近日，英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞，源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。 Lighttpd是一款开源Web服务器，以轻量级、快速且高效而闻名，非常适合高流量网站，同时消耗较少的系统资源。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服务器硬件中。 漏洞潜伏六年，服务器供应链安全堪忧 安全公司Binarly的研究人员近日证实，英特尔、联想和超微（Supermicro）等公司销售的服务器硬件中存在一个潜伏长达6年的漏洞，可被黑客利用泄露关键安全信息。研究人员进一步警告，任何使用美国佐治亚州Duluth公司（AMI）或中国台湾省AETN生产的特定型号的BMC（基板管理控制器）的服务器硬件都会受到影响。 BMC是焊接在服务器主板上的微型计算机，被云计算中心（有时也包括其客户）用于远程管理庞大的服务器集群。管理员可通过BMC远程重新安装操作系统、安装和卸载应用程序，并可几乎完全控制系统——即使服务器处于关闭状态。BMC成就了业界所称的“无灯”系统管理，AMI和AETN是众多BMC制造商中较为知名的两家。 多年来，很多品牌的BMC产品都集成了存在漏洞的开源软件lighttpd，后者是一个快速轻量级的Web服务器，兼容各种硬件和软件平台。lighttpd被广泛用于各种产品，包括嵌入式设备（例如BMC），允许远程管理员通过HTTP请求远程控制服务器。 2018年，lighttpd开发人员发布了一个新版本，修复了“各种释放后利用场景”，这是一个含糊其辞的描述，实际是修复了一个可远程利用的堆越界（OOB）读取漏洞，但由于开发人员并未在更新中使用“漏洞”一词，也没有按照常规操作分配CVE漏洞编号，这导致AMI Mega RACBMC的开发人员错过了修复并未能将其集成到产品中。结果，该漏洞沿着供应链蔓延到系统供应商及其客户： Binarly研究人员表示，lighttpd的漏洞被修复后，包括AMI和ATEN在内的BMC制造商仍在使用受影响的lighttpd版本，并且这种情况持续了多年，多家服务器厂商在过去几年间继续将存在漏洞的BMC整合到硬件中。Binarly识别出其中三家服务器制造商：英特尔、联想和超微（Supermicro）。 “多年来，（lighttpd漏洞）一直存在于固件中，没有人关心更新用于BMC固件镜像的第三方组件，”Binarly研究人员写道：“这又是固件供应链管理缺乏一致性的典型案例，最新版本的固件中存在一个严重过时的第三方组件，为最终用户带来了额外的风险。估计业界还有更多使用易受攻击的lighttpd版本的服务器系统。” 操作系统会通过地址空间布局随机化(ASLR)来隐藏处理关键功能的敏感内存地址，以防止被用于软件漏洞利用。研究人员表示，虽然lighttpd只是一个中危漏洞，但是结合其他漏洞，黑客能够绕过ASLR的保护，识别负责处理关键功能的内存地址。 漏洞广泛存在但难以修复 跟踪多种服务器硬件中的各种BMC组件供应链很困难。到目前为止，Binarly已经识别出AMI的MegaRAC BMC是易受攻击的BMC之一。Binarly发现AMI从2019年到2023年期间未应用Lighttpd修复程序，导致这些年来数以万计易受远程可利用漏洞攻击的设备推出。 已知受影响设备的供应商包括英特尔和联想。Binarly公司指出，最近于2023年2月22日发布的一些英特尔系统也包含易受攻击的组件。有关ATENBMC的信息目前尚不可用。 威胁分析师根据Lighttpd漏洞对不同供应商和设备的影响，为其分配了三个内部标识符： BRLY-2024-002：英特尔M70KLP系列固件版本01.04.0030（最新）中使用的Lighttpd版本1.4.45中存在特定漏洞，影响某些英特尔服务器型号。 BRLY-2024-003：联想服务器型号HX3710、HX3710-F和HX2710-E中使用的LenovoBMC固件版本2.88.58（最新）内的Lighttpd版本1.4.35中存在特定漏洞。 BRLY-2024-004：LighttpdWeb服务器版本1.4.51之前的一般漏洞，允许从服务器的进程内存读取敏感数据。 根据Binarly的报告，英特尔和联想均表示受影响服务器型号已达到产品使用寿命（EOL），不再接收安全更新。换而言之，英特尔和联想均不计划发布修复程序，这意味着这些服务器硬件在退役之前可能仍然容易受到攻击。（超微的受影响产品仍获得支持） 更糟糕的是，Binarly声称有“大量”易受攻击且公开可用的BMC设备已达到使用寿命，并且由于缺乏补丁而将永远保持易受攻击的状态。 