Fortinet FortiSIEM 产品的一个关键漏洞出现了一个可行的攻击（PoC），这为更广泛的攻击提供了更多机会。 该漏洞被追踪为 CVE-2024-23108，于今年 2 月披露并修复，同时修复的还有与其相关的另一个漏洞 CVE-2024-23109。这两个漏洞在 CVSS 评分系统中的最高严重性评分均为 10 分，都是未经身份验证的命令注入漏洞，攻击者可能利用伪造的 API 请求实现远程代码执行（RCE）。 据 Horizon3AI 的研究人员称，该漏洞被他们称为“NodeZero”，允许用户“以 root 身份在受影响的 FortiSIEM 设备上盲目执行命令”。在 PoC 中，他们使用该漏洞加载了一个用于后继活动的远程访问工具。 FortiSIEM 是 Fortinet 的安全信息和事件管理（SIEM）平台，用于支持企业网络安全运营中心。因此，如果该平台被攻破，攻击者可以以此为跳板进一步入侵企业环境。 受漏洞影响的 FortiSIEM 版本包括 7.1.0 至 7.1.1、7.0.0 至 7.0.2、6.7.0 至 6.7.8、6.6.0 至 6.6.3、6.5.0 至6.5.2 以及 6.4.0 至 6.4.2，用户应立即打上补丁，以避免受到威胁。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402244.html 封面来源于网络，如有侵权请联系删除

近日，TP-Link Archer C5400X 游戏路由器被曝存在高危安全漏洞，未经认证的远程威胁攻击者能够通过发送特制请求，在受影响设备上任意执行代码。 据悉，安全漏洞被追踪为 CVE-2024-5035，CVSS 评分为 10.0，主要影响包括 1_1.1.6 及之前版本在内的所有版本的 TP-Link Archer C5400X 游戏路由器固件。鉴于 CVE-2024-5035 安全漏洞的影响范围广、危害程度大、可利用性高等特点，TP-Link 方面在 2024 年 5 月 24 日发布的 1_1.1.7 版本中，修补了安全漏洞。 CVE-2024-5035 安全漏洞详情 CVE-2024-5035 安全漏洞产生的根源在于一个与射频测试 “rftest ”相关的二进制文件，该文件在启动时暴露了 TCP 端口 8888、8889 和 8890 上的网络监听器，从而允许未经认证威胁攻击者，能够远程轻松执行任意代码。 虽然该网络服务被设计为只接受以 “wl ”或 “nvram get ”开头的命令，但网络安全公司 ONEKEY 发现，只要在 shell 元字符（如 ; 、& 或 |）（如 “wl;id;”）之后注入命令，就可以轻松绕过这一限制。TP-Link 公司在版本 1_1.1.7 Build 20240510 的更新中，通过丢弃任何包含这些特殊字符的命令解决该漏洞。 近段时间，TP-Link 公司频频爆出安全漏洞问题，在 CVE-2024-5035 安全漏洞披露的前几周，TP-Link 公司还披露了台达电子 DVW W02W2 工业以太网路由器和 Ligowave 网络设备中存在的两个安全漏洞，分别被追踪为 CVE-2024-3871 和 CVE-2024-4999，远程威胁攻击者能够利用这些安全漏洞，提升的自身权限，执行任意远程命令。 更糟糕的是，由于 TP-Link 公司不再对上述两个安全漏洞进行积极维护，导致受影响的相关设备仍未打补丁。因此，用户必须采取适当措施限制管理界面的暴露，以最大程度上降低威胁攻击者利用安全漏洞的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402141.html 封面来源于网络，如有侵权请联系删除

