Ninja Forms 漏洞危机:900,000+ 站点面临潜在风险
专家警告说,WordPress的Ninja Forms插件受到多个漏洞的影响(跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393),黑客可以利用这些漏洞升级权限并窃取敏感数据。 WordPress插件Ninja Forms是最受欢迎的表单生成器插件,它有超过900000个活动安装。开发人员可以使用此插件创建任何类型的表单,包括联系表单和付款表单。 第一个漏洞被追踪为CVE-2023-37979,是一个基于POST的反射XSS,未经身份验证的用户可以利用它窃取敏感信息,在本例中,可以在WordPress网站上升级权限,攻击者以此诱骗特权用户访问精心制作的网站来触发该问题。 第二个和第三个漏洞被追踪为CVE-2023-38393和CVE-2023-3 8386,是对表单提交导出功能的访问控制中断。订阅者和参与者用户可以利用这些漏洞导出WordPress网站上提交的所有Ninja表单。 这些漏洞在3.6.26版本中得到了解决。 在某些情况下,插件或主题代码需要从用户提供的字符串中调用特定的函数或类,服务商应始终检查并限制用户可以直接调用的函数或类目,还要格外注意导出数据操作,并始终对相关函数进行权限或访问控制检查。 以下是上述问题的时间表: 2023年6月22日,发现了该漏洞,并联系了插件供应商。 2023年7月4日,Inja Forms 3.6.26版发布,以修补报告的问题。 2021年7月25日将漏洞添加到Patchstack漏洞数据库中。 2021年7月27日公开发布的安全咨询文章。 转自E安全,原文链接:https://mp.weixin.qq.com/s/YXb9KvIWFZilILNTR66k2w 封面来源于网络,如有侵权请联系删除
WordPress Ninja Forms 曝出严重安全漏洞
Bleeping Computer 网站披露,WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据。 2023 年 6 月 22 日,Patchstack 的研究人员向插件开发者 Saturday Drive 报告了这三个漏洞详情,并警告称漏洞会影响 NinjaForms 3.6.25 及以上版本。 2023 年 7 月 4 日,Saturday Drive 发布新版本 3.6.26 修复了漏洞问题,但根据 WordPress.org 统计数据显示只有大约一半的 NinjaForms 用户下载最新版本。(大约 40 万个网站仍未更新,可能存在被攻击的风险) 漏洞详情 Patchstack 发现的第一个漏洞是 2CVE-2023-37979,该漏洞是一个基于 POST 的反射 XSS(跨站点脚本)漏洞,允许未经身份验证的用户通过诱骗特权用户访问特制的网页,以此提升权限并窃取信息。 第二个漏洞和第三个漏洞分别被跟踪为 CVE-2023-38393 和 CVE-2023-3 8386,允许订阅服务器和贡献者导出用户在受影响的 WordPress 网站上提交的所有数据。 值得一提的是,以上漏洞都高度危险,尤其是 CVE-2023-38393 更是如此。任何支持会员资格和用户注册的网站,一旦使用易受攻击的 Ninja Forms 插件版本,都容易因该漏洞而发生大规模数据泄露事件。 包含 CVE-2023-38393 的处理功能 Saturday Drive 在 3.6.26 版本中应用的修补程序主要包括为损坏的访问控制问题添加权限检查,以及防止触发已识别 XSS 的功能访问限制。 Patchstack 报告中包含了三个漏洞的详细技术信息,因此对于懂技术的威胁攻击者来说,利用这些漏洞应该是得心应手。为防止网络攻击者利用这些漏洞,Patchstack 公开披露漏洞的时间推迟了三周多,并一再督促Ninja Form用户尽快进行修补。 最后,建议所有使用 Ninja Forms 插件的网站管理员尽快更新到 3.6.26 或以上版本,如果发现未更新的用户,管理员应该从用户的网站禁用插件,直到其应用最新补丁。 转自Freebuf,原文链接:https://www.freebuf.com/news/373286.html 封面来源于网络,如有侵权请联系删除
今年最大规模网络攻击:受害机构数量逼近 400 家,影响人数超 2 千万
