在拉斯维加斯举行的黑帽大会（BLACK HAT USA 2024）上，来自德国 CISPA 亥姆霍兹信息安全中心的一组研究人员披露了影响基于 RISC-V 架构的流行 CPU 的新漏洞细节。 RISC-V是一种开源指令集架构 (ISA)，旨在为各种类型的应用开发定制处理器，包括嵌入式系统、微控制器、数据中心和高性能计算机。 CISPA 研究人员发现中国芯片公司 T-Head （阿里巴巴旗下的平头哥半导体）生产的玄铁 C910 CPU 中存在漏洞。据专家介绍，玄铁 C910 是速度最快的 RISC-V CPU 之一。 这个被称为GhostWrite 的漏洞允许具有有限权限的攻击者读取和写入物理内存，从而可能使他们获得对目标设备的完全和不受限制的访问权限。 虽然 GhostWrite 漏洞特定于玄铁 C910 CPU，但已确认多种类型的系统受到影响，包括云服务器中的 PC、笔记本电脑、容器和虚拟机。 研究人员列出的易受攻击的设备列表包括 Scaleway Elastic Metal RV 裸机云实例；Sipeed Lichee Pi 4A、Milk-V Meles 和 BeagleV-Ahead 单板计算机 (SBC)；以及一些 Lichee 计算集群、笔记本电脑和游戏机。 “要利用此漏洞，攻击者需要在易受攻击的 CPU 上执行非特权代码。这对多用户和云系统构成威胁，或者在执行不受信任的代码时，甚至在容器或虚拟机中也是如此。”研究人员解释道。 为了展示他们的研究结果，研究人员展示了攻击者如何利用 GhostWrite 获取 root 权限或从内存中获取管理员密码。 与之前披露的许多CPU 攻击不同，GhostWrite 不是侧信道攻击，也不是瞬时执行攻击，而是一个架构错误。 研究人员向 T-Head 报告了他们的发现，但目前尚不清楚该供应商是否采取了任何行动。SecurityWeek在本文发表前几天联系了 T-Head 的母公司阿里巴巴征求意见，但尚未得到回复。 云计算和网络托管公司 Scaleway 也已收到通知，研究人员表示该公司正在向客户提供缓解措施。 值得注意的是，该漏洞是一个硬件错误，无法通过软件更新或补丁修复。禁用 CPU 中的矢量扩展可以减轻攻击，但也会影响性能。 研究人员告诉SecurityWeek，尚未为 GhostWrite 漏洞分配 CVE 标识符。 虽然没有迹象表明该漏洞已被利用，但 CISPA 研究人员指出，目前还没有特定的工具或方法来检测攻击。 研究人员发表的论文中提供了更多技术信息。他们还发布了一个名为 RISCVuzz 的开源框架，用于发现 GhostWrite 和其他 RISC-V CPU 漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aO8kr865bmh1VSlC4fIPPQ 封面来源于网络，如有侵权请联系删除

自2021年起，俄罗斯用户已成为一种新型未被记录的安卓后门间谍软件“LianSpy”的攻击目标。 网络安全公司卡巴斯基在2024年3月发现了这款恶意软件，并指出其利用俄罗斯的云服务Yandex Cloud进行命令和控制（C2）通信，以避免设立专用基础设施并逃避检测。 安全研究员Dmitry Kalinin在周一发布的技术报告中表示：LianSpy能够捕获屏幕录像、窃取用户文件、收集通话记录和应用程序列表。 目前尚不清楚该间谍软件的传播方式，但卡巴斯基推测，它可能是通过未知的安全漏洞或是直接接触目标手机来部署的，这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。 LianSpy一旦被激活，会先检查自己是不是以系统应用身份在运行。如果是，它会利用管理员权限在后台操作。如果不是，它会请求一系列权限以访问联系人、通话记录、通知，甚至会在手机屏幕上绘制覆盖层。 它还会检查自己是否在调试环境中运行，以便设置一个在手机重启后也能保持的配置。然后从手机的启动器中隐藏图标，并触发屏幕截图、导出数据和更新配置等活动，以指定需要捕获的信息类型。 某些变种被发现能够收集俄罗斯流行的即时通讯应用的数据，并根据是否连接到Wi-Fi或移动网络来允许或禁止运行恶意软件。 Kalinin说：“为了更新间谍软件配置，LianSpy每隔30秒会在攻击者的Yandex Disk上搜索与正则表达式’^frame_.