近日安全研究人员发现从游戏机到总统大选投标机的海量设备仍然使用不安全的测试密钥，容易受到UEFI bootkit恶意软件的攻击。 安全启动不安全 在近期的安全研究中，一项涉及设备制造行业安全启动（Secure Boot）保护机制的供应链失败问题引发了广泛关注。此次事件波及的设备型号范围远比之前已知的要广泛得多，受影响的设备涵盖了ATM机、POS机、甚至投票机等多个领域。 这一问题源自于过去十年间，数百种设备型号中使用了非生产环境的测试平台密钥，这些密钥在其根证书中标注了“DO NOT TRUST”（请勿信任）等警示语，此类密钥原本应仅用于测试环境，但设备制造商却将其应用于生产系统。 平台密钥作为加密的“信任根”锚定了硬件设备与其运行的固件之间的信任关系，确保安全启动机制正常运行。然而，由于大量用于测试安全启动主密钥的私钥被泄漏，极大地削弱了这一安全机制的有效性。研究发现，2022年甚至有人将一部分私钥在GitHub上公开发布。这些信息为攻击者提供了必要条件，能够通过植入“根工具包”（Rootkits）等恶意软件，破坏设备的UEFI（统一可扩展固件接口）安全启动保护。 500多种设备存在隐患 此次供应链安全事件被Binarly命名为“PKfail”（CVE-2024-8105），意指平台密钥（Platform Key）失效。此次失败展示了供应链复杂性已超出用户当前的风险管理能力，特别是在涉及第三方供应商时。不过，研究人员指出，这一风险完全可以通过“安全设计理念”进行规避和缓解。 根据Binarly的最新报告，受此问题影响的设备型号远超此前的认知。Binarly的研究工具在过去几个月中收集到了10095个固件样本，其中791个（约占8%）包含了非生产密钥。 受PKfail影响的固件数量 最初，Binarly识别出了大约513种设备型号使用了测试密钥，目前一数字已增长至972种。此外，最早报告的215个受影响型号中，有490个型号使用了在GitHub上公开的密钥。研究人员还发现了四个新的测试密钥，使得总数达到了约20个。 此前发现的密钥均来自AMI，这是一家为设备制造商提供UEFI固件开发工具包的主要供应商之一。自7月以来，Binarly还发现了AMI的其他两大竞争对手Insyde和Phoenix的密钥同样存在问题。 更多的受影响设备还包括： Hardkernel的odroid-h2、odroid-h3和odroid-h4 Beelink Mini 12 Pro Minisforum HX99G Binarly进一步指出，受影响的设备不仅限于桌面电脑和笔记本电脑，还包括大量医疗设备、游戏机、企业级服务器、ATM机、销售终端设备，甚至包括投票机！由于目前尚无修复方案，研究人员基于保密协议未披露具体的设备型号。Binarly发布了“PKfail扫描仪”，供应商可以自行上传固件映像查看是否使用了测试密钥。 此次事件表明，安全启动作为一种设备预启动阶段的加密保护机制，尽管被广泛应用于政府承包商和企业环境中，但其安全性依然存在隐患，其供应链管理中存在重大漏洞。   转自安全内参，原文链接：https://www.secrss.com/articles/70379 封面来源于网络，如有侵权请联系删除

GitLab 发布了安全更新，以解决影响 GitLab 社区版 (CE) 和企业版 (EE) 的自主管理安装的严重 SAML 身份验证绕过漏洞。 安全断言标记语言 (SAML) 是一种单点登录 (SSO) 身份验证协议，允许用户使用相同的凭据登录不同的服务。 该漏洞编号为 CVE-2024-45409，源自 OmniAuth-SAML 和 Ruby-SAML 库中的一个问题，GitLab 使用这两个库来处理基于 SAML 的身份验证。 当身份提供者 (IdP) 向 GitLab 发送的 SAML 响应包含错误配置或被操纵时，就会出现此漏洞。 具体来说，该缺陷涉及对 SAML 断言中关键元素的验证不足，例如用于在不同系统间唯一标识用户的 extern_uid（外部用户 ID）。 攻击者可以制作恶意 SAML 响应，诱骗 GitLab 将其识别为经过身份验证的用户，绕过 SAML 身份验证并获得对 GitLab 实例的访问权限。 CVE-2024-45409 漏洞影响 GitLab 17.3.3、17.2.7、17.1.8、17.0.8、16.11.10 以及这些分支的所有先前版本。 该漏洞已在 GitLab 版本 17.3.3、17.2.7、17.1.8、17.0.8 和 16.11.10 中得到解决，其中 OmniAuth SAML 已升级到版本 2.2.1，Ruby-SAML 已升级到版本 1.17.0。 GitLab 在公告中警告称：“强烈建议所有运行受上述问题影响的安装尽快升级到最新版本。” GitLab.com 上的 GitLab Dedicated 实例用户无需采取任何行动，因为该问题仅影响自管理安装。 