研究人员表示，服务器行业对该漏洞反应冷淡，未能成功联系到lighttpd开发人员和大多数受影响的服务器硬件制造商，一位AMI代表则拒绝评论漏洞。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/sUtrNIuUFq2tIo_cpYOUrQ 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员披露了针对英特尔系统上 Linux 内核的首个原生 Spectre v2 漏洞，该漏洞是2018 年曝出的严重处理器“幽灵”（Spectre）漏洞 v2 衍生版本，利用该漏洞可以从内存中读取敏感数据，主要影响英特尔处理器 + Linux 发行版组合设备。 阿姆斯特丹自由大学系统与网络安全小组（VUSec）的研究人员在一份新的研究报告中提到，该漏洞被称为 “本地分支历史注入漏洞”，被追踪为 CVE-2024-2201。此漏洞可以绕过现有的 Spectre v2/BHI 缓解措施，以 3.5 kB/sec 的速度泄漏任意内核内存。 现阶段很难有效修复 Spectre v2 漏洞，这和处理器现有的推测执行（Speculative execution）机制有关。 推测执行是一种性能优化技术，现代处理器会猜测下一步将执行哪些指令，并提前执行从而加快响应速度。 VUSec 于 2022 年 3 月首次披露了 BHI，并将其描述为一种可以绕过英特尔、AMD 和 Arm 现代处理器中 Spectre v2 保护的技术。虽然该攻击利用了扩展的伯克利数据包过滤器（eBPF），但英特尔为解决该问题提出了禁用 Linux 非特权 eBPF的建议。 英特尔公司表示，特权管理运行时可以配置为允许非特权用户在特权域中生成和执行代码–例如Linux的’非特权eBPF’，这大大增加了瞬时执行攻击的风险，即使存在针对模式内分支目标注入的防御措施。 可以对内核进行配置，在默认情况下拒绝访问非特权 eBPF，同时仍允许管理员在需要时在运行时启用它”。原生 BHI 通过证明 BHI 无需 eBPF 即可实现，从而抵消了这一反制措施。它可能会影响所有易受 BHI 影响的英特尔系统。 访问 CPU 资源的攻击者可以通过安装在机器上的恶意软件影响推测执行路径，从而提取与不同进程相关的敏感数据。 CERT 协调中心（CERT/CC）在一份公告中提到：禁用特权 eBPF 和启用（Fine）IBT 的现有缓解技术目前不足以阻止针对内核/管理程序的 BHI 攻击。未经认证的攻击者可以利用这个漏洞，通过投机性跳转到所选的小工具，从 CPU 泄漏特权内存。 Spectre v2 漏洞利用 经证实，该漏洞已经影响到了 Illumos、英特尔、红帽、SUSE Linux、Triton Data Center 和 Xen等多个系统。 据悉，该漏洞是 Spectre v1 的一个变种，能够通过利用推测执行和竞争条件的组合泄漏 CPU 架构的数据。 苏黎世联邦理工学院（ETH Zurich）的最新研究披露了一系列被称为 “Ahoi攻击 “的攻击，这些攻击可用于破坏基于硬件的可信执行环境（TEE）和破解机密虚拟机（CVM），如AMD安全加密虚拟化-安全嵌套分页（SEV-SNP）和英特尔信任域扩展（TDX）。 这些代号为 Heckler 和 WeSee 的攻击利用恶意中断破坏CVM的完整性，允许威胁者远程登录并获得高级访问权限，以及执行任意读、写和代码注入以禁用防火墙规则和打开root shell。 研究人员表示：Ahoi 攻击是攻击者通过利用管理程序向受害者的vCPU注入恶意中断，并诱使其执行中断处理程序而实现的。这些中断处理程序可以产生全局效应，比如改变应用程序中的寄存器状态等等，攻击者可以触发这些中断处理程序，从而成功入侵受害者的CVM。 目前，英特尔更新了针对 Spectre v2 的缓解建议，现在建议禁用非特权扩展伯克利数据包过滤器（eBPF）功能、启用增强型间接分支限制猜测（eIBRS）和启用监控模式执行保护（SMEP）。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397580.html 封面来源于网络，如有侵权请联系删除

