据Cyber Security News消息，11月18日，博通发布了紧急警告，称 VMware vCenter Server 中的两个关键漏洞现在正被广泛利用。 这两个漏洞包含一个CVSS评分达9.8分的远程代码执行 （RCE） 漏洞，被跟踪为 CVE-2024-38812。该漏洞源于 vCenter Server 实现 DCE/RPC 协议时的堆溢出问题，具有网络访问权限的攻击者可以通过发送特制数据包来触发此漏洞，从而可能导致远程代码执行和整个系统受损。 第二个漏洞被跟踪为CVE-2024-38813， CVSS 评分7.5，允许攻击者通过发送恶意构建的网络数据包将权限升级到根权限。 这两个漏洞最初是由 TZL 团队的研究人员 zbl 和 srs 在中国 2024 年矩阵杯黑客大赛期间发现并报告，受到影响的版本包括 VMware vCenter Server 7.0 和 8.0 版本以及 VMware Cloud Foundation 4.x 和 5.x 版本。 11月18日，博通发布了最新安全公告，指出 CVE-2024-38812 和 CVE-2024-38813 都已在野外被积极利用。鉴于这些漏洞的严重性和主动利用，博通强烈建议使用受影响的VMware 产品要立即应用最新的安全更新。 博通于 2024 年 9 月 17 日首次发布了针对这些漏洞的补丁，但值得注意的是，该公司在10月21日再度发布了补丁更新，指出先前的修复并不完整，强烈建议用户立刻更新最新的补丁。 目前最新的受影响产品修复版本包括： VMware vCenter Server 8.0：需更新到 8.0 U3d 版本 VMware vCenter Server 7.0：需更新到 7.0 U3t 版本 VMware Cloud Foundation 5.x：将异步修补程序应用于 8.0 U3d版本 VMware Cloud Foundation 4.x：将异步修补程序应用于 7.0 U3t版本 这一事件凸显了及时应用安全更新的重要性，尤其是对于 VMware vCenter Server 等关键基础架构组件。因此建议企业组织审查自身的VMware 部署，应用必要的补丁，并监控是否有任何泄露迹象。鉴于存在远程代码执行和权限提升的可能性，任何可能已暴露的系统都应经过全面的安全评估。     转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

近日，全球网络巨头Palo Alto Networks确认旗下0Day漏洞正在被黑客利用。11月8日，Palo Alto Networks发布了一份安全通告(https://security.paloaltonetworks.com/PAN-SA-2024-0015)，警告客户PAN-OS管理界面中存在一个远程代码执行漏洞，并建议客户确保PAN-OS管理界面访问的安全性。 但随着该漏洞的曝光，Palo Alto Networks在11月15日发现已经有黑客/威胁组织正在利用该漏洞，对用户发起网络攻击，主要目标用户是那些暴露在互联网上防火墙管理界面。 目前还不清楚该漏洞如何暴露，以及受影响的企业范围。该漏洞也还没有分配CVE标识符，CVSS评分9.3分。Palo Alto Networks表示，他们认为Prisma Access和Cloud NGFW产品不受此漏洞影响。 安全措施和建议 目前，Palo Alto Networks正在开发补丁和威胁预防签名，建议客户确保只有来自可信IP地址的访问才能访问防火墙管理界面，而不是从互联网访问。公司指出，大多数防火墙已经遵循了这一Palo Alto Networks和行业的安全最佳实践。 其他受影响的产品：除了上述漏洞，美国网络安全机构CISA还表示，他们知道有三个影响Palo Alto Networks Expedition的漏洞在野外被利用。CISA警告，至少有两个影响Palo Alto Networks Expedition软件的漏洞正在被积极利用，并已将这些漏洞添加到其已知被利用漏洞(KEV)目录中，要求联邦文职行政部门机构在2024年12月5日之前应用必要的更新。 屡屡出现0Day漏洞 值得一提的是，在2024年3月，Palo Alto Networks防火墙产品也曾被曝存在严重安全漏洞，编号 CVE-2024-3400 ，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。       转自Freebuf，原文链接：https://www.freebuf.com/news/415484.html 封面来源于网络，如有侵权请联系删除