对于那些无法立即升级到安全版本的用户，GitLab 建议为所有帐户启用双因素身份验证 (2FA)，并将 SAML 2FA 绕过选项设置为“不允许”。 恶意利用迹象 GitLab 在公告中提供了尝试或成功利用的迹象，这表明恶意攻击者可能已经在利用该漏洞进行攻击。 尝试或成功利用漏洞的迹象如下： 与 RubySaml::ValidationError 相关的错误（尝试失败）。 身份验证日志中出现新的或不寻常的     extern_uid 值（成功尝试）。 SAML 响应中缺少信息或信息不正确。 单个用户的多个 extern_uid  值（表示潜在的帐户泄露）。 与用户通常的访问模式相比，来自陌生或可疑 IP 地址的 SAML 身份验证。 成功利用的示例日志 转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TZdVxQeDNUn3fwIe6KH5wA 封面来源于网络，如有侵权请联系删除

CISA 已命令美国联邦机构确保其系统安全，防范最近修补的 Windows MSHTML 欺骗零日漏洞，该漏洞遭 Void Banshee APT 黑客组织利用。 该漏洞 ( CVE-2024-43461 ) 于9月的补丁日披露，微软最初将其归类为未被攻击利用。然而，微软于周五更新了公告，确认该漏洞在修复之前曾被攻击利用。 微软透露，攻击者在 2024 年 7 月之前利用了 CVE-2024-43461，作为与另一个 MSHTML 欺骗漏洞 CVE-2024-38112 的漏洞链的一部分。 “我们在 2024 年 7 月的安全更新中发布了针对 CVE-2024-38112 的修复程序，从而打破了这一攻击链。”它表示。“客户应该同时安装 2024 年 7 月和 2024 年 9 月的安全更新，以全面保护自己。” 报告此安全漏洞的趋势科技零日计划 (ZDI) 威胁研究员 Peter Girnus告诉 BleepingComputer，Void Banshee 黑客在0day攻击中利用该漏洞安装了窃取信息恶意软件。 该漏洞使远程攻击者能够通过诱骗目标访问恶意制作的网页或打开恶意文件，在未修补的 Windows 系统上执行任意代码。 ZDI 公告解释道：“特定漏洞存在于 Internet Explorer 在文件下载后提示用户的方式中。精心设计的文件名可能导致隐藏真实文件扩展名，从而误导用户认为该文件类型无害。攻击者可以利用此漏洞在当前用户的上下文中执行代码。” 他们利用 CVE-2024-43461 漏洞传播伪装成 PDF 文档的恶意 HTA 文件。为了隐藏 .hta 扩展名，他们使用了 26 个编码的盲文空白字符 (%E2%A0%80)。 伪装成 PDF 文档的 HTA 文件 正如 Check Point Research 和 Trend Micro 7 月份所披露的那样，这些攻击中部署的Atlantida 信息窃取恶意软件可以帮助从受感染的设备中窃取密码、身份验证 cookie 和加密货币钱包。 Void Banshee 是一个 APT 黑客组织，由趋势科技首次发现，其以北美、欧洲和东南亚的组织为目标，窃取经济利益和数据而闻名。 CISA命令联邦机构在10月7日前修复 CISA 已将MSHTML 欺骗漏洞添加到其已知被利用漏洞目录中，将其标记为主动利用漏洞，并命令联邦机构在 10 月 7 日之前修复漏洞以保护易受攻击的系统。 CISA表示：“这些漏洞是恶意攻击者频繁利用的媒介，对联邦机构构成重大风险。” 尽管 CISA 的 KEV 目录主要侧重于向联邦机构发出应尽快修补的安全漏洞警报，但也建议全球私人组织优先缓解此漏洞以阻止正在进行的攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞，该漏洞能允许攻击者多次查看用户发送的“阅后即焚”（View once）内容。 WhatsApp的“阅后即焚”于3年前推出，允许用户发送只能浏览一次的照片、视频和语音消息，且接收者无法转发、分享、复制或截取消息。 但这其中有一个Bug，Zengo X 研究团队发现，“阅后即焚” 功能可用于向收件人的所有设备发送加密媒体消息，包括桌面端，即使这些消息在桌面端无法显示。 这些消息与普通消息几乎完全相同，但包含一个指向 WhatsApp 网络服务器（”blob store”）托管的加密数据 URL 以及解密密钥。 研究人员称，这些消息在下载后不会立即从 WhatsApp 的服务器中删除，且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。 