HackerNews 编译，转载请注明出处： Fortinet警告称，已修复的无线局域网管理器（FortiWLM）漏洞（CVE-2023-34990，CVSS得分9.6）可能导致管理员权限访问和敏感信息泄露。 供应商发布的公告中写道：“FortiWLM中的相对路径遍历漏洞[CWE-23]可能允许远程、未经身份验证的攻击者读取敏感文件。” Horizon3.ai的安全研究员Zach Hanley（@hacks_zach）向Fortinet报告了该漏洞。 该漏洞影响以下产品： – FortiWLM版本8.6.0到8.6.5（已在8.6.6及以上版本修复） – FortiWLM版本8.5.0到8.5.4（已在8.5.5及以上版本修复） Hanley解释说，CVE-2023-34990漏洞使得远程攻击者能够通过精心构造的请求，利用特定端点的日志读取功能进行攻击。 “这个漏洞允许远程、未经身份验证的攻击者通过对/ems/cgi-bin/ezrf_lighttpd.cgi端点发起精心构造的请求，访问并滥用系统中用于读取特定日志文件的内置功能。”Horizon3.ai发布的报告中写道，“这个问题源于请求参数缺乏输入验证，允许攻击者遍历目录并读取系统上的任何日志文件。” 专家补充说，FortiWLM的详细日志暴露了会话ID，使得攻击者可以利用日志文件读取漏洞劫持会话并访问已验证的端点。 FortiWLM中经过身份验证的用户的会话ID令牌在设备启动时保持静态。攻击者可以通过日志文件读取漏洞劫持会话并获得管理员权限。 研究员还注意到，CVE-2023-34990漏洞可以与CVE-2023-48782（CVSS得分8.8）链式利用，从而在根权限下实现远程任意代码执行。 威胁行为者经常针对Fortinet设备，因此客户应及时更新其安装版本。 “尽管我们发现该漏洞在州政府、地方政府、教育（SLED）和医疗领域客户中较为常见，但幸运的是，互联网暴露相对有限，约为15个实例。”报告最后总结道。   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Ivanti 解决了其云服务设备（CSA）解决方案中的一个关键身份验证绕过漏洞。 Ivanti 解决了影响其云服务设备（CSA）解决方案的一个关键身份验证绕过漏洞，该漏洞被追踪为 CVE-2024-11639（CVSS 评分 10）。 远程未认证的攻击者可以利用该漏洞获得管理员访问权限。 这个漏洞是由 CrowdStrike 高级研究团队发现的，影响 5.0.2 及之前版本。 “在 Ivanti CSA 5.0.3 之前的版本的管理员网络控制台中存在一个身份验证绕过问题，允许远程未认证的攻击者获得管理员访问权限。”公司发布的公告中写道。 该公司还修复了一个关键的 SQL 注入漏洞，该漏洞被追踪为 CVE-2024-11772（CVSS 评分 9.1），影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 公司解决的第三个问题是另一个关键的 SQL 注入漏洞，被追踪为 CVE-2024-11773（CVSS 评分 9.1），同样影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者也可以利用该漏洞执行任意 SQL 语句。 Ivanti 发布了 CSA 5.0.3 版本来解决上述问题，并指出公司不知道有在野利用这些漏洞的攻击。 “在我们公开披露之前，没有客户被这些漏洞所利用的消息。这些漏洞是通过我们的负责任披露计划被披露的。”公告总结道，“目前，没有已知的公开利用这些漏洞的情况，也无法提供妥协指标。” 早在 10 月初，这家软件公司就警告了其云服务设备（CSA）中的三个新的安全漏洞（CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381），这些漏洞正在野外攻击中被积极利用。 以下是这三个漏洞的描述： CVE-2024-9379（CVSS 评分 6.5）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的 SQL 注入。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 CVE-2024-9380（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的操作系统命令注入漏洞。具有管理员权限的远程认证攻击者可以利用该漏洞实现远程代码执行。 CVE-2024-9381（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前的版本中的路径遍历问题。具有管理员权限的远程认证攻击者可以利用该漏洞绕过限制。 威胁行为者将这些三个漏洞与 CSA 零日漏洞 CVE-2024-8963（CVSS 评分 9.4）链接起来，该漏洞在 9 月被软件公司解决。 