日前，代码托管网站 GitHub 被曝高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。 用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 例如上传到 GitHub 的文件 URL 地址可以表明来自微软，但事实上该项目代码中从未提及相关内容，IT 之家附上两个案例如下： https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip 而且该漏洞并不需要任何复杂的专业技术，只需要上传恶意文件到指定 comment 即可。攻击者可以在任何受信任的存储库中上传恶意软件，然后通过 GitHub 链接进行分发。 而且这些链接属于 GitHub 官方 URL 域名，且后缀是“Microsoft”等官方储存库，因此用户很大几率认为该 URL 下载链接的内容是正规安全的。 GitHub 目前已经删除了部分恶意软件链接，对尚未完全修复该漏洞。对于开发者而言，现阶段没有足够有效的方法阻止这种滥用，唯一的方案就是完全禁用 comment。     转自FreeBuf，原文链接：https://www.freebuf.com/news/399336.html 封面来源于网络，如有侵权请联系删除

SafeBreach 研究人员 Or Yair 设计了一种技术，利用 DOS 到 NT 路径转换过程中的漏洞，在 Windows 上实现类似 rootkit 的功能。 当用户在 Windows 中执行带有路径参数的函数时，文件或文件夹的 DOS 路径将转换为 NT 路径。在此转换过程中出现了一个已知问题，即该函数从任何路径元素中删除尾随点，并从最后一个路径元素中删除尾随空格。此行为在 Windows 中的大多数用户空间 API 中都是一致的。 利用此已知问题的专家发现了以下漏洞： CVE-2023-36396，Windows 压缩文件夹远程代码执行漏洞 RCE 漏洞存在于 Windows 针对所有新支持的存档文件类型的新提取逻辑中。该专家制作了一个恶意档案，一旦提取，该档案就会写入他选择的远程计算机上的任何位置，从而导致代码执行。 CVE-2023-32054，卷影复制特权提升漏洞 可以利用此漏洞来获取正在运行受影响应用程序的用户权限。研究人员发现了两个特权提升 (EoP) 漏洞。CVE -2023-32054允许在没有所需权限的情况下写入文件，方法是从卷影副本操纵先前版本的恢复过程，以及另一个允许在没有所需权限的情况下删除文件的恢复过程。 “除了引导我发现这些漏洞之外，MagicDot 路径还赋予了我类似 rootkit 的能力，任何非特权用户都可以访问这些能力。”Or Yair写道。“我发现恶意行为者（没有管理员权限）如何隐藏文件和进程、隐藏存档中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、禁用 Process Explorer具有拒绝服务 (DoS) 漏洞等等。” 用户空间 Rootkit 旨在拦截用户空间 API 调用、执行原始函数、过滤掉恶意数据并将更改后的信息返回给调用者。攻击者需要管理员权限才能运行此类 Rootkit，因为他们需要通过在具有提升权限的进程中进行操作来向用户（包括管理员）隐藏自己的存在。 内核 Rootkit 在内核中运行并尝试拦截系统调用，从而更改返回给请求该信息的用户空间进程的信息。 运行内核 Rootkit 需要访问内核，通常需要管理权限并克服各种安全措施，例如补丁防护、驱动程序签名强制、驱动程序阻止列表和 HVCI。因此，内核 Rootkit 的流行率显著下降。 Or Yair 于 2023 年向微软安全响应中心（MSRC）报告。微软承认了这些问题，并采取了以下行动： 远程代码执行（CVE-2023-36396，CVSS：7.8）：由 Microsoft 修复。 权限提升（写入）（CVE-2023-32054，CVSS：7.3）：由 Microsoft 修复。 权限提升（删除）：该漏洞已被微软重现并确认。不过，该公司并未发布 CVE 或修复程序。以下是微软的回应。“再次感谢您向 Microsoft 提交此问题。