此外，“阅后即焚 ”消息与常规消息类似，但带有一个“View once”值为“true”的标记，攻击者仅需将“true”改为“false”，就可绕过此隐私功能 ，下载、转发和共享这些“阅后即焚 ”消息。 Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织，但在此之前该漏洞可能至少 已经暴露了1年。BleepingComputer甚至已观察到两款谷歌浏览器插件（其中一个已于 2023 年发布）能够便捷地实现反复查看并共享“阅后即焚 ”消息。 目前Meta已表示对漏洞进行了修复，但这背后所反映出的更深层次问题也引发了人们的忧虑，即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是个”空壳“，其本质上仍然漏洞百出。   转自Freebuf，原文链接：https://www.freebuf.com/news/410675.html 封面来源于网络，如有侵权请联系删除

近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞，该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261，CVSS v3 得分为 9.8，是一个输入验证故障，由用户提供的数据处理不当引起，允许远程攻击者在主机操作系统上执行任意命令。 Zyxel 警告称某些 AP 和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。 受 CVE-2024-7261 影响的 Zyxel 接入点 (AP) 如下： NWA 系列： NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻击，请升级至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻击，请升级至 6.70(ABVT.5) 及更高版本。 WAC 系列： WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻击，请升级至 6.28(AAXH.3) 及更高版本。 WAX 系列： WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACHF.2) 及更高版本。 WBE 系列： WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACLE.2) 及更高版本。 Zyxel 表示，运行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影响，但该型号已通过云自动更新到 V2.00(ACIP.3)，其中实施了 CVE-2024-7261 的修补程序。 更多 Zyxel 修复 Zyxel 还针对 APT 和 USG FLEX 防火墙中的多个高严重性缺陷发布了安全更新。摘要如下： CVE-2024-6343：CGI 程序中的缓冲区溢出可能导致通过身份验证的管理员发送伪造的 HTTP 请求，从而导致 DoS。 CVE-2024-7203：验证后命令注入允许通过伪造的 CLI 命令执行操作系统命令。 CVE-2024-42057：在 IPSec VPN 中的指令注入，允許未認證的攻擊者在「使用者為本-PSK」模式下，利用偽造的長使用者名稱執行作業系統指令。 CVE-2024-42058：取消引用空指针可通过未认证攻击者发送的伪造数据包导致 DoS。 CVE-2024-42059：身份验证后命令注入允许身份验证的管理员通过 FTP 上传伪造的压缩语言文件执行操作系统命令。 CVE-2024-42060： 認證後指令注入漏洞，令已認證的管理員可透過上載精心製作的內部使用者協議檔案，執行作業系統指令。 CVE-2024-42061：dynamic_script.cgi “中的反射 XSS 允许攻击者诱骗用户访问伪造的 URL，从而可能泄漏基于浏览器的信息。 上述漏洞中 CVE-2024-42057 值得特别关注 ，它是 IPSec VPN 功能中的命令注入漏洞，无需验证即可被远程利用。 利用漏洞所需的特定配置要求会降低其严重性，包括在基于用户的 PSK 身份验证模式下配置设备，以及用户的用户用户名长度超过 28 个字符。 有关其他受影响的防火墙更多详细信息，可具体查看 Zyxel 公告。   转自Freebuf，原文链接：https://www.freebuf.com/news/410154.html 封面来源于网络，如有侵权请联系删除。