威胁行为者可以利用这些漏洞在易受攻击的 CSA 网关上执行 SQL 注入攻击、通过命令注入执行任意代码，并利用路径遍历弱点绕过安全限制。 “我们了解到有限的客户运行 CSA 4.6 补丁 518 及之前的版本，当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 链接时，这些客户遭到了利用。”Ivanti 发布的公告中写道，“我们没有证据表明其他漏洞在野外被利用。这些漏洞不影响 Ivanti 的任何其他产品或解决方案。”     转自安全客，原文链接：https://www.anquanke.com/post/id/302694 封面来源于网络，如有侵权请联系删除

趋势科技在一篇分析报告中表示： “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备，使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以防止攻击。” Earth Minotaur 攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。 MOONSHINE于 2019 年 9 月首次曝光，公民实验室将其使用归咎于其追踪的名为POISON CARP 的运营商，该运营商与威胁组织Earth Empusa 和 Evil Eye有重叠。 这是一种基于 Android 的漏洞利用工具包，已知利用各种 Chrome 浏览器漏洞来部署有效载荷，从而窃取受感染设备的敏感数据。 具体来说，包含针对各种应用程序的代码，例如 Google Chrome、Naver 以及嵌入应用内浏览器的即时通讯应用程序（例如 LINE、QQ、微信和 Zalo）。 根据趋势科技的说法，Earth Minotaur 与 Earth Empusa 没有直接联系。威胁组织使用升级版的 MOONSHINE 渗透受害者设备，随后用 DarkNimbus 感染它们。 新变种增加了漏洞库CVE-2020-6418，这是 V8 JavaScript 引擎中的类型混淆漏洞，在有报道称该漏洞已被用作0day漏洞武器后，谷歌于 2020 年 2 月对其进行了修补。 Earth Minotaur的攻击链 研究人员表示：“Earth Minotaur 通过即时通讯应用发送精心设计的消息，诱使受害者点击嵌入的恶意链接。他们在聊天中伪装成不同的角色，以提高社交工程攻击的成功率。” 这些虚假链接指向至少 55 个 MOONSHINE 漏洞工具包服务器之一，这些服务器负责在目标设备上安装 DarkNimbus 后门。 为了巧妙欺骗，这些 URL 伪装成看似无害的链接。 趋势科技表示：“当受害者点击攻击链接并被重定向到漏洞攻击包服务器时，它会根据嵌入的设置做出反应。攻击结束后，服务器会将受害者重定向到伪装的合法链接，以防止受害者注意到任何异常活动。” MOONSHINE 漏洞利用工具包的验证流程 当基于 Chromium 的浏览器不易受到 MOONSHINE 支持的任何漏洞攻击时，该工具包服务器被配置为返回一个钓鱼页面，警告用户应用内浏览器（名为XWalk的 Android WebView 的定制版本）已过期，需要点击提供的下载链接进行更新。 这会导致浏览器引擎降级攻击，从而允许威胁组织利用未修补的安全漏洞来利用 MOONSHINE 框架。 成功的攻击会导致 XWalk 的木马版本植入 Android 设备并取代应用程序中的合法版本，最终为 DarkNimbus 的执行铺平道路。 该后门据信自 2018 年以来就已开发并积极更新，它使用 XMPP 协议与攻击者控制的服务器进行通信，并支持详尽的命令列表来获取有价值的信息，包括设备元数据、屏幕截图、浏览器书签、电话通话记录、联系人、短信、地理位置、文件、剪贴板内容和已安装应用程序的列表。 它还能够执行 shell 命令、录制电话、拍照，并滥用 Android 的辅助服务权限来收集来自 DingTalk、MOMO、QQ、Skype、TalkBox、Voxer、微信和 WhatsApp 的消息。 最后但同样重要的是，它可以从受感染的手机上自行卸载。 MOONSHINE 漏洞攻击包所针对的漏洞和浏览器版本 趋势科技表示，它还检测到了 Windows 版本的 DarkNimbus，该版本可能是在 2019 年 7 月至 10 月期间制作的，但直到一年多后的 2020 年 12 月才开始使用。 它缺少 Android 版本的许多功能，但包含各种命令来收集系统信息、已安装应用程序的列表、击键、剪贴板数据、已保存的凭据和来自网络浏览器的历史记录，以及读取和上传文件内容。 尽管目前尚不清楚Earth Minotaur的具体起源，但观察到的感染链的多样性，加上功能强大的恶意软件工具，表明这是一个复杂的威胁。 趋势科技推测： “MOONSHINE 是一个仍在开发中的工具包，并已与多个威胁行为者共享，包括 Earth Minotaur、POISON CARP、UNC5221等。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CpvqeklX_SUGfSDV2pbWlw 封面来源于网络，如有侵权请联系删除

