澳大利亚软件供应商 Atlassian 周二发布安全更新，以修复其 Bamboo、Confluence 和 Jira 产品中的几个高严重漏洞。 Atlassian 公司紧急呼吁关注 Bamboo 数据中心和服务器更新，以解决两个高严重性漏洞，其中一个影响 UriComponentsBuilder 依赖项的漏洞，可能允许未经身份验证的攻击者执行服务器端请求伪造 (SSRF) 攻击。 该漏洞编号为 CVE-2024-22262，影响 Bamboo Data Center 和 Bamboo Server 版本 9.0.0、9.1.0、9.2.1、9.3.0、9.4.0、9.5.0 和 9.6.0，并在 9.6.3 LTS 和 9.2.14 LTS 版本中得到解决。 Atlassian 表示，第二个漏洞编号为 CVE-2024-21687，是一个文件包含漏洞，允许攻击者“让应用程序显示本地文件的内容，或执行已在服务器本地存储的其他文件”。 该问题影响 Bamboo Data Center 和 Server 的 9.0.0、9.1.0、9.2.0、9.3.0、9.4.0、9.5.0 和 9.6.0 版本，需要身份验证才能成功利用，并已在 Bamboo Data Center 和 Server 9.6.4 LTS 和 9.2.16 LTS 版本中得到解决。 该公司还推出了针对 Confluence 数据中心和 Confluence 服务器中七个高严重性漏洞的补丁，其中五个是 Apache Commons Compress 依赖项中的拒绝服务漏洞。 Atlassian 指出：“易受攻击版本存在于 Confluence 中，但尚未被使用。因此，我们的产品本身并不易受攻击，也不存在风险。升级将转移到库的较新版本 – 但任何未来的升级都将这样做。” 这些漏洞已在 Confluence Data Center 版本 8.9.4、8.5.12 LTS 和 7.19.25 LTS 以及 Confluence Server 版本 8.5.12 LTS 和 7.19.25 LTS 中得到解决。 安全更新还解决了与捆绑 JDK 相关的十几个 CVE，但不影响 .zip/.tar.gz 发行版。第三方依赖性漏洞是在 Confluence Data Center 和 Server 7.0.1 版本中引入的。 此外，Atlassian 发布了针对存储型跨站点脚本 (XSS) 问题的修复程序，该问题可能允许经过身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 Jira Software 数据中心和服务器以及 Jira Service Management 数据中心和服务器已更新，以解决 XStream 依赖项中的一个高严重性漏洞，该漏洞可能被利用来导致拒绝服务情况。 该漏洞的补丁编号为 CVE-2022-41966，包含在 Jira Software Data Center 和 Server 版本 9.8.0、9.12.0 LTS 和 9.4.18 LTS 中，以及 Jira Service Management Data Center 和 Server 版本 5.8.0、5.12.0 LTS 和 5.4.18 LTS 中。 Atlassian 并未提及这些漏洞是否已被利用，但建议用户尽快修补。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rXYgc8TUQcrUntZjf8l_wA 封面来源于网络，如有侵权请联系删除

Oracle 周二宣布在其 2024 年 7 月关键补丁更新 (CPU) 中发布 386 个新的安全补丁，其中包括 260 多个针对未经身份验证的远程可利用漏洞的补丁。 Oracle 2024 年 7 月的 CPU中发现了大约 240 个独特的 CVE ，在 95 个修复程序中，有 84 个解决了无需身份验证即可远程利用的漏洞。 金融服务应用程序也收到了大量安全补丁，共计 60 个，其中 44 个针对未经身份验证的远程可利用漏洞。接下来是 Fusion Middleware，共计 41 个修复程序，其中 32 个修复程序解决了可被远程未经身份验证的攻击者利用的问题。 