+.png$’匹配的文件，如果找到，文件将被下载到应用程序的内部数据目录中。” 并且，收集的数据以加密形式存储在SQL数据库中，指定记录类型和SHA-256哈希值，只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。 LianSpy的隐蔽性体现在它能够绕过谷歌在Android 12中引入的隐私指示器功能，该功能要求请求麦克风和相机权限的应用显示状态栏图标。LianSpy开发者通过修改Android安全设置参数，防止通知图标出现在状态栏。 它还利用NotificationListenerService隐藏后台服务的通知，处理并抑制状态栏通知。 LianSpy恶意软件的另一个复杂之处在于它使用了修改名称为”mu”的su二进制文件来获取root权限，这增加了它可能是通过一个以前未知的漏洞或对设备的物理访问来传播的可能性。 此外，LianSpy的C2通信是单向的，只接收命令，不发送任何回应。它使用Yandex Disk传输被盗数据和存储配置命令，从硬编码的Pastebin URL更新Yandex Disk的凭据，不同恶意软件变种的 Pastebin URL 各不相同，使用这种合法服务增加了混淆层，追踪LianSpy变得更加困难。 LianSpy是不断增长的间谍软件工具列表中的最新成员，通常利用零日漏洞攻击目标移动设备（无论是 Android 还是 iOS）。Kalinin表示：“除了收集通话记录和应用列表等标准间谍行为外，它还利用root权限进行隐蔽的屏幕录制，避开安全检查，其依赖重命名的su二进制文件，暗示了初次入侵后的二次感染。”   转自Freebuf，原文链接：https://www.freebuf.com/news/408008.html 封面来源于网络，如有侵权请联系删除

近日，达美航空的首席执行官Ed Bastian公开表示，由于CrowdStrike的技术故障，导致该航空公司遭受了高达5亿美元的损失，达美航空已经向CrowdStrike和微软发出了诉讼准备通知。 在7月19日CrowdStrike错误更新引发的全球IT系统崩溃中，美国主要航空公司包括达美航空、联合航空和美国航空都于上周五当日上午短暂停飞。 联合航空和美国航空在周末迅速恢复了运营，而达美航空却花费了比其他航空公司更长的时间恢复运营，其航班中断持续到了接下来的一周，累积取消了超过6000个航班，严重影响了业务正常运行。此外，由于运营混乱期间客户服务质量低下，达美航空还引来了美国运输部的调查。 据报道，达美航空已经聘请了知名律师David Boies，向CrowdStrike和微软发出了诉讼准备通知。Bastian在接受CNBC采访时强调，达美航空别无选择，只能寻求让CrowdStrike赔偿（5亿美元）损失。他指出，除了收入损失外，达美航空还承担了（因航班中断和延误导致的）数千万美元的赔偿和酒店费用。 然而，CrowdStrike坚决否认对此次事故负有全部责任，并指责达美航空试图“甩锅”。 在一封回应达美航空的公开信中，CrowdStrike表示，达美航空对事故的描述带有误导性。 CrowdStrike的律师Michael Carlinsky在上周日的一封信中表示，达美航空编造了一种“误导性的说法”，称CrowdStrike在这次事故中“严重疏忽”，导致达美航空在这次事故中损失了5亿美元。 根据GoUpSec此前的报道，CrowdStrike始终否认该事件是“安全事件”，同时否认自身存在严重过失。 虽然上周三CrowdStrike发布的初步事件调查报告（PIR）的结果显示其更新工具和测试流程存在严重漏洞，但CrowdStrike否认自己在该事件中存在“不负责任”的行为。相反，CrowdStrike认为自己在事件响应中的表现堪称行业楷模，业务严重中断是达美航空自身问题。 CrowdStrike的律师指出，如果采取法律行动，达美航空将不得不解释为何其竞争对手能够更快地恢复运营。他还警告达美航空：“如果达美航空选择这条路，它就必须向公众、股东以及最终的陪审团解释，为什么CrowdStrike能够积极对其行为承担责任，而且是迅速、透明和建设性的，而达美航空却没有。” 面对达美航空的巨额索赔，CrowdStrike还强调，其合同责任上限在“数百万美元”范围内，而非达美航空所声称的5亿美元。 