备份、恢复和数据管理解决方案的著名提供商 Veeam Software 发布了一个安全更新，以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞有可能使经过验证的攻击者执行恶意代码，未经授权访问敏感信息，并破坏连接系统的完整性。 其中最严重的漏洞 CVE-2024-40717 的 CVSS v3.1 得分为 8.8，表示严重程度较高。该漏洞可使攻击者以提升的权限执行任意代码，从而可能导致整个系统被入侵。此更新解决的其他漏洞包括： CVE-2024-42451： 允許存取以人類可讀格式儲存的憑證。 CVE-2024-42452：允許以提升的權限遠端上載檔案至連接的 ESXi 主機。 CVE-2024-42453: 允許控制和修改連接的虛擬基礎結構主機。 CVE-2024-42455: 助長不安全的反序列化，可能導致檔案刪除。 CVE-2024-42456： 授予访问特权方法和控制关键服务的权限。 CVE-2024-42457：通过远程管理界面暴露已保存的凭证。 CVE-2024-45204： 利用凭证处理权限不足，可能导致 NTLM 哈希值泄漏。 另一个漏洞 CVE-2024-45207 影响 Microsoft Windows 的 Veeam Agent。当未受信任用户可写的目录被添加到 PATH 环境变量时，利用该漏洞可实现 DLL 注入。虽然默认的 Windows PATH 不包括此类目录，但在错误配置的环境中，风险仍然很大。 Veeam 已在 Veeam Backup & Replication 12.3（构建 12.3.0.310）和 Veeam Agent for Microsoft Windows 6.3（构建 6.3.0.177）中修复了这些漏洞，并敦促所有用户立即升级到该版本。作为临时缓解措施，Veeam 建议从备份服务器上的 “用户和角色 ”设置中删除任何不受信任或不必要的用户。 强烈建议依赖 Veeam Backup & Replication 的组织立即采取行动，保护其关键数据和基础设施。     转自安全客，原文链接：https://www.anquanke.com/post/id/302459 封面来源于网络，如有侵权请联系删除

日本计算机紧急响应小组（CERT）警告称 ，黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令，甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞，但目前暂无完整的修复补丁，预计将在2024年12月18日发布，因此在此之前用户将面临比较严重的风险。 上述三个零日漏洞在2024年11月13日被发现，包括信息泄露、远程任意操作系统命令执行和导致防火墙禁用的漏洞。 具体如下： CVE-2024-45841：敏感资源上的不当权限配置，导致低权限用户可以访问关键文件。 CVE-2024-47133：认证的管理员用户可以在设备上注入并执行任意操作系统命令，利用配置管理中的输入验证不充分漏洞。 CVE-2024-52464：固件中的未记录特性或后门可导致远程攻击者在无需认证的情况下，关闭设备防火墙并修改设置。 受影响的设备：这些漏洞影响UD-LT1和UD-LT1/EX设备，前者是为多功能连接解决方案设计的混合LTE路由器，而后者是工业级版本。 最新可用的固件版本v2.1.9仅解决了CVE-2024-52564漏洞，I-O Data表示其他两个漏洞的修复将在计划于2024年12月18日发布的v2.2.0版本中提供。比较糟糕的消息是，已经有客户因为这些漏洞而遭到黑客攻击。 I-O Data安全公告指出，“已收到使用混合LTE路由器UD-LT1和UD-LT1/EX的客户的咨询，这些客户报告了来自外部来源的潜在未经授权访问。” 在安全更新发布之前，I-O Data 建议用户实施以下缓解措施： 禁用所有互联网连接方式的远程管理功能，包括WAN端口、调制解调器和VPN设置。 仅限VPN连接的网络访问，以防止未经授权的外部访问。 将默认的“访客”用户的密码更改为超过10个字符的更复杂的密码。 定期监控和验证设备设置，以尽早检测未经授权的更改，并在检测到泄露时将设备重置为出厂默认设置并重新配置。 不过国内的企业用户不需要太过担心，因为I-O DATA UD-LT1和UD-LT1/EX LTE路由器主要在日本市场销售，旨在支持NTT Docomo和KDDI等多个运营商，并兼容该国的主要MVNO SIM卡。     转自Freebuf，原文链接：https://www.freebuf.com/news/417010.html 封面来源于网络，如有侵权请联系删除

