HackerNews 编译，转载请注明出处： IBM 安全验证目录服务器容器存在两个漏洞，可能允许攻击者获得未经授权的访问权限并执行命令。IBM 已发布安全公告，详细说明了这些漏洞。 公告中提到的两个漏洞是 CVE-2024-49814 和 CVE-2024-51450，影响 IBM 安全验证目录 10.0.0 至 10.0.3 版本。 CVE-2024-49814 是一个本地权限提升漏洞，可能允许经过身份验证的用户获得更高权限，并有可能控制整个系统。该漏洞的 CVSS 基础评分为 7.8，表明其严重性较高。 CVE-2024-51450 是一个远程命令注入漏洞，可能允许攻击者通过发送特制请求在系统上执行任意命令。该漏洞的 CVSS 基础评分为 9.1，表明其严重性为关键级别。 “IBM 安全验证目录可能允许远程经过身份验证的攻击者通过发送特制请求在系统上执行任意命令，”公告中指出。 IBM 强烈建议客户更新到最新版本的软件，以修复这些漏洞。更新包括解决已识别安全缺陷的修复程序，并增强了系统的整体安全性。 使用 IBM 安全验证目录的组织应尽快应用更新，以保护其系统免受潜在攻击。优先考虑漏洞管理并确保及时应用安全更新，对于降低被利用的风险至关重要。   消息来源：Security Online, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件供应商 Trimble 警告称，黑客正在利用 Cityworks 反序列化漏洞远程执行 IIS 服务器上的命令，并部署 Cobalt Strike 信标以获取初始网络访问权限。 Trimble Cityworks 是一款以地理信息系统（GIS）为核心的资产管理和工单管理软件，主要面向地方政府、公用事业和公共工程组织。该产品帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划和预算等。 该漏洞被追踪为 CVE-2025-0994，是一个高严重性（CVSS v4.0 评分为 8.6）的反序列化问题，允许经过身份验证的用户对客户的微软互联网信息服务（IIS）服务器执行远程代码攻击。 Trimble 表示，已调查客户关于黑客利用该漏洞未经授权访问客户网络的报告，表明该漏洞正在被积极利用。 美国网络安全和基础设施安全局（CISA）已发布协调公告，警告客户立即保护其网络免受攻击。 CVE-2025-0994 漏洞影响 Cityworks 15.8.9 之前的版本和 Cityworks with office companion 23.10 之前的版本。 最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 29 日发布。 管理本地部署的管理员必须尽快应用安全更新，而云托管实例（CWOL）将自动接收更新。 Trimble 警告称，一些本地部署可能具有过度特权的 IIS 身份权限，这些权限不应以本地或域级管理员权限运行。此外，一些部署的附件目录配置不正确。供应商建议将附件根文件夹限制为仅包含附件。 在完成上述所有三个操作后，客户可以恢复 Cityworks 的正常运行。 虽然 CISA 尚未分享该漏洞的利用方式，但 Trimble 已发布利用该漏洞的攻击的入侵指标（IOC）。这些 IOC 表明，威胁行为者部署了多种远程访问工具，包括 WinPutty 和 Cobalt Strike 信标。 微软还于昨日警告称，威胁行为者正在利用在线暴露的 ASP.NET 机器密钥，通过 ViewState 代码注入攻击入侵 IIS 服务器以部署恶意软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司VulnCheck最新报告显示，2024年野外被利用的CVE数量攀升至768个，较2023年的639个增长20%，创下年度新高。 约23.6%的KEV在公开披露当日或之前就已被武器化，这一比例虽较2023年的26.8%略有下降，却印证了漏洞在其生命周期内随时可能遭受攻击的行业规律。 VulnCheck安全研究员Patrick Garrity在接受《黑客新闻》采访时透露：”2024年公布的CVE中，有1%在发布时就被确认遭到野外利用。考虑到漏洞利用常存在滞后性，实际数字预计会持续攀升。”这一发现基于该公司持续追踪的漏洞生命周期数据。 值得关注的是，报告发布的两个月前，VulnCheck曾披露2023年度最常被利用的15个高危漏洞中，有15个中国黑客组织（占已命名威胁行为体的四分之一）涉及至少一个漏洞的利用。 其中，Log4j漏洞（CVE-2021-44228）以关联31个威胁组织位居榜首，目前仍有65,245台主机存在潜在风险。 经测算，全球约40万台联网设备因Apache、Atlassian等10家主流厂商产品的15个安全缺陷面临攻击威胁。这些涉及企业包括思科、微软、Fortinet等行业巨头，暴露出广泛的企业级安全风险。 