Phoenix 科技的SecureCore UEFI 固件解决方案中最近发现一个高严重漏洞，数百种使用英特尔处理器的 PC 和服务器型号可能会受到该漏洞的影响。 该漏洞的编号为 CVE-2024-0762，又名UEFIcanhazbufferoverflow，是由企业固件和硬件安全公司 Eclypsium 开发的自动分析系统发现的。 本地攻击者可以利用此安全漏洞来提升权限并在运行时在 UEFI 固件中执行任意代码。 Eclypsium 警告称，这是一种可能被Black Lotus UEFI rootkit等威胁利用的漏洞。 “此漏洞体现了 IT 基础设施供应链事件的两个特点——影响大、影响范围广。UEFI 固件是现代设备上最有价值的代码之一，任何代码被攻破都可能让攻击者完全控制设备并驻留在设备上。”Eclypsium 指出。 调查显示，该漏洞与可信平台模块 (TPM) 配置中的不安全变量有关。存在漏洞的 SecureCore UEFI 固件运行在联想、宏碁、戴尔和惠普等电脑制造商使用的多款英特尔移动、台式机和服务器处理器上。 Phoenix Technologies在 5 月份发布的公告中解决了该漏洞，确认在 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 等英特尔处理器系列上运行的 SecureCore 固件受到影响。 Phoenix 已修补 CVE-2024-0762，设备制造商已开始将补丁部署到其产品中。 联想在 5 月份发布的公告中向客户通报了该漏洞。该公司已开始发布补丁，预计部分电脑的修复程序将于今年夏末推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zQlirU2fsFXlAjTFTgzRhA 封面来源于网络，如有侵权请联系删除

与Fortinet、Ivanti和VMware设备安全漏洞0day利用有关的网络间谍活动据观察采用多种持久机制，以维持对受感染环境的不受限制的访问。 Mandiant 研究人员在一份新报告中表示：“持久机制涵盖网络设备、虚拟机管理程序和虚拟机，确保即使主要层被检测和消除，替代通道仍然可用。” 该APT组织代号UNC3886，谷歌旗下的 Mandiant 公司将其标记为“老练、谨慎和逃避”。 攻击者精心策划的攻击利用了CVE-2022-41328（Fortinet FortiOS）、CVE-2022-22948（VMware vCenter）和CVE-2023-20867（VMware Tools）等 0day 漏洞执行各种恶意操作，从部署后门到获取更深层次访问权限的凭据。 在网络安全公司 Fortinet FortiGate 公开披露该漏洞后不久，人们还观察到有人利用漏洞CVE-2022-42475 。 这些入侵主要针对北美、东南亚和大洋洲的实体，欧洲、非洲和亚洲其他地区也发现了其他受害者。目标行业涵盖政府、电信、技术、航空航天和国防以及能源和公用事业部门。 UNC3886 武器库中一个值得注意的策略是，它开发了逃避安全软件的技术，使其能够潜入政府和商业网络并在不被发现的情况下长时间监视受害者。 这需要在客户虚拟机 (VM) 上使用可公开获得的 rootkit，例如Reptile和Medusa，后者使用名为 SEAELF 的安装程序组件进行部署。 Mandiant 指出：“Reptile 仅提供具有 rootkit 功能的交互式访问，而 Medusa 则不同，它能够记录成功身份验证的用户凭据（无论是本地还是远程）以及命令执行。这些功能对 UNC3886 非常有利，因为它们的作案手法是利用有效凭据进行横向移动。” 系统上还提供了两个名为 MOPSLED 和 RIFLESPINE 的后门，它们利用 GitHub 和 Google Drive 等可信服务作为命令和控制 (C2) 通道。 MOPSLED 可能是Crosswalk恶意软件的演变，它是一种基于 shellcode 的模块化植入程序，通过 HTTP 进行通信以从 GitHub C2 服务器检索插件，而 RIFLESPINE 是一种跨平台工具，利用 Google Drive 传输文件和执行命令。 