英伟达™（NVIDIA®）近日发布固件更新，以解决影响其 UFM Enterprise、UFM Appliance 和 UFM CyberAI 产品的高严重性漏洞。该漏洞被识别为 CVE-2024-0130，可允许攻击者获得升级权限、篡改数据、拒绝服务并披露敏感信息。 该漏洞源于一个不恰当的身份验证问题，可通过以太网管理接口发送畸形请求加以利用。成功利用漏洞后，攻击者可在未经授权的情况下访问和控制受影响的系统。 通用漏洞计分系统（CVSS）对该漏洞的基本分值为 8.8，将其归类为 “高 ”严重性。受影响的产品包括不同版本的 UFM Enterprise、UFM Enterprise Appliance、UFM SDN Appliance 和 UFM CyberAI。 英伟达敦促用户立即更新系统。固件更新可从英伟达企业支持门户网站下载。 虽然该漏洞被认为很严重，但值得注意的是，UFM 系统的以太网管理接口通常与公共网络隔离，从而限制了攻击的可能性。不过，采取积极措施并通过安装安全更新来降低风险至关重要。 最新更新解决了该漏洞，并增强了 UFM 产品的安全性。我们建议用户访问英伟达企业支持门户网站，了解详细信息并下载必要的更新。     转自安全客，原文链接：https://www.anquanke.com/post/id/302229 封面来源于网络，如有侵权请联系删除

MITRE收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞，并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击，包括全完接管系统、窃取数据或系统无法运行。” MITRE对3.1万个漏洞进行了详细地分析，并根据每个漏洞的严重性和利用频率进行评分，其中会重点关注添加到CISA已知利用漏洞（KEV）目录中的安全漏洞。MITRE强调，强烈建议审查列表上的漏洞类型，并指导其软件安全策略，防止软件生命周期中可能出现的严重漏洞。 以下是2022年CWE前25个最危险的软件漏洞列表：       转自Freebuf，原文链接：https://www.freebuf.com/news/415862.html 封面来源于网络，如有侵权请联系删除

谷歌透露，其基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞，包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑：每个漏洞都是使用AI发现的，利用AI生成和增强的模糊测试目标。 提到的OpenSSL漏洞是CVE-2024-9143（CVSS评分：4.3），一个超出范围的内存写入缺陷，可能导致应用程序崩溃或远程代码执行。这个问题已经在OpenSSL的3.3.3、3.2.4、3.1.8、3.0.16、1.1.1zb和 1.0.2zl版本中得到了解决。 破题人类无法发现的漏洞 谷歌在2023年8月增加了利用大型语言模型（LLM）来提高OSS- Fuzz中模糊覆盖率的能力，并表示该漏洞可能在代码库中存在了20年，而且在现有的由人类编写的模糊目标中是无法发现的。此外，他们还指出，使用AI生成模糊测试目标已经提高了272个C/C++项目的代码覆盖率，新增了超过370,000行新代码。 谷歌解释说，这样的漏洞之所以能够长时间未被发现，一个原因是线覆盖率并不能保证函数没有漏洞。代码覆盖率作为一项指标，无法衡量所有可能的代码路径和状态，不同的标志和配置可能会触发不同的行为，从而暴露出不同的漏洞。这些人工智能辅助的漏洞发现也是可能的，因为LLMs被证明擅长模仿开发人员的模糊工作流程，从而允许更多的自动化。正如谷歌之前就提到过，其基于LLM的框架Big Sleep帮助发现SQLite开源数据库引擎中的一个零日漏洞。 C++代码安全性大幅提升 与此同时，谷歌一直在努力将自己的代码库转换为内存安全语言，如Rust，同时还对现有的C++项目（包括Chrome）中的空间内存安全漏洞（当代码可能访问超出其预定范围的内存时）进行改造。其中包括迁移到安全缓冲区和启用强化的libc ++，后者将边界检查添加到标准的 C ++数据结构中，以消除大量的空间安全缺陷。它进一步指出，纳入这一变化所产生的间接费用很小（即平均0.30%的绩效影响）。 谷歌表示，由开源贡献者最近添加的“hardened libc++”引入了一系列安全检查，旨在捕获生产中的越界访问等漏洞。虽然C++不会完全成为内存安全的语言，但这些改进降低了风险，从而使得软件更加可靠和安全。 具体来说，hardened libc++通过为标准C++数据结构添加边界检查来消除一大类空间安全漏洞。例如，hardened libc++确保对std::vector的每个元素的访问都保持在其分配的边界内，防止尝试读取或写入超出有效内存区域的尝试。同样，hardened libc++在允许访问之前检查std::optional是否为空，防止访问未初始化的内存。这种改进对于提高C++代码的安全性和可靠性具有重要意义。     转自Freebuf，原文链接：https://www.freebuf.com/news/415915.html 封面来源于网络，如有侵权请联系删除  