对此，VulnCheck提出五点防护建议：企业需系统评估技术暴露面、建立风险可视化机制、强化威胁情报应用、完善补丁管理体系，并尽可能减少相关设备的互联网暴露面。该建议直指当前企业网络安全建设的核心痛点，为应对日益复杂的漏洞攻击提供了操作性框架。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息，如果该漏洞被成功利用，可能会允许威胁行为者窃取用户的凭据并发起后续攻击。 Zenity Labs 在一份与《黑客新闻》分享的报告中表示，这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动，从而获得对敏感数据的未经授权的访问。 “该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365，这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说，“这增加了成功攻击的可能性，使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。” 在 2024 年 9 月负责任地披露该漏洞后，微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。 微软 Power Platform 是一系列低代码开发工具，允许用户促进分析、流程自动化和数据驱动的生产力应用程序。 该漏洞本质上是服务器端请求伪造（SSRF），源于 SharePoint 连接器中的“自定义值”功能，该功能允许攻击者在流程中插入自己的 URL。 然而，为了使攻击成功，恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。 “有了环境制造者角色，他们可以创建和共享恶意资源，如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色，他们需要先获得这些角色。” 在一个假设的攻击场景中，威胁行为者可以为 SharePoint 操作创建一个流程，并与低权限用户（即受害者）共享，导致他们的 SharePoint JWT 访问令牌泄露。 掌握了这个被捕获的令牌，攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。 不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务，如 Power Apps 和 Copilot Studio，以窃取用户的令牌并进一步提升访问权限。 “你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互，你就可以像在组织内一样轻松地窃取他们的令牌，使攻击更加广泛。” “主要的收获是，Power Platform 服务的相互关联性可能会导致严重的安全风险，尤其是考虑到 SharePoint 连接器的广泛使用，其中存储了大量敏感的公司数据，确保在各种环境中维护适当的访问权限可能会很复杂。” 这一事件发生之际，Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞，这些漏洞可能被利用来与元数据 API 端点通信，从而允许攻击者获取有关机器配置的信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌日前发布安全更新，修复安卓操作系统中47项安全漏洞，其中一项已被证实遭到实际攻击。 本次修复的核心漏洞CVE-2024-53104（CVSS评分7.8）属于USB视频类（UVC）驱动内核组件的权限提升漏洞。 谷歌表示，攻击者可通过物理接触设备实施本地提权攻击，且已监测到该漏洞存在“有限范围的定向攻击”。 技术溯源显示，该漏洞最早可追溯至2008年发布的Linux内核2.6.26版本。 Linux内核维护者Greg Kroah-Hartman在2024年12月初披露，该漏洞源于”uvc_driver.c”程序中”uvc_parse_format()”函数对UVC_VS_UNDEFINED类型帧解析时引发的越界写入问题，可能导致内存损坏、程序崩溃或任意代码执行。 安全机构GrapheneOS分析指出，考虑到该漏洞涉及物理提权特性，不排除被取证数据提取工具滥用的可能性。同步修复的还包括高通WLAN组件高危漏洞CVE-2024-45569（CVSS评分9.8），该漏洞同样存在内存损坏风险。 值得注意的是，谷歌此次采用2025-02-01和2025-02-05双安全补丁级别机制，以便设备厂商灵活处理安卓系统通用漏洞。 “我们鼓励 Android 合作伙伴修复本公告中的所有问题，并使用最新的安全补丁级别，”谷歌表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： AMD 的安全加密虚拟化（SEV）功能中披露了一个安全漏洞，可能允许攻击者在特定条件下加载恶意 CPU 微代码。 该漏洞被追踪为 CVE-2024-56161，CVSS 评分为 7.2，表明其严重性较高。 AMD 在一份咨询报告中表示：“AMD CPU ROM 微代码补丁加载器中的签名验证不当，可能允许具有本地管理员权限的攻击者加载恶意 CPU 微代码，从而导致运行在 AMD SEV-SNP 下的机密客体的机密性和完整性受损。” SEV 是一项安全功能，使用每个虚拟机（VM）的唯一密钥来隔离虚拟机和 hypervisor。SNP（安全嵌套分页）结合了内存完整性保护，以创建一个隔离的执行环境，并防范基于 hypervisor 的攻击。 AMD 表示：“SEV-SNP 引入了几个额外的可选安全增强功能，旨在支持额外的 VM 使用模型，提供更强的中断行为保护，并增加对最近披露的侧信道攻击的防护。” 在另一份公告中，Google 指出 CVE-2024-56161 是由于微代码更新的签名验证中使用了不安全的哈希函数，这为攻击者可能破坏机密计算工作负载打开了大门。 该公司还发布了一个测试有效载荷来演示该漏洞，但额外的技术细节将在一个月后公布，以便有足够的时间让修复措施在“深层供应链”中得到推广。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： QNAP已修复六项rsync漏洞，这些漏洞可能导致攻击者在未打补丁的网络附加存储（NAS）设备上执行远程代码。 Rsync是一款开源文件同步工具，支持通过其守护进程进行直接文件同步、通过SSH进行SSH传输以及节省时间和带宽的增量传输。它被Rclone、DeltaCopy、ChronoSync等许多备份解决方案广泛使用，同时也应用于云和服务器管理操作以及公共文件分发。 这些漏洞被追踪为CVE-2024-12084（堆缓冲区溢出）、CVE-2024-12085（未初始化堆栈导致的信息泄露）、CVE-2024-12086（服务器泄露任意客户端文件）、CVE-2024-12087（通过–inc-recursive选项的路径遍历）、CVE-2024-12088（绕过–safe-links选项）和CVE-2024-12747（符号链接竞态条件）。 QNAP表示，这些漏洞影响了其数据备份和灾难恢复解决方案HBS 3 Hybrid Backup Sync 25.1.x，该方案支持本地、远程和云存储服务。 在周四发布的安全公告中，QNAP表示已在HBS 3 Hybrid Backup Sync 25.1.4.952中修复了这些漏洞，并建议客户将软件更新到最新版本。 要在您的NAS设备上更新Hybrid Backup Sync安装，您需要： 以管理员身份登录QTS或QuTS hero。 打开App Center并搜索HBS 3 Hybrid Backup Sync。 等待HBS 3 Hybrid Backup Sync出现在搜索结果中。 点击“更新”，然后在后续确认消息中点击“确定”。 这些rsync漏洞可以组合利用，形成导致远程系统妥协的利用链。攻击者仅需要对易受攻击的服务器拥有匿名读取访问权限。 “当组合利用时，前两个漏洞（堆缓冲区溢出和信息泄露）允许客户端在运行Rsync服务器的设备上执行任意代码，”CERT/CC在rsync 3.4.0发布安全修复的一周前发出警告。“客户端仅需要对服务器拥有匿名读取访问权限，例如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。” Shodan搜索结果显示，有70多万个IP地址暴露了rsync服务器。然而，尚不清楚其中有多少容易受到利用这些安全漏洞的攻击，因为成功利用需要有效的凭据或配置为允许匿名连接的服务器。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks三款防火墙模型经全面评估，发现存在大量已知安全漏洞，这些漏洞影响了设备的固件及安全功能的配置。 安全厂商Eclypsium在一份向The Hacker News提供的报告中指出：“这些并非罕见或边缘案例的漏洞，而是非常知名的问题，甚至在消费级笔记本电脑上都不应出现。如果被利用，这些问题可能让攻击者绕过最基本的安全保护机制，如安全启动，并修改设备固件。” 该公司分析的三款Palo Alto Networks防火墙型号分别为PA-3260、PA-1410和PA-415，其中PA-3260已于2023年8月31日正式停售，而其他两款型号仍在全面支持范围内。 网络安全方面，发现的漏洞被统称为“PANdora’s Box”，具体包括： CVE-2020-10713（又称BootHole，影响PA-3260、PA-1410和PA-415），指Linux系统中启用了安全启动功能的缓冲区溢出漏洞，可导致安全启动绕过。 