Mandiant 表示，它还发现 UNC3886 部署了后门 SSH 客户端来获取 2023-20867 漏洞利用后的凭证，并利用 Medusa 设置自定义 SSH 服务器以达到相同目的。 “攻击者首次尝试通过瞄准TACACS 服务器来扩展对网络设备的访问权限，就是使用 LOOKOVER。”报告指出。“LOOKOVER 是一个用 C 编写的嗅探器，可处理 TACACS+ 身份验证数据包、执行解密并将其内容写入指定的文件路径。” 在针对 VMware 实例的攻击过程中，还传播了一些其他恶意软件家族： 具有凭证记录功能的合法 TACACS 守护程序的木马版本 VIRTUALSHINE，一个基于 VMware VMCI 套接字的后门，可提供对 bash shell 的访问 VIRTUALPIE，一个支持文件传输、任意命令执行和反向 shell 功能的 Python 后门 VIRTUALSPHERE，与基于 VMCI 的后门关联的控制器模块 多年来，由于虚拟机在云环境中的广泛使用，它已成为攻击者有利可图的目标。 Palo Alto Networks Unit 42表示：“被入侵的虚拟机不仅可以让攻击者访问虚拟机实例内的数据，还可以访问分配给它的权限。由于虚拟机等计算工作负载通常是短暂且不可改变的，因此身份被入侵所带来的风险可以说比虚拟机内数据被入侵的风险更大。” 建议各组织遵循Fortinet和VMware公告中的安全建议，以防范潜在威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/WigivE2ENVghHk3wUwnsqA 封面来源于网络，如有侵权请联系删除

近日，Broadcom 发布了影响 VMware vCenter 的三个漏洞的修复程序，其中两个是严重漏洞，允许远程代码执行 (RCE)。由于虚拟机（VM）往往存放大量敏感数据和应用程序，因此这些漏洞的披露引起了黑客的注意。 vCenter 是 VMware 虚拟环境的集中管理控制台，用于从单个集中位置查看和管理虚拟机、多个 ESXi 主机和所有附属组件。CVE-2024-37079 和 CVE-2024-37080 是 vCenter 实现 DCERPC（Distributed Computing Environment/Remote Procedure Call 的缩写）时存在的堆溢出漏洞。 对于黑客而言，DCERPC 在与远程机器交互时非常有用。利用特制的网络数据包，拥有网络访问权限的攻击者可以利用这些漏洞在 vCenter 管理的虚拟机上远程执行自己的代码。这两个漏洞的潜在危害在 CVSS 评级中都获得了 9.8 分的高分（满分 10 分）。 Broadcom 还修补了一些因 vCenter 中 sudo 配置错误而导致的本地权限升级漏洞。sudo是 “superuser do “或 “substitute user do “的缩写，它允许 Unix 系统中的用户以另一个用户（默认为root级）的权限运行命令。通过身份验证的本地用户可以利用标有 CVE-2024-37081 的漏洞获得 vCenter Server 设备的管理权限。该漏洞的 CVSS 得分高达 7.8。 到目前为止，还没有证据表明这三个漏洞中的任何一个在野外被利用过，不过这种情况可能会很快改变。有关补救措施及相关问答，可以参考： https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453 https://core.vmware.com/resource/vmsa-2024-0012-questions-answers 云虚拟机的风险 根据 VMware 公布的文件，VMware 拥有 40 多万家客户，其中包括财富 500 强和财富全球 100 强企业。其技术为 80% 以上的虚拟化工作负载和大量关键业务应用提供支持。 “随着云计算的日益普及，虚拟机的使用量也相应激增，多个应用程序被整合到一台物理服务器上，”Keeper Security 公司安全和架构副总裁 Patrick Tiquet 解释说。”这种整合不仅提高了运行效率，也为攻击者提供了通过单一漏洞入侵各种服务的机会。” vCenter Server 就是这种风险的缩影。作为支持 VMWare vSphere 和 Cloud Foundation 平台的集中管理软件，它为 IT 管理员和黑客提供了一个启动点，使他们可以接触到运行在各个组织中的许多虚拟机。 