及受到这些漏洞影响的版本，”BLUFFS”可能对数十亿设备构成威胁，包括笔记本电脑、智能手机和其他移动设备。 “BLUFFS”攻击原理 “BLUFFS”是一系列针对蓝牙的攻击方式，旨在破坏蓝牙会话的过去和未来的保密性，对设备之间的通信造成威胁。它通过利用四个会话密钥派生过程中的漏洞（其中两个是新的）来实现，迫使派生出一个短且容易预测的会话密钥(SKC)。攻击者通过暴力破解密钥，能够解密过去的通信内容，并解密或操控将来的通信。 要执行这种攻击方式，攻击者需要在两个正在交换数据的目标设备的蓝牙范围内，并冒充其中一个设备，与另一个设备协商建立一个弱会话密钥，针对最小可能的密钥熵值并使用固定的会话密钥差分器。 发表的论文详细介绍了六种类型的”BLUFFS”攻击，涵盖了冒充以及中间人攻击的各种组合，无论受害者是否支持安全连接(Secure Connections, SC)或传统安全连接(Legacy Secure Connections, LSC)，这些攻击方式都能够实施。 研究人员在GitHub上开发并分享了一个工具包，展示了”BLUFFS”攻击的有效性。该工具包包括用于测试攻击的Python脚本、ARM补丁、解析器以及在测试过程中捕获的PCAP数据样本。 影响范围巨大 “BLUFFS”攻击影响多个版本的蓝牙系统，从2014年12月发布的4.2版本，一直到最新的2023年2月发布的5.4版本。 Eurecom的论文展示了针对多种设备（包括智能手机、耳机和笔记本电脑）进行的”BLUFFS”测试结果，这些设备上运行蓝牙系统是4.1至5.2版本。最终测试结果发现，包含六种攻击方式的”BLUFFS”攻击，至少有三种攻击方式产生了有效结果，这应该引起行业的重视。 论文还提出了以下修改建议，这些修改将增强会话密钥派生机制，并减轻”BLUFFS”及类似威胁的影响： 引入一个新的密钥派生函数(KDF)用于传统安全连接(LSC)，该函数涉及互相交换和验证随机数； 设备应使用共享配对密钥来相互验证会话密钥差分器的合法性，确保会话参与者的合法性。 尽可能强制使用安全连接(SC)模式。 维护会话密钥差分器的缓存，以防止重用。 蓝牙SIG（特殊兴趣小组）作为一个非营利组织，负责监督蓝牙标准的发展并负责授权技术的使用，已经收到了Eurecom的报告，并在其网站上发布了一份声明。该组织建议实施各种强加密措施，例如拒绝连接强度低于七个字节的连接，并使用”安全模式4 级别4″，以确保更高的加密强度，并在配对时仅使用安全连接模式进行操作。   转自Freebuf原文链接：https://www.freebuf.com/news/385158.html 封面来源于网络，如有侵权请联系删除

开源文件共享软件 ownCloud 近日警告称存在三个严重安全漏洞，其中一个漏洞可能会暴漏管理员密码和邮件服务器凭证。 ownCloud 是一款开源文件同步和共享解决方案，个人和组织均可通过这个自托管平台管理和共享文件。 其用户包括企业、教育机构、政府机构和注重隐私的个人，他们希望数据自主可控，而不是将数据托管给第三方云存储提供商。据 OwnCloud 网站报告，其安装量达 20 万次，拥有 600 家企业客户和 2 亿用户。 该软件由多个库和组件组成，共同为云存储平台提供一系列功能。 严重的数据泄露风险 上周早些时候，该项目的开发团队发布了三个安全公告，警告称 ownCloud 的组件中存在三个不同的漏洞，可能会严重影响其完整性。 第一个漏洞被追踪为 CVE-2023-49103，CVSS v3 最高分为 10 分。该漏洞可用于在容器化部署中窃取凭证和配置信息，影响网络服务器的所有环境变量。 该漏洞影响了 graphapi 0.2.0 至 0.3.0，问题源于该应用程序对第三方库的依赖，该库通过 URL 公开了 PHP 环境详细信息，从而暴露了 ownCloud 管理员密码、邮件服务器凭据和许可证密钥。 官方建议的修复方法是删除 “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php “文件，禁用 Docker 容器中的 “phpinfo “函数，并更改可能暴露的机密，如 ownCloud 管理员密码、邮件服务器、数据库凭据和对象存储/S3 访问密钥。 安全公告警告中强调称，仅仅禁用 graphapi 应用程序并不能消除漏洞。 此外，phpinfo 还暴露了其他各种潜在的敏感配置细节，攻击者可利用这些细节收集系统信息。因此，即使 ownCloud 没有在容器化环境中运行，这个漏洞仍应引起关注。 