攻击者正在积极瞄准超过 92,000 个报废的 D-Link NAS设备，这些设备在线暴露且服务商并不提供针对远程代码执行 (RCE)0day漏洞的补丁方案。 此安全漏洞 ( CVE-2024-3273 ) 是通过硬编码帐户（用户名“messagebus”，密码为空）促成的后门以及通过“system”参数的命令注入问题造成的。 攻击者现在将这两个安全漏洞链接起来，部署 Mirai 恶意软件变体 ( skid.x86 )。Mirai 变体通常旨在将受感染的设备添加到可用于大规模分布式拒绝服务 (DDoS) 攻击的僵尸网络中。 据网络安全公司 GreyNoise和威胁监控平台 ShadowServer观察，这些攻击于周一开始。两周前，安全研究人员 Netsecfish在 D-Link 通知他们这些报废设备不会得到修补后披露了该漏洞。 Netsecfish 解释说：“所描述的漏洞影响多个 D-Link NAS 设备，包括 DNS-340L、DNS-320L、DNS-327L 和 DNS-325 等型号。” “成功利用此漏洞可能允许攻击者在系统上执行任意命令，从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务。” 当被问及是否会发布安全更新来修补这个0day漏洞时，D-Link 表示，他们不再支持这些报废 (EOL) NAS 设备。 D-Link 发言人称：“所有 D-Link NAS设备已终止其生命周期和服务寿命，并且与这些产品相关的资源已停止开发且不再受支持。” “D-Link 建议淘汰这些产品，并用接收固件更新的产品替换它们。” 该发言人补充说，这些 NAS 设备不具备自动在线更新或警报发送功能，因此无法通知所有者这些正在进行的攻击。 消息披露后，D-Link于周四发布了安全公告，通知用户该安全漏洞，并建议他们尽快淘汰或更换受影响的设备。 它还为旧设备创建了一个支持页面，警告所有者通过旧支持网站应用最新的安全和固件更新，尽管这并不能保护他们的设备免受攻击。 D-Link 警告说：“如果美国消费者违反 D-Link 的建议继续使用这些设备，请确保该设备具有最新的已知固件。” D-Link 没有说的是 NAS 设备不应在网上公开，因为它们通常是勒索软件攻击的目标，以窃取或加密数据。 近几个月来，其他 D-Link 设备（其中一些也已报废）已成为多个基于 Mirai 的 DDoS 僵尸网络 （其中一个 被追踪为 IZ1H9）的目标。该僵尸网络所有者不断致力于扩展它们的功能，添加新的漏洞和攻击目标。 D-link友讯科技股份有限公司是总部位于台北市的科技公司，专注于电脑网络设备的设计开发，自创“D-Link”品牌，主要提供消费者及企业所使用的无线网络和以太网硬件产品等网络通信设备与解决方案。在全世界44国设立82个营销据点，品牌营收近6亿美元。全球拥有超过一千六百名以上的员工。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QsdKKN9YigwsIRVktThkSw 封面来源于网络，如有侵权请联系删除

包括 Volt Typhoon 在内的多个黑客组织针对 IT 巨头 Ivanti 的三个漏洞进行网络犯罪活动。 美国网络安全和基础设施安全局 (CISA) 和多家世界领先的网络安全机构已发布有关这些漏洞的警告（标记为 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893），因为这些漏洞存在于世界各地的政府网络。 在周四发布的一份报告中，谷歌旗下的安全公司 Mandiant 表示，它正在跟踪利用这些漏洞的“多个活动集群”，这些漏洞影响了 Ivanti Connect Secure 和 Ivanti Policy Secure 网关。 研究人员表示，二月份，他们开始追踪一个被认为是 Volt Typhoon 的组织，该组织与 TAG-87 和 BRONZE SILHOUETTE 重叠，目标是美国的能源和国防部门。另外四个黑客组织自Ivanti 于 1 月 10 日公开披露以来也被发现利用这些漏洞。 “Mandiant 发现利用 CVE-2023-46805 和 CVE-2024-21887 进行经济动机的攻击者，这些攻击者可能会进行加密货币挖矿等操作。”谷歌旗下的安全公司Mandiant在报告中表示：发现五个不同的黑客组织利用这些漏洞的网络犯罪活动。 SPAWN 恶意软件家族图 该报告重点关注“五个黑客集群”，但只有一个（他们称之为 UNC5221）在 Ivanti 披露之前利用了 CVE-2023-46805 和 CVE-2024-21887。 UNC5330攻击路径图 Mandiant 表示，尚未发现任何 Volt Typhoon 成功入侵 Ivanti Connect Secure 的实例。 “该集群的活动于 2023 年 12 月开始，重点关注 Citrix Netscaler ADC，然后在2024年 1 月中旬公布详细信息后转向关注 Ivanti Connect Secure 设备。”