CrowdStrike进一步表示，在事件发生后，他们曾向达美航空提供现场支持，但被告知不需要。同时，CrowdStrike要求达美航空保留与此次事件以及过去五年内其他IT问题相关的所有文件和记录。 目前，达美航空仍在进行内部分析，以汲取此次事件的教训。有业内人士指出，达美航空的遭遇不仅暴露了关键信息基础设施和企业IT系统的脆弱性，也凸显了关键业务过于依赖技术合作伙伴的风险。 达美航空首席执行官Bastian也坦承，达美航空过于依赖微软和CrowdStrike，是该公司遭受如此严重损失的主要原因。他在上周致员工的信中写道，达美航空的IT、运营和客户服务团队正在对此次事件进行深入分析，以期从中吸取教训。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FAoPVv7LRhO8gbsisW1SMQ 封面来源于网络，如有侵权请联系删除

有报道称针对上周末被披露的Apache OFBiz 安全漏洞（CVE-2024-38856）的攻击企图日益增多，使用 Apache OFBiz 的组织被敦促修补一个严重漏洞。 Apache OFBiz 开发人员称，18.12.14 之前的版本都受到影响，18.12.15 包含一个修复程序。 开发人员在一份咨询报告中表示： “如果满足某些先决条件（例如，当屏幕定义没有明确检查用户的权限，因为它们依赖于其端点的配置时），未经身份验证的端点可能会允许执行屏幕的屏幕渲染代码。” 发现该漏洞的 SonicWall 威胁研究人员将其描述为一个严重问题，可能允许未经身份验证的远程代码执行。 SonicWall 解释称：“漏洞的根本原因在于身份验证机制存在缺陷。该缺陷允许未经身份验证的用户访问通常需要用户登录才能使用的功能，从而为远程代码执行铺平了道路。” SonicWall 尚未发现利用 CVE-2024-38856 的攻击。 然而，最近发现的另一个 Apache OFBiz 漏洞似乎已被恶意攻击者利用。该漏洞于 5 月被发现，编号为 CVE-2024-32113，是一个路径遍历错误，可能导致远程命令执行。 SANS 技术研究所的互联网风暴中心报告称，7 月底发现攻击尝试有所增加。 有证据表明攻击者正在试验该漏洞并可能将其添加到 Mirai 僵尸网络变种的攻击中。 Apache OFBiz 是一个用于创建企业资源规划 (ERP) 应用程序的免费框架。OFBiz被多家大型公司使用。大多数用户在美国，其次是印度和欧洲。 SANS 的 Johannes Ullrich 指出：“OFBiz 似乎远不如商业替代方案那么流行。然而，就像任何其他 ERP 系统一样，组织依靠它来存储敏感的业务数据，而这些 ERP 系统的安全性至关重要。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_RfZplteHa9jDl1FXXRqtA 封面来源于网络，如有侵权请联系删除

韩国国家网络安全中心 (NCSC) 警告称，朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。 参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45)，它们是受国家支持的黑客组织，之前与臭名昭著的 Lazarus Group 有联系。 NCSC警告称：“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织，并指出这两个组织为了特定的政策目标同时瞄准同一领域，这是史无前例的 。” 带有木马的更新和安装程序 在该公告中重点介绍的第一起案件中，日期为 2024 年 1 月，Kimsuky 入侵了韩国建筑行业组织的网站，向访问者传播恶意软件。 根据ASEC 2 月份的报告，当员工试图登录该组织的网站时，他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名，从而有效绕过了防病毒检查。 当安装木马软件时，恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据（凭证、cookie、书签、历史记录）以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。 