HashiCorp 发布了一份安全公告，披露了其 Vault 秘密管理平台中的一个漏洞，该漏洞可能允许攻击者将权限升级到高度敏感的根策略。 图片来源：安全客 该漏洞被追踪为 CVE-2024-9180，CVSSv3 得分为 7.2，源于 “Vault 内存实体缓存中条目处理不当”。公告解释说，拥有 “根命名空间身份端点写权限 ”的恶意行为者可以通过 Vault 节点上的身份 API 端点操作其缓存的实体记录，并有可能将其权限升级到该节点上的 Vault 根策略。 从本质上讲，这意味着攻击者可以利用这个漏洞获得对 Vault 实例的完全控制权，从而可能泄露敏感数据并中断关键操作。 幸运的是，这个漏洞的影响是有限的。HashiCorp 澄清说：“被操纵的实体记录不会在整个集群中传播，也不会持久化到存储后端，而且会在服务器重启时被清除。” 此外，该漏洞只影响根命名空间中的实体，不会影响标准命名空间或管理命名空间中的实体。由于 HCP Vault Dedicated 依赖于管理命名空间，因此也不会受到影响。 不过，HashiCorp 敦促所有 Vault 用户 评估与此问题相关的风险，并考虑升级 到已打补丁的版本。 以下版本提供了补救措施： Vault 社区版 1.18.0 Vault 企业版：1.18.0、1.17.7、1.16.11、1.15.16 作为升级的替代方案，HashiCorp 建议实施 Sentinel EGP 策略或修改默认策略，以限制对身份终端的访问。此外，监控 Vault 审计日志，查找 “identity_policy ”数组中包含 “root ”的条目，有助于发现潜在的利用企图。     转自安全客，原文链接：https://www.anquanke.com/post/id/300825 封面来源于网络，如有侵权请联系删除

据报道，名为OilRig 的伊朗威胁行为体在针对阿联酋甚至更广泛海湾地区的网络间谍活动中，利用了Windows 的内核缺陷。 趋势科技研究人员 Mohamed Fahmy、Bahaa Yamany、Ahmed Kamal 和 Nick Dai 在周五发布的一份分析报告中指出：“该组织采用了复杂的策略，包括部署后门，利用微软 Exchange 服务器窃取凭证，以及利用 CVE-2024-30088 等漏洞进行权限升级。” 该网络安全公司正在追踪这个名为 Earth Simnavaz 的威胁行为者，它还被称为 APT34、Crambus、Cobalt Gypsy、GreenBug、Hazel Sandstorm（前身为 EUROPIUM）和 Helix Kitten。 该攻击链需要部署一种从未有过记录的植入程序，它具有通过本地微软 Exchange服务器泄露凭据的功能，这是对手过去采用的一种屡试不爽的战术，同时还将最近披露的漏洞纳入其漏洞库。 微软于 2024 年 6 月修补了 CVE-2024-30088，该漏洞涉及 Windows 内核中的权限升级问题，假定攻击者能够赢得竞赛条件，则可利用该漏洞获得 SYSTEM 权限。 最初进入目标网络的方式是通过渗透一个易受攻击的网络服务器，先丢弃一个网络外壳，而后丢弃ngrok远程管理工具，以保持持久性并转移到网络中的其他端点。 这个权限升级漏洞随后被用作传递代号为 “STEALHOOK ”的后门通道，该后门负责通过Exchange服务器以附件的形式，将收集的数据传输到攻击者控制的电子邮件地址。 OilRig 在最新一组攻击中使用了一种值得注意的技术，即利用提升的权限来丢弃密码的过滤策略 DLL (psgfilter.dll)，以便通过域控制器或本地计算机上的本地账户从域用户那里提取敏感凭证。 研究人员表示：“恶意行为者在实施密码过滤器导出功能时，非常小心地处理明文密码。”威胁者还利用明文密码远程访问和部署工具。明文密码在通过网络发送时首先被加密，然后才被外泄。 值得注意的是，早在 2022 年 12 月就有人发现 psgfilter.dll 的使用，与针对中东地区组织的活动中一个名为 MrPerfectionManager 的后门有关。 研究人员指出，他们最近的活动表明：“地球Simnavaz专注于政治敏感地区关键基础设施的脆弱性。他们还寻求在被入侵的实体中建立持久的立足点，这样这些实体就可以被武器化，对其他目标发动攻击。”   消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Mozilla 为其 Firefox 浏览器发布了一个紧急安全更新，以解决一个目前在野外被利用的关键漏洞。该漏洞被追踪为 CVE-2024-9680，CVSS 得分为 9.8，允许攻击者在用户系统上执行任意代码。 