我们确定此问题不需要立即提供安全服务，但确实揭示了意外行为。该产品或服务的未来版本将考虑解决此问题。” Process Explorer 非特权 DOS 反分析 (CVE-2023-42757)：由 Process Explorer 工程团队在版本 17.04 中修复。MITRE 为该漏洞保留了 CVE-2023-42757。MITRE 已向 Microsoft 确认了该漏洞，并将在在线发布详细信息后发布 CVE。 “这项研究首次探讨了如何利用看似无害的已知问题来开发漏洞，并最终构成重大安全风险。我们相信，这些影响不仅与 Microsoft Windows 相关，而且与所有软件供应商相关，其中大多数供应商也允许已知问题在其软件版本之间持续存在。”Or Yair 总结道。（详情）   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rSackBlb-DECGTuk4-xm_A 封面来源于网络，如有侵权请联系删除

近日，思科针对集成管理控制器 (IMC) 中的一个关键漏洞发布了概念验证 (PoC) 漏洞利用程序。该漏洞被识别为 CVE-2024-20356，允许命令注入，可使攻击者获得受影响系统的 root 访问权限。 漏洞概述 该漏洞存在于思科集成管理控制器（IMC）基于网络的管理界面中，而 IMC 是用于远程管理思科硬件的重要组件。 根据思科发布的官方安全公告，该漏洞是由于 IMC 界面的用户输入验证不足造成的，这一疏忽导致拥有管理权限的经过验证的远程攻击者能够注入恶意命令。 受影响的产品包括一系列思科服务器和计算系统，主要有： 5000 系列企业网络计算系统 (ENCS) Catalyst 8300 系列边缘 uCPE 独立模式下的 UCS C 系列 M5、M6 和 M7 机架式服务器 UCS E 系列服务器 UCS S 系列存储服务器 漏洞利用的技术细节 Nettitude 安全研究人员表示，利用程序涉及多个步骤，攻击者通过 Web 界面发送精心制作的命令，就可以在思科硬件的底层操作系统上以 root 权限执行任意代码。 名为 “CISCown “的 PoC 漏洞利用程序是 Nettitude 开发的工具包的一部分，可在 GitHub 上下载，它通过目标 IP、用户名和密码等参数实现漏洞的自动化利用。该工具包还可用于测试漏洞，允许在受影响设的备上部署 telnetd root shell 服务。 这一 PoC 漏洞的发布标志着使用思科受影响产品的企业面临着严重的威胁。因为获得 root 访问权限后攻击者就可能完全控制硬件，导致数据被盗、系统宕机，甚至进一步的网络破坏。 为此，思科已发布软件更新来解决这一漏洞，强烈建议所有受影响的企业立即更新，确保系统安全。 针对 CVE-2024-20356 的 PoC 漏洞利用的发布凸显了保护复杂网络环境安全所面临的持续挑战，用户和管理员应访问思科官方安全公告页面和托管漏洞利用工具包的 Nettitude GitHub 存储库，了解更多详细信息并及时更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/398701.html 封面来源于网络，如有侵权请联系删除

自3 月 26 日以来，Palo Alto Networks防火墙产品受到了疑似由国家支持的黑客攻击，近日，该企业披露了黑客进行攻击所利用漏洞的更多细节。 该漏洞被追踪为 CVE-2024-3400，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。 攻击示意图 利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。 目前Palo Alto Networks已经列出了需要打补丁的PAN-OS防火墙系统版本： PAN-OS 10.2.9-h1 PAN-OS 10.2.8-h3 PAN-OS 10.2.7-h8 PAN-OS 10.2.6-h3 PAN-OS 10.2.5-h6 PAN-OS 10.2.4-h16 PAN-OS 10.2.3-h13 PAN-OS 10.2.2-h5 PAN-OS 10.2.1-h2 PAN-OS 10.2.0-h3 PAN-OS 11.0.4-h1 PAN-OS 11.0.4-h2 PAN-OS 11.0.3-h10 PAN-OS 11.0.2-h4 PAN-OS 11.0.1-h4 PAN-OS 11.0.0-h3 PAN-OS 11.1.2-h3 PAN-OS 11.1.1-h1 PAN-OS 11.1.0-h3 鉴于 CVE-2024-3400 漏洞正被积极滥用以及概念验证 （PoC） 漏洞利用代码的可用性，建议用户尽快采取措施进行修补，以防范潜在威胁。 