全球知名的半导体公司 Arm 和 Nvidia 正在敦促客户修补其产品中一系列新的漏洞。总部位于英国的Arm周五警告称，其 Mali GPU 内核驱动程序（一种帮助操作系统与 Mali 图形处理器进行通信的软件）中存在一个被广泛利用的零日漏洞。 该漏洞编号为CVE-2024-4610，可能导致“不当的 GPU 内存处理操作”，从而引发崩溃、数据损坏或未经授权访问敏感信息等安全问题。 Arm 表示，它已经注意到有关该漏洞被广泛利用的报告，并已修复该漏洞。如果用户受到此问题的影响，该公司建议他们升级 Bifrost 和 Valhall GPU 内核驱动程序。 这并不是研究人员第一次发现 Arm 的 Mali GPU 内核驱动程序中存在问题。去年 10 月，该公司表示，一个被追踪为CVE-2023-4211的安全问题可能允许黑客访问使用 Mali GPU 的设备上存储的数据。 去年，GitHub 上一位名为 Man Yue Mo 的研究人员发现了Mali GPU 内核驱动程序中的一个安全漏洞，该漏洞可能使黑客能够控制 Google Pixel 6 的操作系统。该问题已于 2022 年 6 月修复。 美国 GPU 设计者和制造商 Nvidia 周四还披露了其 GPU 显示驱动程序和 vGPU 软件产品中 10 个新的高危和中危漏洞。 该公司表示，该漏洞编号为CVE-2024-0090，是在 Nvidia 的 Windows 和 Linux GPU 驱动程序中发现的，可能导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 Nvidia 的 Windows 版 GPU 显示驱动程序也包含一个漏洞 – CVE-2024-0089 – “可能会泄露来自以前的客户端或其他进程的信息”。 另一个漏洞 ( CVE-2024-0099 ) 是在 Nvidia 的虚拟 GPU (vGPU)（允许多个虚拟机共享单个物理 GPU 的软件）中发现的，它可能导致信息泄露、数据篡改、权限升级和拒绝服务。 Nvidia 并未透露这两个漏洞是否已被利用。该公司建议用户下载并安装软件更新，以保护其系统免受黑客攻击。   转自e安全，原文链接：https://mp.weixin.qq.com/s/-QkvoW5PfMEYrH6UF2n2jg 封面来源于网络，如有侵权请联系删除

全球关键设施中使用的生物识别终端存在 24 个漏洞，黑客可借此获得未经授权的访问权限、操纵设备、部署恶意软件并窃取生物识别数据。 生物识别安全技术比以往任何时候都更受欢迎，不仅在公共部门（执法部门、国家身份证系统等）得到广泛采用，而且在旅游和个人计算机等商业行业也得到广泛采用。在日本，地铁乘客可以“刷脸支付”，新加坡的移民系统依靠面部扫描和指纹来允许旅行者入境。甚至汉堡店也在尝试使用面部扫描支付账单。 黑客很快找到绕过这些所谓安全系统的方法，有时甚至可以进入系统内部。 卡巴斯基的研究人员发现中国制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码，恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。如果使用这种易受攻击的设备，全球高安全性设施都将面临风险。 参考卡巴斯基官方链接，这些漏洞是在卡巴斯基安全评估专家对 ZKTeco 白标设备软件和硬件进行研究的过程中发现的。所有发现都在公开披露之前主动与制造商分享。 有问题的生物识别读取器广泛用于各个领域——从核电站或化工厂到办公室和医院。这些设备支持人脸识别和二维码身份验证，并能够存储数千个面部模板。然而，新发现的漏洞使它们面临各种攻击。卡巴斯基根据所需补丁对漏洞进行了分组，并将它们注册到特定的 CVE（通用漏洞和暴露）下。 利用 ZKTeco 终端进行攻击可能看起来像任何其他网络攻击，或者可能涉及相当有创意的物理攻击。 通过伪造的二维码进行物理绕过 CVE-2023-3938 漏洞允许网络犯罪分子执行一种称为 SQL 注入的网络攻击，该攻击涉及将恶意代码插入发送到终端数据库的字符串中。攻击者可以将特定数据注入用于访问限制区域的二维码中。因此，他们可以未经授权访问终端并物理访问限制区域。 当终端处理包含此类恶意二维码的请求时，数据库会错误地将其识别为来自最近授权的合法用户。