美国Progress Software公司旗下产品MOVEit的零日漏洞曝光近两月,目前已公开的受害机构逼近400家,其中有多家属于服务商,又向大量下游机构提供服务,或将放大攻击影响。 安全内参7月21日消息,利用MOVEit文件传输软件漏洞实施的大规模软件供应链攻击已经进入第七周,受害者数量和损失持续攀升。 今年5月下旬,俄罗斯勒索软件组织Clop利用美国Progress Software公司旗下产品MOVEit的一个安全漏洞,从易受攻击网络中窃取大批文件。截至目前,已有近400家组织受到影响,其中不乏美国能源部等联邦机构、能源巨头壳牌、德意志银行、普华永道、零售巨头TJX等知名公司机构。 零日漏洞曝光近两月,受害机构逼近400家 零售巨头TJX在7月19日确认:“在Progress通知我们该漏洞之前,一些文件已被未经授权的第三方下载。”TJX拥有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多个零售品牌。 虽然公司遭到攻击影响,TJX发言人强调:“我们认为TJX系统中没有任何客户或员工个人信息被未经授权用户访问,攻击未对TJX造成任何重大影响。” 拥有20多个美容品牌的雅诗兰黛公司也可能是受害者。Clop团伙在其泄露网站上列出该公司信息。雅诗兰黛也于同一天披露了“网络安全事件”。 据网络安全厂商Emsisoft统计,截至7月19日,共有383家组织和超过2千万个人遭受这次攻击。该统计的数据来源包括泄露通知、美国证券交易委员会(SEC)公告、其他公开数据及Clop团伙的泄露网站。 Emsisoft团队指出,一些受到MOVEit漏洞影响的公司为许多其他组织提供服务。 例如,Clop利用了英国薪资服务提供商Zellis部署的MOVEit工具。该公司客户众多,包括英国航空公司、英国广播公司(BBC)和英国博姿连锁药店。结果,俄罗斯黑客团伙利用MOVEit软件漏洞窃取了这些公司的员工记录。据Emsisoft报道,另一家MOVEit用户美国学生信息中心,与美国3500多所学校合作,处理1710万名学生的信息。因此,受害者的总数很可能会继续增长。 Emsisoft威胁分析师Brett Callow表示:“虽然严重性不及SolarWinds事件,这依然是近年来规模最大的黑客事件之一。后续需对数百万人进行信用监控、引发无数诉讼,损失将极其巨大。” Progress Software公司目前面临多起指控,控方认为MOVEit漏洞是安全性不足所致。据《华尔街日报》消息,相关诉讼至少有13起。 Emsisoft补充道:“更糟糕的是,被窃取信息有极大可能遭到滥用。不单单是Cl0p团伙可能滥用这些信息。一旦信息在网上公开,全球的网络犯罪分子都可以将这些信息用于商业电子邮件欺诈、身份欺诈。” Progress Software公司拒绝回答有多少组织受到MOVEit漏洞影响。 该公司一位发言人表示:“我们会继续专注于客户支持。Emsisoft报告表明,频繁和透明的更新有助于鼓励客户迅速应用我们发布的漏洞补丁。我们将继续与行业领先的网络安全专家合作,调查攻击事件,确保采取适当的应对措施。据我们目前所知,5月31日漏洞之后发现的漏洞没有被大幅滥用。” 自5月底以来,其他漏洞陆续被发现。 漏洞曝光时间线 5月31日披露的首个漏洞是SQL注入漏洞。次日,Progress Software修补该漏洞,标记为CVE-2023-34362。 6月9日,第二个漏洞CVE-2023-35036被发现,并于次日被修复。 6月15日,Progress Software披露了第三个漏洞CVE-2023-35708。 最后(我们希望是),7月5日,又有三个漏洞CVE-2023-36934、CVE-2023-36932、CVE-2023-36933被发现并得到修复。 网络安全评级公司Bitsight表示,虽然受害者数量不断增加,但是易受攻击的组织在修补MOVEit漏洞方面表现相当不错。 本周四,Bitsight研究员Noah Stone在博客写道:5月31日漏洞披露以来,“易受CVE-2023-34362攻击的组织数量已经减少,至少77%最初受影响的组织现在不再易受攻击,而最初受影响的组织中至多还有23%仍然存在漏洞。后续披露的CVE漏洞,易受攻击的组织比率更高。” 更多组织仍然容易受到本月早些时候披露的三个最新漏洞的攻击,这并不令人意外。Noah Stone表示:“最初受到较新CVE漏洞攻击的组织中,至多有56%仍然容易受到攻击。” Huntress公司的威胁猎人发现了第2个MOVEit漏洞。该公司高级安全研究员John Hammond表示,这类供应链攻击对犯罪分子越来越具有吸引力,因为它们可以为攻击者带来更多利益。 