Oracle 发布了 37 个 MySQL 安全补丁，其中包括 11 个针对无需身份验证即可远程利用的漏洞的补丁、20 个针对通信应用程序的补丁（14 个针对未经身份验证的远程可利用缺陷）以及 17 个针对分析的补丁（12 个针对可远程利用的未经身份验证的错误）。 还发布了针对 Siebel CRM（12 个修复程序 – 其中 11 个针对无需身份验证即可远程利用的问题）、PeopleSoft（11 – 3）、保险应用程序（10 – 7）、电子商务套件（10 – 2）、JD Edwards（8 – 6）、数据库服务器（8 – 3）、Commerce（7 – 7）、Java SE（7 – 7）和供应链（7 – 5）的安全补丁。 其他收到补丁的 Oracle 产品包括 Application Express、Essbase、GoldenGate、NoSQL 数据库、REST 数据服务、TimesTen 内存数据库、建筑和工程、企业管理器、医疗保健应用程序、Hyperion、零售应用程序、系统、公用事业应用程序和虚拟化。 值得注意的是，针对多个漏洞的补丁解决了其他 CVE，并且还发布了针对 Oracle 产品中不可利用的 CVE 的修复程序。这家科技巨头还发布了针对其产品中第三方组件的补丁。 建议 Oracle 客户尽快应用安全补丁。据了解，攻击者已经开始利用 Oracle 产品中已发布修复程序的漏洞。 “Oracle 不断收到有关恶意利用已发布安全补丁的漏洞的报告。在某些情况下，据报道攻击者之所以得逞是因为目标客户未能应用可用的 Oracle 补丁。”这家科技巨头指出。 周二，该公司还发布了Oracle Solaris中包含的第三方软件的补丁，并发布了Linux和VM Server for x86公告，其中列出了公告发布前一个月内这些产品中已解决和公布的所有 CVE。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Ue2RDUX0amI9qUx_Q6FZ0w 封面来源于网络，如有侵权请联系删除

趋势科技称，一个名为 Void Banshee 的高级持续性威胁组织 (APT) 利用最近的 Windows 零日漏洞通过已禁用的 Internet Explorer 执行代码。 该漏洞编号为 CVE-2024-38112（CVSS 评分为 7.5），已在 2024 年 7 月补丁日更新中得到解决，大约在趋势科技发现该漏洞并向微软报告两个月后。 Void Banshee 是一个以北美、欧洲和南亚实体为目标的APT组织，其目的是窃取信息和获取经济利益，它利用 CVE-2024-38112 作为零日漏洞武器，使用2024 年 1 月发现的恶意软件家族 Atlantida 信息窃取恶意软件感染受害者系统。 作为观察到的攻击的一部分，APT 利用互联网快捷方式 (URL) 文件滥用 MSHTML（聚合 HTML 文档的 MIME 封装）协议处理程序和 x-usc 指令，并直接通过 Windows 已禁用的 Internet Explorer (IE) 执行代码。 尽管 IE 于 2022 年停止服务，但它仍然存在于 Windows 平台上，即使是最新版本，尽管普通用户无法访问，因为微软已经实施了机制，使得 IE 的替代品 Edge 会在用户尝试运行 IE 可执行文件时启动。 被废弃的IE仍然存在于每一台windows系统上 CVE-2024-38112 允许 Void Banshee 制作 URL，通过禁用的 IE 进程执行 HTML 应用程序 (HTA) 文件。 攻击首先会发送鱼叉式网络钓鱼邮件，发送伪装成书籍 PDF 副本的互联网快捷方式文件，以诱骗受害者打开这些文件。攻击链利用零日漏洞打开已禁用的 IE，并利用它将受害者重定向到托管恶意 HTA 文件的受感染网站。 复杂的攻击链 电子书PDF诱饵之一 Trend Micro 强调：“在 Internet 快捷方式文件的 URL 参数中，我们可以看到 Void Banshee 使用 MHTML 协议处理程序和 x-usc! 指令专门制作了此 URL 字符串。此逻辑字符串通过 iexplore.exe 进程在本机 Internet Explorer 中打开 URL 目标。” 伪装成电子书籍 PDF 的恶意 URL 文件 附加在IE快捷方式后的恶意URL字符串 攻击者控制的域上的恶意 HTML 文件还允许 APT 控制网站的窗口视图大小并隐藏下一阶段的下载。 