流行的 WordPress 备份插件 WP Time Capsule 存在一个严重漏洞，导致 20,000 多个网站容易被完全接管。 该漏洞（CVE-2024-8856）由安全研究员Rein Daelman发现，未经认证的攻击者可将任意文件上传到网站服务器。这意味着恶意行为者有可能注入后门、恶意软件，甚至完全控制网站。 该漏洞源于插件的 UploadHandler.php 文件缺乏文件类型验证，以及缺乏直接文件访问防护。这种危险的组合为攻击者提供了入侵易受攻击网站的直接途径。 该漏洞的 CVSS 得分为 9.8，被列为严重漏洞。这强调了网站所有者立即采取行动的紧迫性。 成功利用此漏洞可能导致 数据泄露： 攻击者可能窃取敏感的用户信息、财务数据或专有内容。 网站篡改： 恶意行为者可能会篡改网站内容，损害网站声誉和用户信任。 恶意软件传播： 网站可能被用来向毫无戒心的访问者分发恶意软件。 完全接管服务器： 攻击者可以完全控制托管网站的服务器。 WP Time Capsule 开发团队已在 1.22.22 版本中解决了这一漏洞。强烈建议所有用户立即更新到该版本。 以下是 WordPress 用户的一些基本最佳实践： 保持更新插件和主题： 定期将所有插件和主题更新到最新版本，以修补安全漏洞。 使用强大的密码： 为 WordPress 管理员账户和所有用户账户选择强大、唯一的密码。 实施双因素身份验证： 启用双因素身份验证，增加一层额外的安全性。 定期备份网站： 备份对于从安全事故或数据丢失中恢复至关重要。 选择信誉良好的插件： 只安装来源可靠、安全记录良好的插件。     转自安全客，原文链接：https://www.anquanke.com/post/id/301939 封面来源于网络，如有侵权请联系删除

在执法部门和加密侦探迅速追踪到黑客之后，去中心化金融公司 Thala Labs 追回了从其一份养殖合约中窃取的 2550 万美元流动性池代币。 Thala在11月16日的一篇文章中透露，11月15日，该公司遭遇了一个 “安全漏洞”，原因是 “与其v1养殖合约有关的一个孤立漏洞”，该漏洞允许黑客提取流动性代币。 Thala表示，它立即暂停了所有相关合约，冻结了价值1150万美元的Thala相关资产，并迅速查明了黑客的身份。 Thala 表示：“在执法部门、Seal 911、Ogle 和其他人的帮助下，我们很快就确定了漏洞利用者的身份。” 加密侦探 Ogle 说，黑客在事件发生 6 小时后交还了资金，而 Thala 则表示，他们获得了 30 万美元的赏金，以换取用户资产的全部归还。攻击者的身份细节没有披露。 Thala 强调说，“受影响的用户无需采取进一步行动，其头寸将得到 100% 的补偿。” 资料来源：Thala Labs 塔拉实验室 Thala前端的访问已恢复正常。但是，在Thala对协议代码库进行 “广泛审查 ”和重新审核之前，养殖活动仍处于暂停状态，用户无法进行押注和解押。 Thala 首席执行官亚当-卡德尔（Adam Cader）在 11 月 16 日的一篇 X 帖子中指出，这次攻击涉及 Thala 与 Move 的集成，Move 是由 Movement Labs 构建的模块化区块链网络。 “未来在Move上发生一些安全问题是不可避免的，但为什么我们都在这里建设，就是为了让这些问题发生的频率和严重程度大大降低，并且随着时间的推移，相邻的工具变得越来越强大，趋势是0。” Thala 是 Aptos layer-1 区块链上最著名的 DeFi 平台之一。 据CoinGecko称，自事件发生以来，THL代币已下跌约35%，至0.51美元。 在此次漏洞中，价值约250万美元的THL代币被盗，另有900万美元来自Thala的Move Dollar（MOD）稳定币。 与此同时，DefiLlama的数据显示，Thala被锁定的总价值从11月15日的2.4亿美元降至本文撰写时的1.956亿美元。 Thala 协议自 2023 年 4 月以来的 TVL 变化。来源：DefiLlama 资料来源：DeFiLlama 区块链安全公司CertiK报告称，10月份受害者被抢走近1.3亿美元，其中大部分来自漏洞利用。 10 月份最大的事件涉及借贷协议 Radiant Capital，损失约 5400 万美元。 网络安全公司 Hacken 的数据显示，在 2024 年第三季度的前三个月中，黑客在 28 起事件中窃取了约 4.6 亿美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/301933 封面来源于网络，如有侵权请联系删除