流行的 Wget 下载工具中新发现的一个漏洞可能允许攻击者发起服务器端请求伪造（SSRF）攻击。 来自 JFrog 的安全研究员 Goni Golan 在 Wget 中发现了一个漏洞，Wget 是一种广泛使用的命令行工具，用于从互联网下载文件。该漏洞被追踪为 CVE-2024-10524，攻击者可利用该漏洞诱使 Wget 向内部或受限服务器发出非预期请求。 了解漏洞 该漏洞源于 Wget 对速记 URL 的支持，这种传统功能允许用户在某些情况下省略协议方案（如 “http://”）。然而，攻击者可以利用Wget对这些速记URL的处理来操纵请求的目的地。 “我们发现，当使用用户提供输入的HTTP速记格式时，可能会出现意外行为。Wget可能会向不同的主机发出FTP请求，这些主机可能是攻击者控制的主机，也可能是用户通常无法访问的受限主机。这个 SSRF 漏洞可能成为多种类型攻击的起点。 利用场景 戈兰概述了攻击者利用这一漏洞的几种方式，包括 SSRF 攻击： 通过操纵速记 URL，攻击者可以迫使 Wget 向通常无法从互联网访问的内部服务器发送请求。 网络钓鱼攻击： 攻击者可以制作恶意链接，这些链接看似指向合法网站，但实际上会将用户重定向到攻击者控制的服务器。 中间人（MitM）攻击： 攻击者可将自己置于 Wget 和目标服务器之间，拦截并可能篡改数据。 数据泄漏： 攻击者可利用漏洞获取敏感信息，如错误日志或内部主机名。 影响和补救措施 该漏洞影响包括 1.24.5 在内的所有 Wget 版本。我们建议用户更新至 1.25.0 或更高版本，其中包含对该问题的修复。 建议 更新 Wget： 更新至最新版本的 Wget，以解决该漏洞。 对用户输入进行消毒： 如果使用用户提供输入的 Wget，请仔细检查输入内容，防止恶意篡改 URL。 避免使用速记 URL： 尽可能避免使用速记 URL，并在所有 Wget 请求中明确指定协议方案。     转自安全客，原文链接：https://www.anquanke.com/post/id/302009 封面来源于网络，如有侵权请联系删除

Wordfence安全研究员披露重要信息 据Wordfence安全研究员István Márton披露，一个关键的认证绕过了漏洞被暴露在了WordPress的Really Simple Security（以前称为Really Simple SSL）插件中，如果此漏洞被利用，攻击者可以远程获得易受攻击网站的完全管理权限。 这个漏洞，被追踪为CVE-2024-10924（CVSS评分：9.8），影响插件的免费和付费版本。该软件安装在超过400万个WordPress网站上。 这个漏洞是可以脚本化的，意味着它可以被转换成大规模的自动化攻击，针对WordPress网站。 起因是一处不正确的用户检查错误处理 这个漏洞在2024年11月6日披露，在一周后发布的9.1.2版本中已被修补。可能是有被滥用的风险促使插件维护者与WordPress合作，在公开披露之前强制更新了所有运行此插件的网站。 根据Wordfence的说法，这个认证绕过漏洞存在于9.0.0至9.1.1.1版本中，起因是在一个名为“check_login_and_get_user”的函数中不正确的用户检查错误处理，添加双因素认证的一个特性做得不够安全，使得未经认证的攻击者可以在双因素认证启用时，通过一个简单的请求获得对任何用户账户的访问权限，包括管理员账户。 如果被利用，将失去所有网站管理权限 成功利用这个漏洞可能会有严重的后果，因为它可能允许恶意行为者劫持WordPress网站，并进一步将它们用于犯罪目的。 这一信息是Wordfence在透露了WPLMS学习管理系统（WordPress LMS，CVE-2024-10470，CVSS评分：9.8）中的另一个关键缺陷几天后发布的，该缺陷可能允许未经认证的威胁者读取和删除任意文件。 具体来说，4.963之前的版本由于文件路径验证和权限检查不足，这使得未经认证的攻击者能够读取和删除服务器上的任何任意文件，包括网站的wp-config.php文件。删除wp-config.php文件会使网站进入设置状态，允许攻击者通过将其连接到他们控制的数据库来发起对网站的接管。     转自Freebuf，原文链接：https://www.freebuf.com/news/415637.html 封面来源于网络，如有侵权请联系删除