默认情况下，IE 会提示用户打开或保存 HTML 应用程序，但攻击者在恶意 HTA 文件扩展名中添加了空格，以便用户认为他们正在下载 PDF 文件。 一旦运行 HTA 文件，感染链就会继续执行一系列脚本、执行 LoadToBadXml .NET 木马加载器和 Donut shellcode，并在内存中执行 Atlantida 信息窃取恶意程序。 该恶意软件的目标是窃取 FileZilla、Steam、Telegram、加密货币钱包和扩展程序以及网络浏览器的密码和其他信息。它还可以捕获受害者的屏幕、窃取文件并收集大量系统信息。 Trend Micro 指出：“攻击者仍可以利用其计算机上残留的 Windows 残余（如 IE）来感染用户和组织，使其感染勒索软件、后门，或将其作为代理来执行其他恶意软件。Void Banshee 等 APT 组织能够利用已禁用的 IE 等服务，这对全球组织构成了重大威胁。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/0IMXliJMdqPI6KGgtNw4dw 封面来源于网络，如有侵权请联系删除

网络空间搜索引擎 Censys 警告称，超过 150 万个 Exim 邮件传输代理 (MTA) 实例未修补一个严重漏洞，该漏洞可导致攻击者绕过安全过滤器。 该安全漏洞被编号为CVE-2024-39929 ，并于周三由 Exim 开发人员进行了修补，影响 Exim 4.97.1 及以下版本。 该漏洞是由于对多行 RFC2231 头文件名的错误解析造成的，这使得远程攻击者可以绕过$mime_filename扩展名阻止保护机制，将恶意的可执行附件传送到最终用户的邮箱中。 Censys 警告称：“如果用户下载或运行其中一个恶意文件，系统可能会受到威胁”，并补充道，“目前已经有了 PoC，但尚未发现任何主动攻击。” 该公司补充道：“截至 2024 年 7 月 10 日，Censys 观察到 1,567,109 台公开暴露的 Exim 服务器运行着潜在易受攻击的版本（4.97.1 或更早版本），主要集中在美国、俄罗斯和加拿大。” 虽然电子邮件收件人仍需启动恶意附件才会受到影响，但该漏洞可让攻击者绕过基于文件扩展名的安全检查。这样一来，他们便可将通常被阻止的危险文件（如可执行文件）发送到目标邮箱。 建议无法立即升级 Exim 的管理员限制从互联网对其服务器的远程访问，以阻止传入的攻击尝试。 数百万台服务器暴露在网上 MTA 服务器（例如 Exim）经常成为攻击目标，因为它们几乎总是可以通过互联网访问，这使得它们很容易找到进入目标网络的潜在入口点。 根据本月初的邮件服务器调查， Exim 也是 Debian Linux 默认的 MTA，并且是世界上最受欢迎的 MTA 软件。 调查显示，在调查期间可通过互联网访问的 409,255 台邮件服务器中，超过 59% 运行着 Exim，也就是超过 241,000 个 Exim 实例。 此外，根据Shodan 搜索，目前有超过 330 万台 Exim 服务器暴露在网上，其中大部分位于美国，其次是俄罗斯和荷兰。Censys 发现网上有 6,540,044 台面向公众的邮件服务器，其中 4,830,719 台（约占 74%）运行着 Exim。 可在线访问 Exim 服务器分布（Shodan） 美国国家安全局 (NSA)于 2020 年 5 月透露，俄罗斯黑客组织 Sandworm 至少自 2019 年 8 月以来一直在利用关键的 CVE-2019-10149 Exim 漏洞（被称为“WIZard 的回归”）。 最近，在 10 月份，Exim 开发人员修补了通过趋势科技零日计划 (ZDI) 披露的三个零日漏洞，其中一个 (CVE-2023-42115)使数百万台暴露在互联网上的 Exim 服务器面临预授权 RCE 攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nyy-QsuvfzrWvkCRyJ1tFg 封面来源于网络，如有侵权请联系删除