阿帕奇软件基金会（Apache Software Foundation）发布了阿帕奇流量服务器（Apache Traffic Server）的安全更新，解决了可能使用户遭受一系列网络攻击的三个关键漏洞。 这些漏洞影响到 9.0.0 至 9.2.5 版和 10.0.0 至 10.0.1 版，包括缓存中毒和潜在的权限升级。 CVE-2024-38479 （CVSS 7.5）： 缓存密钥插件漏洞 此漏洞允许攻击者操纵缓存密钥插件，可能导致缓存中毒攻击。 通过向服务器缓存注入恶意内容，攻击者可将用户重定向到钓鱼网站或发送恶意软件。 CVE-2024-50305 （CVSS 7.5）： 主机字段漏洞 特制的「Host」字段值可引致Apache Traffic Server 崩溃。 此阻断服务漏洞可被利用来干扰网站的可用性及影响合法用户。 CVE-2024-50306 （CVSS 9.1）： 启动时的权限升级 此高严重漏洞源于一个未检查的回传值，可能允许Apache Traffic Server在启动时保留较高的权限。 利用此漏洞，攻击者可对服务器及其数据进行重大控制。 缓解措施 Apache 软件基金会敦促所有用户立即更新其安装。 9.x 分支的用户应升级到 9.2.6 或更高版本，而运行 10.x 分支的用户应升级到 10.0.2 或更高版本。       转自安全客，原文链接：https://www.anquanke.com/post/id/301930 封面来源于网络，如有侵权请联系删除

一项针对 OvrC 云平台的安全分析发现了 10 个漏洞，这些漏洞可以串联起来，允许潜在攻击者在联网设备上远程执行代码。 Claroty 研究人员 Uri Katz 在一份技术报告中说：“成功利用这些漏洞的攻击者可以访问、控制和破坏 OvrC 支持的设备；其中一些设备包括智能电源、摄像头、路由器、家庭自动化系统等。” Snap One公司的OvrC（发音为 “oversee”）被宣传为一个 “革命性的支持平台”，能让业主和企业远程管理、配置网络上的物联网设备并排除故障。据其网站介绍，OvrC 解决方案已部署在 50 多万个终端用户地点。 根据美国网络安全和基础设施安全局（CISA）发布的协调公告，成功利用已发现的漏洞可使攻击者 “冒充并声称拥有设备，执行任意代码，并披露受影响设备的信息。” 已发现的这些漏洞会影响 OvrC Pro 和 OvrC Connect，该公司已于 2023 年 5 月发布了其中 8 个漏洞的修复程序，并于 2024 年 11 月 12 日发布了剩余 2 个漏洞的修复程序。 “我们发现的这些问题很多都是由于忽视了设备到云的接口而引起的，”卡茨说。“在许多这样的案例中，核心问题是由于弱标识符或类似的错误，物联网设备被交叉认领的能力。这些问题包括弱访问控制、身份验证绕过、输入验证失败、硬编码凭证和远程代码执行缺陷等。” 因此，远程攻击者可以利用这些漏洞绕过防火墙，在未经授权的情况下访问基于云的管理界面。更糟糕的是，这些访问权限随后可能被用于枚举和配置设备、劫持设备、提升权限，甚至运行任意代码。 最严重的漏洞列举如下 CVE-2023-28649 （CVSS v4 得分：9.2），允许攻击者假冒集线器并劫持设备 CVE-2023-31241（CVSS v4 分值：9.2），允许攻击者绕过序列号要求，认领任意未认领设备 CVE-2023-28386 （CVSS v4 评分：9.2），允许攻击者上传任意固件更新，导致代码执行 CVE-2024-50381（CVSS v4 分值：9.1），允许攻击者冒充集线器，任意取消认领设备，随后利用其他缺陷认领设备 “随着每天上线的设备越来越多，云管理成为配置和访问服务的主要手段，制造商和云服务提供商比以往任何时候都更需要确保这些设备和连接的安全，”Katz 说。“负面结果可能会影响连接到 OvrC 云的联网电源、商业路由器、家庭自动化系统等。 Nozomi Networks 在披露上述信息的同时，还详细介绍了影响 EmbedThis GoAhead 的三个安全漏洞，EmbedThis GoAhead 是嵌入式和物联网设备中使用的小型 Web 服务器，在特定条件下可能导致拒绝服务（DoS）。这些漏洞（CVE-2024-3184、CVE-2024-3186 和 CVE-2024-3187）已在 GoAhead 6.0.1 版本中得到修补。 最近几个月，江森自控的 exacqVision Web 服务也发现了多个安全漏洞，这些漏洞可被结合起来，控制连接到该应用程序的监控摄像头的视频流并窃取凭证。       