此次活动感染了韩国建筑公司、公共机构和地方政府的系统。 Kimsuky供应链攻击概述，资料来源：NCSC 第二起案件发生在 2024 年 4 月，当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。 NCSC 公告解释道：“2024 年 4 月，Andariel 黑客组织利用国内安全软件（VPN 和服务器安全）的漏洞，用恶意软件替换冒充更新文件，向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。” NCSC 表示，该漏洞允许黑客向用户电脑发送欺骗数据包，用户电脑会将其错误地识别为合法的服务器更新，从而安装恶意版本。 DoraRAT 是一种轻量级远程访问木马 (RAT)，其功能最少，因此可以更加隐秘地运行。 在特定攻击中观察到的变体被配置为窃取大型文件，例如机械和设备设计文档，并将其泄露到攻击者的命令和控制服务器。 Andariel 供应链攻击概述资料，来源：NCSC NCSC 表示，可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员身份验证。 其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告，以快速识别和阻止新出现的威胁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q 封面来源于网络，如有侵权请联系删除

一种名为 SLUBStick 的新型 Linux 内核跨缓存攻击，将有限的堆漏洞转化为任意内存读写能力的成功率高达 99%，让研究人员能够提升权限或逃离容器。 该发现来自奥地利格拉茨技术大学的一组研究人员，他们演示了使用 32 位和 64 位系统中的 9 个现有 CVE 对 Linux 内核版本 5.9 和 6.2（最新版本）进行攻击，显示出很高的通用性。 此外，此次攻击可与所有现代内核防御措施（如监控模式执行保护 (SMEP)、监控模式访问保护 (SMAP) 和内核地址空间布局随机化 (KASLR)）配合使用。 研究人员将展示在启用了最先进防御功能的最新 Linux 中如何实现权限提升和容器逃逸。同时，发布的技术论文包含有关此次攻击和潜在利用场景的所有细节。 SLUBStick 详细信息 Linux 内核高效且安全地管理内存的一种方法是，为不同类型的数据结构分配和取消分配内存块（称为“slab”）。 此内存管理流程中的缺陷可能允许攻击者破坏或操纵数据结构，这称为跨缓存攻击。然而，这些攻击大约有 40% 的时间是有效的，并且通常迟早会导致系统崩溃。 SLUBStick 利用堆漏洞（例如双重释放、用户释放后或越界写入）来操纵内存分配过程。 研究人员实验中成功利用的 CVE，来源：stefangast.eu 接下来，它使用定时侧通道来确定内存块分配/释放的确切时刻，从而允许攻击者预测和控制内存重用。 使用这些时间信息可将跨更改利用的成功率提高到 99%，从而使 SLUBStick 非常实用。 测量成功率，来源：stefangast.eu 将堆漏洞转换为任意内存读写原语分为三个步骤： 释放特定的内存块并等待内核重新使用它们。 以可控的方式重新分配这些块，确保它们能够重新用于页表等关键数据结构。 一旦回收，攻击者就会覆盖页表条目，获得读取和写入任何内存位置的能力。 篡改数据，来源：stefangast.eu 想要深入研究 SLUBStick 并试验格拉茨大学研究人员使用的漏洞的人可以在研究人员的 GitHub 存储库中找到它们。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PpXosWa7BfbqqcxYzcLwhA 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会的研究人员报告称，大约 20000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。 微软本周警告称，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。 