攻击者可以快速将可用的概念验证 (PoC) 漏洞武器化，用于实际攻击，最快的一个例子是在漏洞公开后 22 分钟内便可完成。 这是根据 Cloudflare 的 2024 年应用程序安全报告得出的结论，该报告涵盖了 2023 年 5 月至 2024 年 3 月之间的活动，并重点介绍了新兴的威胁趋势。报告链接于此处。 Cloudflare 目前平均每秒处理 5700 万个 HTTP 请求，持续发现对已披露 CVE 的扫描活动有所增加，随后出现命令注入和尝试将可用的 PoC 武器化。 在检查期间，最受关注的漏洞是 Apache 产品中的 CVE-2023-50164 和 CVE-2022-33891、Coldfusion 中的 CVE-2023-29298、CVE-2023-38203 和 CVE-2023-26360 以及 MobileIron 中的 CVE-2023-35082。 武器化速度上升的一个典型例子是 CVE-2024-27198，这是 JetBrains TeamCity 中的一个身份验证绕过漏洞。 Cloudflare 观察到一个攻击者在 PoC 发布 22 分钟后部署基于 PoC 的漏洞利用案例，这使得防御者几乎没有任何补救机会。 CVE 利用速度，来源：Cloudflare Cloudflare公司表示，应对这种速度的唯一方法是利用人工智能辅助快速制定有效的检测规则。 Cloudflare 在报告中解释道：“已披露 CVE 的利用速度通常比人类创建 WAF 规则或创建和部署补丁以缓解攻击的速度更快。” RCE 攻击尝试主要针对特定产品，来源：Cloudflare 所有互联网流量的 6.8% 是DDoS Cloudflare 报告中另一个令人震惊的亮点是，所有日常互联网流量的 6.8% 是分布式拒绝服务 (DDoS) 流量，旨在使合法用户无法使用在线应用程序和服务。 与前 12 个月（2022-2023 年）记录的 6% 相比，这是一个显着的增长，表明 DDoS 攻击的总量有所增加。 Cloudflare 表示，在全球大型攻击事件期间，恶意流量可能占所有 HTTP 流量的 12%。 Cloudflare 表示：“仅关注 HTTP 请求，2024 年第一季度 Cloudflare 平均每天阻止 2090 亿次网络威胁（同比增长 86.6%）[…与去年同期相比，相对而言有大幅增长。” 机器人流量占总流量的三分之一，其中93%是恶意目的 Cloudflare 处理的所有应用程序流量中有 31.2% 是机器人流量。过去三年中，这一比例保持相对稳定（徘徊在 30% 左右）。 机器人流量这个术语可能带有负面含义，但实际上机器人流量不一定是好是坏；这完全取决于机器人的目的。有些机器人是“好的”，并执行所需的服务，例如客户服务聊天机器人和授权搜索引擎爬虫。但有些机器人滥用在线产品或服务，需要被阻止。 好的机器人被 Cloudflare 归类为“经过验证的机器人”。Cloudflare 发现的 93% 的机器人都是未经验证的机器人，并且可能是恶意的。 未经验证的机器人通常用于破坏性和有害目的，例如囤积库存、发起 DDoS 攻击或试图通过暴力破解或凭证填充来接管帐户。经过验证的机器人是那些已知安全的机器人，例如搜索引擎爬虫。 利用机器人的攻击者最关注的是能给他们带来巨额经济收益的行业。例如，消费品网站往往是库存囤积、竞争对手进行价格爬取或旨在利用某种套利的自动化应用程序（例如运动鞋机器人）的目标。这种滥用行为可能会对目标组织造成重大经济影响。 该公司的 PDF 报告可在此处下载，该报告为安全防御提供了额外的建议，并对汇编的统计数据提供了更深入的见解。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BMq9Pt4tsgi6rfuYYSQLPg 封面来源于网络，如有侵权请联系删除

近日，谷歌宣布，将对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞赏金提高五倍，单个安全漏洞的新最高奖励金额为 15.15万美元。 谷歌表示：随着时间的推移，我们的系统已经变得更加安全，因此想要发现漏洞比之前更加困难，可能需更长的时间。鉴于此，我们将把奖励金额提高5倍。 如果在我们最敏感的产品中发现 RCE，奖励金额为 10.1万美元，如果报告质量优异，则奖励金额为 1.5 倍 ，也就是15.15万美元。 自7 月 11 日 00:00开始提交的漏洞报告均有资格使用新的奖励机制，获得相应漏洞赏金。 