美国网络安全和基础设施安全局 （CISA） 还将该漏洞添加到其已知利用漏洞 （KEV） 目录中，命令联邦机构在 2024 年 4 月 19 日之前保护其设备。 根据 Shadowserver 基金会共享的信息，大约 22542 台暴露于互联网的防火墙设备可能容易受到该漏洞的攻击。截至 2024 年 4 月 18 日，大多数设备位于美国、日本、印度、德国、英国、加拿大、澳大利亚、法国和中国。   转自Freebuf，原文链接：https://www.freebuf.com/news/398643.html 封面来源于网络，如有侵权请联系删除

CrushFTP 是一款文件传输服务器软件，可实现安全高效的文件传输功能。它支持FTP、SFTP、FTPS、HTTP、HTTPS、WebDAV和WebDAV SSL协议等各种功能，允许用户在不同的网络上安全地传输文件。CrushFTP 还提供对自动化、脚本、用户管理和广泛的自定义选项的支持，以满足企业和组织的多样化需求。 CrushFTP 已通知用户，虚拟文件系统逃逸漏洞会影响其 FTP 软件，该漏洞可能使用户能够下载系统文件。 “低于 11.1 的 CrushFTP v11 版本存在一个漏洞，用户可以逃避其 VFS 并下载系统文件。此问题已在 v11.1.0 中修复。在其主 CrushFTP 实例前面使用DMZ的客户 将受到其使用的协议转换系统的保护。”官方漏洞通告中这样描述。 空客 CERT 的 Simon Garrelou 发现了该漏洞。 Crowdstrike 研究人员发现，攻击者在野外针对性攻击中利用了这个关键的0day漏洞。 “2024 年 4 月 19 日，CrushFTP 告知其 FTP 软件中存在虚拟文件系统逃逸漏洞，该漏洞可能允许用户下载系统文件。Falcon OverWatch 和 Falcon Intelligence 观察到该漏洞正在以有针对性的方式在野外使用。” 详情可参考Crowdstrike 在 Reddit 上发表的一篇文章。该漏洞尚未获得 CVE。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rzp2Fpqx_cds-jhuKSi3hA 封面来源于网络，如有侵权请联系删除

研究人员发现，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。 虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补，但由于缺乏 CVE 标识符或建议，这意味着它被 AMI MegaRAC BMC 的开发人员忽视，最终出现在产品中由英特尔和联想提供。 Lighttpd（发音为“Lighty”）是一款开源高性能 Web 服务器软件，专为速度、安全性和灵活性而设计，同时针对高性能环境进行了优化，且不会消耗大量系统资源。 Lighttpd 的静默修复涉及越界读取漏洞，该漏洞可用于泄露敏感数据，例如进程内存地址，从而允许威胁参与者绕过地址空间布局随机化 ( ASLR ) 等关键安全机制。 该固件安全公司表示：“缺乏有关安全修复的及时和重要信息，阻碍了固件和软件供应链上这些修复的正确处理。” 缺陷描述如下—— Intel M70KLP 系列固件中使用的 Lighttpd 1.4.45 中的越界读取 Lenovo BMC 固件中使用的 Lighttpd 1.4.35 中的越界读取 1.4.51 之前的 Lighttpd 中的越界读取 英特尔和联想选择不解决该问题，因为包含 Lighttpd 易受影响版本的产品已达到生命周期结束 (EoL) 状态，不再有资格进行安全更新，从而实际上将其变成了永远的错误。该披露强调了最新版本固件中过时的第三方组件如何穿越供应链并给最终用户带来意想不到的安全风险。 研究人员补充道：“这是某些产品中永远无法修复的另一个漏洞，并将在很长一段时间内给行业带来高影响风险。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/ORiQEaUS6folKzT2_KlK6A 封面来源于网络，如有侵权请联系删除