如果假二维码包含过多的恶意数据，设备将重新启动，而不是授予访问权限。 卡巴斯基高级应用安全专家 Georgy Kiguradze 表示：“在用于向设备传输控制命令的二进制协议中发现大量 SQL 注入漏洞，这令人十分震惊。此外，在设备摄像头内嵌入的二维码读取器中也发现了类似的漏洞——人们通常不会想到会在这个位置发现此类漏洞，因为它通常与远程攻击有关。” “除了替换二维码，还有另一种有趣的物理攻击媒介。如果心怀恶意的人获得了设备数据库的访问权限，他们可以利用其他漏洞下载合法用户的照片，打印出来，并用它来欺骗设备的摄像头，从而获得对安全区域的访问权限。当然，这种方法有一定的局限性。它需要打印的照片，并且必须关闭温度检测。然而，它仍然构成了重大的潜在威胁。”卡巴斯基高级应用安全专家 Georgy Kiguradze 说。 生物特征数据盗窃、后门部署和其他风险 CVE-2023-3940 是软件组件中的漏洞，允许任意文件读取。利用这些漏洞，潜在攻击者可以访问系统上的任何文件并提取文件。这包括敏感的生物识别用户数据和密码哈希，以进一步窃取公司凭证。 CVE-2023-3942 提供了另一种从生物识别设备数据库中检索敏感用户和系统信息的方法——通过 SQL 注入攻击。 攻击者不仅可以访问和窃取，还可以通过利用 CVE-2023-3941 远程更改生物识别读取器的数据库。这组漏洞源于对多个系统组件的用户输入验证不当。利用它，攻击者可以上传自己的数据（例如照片），从而将未经授权的个人添加到数据库中。这可能使他们能够偷偷绕过旋转门或门。此漏洞的另一个关键特性使犯罪者能够替换可执行文件，从而可能创建后门。 成功利用另外两组新漏洞（CVE-2023-3939 和 CVE-2023-3943）可执行设备上的任意命令或代码，从而授予攻击者以最高权限完全控制权。这允许攻击者操纵设备，利用它来对其他网络节点发起攻击，并将攻击范围扩大到更广泛的公司基础设施。 “发现的漏洞影响范围广泛，令人担忧。首先，攻击者可以在暗网上出售窃取的生物特征数据，使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。此外，修改数据库的能力使访问控制设备的原始用途成为武器，可能让不法分子进入禁区。最后，一些漏洞允许放置后门，秘密渗透其他企业网络，促进复杂攻击的发展，包括网络间谍或破坏。所有这些因素都凸显了修补这些漏洞和彻底审核在公司区域使用这些设备的人的设备安全设置的紧迫性。”Georgy Kiguradze 详细阐述道。 确保生物识别系统的安全 生物识别技术通常被认为比典型的身份验证机制更进一步——对于最敏感的设备和最严重的环境来说，这种额外的詹姆斯邦德级别的安全性是必不可少的。 例如，ZKTeco 终端部署在全球各地的核电站、化工厂、医院等场所。它们保护服务器机房、行政套房和敏感设备。上述漏洞可能不适合以经济为目的的网络犯罪分子，但对于意图窃取数据甚至操纵安全关键流程的内部人员或高级国家威胁行为者来说却非常有用。 这些系统部署的环境非常关键，因此各组织必须竭尽全力确保其完整性。而这项工作不仅仅是修补新发现的漏洞。 Kiguradze 建议：“首先，将生物识别读取器隔离在单独的网络段上，以限制潜在的攻击媒介。然后，实施强大的管理员密码并替换所有默认凭据。一般来说，建议对设备的安全设置进行彻底审核并更改所有默认配置，因为它们通常更容易在网络攻击中被利用。” 不确定生物识别技术的组织可以专注于尽可能减少生物识别技术的使用，或确保它们不是唯一的保护措施。关键在于确保这些额外的保护措施对用户不可见。 出路 安全团队面临的根本问题是：如果数据最终以相同的方式存储和保护，生物识别技术是否比其他形式的身份验证更安全？ 嗯，是的，大多数情况下，专家都是这么说的。 iProov 创始人兼首席执行官安德鲁·巴德 (Andrew Bud) 表示：“我想澄清一个常见的误解，即生物特征识别就像密码一样，因此，如果被盗或被破解，它就会变得毫无价值。这是一个根本性的概念错误，因为生物特征识别（如面部）并不是秘密。” 他解释道：“密码很好用，因为它是秘密的。但在现代社会，脸部并不是秘密。只要在 LinkedIn 或 Facebook 上看一眼，就能抓取到人们的脸部信息。脸部或任何其他生物特征之所以如此有价值，并不是因为它是机密的，而是因为它是独一无二的。” 