第二个漏洞的 CVSS v3 得分为 9.8，该漏洞可能影响 ownCloud 核心库 10.6.0 至 10.13.0 版本，涉及到身份验证旁路问题。 如果用户的用户名已知且未配置签名密钥（默认设置），攻击者就有可能在未经身份验证的情况下访问、修改或删除任何文件。 已公布的解决方案是，如果没有为文件所有者配置签名密钥，则拒绝使用预签名 URL。 第三个不太严重的漏洞（CVSS v3 得分：9），涉及到子域验证绕过问题，影响 0.6.1 以下所有版本的 oauth2 库。 在 oauth2 应用程序中，攻击者可以输入特制的重定向 URL，绕过验证码，将回调重定向到攻击者控制的域。 官方建议采取的缓解措施是加固 Oauth2 应用程序中的验证代码。公告中分享的临时解决方法是禁用 “允许子域 “选项。 公告中描述的三个安全漏洞严重影响了 ownCloud 环境的安全性和完整性，可能导致敏感信息暴露、隐蔽数据盗窃、网络钓鱼攻击等。 文件共享平台的安全漏洞一直受到攻击，CLOP 等勒索软件组织利用这些漏洞对全球数千家公司进行数据盗窃攻击。 官方建议ownCloud 的管理员立即应用建议的修复程序，以降低风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/384893.html 封面来源于网络，如有侵权请联系删除

英国国家网络安全中心 (NCSC) 和韩国国家情报院 (NIS) 警告称，朝鲜 Lazarus 黑客组织利用 MagicLine4NX 软件中的0day漏洞对企业进行供应链攻击。 MagicLine4NX是韩国Dream Security公司开发的一款安全认证软件，用于组织机构的安全登录。 根据联合网络安全咨询，朝鲜的APT组织利用产品中的0day漏洞来破坏其目标，主要是韩国机构。 该通报描述道：“2023 年 3 月，网络攻击者连续利用安全认证和网络链接系统的软件漏洞，对目标组织的内网进行未经授权的访问。  ” “它利用MagicLine4NX安全认证程序的软件漏洞首次入侵目标的联网计算机，并利用联网系统的0day漏洞进行横向移动并获得未经授权的访问。” 这次攻击首先侵入一家媒体网站，将恶意脚本嵌入文章中，从而引发“水坑”攻击。 当特定 IP 范围的特定目标访问受感染网站上的文章时，脚本会执行恶意代码以触发 MagicLine4NX 软件中的上述漏洞， 影响 1.0.0.26 之前的版本。 这导致受害者的计算机连接到攻击者的 C2（命令和控制）服务器，允许他们通过利用网络链接系统中的漏洞来访问互联网端服务器。 朝鲜APT黑客利用该系统的数据同步功能，将信息窃取代码传播到业务侧服务器，从而危害目标组织内的PC。 删除的代码连接到两台 C2 服务器，一台充当中间网关，另一台位于互联网外部。 恶意代码的功能包括侦察、数据泄露、从 C2 下载和执行加密的有效负载以及横向网络移动。 攻击链 （ncsc.go.kr） 有关这次攻击的详细信息，代号为“Dream Magic”，归因于 Lazarus APT组织，可以参考在这份AhnLab 报告，该报告仅提供韩语版本。 朝鲜官方背景的黑客组织始终依赖供应链攻击和利用0day漏洞作为其网络战策略的一部分。 2023 年 3 月，人们发现 Lazarus 的一个子组织“Labyrinth Chollima”对 VoIP 软件制造商 3CX进行了供应链攻击 ，破坏了全球多家知名公司的安全。 上周五， 微软披露了针对讯连科技的供应链攻击，Lazarus 黑客组织利用该攻击分发木马化、数字签名的讯连科技安装程序，用“LambLoad”恶意软件感染至少一百台计算机。 朝鲜黑客组织利用此类攻击来针对特定公司，无论是网络间谍活动、金融欺诈还是加密货币盗窃。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xvxw5BamJoZjNDgJRw6hYw 封面来源于网络，如有侵权请联系删除