近日，美国伊利诺伊大学厄巴纳-香槟分校（UIUC）的四位计算机科学家在一篇新发布的论文中指出，只需提供描述漏洞的 CVE 公告，OpenAI 的 GPT-4 大语言模型便可以成功地利用现实世界真实存在的安全漏洞。 这项新研究建立在先前发现的 LLMs 可以在受控环境中用于自动攻击网站的基础上，研究过程共收集了 15 个 1day 漏洞（已披露但尚未修补的漏洞），研究人员发现，当提供其 CVE 描述时，GPT-4 能够成功利用这些漏洞之中的 87%，而其他测试的模型（如 GPT-3.5、一些开源 LLMs 以及专门设计的漏洞扫描器）则无法利用任何漏洞。目前因欠缺条件未对 GPT-4 的两个主要商业竞争对手—— Anthropic 的 Claude 3 和 Google 的 Gemini 1.5 Pro 进行测试。 这 15 个测试样本中，GPT-4 仅未能成功利用其中两个：Iris XSS（CVE-2024-25640）和Hertzbeat RCE（CVE-2023-51653）。前者是由于 Iris 网络应用程序具有极难导航的界面，后者则是由于漏洞详细描述为中文不便于理解操作。研究人员认为，未来的模型很可能比现今的黑客更有实力且更具性价比，他们计算了成功进行 LLM 代理攻击的费用，得出的结果是每次攻击的成本为 8.80 美元，比雇佣人类渗透测试员的成本要低得多。 论文作者还表示，这项研究最终仅包含 91 行代码和 1056 个提示词。OpenAI 已明确要求论文作者不得公开他们用于这个实验的提示——作者对此同意，但也表示他们会根据收到的请求提供，他们乐于促进合作，以在这个新兴的人工智能驱动的网络安全领域取得进一步进展。 论文链接：https://arxiv.org/pdf/2404.08144.pdf   转自安全内参，原文链接：https://www.secrss.com/articles/65375 封面来源于网络，如有侵权请联系删除

据称，有黑客利用未打补丁的 Atlassian 服务器并部署 Cerber 勒索软件的 Linux 变体（也称为 C3RB3R）。 此次攻击利用了Atlassian Confluence 数据中心和服务器中的一个严重安全漏洞 CVE-2023-22518，未经身份验证的攻击者能够重置 Confluence 并创建管理员帐户。 有了这种访问权限，黑客冒着失去机密性、完整性和可用性的风险去控制系统。出于经济动机的网络犯罪团伙利用新创建的管理员帐户安装 Effluence Web shell 插件，从而能够执行任意命令。 Cado 的威胁情报工程师内特·比尔 (Nate Bill) 在周二发表的博客文章中谈论了此次事件。他指出，主要的 Cerber 有效负载在“confluence”用户下执行，且将其加密范围限制为该用户拥有的文件。 Rapid7 曾于2023 年 11 月标记过此漏洞。 该勒索软件的核心组件是用 C++ 编写的，它是很多同样用 C++ 编写的有害软件的载体。该附加软件是从攻击者控制的中央服务器中获取的。 一旦其任务完成，主要的勒索软件组件就会被系统删除。而其他两个被涉及到的组件中：一个检查勒索软件是否具有必要的权限，而另一个则对计算机上的文件进行加密，让它们在支付赎金之前无法访问。 尽管勒索信中有声称会有数据泄露，但并没有发生。 Bill 表示，在转向 Golang 和 Rust 等跨平台语言的过程中，纯 C++ 有效负载的主导地位是值得注意的。 这位安全研究人员强调了Cerber 的复杂性，但也指出了特别是在配置良好且具有备份的系统中，仅加密 Confluence 数据的局限性，从而降低了受害者付费的动力。 这些发展与针对 Windows 和 VMware ESXi 服务器的新勒索软件系列的出现处在同时期。此外，勒索软件攻击者正在使用泄露的 LockBit 勒索软件源代码定制变体，这也突显了员工需要准备强力的安全措施、具备强大的网络安全文化。   转自安全客，原文链接：https://www.anquanke.com/post/id/295752 封面来源于网络，如有侵权请联系删除