Google TAG 发布证据显示，俄罗斯 APT29使用的漏洞与以色列 NSO 集团和 Intellexa 使用的漏洞相同或惊人相似，这表明国家支持的黑客组织和有争议的监控软件供应商之间可能获取了工具。 这支俄罗斯黑客团队，又名午夜暴雪或 NOBELIUM，被指控对多起备受瞩目的公司进行黑客攻击，其中包括对微软的入侵，攻击中窃取了源代码和高管电子邮件数据。 据谷歌研究人员称，APT29 已利用多个在野漏洞攻击活动，这些活动通过对蒙古政府网站进行水坑攻击进行传播。这些活动首先传播了影响 16.6.1 以上 iOS 版本的 iOS WebKit 漏洞，随后利用 Chrome 漏洞链攻击运行 m121 至 m123 版本的 Android 用户。 Google TAG 表示：“这些活动使用了nday漏洞，这些漏洞已有补丁，但对未打补丁的设备仍然有效。”并指出，在水坑活动的每次迭代中，攻击者使用的漏洞与 NSO Group 和 Intellexa 之前使用的漏洞相同或极为相似。 谷歌发布了 2023 年 11 月至 2024 年 2 月期间 Apple Safari 活动的技术文档，该活动通过 CVE-2023-41993（由 Apple 修补并归功于公民实验室）提供了 iOS 漏洞。 2023 年 11 月至 2024 年 2 月针对 iOS 的攻击活动中使用的攻击链 谷歌表示：“当使用 iPhone 或 iPad 设备访问时，水坑攻击网站会使用 iframe 来提供侦察负载，该负载会执行验证检查，最终下载并部署另一个带有 WebKit 漏洞的负载，以从设备中窃取浏览器 cookie。” 研究人员指出，WebKit 漏洞不会影响当时运行当前 iOS 版本（iOS 16.7）或启用了锁定模式的 iPhone 的用户。 据谷歌称，该水坑漏洞“使用了完全相同的触发器”，与 Intellexa 使用的公开发现的漏洞“使用相同的触发器”，强烈暗示作者和/或提供商是相同的。 谷歌表示： “我们不知道最近的水坑攻击活动中的攻击者是如何获得这一漏洞的。” 谷歌指出，这两个漏洞利用都共享相同的利用框架，并加载了相同的 cookie 窃取框架，该框架之前曾被俄罗斯政府支持的攻击者利用CVE-2021-1879获取来自 LinkedIn、Gmail 和 Facebook 等知名网站的身份验证 cookie。 研究人员还记录了第二条攻击链，该攻击链利用了 Google Chrome 浏览器中的两个漏洞。其中一个漏洞 ( CVE-2024-5274 ) 被发现为 NSO Group 使用的野外0day漏洞。 2024 年 7 月针对 Google Chrome 的攻击活动中使用的攻击链 在本案中，谷歌发现证据表明俄罗斯 APT 改编了 NSO 集团的漏洞。 “尽管这两个漏洞的触发机制非常相似，但它们的概念却大不相同，相似之处不如 iOS 漏洞那么明显。例如，NSO 漏洞支持 Chrome 107 至 124 版本，而水坑漏洞仅针对版本 121、122 和 123。”谷歌表示。 漏洞重用时间表 俄罗斯攻击链中的第二个漏洞（CVE-2024-4671）也被报告为被利用的0day漏洞，并且包含一个漏洞样本，类似于之前与 Intellexa 相关的 Chrome 沙盒逃逸。 Google TAG 表示：“很明显，APT 参与者正在使用最初由商业间谍软件供应商用作0day漏洞的 n-day 漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jBRdFW-Pd6SdvA8tpO7VHg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。 这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。 MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。 JFrog 研究人员在一份详细报告中表示：“固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。” 一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行（例如，Pickle 模型文件）。 这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。 另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。 研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会呈现这些内容。” 这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。 换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。 为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/33OxeqSO2YfF6Ffv-Ows0g 封面来源于网络，如有侵权请联系删除