实际上，泄露的照片、指纹或生物识别扫描仪的虹膜扫描结果并非世界末日。 人们可能会本能地害怕黑客会持有他们的照片，但真实照片的复制品不应该欺骗当今最先进的识别技术。例如，ZKTeco 终端具有温度检测机制，可以验证身份，防止入侵者使用打印的照片等欺骗面部识别终端。 巴德说，“当你检查一个人的脸时，你可以在场景中引入一些不可预测的东西，这会导致脸部做出与深度伪造或复制品相比独特的反应。” 他补充道：“我们的做法是利用用户设备的屏幕闪现出一系列不可预测的独特色彩，照亮用户的脸部，然后将脸部的视频传输回我们的服务器。光线在人脸上反射的方式，以及反射与环境光相互作用的方式……这是一个非常非常奇特、不寻常且不可预测的挑战，极难伪造。” 他解释说，如果面部识别机制能够抵御复制，“原则上，你就不必依赖收集数据的设备的安全性。事实上，我们从一开始就假设该设备完全不可信。” 不幸的是，有一个警告。与面部、眼睛和指纹等身体特征不同，“检测深度伪造的声音非常困难，甚至不可能， ”巴德说。“声纹中的信息太少了，很难发现假冒信号”——因此，生物识别技术的高级版本才是出路。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Ntst01VxfhEeP2J5SKeBrQ 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 6 月补丁日，微软修复了 51 个安全漏洞，其中包括 18 个远程代码执行漏洞和一个公开披露的0day漏洞。 各个漏洞类别的数量如下： 25 个特权提升漏洞 18 个远程代码执行漏洞 3 个信息泄露漏洞 5 个拒绝服务漏洞 总共 51 个漏洞并不包括 6 月 3 日修复的 7 个 Microsoft Edge 漏洞。 本月补丁日只修复了一个严重漏洞，即 Microsoft 消息队列 (MSMQ) 中的远程代码执行漏洞。 该漏洞编号为CVE-2024-30080，CVSS 严重性评分为 9.8/10，攻击者可以通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来利用该漏洞。 微软安全响应团队在一份公告中警告称：“这可能导致服务器端远程代码执行。” 微软表示，系统需要启用 Windows 消息队列服务才能利用此漏洞，并敦促客户检查机器上是否有名为消息队列的服务正在运行，并且 TCP 端口 1801 正在监听。 安全专家还呼吁关注CVE-2024-30078，这是一个 Windows WiFi 驱动程序远程代码执行漏洞，CVSS 严重性评分为 8.8/10。 微软警告称：“要利用此漏洞，攻击者必须靠近目标系统才能发送和接收无线电传输。未经身份验证的攻击者可以向使用 Wi-Fi 网络适配器的相邻系统发送恶意网络数据包，从而实现远程代码执行。” 一个公开披露的0day漏洞 本月的补丁日修复了一个公开披露的0day漏洞，是之前披露的DNS 协议中的“Keytrap”攻击，微软已在今天的更新中对其进行了修复。 CVE-2023-50868 – MITRE：CVE-2023-50868 NSEC3 最接近的封闭证明会耗尽 CPU。 “ CVE-2023-50868 涉及 DNSSEC 验证中的一个漏洞，攻击者可以利用解析器上的过多资源来利用旨在实现 DNS 完整性的标准 DNSSEC 协议，从而导致合法用户拒绝服务。MITRE 代表他们创建了这个 CVE。”微软的公告中写道。 该漏洞于二月份被披露，并已在许多 DNS 实现中得到修补，包括 BIND、PowerDNS、Unbound、Knot Resolver 和 Dnsmasq。 本月修复的其他漏洞包括多个 Microsoft Office 远程代码执行漏洞，其中包括可从预览窗格利用的 Microsoft Outlook RCE。 微软还修复了七个 Windows 内核权限提升漏洞，这些漏洞可能允许本地攻击者获得系统权限。 其他公司的最新 2024 年 6 月发布更新或公告的其他供应商包括： 苹果在visionOS 1.2版本中修复了 21 个安全漏洞。 ARM 修复了Mali GPU 内核驱动程序中一个被积极利用的BUG。 思科发布了其 Cisco Finesse 和 Webex 的安全更新。 Cox 修复了影响数百万调制解调器的 API 身份验证绕过漏洞。 F5 发布了针对两个高严重性 BIG-IP Next Central Manager API 漏洞的安全更新。 PHP 修复了一个严重的 RCE 漏洞，该漏洞目前在勒索软件攻击中被积极利用。 VMware 修复了 Pwn2Own 2024 上利用的三个零日漏洞。 Zyxel 针对停产 NAS 设备发布紧急 RCE 补丁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/aoN31EZKhX32P5olgs90RQ 封面来源于网络，如有侵权请联系删除