转自安全客，原文链接：https://www.anquanke.com/post/id/301819 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）扩充了其已知漏洞（KEV）目录，突出强调了目前在野外被利用的五个安全漏洞。这些漏洞横跨微软、思科、Atlassian 和 Metabase 产品，对处理敏感数据或暴露于公共网络的系统构成重大风险。 1. CVE-2024-43451 (CVSS 6.5)： NTLM 哈希值泄露漏洞 该漏洞因其触发简单而特别令人担忧。据微软称，与恶意文件的最小交互（如单击或右键单击操作）可能会将用户的 NTLMv2 哈希值暴露给远程攻击者。NTLM 哈希值是用户的加密凭据，攻击者可以通过它验证被攻击用户的身份，从而访问敏感资源。 2. CVE-2024-49039 (CVSS 8.8)： Windows 任务调度程序权限提升漏洞 由 Google 的威胁分析小组发现，此漏洞允许攻击者执行特制的应用程序，将权限从低完整性 AppContainer 环境提升到中完整性级别。这种权限升级可使攻击者运行通常仅限于高权限账户的 RPC 功能，从而在未经授权的情况下访问原本受保护的资源。 3. CVE-2021-41277 (CVSS 10)： Metabase GeoJSON API 本地文件包含漏洞 Metabase 是一个广泛使用的开源商业智能平台，它隐藏着一个关键漏洞，允许攻击者利用 GeoJSON API 进行本地文件包含。该漏洞可导致未经授权的数据访问和系统泄露，突出表明了及时进行软件更新和安全配置实践的重要性。 4. CVE-2014-2120： Cisco ASA WebVPN 跨站脚本漏洞 该漏洞存在于 Cisco Adaptive Security Appliance (ASA) 软件的 WebVPN 登录页面中，攻击者可利用该漏洞注入恶意脚本，从而可能泄露用户凭据并为会话劫持提供便利。这一遗留漏洞的持续存在强调了全面漏洞管理计划的重要性，以及解决所有系统漏洞（无论其使用年限长短）的必要性。 5. CVE-2021-26086 (CVSS 5.3)： Atlassian Jira 服务器和数据中心路径遍历漏洞 Atlassian Jira Server and Data Center 存在此漏洞，攻击者可利用路径遍历漏洞，在未经授权的情况下访问敏感文件。该漏洞凸显了安全编码实践的重要性，以及进行持续安全测试以识别和修复软件应用程序漏洞的必要性。 减轻威胁 CISA 要求联邦经济与商业委员会各机构在 2024 年 12 月 3 日前修补这些漏洞，这是对各行业组织优先进行漏洞管理的重要提醒。     转自安全客，原文链接：https://www.anquanke.com/post/id/301822 封面来源于网络，如有侵权请联系删除  

流行的文档渲染引擎 Ghostscript 发布了一个重要的安全更新，解决了多个漏洞，其中一些漏洞可能导致远程代码执行。 Ghostscript 是一种广泛使用的 PostScript 和 PDF 文件解释器，它在最新发布的 10.04.0 版本中修补了一系列安全漏洞。这些漏洞源于 Ghostscript 在处理不同文件格式和数据结构时出现的各种编码错误。恶意行为者可以利用这些错误制作专门设计的 PostScript 或 PDF 文件，当这些文件被有漏洞的 Ghostscript 版本处理时，就会触发这些漏洞，导致代码执行或信息泄露。 最严重的漏洞包括 CVE-2024-46951、CVE-2024-46952、CVE-2024-46953 和 CVE-2024-46956： 这些漏洞可让攻击者利用与未检查指针、缓冲区溢出和越界数据访问相关的问题执行任意代码。这些漏洞存在于 Ghostscript 的多个组件中，包括 PostScript 解释器和 PDF 处理模块。 CVE-2024-46954： 此漏洞涉及超长UTF-8编码，可被利用来实现目录遍历，潜在允许攻击者访问敏感文件。 CVE-2024-46955： 该漏洞虽然不太严重，但可能导致越界读取，从而泄露敏感信息。 鉴于 Ghostscript 在各种应用程序中处理 PDF 和 PostScript 文件的作用，这些漏洞凸显了安全文档处理的关键需求，特别是在处理外部或用户提交文件的环境中。与任意代码执行、路径遍历和缓冲区溢出漏洞相关的风险使 Ghostscript 成为恶意行为者利用文档处理漏洞入侵系统的目标。 强烈建议 Ghostscript 用户更新到 10.04.0 或更高版本，以降低被利用的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/301733 封面来源于网络，如有侵权请联系删除