他们说。“我们对学术、能源、国防和卫生部门进行了调查，这与 Volt Typhoon 过去对关键基础设施的兴趣是一致的。” 其他组织如果成功入侵一个组织，就会使用各种恶意软件，包括名为 TERRIBLETEA、PHANTOMNET、TONERJAM、SPAWNSNAIL、SPAWNMOLE 等的 Mandiant 恶意软件家族。 在事件调查过程中，Mandiant 发现了四个不同的恶意软件系列，它认为这些恶意软件系列被一起使用来创建“隐秘且持久”的后门，从而实现长期访问和避免检测。 黑客利用入侵来深入受害者网络，通常会继续攻击 Microsoft 和 VMware 的工具。 目前所有三个漏洞的补丁均已推出。Mandiant 报告发布前一天，Ivanti 首席执行官承诺对公司运营进行一系列变革，此前数月发生了影响世界各国政府的引人注目的事件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/khSEh7IJTdkZuvovMmTPkg 封面来源于网络，如有侵权请联系删除

根据瑞士IT安全评估公司Pentagrid的报告，德国以及其他欧洲国家的宜必思快捷酒店存在一个自助登记亭漏洞，可能导致键盘代码被暴露，从而使得入住房间的安全受到影响。 该漏洞首次于2023年底被Pentagrid的黑客团队在德国一家宜必思快捷酒店的自助入住终端中发现，但他们认为这一漏洞可能存在于其他宜必思快捷酒店中。 宜必思快捷品牌隶属于法国酒店业巨头雅高集团。据该公司网站称，宜必思快捷酒店在 20 个国家/地区拥有 600 家酒店。 根据Accor的通知，他们已经向受影响的设备推出了补丁，并在一个月内通知了Pentagrid。 受影响的自助服务终端允许宜必思快捷酒店的顾客自助登记入驻。原本只需输入预订ID就能拿到房间号和密码，但Pentagrid发现，输入一串特殊符号后，系统会列出所有预订，并显示房间号和密码。这些密码在客人入住期间都有效，所以攻击者有可能利用这个漏洞进入客人的房间。 安全公司的研究人员认为，这个问题可能是因为供应商忘记了关闭一个功能或者测试过程中出现了问题，而不是特意设计的。他们在谷歌上搜索了宜必思快捷酒店登记入住亭的图片，找到了德国和法国等地的数十个酒店的照片。但目前还不清楚哪个公司生产的信息亭存在问题。 攻击者要利用这个漏洞，需要亲自到达目标终端，并且在夜间设置设备以允许自助服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/295295 封面来源于网络，如有侵权请联系删除

德国联邦信息安全办公室 (BSI) 发布警报，称该国至少 17,000 台 Microsoft Exchange 服务器容易受到一个或多个严重漏洞的影响。 BSI 还补充说，有大量规模相当的 Exchange 服务器存在潜在漏洞，但数量未报告。 BSI 敦促运行易受攻击实例的运营商安装可用的安全更新并安全地配置它们。 网络犯罪分子和APT组织利用众多漏洞进行恶意活动，包括恶意软件活动和网络间谍活动。 大多数受影响的组织是学校和大学等教育机构、诊所和医生诊所等医疗机构、护理服务机构、法律和税务咨询公司、地方政府和众多中型企业。 列出的服务器中有 12% 正在运行不再受支持的 Exchange Server 版本，所有服务器中约有 25% 使用缺乏安全补丁的 Exchange 2016 和 2019。 “目前，德国大约 45,000 台 Microsoft Exchange 服务器可以不受限制地通过 Internet 访问。根据 BSI 目前的调查结果，其中大约 12% 已经过时，微软已不再为其提供安全更新。大约 25% 的服务器运行 Exchange 2016 和 2019，补丁版本已过时。在这两种情况下，服务器都容易受到几个严重漏洞的影响。” BSI 发布的警报警告说：“这意味着至少有 37% 的可通过 Internet 公开访问的 Microsoft Exchange 服务器容易受到攻击。” 德国机构还对其余 48% 的 Exchange 服务器发出警告，目前尚不清楚它们是否已针对最近披露的CVE-2024-21410漏洞进行了修补。 编号CVE-2024-21410的漏洞是一个安全功能绕过漏洞，攻击者可利用该漏洞绕过 SmartScreen 检测并注入代码以获得潜在的代码执行权限，这可能会导致部分数据泄露、系统可用性不足或两者兼而有之。 “攻击者可以利用 NTLM 凭据泄露类型漏洞瞄准 NTLM 客户端（例如 Outlook）。