近日AWS修复了一个关键漏洞，通过利用该漏洞，攻击者可直接接管亚马逊Apache Airflow（MWAA）托管工作流。该漏洞危害较大，虽然利用起来比较复杂，但仍建议及时进行修复。 网络安全公司Tenable披露AWS 一个严重的安全漏洞，将之命名为FlowFixation，攻击者可借此完全控制客户在AWS服务上的账户。AWS承认漏洞存在，并表示该漏洞利用较为困难，且已经在几个月前进行修复，建议用户更新补丁。 Tenable在报告中强调，通过研究发现了一个更加严重、广发的安全问题，并且可能在不久的未来造成伤害。 Apache Airflow托管工作流(MWAA)是亚马逊推出的一项全托管的服务，简化了在 AWS 上运行开源版 Apache Airflow，构建工作流来执行 ETL 作业和数据管道的工作。 Apache Airflow 是一个开源工具，每月下载量达到1200万次，用于通过编程的方式开发、调度和监控被称为“工作流”的过程和任务序列。开发人员和数据工程师用 Apache Airflow 管理工作流，通过用户界面(UI)来监控它们，并通过一组强大的插件来扩展它们的功能。但是，要使用 Apache Airflow，需要进行手动安装、维护和扩展，AWS 解决了这个问题，它为开发人员和数据工程师提供了 MWAA，让他们可以在云端构建和管理自己的工作流，无需关心与管理和扩展 Airflow 平台基础设施相关的问题。 由于MWAA网络管理面板中的会话是固定的，以及AWS域名配置错误可引发跨站脚本攻击（XSS），让FlowFixation漏洞可以实现接管MWAA。 Tenable指出，攻击者可利用该漏洞强迫受害者使用并认证其已知的会话，随后利用已经认证的会话接管受害者的网络管理面板。这一步骤完成后，攻击者将可进行更进一步的入侵动作，包括读取连接字符串、添加配置、触发有向无环图等。此时他可以对底层实例执行远程代码攻击或进行其他横向移动。 Tenable研究还揭示一个更广泛的问题，即共享父域和公共后缀列表（PSL）相关的同站点攻击。而由同一供应商提供云服务往往会共享一个父域，例如多个AWS服务共同使用“amazonaws.com”。这种共享导致了一个攻击场景，攻击者可对在“amazonaws.com”共享父域的子域资产发起攻击。 Tenable解释称，在本地环境中，你通常不会允许用户在子域上运行XSS，但在云上允许却是一个非常自然的操作。例如当用户创建一个AWS S3存储桶时，可以通过存储桶中的HTML页面来运行客户端代码；代码可以在S3存储桶子域的上下文中运行，自然也在共享父域“amazonaws.com”的上下文中运行。 也有研究显示，该风险不仅仅存在于AWS，Azure/Google Cloud等共享父服务域被错误配置，即域名没有出现在PSL上，那么客户也将面临相应的攻击风险，包括cookie tossing、同站点cookie保护绕过等。 AWS和微软都已经采取了措施来减轻Tenable报告中的风险。AWS发言人Patrick Neighorn表示，AWS在2023年9月对上述风险进行修复，因此运行当前版本的Amazon托管工作流Apache Airflow（MWAA）的客户不会受到影响。在2023年AWS已经通知并督促用户通过AWS控制台、API或AWS命令行界面进行更新修复。   转自Freebuf，原文链接：https://www.freebuf.com/news/395687.html 封面来源于网络，如有侵权请联系删除

研究人员发现了一个新的不可修补的安全漏洞，如果被攻击者利用，可能会破坏最好的 MacBook上的加密。 据9To5Mac报道，这个最近发现的漏洞影响每台运行 Apple 芯片的 Mac，包括该公司的M1、M2和M3芯片。更糟糕的是，这些芯片的架构中存在缺陷，这意味着苹果无法彻底修复它。相反，任何修复都需要在 iPhone 制造商今年晚些时候发布M4芯片之前完成。 就像去年的iLeakage 攻击一样，这个缺陷也是一个侧通道，在适当的情况下，攻击者可以提取加密中使用的端到端密钥。但幸运的是，攻击者利用此漏洞相当困难，因为这样做可能需要相当长的时间。 无论您拥有 Apple 最近发布的MacBook Air M3型号，还是 2020 年搭载 M1 芯片的旧款MacBook Pro ，以下都是您需要了解的有关此无法修补的安全漏洞的所有信息，以及有关如何保护自己的一些提示。 