John Hammond表示:“不论是像MOVEit Transfer这样的攻击,还是过去的重大入侵案例,比如Kaseya VSA勒索软件事件、SolarWinds漏洞利用事件,所有攻击都对软件供应链有影响。这大幅提高了潜在受害者数量,影响了下游组织和供应商/消费者关系。对黑客来说,这种一对多的影响非常有吸引力。这也是供应链威胁如此阴险的原因。” 当然,John Hammond指出,这类入侵意味着“威胁行为者发起的每次攻击都是一次性的。下游受害者遭受损失后,机会就不复存在,攻击者必须重新发动攻击。” 转自安全内参,原文链接:https://www.secrss.com/articles/56932 封面来源于网络,如有侵权请联系删除
黑客利用 Revolut 支付系统漏洞窃取 2000 万美元
Hackernews 编译,转载请注明出处: 2022年初,黑客通过Revolut支付系统中的一个未知漏洞,窃取了该公司2000多万美元的资金。 英国《金融时报》报道了这一事件,并引用了多位知情人士的消息。此次漏洞事件尚未被公开披露。 该故障源于Revolut的美国和欧洲系统存在差异,这导致在一些交易被拒绝时,系统会误用自己的钱退还资金。 这一问题于2021年底首次被发现。然而在系统关闭之前,该报告称犯罪集团已经利用了这一漏洞。他们“鼓励个人进行昂贵的交易,然后主动被拒绝”,因此退还的金额可以从自动取款机中取出。 与该漏洞相关的确切技术细节目前尚不清楚。 目前约有2300万美元被盗,其中一些资金是通过追捕提款者而追回的。据悉,这一大规模欺诈行动导致这家新银行和金融科技公司的净损失高达2000万美元。 不到一周前,国际刑警组织宣布逮捕了一名嫌疑人,该人员被怀疑是法语黑客组织OPERA1ER的高级成员。OPERA1ER组织与针对金融机构和移动银行服务的恶意软件攻击、网络钓鱼活动和大规模商业电子邮件入侵(BEC)骗局有关。 消息来源:thehackernews,译者:Linn; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
ADT 前员工承认曾入侵客户摄像头
据外媒报道,日前,一名家庭安全技术人员承认,他曾多次闯入他安装的摄像头观看客户做爱及其他亲密行为。据悉,35岁的Telesforo Aviles曾在家庭和小型办公安全公司ADT工作。他表示,在5年的工作时间里,他在9600多次场合下侵入了约200个客户账号的摄像头–所有这些都是没有得到客户的允许或不知情的情况下进行。 Aviles表示,自己会留意那些他觉得有吸引力的女性的家庭,然后观看她们的摄像头以获得性满足。他称,自己看过女性裸体和情侣之间的做爱。 Aviles于当地时间周四在北德克萨斯地区的美国地方法院承认了一项计算机欺诈和一项侵入性视觉记录罪名。他将因此而面临长达5年的监禁。 Aviles告诉检察官,他经常会在用户授权的列表中添加上自己的邮件地址以此来访问客户的ADT Pulse账号,该账号允许用户远程连接到ADT家庭安全系统进行观看。而在某些情况下,他则会告诉客户,他必须暂时将自己的账号添加其中以便测试系统。其他时候,他会在客户不知情的情况下加上自己的邮箱地址。 针对此事,ADT的一位发言人表示,公司在去年4月得知Aviles在未经授权的情况下进入了达拉斯地区220名客户的账号之后将这一非法行为告知检察官。随后,该公司联系了每一位客户来帮助改正这个错误。。 而在发现这一违规行为之后,ADT至少受到了两起拟议的集体诉讼,其中一起代表ADT客户,一起代表未成年人和其他住在使用ADT设备的房子里的人。其中一起诉讼的原告据称在违约发生时还是一名青少年。据诉状显示,ADT告知这位青少年的家人,Aviles曾近对其家庭进行了100次的监视。 诉讼还称,ADT将其摄像系统推销为父母使用智能手机查看孩子和宠物的一种方式。然而ADT没有实施保护措施,这些措施本可以提醒客户入侵。 电子偷窥者的曝光很好地提醒了人们,在家里或其他对隐私有合理期望的地方安装联网摄像头伴随带来的风险。选择接受这些风险的人应该花时间自学如何使用、配置和维护设备。 (消息及封面来源:cnBeta)
Sudo 被爆高危漏洞:可提权至 Root 众多 Linux 发行版受影响