微软研究人员发现 ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件运营商利用，以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。 VMware在发布的公告中表示：“如果恶意行为者拥有足够的 Active Directory (AD) 权限，则可以通过在从 AD 中删除已配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，从而获得 对之前配置为使用 AD 进行用户管理的ESXi 主机 的完全访问权限。” 该公司发布了影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞补丁。但是，没有计划针对旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x 提供补丁。建议不受支持版本的用户升级到较新版本以接收安全更新和支持。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个以经济为目的的网络犯罪组织已经利用此漏洞部署勒索软件。 “微软安全研究人员发现，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等勒索软件运营商在多次攻击中都使用了一种新的后入侵技术  。”微软继续说道。“在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。” Shadowserver 研究人员于 2024-07-30 发现 20,275 个实例存在 CVE-2024-37085 漏洞。 “VMware ESXi  CVE-2024-37085 身份验证绕过漏洞。虽然 Broadcom 仅将其评为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件参与者在野外利用。如果您收到实例警报， 请检查是否受到入侵并进行更新。这是基于版本的扫描。” Shadowserver 发布的报告写道。 “我们不检查解决方法或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的条件。任何报告都应被视为潜在漏洞，并由收件人进行验证。” Shadowserver 表示：“需要澄清的是：这些漏洞可能存在，因为这只是针对补丁状态的远程版本检查。我们没有发现任何现成的解决方法，也没有检查是否存在其他可利用的先决条件（加入域的 ESXi 虚拟机管理程序）。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/1AooiBdtDbLBJgvyR2vzXQ 封面来源于网络，如有侵权请联系删除

关键的 API 安全漏洞（在跟踪和记录网络用户活动的 Hotjar 服务和广受欢迎的 Business Insider 全球新闻网站中发现的）利用现代身份验证标准复活了一个长期存在的漏洞，使数百万用户面临账户被接管的风险。 API 安全公司 Salt Security 的 Salt Labs 发现，通过将 OAuth 标准与这两个网站的跨站脚本 (XSS) 漏洞相结合，攻击者有可能暴露敏感数据，并冒充 100 多万个网站的合法用户开展恶意活动。 Hotjar 是一款通过记录用户活动来分析行为的工具，是对谷歌分析（Google Analytics）的补充，它为 100 多万个网站提供服务，其中包括 Adobe、微软、松下、哥伦比亚、RyanAir、迪卡侬、T-Mobile 和任天堂等知名品牌。 “由于 Hotjar 解决方案的性质，它收集的数据可能包括大量个人敏感数据，如姓名、电子邮件、地址、私人信息、银行详细信息，甚至在某些情况下还包括凭证。”Salt Labs 博客文章中关于这项研究的帖子说。 另外，在 Business Insider 网站上发现的另一个同样危险的漏洞也可被利用来执行跨站脚本 (XSS) 攻击，并接管该网站上的账户，而该网站在全球拥有数百万用户。 研究人员警告说，同样的漏洞组合可能在互联网大范围内潜伏，这使得更多的在线服务可能面临同样的问题。 现代身份验证标准 OAuth 是一个相对较新的标准，越来越多地被用于无缝跨网站认证，因为它是许多网站中“用 Facebook 登录”或“用 Google 登录”功能背后的引擎而被人熟知。