图片来源：安全客 “东部时间周二上午 8 点左右，我们收到反病毒公司 ESET 的警告，他们提醒我们在野外发现了一个 Firefox 漏洞。”Mozilla 在一份安全公告中说。“我们要衷心感谢 ESET 与我们分享他们的发现，正是这样的合作让网络对每个人来说都更加安全。” 该漏洞存在于动画时间轴组件中，它是 Firefox Web Animations API 中的一个机制，用于控制和同步网页上的动画。更具体地说，它是一个 “释放后使用”（use-after-free）漏洞，这是一种内存损坏漏洞，当程序释放内存位置后继续使用该位置时就会出现这种漏洞。这样，攻击者就可以注入恶意代码并控制受影响的系统。 Mozilla 解释说：“ESET 发送给我们的样本包含一个完整的漏洞利用链，允许在用户计算机上远程执行代码。在收到样本的一个小时内，我们就召集了一个由安全、浏览器、编译器和平台工程师组成的团队，对该漏洞进行逆向工程，迫使它触发有效载荷，并了解它是如何工作的。” 尽管没有提前通知，而且漏洞利用非常复杂，但 Mozilla 还是在短短 25 小时内开发并发布了修复程序。这种快速反应凸显了漏洞的严重性，以及立即更新到最新版本火狐浏览器的重要性。 修补版本包括： Firefox 131.0.2、Firefox ESR 128.3.1、Firefox ESR 115.16.1、Thunderbird 115.16、Thunderbird 128.3.1 和 Thunderbird 131.0.1。 令人担忧的是，Mozilla 已确认该漏洞正被积极利用来攻击 Tor 浏览器用户。不过，有关这些攻击的性质和攻击者身份的详细信息仍然很少。     转自安全客，原文链接：https://www.anquanke.com/post/id/300781 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。 美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞： CVE-2024-43047 高通多个芯片组使用后免费漏洞 CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞 CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞 高通公司本周解决了其产品中的 20 个漏洞，其中包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “使用后免费”（use-after-free）错误。 该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。 “目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配，则可能导致免费使用（UAF）漏洞。作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。” 谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。 谷歌威胁分析小组称，CVE-2024-43047 可能正受到有限的、有针对性的利用，Wang 也证实了野外活动。 研究人员还没有公布利用 CVE-2024-43047 的攻击细节，但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 关于CISA添加到KEV目录中的微软漏洞，IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。 微软证实，这两个问题正在被恶意利用。 CVE-2024-43572 (CVSS score: 7.8) – 微软管理控制台远端执行程式码漏洞： 如果用户加载恶意的 MMC snap-in，Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限，但管理员应立即应用更新以减轻潜在危害。 CVE-2024-43573（CVSS 得分：6.5）- Windows MSHTML 平台欺骗漏洞： 尽管该漏洞被评为中度，但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善，因此建议及时测试和部署此更新。 根据约束性操作指令 (BOD) 22-01： FCEB 机构必须在规定日期前处理已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私营机构审查目录并解决其基础设施中的漏洞。 CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300813 封面来源于网络，如有侵权请联系删除