据黑客新闻（The Hacker News）消息，中国安全厂商奇安信在过去3个月内发现名为CatDDoS 的恶意软件僵尸网络利用80多个漏洞对各类软件实施攻击，包括分布式拒绝服务 （DDoS） 攻击。 奇安信X实验室团队发现，这些漏洞影响了Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Realtek、Seagate、SonicWall、Tenda、TOTOLINK、TP-Link、ZTE 和 Zyxel 等厂商的路由器、网络设备。 奇安信和绿盟科技曾在 2023 年8月首次观测到 CatDDoS，将其描述为能够使用 UDP、TCP 和其他方法执行 DDoS 攻击的 Mirai 僵尸网络变体。除了使用 ChaCha20 算法加密与 C2 服务器的通信外，它还利用 C2 的 OpenNIC 域来试图逃避检测，这一技术也曾被另一个基于 Mirai 的 DDoS 僵尸网络 Fodcha 采用。 根据绿盟科技截至 2023 年 10 月共享的信息，该恶意软件的大多数攻击目标位于中国，其次是美国、日本、新加坡、法国、加拿大、英国、保加利亚、德国、荷兰和印度。X实验室表示，这些攻击涵盖云服务提供商、教育、科学研究、信息传输、公共管理、建筑等行业。 CatDDoS攻击趋势数据 虽然CatDDoS被怀疑已在2023年12月中止了攻击活动，但源代码已被放在了Telegram 群组中出售，进而后续出现了如RebirthLTD、Komaru、Cecilio Network等攻击变种。尽管不同的变种管理方式不同，但在代码、通信设计、字符串、解密方法等方面几乎没有变化。 另一种威胁—— DNSBomb 就在研究人员披露CatDDoS僵尸网络之际，一种被称为DNSBomb的脉冲式拒绝服务技术（PDoS）也浮出水面。该攻击利用合法的 DNS 功能，例如查询速率限制、查询-响应超时、查询聚合和最大响应大小设置，使用恶意设计的权威服务器和易受攻击的递归解析器创建定时响应泛洪。 清华大学NISL实验室博士生李想表示，DNSBomb 利用多种广泛实现的 DNS 机制来累积以低速率发送的 DNS 查询，将查询放大为大型响应，并将所有DNS响应集中到一个短而大容量的周期性脉冲爆发以压倒目标系统，所进行的小规模实验表明，峰值脉冲幅度可以接近8.7Gb/s，带宽放大因子可以超过2万倍。 由于DNSBomb 旨在通过周期性爆发的放大流量来淹没目标，因此难以对这些流量进行检测。 目前该研究已于2023年10月公布在上海举行的GEEKCON 2023活动中，并在2024年5月20日至23日举行的旧金山第45届IEEE安全与隐私研讨会上再次发表。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402138.html 封面来源于网络，如有侵权请联系删除

近日，在美国颇为流行的商业间谍软件工具pcTattletale登上了美国科技媒体头条，因为该工具的安全漏洞导致17TB用户敏感数据在互联网上公开泄露。 “一键跟踪”的爆款商业间谍软件 pcTattletale是一款公开销售的商业间谍软件，可安装在Windows和Android操作系统设备上，用于远程截取屏幕信息取证，广泛用于跟踪个人（例如夫妻互相监控、父母监控子女）。许多美国酒店入住系统、公司和律师事务所的电脑也安装了该软件，用于监控员工、客户或开展“个性化营销”。pcTattletale最大卖点是易用性，把高端复杂的间谍软件做成了老幼妇孺皆可轻松上手的爆款产品。用户只需在其官网上注册，就可获得定制.exe或.apk跟踪文件，然后在目标设备上安装即可实施持续跟踪（实时屏幕截图）。 该定制文件与用户凭证绑定，从而将安装过程简化为只需两次点击，把易用性做到了极致。安装完成后，间谍软件用户只需登录网站帐户即可触发或访问监控对象的屏幕截图/录屏视频。但pcTattletale提供的所谓录屏视频记录并非视频文件，而是相隔几秒钟拍摄的静态屏幕截图，这些屏幕截图被拼接在一起并以.GIF文件的形式播放，以生成目标所需的（视频）记录。 暗藏后门泄露17TB敏感数据 上周，安全研究人员Eric Daigle发现pcTattletale的API中存在一个严重的低级漏洞：该间谍软件附带了硬编码的AWS凭证，可通过隐藏的Webshell后门访问其亚马逊存储桶（用于存储用户的截屏数据），这意味着攻击者可轻易获取安装了该间谍软件的设备的屏幕截图数据。漏洞披露不久后，pcTattletale遭遇了黑客攻击，黑客从pcTattletale的亚马逊S3存储桶中窃取了高达17TB敏感数据（主要为屏幕截图）被黑客在互联网上公开泄露（下图），任何人都可获取，其中一些截图可追溯到2018年。 