该标准驱动着负责网站间身份验证切换的机制，允许网站间共享用户数据。但该标准在实施过程中被错误配置，从而创建了跨越多个站点的严重漏洞，影响众多网站。 XSS 作为最常被利用和最古老的网络漏洞之一，它允许攻击者将恶意代码注入合法的网页或应用程序中，以便在网站访问者的浏览器中执行脚本，用于数据盗窃等。 Salt Security 公司副总裁 Yaniv Balmas 表示，一个成功利用结合了这两种攻击手段的攻击者将获得与受害者相同的权限和功能。换句话说，潜在的风险将等同于普通系统用户实际能够进行的操作。 Salt Labs 于 3 月 20 日发现了 Business Insider 网站上的漏洞，并立即通知了该公司，该公司在 3 月 30 日修复了漏洞。而 Hotjar 的漏洞是在 4 月 17 日发现的，披露后两天就得到了缓解。 Salt 研究人员认为，允许攻击者利用 OAuth 和 XSS 组合的漏洞可能在其他网站上潜伏而未被发现，从而使数百万毫无戒心的用户面临潜在的账户被接管风险。 “我们坚信这是一个非常普遍的问题，而且很有可能许多其他在线服务也存在同样的问题。” Balmas 说。 Hotjar 攻击 鉴于 XSS 已经存在了很长时间，大多数网站都有针对利用这种漏洞攻击的内置保护措施。Salt 的研究人员利用 OAuth 在 Hotjar 和 Business Insider 网站的两个独立实例中避开了这些保护。 研究人员操纵了 Hotjar 的社交登录功能，该功能重定向到 Google，通过 OAuth 接收秘密令牌以完成 Hotjar 上的认证。该令牌是一个包含秘密代码的 URL，JavaScript 代码可以读取该 URL，从而创建了一个 XSS 漏洞。 “为了将 XSS 与这个新的社交登录功能结合起来并实现有效的利用，我们使用 JavaScript 代码在新窗口中启动一个新的 OAuth 登录流程，然后从该窗口读取令牌，” 帖子中说。“使用这种方法，JavaScript 代码会在 Google 打开一个新标签页，Google 会自动将用户重定向回 [Hotjar 网站]，并在 URL 中加入 OAuth 代码。” 代码会读取新标签页中的 URL 并从中提取 OAuth 凭证。一旦攻击者获得了受害者的代码，他们就可以在 Hotjar 中启动一个新的登录流程，用受害者的代码替换他们的代码，从而完全接管账户，因此可能暴露 Hotjar 收集的所有个人数据。 利用移动登录 研究人员还设法利用了Business Insider网站代码中集成的社交登录功能，特别是通过移动身份验证，该功能会打开一个新的 Web 浏览器对用户进行身份验证。用户在网络上完成身份验证后，会被重定向到一个端点，而其凭证将作为参数通过网络发送到移动站点。 这个端点仅创建用于支持使用移动应用程序进行身份验证，容易受到 XSS 攻击。因此，如果攻击者能够从 URL 中读取凭证，就可以实现账户接管。 “我们需要做的是编写 JavaScript 代码，启动登录流程，等待令牌在 URL 中可见，然后读取该 URL，”帖子中说。“如果受害者点击了该链接，他们的凭证将被传递给恶意域。” Balmas 强调，虽然在 Hotjar 和 Business Insider 网站上发现的具体漏洞已经得到缓解，但其他网站上也可能存在类似的潜在漏洞，这就意味着网站管理员在实施 OAuth 时需要十分小心，以免被用于类似的攻击场景。 他说：”在实施任何新技术时需要考虑很多问题，当然也包括安全问题。考虑到所有可能选项的可靠实施应该是安全的，不应该让攻击者有机会滥用这种攻击载体”。   转自Freebuf，原文链接：https://www.freebuf.com/news/407325.html 封面来源于网络，如有侵权请联系删除