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中，发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。 CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果，问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制（UAC）提示的情况下启动安装程序，从而触发安装修复。在修复过程中，一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行，并与程序文件目录下的 libeay32.dll 文件交互。 Baer 解释说，这个过程打开了一个重大漏洞： “在使用 msiexec.exe 的修复功能时，发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口。这样，攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统，从而完全控制机器。” 开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件（即使该文件已从其原始位置删除）并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。 通过在特定时间点小心地释放和保持锁，攻击者可以确保 conhost.exe 窗口保持打开，从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭，因此可以与之交互，”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。 分析显示，GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过，5.2.x 版本已达到使用寿命，将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300697 封面来源于网络，如有侵权请联系删除

在 Livewire 中发现了一个新发现的漏洞 CVE-2024-47823，Livewire 是 Laravel 的一个流行全栈框架，用于在不离开 PHP 的情况下构建动态 UI 组件。该安全漏洞的 CVSS 得分为 7.7，允许攻击者利用文件上传，在受影响的系统上实现远程代码执行 (RCE)。 Livewire 与 Laravel 无缝集成，简化了动态用户界面的开发。然而，在 v3.5.2 之前的版本中，Livewire 处理文件上传的方式存在重大缺陷。 在这些存在漏洞的版本中，上传文件的文件扩展名是根据其 MIME 类型猜测的，而不是根据其实际文件扩展名进行验证。这意味着攻击者可以上传具有有效 MIME 类型（如 image/png）的文件，但使用 .php 等危险的文件扩展名。如果系统的网络服务器被配置为执行 PHP 文件，这个漏洞就为远程代码执行打开了大门。 报告该漏洞的安全研究员杰里米-安热尔（Jeremy Angele）描述了攻击者如何在特定条件下利用 Livewire 漏洞： 在概念验证（PoC）场景中，Angele演示了攻击者如何上传名为shell.php、MIME类型为image/png的文件。上传文件后，攻击者可以通过浏览器访问该文件来触发文件的执行，从而获得对服务器的远程访问权限。 Livewire 3.5.2 版修补了 CVE-2024-47823 漏洞。该补丁包括在上传过程中对文件扩展名进行更严格的验证，确保阻止 MIME 类型和扩展名不匹配的文件。 为保护您的系统，立即更新到最新版本的 Livewire 至关重要。此外，还建议开发人员配置网络服务器，防止在公共目录中执行 PHP，并在上传文件时彻底验证 MIME 类型和文件扩展名。     转自安全客，原文链接：https://www.anquanke.com/post/id/300711 封面来源于网络，如有侵权请联系删除