网络公司 Akamai 的研究人员周四表示，不法分子正在积极利用两个新的0day漏洞，将路由器和录像机引入用于分布式拒绝服务攻击的恶意僵尸网络。 根据 Akamai 的一篇博客，这两个0day漏洞以前对其制造商和整个安全研究社区来说都是未知的，当受影响的设备使用默认管理凭据时，这两个漏洞允许远程执行恶意代码。 未知攻击者一直在利用0day漏洞来破坏设备，以便它们能够感染 Mirai，Mirai 是一款强大的开源软件，使路由器、摄像头和其他类型的物联网设备成为能够发起攻击的僵尸网络的一部分。Mirai僵尸网络发起的 DDoS 攻击规模以前难以想象。 Akamai 研究人员表示，受到攻击的0day漏洞之一存在于一种或多种网络录像机型号中。另一个0day漏洞存在于“为酒店和住宅应用构建的基于插座的无线 LAN 路由器”中。 该路由器由一家日本制造商销售，该制造商“生产多种交换机和路由器”。被利用的路由器功能是“非常常见的一个”，研究人员不能排除它在制造商销售的多种路由器型号中被利用的可能性。 Akamai 表示，已向两家制造商报告了这些漏洞，其中一家制造商已保证将于下个月发布安全补丁。Akamai 表示，在修复措施到位以防止0day漏洞被更广泛地利用之前，它不会确定具体设备或制造商。 “尽管这些信息有限，但我们认为我们有责任提醒社区注意这些 CVE 在野外的持续利用情况。负责任地披露信息以帮助防御者与过度分享可能导致成群威胁行为者进一步滥用的信息之间只有一线之隔。” Akamai 帖子提供了攻击中使用的大量文件哈希值以及 IP 和域地址。网络摄像机和路由器的所有者可以使用此信息来查看其网络上的设备是否已成为攻击目标。 远程代码执行使用一种称为命令注入的技术，该技术首先要求攻击者使用易受攻击的设备中配置的凭据来验证自身身份。身份验证和注入是使用标准 POST 请求进行的。 Akamai 研究员 Larry Cashdollar 在一封电子邮件中写道： 这些设备通常不允许通过管理界面执行代码。这就是为什么需要通过命令注入来获取RCE。 因为攻击者需要首先进行身份验证，所以他们必须知道一些有效的登录凭据。如果设备使用易于猜测的登录名（例如 admin:password 或 admin:password1），那么如果有人扩展凭据列表进行尝试，这些登录名也可能面临风险。 他表示，两家制造商都已收到通知，但迄今为止只有其中一家承诺发布补丁，预计将于下个月发布。第二个制造商的修复状态目前未知。 Cashdollar 表示，不完整的互联网扫描显示至少有 7,000 个易受攻击的设备。受影响设备的实际数量可能更多。 Mirai 于 2016 年首次引起公众广泛关注，当时僵尸网络（即由敌对威胁行为者控制的受感染设备组成的网络）以当时创纪录的 620 GB 每秒的DDoS攻击摧毁了安全新闻网站KrebsOnSecurity。 除了强大的火力之外，Mirai 的脱颖而出还有其他原因。首先，它征用的设备是路由器、安全摄像头和其他类型的物联网设备的集合，这在此之前基本上是看不见的。另一方面，底层源代码很快就可以免费获得。 很快，Mirai 就被用于针对游戏平台和为其提供服务的 ISP 的更大规模的 DDoS 攻击。从那时起，Mirai 和其他物联网僵尸网络就已成为互联网生活的一部分。 Akamai 发现的攻击中使用的 Mirai 僵尸网络恶意软件主要是一种名为 JenX 的较旧变种。不过，它已被修改为使用比平常少得多的域名来连接到命令和控制（C2）服务器。一些恶意软件样本还显示与称为“HailBot”的独立 Mirai 变体有关。 Akamail 观察到的0day攻击（包括冒犯性种族主义诽谤）中使用的代码与一家中国安全公司 5 月份观察到的针对俄罗斯新闻网站的 DDoS 攻击中使用的代码几乎相同。下图显示了并排比较。 研究人员尚未从 NVR 供应商那里获得据信受影响的设备型号和版本的完整报告。据估计，NVR供应商生产了大约100种NVR / DVR / IP监控摄像机产品 ——很难确切知道哪些受到影响，哪些没有受到影响。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-SUf9IHVMC_qpj9fE-_aZQ 封面来源于网络，如有侵权请联系删除

一项新的研究发现，戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 笔记本电脑上的多个漏洞可以绕过 Windows Hello 身份验证。 这些漏洞是由硬件和软件产品安全研究公司 Blackwing Intelligence 的研究人员发现的，他们从这些设备中嵌入的 Goodix、Synaptics 和 ELAN 的指纹传感器中发现了这些漏洞。 利用指纹读取器漏洞的前提条件是目标笔记本电脑的用户已经设置了指纹验证。 这三种指纹传感器都是一种称为 “芯片匹配”（MoC）的传感器，它将匹配和其他生物识别管理功能直接集成到传感器的集成电路中。 研究人员 Jesse D’Aguanno 和 Timo Teräs 说：虽然 MoC 可以防止将存储的指纹数据重放给主机进行匹配，但它本身并不能防止恶意传感器欺骗合法传感器与主机的通信，谎称授权用户已成功通过身份验证。 