黑客公布的数据泄露清单包括数据库转储、stalkerware服务的完整webroot文件以及其他S3存储桶内容，暴露了多年的用户敏感信息。Daigle指出，根据泄露数据样本，大量美国酒店、公司电脑以及至少两家律师事务所似乎都受到了该漏洞的攻击。 虽然pcTattletale花了足足20个小时将入侵的官网关闭，但其客户端软件仍然在源源不断将屏幕截图上传到S3存储桶，直到亚马逊出手锁定了pcTattletale的AWS账户（下图）： 值得注意的是，黑客在攻击中发现的Webshell后门至少从2011年12月起就隐藏在间谍软件的后端代码中，允许通过使用cookie执行任意PHP代码，这引发了人们对其来源的疑问——它是pcTattletale自己放置的后门，还是其他黑客放置的？安全人员buran77指出，这表明pcTattletale基本上一直被后门程序控制，并且多年来可能一直有外部行为者窃取数据。 “受害者”遍布全美各行各业 pcTattletale间谍软件数据泄露事件可谓一石激起千层浪，受影响的受害者（间谍软件用户及其监控目标）遍布全美各个行业。根据安全研究人员maia crimew对泄露数据的初步分析，大量企业和机构都是该工具的忠实用户，其中包括银行、律师事务所、教育机构、医疗机构甚至政府机构等。研究人员分享的一些数据泄露样本/用例如下： 酒店泄露客人信息，例如个人数据和信用卡详细信息。 律师事务所曝光律师与客户之间的沟通以及客户银行路由信息。 一家银行泄露机密客户数据。 学校、托儿所等教育机构监视员工或学生，泄露个人数据。 医疗机构泄露患者信息。 巴勒斯坦政府机构雇员受到监控。 波音公司供应商的人力资源部门泄露员工个人信息。 科技公司在涉嫌不法行为的员工设备上秘密安装pcTattletale，暴露内部系统和源代码。 一名漏洞赏金猎人安装了该软件进行渗透测试，然后立即试图卸载它。 从曝光的泄露数据来看，pcTattletale的应用场景极为广泛，不仅被父母用于监视孩子，配偶相互监视，而且还被大量酒店、律师事务所、学校、科技公司（甚至包括波音公司）用于跟踪员工、客户。这意味着pcTattletale数据泄露事件不仅会泄露大量政企机密信息，同时可能引发大规模的隐私、商业伦理和社会问题。 鉴于受影响的公司范围广泛且存在重大安全漏洞，安全研究员maia crimew指出，pcTattletale可能面临被停业的严重后果，因为美国联邦贸易委员会(FTC)此前已下令其他美国跟踪软件开发商在发生数据泄露事件后停止运营，而pcTattletale的案件也将面临类似的结果。 无论最终结果如何，pcTattletale数据泄露/后门事件都暴露了美国数据安全治理的严重漏洞，很多专业人士质疑该商业间谍软件如何绕过各种数据和隐私安全法规得以公开销售，并担忧同样主打“屏幕截图”的微软Windows的“回忆功能”会引发另一场更大规模的隐私灾难。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/M9Lba-eAaspdXB3ipuTcPg 封面来源于网络，如有侵权请联系删除

MITRE 公司透露，2023 年 12 月下旬针对这家公司的网络攻击利用了 Ivanti Connect Secure (ICS) 的零日漏洞，攻击者在其 VMware 环境中创建了恶意虚拟机 (VM)。 MITRE 研究人员 Lex Crumpton 和 Charles Clancy表示：“攻击者利用受损的 vCenter Server 访问权限，在 VMware 环境中创建了自己的恶意虚拟机。” “他们在 vCenter Server 的 Tomcat 服务器下编写并部署了一个 JSP Web Shell（BEEFLUSH）来执行基于 Python 的隧道工具，从而促进对手创建的虚拟机与 ESXi 虚拟机管理程序基础架构之间的 SSH 连接。” 此举背后的动机是通过隐藏其恶意活动来逃避检测，使其不受 vCenter 等集中管理界面的监控，并保持持续访问，同时降低被发现的风险。 