Tiquet 警告说：”成功的漏洞攻击不仅会中断服务并造成经济损失，还可能导致敏感数据的暴露和违反监管要求，严重损害组织的声誉。”因此，修补新出现的漏洞非常必要。 另外，除了网络分段、漏洞审计和其他安全加固策略（如事件响应计划和维护强大的备份）之外，网络管理员的工作还包括从正面进行引导。Tiquet 表示： “管理员应该始终确保使用的是安全的保险库和机密管理解决方案，并且尽快应用必要的更新，还应该检查云控制台的安全控制，以确保遵循了最新的建议。”   转自Freebuf，原文链接：https://www.freebuf.com/news/403897.html 封面来源于网络，如有侵权请联系删除

零日漏洞利用是网络安全攻击的“核武器”，也是AI难以染指的安全研究“圣杯”。但是，安全研究人员近日发布的一篇论文颠覆了这一观点，在网络安全圈里炸开了锅！该论文证明大语言模型（LLM）可以高效自动化利用（未知的）真实零日漏洞。此前，研究表明单个AI代理获取给定漏洞和“夺旗”任务的具体描述后，可以利用真实漏洞。然而，对于（没有相关训练数据的）未知零日漏洞，这些AI代理表现仍然欠佳。 最新研究突破了这一瓶颈！伊利诺伊大学香槟分校的研究团队在其论文《用大语言模型利用零日漏洞》中，探讨了大语言模型在自动化利用网络安全漏洞中的应用，特别是零日漏洞的利用。 研究人员设计了一种由大语言模型AI代理组成的“AI团队”，能够利用真实世界的零日漏洞。单个AI代理在探索大量不同漏洞和进行长期规划方面存在瓶颈。 研究方法 为了提升AI代理在零日漏洞利用中的表现，伊利诺伊大学的研究团队提出了一种新的多代理系统——HPTSA（分层规划与任务特定代理系统）。该系统由一个规划代理和多个任务特定的子代理组成，通过分工合作解决复杂的网络安全任务。研究方法如下：HPTSA系统包括三个主要组件： 分层规划代理：负责探索环境（如网站），确定需要尝试的漏洞类型及其所在页面。 任务特定代理的团队管理者：根据规划代理的指示，选择合适的任务特定代理执行具体任务，并处理先前执行结果的信息。 特定任务代理：设计用于挖掘特定类型漏洞的专家代理，如SQL注入（SQLi）、跨站脚本（XSS）等。 研究团队还设计了六个特定任务代理，每个代理具备访问工具、文档和提示的能力，专门用于发现特定类型的漏洞。 最后，研究团队使用OpenAI的API、LangChain和LangGraph实现了HPTSA系统，并通过GPT-4模型进行所有实验。为了减少成本，他们采用了一种HTML简化策略，去除无关的HTML标签以降低令牌数量。 主要发现 研究人员构建了15个真实漏洞的基准测试，结果表明，“AI团队”利用零日漏洞的工作效率提升了4.5倍以上，重点发现如下：性能提升：HPTSA系统在零日漏洞利用方面的表现显著优于之前的单代理系统。研究表明，HPTSA在五次尝试中成功利用漏洞的概率达到53%，在一次尝试中的成功率为33.3%，显著高于未提供漏洞描述的GPT-4代理。 对比测试：在对比测试中，HPTSA系统的表现也明显优于开源的漏洞扫描器（如ZAP和MetaSploit），这些扫描器在研究收集的漏洞中未能成功利用任何一个。 任务特定代理的必要性：通过消融实验，研究发现移除任务特定代理和文档后，系统性能大幅下降，这表明任务特定代理和相关文档对于高性能至关重要。 案例研究 研究团队通过具体案例进一步验证了HPTSA系统的有效性。以下是两个成功的案例：flusity-CMS漏洞：在该案例中，HPTSA成功利用了flusity-CMS中的跨站请求伪造（CSRF）和跨站脚本（XSS）漏洞。系统通过多次尝试，最终在管理页面创建了一个新的菜单，并成功注入了XSS负载。 changedetection.io漏洞：该漏洞涉及某些输入参数未正确解析，导致Javascript代码执行。HPTSA通过多次尝试，成功导航到正确的页面并利用了该漏洞。 结论 HPTSA系统的提出和验证表明，利用多AI代理系统可以显著提升AI代理在零日漏洞利用中的表现。这一发现解决了之前研究中的一个开放性问题，表明更复杂的AI代理系统可以有效地利用零日漏洞。尽管HPTSA系统在实验中表现出色，但研究团队也指出，要想全面理解AI代理在网络安全中的应用，未来仍有大量工作需要完成。