根据 Forescout 最新发布的《2024 年最危险的联网设备》报告显示，与一年前相比，含有漏洞的物联网（IoT）设备激增了 136%。 此次研究人员分析了近1900万台设备的数据，发现存在漏洞的物联网设备比例从2023年的14%上升到2024年的33%。 其中，最容易受到攻击的物联网设备是无线接入点、路由器、打印机、网络电话（VoIP）和 IP 摄像机。 在此次分析的上述物联网设备中，约有三分之一（33%）存在漏洞。 Forescout 安全情报副总裁 Rik Ferguson表示，威胁行为者的主要目标是连接到企业堆栈的物联网设备，如 IP 摄像机和楼宇管理系统，而不是消费类智能产品。 这些终端为攻击者提供了一个隐秘的、自由进出组织系统的机会。 Rik Ferguson指出：有黑客在地下论坛分享了一些相关教程，介绍了如何入侵并利用它们进行横向移动、渗透和指挥控制，因为在大多数情况下，企业安全堆栈都看不到它们。 研究人员还强调，医疗物联网（IoMT）也是一个重大风险，这些设备中有 5% 存在漏洞。 在这类设备中，风险最大的是医疗信息系统、心电图仪、医学数字成像和通信（DICOM）工作站、图片存档和通信系统（PACS）以及配药系统。 研究人员指出，有记录显示，勒索软件攻击影响了配药系统的可用性，可能导致患者治疗延误。 与 Forescout 的 2023 年报告相比，IoMT 在风险最高的设备类别中也超过了操作技术 (OT)。 网络设备是风险最高的 IT 设备 据今年的报告显示，网络设备出现漏洞的频率很高，占据了整个 IT 设备漏洞的58%。尽管这一比例相较 2023 年的 78% 有了显著下降，但网络基础设施设备，包括路由器和无线接入点是最具风险的 IT 设备类别，超过了端点。 Forescout 注意到，另一些 IT 设备受到攻击的频率有所下降，而另一些则有所上升，攻击者主要将攻击目标集中在无线接入点和路由器等通常无人管理的设备上。 他指出，在过去的一年里，管理程序一直是重大入侵事件的切入点，勒索软件就是专门针对这些设备而开发的。 不间断电源 (UPS)、分布式控制系统 (DCS)、可编程逻辑控制器 (PLC)、机器人和楼宇管理系统 (BMS) 是在 OT 环境中发现的五种最危险的设备类型，共有 4% 的 OT 设备被发现存在漏洞。 同时，研究人员还指出，在电子和汽车制造等行业中，机器人的使用正在迅速增加，这些行业的工厂之间的联系越来越紧密。其中许多机器人与其他 OT 设备存在相同的安全问题，包括软件过时和默认凭据。 医疗保健行业安全风险最低 根据数据显示，平均设备风险最高的行业是技术（得分：8.3）、教育（得分：8.14）、制造（得分：7.98）和金融（得分：7.95）。 有趣的是，在 Forescout 的最新报告中，医疗保健行业从 2023 年风险最高的行业变成了风险最低的行业，得分为 7.25。 研究人员表示，这是由于医疗保健行业去年在设备安全方面进行了大量投资。 Ferguson 指出，医疗保健行业已经从过去一年的勒索软件攻击中吸取了教训，关闭了攻击者的关键进入点，特别是减少了 Telnet 和 RDP 的暴露。 风险评分根据配置、行为和功能进行量化，每台设备的得分介于 1 到 10 之间。 来源：Forescout 平均设备风险较高的国家有菲律宾（6.97）、泰国（6.96）、加拿大（6.51）和美国（6.44）。 在本次报告中所分析的国家中，英国的风险得分最低，仅为 6 分。   转自Freebuf，原文链接：https://www.freebuf.com/news/403145.html 封面来源于网络，如有侵权请联系删除