上个月，MITRE 披露了与黑客（谷歌旗下的 Mandiant 将其编号为 UNC5221）利用两个 ICS 漏洞 CVE-2023-46805 和 CVE-2024-21887 入侵了其网络实验、研究和虚拟化环境 (NERVE)，随后披露了此次攻击的详细信息。 绕过多因素身份验证并获得初步立足点后，攻击者在网络中横向移动，利用受损的管理员帐户控制 VMware 基础架构，并部署各种后门和 Web shell来保留访问权限和获取凭据。 它包括一个基于 Golang 的后门，代号为 BRICKSTORM，嵌入在恶意虚拟机和两个称为 BEEFLUSH 和 BUSHWALK 的 Web shell 中，允许 UNC5221 执行任意命令并与命令和控制服务器进行通信。 MITRE 表示：“攻击者还使用默认的 VMware 帐户 VPXUSER 进行了七次 API 调用，列举了已安装和未安装的驱动器列表。” “恶意虚拟机在标准管理流程之外运行，不遵守既定的安全策略，因此很难仅通过 GUI 进行检测和管理。相反，需要特殊的工具或技术才能有效识别和减轻与恶意虚拟机相关的风险。” 针对攻击者秘密绕过检测并保持访问权限的有效对策之一是启用安全启动，通过验证启动过程的完整性来防止未经授权的修改。 该公司表示，还提供两个名为Invoke-HiddenVMQuery和VirtualGHOST的 PowerShell 脚本，以帮助识别和减轻 VMware 环境中的潜在威胁。 MITRE 表示：“随着对手不断改进其策略和技术，组织必须保持警惕并灵活应对网络威胁。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xqH2NCI5VFuUCQR653YpxA 封面来源于网络，如有侵权请联系删除

近日，美国马里兰大学的安全研究人员发表论文披露苹果设备的Wi-Fi定位系统（WPS）存在安全设计缺陷，可用于大规模监控全球用户（不使用苹果设备的人也会被监控），从而导致全球性隐私危机。 研究者还在俄乌战场和以色列哈马斯加沙冲突地带实际验证了该漏洞的有效性和危险性。 比GPS更可怕的WPS定位：可监控全球数亿台设备 随着人们对位置服务的需求日益增加，移动设备也更依赖于频繁且精准的地理位置信息。这些服务包括地图导航、广告推送、游戏定位以及丢失或被盗设备追踪（例如苹果的“查找我的设备”功能）。然而，由于耗电量过高，GPS并不能满足如此频繁的定位需求。 为解决这一难题，苹果和谷歌等科技巨头推出了基于Wi-Fi的定位系统(WPS)。该系统允许移动设备通过查询服务器上的Wi-Fi接入点信息来获取自身位置。简单来说，使用过GPS定位的移动设备会定期向WPS上报所观察到的Wi-Fi接入点的MAC地址（即BSSID）及其对应的GPS坐标。WPS服务器会存储这些上报的BSSID位置信息。 之后，其他不使用GPS的移动设备也可以通过查询WPS服务获取位置信息。设备查询涉及发送附近BSSID及其信号强度的列表到WPS。 总之，WPS为客户端设备提供了一种比全球定位系统（GPS）更节能的定位方式。对于移动设备，WPS的耗电量也显著低于GPS。苹果是几家运营WPS的大型科技公司之一，其他公司还包括谷歌、Skyhook等。 由于常用的WPS系统（尤其是苹果和谷歌的系统）都是公开可访问的，并且不会要求查询数据库的设备证明其确实能看到所声称的BSSID。换句话说，任何人都可以通过查询任意MAC地址来定位跟踪个人（如果该地址存在于WPS数据库中，服务器就会返回其位置信息）。 例如，遭受伴侣暴力的人搬到了一个未公开的地址，他们的前伴侣可以通过BSSID定期查询WPS，直到受害者的Wi-Fi接入点（或旅行调制解调器、启用Wi-Fi的电视等）的位置出现，从而泄露受害者的位置信息。 通常来说，这种基于BSSID查询的WPS定位需要攻击者事先了解目标信息（例如MAC地址），并且攻击对象仅限单个目标。 近日，在题为《通过Wi-Fi定位系统监视大众》的论文中，美国马里兰大学博士生ErikRye和副教授DaveLevin介绍了一种全新的苹果WPS查询方法，可被滥用于大规模监视，甚至不使用苹果手机（以及Mac电脑和iPad等苹果设备）的人也可被监控。 