除了提供更高的报酬外，该公司最近还扩大了支付选项，包括通过 Bugcrowd 收取报酬的可能性。 谷歌 VRP 规则中更新的 “奖励金额 “部分提供了有关谷歌更改奖励金额和新支付结构的更多信息。 来源：谷歌 谷歌 VRP 的最新进展 上周，谷歌推出了 kvmCTF，这是 2023 年 10 月宣布的一项新的 VRP，旨在提高基于内核的虚拟机（KVM）管理程序的安全性。kvmCTF 专注于 KVM 管理程序中的虚拟机可触及漏洞，并为完全虚拟机逃逸漏洞提供 25 万美元的悬赏金。 一年前，该公司还将 Chrome 浏览器沙箱逃逸链漏洞的奖励提高了两倍。 自 2010 年推出漏洞奖励计划（VRP）以来，谷歌已向报告了 15000 多个漏洞的安全研究人员支付了 5000 多万美元的赏金。 仅去年一年，谷歌就支付了1000万美元，其中最高的赏金支付给了一名赏金猎人，他获得了11.33万美元。 有史以来最高的 VRP 赏金为 60.5 万美元，是 2022 年支付给 gzobqq 的，因为他报告了安卓漏洞链中的五个安全漏洞。2021年，同一位安全研究人员报告了另一个重要的安卓漏洞链，获得了 15.7 万美元的赏金。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405804.html 封面来源于网络，如有侵权请联系删除

安全研究人员发现了一个严重漏洞 CVE-2024-38021，该漏洞影响大多数 Microsoft Outlook 应用程序。 该零点击远程代码执行 (RCE) 漏洞现已被 Microsoft 修补，并且不需要任何身份验证，这与之前发现的 CVE-2024-30103 不同，后者至少需要 NTLM 令牌。 如果被利用，CVE-2024-38021 可能会导致数据泄露、未经授权的访问和其他恶意活动。微软已将此漏洞评为“重要”，并指出了可信和不可信发件人之间的区别。 对于受信任的发件人来说，该漏洞是零点击的，但对于不受信任的发件人，则需要一键用户交互。 Morphisec 发现了该漏洞，并于 7 月 9 日发布了相关公告，他敦促微软将该漏洞重新归类为“严重”，以反映更高的估计风险并确保采取足够的缓解措施。 该安全公司同意微软的观点，认为此 RCE 比 CVE-2024-30103 更复杂，因此不太可能立即利用。但是，将其与另一个漏洞结合起来可以简化攻击。 事件时间线始于 2024 年 4 月 21 日，当时 Morphisec 向微软报告了该漏洞。该漏洞于 2024 年 4 月 26 日得到确认，并于 2024 年 7 月 9 日由微软作为补丁星期二更新的一部分进行了修补。 为了降低风险，务必使用最新补丁更新所有 Microsoft Outlook 和 Office 应用程序。此外，实施强大的电子邮件安全措施（例如禁用自动电子邮件预览和教育用户了解打开来自未知来源的电子邮件的风险）也至关重要。 此外，Morphisec 表示，通过 EDR 和自动移动目标防御 (AMTD) 确保整个安全堆栈的全面覆盖将进一步降低风险并提供针对已知和未知攻击的端点保证。   转自e安全，原文链接：https://mp.weixin.qq.com/s/i3-QNhKPLcvvnlr-zGHibw 封面来源于网络，如有侵权请联系删除

GitLab 今天警告称，其产品 GitLab 社区版和企业版中存在一个严重漏洞，允许攻击者像任何其他用户一样运行管道作业。 GitLab DevSecOps 平台拥有超过 3000 万注册用户，并被超过 50% 的财富 100 强公司使用，其中包括 T-Mobile、高盛、空中客车、洛克希德马丁、Nvidia 和瑞银。 今天的安全更新中修补的漏洞编号为CVE-2024-6385，其 CVSS 基本评分严重性评级为 9.6（满分 10 分）。 该漏洞影响 GitLab CE/EE 的所有版本，从 15.8 到 16.11.6、17.0 到 17.0.4 以及 17.1 到 17.1.2。在 GitLab 尚未披露的某些情况下，攻击者可以利用该漏洞以任意用户身份触发新管道。 GitLab 管道是一种持续集成/持续部署 (CI/CD) 系统功能，允许用户自动并行或按顺序运行流程和任务来构建、测试或部署代码更改。 