然后，泄露的凭据可以针对 Exchange 服务器进行中继，以获得受害者客户端的权限，并代表受害者在 Exchange 服务器上执行操作。 有关 Exchange Server 对身份验证扩展保护 (EPA) 支持的详细信息，请参阅 在 Exchange Server 中配置 Windows 扩展保护。”微软发布的公告指出。 微软通过发布 2024 年 2 月的补丁安全更新解决了这个问题。 2024 年 2 月，美国网络安全和基础设施安全局 (CISA) 将此漏洞添加到其已知可利用漏洞 (KEV) 目录中。微软还更新了其公告，将该漏洞标记为在野外被积极利用。 2024 年 2 月 17 日，Shadowserver 研究人员发现了大约 97K 个易受攻击或可能易受攻击的版本（有漏洞的版本，但可能已应用缓解措施）。 在 97,000 台服务器中，有 28,500 台已被验证容易受到 CVE-2024-21410 的攻击。这些服务器大部分位于德国，其次是美国。 德国目前托管着大多数易受攻击的服务器（19,746 台），其次是美国（17,241 台）。 “德国有数以万计的此类相关软件存在漏洞，这一事实绝不能发生。公司、组织和当局不必要地危及他们的 IT 系统，从而危及他们的附加值、他们的服务或他们自己和第三方的数据，这些数据可能是高度敏感的。网络安全最终必须提上议程。迫切需要采取行动！” BSI 主席克劳迪娅·普拉特纳 (Claudia Plattner) 说道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vzRp1_urC4xG9R3L0AFn1Q 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现，Linux 操作系统中的 util-linux 软件包 wall 命令中存在一个漏洞，该漏洞名为 WallEscape，被追踪为 CVE-2024-28085，黑客能够利用该漏洞窃取密码或更改剪贴板。 利用WallEscape 漏洞攻击的方式 据调查，该漏洞已存在 11 年之久，也就是说该软件包 2.40 版本前的每个版本都存在该漏洞。研究人员表示，WallEscape 可能会影响 “wall “命令，该命令在 Linux 系统中通常用于向登录到同一系统（如服务器）的所有用户的终端发送消息弹窗。 由于在处理通过命令行参数输入时，转义序列会被过滤，因此无权限用户可利用该漏洞，使用转义控制字符在其他用户的终端机上创建假的 SUDO 提示，并诱使他们输入管理员密码。 安全研究员 Ferrante 解释称，如果 “mesg “实用程序处于活动状态，且 wall 命令具有 setgid 权限，那在这样的情况下，该漏洞就有可能被成功利用。 同时，研究人员指出，这两种情况在 Ubuntu 22.04 LTS（Jammy Jellyfish）和 Debian 12.5（Bookworm）上都存在，但在 CentOS 上不存在。 目前，WallEscape 的概念验证利用代码已经发布，同时也公布了攻击者利用该漏洞的技术细节。 除了技术细节外，研究人员还介绍了可能导致不同结果的利用方案。其中一个案例描述了为 Gnome 终端创建虚假 SUDO 提示以诱骗用户输入密码的步骤。 Ferrante 也提到，黑客可以通过为 Gnome 终端创建虚假的 SUDO 提示，诱骗用户输入敏感信息作为命令行参数。但需要一些预防措施，比如使用 wall 命令向目标传递一个脚本，改变他们在终端中的输入（前景色、隐藏输入、睡眠时间），这样虚假的密码提示就会作为合法请求通过。 要找到密码，攻击者就必须检查 /proc/$pid/cmdline 文件中的命令参数，在多个 Linux 发行版上，非特权用户都能看到这些参数。 另一种攻击方式是通过转义序列更改目标用户的剪贴板。研究人员强调，这种方法并不适用于所有终端模拟器，Gnome 就是其中之一。 但由于人们可以通过墙发送转义序列，因此如果用户使用的终端支持这种转义序列，攻击者就可以将受害者的剪贴板更改为任意文本。 研究人员在漏洞报告中提供了设置陷阱和运行攻击的演示代码，并解释了两种利用方案的工作原理。 值得注意的是，利用 WallEscape 依赖于本地访问（物理访问或通过 SSH 进行远程访问），这限制了其严重性。 其中涉及到的安全风险来自在多用户设置（如组织的服务器）中与受害者访问同一系统的无权限用户。 安全人员建议广大用户立即升级到 linux-utils v2.40，以修补漏洞。一般来说，可通过 Linux 发行版软件包管理器上的标准升级通道进行，但可能会有一些延迟。 另外，系统管理员还可通过移除 “wall “命令中的 setgid 权限，或使用 “mesg “命令将其标志设置为 “n”，并禁用消息广播功能，这样就能有效缓解 CVE-2024-28085 漏洞带来的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/396355.html 封面来源于网络，如有侵权请联系删除