这种全新的WPS查询方法能够监控全球范围内的设备，并可以详尽地跟踪设备进入和离开目标地理区域。研究者对苹果WPS提供的数据进行了系统的实证评估，发现这些数据涵盖了数亿台设备，并且允许我们监控Wi-Fi接入点和其他设备的移动情况。 苹果的WPS最危险 根据论文描述，WPS一般以两种方式之一作出响应。 WPS定位主要又两种工作方式：要么计算客户端位置并返回这些坐标，要么返回提交的BSSID的地理位置（与AP硬件相关联），并让客户端进行计算以确定其位置。谷歌的WPS采用前者，而苹果的WPS采用后者。 研究人员指出，谷歌和苹果的WPS系统在基本工作原理上有根本区别，苹果的系统由于其开放性，为安全研究人员和潜在的攻击者提供了进行这项研究的途径。 研究人员指出，苹果的WPS系统特别“热情健谈”（下图）： 论文指出：“除了客户端提交的BSSID的地理位置，苹果的API还会随机性地返回多达数百个附近BSSID的地理位置。” “在苹果的WPS版本中，用户提交BSSID进行地理定位，苹果WPS则会返回其认为的BSSID位置，同时返回的还包括用户未请求的多达400个附近BSSID的位置。这400个额外的BSSID对于安全研究人员/黑客的研究非常重要，因为它们允许研究人员在短时间内积累大量的地理定位BSSID。此外，苹果的WPS服务接口没有设置认证或速率限制，可以免费使用。” 相比之下，谷歌的WPS则仅返回计算出的位置，并且经过认证、速率限制和收费，使得进行类似攻击或安全研究变得难以负担，因此比苹果的WPS要安全得多。 俄乌战争和以色列哈马斯冲突实战案例 利用苹果WPS系统的设计缺陷，Rye和Levin获取并编译了一个包含4.9亿个BSSID的全球数据库，从而可以追踪全球大量个人和人群（包括军事人员）的移动。 论文解释道：“由于苹果WPS的精度在几米范围内，这使我们在许多情况下能够识别出AP所在的个人家庭或企业。出于对用户隐私的尊重，我们在本研究中审查的案例中不包括可能公开识别个人的例子。” 尽管如此，研究人员表示，使用论文中描述的技术“显然有可能”确定个人或他们所属群体的身份，“可以精确到个人姓名、军事单位和基地，甚至是房车停车场。” 为了进一步展示利用WPS进行开源情报(OSINT)潜在的攻击手法，研究者分享了几个重点案例研究，包括： 俄乌战争：研究者首先利用苹果的WPS分析了进出乌克兰和俄罗斯的设备移动情况，从而获得了有关正在进行的战争的一些见解（这些见解尚未公开）。研究者发现疑似军用人员将个人设备带入战区，暴露了预部署地点和军事阵地。研究结果还显示了一些离开乌克兰并前往世界各地的人员信息，这验证了有关乌克兰难民重新安置地点的公开报道。 以色列-哈马斯加沙战争：研究者使用苹果的WPS追踪加沙地带居民的离境和迁徙情况，以及整个加沙地带设备的消失情况。该案例研究表明，研究者可以利用苹果的WPS数据跟踪大规模停电和设备丢失事件。更糟糕的是，被追踪设备的用户从未选择加入苹果的WPS，在研究者进行这项研究时也没有退出机制。仅仅处于苹果设备的Wi-Fi范围内，就可能导致设备的位置和移动信息被广泛公开。事实上，研究者在苹果的WPS中识别了来自1万多家不同厂商的设备。 防御措施：IEEE不作为，马斯克遭到表扬 研究团队已将发现报告给苹果、Starlink和GL.iNet，并建议通过在AP的WiFi网络名称中添加“_nomap”字符串来防止BSSID进入WPS数据库。苹果已在其隐私和位置服务帮助页面中增加了对“_nomap”的支持，而谷歌和WiGLE则早在2016年就已支持这一措施。 此外，研究人员建议实施BSSID随机化，以防止通过WPS追踪。这一措施得到了SpaceX产品安全团队的迅速响应，他们在所有Starlink设备中加快了BSSID随机化的实施步伐。然而，GL-iNet对这一建议的反应不积极，表示暂无计划部署该防御措施。 尽管目前业界尚未意识到将BSSID随机化纳入WiFi标准工作的重要性和紧迫性，研究人员希望这项研究能引起IEEE技术专家的重视，推动这一问题的解决，就像过去推动MAC地址随机化那样。 Rye指出：“BSSID随机化是防止通过WPS追踪的最有效的防御措施，因为每次设备启动（或移动位置）时生成一个随机标识符，将使其在WPS中看上去像是一个完全不同的设备。” Rye还称赞了SpaceX的产品安全团队迅速解决这一问题并在其产品中实施BSSID随机化的举措。 