该公司发布了 GitLab 社区版和企业版 17.1.2、17.0.4 和 16.11.6 来解决这一严重的安全漏洞，并建议所有管理员立即升级所有安装。 GitLab 安全公告中警告说：“我们强烈建议所有运行受下述问题影响的版本的安装尽快升级到最新版本。”“GitLab.com 和 GitLab Dedicated 已经在运行修补版本。” GitLab安全漏洞被攻击者积极利用 GitLab 在 6 月底修补了一个几乎相同的漏洞（追踪为CVE-2024-5655），该漏洞也可以被利用以其他用户的身份运行管道。 一个月前，它修复了一个高严重性漏洞（CVE-2024-4835），该漏洞允许未经身份验证的攻击者通过跨站点脚本（XSS）攻击接管帐户。 正如 CISA在 5 月份警告的那样，黑客还在积极利用 1 月份修补的另一个零点击 GitLab 漏洞 ( CVE-2023-7028 )。此漏洞允许未经身份验证的攻击者通过密码重置劫持帐户。 尽管 Shadowserver在 1 月份发现有超过 5,300 个易受攻击的 GitLab 实例在线暴露，但目前仍可访问的还不到一半（1,795 个） 。 攻击者之所以将 GitLab 作为目标，是因为它托管了各种类型的敏感公司数据，包括 API 密钥和专有代码，因此一旦遭到入侵，将会带来严重的安全影响。 如果攻击者在 CI/CD（持续集成/持续部署）环境中插入恶意代码，从而危及受感染组织的存储库，则包括供应链攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/HxX4kPQGQFa0uR02R3p9XQ 封面来源于网络，如有侵权请联系删除

微软7月补丁日推出大量更新，以修复 Windows 生态系统中的安全漏洞，并警告称攻击者已经在野利用 Windows Hyper-V 权限提升漏洞。 微软在一份公告中表示：“成功利用此漏洞的攻击者可以获得系统权限”，并将 Hyper-V 问题标记为“检测到利用”类别。 编号为CVE-2024-38080的 Windows Hyper-V 漏洞的 CVSS 严重性评分为 7.8/10。 微软没有分享有关观察到的攻击的任何其他细节或任何数据或遥测数据来帮助防御者寻找感染迹象。 另外，微软紧急呼吁关注 Windows MSHTML 平台欺骗漏洞 ( CVE-2024-38112 )，该漏洞也被标记为在野外被利用。 微软表示：“要成功利用此漏洞，攻击者需要在利用之前采取额外措施来准备目标环境。攻击者必须向受害者发送一个恶意文件，受害者必须执行该文件。” 这两个被利用的0day漏洞是微软7月补丁日发布的一大批补丁的重点，补丁修复了 Windows 生态系统中超过 140 个漏洞。在记录的 143 个漏洞中，有 5 个被评为严重，这是微软的最高严重等级。 各个漏洞类别的漏洞数量如下： 26 个特权提升漏洞 24 个安全功能绕过漏洞 59 个远程代码执行漏洞 9 个信息泄露漏洞 17 个拒绝服务漏洞 7 个欺骗漏洞 安全专家敦促 Windows 系统管理员特别注意 Microsoft Office SharePoint 中的一个严重远程代码执行漏洞 – CVE-2024-38023，该漏洞很可能被攻击者利用。 Office SharePoint 漏洞可能允许具有站点所有者权限或更高权限的经过身份验证的攻击者将特制的文件上传到目标 SharePoint 服务器并制作专门的 API 请求来触发文件参数的反序列化。 微软证实：“这将使攻击者能够在 SharePoint Server 的上下文中执行远程代码执行”，并指出具有站点所有者权限的经过身份验证的攻击者可以利用此漏洞注入任意代码并在 SharePoint Server 的上下文中执行此代码。 微软补丁还为 Windows 图像组件和 Windows 桌面远程许可中的严重远程代码执行漏洞提供了保障。 微软发布补丁的同一天，软件制造商 Adobe 也发布了针对 Adobe Premiere Pro、Adobe InDesign 和 Adobe Bridge 产品线安全缺陷的严重性补丁。 Adobe 公司警告称：“成功利用此漏洞可能会导致任意代码执行。”Adobe 组件相关漏洞会影响 Windows 和 macOS 用户。