例如，研究主要集中在可重现的开源Web漏洞上，未来的工作应涵盖更广泛的漏洞类型。此外，随着AI技术和相关工具的不断进步，AI代理在网络安全攻防两方面的作用将进一步增强。 大语言模型在零日漏洞利用领域的突破再次展示了了AI技术在网络安全领域的巨大潜力。随着AI代理系统的不断优化和成本的降低，AI技术有望成为网络安全专家的重要辅助工具，大幅提升网络防御和攻击的效率。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/bawthMrHLt01-6hQbLQsvg 封面来源于网络，如有侵权请联系删除

日前，华硕七种型号路由器曝出高危安全漏洞，漏洞被跟踪为 CVE-2024-3080（CVSS v3.1 评分：9.8“严重”），是一个身份验证绕过漏洞，允许未经身份验证的远程威胁攻击者控制设备。华硕方面在近日发布的固件更新中解决了安全漏洞问题。 安全漏洞主要影响以下路由器型号： XT8 （ZenWiFi AX XT8） – Mesh WiFi 6 系统，提供速度高达 6600 Mbps 的三频覆盖、AiMesh 支持、AiProtection Pro、无缝漫游和“家长”控制； XT8_V2 （ZenWiFi AX XT8 V2） – XT8 的更新版本，保持了类似的功能，增强了性能和稳定性； RT-AX88U – 双频 WiFi 6 路由器，速度高达 6000 Mbps，具有 8 个 LAN 端口、AiProtection Pro 和用于游戏和流媒体的自适应 QoS； RT-AX58U – 双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh、AiProtection Pro 和 MU-MIMO，可实现高效的多设备连接； RT-AX57 – 专为基本需求而设计的双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh 和基本的“家长”控制； RT-AC86U – 双频 WiFi 5 路由器，速度高达 2900 Mbps，具有 AiProtection、自适应 QoS 和游戏加速功能； RT-AC68U – 双频 WiFi 5 路由器，提供高达 1900 Mbps 的速度，支持 AiMesh、AiProtection 和强大的“家长”控制； 安全漏洞曝出后，华硕建议用户应当尽快将设备更新到华硕下载门户上提供的最新固件版本（上述每个型号的链接），并表示固件更新说明也可以在“此常见问题解答”页面上找到。对于那些无法立即更新固件的用户，华硕建议应当设置更加复杂的 WiFi 密码（超过 10 个非连续字符）。 此外，华硕还建议用户立即禁用对管理面板的互联网访问、WAN 远程访问、端口转发、DDNS、VPN 服务器、DMZ 和端口触发器。 值得一提的的是，新发布的安全更新固件中还修复了另一个安全漏洞 CVE-2024-3079 ，这是一个高严重性 （7.2） 缓冲区溢出问题，需要管理员帐户访问权限才能利用。同时，研究人员还披露了安全漏洞 CVE-2024-3912，这是一个严重 （9.8） 任意固件上传漏洞，允许未经身份验证的远程威胁攻击者在设备上执行系统命令（CVE-2024-3912 安全漏洞影响了多个华硕路由器型号。 每个受影响模型的建议解决方案是： DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U：升级至固件版本 1.1.2.3_792 或更高版本。 DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1：升级至固件版本 1.1.2.3_807 或更高版本。 DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U：升级至固件版本 1.1.2.3_999 或更高版本。 DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55：已达到 EoL 日期，建议更换。 华硕方面在最新发布的下载主版本 3.1.0.114 解决了五个中高严重性问题，涉及任意文件上传、操作系统命令注入、缓冲区溢出、反映的 XSS 和存储的 XSS 安全问题。 尽管这些都不如 CVE-2024-3080 漏洞影响范围广、危害大，但还是建议用户应尽快将其实用程序升级到 3.1.0.114 或更高版本，以获得最佳的安全性和保护。   转自Freebuf，原文链接：https://www.freebuf.com/news/403718.html 封面来源于网络，如有侵权请联系删除