Rye透露：“在我们的研究期间，一些厂商的产品已经开始实施BSSID随机化，但星链对安全的重视程度显然更高；与研究者交流后，星链加快了在所有星链设备上实施的步伐。值得注意的是，这一漏洞并非由SpaceX引起（他们无法控制苹果或谷歌的行为），但他们仍然及时且正确地解决了这一问题。” 研究人员还通知了旅行路由器制造商GL-iNet，但该公司反应不积极。Rye表示：“他们承认了研究者的担忧以及随机化BSSID的解决方案，但告诉我们他们没有计划部署该防御措施。” Rye计划在8月的黑帽大会上展示这篇论文。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16457.html 封面来源于网络，如有侵权请联系删除

GitLab 修补了一个高严重性漏洞，未经身份验证的攻击者可以利用该漏洞通过跨站点脚本 (XSS) 攻击接管用户帐户。 该安全漏洞（跟踪为CVE-2024-4835）是 VS 代码编辑器（Web IDE）中的一个 XSS 弱点，它允许攻击者使用恶意制作的页面窃取受限信息。 虽然他们可以在不需要身份验证的攻击中利用此漏洞，但仍然需要用户交互，从而增加了攻击的复杂性。 GitLab发布 GitLab 社区版（CE）和企业版（EE）的 17.0.1、16.11.3 和 16.10.6 版本以修复漏洞。GitLab官方建议所有 GitLab 用户立即升级到其中一个版本。 周三，该公司还修复了其他六个中等严重程度的安全漏洞，包括通过 Kubernetes 代理服务器的跨站点请求伪造 (CSRF) (CVE-2023-7045) 和一个可能让攻击者破坏 GitLab Web 资源加载的拒绝服务漏洞 (CVE-2024-2874)。 安全公告链接：https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/ 旧账户劫持漏洞被积极利用 GitLab 是一个受黑客欢迎的攻击目标，它以托管各种类型的敏感数据而闻名，包括 API 密钥和专有代码。 如果攻击者在 CI/CD（持续集成/持续部署）环境中插入恶意代码，危及组织的存储库，那么被劫持的 GitLab 帐户可能会产生重大影响，包括供应链攻击。 正如 CISA 本月早些时候警告的那样，攻击者目前正在积极利用 GitLab 在一月份修补的另一个零点击账户劫持漏洞。安全漏洞编号为 CVE-2023-7028，允许未经身份验证的攻击者通过密码重置来接管 GitLab 帐户。 尽管 Shadowserver在 1 月份发现了超过 5,300 个易受攻击的 GitLab 实例在线暴露，目前仍有一半未修复，可访问的还2,084 个。 CISA于 5 月 1 日将 CVE-2023-7028 添加到其已知被利用漏洞目录中，要求美国联邦机构在 5 月 22 日之前的三周内保护其系统。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Iy51an0r5EXNuAHzvmXgQQ 封面来源于网络，如有侵权请联系删除

近日，数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山，黑客能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头，为开发人员和管理人员提供产品，该公司拥有 10000 多名员工，2023 年报告的收入超过 35 亿美元。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683（ CVSS 得分为 8.3），经过仔细分析得出，黑客可以对受影响的系统实施远程代码执行 (RCE) 攻击。 Cyber news 安全研究小组表示，鉴于很多企业正在使用 Atlassian Confluence Data Center 和 Confluence Server 服务，以帮助其团队协同工作和共享信息。