安全研究人员近日披露了存在于 Sudo 中的漏洞细节。该漏洞可能会被攻击者利用,从而在众多基于 Linux 的发行版本中获得最高的 root 权限。根据 Qualys 分享的细节,这个安全漏洞被描述为“可能是有史以来最重要的 Sudo 漏洞”。更令人担忧的是,这个堆的缓冲区溢出漏洞已经存在将近 10 年时间了。 这个漏洞称之为 Baron Samedit,追踪编号为 CVE-2021-3156,几乎所有版本的 Sudo 都存在影响。据悉,受影响的 Sudo 漏洞版本包括从 1.8.2 到 1.8.32p2 的经典版本,以及从 1.9.0 到 1.9.5p1 所有稳定版本。Qualys在写到其发现时说,该漏洞“可被任何本地用户利用”,不需要认证的情况下获得最高权限。 该公司还表示:“我们基于这个漏洞延伸出了三个漏洞,并在 Ubuntu 20.04(Sudo 1.8.31)、Debian 10(Sudo 1.8.27)和 Fedora 33(Sudo 1.9.2)上获得了完全的 root 权限。其他操作系统和发行版可能也是可以利用的。” Baron Samedit尚未在国家漏洞数据库中获得严重性评级,但考虑到Sudo的普遍性以及该漏洞容易被利用,一旦分析完成,它很可能是一个高危评级。各个Linux发行版的补丁已经开始出现,如果你使用的是Ubuntu,可以在这里获得更新,而红帽的更新可以在这里找到。 (消息及封面来源:cnBeta)
Windows 10 又现新漏洞
这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能会破坏硬盘驱动器的错误。现在,一个导致Windows崩溃的bug的细节已经出现,但微软似乎并不急于修复它。 这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径,Windows 10会以BSoD(蓝屏死机)的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节,但微软仍未拿出修复方案。 BSoD漏洞非常容易执行,目前还不知道该漏洞的全部后果。Lykkegaard发现,使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。 BleepingComputer进行的测试显示,从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug,很大可能也影响旧版本。 虽然像这样简单的崩溃可能看起来相当无害,但它是一些可以被攻击者利用以掩盖其他活动,或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。 在给BleepingComputer的一份声明中,微软表示。”微软有客户承诺调查报告的安全问题,我们将尽快为受影响的设备提供更新”。尽管有这样的承诺,但没有迹象表明相当何时可能提供修复。 (消息及封面来源:cnBeta)
Treck TCP/IP Stack 中的新漏洞影响了数百万个 IoT 设备
美国网络安全基础设施和安全局(CISA)警告称,Treck开发的一个低级TCP/IP软件库存在严重漏洞,远程攻击者可以运行任意命令并发动拒绝服务(DoS)攻击。 这四个漏洞影响Treck TCP/IP Stack 6.0.1.67及更早版本,其中两个漏洞的等级为严重。 Treck的嵌入式TCP/IP Stack部署在全球制造业、信息技术、医疗保健和运输系统中。 其中最严重的是Treck HTTP服务器组件中的基于堆的缓冲区溢出漏洞(CVE-2020-25066),该漏洞允许攻击者重置目标设备或使其崩溃,甚至执行远程代码。它的CVSS得分是9.8分(最高10分)。 第二个漏洞是IPv6组件(CVE-2020-27337,CVSS评分9.1)中的越界写入,未经身份验证的用户可利用该漏洞通过网络访问造成DoS。 其他两个漏洞涉及IPv6组件中的越界读取(CVE-2020-27338,CVSS得分5.9),未经身份验证的攻击者可能会利用该漏洞导致DoS。同一模块中的输入验证错误漏洞(CVE-2020-27336,CVSS得分3.7)可能导致越界读取(通过网络访问最多读取三个字节)。 Treck建议用户更新到6.0.1.68版本。在无法应用最新补丁的情况下,建议使用防火墙以过滤掉HTTP报头中包含负内容长度的数据包。 在Treck TCP/IP Stack出现新漏洞的6个月前,以色列网络安全公司JSOF发现了名为Ripple20的软件库中的19个漏洞,这可能使攻击者在不需要任何用户交互的情况下获得对目标物联网设备的完全控制。 此外,本月早些时候,Forescout的研究人员发现了33个漏洞,统称为“AMNESIA:33”。这些漏洞可能导致TCP/IP Stack被滥用,使得攻击者可以控制易受攻击的系统。 考虑到复杂的物联网供应链,该公司发布了一种名为“project-memoria-detector”的新检测工具,以确定目标网络设备是否在实验室环境下运行易受攻击的TCP/IP Stack。 该工具可以通过GitHub访问。 消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”