美国政府削减国家漏洞库的预算，导致无人处理富化CVE属性信息，全球网络防御基础数据出现缺失状况，引发业界广泛关注。目前，CISA、NIST正在着手解决这一问题。 有消息称，最新研究显示，自今年2月美国政府宣布削减国家漏洞数据库（NVD，由NIST运营，以下简称NVD漏洞库）预算以来，超过90%提交至该数据库的漏洞尚未完成分析或补充信息（即在创建漏洞编号后添加完善各类元信息）。 因资金短缺和漏洞激增，NVD漏洞库不得不缩减运营规模。作为网络安全防御方的重要信息来源，该数据库运转放缓后，通用漏洞披露（CVE）信息完善流程受到了严重影响。 网络安全公司VulnCheck的研究人员分析发现，NVD漏洞库自2月12日预算削减以来，期间新增了12720个漏洞，其中高达11885个“尚未完成分析或或补充关键数据，而这些数据能帮助安全专业人士确定哪些软件受到漏洞影响。” 大量漏洞基础信息缺失 VulnCheck表示，NVD漏洞库运行放缓以来，已被利用漏洞列表中有近一半漏洞尚未得到分析。该公司还称，82％的存在公开概念样本（POC）的已被利用漏洞也未经检查。 NVD漏洞库每周发布CVE的处理状况（2024年2月12日至5月19日） VulnCheck的Patrick Garrity表示：“众多知名和有影响力的业内人士已经警告，这种情况将为恶意威胁者提供可乘之机，将漏洞武器化，从而大幅增加多个关键领域的供应链风险。” “近期，NVD漏洞库运行速度放缓，我们必须认清这一状况的严重性。国家级威胁分子和勒索软件集团一直在持续攻击各大组织，造成破坏性后果，而我们却自乱阵脚。” Garrity补充说，20多年来，NVD漏洞库一直向网络安全专家提供了关键信息，包括严重性分数、参考标签、漏洞分类，以及其他影响流行软件的简明漏洞数据。 他表示，没有这些数据，“NVD漏洞库的前景就将一片黯淡”。 数据消费方该如何应对？ 未来，网络安全公司将不得不填补NVD漏洞库留下的空白。Garrity建议，为了帮助下游消费者，有权创建CVE编号（即漏洞标签）的机构应添加更完整的关于漏洞的数据。 全球共有379家CVE编号机构（CNAs），分布在40个国家。它们通常是网络安全公司、政府网络安全机构、技术供应商等。 Garrity还特别提及了严重程度评分和漏洞分类：“CVE编号机构应尽最大努力完整补充CVE记录，包括提交产品名称、供应商名称、版本号、详细描述、广泛参考、CPE、CVSS和CWE。” 根据Garrity的说法，NVD漏洞库还应该尽可能自动补充CVE信息，从而填补信息空白。他补充说，NVD漏洞库应该“不再分析每个CVE提交情况，转而建立与CNAs和CVE程序的信任模式，无需人工逐个审核。” 他指出，第三方也应被允许为CVE记录添加信息。 CISA&NIST提出解决办法 4月底，NVD漏洞库表示，正在“努力组建联盟，应对所面临的挑战，并开发更好的工具和方法。” 5月上旬，美国网络安全和基础设施安全局（CISA）表示理解安全社区的担忧和愤慨，并表示正在启动新的漏洞信息富化项目“Vulnrichment”，为CVE添加Garrity所述的大部分内容。 CISA表示：“最近，我们为1300个CVE补充了信息，并将继续努力确保为所有提交的CVE补充信息。我们要求所有CVE编号机构在向CVE.org提交初始信息时就提供完整详细的CVE数据。” CISA承诺采取其他措施为漏洞管理流程补充信息。立法者已建议为负责维护NVD漏洞库的NIST提供充足预算，以摆脱当前的困境。 5月29日，NVD漏洞库发布状态更新称，已授予一份合同，以支持NVD CVE信息富化工作。据悉，美国安全公司Analygence赢得了这份合同，项目底价为86万美元。   转自安全内参，原文链接：https://www.secrss.com/articles/67059 封面来源于网络，如有侵权请联系删除