这样的话，黑客就可以利用 CVE-2024-21683 安全漏洞侵入受影响的系统，并盗取受害者大量数据信息。 更为糟糕的是，CVE-2024-21683 安全漏洞不仅允许未经验证的黑客执行任意代码，而且不需要用户交互。 大量 Atlassian 实例暴露在互联网上 值得一提的是，虽然 Atlassian 收到 根据 Cybernews 的勒索软件监控工具 Ransomlooker 的数据，平均赎金要求为 530 万美元，因此尽快修复任何具有 RCE 功能的漏洞至关重要。报告后，便立刻针对两个受影响的服务发布了修复程序。然而，其安全团队还是发现数十万个易受攻击的实例暴露在互联网上，不断”诱惑“威胁攻击者发动网络攻击活动。 Cyber news 的安全研究人员指出，共有多达 224962 个数据中心和服务器实例暴露在互联网上，威胁攻击者可以利用 CVE-2024-21683 安全漏洞侵入受害者的网络系统中，一旦有了“立足点”，就可以轻松获得对系统的完全控制，随意安装恶意软件、访问敏感数据以及操纵系统配置。 此外， Atlassian 暴露的实例还危及到很多普通用户。研究人员认为，黑客可以窃取受害者登录凭证，从而侵入 Atlassian 账户和其他重复使用相同凭证的账户。 对此，研究人员强调，RCE 漏洞是高级勒索软件团伙经常使用的一种攻击载体，可以获得进入目标系统的初始入口，帮助勒索软件团伙开展攻击活动，（ Cyber news 勒索软件监控工具 Ransomlooker 的数据显示，勒索攻击事件平均赎金为 530 万美元）因此尽快修复任何具有 RCE 功能的安全漏洞非常重要。 以著名勒索软件 Cl0p 为例， 该组织曾经利用 Progress 软件公司 MOVEit Transfer 软件中一个零日漏洞（现已修复），入侵了受害者的内部系统，非法访问、盗取大量敏感数据，数千家机构和数千万人受到影响，造成数千万美元的损失。 最后，安全研究人员深入分析后发现，Atlassian Confluence Data Center 和 Confluence Server 出现安全漏洞后，仍旧有五个国家/地区托管了一半易受攻击的实例。其中，美国拥有最多的可能易受攻击的实例，为53195个，另有22007个易受攻击的实例被追踪到日本。 与此同时，南非、法国和德国各自托管了超过 11000 个暴露的未打补丁的 Confluence 服务。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401663.html 封面来源于网络，如有侵权请联系删除

近日，在产品接连曝出多个严重漏洞后，工业自动化巨头罗克韦尔（Rockwell Automation）向其全球客户发出紧急通知，要求他们立即采取行动切断所有未设计用于连接互联网的工业控制系统(ICS)与互联网的连接，原因是全球地缘政治局势紧张，（针对罗克韦尔设备的）网络攻击活动日益猖獗。 罗克韦尔表示，网络安全人员绝不应将此类工控系统设备配置为允许来自本地网络以外的系统远程连接。通过断开互联网连接，企业可以大幅减少自身遭受攻击的风险面，确保黑客组织Akteure（德语，意为行动者，此处指网络攻击者）无法直接访问尚未修复安全漏洞的罗克韦尔工控系统，从而阻止攻击者获取目标内部网络的访问权限。 罗克韦尔在通知中指出：“断开网络连接作为积极防御措施，可以缩小攻击面，并能立即降低来自外部威胁Akteure的未授权恶意网络活动风险。” 罗克韦尔还提醒客户采取必要的缓解措施，以保护其设备免受以下影响Rockwell ICS设备的安全漏洞的攻击（其中包括五月份最新披露的多个严重漏洞）： 美国网络安全和基础设施安全局(CISA)也在今天发布了警报，重点强调了罗克韦尔关于减少ICS设备遭受网络攻击的新指南。 本月初，包括美国国家安全局、联邦调查局、CISA以及加拿大和英国的网络安全机构在内的一些美国联邦机构警告称，亲俄黑客组织可能会通过入侵不安全的OT系统来扰乱关键基础设施运营。 其中一个名为“俄罗斯网络军团”的组织，被Mandiant公司关联到沙虫组织（Sandworm），后者据称是俄罗斯联邦对外情报局(GRU)的一个黑客组织，也是俄罗斯的对外军事情报机构。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/_klILoB3Kk2Hl0FV-pzkkA 封面来源于网络，如有侵权请联系删除