西门子发布了其SINEC安全监视器的一个新的安全更新，这是一个模块化的网络安全软件，用于被动的，非侵入性的，持续的监测客户场所的生产环境。已在V4.9.0之前的版本中发现了几个关键漏洞，这些漏洞被追踪为CVE-2024-47553、CVE-2024-47662、CVE-20483和CVE-2024-4565。 SINEC 安全监视器中发现的4个漏洞，其严重程度和对受影响系统的潜在风险各不相同。如果被利用，它们可能允许攻击者执行任意代码，损害系统完整性，并有可能获得对底层操作系统的根层访问权限。 已解决的脆弱性包括: CVE-2024-47553（CVSSv4 9.4）:由于ssmctl-client命令中用户输入的验证不当，允许经过身份验证的低权限攻击者以根权限执行任意代码。 CVE-2024-47562（CVSSv49.3）:由于用户输入ssmctl-client命令中的特殊元素被不当中和，使得经过身份验证的低特权本地攻击者能够执行特权命令。 CVE-2024-47563（CVSSv4 6.9）:由于对用于创建CSR文件的文件路径的验证不当，允许未经验证的远程攻击者在非预期位置创建文件。这可能会损害这些目录中文件的完整性。 CVE-2024-47565（CVSSv45.3）:允许经过身份验证的远程攻击者破坏应用程序的配置，原因是针对允许值对用户输入的验证不足。 西门子敦促用户将其SINEC Security Monitor安装更新到版本4.9.0或更高版本，以缓解这些漏洞。该更新可从西门子网站下载。     转自安全客，原文链接：https://www.anquanke.com/post/id/300632 封面来源于网络，如有侵权请联系删除

Apache Avro Java 软件开发工具包（SDK）中存在一个严重漏洞（跟踪编号为 CVE-2024-47561），该漏洞可允许在易受攻击的实例上执行任意代码。 该漏洞被追踪为 CVE-2024-47561，影响 1.11.4 之前的所有软件版本。 Avro Java 软件开发工具包（SDK）是在 Java 应用程序中使用 Apache Avro 的工具包。Apache Avro 是作为 Apache Hadoop 项目的一部分开发的数据序列化框架。它为结构化数据的序列化提供了一种紧凑、快速和高效的方法，这使它在涉及大数据、流或分布式系统的应用中特别有用。 “Apache Avro 1.11.3 及以前版本的 Java SDK 中的模式分析允许恶意程序执行任意代码。建议用户升级到 1.11.4 或 1.12.0 版本，它们修复了这个问题。 该漏洞会影响任何允许用户提供自己的 Avro 模式进行解析的应用程序。 来自 Databricks security 的安全研究员 Kostya Kortchinsky 向 Avro 团队报告了这一漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300654 封面来源于网络，如有侵权请联系删除

一位研究人员声称发现了一个十年前的漏洞，评级为 9.9，该漏洞影响了所有 GNU/Linux 系统，使攻击者能够控制易受攻击的设备。该漏洞正在调查中，预计将于下周全面披露。 网络安全研究员和 Linux 开发人员 Simone Margaritelli 发现了一个关键的 Linux 漏洞，该漏洞可能允许攻击者完全控制易受攻击的系统。此 Linux 漏洞会影响 GNU/Linux 系统，特别是针对 Linux 远程代码执行。如果得到证实，它可能是历史上最严重的漏洞之一。 十年前的缺陷： 据报道，该漏洞已经存在了十多年，影响了所有 GNU/Linux 系统。虽然具体细节仍处于保密状态，但 Canonical 和 Red Hat 等主要 Linux 分销商确认的严重性评分为 9.9 分（满分 10 分），这表明如果被利用，可能会造成巨大的损害。 争议： 尽管问题严重，但尚未分配通用漏洞和披露 （CVE） 标识符，开发人员仍在争论漏洞的某些方面是否构成安全风险。这种分歧导致延迟解决问题，并导致安全研究人员感到沮丧。 Margaritelli 公开表达了他对披露处理方式的失望。他声称已经提供了概念验证漏洞，但开发人员更专注于讨论漏洞的影响，而不是努力寻找解决方案。 因此，他决定不进行负责任的披露，而是完全披露缺陷。虽然他的决定可能会加速修复竞赛，但如果不采取迅速的对策，也会使数百万个 Linux 系统面临恶意攻击。 供您参考，Simone Margaritelli，又名 evilsocket，是一位著名的网络安全专家，他为世界各地的专业人士和研究人员创造了许多工具。他最显着的贡献之一是 Bettercap，这是一个专为中间人 （MITM） 黑客攻击和网络渗透测试而设计的开源工具。 