有消息称安全研究人员披露了十多个影响通用电气（GE）医疗旗下Vivid系列超声产品的安全漏洞。恶意攻击者可以利用这些漏洞篡改患者数据，甚至在某些情况下安装勒索软件。 OT安全厂商Nozomi Networks发布技术报告称：“这些漏洞可以造成多方面影响，包括在超声设备上植入勒索软件、访问和篡改存储在易受攻击设备上的患者数据等。” 这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop网页应用程序。该应用程序暴露在设备的本地主机接口上，允许用户执行管理操作。 另一个受影响的软件程序叫做EchoPAC，安装在医生的Windows工作站上，帮助他们访问多维度的超声、血管和腹部影像。 物理接触后可造成高危害 要成功利用这些漏洞，攻击者首先需要进入医院环境并与设备进行物理交互，之后他们才能利用这些漏洞获得管理员权限，执行任意代码。 在假设的攻击场景中，恶意攻击者可以通过植入勒索软件锁定Vivid T9系统，甚至窃取或篡改患者数据。 最严重的漏洞是CVE-2024-27107（CVSS评分：9.6），涉及使用硬编码凭证。研究人员发现的其他缺陷包括命令注入（CVE-2024-1628）、以不必要的权限执行（CVE-2024-27110、CVE-2020-6977）、路径遍历（CVE-2024-1630、CVE-2024-1629）以及保护机制失效（CVE-2020-6977）。 Nozomi Networks设计的漏洞利用链，通过CVE-2020-6977获取设备的本地访问权限，然后利用CVE-2024-1628实现代码执行。 Nozomi Networks表示：“为了加快攻击速度，攻击者还可以利用暴露的USB端口，插入一只恶意U盘，通过模拟键盘和鼠标，以比人类更快的速度自动执行所有必要步骤。” 或者，攻击者可以使用通过其他手段（如网络钓鱼或数据泄漏）获取的被盗VPN凭证，访问医院的内部网络，扫描易受攻击的EchoPAC设备，然后利用CVE-2024-27107获取对患者数据库的不受限制的访问，彻底破坏其机密性、完整性和可用性。 GE医疗发布了一系列公告，表示“现有的缓解措施和控制措施”将这些漏洞带来的风险降到了可接受的水平。 公告指出：“具有物理访问权限的恶意攻击者可能会使设备无法使用，但是这种情况不太可能发生。而且设备的预期用户会看到明确的被攻击迹象。该漏洞只能被具有直接物理访问权限的人利用。” 物联网漏洞频发 这次漏洞披露几周前，研究人员在医学成像软件Merge DICOM Toolkit Windows版中发现了数个安全漏洞（CVE-2024-23912、CVE-2024-23913和CVE-2024-23914）。这些漏洞可用于触发DICOM服务进入拒绝服务状态。这些问题已在这一工具库的v5.18版本中得到解决。 此外，研究人员还在西门子SIMATIC Energy Manager（EnMPro）产品中发现了最高严重性安全漏洞（CVE-2022-23450，CVSS评分：10.0）。远程攻击者可以通过发送恶意制作的对象利用该漏洞以SYSTEM权限执行任意代码。 Claroty安全研究员Noam Moshe表示：“成功利用该漏洞的攻击者可以远程执行代码，并完全控制EnMPro服务器。” 强烈建议用户更新到V7.3 Update 1或更高版本，因为之前的所有版本都包含不安全的反序列化漏洞。 集成于物联网设备中的ThroughTek Kalay平台中也曝出了安全漏洞（CVE-2023-6321到CVE-2023-6324）。攻击者可以利用这些漏洞提升权限、以root身份执行命令，并与受害设备建立连接。 罗马尼亚安全厂商Bitdefender表示：“将这些漏洞结合在一起，可以在本地网络内进行未经授权的root访问和远程代码执行，从而彻底破坏受害设备。只有在设备被本地网络探测到后才有可能实施远程代码执行。” 这些漏洞在2023年10月被披露后，于2024年4月得到了修补。这些漏洞影响了Owlet、Roku和Wyze等供应商生产的婴儿监视器和室内安全摄像头。攻击者可以将这些漏洞链接在一起，在设备上执行任意命令。 