近日，安全研究人员披露了GitHub企业服务器（GHES）的关键漏洞（CVE-2024-4985，cvss得分：10.0），该漏洞允许未经授权的攻击者，在不需要预先认证的情况下访问GHES实例。漏洞影响所有GHES 3.13.0之前的版本，并在3.9.15、3.10.12、3.11.10和3.12.4版本中得到修复。 目前GitHub已经推出了修复措施，没有发现该漏洞已经被大规模利用，用户可将GHES更新到已修补的版本（3.9.15、3.10.12、3.11.10、3.12.4或更高版本）。如果无法立即更新，考虑暂时禁用SAML认证或加密断言功能作为临时缓解措施。 GHES是一个自托管的软件开发平台，允许组织使用Git版本控制存储和构建软件，并自动化部署流程。 该漏洞利用了GHES处理加密的SAML声明的方式中的一个缺陷。攻击者可以创建一个包含正确用户信息的假SAML声明。当GHES处理一个假的SAML声明时，它将无法正确验证其签名，从而允许攻击者访问GHES实例。 成功利用这个漏洞可能允许未经授权的攻击者获得对GHES实例的完全管理控制权，使他们能够访问所有数据并在系统上执行任何操作。 GitHub进一步指出，默认情况下不启用加密断言，而且此漏洞不影响那些不使用SAML单一登录（SSO）或使用SAML SSO认证但没有加密断言的实例。加密断言允许网站管理员通过在认证过程中对SAML身份提供者（IdP）发送的消息进行加密，来提高GHES实例的安全性。 附PoC <Assertion ID="1234567890" IssueInstant="2024-05-21T06:40:00Z" Subject="CN=John Doe,OU=Users,O=Acme Corporation,C=US">   <Audience>https://your-ghes-instance.com</Audience>   <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:assertion:method:bearer">     <SubjectConfirmationData>       <NameID Type="urn:oasis:names:tc:SAML:2.0:nameid-type:persistent" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:basic">jdoe</NameID>     </SubjectConfirmationData>   </SubjectConfirmation>   <AuthnStatement AuthnInstant="2024-05-21T06:40:00Z" AuthnContextClassRef="urn:oasis:names:tc:SAML:2.0:assertion:AuthnContextClassRef:unspecified">     <AuthnMethod>urn:oasis:names:tc:SAML:2.0:methodName:password</AuthnMethod>   </AuthnStatement>   <AttributeStatement>     <Attribute Name="urn:oid:1.3.6.1.4.1.11.2.17.19.3.4.0.10">Acme Corporation</Attribute>     <Attribute Name="urn:oid:1.3.6.1.4.1.11.2.17.19.3.4.0.4">jdoe@acme.com</Attribute>   </AttributeStatement> </Assertion>   转自FreeBuf，原文链接：https://www.freebuf.com/news/401583.html 封面来源于网络，如有侵权请联系删除