该漏洞可能会影响已知暴露的服务（如 OpenSSH）和可能的过滤服务（如 Net Filter），尽管没有迹象表明哪些服务可能会受到影响，这些只是假设。 根据最新更新，该漏洞最初将于 9 月 30 日披露到 Openwall 安全邮件列表，然后在 10 月 6 日完全公开披露。建议 Linux 用户在补丁可用时立即了解官方更新和补丁系统。 * 未经身份验证的 RCE 与 3 周前披露的所有 GNU/Linux 系统（以及其他系统）的对比。 * 在 2 周内完成完全披露（与开发人员达成协议）。 * 仍然没有分配 CVE（至少应该有 3 个，可能是 4 个，最好是 6 个）。 * 仍然没有有效的修复。 * Canonical、RedHat 和…pic.twitter.com/N2d1rm2VeR — 西蒙娜·玛格丽特利 （@evilsocket） September 23， 2024 软件安全平台 Sonatype 的首席技术官兼开源安全基金会管理委员会成员 Brian Fox 发现，此漏洞与 Log4j/Log4Shell 漏洞 （CVE-2021-44228） 之间存在相似之处。Fox 正在与 Sonatype 的研究团队和开源安全社区密切合作，以了解问题的严重性和可能的缓解方法。 “虽然我们还没有技术细节，但 9.9 CVSS 的漏洞表明利用的复杂性较低，并且有迹象表明系统核心存在缺陷。考虑到这是 Linux，这个漏洞的范围很广，成功利用可能是毁灭性的——从 wifi 路由器到保持灯亮的网格，一切都在 Linux 上运行，“Brain 解释说。 “他进一步补充道：”这种低复杂性和高使用率的组合让人想起 Log4Shell，尽管这里的使用规模要大得多。我理解逐步取消披露的逻辑，因为这个漏洞需要时间来发现和修复，但是，我们也应该预料到威胁行为者会仔细检查提交历史并寻找可以利用的线索。 “在我们等待更多细节公布的同时，企业安全团队必须搜索他们的环境和 SBOM，以了解他们可能容易受到攻击的地方并准备好修补。取消你的假期，因为在 10 月 6 日，这可能是一场与攻击者的赛跑，“Brian 强调说。       转自安全客，原文链接：https://www.anquanke.com/post/id/300491 封面来源于网络，如有侵权请联系删除

近日，有安全研究人员发现起亚汽车经销商门户网站存在一个关键漏洞，黑客只需使用目标车辆的车牌，就能定位并窃取数百万辆 2013 年后生产的起亚汽车。 大约在2022 年，安全研究员和漏洞赏金猎人萨姆-库里等人发现了影响十多家汽车公司的其他关键漏洞，这些漏洞可以让犯罪分子远程定位、禁用启动器、解锁和启动法拉利、宝马、劳斯莱斯、保时捷和其他汽车制造商生产的 1500 多万辆汽车。 今天，库里透露称起亚门户网站漏洞最早是在今年6月被发现的，黑客利用该漏洞能在 30 秒内控制任何配备远程硬件的起亚汽车，无论其是否有激活的起亚互联订阅。 这些漏洞还暴露了车主的敏感个人信息，包括姓名、电话号码、电子邮件地址和实际地址，并可能使攻击者在车主不知情的情况下将自己添加为目标车辆的第二用户。 为了进一步证明这一问题，研究小组制作了一个工具，展示攻击者如何输入汽车牌照，并在 30 秒内远程锁定或解锁汽车、启动或停止汽车、按喇叭或定位车辆。 研究人员在起亚的 kiaconnect.kdealer.com 经销商门户网站上注册了一个经销商账户，以获取这些信息。 通过身份验证后，他们生成了一个有效的访问令牌，该令牌允许他们访问后端经销商 API，从而获得车主的重要详细信息和对汽车遥控器的完全访问权限。 他们发现，攻击者可以利用后台经销商 API完成以下操作，包括： 生成经销商令牌并从 HTTP 响应中获取该令牌 访问受害者的电子邮件地址和电话号码 使用泄露的信息修改车主的访问权限 将攻击者控制的电子邮件添加到受害者的车辆上，从而实现远程命令 HTTP 响应包含车主的姓名、电话号码和电子邮件地址。库里表示：我们能够使用正常的应用程序凭证和修改后的通道头验证进入经销商门户。 从那里，攻击者可以通过 API 输入车辆的 VIN（车辆识别码），并在车主不知情的情况下远程跟踪、解锁、启动或鸣笛。 起亚门户网站的漏洞允许在未经授权的情况下隐秘地访问车辆，因为正如库里解释的那样，从受害者的角度来看，他们的车辆被访问后没有任何通知，他们的访问权限也没有被修改。 库里补充道：这些漏洞后来都得到了修复，这个工具也从未发布过，起亚团队已经证实这从未被恶意利用过。     转自Freebuf，原文链接：https://www.freebuf.com/news/411878.html 封面来源于网络，如有侵权请联系删除