Bitdefender 补充道：“这些漏洞的影响远远超出了理论攻击的范围，因为它们直接影响依赖ThroughTek Kalay驱动设备的用户的隐私和安全。”   转自安全内参，原文链接：https://www.secrss.com/articles/66222 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一起重大数据泄露事件，据称影响了科技巨头微软。此次泄露将敏感的员工凭证和公司内部文件暴露到互联网上，引发了人们对组织内部数据安全协议的严重担忧。不过目前安全漏洞已得到解决。 研究人员 Can Yoleri、Murat Özfidan 和 Egemen Koçhisarlı 通过托管在 Microsoft Azure 云服务上的开放式公共存储服务器发现了所谓的 Microsoft数据泄露事件。该服务器包含与微软必应搜索引擎相关的内部信息，没有任何明显的安全措施来保护其免受未经授权的访问。 据TechCrunch报道，微软内部安全系统并未重点关注或检测到数据泄露事件，这引发了对其监控机制有效性的质疑。 该报告进一步强调，可在线访问的数据包括大量敏感信息，例如代码、脚本和配置文件，其中包含微软员工用于访问内部数据库和系统的密码、密钥和凭据。 微软泄露凭证可能被用于进一步攻击 受损的内部 Azure 服务器似乎与 Bing 搜索引擎的功能相关，并被用来存储包含敏感数据的脚本、配置和代码，例如公司员工用来访问企业数据库和系统的凭据、密码和密钥。 一名研究人员表示，微软泄露的数据可用于进一步入侵，帮助攻击者识别微软如何处理其内部资源的存储，以及在攻击活动中使用泄露的凭据。 调查团队于 2024 年 2 月用泄露的凭据向微软发出警报，微软在 3 月的第一周采取措施保护此前未受保护的内部 Azure 服务器的安全。 新闻报道称，该漏洞现已得到解决，但该事件凸显了加强网络安全措施在保护敏感数据方面的重要性。微软作为全球领先的科技公司之一，在数据保护和隐私方面面临着更严格的审查和期望。 微软泄露科技巨头一系列安全失误的最新消息 虽然内部资源泄漏的程度以及微软采取的补救措施仍不清楚，但该事件是该公司最近面临的一系列与云安全相关的安全事件的一部分。 今年 2 月，微软云软件解决方案的 Azure 组件中报告了“三个高风险漏洞”，以及一个可能允许远程代码执行 (RCE) 攻击的关键物联网设备漏洞。 去年，即 2023 年，研究人员发现微软在其发布到 Github 的代码中暴露了其企业网络的敏感凭证。同年，该公司在一次事件中面临严格审查，威胁组织 Storm-0558 成功获取了其电子邮件签名密钥，此举被广泛视为对美国政府官员之间电子邮件通信的间谍攻击。 该事件凸显了科技巨头在保护自己的内部资源和敏感数据或员工凭证免受各种形式的安全漏洞和疏忽以及周围威胁的影响方面可能面临的困难。   转自安全客，原文链接：https://www.anquanke.com/post/id/295556 封面来源于网络，如有侵权请联系删除

LG 智能电视上运行的 webOS 已被披露存在多个安全漏洞，这些漏洞可被用来绕过授权并获得设备的 root 访问权限。 该调查结果来自罗马尼亚网络安全公司 Bitdefender，该公司于 2023 年 11 月发现并报告了这些缺陷。LG 在 2024 年 3 月 22 日发布的更新中修复了这些问题。 这些漏洞从 CVE-2023-6317 到 CVE-2023-6320 进行跟踪，影响以下 webOS 版本 – 在 LG43UM7000PLA 上运行的 webOS 4.9.7 – 5.30.40 在 OLED55CXPUA 上运行的webOS 5.5.0 – 04.50.51  在 OLED48C1PUB 上运行的webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50  在 OLED55A23LA 上运行的webOS 7.3.1-43 (mullet-mebin) – 03.33.85 