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/GV29d0xTF5b8-c_8JVBt9g 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员在名为Blast-RADIUS的RADIUS网络身份验证协议中发现了一个安全漏洞，攻击者可以利用该漏洞发动中间人（MitM）攻击，并在特定情况下绕过完整性检查。 关于Blast-RADIUS Blast-RADIUS是目前广泛应用的RADIUS/UDP协议中的一种认证绕过技术，可以使攻击者在中间人MD5冲突攻击中攻破网络和设备。 InkBridge Networks的首席执行官、FreeRADIUS项目的创始人Alan DeKok在一份声明中说：RADIUS 协议允许某些访问请求信息无需进行完整性或身份验证检查。 RADIUS是远程身份验证拨号用户服务的简称，是一种客户端/服务器协议，为连接和使用网络服务的用户提供集中身份验证、授权和记账（AAA）管理。 RADIUS的安全性依赖于使用MD5算法导出的哈希值，由于存在碰撞攻击的风险，截至2008年12月，MD5算法被认为在密码学上已被破解。 因此，攻击者可以在不被发现的情况下修改这些数据包，将能够强制任何用户进行认证，并给予该用户任何授权（例如VLAN等）。 这意味着访问请求数据包可能会受到所谓的选定前缀攻击，使得可以修改响应数据包，以便它通过原始响应的所有完整性检查。 需要注意的是，要使攻击成功，攻击者必须修改在客户端和服务器之间传输的RADIUS数据包。那么，通过互联网发送数据包的组织将面临该漏洞带来的风险。 漏洞利用细节 Blast-RADIUS利用了一个新的协议漏洞CVE-2024-3596和MD5碰撞攻击，允许访问RADIUS流量的攻击者操纵服务器响应并添加任意协议属性，这使他们无需暴力或窃取凭证即可获得RADIUS设备的管理权限。 Blast-RADIUS研究人员解释说：Blast-RADIUS攻击允许位于RADIUS客户端和服务器之间的中间人对失败的认证请求伪造有效的“访问接受”响应。攻击者通过向有效的客户端请求中注入恶意的“代理状态”属性来实现这一点。这个“代理状态”属性肯定会在服务器的响应中被回显。攻击者构造“代理状态”，使得有效响应和攻击者希望伪造的响应之间的响应验证器值相同。这种伪造将导致NAS（网络访问服务器）在攻击者不猜测或暴力破解密码或共享机密的情况下授予对手对网络设备和服务的访问权限。 研究人员表示：”利用此攻击的攻击者可以将部分网络访问权限升级为能够登录任何使用RADIUS进行身份验证的设备，或为自己分配任意网络权限。” 在对设备进行身份验证时，RADIUS协议使用MD5请求和响应。研究人员的概念验证漏洞（尚未共享）计算了伪造有效 “访问-接受 “响应所需的MD5选择前缀哈希冲突，以表示成功的身份验证请求。然后，利用中间人攻击将伪造的MD5哈希值注入网络通信，使攻击者能够登录。 伪造这个MD5哈希值需要3到6分钟，比RADIUS在实践中常用的30到60秒超时要长。 不过，攻击中使用的碰撞算法的每个步骤都可以有效地并行化，并适合硬件优化，这将使资源充足的攻击者能够使用GPU、FPGA或其他更现代、更快速的硬件来实施攻击，从而实现更快的运行时间，可能快数十倍或数百倍。 攻击流程（Blast-RADIUS 研究团队） 研究团队表示，虽然MD5哈希碰撞在2004年已首次被证实，但当时仍有人对在RADIUS协议中加以利用表示质疑。 缓解措施 由于这种攻击不会危及最终用户的凭证，因此最终用户无法采取任何防范措施。 不过，BlastRADIUS是一个基本设计缺陷的结果，据说会影响所有符合标准的RADIUS客户端和服务器，具体来说，PAP、CHAP和MS-CHAPv2认证方法是最脆弱的，建议使用该协议的互联网服务提供商(isp)和组织更新到最新版本。 网络运营商可以升级到RADIUS over TLS (RADSEC)，转而采用 “多跳 “RADIUS 部署，并使用限制访问管理VLAN 或 TLS/ IPsec隧道将RADIUS流量与互联网访问隔离。 另外，还可以通过Message-Authenticator属性提高数据包安全性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405650.html 封面来源于网络，如有侵权请联系删除