全球领先的商业通信公司Mitel发布了一份重要的安全公告，指出其MiCollab软件中存在一个严重的SQL注入漏洞，该漏洞特别影响音频、网络和视频会议（AWV）组件。该漏洞被命名为 CVE-2024-47223，CVSS 得分为 9.4，表明一旦被利用将可能造成重大损失。 该漏洞源于对用户输入的 sanitization 不足，允许未经认证的攻击者通过特制 URL 进行 SQL 注入攻击。 Mitel 在其公告中警告说：“成功利用该漏洞需要特制的 URL，并可能对系统的保密性、完整性和可用性造成影响。鉴于 MiCollab 被广泛用于企业环境中的协作和会议解决方案，因此该风险尤为突出。” 如果攻击者成功利用了 CVE-2024-47223，他们就可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。然而，潜在的危害还不止于此。Mitel 的公告称，攻击者还可以 “运行任意 SQL 数据库查询来破坏或删除表，从而可能导致 MiCollab 系统无法运行。 鉴于该漏洞的严重性，Mitel 强烈建议其客户更新到最新的 MiCollab 版本。该公告指出：“Mitel 建议受影响产品版本的客户更新到最新版本”，并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。 OSI Security公司的Patrick Webster发现并报告了这一漏洞，他的及时发现引起了Mitel的注意。 对于无法立即升级的客户，Mitel 还为 9.8、9.8 SP1 和 9.8 SP1FP1 版本提供了临时补丁，以降低风险。该补丁可通过 Mitel 的知识管理系统获取，并提供了帮助保护受影响系统的具体说明。     转自安全客，原文链接：https://www.anquanke.com/post/id/300846 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会最近发布的一份报告显示，尽管数月前就已发布了修补程序，但仍有大量 Fortinet 设备存在严重的远程代码执行 (RCE) 漏洞。 CVE-2024-23113 是一个影响 fgfmd 守护进程的认证前 RCE 漏洞，Fortinet 早在 2024 年 2 月就首次披露并修补了该漏洞。该漏洞允许未经身份验证的攻击者通过无需用户交互的简单攻击，在有漏洞的设备上执行任意代码。 Shadowserver 在 2024 年 10 月 12 日的扫描中发现了惊人的 87390 个唯一 IP 地址，这些地址仍在托管易受攻击的 Fortinet 设备。美国的暴露设备数量最多（约14,000台），其次是日本（5,100台）和印度（4,800台）。 我们现在报告的Fortinet IP仍有可能受到CVE-2024-23113（格式字符串预验证RCE）的攻击。该漏洞已知在野外被利用。 2024-10-12 扫描发现 87,390 个 IP。顶部：美国（14K）、日本（5.1K）、印度（4.8K） 该漏洞影响 Fortinet 的多种产品，包括： FortiOS 7.0 及更新版本 FortiPAM 1.0 及更高版本 FortiProxy 7.0 及以上版本 FortiWeb 7.4 Fortinet 于 2024 年 2 月首次披露并修补了该漏洞，敦促管理员更新系统以避免被利用。该公司建议，作为一项重要的缓解措施，从所有接口移除对易受攻击的 fgfmd 守护进程的访问，但这需要以限制 FortiManager 发现 FortiGate 为代价。Fortinet 还建议管理员实施本地策略，限制特定 IP 地址的 FGFM 连接。但他们强调，这只是一种缓解措施，而不是全面的解决方案，因为漏洞仍可能从允许的 IP 被利用。 尽管有这些警告，但仍有大量设备未打补丁，给全球组织带来持续风险。 上周，网络安全和基础设施安全局（CISA）发出警报，确认 CVE-2024-23113 正在被攻击者利用。Shadowserver最近的发现进一步凸显了这一漏洞的规模，因为仍有数千台Fortinet设备暴露在漏洞中。这种广泛的暴露使关键基础设施、企业和政府组织面临网络攻击的风险，特别是由于利用该漏洞只需极少的努力。     转自安全客，原文链接：https://www.anquanke.com/post/id/300839 封面来源于网络，如有侵权请联系删除