本周三（6月5日），智利网络安全公司 CronUp 的安全研究员Germán Fernández发现有黑客攻击了 GitHub 存储库，并删除了其中的部分信息。 据悉，此次攻击行动中，黑客利用了 Telegram 上的 Gitloker 账号冒充网络事件分析师，这一行为很可能是利用窃取的凭据入侵目标的 GitHub 账户而实现的。 随后，他们声称要窃取受害者的数据，并创建一个可以帮助恢复已删除数据的备份。他们重新命名了存储库，并添加了一个 README.me 文件，指示受害者在 Telegram 上联系他们。黑客在赎金声明中写道：“希望你收到这条信息时一切安好，这份紧急通知是告知您的数据已泄露，我们已经对数据做了备份。” 当 BleepingComputer 今天早些时候联系 GitHub 询问有关 Gitloker 勒索活动的更多细节时，发言人没有立即发表评论。 数十个 GitHub 仓库已受到影响 在之前针对 GitHub 用户的攻击事件发生后，该公司建议用户立即更改密码，以确保账户安全，防止未经授权的访问。这样可以防止恶意行为，如添加新的 SSH 密钥、授权新应用程序或修改团队成员等等。 同时，该公司建议，为防止攻击者入侵你的 GitHub 账户并侦测可疑活动，应该注意： 启用双因素身份验证 为安全无密码登录添加密钥 审查并撤销对 SSH 密钥、部署密钥和授权集成的未授权访问 验证与账户关联的所有电子邮件地址 查看账户安全日志，跟踪版本库变更 管理版本库上的网络钩子 检查并撤销任何新的部署密钥 定期查看每个版本库的最近提交和协作者 事实上，GitHub 卷入“安全风波”已经不是新鲜事。 4月底，GitHub 曾曝出高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 今年3月底，黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击，此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。 Checkmarx 在一份技术报告中提到，黑客在这次攻击中使用了多种TTP，其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI注册表发布恶意软件包等。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402963.html 封面来源于网络，如有侵权请联系删除

近日，攻击者利用社交媒体直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实，索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持，为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知，但是TikTok发言人补充说，“被入侵的账户数量非常少”。在零日漏洞被修复之前，或将不会分享有关被利用漏洞的任何细节。 据Semaphor、Forbes等媒体报道，攻击者通过 DMs 入侵这些账户借助了一个零日漏洞，目标用户只要打开恶意信息，哪怕没有下载或点击链接也会中招，因此千万不要打开不明来源的信息。 TikTok表示，公司正在采取措施减轻这一事件的影响，并防止此类事件再次发生。 “我们的安全团队发现了一个针对一些品牌和名人账户的潜在漏洞利用，”TikTok发言人在一份声明中称，“我们已经采取措施阻止这次攻击，并防止它在未来再次发生。如果有需要，我们将与受影响的账户所有者直接合作，恢复访问权限。” 这不是近年来第一个影响 TikTok 用户的漏洞。2022年8月，微软披露了 TikTok Android应用程序中目前已修复的高危漏洞详细信息，如果目标用户只是单击特制的链接，攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。 成功利用该漏洞攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息，从而导致未经授权的私人视频曝光。攻击者还可能滥用该漏洞代表用户发送消息和上传视频。 该漏洞已在TikTok 23.7.3 版本中解决，影响其 Android 应用程序 com.ss.android.ugc.trill（适用于东亚和东南亚用户）和 com.zhiliaoapp.musically（适用于除印度以外的其他国家的用户）。 