黑客使用有效的管理员凭据获得了对交换机的访问权限，然后从应用程序级别“越狱”到操作系统级别。 进一步的证据表明，经验丰富的攻击者越来越多地攻击边缘设备和网络设备，以提高隐身性和持久性：在这个案例中，一个名为“Velvet Ant”的黑客组织实力雄厚，但却鲜为人知。 2024 年 7 月 1 日，思科发布了一份公告，详细介绍了影响其 Nexus 交换机使用的 NX-OS 软件的 CLI 命令注入漏洞。 同一天，Sygnia 报告称发现该漏洞已被其追踪的黑客组织 Velvet Ant 使用。Sygnia 现已发布有关 Velvet Ant TTP 的更多信息。 Velvet Ant是 Sygnia 为该黑客组织的命名。该公司没有发现任何证据表明其他研究人员研究过该组织。 Velvet Ant攻击事件是老练攻击者通过边缘或网络设备攻击网络的典型案例。此类设备通常设计为黑匣子，用户访问权限有限，通常没有日志记录，安全堆栈也无法查看。成功攻击者的优势在于隐蔽性和持久性显著提高。 在一篇新博客文章中，Sygnia 描述了 Velvet Ant 多年来如何向网络基础设施的“更深、更黑暗”部分过渡，并最终危及思科交换机的安全。 Nexus 交换机运行 NX-OS。它具有分层架构，包括有限的 CLI“应用程序”级别和基于 Linux 的底层操作系统级别。授权管理员使用应用程序级别 CLI 执行网络管理任务，但不能（或不应该）直接访问受保护的操作系统级别。交换机的管理与操作系统分离，并受 CLI 的限制。操作系统级别处理核心系统功能、运行进程和管理对交换机操作至关重要的资源。 在可见性方面，操作系统层面发生的事情仍停留在操作系统层面——管理员和网络安全堆栈无法看到。“这些交换机设备不允许用户访问底层操作系统，因此几乎不可能扫描到入侵指标。”研究人员指出。 在这起事件中，Velvet Ant 首先使用有效的管理员凭据访问了交换机，然后从应用程序级别“越狱”（使用命令注入漏洞）进入操作系统级别。攻击者通过应用程序级别访问网络，并在操作系统级别实现隐藏持久性。 该漏洞编号为CVE-2024-20399，仍在等待 NVD 分析。思科公告将其评为中等严重性等级，漏洞描述为“思科 NX-OS 软件 CLI 中的漏洞可能允许拥有管理员凭据经过身份验证的用户在受影响设备的底层操作系统上以 root 身份执行任意命令。” 通过控制交换机，Velvet Ant 能够直接转向网络上的其他设备，而无需采用通常的横向移动方法——大多数不良行为者入侵都是通过这种方法检测到的。Velvet Ant 的目的是从事间谍活动。 研究人员表示：“这种访问使攻击者能够提升对交换机的控制权，使他们能够执行恶意脚本并操纵系统，超出预期的管理能力。” 该漏洞的发现是针对 Velvet Ant 间谍活动的大规模取证调查的一部分。在此期间，Sygnia 发现了使用有效管理凭据执行的可疑 Base64 编码命令。这些命令曾用于加载和执行二进制文件，并被追溯到交换机。 Velvet Ant 在利用后删除驻留证据。尽管如此，Sygnia 还是能够从设备内存中重建已使用的恶意软件。它将该恶意软件命名为 VelvetShell – 两种开源工具 TinyShell（Unix 后门）和 3proxy 的混合构造。 虽然这些工具长期以来一直被单独用于恶意目的，但 Velvet Ant 将它们整合到单个二进制文件中。在这种组合格式下，它可以执行任意命令、下载和上传文件，以及创建用于代理网络流量的隧道。简而言之，它对受感染系统提供了广泛的控制，既可以实现数据泄露，也可以实现持续访问。 最初的0day漏洞（现已被思科修补）并不容易利用。攻击者必须拥有网络访问权限和管理员凭据才能访问 Nexus 交换机。这种复杂性解释了为什么思科自己的公告中只给 Nexus 漏洞一个“中等”严重评级。 如果能做到这一点，攻击者可以利用该漏洞访问和控制交换机操作系统，并从那里访问和利用其他设备，同时保持对网络安全堆栈的隐藏。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JC3ml71XHISjRWIepP4Ocg 封面来源于网络，如有侵权请联系删除