研究发现“TheMoon”恶意软件僵尸网络的新变种感染了 88 个国家/地区数千个小型办公室和家庭办公室 (SOHO) 路由器和物联网设备。 TheMoon 与“Faceless”代理服务相关联，该服务使用一些受感染的设备作为代理，为希望匿名其恶意活动的网络犯罪分子路由流量。 Black Lotus Labs 研究人员对 2024 年 3 月上旬开始的最新 TheMoon 活动进行监控，发现 72 小时内有 6,000 台华硕路由器成为攻击目标。 威胁分析师报告称，IcedID 和 SolarMarker 等恶意软件操作目前使用代理僵尸网络来混淆其在线活动。 Faceless 代理服务概述 针对华硕路由器 TheMoon 首次被发现 于 2014 年，当时研究人员警告称，该恶意软件正在利用漏洞感染 LinkSys 设备。 该恶意软件的最新活动在一周内感染了近 7,000 台设备，Black Lotus Labs 表示它们主要针对华硕路由器。 Black Lotus 警告称：“通过 Lumen 的全球网络可见性，Black Lotus Labs 已经确定了 Faceless 代理服务的逻辑图，其中包括一项于 2024 年 3 月第一周开始的活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击”实验室研究人员。 研究人员没有具体说明用于破坏华硕路由器的确切方法，但鉴于目标设备型号已停产，攻击者很可能利用了固件中的已知漏洞。 攻击者还可能暴力破解管理员密码或测试默认和弱凭据。 一旦恶意软件获得对设备的访问权限，它就会检查是否存在特定的 shell 环境（“/bin/bash”、“/bin/ash”或“/bin/sh”）；否则，它会停止执行。 如果检测到兼容的 shell，加载程序会解密、删除并执行名为“.nttpd”的有效负载，该有效负载会创建一个具有版本号（当前为 26）的 PID 文件。 随后，恶意软件设置 iptables 规则以丢弃端口 8080 和 80 上的传入 TCP 流量，同时允许来自特定 IP 范围的流量。这种策略可以保护受感染的设备免受外部干扰。 接下来，恶意软件会尝试联系合法 NTP 服务器列表，以检测沙箱环境并验证互联网连接。 最后，恶意软件通过循环访问一组硬编码的 IP 地址来与命令和控制 (C2) 服务器连接，C2 会用指令进行响应。 在某些情况下，C2 可能会指示恶意软件检索其他组件，例如扫描端口 80 和 8080 上易受攻击的 Web 服务器的蠕虫模块或代理受感染设备上流量的“.sox”文件。 Sox 与 Faceless 服务器通信的样本 Faceless 代理服务 Faceless 是一项网络犯罪代理服务，可通过受感染的设备为仅使用加密货币付款的客户路由网络流量。该服务不使用“了解您的客户”验证流程，任何人都可以使用。 购买 Faceless 代理服务的访问权限 为了保护他们的基础设施不被研究人员绘制地图，Faceless 操作员确保每台受感染的设备在感染持续期间仅与一台服务器通信。Black Lotus Labs 报告称，三分之一的感染会持续 50 天以上，而 15% 的感染会在 48 小时内消失。这表明后者受到更好的监控，并且可以快速检测到危害。 受感染设备的生命周期 尽管 TheMoon 和 Faceless 之间存在明显的联系，但这两个操作似乎是独立的网络犯罪生态系统，因为并非所有恶意软件感染都成为 Faceless 代理僵尸网络的一部分。为了防御这些僵尸网络，请使用强管理员密码并将设备的固件升级到解决已知缺陷的最新版本。如果设备已达到 EoL，请将其替换为有效支持的型号。路由器和物联网上恶意软件感染的常见迹象包括连接问题、过热和可疑的设置更改。 转自E安全，原文链接：https://mp.weixin.qq.com/s/9j5k-AMo3CjD8M_28Ln-ug 封面来源于网络，如有侵权请联系删除

谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示，他们观察到 2023 年攻击中利用的0day漏洞数量显着增加，其中许多与间谍软件供应商及其客户有关。 谷歌研究人员周三表示，他们观察到 2023 年有 97 个0day漏洞被利用，而 2022 年为 62 个，增加了 50%。 在 97 个0day漏洞中，研究人员能够确定其中 58 个0day漏洞利用的攻击者动机。其中 48 个漏洞归因于间谍活动，其余 10 个漏洞则归因于出于经济动机的黑客。 自 2019 年以来的攻击中利用的零日漏洞 FIN11利用了三个0day漏洞，四个勒索软件团伙——Nokoyawa 、Akira、LockBit和Magniber——分别利用了另外四个。该报告指出，FIN11 是影响Accellion 旧版文件传输设备的2021 年0day漏洞的幕后黑手，该设备被用来攻击数十家知名机构。 研究人员表示：“FIN11 重点关注文件传输应用程序，这些应用程序可以高效且有效地访问敏感受害者数据，而无需横向网络移动，从而简化了渗透和货币化的步骤。” “随后，大规模勒索或勒索软件活动产生的巨额收入可能会刺激这些组织对新漏洞进行额外投资。” 有官方背景、专注于间谍活动的黑客发起了 12 个0day攻击，而 2022 年有 7 个。 研究人员称，包括明确针对梭子鱼电子邮件安全网关的攻击活动，黑客的目标是东盟成员国的电子邮件域和用户，以及敏感地区的外贸机构、学术研究组织或个人。 谷歌指出，一个0day漏洞与Winter Vivern相关，Winter Vivern 是白俄罗斯国家资助的网络组织，幕后策划了对乌克兰和其他欧洲国家的多次攻击。谷歌表示，这是据报道与白俄罗斯有联系的间谍组织在其活动中利用0day漏洞的第一个已知实例，表明该组织“正在变得越来越复杂”。 就目标产品而言，研究人员发现攻击者寻求“提供可对多个目标进行广泛访问的产品或组件中的漏洞”。 研究人员表示，梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry以及Trend Micro Apex One等企业特定技术反复成为目标，并补充说这些产品通常提供广泛的访问和高级权限。 商业间谍软件供应商 2023 年企业专用技术的利用增加主要是由安全软件和设备的利用推动的。 商业监控软件供应商（CSV）是浏览器和移动设备利用背后的罪魁祸首，2023 年，谷歌将 75% 的已知0day漏洞利用针对 Google 产品以及 Android 生态系统设备（17 个漏洞中的 13 个）。 谷歌研究人员的调查结果中最令人震惊的部分是商业间谍软件开发者利用大量漏洞，目前缺乏针对该行业的全球规范。 “我们已经广泛记录了 CSV 造成的危害，但它们仍然构成针对最终用户的野外 0day 攻击的大部分。”她说。 这家科技巨头重申其警告，称商业监控行业继续向世界各国政府出售尖端技术，这些技术利用消费设备和应用程序中的漏洞“在个人设备上秘密安装间谍软件”。 他们表示：“私营部门公司多年来一直参与发现和销售漏洞，但我们观察到过去几年这类攻击者驱动的漏洞显着增加。” 谷歌表示，它正在追踪至少 40 家参与创建间谍软件和其他黑客工具的公司，这些工具被出售给某些政府机构并针对“高风险”用户，包括记者、人权捍卫者和持不同政见者。 谷歌在二月份发布的一份报告中强调的一些间谍软件供应商包括： Cy4Gate 和 RCS Lab：Android 和 iOS 版 Epeius 和 Hermit 间谍软件的意大利制造商。 Intellexa：Tal Dilian 领导的间谍软件公司联盟，结合了 Cytrox 的“Predator”间谍软件和 WiSpear 的 WiFi 拦截工具等技术。 Negg  Group：具有国际影响力的意大利 CSV，以通过漏洞利用链针对移动用户的 Skygofree 恶意软件和 VBiss 间谍软件而闻名。 NSO 集团：Pegasus 间谍软件和其他商业间谍工具背后的以色列公司。 Variston：与 Heliconia 框架相关的西班牙间谍软件制造商，因与其他监控供应商合作开展零日漏洞而闻名。 浏览器内攻击 谷歌还指出，第三方组件和库中的漏洞是“主要的攻击面，因为它们通常会影响多个产品。” 2023 年，谷歌看到了这种定位的增加，特别是在浏览器方面。他们发现第三方组件中存在三个浏览器0day漏洞，并影响了多个浏览器。 该报告指出，影响 Chrome 的 CVE-2023-4863 和影响 Safari 的 CVE-2023-41064 “实际上是同一个漏洞”，并补充说它还影响了 Android 和 Firefox。他们还引用了 CVE-2023-5217——去年合并的一个引人注目的漏洞，影响了 libvpx 。去年，其他几个浏览器内工具也被利用。 “2023 年，有 8 个针对 Chrome 的野外0day漏洞，11 个针对 Safari 的野外0day漏洞。