CVE-2022-24030、CVE-2021-33627、CVE-2021-42060、CVE-2021-42554、CVE-2021-43323和CVE-2021-45970（影响PA-3260），指一组影响Insyde Software的InsydeH2O UEFI固件的系统管理模式（SMM）漏洞，可能导致权限提升和安全启动绕过。 LogoFAIL（影响PA-3260），指在统一可扩展固件接口（UEFI）代码中发现的一组关键漏洞，利用固件中嵌入的图像解析库漏洞，在系统启动时绕过安全启动并执行恶意代码。 PixieFail（影响PA-1410和PA-415），指UEFI参考实现中TCP/IP网络协议栈的一组漏洞，可能导致代码执行和信息泄露。 不安全的闪存访问控制漏洞（影响PA-415），指SPI闪存访问控制配置不当，可能允许攻击者直接修改UEFI并绕过其他安全机制。 CVE-2023-1017（影响PA-415），指可信平台模块（TPM）2.0参考库规范中的越界写入漏洞。 Intel BootGuard泄露密钥绕过（影响PA-1410）。 Eclypsium表示：“这些发现凸显了一个关键事实：即使是为保护而设计的设备，如果安全和维护不当，也可能成为攻击途径。随着威胁行为者继续瞄准安全设备，组织必须采取更全面的供应链安全方法，包括严格的供应商评估、定期固件更新和持续的设备完整性监控。通过了解和解决这些隐藏漏洞，组织可以更好地保护其网络和免受利用安全工具发起的复杂攻击。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了Planet Technology公司的WGS-804HPT工业交换机存在的三项安全漏洞，攻击者可利用这些漏洞在易受攻击的设备上实现未经认证的远程代码执行。 Claroty公司的Tomer Goldschmidt在周四的报告中表示：“这些交换机广泛用于建筑和家居自动化系统中的各种网络应用。攻击者如果能够远程控制这些设备中的任意一个，就可以利用它们进一步攻击内部网络中的其他设备，并进行横向移动。” 这家运营技术安全公司对使用QEMU框架的交换机固件进行了深入分析，发现漏洞源于提供网络服务的dispatcher.cgi接口。漏洞列表如下： CVE-2024-52558（CVSS评分：5.3）——整数下溢漏洞，允许未经认证的攻击者发送格式错误的HTTP请求，导致设备崩溃。 CVE-2024-52320（CVSS评分：9.8）——操作系统命令注入漏洞，允许未经认证的攻击者通过恶意HTTP请求发送命令，实现远程代码执行。 CVE-2024-48871（CVSS评分：9.8）——基于栈的缓冲区溢出漏洞，允许未经认证的攻击者发送恶意HTTP请求，实现远程代码执行。 成功利用这些漏洞后，攻击者可以通过在HTTP请求中嵌入shellcode来劫持执行流程，并获得执行操作系统命令的能力。 在负责披露漏洞后，这家中国台湾公司已于2024年11月15日发布了版本1.305b241111的补丁，以修复这些漏洞。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款在一百多万个WordPress网站上安装的W3 Total Cache插件存在严重漏洞，可能使攻击者获取包括云端应用元数据在内的多种信息。 W3 Total Cache插件采用多种缓存技术，旨在优化网站速度、减少加载时间并提升SEO排名。 尽管开发者已在最新版本中发布了修复程序，但该漏洞（CVE-2024-12365）仍未被数十万网站所安装的版本所修复。 Wordfence指出，该安全问题源于直至最新版本2.8.2的所有版本中，“is_w3tc_admin_page”函数缺少功能检查。这一缺陷使得攻击者可访问插件的安全nonce值并执行未授权操作。 若攻击者已通过身份验证并至少拥有订阅者级别的权限（这一条件极易满足），则可能利用该漏洞。 CVE-2024-12365漏洞被利用的主要风险包括： 服务器端请求伪造（SSRF）：发出可能暴露敏感数据的网络请求，包括云端应用的实例元数据 信息泄露 服务滥用：消耗缓存服务限额，影响网站性能并可能增加成本 就该漏洞的实际影响而言，攻击者可利用网站基础设施向其他服务发出代理请求，并利用收集到的信息发动进一步攻击。 受影响用户应采取的最佳行动是升级到W3 Total Cache的最新版本2.8.2，该版本已修复此漏洞。 根据wordpress.org的下载统计数据显示，开发者发布最新更新后，约有15万个网站安装了该插件，仍有数十万个WordPress网站存在漏洞风险。 一般建议网站所有者避免安装过多插件，并弃用非必需产品。 此外，部署Web应用防火墙也大有裨益，因为它可以识别和阻止利用尝试。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文