使用 GoFetch 利用此漏洞 这个新漏洞是由来自美国各地大学的七名学术研究人员组成的团队发现的，他们在一篇有关微架构侧通道攻击的研究论文中详细介绍了他们的发现。 为了展示攻击者如何利用这个缺陷，他们创建了一个名为 GoFetch 的应用程序，根据Ars Technica 的说法，该应用程序不需要 root 访问权限。相反，它只需要与大多数第三方 Mac 应用程序相同的用户权限。 对于那些不熟悉苹果 M 系列芯片的人来说，它们都被分为不同的集群，其中包含不同的核心。如果 GoFetch 应用程序和攻击者瞄准的加密应用程序在同一性能集群上运行，GoFetch 将能够挖掘足够的秘密来泄露秘密密钥。 这一切都有点技术性；建议阅读 Ars Technica 的报告进行更深入的研究，但从本质上讲，这个无法修补的漏洞对苹果来说是个坏消息，但它可能不会像 Meltdown和 Spectre缺陷对 PC 用户造成的影响那样影响你。 打补丁会影响性能 由于这个缺陷存在于苹果的芯片本身而不是其软件中，因此修补它是不可能的。iPhone 制造商必须发布全新的芯片才能彻底解决这个问题。 由于该漏洞无法修补，发现该漏洞的研究人员建议，苹果公司能做的最好的事情就是在该公司的 M1、M2 和 M3 芯片中实施解决方法来解决该漏洞。 这些解决方法将在软件方面进行，加密软件开发人员需要添加密文致盲等缓解措施，在敏感值存储到内存或从内存加载之前/之后添加或删除敏感值的掩码（例如加密密钥中使用的掩码）。 但这里的一个大问题是，实施这样的事情会导致性能受到严重影响，这是大多数苹果用户最不希望发生的事情。不过值得庆幸的是，利用这个漏洞并不容易。 普通用户不用过于担心 为了在一次攻击中使用这个无法修补的漏洞，黑客首先需要诱骗毫无戒心的 Mac 用户安装一个恶意应用程序在他们的计算机上。Apple 在 macOS 中默认阻止未签名的应用程序安装，这将使安装发起攻击所需的恶意应用程序变得更加困难。 从这里开始，这次攻击需要相当长的时间才能进行。事实上，在测试过程中，研究人员指出，完成此操作需要花费近 1 小时到 10 小时的时间，在此期间，恶意应用程序需要连续运行。 虽然我们还没有收到 Apple 关于此不可修补漏洞的任何消息，但如果有的话，我们会更新此内容。在此之前，研究人员建议将 Apple 芯片驱动的 Mac 上的所有软件保持最新状态，并在 Apple 提供的定期更新可用后立即安装。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/CMwIwirspnDmmHkRcuhItg 封面来源于网络，如有侵权请联系删除

近日，GitHub 推出了一项新的 AI 功能，能够有效提升编码时的漏洞修复速度。目前该功能已进入公开测试阶段，并在 GitHub 高级安全（GHAS）客户的所有私有软件源中自动启用。 该功能名为代码扫描自动修复，可利用 Copilot 与 CodeQL（注：CodeQL 是 GitHub 开发的代码分析引擎，用于自动执行安全检查）发现你的代码中可能存在漏洞或错误，并且对其进行分类和确定修复的优先级。可帮助处理 JavaScript、Typescript、Java 和 Python 中超过 90% 的警报类型。 值得一提的是，“代码扫描”需要消耗 GitHub Actions 的分钟数。 据介绍，“代码扫描”还可防止开发者引入新问题，还支持在特定日期和时间进行扫描，或在存储库中发生特定事件（例如推送）时触发扫描。 如果 AI 发现你的代码中可能存在漏洞或错误，GitHub 就会在仓库中进行告警，并在用户修复触发警报的代码之后取消告警。 要监控你的仓库或组织的“代码扫描”结果，你可以使用 web 挂钩和 code scanning API。此外，“代码扫描”也可与输出静态分析结果交换格式 (SARIF) 数据的第三方代码扫描工具互操作。 目前，对“代码扫描”使用 CodeQL 分析有三种主要方法： 使用默认设置在存储库上快速配置对“代码扫描”的 CodeQL 分析。默认设置自动选择要分析的语言、要运行的查询套件和触发扫描的事件，如果需要也可以手动选择要运行的查询套件以及要分析的语言。启用 CodeQL 后，GitHub Actions 将执行工作流运行以扫描代码。 使用高级设置将 CodeQL 工作流添加到存储库。