该漏洞的漏洞号为 CVE-2022-28799（CVSS 评分 8.8），该漏洞与应用程序处理所谓的深度链接有关，这是一种特殊的超链接，允许应用程序在设备上安装的另一个应用程序中打开特定资源，而不是用于访问网站。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402783.html 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的黑客FlyingYeti正在以乌克兰为目标进行网络钓鱼活动，以提供PowerShell恶意软件COOKBOX。 Cloudflare研究人员发现了一名与俄罗斯有关的黑客FlyingYeti（又名UAC-0149）针对乌克兰进行的网络钓鱼活动。专家们发表了一份报告，描述了破坏和延迟这种威胁活动的实时努力。 在2022年2月24日俄罗斯入侵乌克兰之初，乌克兰暂停驱逐和终止未偿还债务的公用事业服务。暂停期于2024年1月结束，导致乌克兰公民承担巨额债务，并增加了财务压力。FlyingYeti运动利用这种焦虑，使用债务主题的诱饵诱骗目标打开嵌入消息中的恶意链接。打开文件后，PowerShell恶意软件COOKBOX会感染目标系统，使攻击者能够部署额外的有效载荷并控制受害者的系统。 黑客利用WinRAR漏洞CVE-2023-38831向目标感染恶意软件。 Cloudflare表示，FlyingYeti的战术、技术和程序（TTP）与乌克兰CERT在分析UAC-0149集群时详细说明的战术、技巧和程序相似。 至少从2023年秋天开始，UAC-0149就用COOKBOX恶意软件攻击乌克兰国防实体。 Cloudflare发布的报告中写道：“黑客将动态DNS（DDNS）用于其基础设施，并利用基于云的平台托管恶意内容和进行恶意软件指挥与控制（C2）。”“我们对FlyingYeti TTPs的调查表明，这很可能是一个与俄罗斯结盟的威胁组织。该行为者似乎主要专注于针对乌克兰军事实体。” 黑客以基辅Komunalka公共住房网站的恶搞版本为目标用户(https://www.komunalka.ua)，托管在参与者控制的GitHub页面上（hxxps[：]//comunalka[.]GitHub[.]io）。Komunalka是基辅地区公用事业和其他服务的支付处理商。 FlyingYeti很可能通过网络钓鱼电子邮件或加密信号消息将目标引导到此页面。在这个被欺骗的网站上，一个大的绿色按钮提示用户下载一个名为“Рахунок.docx”（“Invoice.docx”）的文件，而该文件下载了一个标题为“ЗаборгованасапоЖКП.rar”（“住房和公用事业债务.rar”）的恶意档案。 一旦打开RAR文件，CVE-2023-38831漏洞就会触发COOKBOX恶意软件的执行。 RAR档案包含多个文件，其中一个文件的Unicode字符为“U+201F”，在Windows系统中显示为空白。此字符可以通过添加过多的空格来隐藏文件扩展名，使恶意CMD文件（“Рахунокнаоплару.pdf[unicode character U+201F].CMD”）看起来像pdf文档。该档案还包括一个良性的PDF文件，其名称相同，但没有Unicode字符。打开档案后，目录名称也与良性PDF名称匹配。这种命名重叠利用了WinRAR漏洞CVE-2023-38831，导致目标尝试打开良性PDF时执行恶意CMD。 “CMD文件包含名为COOKBOX的Flying Yeti PowerShell恶意软件。该恶意软件被设计为持久存在于主机上，作为受感染设备的立足点。一旦安装，该COOKBOX变体将向DDNS域postposterk[.]serveftp[.]com请求C2，等待恶意软件随后运行的PowerShell cmdlet。”报告继续说道。“除了COOKBOX，还打开了几个诱饵文档，其中包含使用Canary Tokens服务的隐藏跟踪链接。   转自E安全，原文链接：https://mp.weixin.qq.com/s/sG5cSjt29W55VFOwkLfkDw 封面来源于网络，如有侵权请联系删除