威胁行为者正在利用Selenium Grid的配置错误来部署修改版的XMRig工具，用于挖掘Monero（门罗币）加密货币。 Selenium Grid是一个流行的开源Web应用测试框架，它允许开发者在多台机器和浏览器上自动化测试。它在云环境中使用，并且在Docker Hub上的下载量超过1亿次。 Selenium测试概述（来源：Wiz） 测试任务通过API交互从中央集线器分发到服务的各个节点上执行，这些节点具有不同的操作系统、浏览器和其他环境变化，以提供全面的测试结果。 云安全公司Wiz的研究人员发现，他们正在跟踪的恶意活动“SeleniumGreed”已经运行了一年多。这个活动利用了服务在默认配置中缺乏认证机制的弱点。 根据Wiz的研究，Selenium Grid默认情况下没有激活的身份验证机制。对于公开的服务，任何人都可以访问应用程序测试实例、下载文件和执行命令。 Selenium 在其文档中警告了互联网暴露实例的风险，建议那些需要远程访问的人通过设置防火墙来防止未经授权的访问。然而，这个警告不足以防止更大规模的错误配置。 Wiz提到，威胁行为者正在利用Selenium WebDriver API来更改目标实例中Chrome的默认二进制路径，使其指向Python解释器。然后，它们使用“add_argument”方法将base64编码的Python脚本作为参数传递。当WebDriver发起启动Chrome的请求时，它会使用提供的脚本执行Python解释器。 攻击中使用的漏洞利用脚本（来源：Wiz） Python脚本建立了一个反向shell，使攻击者几乎可以远程访问实例。接下来，攻击者依靠Selenium用户（seluser），可以在没有密码的情况下执行sudo命令，在被破坏的实例上放置自定义XMRig矿工，并将其设置为在后台运行。 为了逃避检测，攻击者经常使用受损的Selenium节点工作负载作为后续感染的中间命令和控制服务器（C2），以及作为采矿池代理。 Wiz公司使用FOFA搜索引擎对公开网络上暴露的网络资产进行了扫描，结果显示至少有30,000个Selenium实例目前可以通过公共网络访问到。 Wiz在报告中说：“任何缺乏适当身份验证和网络安全策略的Selenium Grid服务版本都容易受到远程命令执行的攻击。” “根据我们的数据，本博客中描述的威胁针对的是Selenium v3.141.59，但它也可能演变为利用更高版本，其他威胁行为者可能已经这样做了，”研究人员指出。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/oygRvBpVcyd-nuYYRbR6aQ 封面来源于网络，如有侵权请联系删除

一名未知黑客组织涉嫌参与一场大规模诈骗活动，该活动利用电子邮件安全供应商 Proofpoint 防御系统中的电子邮件路由配置错误漏洞，发送数百万条冒充百思买、IBM、耐克、华特迪士尼等多家知名公司的邮件。 滥用 Proofpoint 基础设施，以客户名义完美伪造电子邮件 Guardio Labs 研究员 Nati Tal在一份报告中表示：“这些电子邮件通过安全验证的SPF 和 DKIM 签名从官方 Proofpoint 电子邮件中继中发出，从而绕过了主要的安全保护措施 —— 所有这些都是为了欺骗收件人并窃取资金和信用卡详细信息。” Guardio Labs将此次活动命名为EchoSpoofing。据信该活动始于 2024 年 1 月，攻击者利用该漏洞平均每天发送多达 300 万封电子邮件，当 Proofpoint 开始采取对策时，这一数字在 6 月初达到 1400 万封的峰值。 Guardio Labs 研究员称：“这个域名最独特和最强大的部分是欺骗方法——几乎没有机会意识到这不是由这些公司发送的真正电子邮件。” 带有经过身份验证的发件人和恶意内容的伪造 Disney.com 电子邮件示例 “EchoSpoofing 非常强大。奇怪的是，它被用于这种大规模网络钓鱼，而不是精品鱼叉式网络钓鱼活动——攻击者可以迅速窃取任何真实公司团队成员的身份并向其他同事发送电子邮件——最终通过高质量的社会工程，获取内部数据或凭证，甚至危及整个公司。” 该技术涉及攻击者从虚拟专用服务器 (VPS) 上的 SMTP 服务器发送消息，值得注意的是，它符合SPF 和 DKIM 等身份验证和安全措施，它们分别是发件人策略框架和域名密钥识别邮件的缩写，是指旨在防止攻击者模仿合法域的身份验证方法。 这一切都归结为这样一个事实：这些邮件是从 Microsoft 365 租户路由的，然后通过 Proofpoint 企业客户的电子邮件基础设施进行中继，以到达 Yahoo!、Gmail 和 GMX 等免费电子邮件提供商的用户。 