CVSS 得分均为 10 的两个严重漏洞影响 Dell Wyse Thin 客户端设备
12月21日,一个研究小组公布了他们在Dell Wyse Thin客户端中发现的两个严重漏洞,这些漏洞可能使攻击者能够远程执行恶意代码并访问受影响设备上的任意文件。 这些漏洞由CyberMDX发现,并于2020年6月向戴尔报告。这两个漏洞的CVSS评分均为10分,影响ThinOS 8.6及以下版本的设备。戴尔在21日发布的更新中已解决了这两个漏洞。 Thin客户端通常是使用存储在中央服务器上的资源而不是本地化硬盘驱动器运行的计算机。它们通过建立到服务器的远程连接来工作,服务器负责启动和运行应用程序并存储相关数据。 本次漏洞的编号为CVE-2020-29491和CVE-2020-29492,用于从本地服务器获取固件更新和配置的FTP会话是不受保护的,没有任何身份验证(“匿名”),从而使同一网络中的攻击者能够读取和更改其配置。 第一个漏洞CVE-2020-29491允许用户访问服务器并读取属于其他客户端的配置(.ini文件)。 由于没有FTP凭据,网络上的任何人都可以访问FTP服务器并直接更改保存其他Thin客户端设备配置的.ini文件(CVE-2020-29492)。 更糟糕的是,该配置可能包含敏感数据,包括可能被用来危害设备的密码和帐户信息。 这些漏洞的利用相对容易,我们建议用户尽快使用补丁来降低风险。 CyberMDX还建议将兼容的客户端更新到ThinOS9,从而删除INI文件管理功能。如果无法进行升级,建议禁用FTP,使用HTTPS服务器或Wyse管理套件。 CyberMDX的研究人员表示:“读取或更改(ini文件中)这些参数会加剧攻击。在配置和启用VNC以进行完全远程控制、泄漏远程桌面凭据以及操纵DNS结果时,我们需要格外注意。” 消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”
iMessage Kismet 漏洞被发现用来攻击了 37 名记者的 iPhone
据外媒报道,iMessage漏洞已存在一年之久,最近有37名记者沦为了该漏洞的牺牲品,让据称为政府工作的坏人得以监视记者的活动。多伦多大学公民实验室(University of Toronto’s Citizen Lab)的一份报告称,他们发现了一次发生在2020年7月至8月期间的行动,其中一次是由政府特工执行的。 该行动攻击了37部iPhone手机,这些手机的主人包括记者、制片人、主播和新闻采集机构的高管,主要目标则是半岛电视台。 这些攻击使用的是NSO Group的PegASUS间谍软件,尤其是一个被叫做Kismet的漏洞。据信,该漏洞是“iMessage中看不见的零点击漏洞”,是针对iOS 13.5.1和其他可能版本的零日漏洞。 公民实验室收集的被盗iPhone日志显示,在2019年10月至12月期间遭到攻击的NSO客户也是被利用了相同的漏洞,这表明该漏洞在相当长一段时间内没有被发现或修复。 该组织遭到了四个Pegasus运营者的攻击,其中一个被认为是来自沙特阿拉伯的Monarchy,而另一则被认为是代表阿联酋实施攻击的Sneaky Kestrel。 这些运营者很可能跟这两个国家的王储有关,因为半岛电视台的一名主播在诉讼中指责两者攻击了她的iPhone并传播遭篡改了的受害者的照片。 一旦受到攻击,目标用户的iPhone就会在用户不知情的情况下开始上传大量数据,有时总计达数百兆字节。据信,正在传输的数据包括麦克风录制的环境音频、加密电话内容、摄像头拍摄的照片、设备的位置以及可能存储的任何密码或账户凭证。 《卫报》看到的一份苹果声明称,这些攻击是民族国家针对个人的高度定向攻击。“我们一直敦促用户下载该软件的最新版本以保护他们自己及他们的数据,”苹果补充称,不过它还暗示其无法独立核实公民实验室给出的分析。 据悉,这一攻击载体似乎不适用于升级到iOS 14或更高版本的iPhone,这可能意味着使用该操作系统的设备目前是安全的。 (消息来源:cnBeta;封面来源于网络)