近日，Cox Communications修复了一个授权绕过漏洞，该漏洞允许远程攻击者滥用暴露的后端api来重置Cox调制解调器的设置并窃取客户的敏感个人信息。据悉，该漏洞影响到了数百万Cox提供的调制调节器。 Cox是美国最大的私人宽带公司，通过光纤网络为30多个州的近700万家庭和企业提供互联网、电视和电话服务。 此次的 Cox安全漏洞是由赏金猎人Sam Curry发现的。他发现一旦威胁行为者成功利用该漏洞，就能够获取到与ISP技术支持类似的一组权限。 攻击者可以利用这一访问权限，通过存在漏洞的 Cox API 访问数百万台 Cox 设备，覆盖配置设置并在设备上执行命令。 举例来说，通过利用这个身份验证绕过漏洞，恶意行为者可以通过暴露的 API，使用 Cox 客户的姓名、电话号码、电子邮件地址或账号查找他们并窃取他们的个人身份信息（PII），包括 MAC 地址、电子邮件、电话号码和地址。 不仅如此，攻击者还可以通过查询在前一攻击阶段窃取的硬件 MAC 地址，收集连接设备的 Wi-Fi 密码和其他信息。继而执行未经授权的命令、修改设备设置并控制受害者的账户。 库里表示：这一系列漏洞也展示了一种方法。在不具备任何先决条件的情况下，由外部攻击者执行命令并修改数百万调制解调器的设置，可访问任何企业客户的 PII，并获得与 ISP 支持团队基本相同的权限。 目前已有 700 多个公开的 API，其中许多提供了管理功能，如查询调制解调器的连接设备。每个 API 都存在相同的权限问题，重复重放 HTTP 请求将允许攻击者运行未经授权的命令。 不过，该公司在Curry 报告后的 6 小时内就立即关闭了暴露的 API 调用，并在第二天修补了漏洞。 作为后续安全审查的一部分，Cox 方面还调查了这一攻击向量在被报告之前是否曾被利用过，但截至目前并未发现被滥用的证据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402577.html 封面来源于网络，如有侵权请联系删除

根据 Veracode 的数据显示，公共部门使用的应用程序比私营部门创建的应用程序存在更多的安全漏洞。 Veracode  在一份报告中，详细调查分析了全球超过 25 个国家的公共部门组织，最终发现 59% 的公共部门应用程序存在安全漏洞（超过一年仍未修复的安全漏洞）。值得一提的是，把调查对象扩展到社会各个行业面上，这一比例为 42%。 Veracode 首席研究员 Chris Eng 表示，数十年来，为政府服务的应用程序中，未打补丁的软件和糟糕的安全配置累积了大量安全漏洞。如果相关方面一直不采取系统性、持续性的保护措施查找、修复安全漏洞，公共部门就会面临遭受黑客攻击的安全风险。 政府系统面临日益严重的网络攻击威胁 随着威胁网络犯罪分子以更具破坏性、颠覆性的攻击技术”瞄准“公共部门组织，联邦政府系统正日益受到网络攻击。对此，联邦政府正在实施一系列加强网络安全的举措，努力政府部门使用的应用程序中存在的安全风险。 2024 年 3 月，网络安全和基础设施安全局  CISA 与管理和预算办公室  OMB 联合发布了《安全软件开发声明表》，要求联邦政府的供应商对不安全的软件负责。 Veracode 研究人员还发现，虽然公共部门机构（68%）的安全漏洞略少于其他行业，但这些部门经过很多年的”积累“，往往存在更多的安全漏洞。调查显示，公共组织使用的应用程序中只有 3% 的不存在漏洞，而其他行业的这一比例为 6%。 更令人担忧的是，40% 的公共部门机构存在持续久、严重程度大、影响范围广的安全漏洞，这些漏洞交织在一起，构成政府机构的安全”债务”，一旦被威胁攻击者利用，企业的保密性、完整性和可用性将面临严重安全风险。 Eng 指出，公共部门组织存在的所有安全漏洞中，有三分之二存在不到一年，或者严重程度并不严重。此外，在所有安全漏洞中，只有不到 1%的漏洞构成关键安全”债务“，通过集中精力优先处理这些安全”债务“，企业可以最大限度地降低风险，然后再根据自身的风险承受能力和能力处理非关键漏洞。 公共部门的安全”债务“主要集中在旧版应用程序中 报告显示，公共部门的安全”债务“主要影响第一方代码（93%），但大部分关键安全”债务“来自第三方依赖（55.5%），这种情况就迫使公共部门必须重视开源安全软件倡议（OS3I）的重要性，并且要求各组织需要关注第一和第三方代码，以有效减少安全”债务“。 