这就是 Guardio 所说的 Proofpoint 服务器（“pphosted.com”）中“超级宽容的错误配置缺陷”造成的结果，它实际上允许垃圾邮件发送者利用电子邮件基础设施来发送邮件。 转发中继配置允许伪造的标头流经 Exchange 服务器 Proofpoint在一份报告中表示：“根本原因是 Proofpoint 服务器上可修改的电子邮件路由配置功能，允许中继组织从 Microsoft 365 租户发出的出站消息，但没有指定允许哪些 M365 租户。” “任何提供此电子邮件路由配置功能的电子邮件基础设施都可能被垃圾邮件发送者滥用。” 换句话说，攻击者可以利用该漏洞设置恶意 Microsoft 365 租户，并将伪造的电子邮件消息发送到 Proofpoint 中继服务器，然后这些电子邮件会被“回送”，成为冒充客户域的真实数字信件。 而这又通过将 Exchange Server 的外发电子邮件连接器直接配置到与客户关联的易受攻击的“pphosted.com”端点来实现。此外，破解版的合法电子邮件传递软件PowerMTA也用于发送邮件。 Proofpoint 表示：“垃圾邮件发送者使用来自多家提供商的一系列轮流租用的虚拟专用服务器 (VPS)，使用许多不同的 IP 地址从其 SMTP 服务器一次性快速发送数千条邮件，发送到 Microsoft 365，然后中继到 Proofpoint 托管的客户服务器。” “Microsoft 365 接受了这些欺骗性消息，并将其发送到这些客户的电子邮件基础设施进行中继。当客户域在通过匹配客户的电子邮件基础设施中继时被欺骗时，DKIM 签名也会在邮件通过 Proofpoint 基础设施传输时应用，从而使垃圾邮件更容易被传递。” 针对迪士尼 Proofpoint 电子邮件中继服务器的侧信道攻击 人们怀疑，EchoSpoofing 是垃圾邮件运营商故意选择的，作为一种获取非法收入以及避免长期暴露风险的方式，因为通过这种运作方式直接针对公司可能会大大增加被发现的机会，从而有效地危及整个计划。 目前尚不清楚谁是该活动的幕后黑手。Proofpoint 表示，该活动与任何已知的黑客组织均无重叠。 该公司在一份声明中表示：“今年 3 月，Proofpoint 研究人员发现，垃圾邮件活动通过少数 Proofpoint 客户的电子邮件基础设施进行，通过 Microsoft 365 租户发送垃圾邮件。”“所有分析都表明，这一活动是由一名垃圾邮件参与者进行的，我们并未将其活动归咎于任何已知实体。” “EchoSpoofing” 操作活动——每天大约发送的欺骗电子邮件数量 “自发现此垃圾邮件活动以来，我们一直在努力提供纠正说明，包括为客户实施简化的管理界面，以指定允许哪些 M365 租户中继，所有其他 M365 租户默认被拒绝。” Proofpoint 强调，这些活动并未导致任何客户数据泄露，也未造成任何数据丢失。该公司进一步指出，已直接联系部分客户，要求他们更改设置，以阻止出站中继垃圾邮件活动的有效性。 “当我们开始阻止垃圾邮件发送者的活动时，垃圾邮件发送者加快了测试速度，并迅速转向其他客户。”该公司指出。“我们建立了一个持续的流程，每天识别受影响的客户，重新确定优先顺序以修复配置。” 为了减少垃圾邮件，它敦促 VPS 提供商限制其用户从其基础设施上托管的 SMTP 服务器发送大量邮件的能力。它还呼吁电子邮件服务提供商限制免费试用和新创建的未经验证租户发送批量出站电子邮件的能力，并阻止攻击者发送伪造过的他们没有所有权的域名的邮件。 Tal 表示：“对于 CISO 来说，主要要点是要格外注意其组织的云态势，特别是在使用第三方服务时，这些服务将成为公司网络和通信方法的支柱。特别是在电子邮件领域，始终保持反馈循环和自我控制，即使您完全信任您的电子邮件提供商。” “至于其他提供此类骨干服务的公司，就像 Proofpoint 一样，他们必须保持警惕，积极主动地首先考虑所有可能出现的威胁。不仅是直接影响客户的威胁，还有更广泛的公众。 “这对我们所有人的安全都至关重要，而创建和运营互联网骨干的公司，即使是私营公司，也对此负有最高责任。就像有人说的那样，虽然语境完全不同，但在这里却如此贴切：‘能力越大，责任越大。’”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MtgX4BJEdwt1fenbD581Fg 封面来源于网络，如有侵权请联系删除