MoC也无法阻止重放主机与传感器之间先前记录的通信。 尽管微软创建的安全设备连接协议（SDCP）旨在通过创建端到端安全通道来缓解其中的一些问题，但研究人员发现了一种新方法，可用于规避这些保护措施和发动AitM攻击。 在Synaptics公司的案例中，不仅发现SDCP在默认情况下是关闭的，而且在实施过程中还选择依赖有漏洞的自定义传输层安全（TLS）协议栈来确保主机驱动程序和传感器之间的USB通信安全，而这种安全协议栈可以被用来规避生物识别身份验证。 另一方面，对 Goodix 传感器的利用，利用了在加载了 Windows 和 Linux 的机器上执行的注册操作的根本差异，利用后者不支持 SDCP 来执行以下操作： 启动到 Linux 枚举有效 ID 使用与合法 Windows 用户相同的 ID 注册攻击者的指纹 利用明文 USB 通信对主机和传感器之间的连接进行 MitM 启动到 Windows 拦截并重写配置数据包，以便使用我们的米特米技术指向 Linux DB 使用攻击者的指纹以合法用户身份登录 值得指出的是，虽然 Goodix 传感器为 Windows 和非 Windows 系统分别提供了不同的指纹模板数据库，但由于主机驱动程序会向传感器发送未经验证的配置数据包，以指定在传感器初始化过程中使用哪个数据库，因此攻击才有可能发生。 为减少此类攻击，建议原始设备制造商（OEM）启用 SDCP，并确保指纹传感器的实施由独立的专家进行审核。 研究人员说：微软在设计 SDCP 以在主机和生物识别设备之间提供安全通道方面做得很好，但不幸的是，设备制造商似乎误解了其中的一些目标。 此外，SDCP 只覆盖了典型设备非常狭窄的操作范围，而大多数设备都暴露了相当大的攻击面，SDCP 根本没有覆盖这些攻击面。   转自Freebuf，原文链接：https://www.freebuf.com/news/384633.html 封面来源于网络，如有侵权请联系删除

一个利用最近披露的 WinRAR 软件零日安全漏洞的黑客组织现已被归类为全新的高级持续威胁（APT）。 网络安全公司 NSFOCUS 将 DarkCasino 描述为一个 “出于经济动机 “的行为者，该威胁行为者于 2021 年首次曝光。 该公司在一份分析报告中说：DarkCasino是一个APT威胁行为体，具有很强的技术和学习能力，善于将各种流行的APT攻击技术整合到其攻击流程中。 APT组织DarkCasino发起的攻击非常频繁，显示其窃取网络财产的强烈愿望。 DarkCasino最近与CVE-2023-38831（CVSS评分：7.8）的零日利用有关，该安全漏洞可被武器化以传播恶意有效载荷。 2023 年 8 月，Group-IB 披露了将该漏洞武器化的真实攻击，至少自 2023 年 4 月以来，该攻击一直瞄准在线交易论坛，以交付名为 DarkMe 的最终有效载荷，这是一个 Visual Basic 木马，归属于 DarkCasino。 该恶意软件可以收集主机信息、截图、操作文件和 Windows 注册表、执行任意命令，并在被入侵主机上进行自我更新。 虽然DarkCasino之前被归类为EvilNum组织针对欧洲和亚洲在线赌博、加密货币和信贷平台策划的网络钓鱼活动，但NSFOCUS表示，通过对对手活动的持续跟踪，它已经排除了与已知威胁行为者的任何潜在联系。 目前尚不清楚该威胁行为者的确切出处。 早期，DarkCasino 主要在地中海周边国家和其他亚洲国家利用在线金融服务开展活动。 最近，随着网络钓鱼方式的改变，其攻击已波及全球加密货币用户，甚至包括韩国和越南等非英语亚洲国家。 最近几个月，多个威胁行为体加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。 据观察，Ghostwriter 利用该漏洞的攻击链为 PicassoLoader 铺平了道路，PicassoLoader 是一种中间恶意软件，充当其他有效载荷的加载器。 APT组织DarkCasino带来的WinRAR漏洞CVE-2023-38831给2023年下半年的APT攻击形势带来了不确定性。很多APT组织利用这个漏洞的窗口期攻击政府等关键目标，希望绕过目标的防护系统，达到自己的目的。   转自Freebuf，原文链接：https://www.freebuf.com/news/384114.html 封面来源于网络，如有侵权请联系删除