安全研究进一步表明，公共部门的担保”债务“主要集中在申请时间较长、规模较大的申请中 （22%）。关键安全”债务“（30%）尤其如此，这就证实了应用程序使用年限与安全”债务“积累之间的相关性。 此外，研究人员还比较了不同开发语言的安全”债务“状况，发现 Java 和 .NET 应用程序是公共部门的重要债务来源。公共部门的软件安全现状进一步说明了将安全设计作为整个网络连接世界的标准方法的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/402484.html 封面来源于网络，如有侵权请联系删除

Cloudflare 周四表示，已采取措施阻止由与俄罗斯结盟的黑客组织FlyingYeti策划的针对乌克兰的为期一个月的网络钓鱼活动。 Cloudflare 的威胁情报团队 Cloudforce One在今天发布的新报告中表示：“FlyingYeti 活动利用了人们对可能失去住房和公用设施使用权的焦虑，通过以债务为主题的诱饵诱使目标打开恶意文件。” “如果打开这些文件，将导致感染被称为 COOKBOX 的 PowerShell 恶意软件，从而允许 FlyingYeti 支持后续目标，例如安装额外的有效载荷和控制受害者的系统。” FlyingYeti 是乌克兰计算机应急响应小组 (CERT-UA) 以 UAC-0149 为名追踪的网络犯罪组织集群的名称。 该网络安全机构披露的先前攻击涉及使用通过 Signal 即时通讯应用程序发送的恶意附件来传播COOKBOX，这是一种能够加载和执行基于 PowerShell 编写的 cmdlet 恶意软件。 Cloudforce One 在 2024 年 4 月中旬检测到的最新活动涉及使用 Cloudflare Workers 和 GitHub，同时利用编号为CVE-2023-38831的 WinRAR 漏洞。 提示下载恶意档案“Заборгованість по ЖКП.rar” 恶意 RAR 压缩包“Заборгованість по ЖКП.rar”中包含的文件 该公司称，该黑客组织主要针对乌克兰军事实体，其基础设施使用动态 DNS (DDNS)，并利用基于云的平台来发布恶意内容和进行命令与控制 (C2) 。 据观察，这些电子邮件采用债务重组和支付相关的诱饵，诱使收件人点击现已删除的 GitHub 页面 (komunalka.github[.]io)，该页面冒充基辅 Komunalka 网站并指示他们下载 Microsoft Word 文件（“Рахунок.docx”）。 但实际上，点击页面上的下载按钮会检索 RAR 存档文件（“Заборгованість по ЖКП.rar”），但只有在评估了对 Cloudflare Worker 的 HTTP 请求后才会执行。一旦启动，RAR 文件就会利用 CVE-2023-38831 来执行 COOKBOX 恶意软件。 Cloudflare 表示：“该恶意软件旨在在主机上持久存在，作为受感染设备的立足点。安装后，该 COOKBOX 变种将向 DDNS 域 postdock[.]serveftp[.]com 发出 C2 请求，等待恶意软件随后运行的 PowerShell cmdlet。” 网络钓鱼活动还将目光瞄准了欧洲和美国的金融机构，通过将其 MSI 安装程序打包到流行的扫雷游戏的木马版本中，来部署名为 SuperOps 的合法远程监控和管理软件。 CERT-UA表示：“在计算机上运行该程序将为第三方提供未经授权的计算机远程访问权限”，CERT-UA将该攻击活动归咎于一个名为 UAC-0188 的黑客组织。 此次披露还遵循了 Flashpoint 的一份报告，该报告显示俄罗斯高级持续性威胁 (APT) 组织正在同时发展和改进其策略以及扩大其目标范围。 该公司上周表示：“他们正在利用新的鱼叉式网络钓鱼活动窃取数据和凭证，在受害者目标上投放商业木马恶意软件。这些鱼叉式网络钓鱼活动中使用最流行的恶意软件系列是 Agent Tesla、Remcos、SmokeLoader、Snake Keylogger 和 GuLoader。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/h5V1qctEaym9BAisxa1c5w 封面来源于网络，如有侵权请联系删除