其缺点简述如下： CVE-2023-6317 ：该漏洞允许攻击者绕过 PIN 验证并向电视机添加特权用户配置文件，且无需用户交互 CVE-2023-6318 ：该漏洞允许攻击者提升权限并获得 root 访问权限以控制设备 CVE-2023-6319 ：该漏洞允许通过操纵负责显示音乐歌词的名为 asm 的库来注入操作系统命令 CVE-2023-6320 ：该漏洞允许通过操纵 com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点来注入经过身份验证的命令的漏洞 成功利用这些漏洞可能使攻击者获得设备的更高权限。进一步地，该设备可能与 CVE-2023-6318 和 CVE-2023-6319 相关联，进而获取根访问权限，或者与 CVE-2023-6320 相关联，以 dbus 用户身份运行任意命令。   转自安全客，原文链接：https://www.anquanke.com/post/id/295449 封面来源于网络，如有侵权请联系删除

根据安全公司 Defiant 的建议，攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。 该漏洞编号为 CVE-2024-1852，是输入清理和输出转义不充分造成的结果，允许攻击者创建将恶意脚本存储为用户 IP 地址值的帐户。 攻击者可以使用 WP-Members 会员资格的用户注册功能来填写并提交注册表，然后使用代理拦截注册请求，并修改它以包含 X-Forwarded-For 标头，其中包含脚本标记中的恶意负载，Defiant 的Wordfence研究团队表示。 问题是，如果请求中存在 X-Forwarded-For 标头，则插件将使用其值来存储依赖注册表单的任何用户的 IP 地址。 警报称： “由于 HTTP 标头可以被操纵，并且输入未经过净化，因此用户可以提供任何值，包括将存储为用户 IP 的恶意 Web 脚本。” 恶意脚本存储在用户的配置文件中，如果管理员编辑或查看用户帐户，则负载将包含在页面加载时生成的源代码中。 Wordfence 补充道：“重要的是要了解，此恶意代码将在管理员浏览器会话的上下文中执行，并可用于创建恶意用户帐户、将网站访问者重定向到其他恶意网站并执行其他恶意操作。” 在版本 3.4.9.2 中包含部分修复后，WP-Members 会员版本 3.4.9.3 修复了该漏洞。建议用户尽快更新其安装。 WP-Members是一个用户会员插件，拥有超过 60,000 个活跃安装，允许网站所有者轻松设置和管理用户注册、登录和配置文件、设置限制等。   转自安全客，原文链接：https://www.anquanke.com/post/id/295277 封面来源于网络，如有侵权请联系删除

最近在流行的本地 Web 应用程序防火墙 (WAF) Imperva SecureSphere 中发现了一个严重的安全漏洞，编号为 CVE-2023-50969。 此 Imperva SecureSphere 漏洞可能导致严重的安全漏洞， CVSS 得分为 9.8，允许攻击者绕过旨在阻止常见基于 Web 的攻击（例如 SQL 注入和跨站点脚本）的关键安全协议。 Imperva SecureSphere 漏洞 (CVE-2023-50969) 的更新 该漏洞存在于对 HTTP 请求中“Content-Encoding”标头的操作以及特定编码的 POST 数据的传输中。 这种利用技术使黑客通过 WAF 的防御秘密注入有害负载。从本质上讲，攻击者可以利用此缺陷来攻击 WAF 旨在保护的应用程序中的漏洞。 安全研究人员HoyaHaxa提供了有关如何利用此漏洞的技术见解。通过巧妙地操纵 HTTP 请求标头并对 POST 数据进行编码，攻击者可以规避安全措施，从而可能针对组织的数字基础设施。 Imperva 已确认CVE-2023-50969 漏洞影响 SecureSphere WAF 的特定版本。