流行开源 SSH 客户端 PuTTY 近日发布了重要安全更新，修复了一个可泄露用户加密密钥的严重漏洞。受影响的 PuTTY 版本号为 0.68  至 0.80，最新的 PuTTY 0.81 修复了此漏洞。 依赖受影响 PuTTY 版本的其他程序（例如 FileZilla、WinSCP、TortoiseGit 和 TortoiseSVN）也存在漏洞。这些产品也提供了相应的补丁程序或缓解措施。 PuTTY 是一款用于 SSH、Telnet 等网络协议的开源客户端程序，可帮助用户连接远程服务器并传输文件。德国鲁尔大学的两位研究人员发现，PuTTY 客户端及其相关组件在使用“NISTP-521”的情况下，会“生成严重偏差的 ECDSA 随机数(nonce)”，从而导致私钥泄露。该漏洞编号为 CVE-2024-31497。 研究人员解释说：“恶意行为者只要监测到由使用相同密钥的任何 PuTTY 组件生成的大约 60个有效 ECDSA 签名，就能够完全恢复 NISTP-521 密钥的私钥。” 研究人员指出，这些所需的签名可以通过恶意服务器窃取，也可以来自其他来源，例如签名的 Git 提交记录。 研究人员警告说：“即使修复了源代码中的漏洞后攻击仍能进行（假设对手拥有大约60个漏洞未修复时的签名），因此所有用于 PuTTY 的 NIST P-521 客户密钥都应被视为已泄露。” PuTTY 开发人员也发布安全报告并解释说：“攻击者只需拥有几十条签名消息和公钥，就足以恢复私钥，然后伪造签名，冒充用户的身份进行登录操作（例如，登录您使用该密钥的任何服务器）。为了获得这些签名，攻击者只需短暂攻破用来验证密钥的服务器，或暂时访问保存密钥的 Pageant 程序的副本即可。” PuTTY 开发人员敦促用户立即撤销受影响的密钥。美国国家标准与技术研究院(NIST)国家漏洞数据库中的 CVE-2024-31497 条目警告称，该漏洞可能导致供应链攻击。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16183.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）发布了一则警告，指出 Chirp Systems 智能锁存在一个“低攻击复杂性”的远程漏洞，攻击者可以远程解锁智能锁并物理渗透受保护的位置。 该漏洞是由 Chirp Android 应用程序硬编码密码和私钥造成的。这些数据可用于访问智能锁提供商 August 的 API，从而远程控制锁。据称，Chirp 系统已经拥有超过 50,000 个用户。 Chirp 的软件允许控制与 August 和 Yale 等公司的产品兼容的锁，后者是瑞典公司 Assa Abloy 旗下的产品。 根据 CVSS（通用漏洞评分系统）的评估，该漏洞 ID 为 CVE-2024-2197，严重程度评为 9.1 分（满分 10 分）。CISA 也因此发布了警告，指出 Chirp 尚未采取必要措施修复该漏洞。 这个问题是由 Amazon Web Services 的工程师 Matt Brown 发现的。他在家里安装了这种锁后开始研究 Chirp 应用程序。据他介绍，修复该漏洞并不困难，但由于某种原因，制造公司对此并没有表现出兴趣。 此外，Chirp 还提供 NFC 密钥作为应用程序的替代方案。但由于它以明文形式传输数据，因此无法免受远程攻击。为了能使用这把并不可靠的钥匙，Brown 不得不支付 50 美元。工程师建议拥有通过 Chirp 控制智能锁的人使用额外的机械锁来增强安全性。 最近几个月，与智能锁相关的漏洞变得相当多。例如德国宜必思连锁酒店的锁，在自助服务终端上使用六个破折号就能打开所有门；甚至更早之前，Saflock 锁也出现了漏洞，该锁可以使用廉价的 RFID 读卡器/写卡器轻松打开。   转自安全客，原文链接：https://www.anquanke.com/post/id/295702 封面来源于网络，如有侵权请联系删除