发现该漏洞的研究人员 Morphisec 警告说，微软在2024 年 6 月补丁日更新中解决的一个漏洞可能会被利用来实现无需用户交互的远程代码执行 (RCE)。 微软在其公告中表示，该安全漏洞编号为CVE-2024-30103（CVSS 评分为 8.8），可让攻击者绕过 Outlook 注册表阻止列表并创建恶意 DLL 文件。 微软安全公告指出：“预览窗格是一种攻击媒介”，并补充说攻击复杂性较低，并且可以通过网络进行利用。Outlook 2016、Office LTSC 2021、365 Apps for Enterprise 和 Office 2019 均受到影响。 尽管微软将该漏洞评定为“重要”，但发现该漏洞的 Morphisec 研究员却认为该漏洞为“危急”，并警告称攻击者可能很快就会开始利用该漏洞，因为它不需要用户交互。 “相反，当受影响的电子邮件被打开时，执行就开始了。这对于使用 Microsoft Outlook 自动打开电子邮件功能的帐户来说尤其危险。”Morphisec 研究员指出。 Morphisec 表示，RCE 漏洞可能被利用来窃取数据、未经授权访问系统以及执行其他恶意活动。 Morphisec 补充道：“此 Microsoft Outlook 漏洞可以在用户之间传播，无需点击即可执行。” 据该网络安全公司称，利用此零点击漏洞非常简单，这使得它在初始访问时容易被大规模利用。 Morphisec 说：“一旦攻击者成功利用此漏洞，他们就可以以与用户相同的权限执行任意代码，从而可能导致整个系统被入侵。” Morphisec 研究员计划在今年夏天的 DEF CON 会议上发布技术细节和概念验证（PoC）漏洞。 建议用户尽快更新 Outlook 客户端。据了解，攻击者以前曾利用零点击 Outlook 漏洞进行攻击。 周二，微软发布了针对其产品中十多个远程代码执行漏洞的补丁，其中包括微软消息队列 (MSMQ) 中的一个严重漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6CWP3JOlUHc3Mh6M9Zsg7w 封面来源于网络，如有侵权请联系删除

据观察，攻击者利用 PHP 中的一个关键远程执行漏洞入侵服务器并部署恶意软件，该恶意软件是 TellYouThePass 勒索软件活动的一部分。 Imperva Threat Research 公司在6月10日的一篇博文中表示，公司于6月8日，即PHP维护者发布补丁后的一两天，就发现了攻击者利用高严重性PHP漏洞（CVE-2024-4577）的情况。 PHP 是一种免费、开源的服务器端脚本语言，用于创建动态网页。超过 75% 的网站都使用 PHP 进行服务器端编程。 Imperva 的研究人员表示，由于许多类型的企业都依赖 PHP 安装来运行网站，而攻击者一旦入侵就很容易横向移动，因此安全团队应立即打补丁。 自2019年以来，TellYouThePass勒索软件一直很活跃，频繁针对Windows和Linux系统的企业和个人发动攻击。该勒索软件因利用 Apache Log4j 漏洞 CVE-2021-44228 而闻名，也有报道称它利用了 CVE-2023-46604。 Keeper Security 公司联合创始人兼首席执行官 Darren Guccione 解释道，大多数安全团队都非常清楚，网络犯罪分子会密切关注公开披露的信息和概念验证版本，以便迅速利用任何他们可以轻松攻击的漏洞。网络犯罪分子的目标是利用未修补的 PHP 安装（存在CVE-2024-4577等漏洞），未经授权地访问系统。 “该勒索软件一旦进入系统，就会利用横向移动的方式，侵入其他系统并寻找有价值的数据，”Guccione 说。“为了防御 TellYouThePass 勒索软件等漏洞的攻击，安全团队必须在新的安全更新发布后立即应用，以最大限度地减少攻击者的机会窗口。” ColorTokens 公司副总裁兼 CISO 顾问 Agnidipta Sarkar 补充说，表面来看我们只需打上补丁，但这是有风险的。 PHP 是最流行的服务器端脚本语言之一，被用于创建动态网页和复杂的应用程序。一些实时部署了基于 PHP 的应用程序的企业，特别是对安全关注较少、或是没有在临时环境中快速修补PHP漏洞计划的企业，都会受到攻击。   