虽然被跟踪的 Safari 0day漏洞被用于针对 iPhone 的链中，但除了其中一个 Chrome 0day漏洞外，所有其他漏洞都被用于针对 Android 设备的攻击链中。”谷歌研究人员表示。 谷歌警告称，随着越来越多的黑客大力投资研究，被利用的0day漏洞数量可能会继续增加。 0day漏洞利用“不再只是少数参与者可以使用的攻击功能，我们预计过去几年我们所看到的增长可能会持续下去。” 安全建议 为了防御0day攻击，谷歌建议高风险用户在 Pixel 8 设备上启用内存标记扩展（MTE），并在 iPhone 智能手机上启用锁定模式。 谷歌建议Chrome高风险用户打开“HTTPS优先模式”并禁用v8优化器以消除潜在风险，以消除JIT（Just-in-Time）编译引入的潜在安全漏洞，这些漏洞可能使攻击者操纵数据或注入恶意代码。 此外，谷歌还建议高风险用户注册其高级保护计划（APP），该计划提供增强的帐户安全性和内置防御措施，以防范商业间谍软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IOMnGZ6gBeDC7VIBSmNj_A 封面来源于网络，如有侵权请联系删除

3月25日（本周一），网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了 “安全设计 “警报。他们将 SQL 注入漏洞（SQLi）归入”不可饶恕的 “一类漏洞。 警报指出：尽管在过去二十年中，人们普遍了解并记录了 SQLi 漏洞，而且也有了有效的缓解措施，但软件制造商仍在继续开发存在这一缺陷的产品，这使许多客户面临风险。 在 SQL 注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。 因与目标数据库交互的 web 应用或软件中的输入验证和清理不当，这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管，CISA 和 FBI 建议使用实现写好语句的参数化査询，阻止SQL注入漏洞。 这种方法将SQL代码与用户数据加以区分，使得恶意输入不可能被解释为 SQL语句。与输入清理技术相比，参数化査询时设计安全方法的更好选择，因为前者可被绕过且难以大规模执行。 SQL注入漏洞在MITRE 于2021年和2022年发布的“前25个最危险的漏洞”中排行第三，仅次于越界写入漏洞和跨站脚本攻击。越界写入漏洞是一种软件漏洞，会导致程序在分配的内存区域边界之外写入。端点崩溃，或者执行任意代码等后果。威胁行为者通常通过写入比分配的内存区域的大小更大的数据或将数据写入内存区域内的错误位置来滥用此漏洞。 CISA 和 FBI 指出，”如果他们发现代码存在漏洞，高管们应当确保所在组织机构的软件开发人员立即开始执行缓解措施，从所有当前和未来软件产品中消除整个缺陷类型。在设计阶段直到开发、发布和更新阶段集成该缓解措施，可以缓解客户的网络安全负担以及公众所面临的风险。 几十年来，软件行业一直知道如何大规模消除 SQLi 缺陷。然而，威胁分子去年就利用了开发商 Progress 的 MOVEit 文件传输软件中的这样一个漏洞，造成了毁灭性的后果。 去年5月， Clop 勒索团伙利用了 Progress MOVEit Transfer文件传输管理 app 中的一个 SQLi 零日漏洞，该漏洞影响全球数千家组织机构，随后 CISA 和 FBI 立即发布了联合告警。尽管此案的受害者众多，但Coveware认为仅有少部分受害者可能会支付赎金。即便如此，据估计该勒索团伙可能获得的赎金仍在750万到1亿美元之间。 据 CISA 称，SQLi 攻击之所以能够得逞，是因为开发人员没有将用户提供的内容视为潜在的恶意内容。它不仅会导致敏感数据被盗，还会使坏人篡改、删除数据库中的信息或使其不可用。 警报敦促技术制造商遵循三项指导原则： 通过执行正式的代码审查并使用“带有参数化查询的预制语句”作为标准做法，对客户安全结果负责 通过确保 CVE 记录的正确性和完整性、记录漏洞的根本原因并努力消除整个类别的漏洞，实现“彻底”的透明度和问责制 将业务目标重新调整为安全设计软件开发，包括进行正确的投资和建立激励结构。这最终有助于降低财务和生产力成本以及复杂性 CISA 和 FBI 督促技术制造企业管理层对所在组织机构的软件提起正式审计并执行缓解措施，在软件交付前消除SQL注入(SQLi) 漏洞。   转自会freebuf，原文链接：https://www.freebuf.com/news/396035.html 封面来源于网络，如有侵权请联系删除