使用 Imperva SecureSphere WAF v14.7.0.40 以及缺少 2024 年 2 月 26 日发布的应用程序防御中心 (ADC) 更新的任何版本的 Imperva SecureSphere 的组织都容易受到此威胁。 针对 Imperva SecureSphere 漏洞的缓解技术 值得注意的是，Imperva Cloud WAF 客户仍然不受此漏洞的影响。对于使用 Imperva SecureSphere WAF 的组织，建议采取的措施包括应用 Imperva 于 2024 年 2 月 26 日发布的 ADC 规则更新。有关实施此更新的详细说明可以在官方Imperva 支持门户文档中找到。 另一种缓解 Imperva SecureSphere 漏洞的技术是对 Web 应用程序进行全面审核，重点关注以前被 WAF 屏蔽的漏洞。鉴于 CVE-2023-50969 漏洞的严重性，使用 Imperva SecureSphere WAF 的组织必须立即采取行动以降低利用风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/295288 封面来源于网络，如有侵权请联系删除

俄罗斯安全研究人员表示，他们发现了一个与乌克兰有联系的新网络间谍组织，该组织至少从今年一月起就开始运作。 他们将该组织命名为PhantomCore，并将攻击者之前未描述的远程访问恶意软件标记为 PhantomRAT。 总部位于莫斯科的网络安全公司 FACCT 表示，在对未具名俄罗斯公司的攻击中，黑客利用了WinRAR 中的一个已知漏洞（CVE-2023-38831）。 据 FACCT 称，PhantomCore 使用的策略与之前利用此漏洞的攻击不同。例如，研究人员表示，黑客通过利用特制的 RAR 存档而不是之前观察到的 ZIP 文件来执行恶意代码。 为了将 PhantomRAT 传送到受害者的系统中，黑客使用了网络钓鱼电子邮件，其中包含伪装成合同的 PDF 文件，以及附加的 RAR 存档，该存档受电子邮件中发送的密码保护。PDF 文件是网络间谍活动中的常见诱惑。 网络钓鱼电子邮件 恶意PDF附件 仅当用户使用低于 6.23 的 WinRAR 版本打开 PDF 文件时，才会启动存档中的可执行文件。 研究人员表示，在攻击的最后阶段，易受攻击的系统感染了 PhantomRAT，该系统能够从命令和控制 (C2) 服务器下载文件，并将文件从受感染的主机上传到黑客控制的服务器。 PhantomCore 组织的杀伤链 黑客在攻击活动中可以获得的信息包括主机名、用户名、本地IP地址和操作系统版本。通常，这些信息可以帮助黑客进行进一步的攻击。 在分析过程中，研究人员还发现了三个 PhantomRAT 测试样本，根据 FACCT 的说法，这些样本是从乌克兰上传的。 研究人员表示：“我们可以有一定把握地说，实施这些攻击的攻击者可能位于乌克兰境内。” 鉴于大多数西方网络公司在俄罗斯入侵乌克兰时离开了俄罗斯，因此它们在俄罗斯网络中的知名度有限。Recorded Future News 要求几家公司审查 FACCT 的研究。 Check Point 的研究人员表示，他们调查了该报告和相关漏洞，并确认该恶意软件确实按照描述运行。 Check Point 表示，所有运行 WinRAR 6.23 之前版本的系统都容易受到攻击。研究人员指出，存档中的特定示例仅针对 64 位系统设计——较新的 Windows 机器通常具有处理能力。Check Point 表示，在其他攻击中，有效负载可能会有所不同，如果攻击者需要的话，可能会同时影响 32 位和 64 位系统。 微软威胁情报战略总监 Sherrod DeGrippo 表示，该公司此前并未观察到 FACCT 归因于该组织的具体活动。Microsoft 和其他公司熟悉 CVE-2023-38831 的广泛利用，包括网络犯罪分子和国家支持的行为者。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BsSkIhQYI57MovPzyJ3sUA 封面来源于网络，如有侵权请联系删除