消息来源：scmagazine，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据 WthSecure 的最新报告，边缘服务和基础设施设备中的漏洞正越来越多地被网络威胁者利用。 边缘服务是安装在网络边缘的软件，可以从互联网和内部网络访问，对黑客很有吸引力，因为它们是进入网络的完美初始接入点。 最近，针对易受攻击的边缘软件的攻击呈爆炸性增长，包括MOVEit、CitrixBleed、Cisco XE、Fortiguard的FortiOS、Ivanti ConnectSecure、Palo Alto的PAN-OS、Juniper的Junos和ConnectWise ScreenConnect等安全事件。 传统上，这些被利用的边缘服务安装在基础设施设备（也称为设备）上。这些设备由供应商提供，没有额外的安全工具，软件和硬件完全由供应商定义。最常见的基础设施设备包括防火墙、VPN 网关和电子邮件网关。 边缘安全漏洞持续增加 在报告的介绍中 WithSecure 提醒读者，最近的许多报告显示，大规模利用可能已经取代僵尸网络成为勒索软件事件的主要载体，而且由于大规模利用易受攻击软件引发的安全事件也在迅速增加。 基于这一假设，这家总部位于芬兰的公司想要确定边缘服务漏洞利用在这一趋势中发挥了多大程度的关键作用。 WithSecure 分析了边缘服务和基础设施漏洞不同于已知漏洞（KEV）目录中其他漏洞的一些趋势，KEV 是由美国网络安全和基础设施安全局（CISA）维护的已知被利用的关键漏洞列表。 该公司发现，在过去几个月中，KEV 列表中新增的边缘服务和基础设施漏洞比常规漏洞要多。 例如，与2023年相比，2024年每月加入KEV列表的常见漏洞和暴露（CVE）数量有所下降（-56%），但同期每月加入的边缘服务和基础设施CVE增加了22%。 在过去三年中，每月被利用漏洞的总体趋势并不一致，相比之下，每月被利用的边缘漏洞自 2022 年以来持续上升。 此外，添加到 CISA KEV 列表中的边缘服务和基础设施漏洞往往比其他类型的 CVE 影响更大，在过去两年的 KEV 数据中，这些特定 CVE 的严重性评分高出 11%。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403455.html 封面来源于网络，如有侵权请联系删除

Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序，通过使用 OpenAI 公开提供的人工智能模型，帮助其用户在 Gmail 服务上撰写电子邮件（用户向该服务提供原始数据和上下文，接收人工智能反馈的内容，以此撰写电子邮件）。然而，最近的一项研究发现，该服务存在一个高危安全漏洞。 据悉，安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报，追踪为 CVE-2024-5184（CVSS 得分为 6.5），是一个 “提示注入 “类型的漏洞，允许威胁攻击者操纵服务并盗取敏感信息，可能引发知识产权泄露、拒绝服务和大额经济损失。 CVE-2024-5184 安全漏洞的存在，使得 EmailGPT 在使用 API 服务时，可能会允许威胁攻击者注入第三方提示并操纵服务逻辑，导致泄露系统提示或执行不需要的命令。例如，威胁攻击者可以创建一个嵌入不需要的功能的提示，从而进行数据”挖掘“、使用被入侵的账户发送垃圾邮件或者为邮件列表创建误导性内容。 Synopsys 方面表示，网络安全研究人员在公布 CVE-2024-5184 安全漏洞详细信息之前联系了 EmailGPT 的开发人员，但目前尚未收到任何回复。鉴于当下还没有办法缓解该安全漏洞，Synopsys 建议有关用户应立即从浏览器中删除 EmailGPT。 SlashNext 电子邮件安全公司首席执行官 Patrick Harr 强调，必须对人工智能模型进行严格管理并实施额外的安全措施，以防止安全漏洞及其后续利用。此外，对于一些将人工智能整合到业务流程中的公司，更应该要求人工智能模型供应商提供真正的安全证明，避免安全事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403414.html 封面来源于网络，如有侵权请联系删除