GitHub 发布了针对 GitHub Enterprise Server 产品中三个安全缺陷的紧急修复程序，并警告称黑客可以利用其中一个缺陷获取网站管理员权限。 最严重的漏洞编号为CVE-2024-6800，该漏洞允许攻击者操纵 SAML SSO 身份验证来配置和/或获取具有站点管理员权限的用户帐户的访问权限。 该漏洞的 CVSS 严重性评分为 9.5/10，被描述为在使用特定身份提供者的 SAML 身份验证时 GitHub Enterprise Server (GHES) 中的 XML 签名包装错误。 安全公告显示：“此漏洞允许直接通过网络访问 GitHub Enterprise Server 的攻击者伪造 SAML 响应，以提供或获取具有站点管理员权限的用户的访问权限。利用此漏洞将允许未经授权访问实例，而无需事先进行身份验证。” GitHub 表示，该漏洞是通过其漏洞赏金计划私下报告的，影响GitHub Enterprise Server 3.14 之前的所有版本，并已在 3.13.3、3.12.8、3.11.14 和 3.10.16 版本中修复。 该公司还记录了一对中等严重程度的漏洞，这些漏洞允许攻击者更新公共存储库中任何问题的标题、受让人和标签；并使用仅具有内容：读取和拉取请求：写入权限的 GitHub 应用程序从私有存储库披露问题内容。 GitHub Enterprise Server 是 GitHub Enterprise 的自托管版本。它安装在本地或私有云上，并提供基于云的 GitHub 版本的功能，包括拉取请求、代码审查和项目管理工具。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kU03OsYUgx3e34bn3DaMEg 封面来源于网络，如有侵权请联系删除

安全内参8月20日消息，本月初，印度上百家中小银行使用的数字支付系统遭遇了一场极具破坏性的勒索软件攻击。研究人员发现，这次攻击的根源在于一个Jenkins漏洞。Jenkins是一款开发人员广泛使用的开源自动化工具。 攻击者利用Jenkins漏洞攻陷系统 瞻博网络（Juniper Networks）日前发布一项研究报告，详细分析了攻击者如何利用Jenkins命令行界面（CLI）中的CVE-2024-23897漏洞进行攻击。该界面帮助开发人员与系统进行交互操作。 7月31日，负责管理印度所有零售支付系统的综合组织，印度国家支付公司（NPCI）宣布，正在处理由于其第三方技术供应商C-Edge Technologies遭受勒索软件攻击而导致的服务中断。 C-Edge为印度的地区农村银行提供技术服务。为减小影响，印度国家支付公司决定将C-Edge与其运营的零售支付系统隔离。C-Edge的客户在开始恢复工作时无法访问支付系统。 经过一天的努力，服务恢复正常。此后，勒索软件团伙RansomEXX宣布对这次攻击负责，并在其泄露网站上声称，他们从与C-Edge相关的数字支付平台中窃取了142GB的数据。 瞻博网络分析了印度国家支付公司向印度计算机应急响应小组（CERT-IN）提交的报告。研究人员表示，这次攻击凸显了各组织应当尽快应用安全补丁并修正服务器配置错误，以防止安全漏洞被恶意利用。 数月前就已有漏洞预警 Jenkins可以帮助开发人员构建、测试和部署软件。然而，这个漏洞允许攻击者访问敏感文件或数据。 去年11月，SonarSource首次发现了CVE-2024-23897漏洞，并帮助Jenkins团队验证今年1月发布的修复程序。 漏洞概念验证（PoC）一经发布，研究人员立即开始注意到攻击企图，并指出该漏洞允许攻击者接管未打补丁的Jenkins服务器。 由于Jenkins被广泛部署，这个漏洞在今年年初给网络安全社区敲响了警钟。 Horizon3.ai的首席架构师Naveen Sunkavally指出，全球有成千上万的Jenkins服务器对公众开放。由于这些服务器通常存储着大量敏感信息和其他系统的凭证，Jenkins成为了攻击者的常见目标。 Sunkavally表示：“如果Jenkins服务器的默认配置被错误修改，或者攻击者获取了有效的Jenkins用户账户，即使攻击者没有任何初始权限，他们也可以利用这个漏洞，甚至进一步控制服务器并提取凭证数据。不过，后两种情况依赖于超出攻击者控制的因素。” 他还提到，美国网络安全和基础设施安全局（CISA）的已知被利用漏洞（CISA KEV）目录中包含了四个与Jenkins相关的漏洞。此前，某些漏洞曾被用于安装加密挖矿软件或支持国家级网络攻击。 Critical Start的网络威胁情报分析师Sarah Jones和其他几位研究人员在今年1月发出警告，称该漏洞可能允许黑客窃取大量敏感数据，甚至可能“完全控制组织的基础设施”。 她补充道：“除了这些直接威胁，这类事件还可能对组织的声誉造成持久性损害，削弱公众信任，影响财务稳定，甚至引发法律后果。”   转自安全内参，原文链接：https://www.secrss.com/articles/69344 封面来源于网络，如有侵权请联系删除