ParaSwap 在 DeFi 领域进行了针对“AugustusV6 漏洞”的智能合约漏洞的新预防措施。该漏洞被上周被检测到，ParaSwap 立即采取行动来保护用户资产并纠正问题。在发现该漏洞后，ParaSwap 团队立即行动解决问题。 ParaSwap V6 漏洞的缓解措施： X 上的 ParaSwap 为了减轻V6漏洞的影响，ParaSwap启动了一系列主动措施。其中一项措施涉及撤销对受感染的 AugustusV6 智能合约的权限。通过撤销权限，ParaSwap 旨在防止未经授权访问用户钱包和代币，从而保护用户资金免受潜在利用。 在 3 月 24 日发布的声明中，ParaSwap 宣布已成功将资产返还至已撤销受感染智能合约权限的钱包。 X 上的 ParaSwap 此外，ParaSwap 与知名区块链分析和安全公司（包括 Chainaanalysis 和 TRM Labs）密切合作，以识别黑客地址并追踪与该漏洞相关的资金动向。通过链上消息传递，ParaSwap 联系了已识别的黑客地址，敦促他们归还被盗用的用户资金。 ParaSwap AugustusV6 漏洞与黑客的较量： 为了与黑客打交道，ParaSwap 向利用该漏洞的白帽子的人伸出了橄榄枝。该组织提供对话渠道并鼓励返还资金，以减轻任何潜在的法律影响。 然而，ParaSwap 明确表示，如果不遵守返还资金的要求，将导致寻求所有可用的法律途径来追回被盗用的资产。该组织设定了黑客做出回应的截止日期为 2024 年 3 月 27 日，在此之后，该组织将认定其恶意并采取适当的法律行动。   转自安全客，原文链接：https://www.anquanke.com/post/id/294367 封面来源于网络，如有侵权请联系删除

一个名为Magnet Goblin的出于经济动机的威胁行为者正在迅速将一日安全漏洞纳入其武器库，以便伺机破坏边缘设备和面向公众的服务，并在受感染的主机上部署恶意软件。 Check Point表示：“威胁组织 Magnet Goblin 的特点是能够迅速利用新披露的漏洞，特别是针对面向公众的服务器和边缘设备。” “在某些情况下，PoC发布后 1 天内就会部署漏洞，从而显着增加了该攻击者构成的威胁级别。” 对手发起的攻击利用未修补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始感染媒介来获得未经授权的访问。据称该组织至少自 2022 年 1 月起就一直活跃。 成功利用此漏洞后，会部署一个名为 Nerbian RAT 的跨平台远程访问木马 (RAT)，该木马由 Proofpoint 于 2022 年 5 月首次披露，其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。 这两种病毒都允许执行从命令与控制 (C2) 服务器接收的任意命令，并泄露返回给它的结果。 Magnet Goblin 使用的其他一些工具包括WARPWIRE JavaScript 凭证窃取程序、基于 Go 的隧道软件 Ligolo，以及合法的远程桌面产品（例如 AnyDesk 和 ScreenConnect）。 该公司表示：“Magnet Goblin 的活动似乎是出于经济动机，很快就利用 1 天漏洞来传播他们的定制 Linux 恶意软件、Nerbian RAT 和 MiniNerbian。” “这些工具在雷达下运行，因为它们大多驻留在边缘设备上。这是威胁行为者瞄准迄今为止尚未受到保护的区域的持续趋势的一部分。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293818 封面来源于网络，如有侵权请联系删除

研究人员近期发现，Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序  appid.sys 中的零日漏洞 CVE-2024-21338，获得内核级访问权限并关闭安全工具，从而能够轻松绕过 BYOVD（自带漏洞驱动程序）技术。 Avast 网络安全分析师发现了这一网络攻击活动，随后便立刻向微软方面上报。微软在 2024 年 2 月发布的安全更新中解决安全漏洞的问题。不过，微软并未将 CVE-2024-21338 安全漏洞标记为零日漏洞。 Lazarus 黑客组织利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中创建了一个读/写内核基元（ESET 于 2022 年底首次记录了 CVE-2024-21338 漏洞。此前，rootkit 曾滥用戴尔驱动程序进行了 BYOVD 攻击） 新版 FudModule 在隐蔽性和功能性方面有了显著增强，包括但不限于采用了新技术逃避检测和关闭 Microsoft Defender 和 CrowdStrike Falcon 等安全保护。此外，通过检索大部分攻击链，Avast 还发现了 Lazarus 黑客组织使用了一种此前从未记录的远程访问木马 (RAT)。Avast 承诺将在 4 月份的 BlackHat Asia 上分享有关该木马的更多细节。 Lazarus 黑客组织对 0 Day 漏洞利用详情 Lazarus 黑客组织利用了微软 “appid.sys “驱动程序中的一个漏洞，该驱动程序是 Windows AppLocker 组件，主要提供应用程序白名单功能。 Lazarus 团队成员通过操纵 appid.sys 驱动程序中的输入和输出控制（IOCTL）调度程序来调用任意指针，诱使内核执行不安全代码，从而绕过安全检查。 漏洞利用中使用的直接系统调用 FudModule rootkit 与漏洞利用程序构建在同一模块内，执行直接内核对象 DKOM 操作，以关闭安全产品、隐藏恶意活动并维持被入侵系统的持久性。（安全产品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反恶意软件解决方案） Avast 在新版 rootkit 中发现了新的隐身特性和扩展功能，例如通过 DKOM 进行选择性和有针对性的破坏、增强篡改驱动程序签名执行和安全启动功能等。Avast 还指出，这种新的安全漏洞利用策略标志着威胁攻击者内核访问能力有了重大突破，使其能够发起更隐蔽的网络攻击，并在被入侵网络系统上持续更长时间。 最后，安全人员指出，针对 CVE-2024-21338 安全漏洞唯一有效的安全措施就是尽快应用 2024 年 2 月的 发布的安全更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/392838.html 封面来源于网络，如有侵权请联系删除

安全公司 HiddenLayer 发现 Hugging Face 的 Safetensors 转换服务中存在一个漏洞，攻击者可以利用该漏洞拦截用户上传的 AI 模型并危及供应链。 根据 HiddenLayer报告 ，攻击者可以从 Hugging Face 服务向平台上的任何存储库发送恶意合并请求，并拦截通过转换服务传输的任何模型。这项技术开辟了修改平台上任何存储库的方法，伪装成转换机器人。 Hugging Face 是一个流行的协作平台，可帮助用户存储、部署和训练预先训练的机器学习模型和数据集。Safetensors 是该公司开发的一种用于安全存储张量的格式。 HiddenLayer 的分析表明，网络犯罪分子可以使用恶意 PyTorch 二进制文件来劫持转换服务并危害托管该服务的系统。此外，旨在创建合并请求的官方机器人SFConvertbot的令牌 可以被窃取，以向网站上的任何存储库发送恶意请求，从而允许攻击者篡改模型并将后门嵌入其中。 研究人员指出，当用户尝试转换其模型时，攻击者可以执行任何任意代码，同时对用户不可见。如果受害者尝试转换自己的私人存储库，这可能会导致 Hugging Face 令牌被盗、访问内部模型和数据集以及可能中毒。 使问题更加复杂的是，任何用户都可以向公共存储库提交转换请求，从而导致常用模型被拦截或修改的可能性，从而给供应链带来重大风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/293558 封面来源于网络，如有侵权请联系删除