这会生成一个可自定义的工作流文件，该文件使用 github / codeql-action 运行 CodeQL CLI。 直接在外部 CI 系统中运行 CodeQL CLI 并将结果上传到 GitHub。 GitHub 的 Pierre Tempel 和 Eric Tooley 表示：出现漏洞时，修复建议将包括对建议修复的自然语言解释，以及代码建议的预览，开发人员可以接受建议、编辑或驳回。该功能提供的代码建议和解释可以包括对当前文件、多个文件和当前项目依赖关系的修改。采用这种方法可以大大降低安全团队每天必须处理的漏洞频率。 GitHub 承诺，这一 AI 系统可以修复其发现的三分之二以上的漏洞，所以一般来说开发人员无需主动编辑代码。该公司还承诺，代码扫描自动修复将覆盖其支持的语言中超过 90% 的告警类型，目前包括 JavaScript、Typescript、Java 和 Python。该公司计划在未来几个月内增加对其他语言的支持，下一步将支持 C# 和 Go。 不过，还需要注意的是，开发人员应始终核实安全问题是否已得到解决，因为 GitHub 的 AI 功能很可能会建议仅部分解决安全漏洞的修复方法，或无法保留预期的代码功能。 Tempel和Tooley补充道：代码扫描自动修复功能使开发人员在编写代码时更容易修复漏洞，从而帮助企业减缓这种 “应用程序安全债务 “的增长。 上个月，该公司还为所有公共源默认启用了推送保护功能，以防止在推送新代码时意外暴露访问令牌和API密钥等机密。   转自Freebuf，原文链接：https://www.freebuf.com/news/395466.html 封面来源于网络，如有侵权请联系删除

一组研究人员发现了一种新的数据泄漏攻击，该攻击影响支持推测执行的现代CPU架构。 该漏洞被命名为GhostRace（CVE-2024-2193），是Spectre v1（CVE-2017-5753）的一种变体，属于瞬时执行CPU漏洞。该攻击方法结合了推测执行和竞争条件，可能会导致敏感信息泄露。 “使用条件分支实现的所有常见同步原语都可以使用分支误预测攻击在推测路径上从微架构上绕过，将所有架构上无竞争的关键区域转变为推测竞争条件（SRC），从而允许攻击者从目标泄漏信息，”研究人员表示。 IBM 欧洲研究院系统安全研究小组和 VUSec 的调查结果，后者于 2023 年 12 月披露了另一种名为SLAM的旁道攻击，针对现代处理器。 Spectre 是指一类旁道攻击，它利用现代 CPU 上的分支预测和推测执行来读取内存中的特权数据，绕过应用程序之间的隔离保护。 研究人员指出，尽管推测执行是大多数CPU使用的性能优化技术，但Spectre攻击利用了错误预测在处理器缓存中留下内存访问或计算痕迹的事实。 根据研究人员在2018年的指出，Spectre攻击诱使受害者在严格序列化的程序指令处理过程中推测性地执行不会发生的操作，并通过隐蔽通道将受害者的机密信息泄露给对手。 此外，研究人员还指出，使用条件分支实现的常见同步原语容易受到分支误预测攻击的影响。这种攻击可以绕过微架构中的推测路径，并将架构上无竞争的关键区域转变为推测竞争条件（SRC），从而允许攻击者从目标泄露信息。 调查结果来自IBM欧洲研究院系统安全研究小组和VUSec，他们在2023年12月披露了一种名为SLAM的旁道攻击，针对现代处理器。 Spectre是一类旁道攻击，利用现代CPU上的分支预测和推测执行来读取内存中的特权数据，绕过应用程序之间的隔离保护。尽管推测执行是大多数CPU使用的性能优化技术，但Spectre攻击利用了错误预测在处理器缓存中留下内存访问或计算痕迹的事实。 根据2018年研究人员的指出，Spectre攻击诱使受害者在严格序列化的程序指令处理过程中推测性地执行不会发生的操作，并通过隐蔽通道将受害者的机密信息泄露给对手。 这些漏洞的发现以及Meltdown导致多年来对微处理器架构进行了更广泛的审查，甚至促使MITRE常见弱点枚举（CWE）计划添加了四个与瞬时执行（从CWE-1420至CWE-1423）上个月末。 GhostRace值得注意的是，它使未经身份验证的攻击者能够利用竞争条件从处理器中提取任意数据，从而通过所谓的推测并发释放后使用（SCUAF）攻击来访问推测的可执行代码路径。 竞争条件是一种不良情况，当两个或多个进程在没有适当同步的情况下尝试访问相同的共享资源时，会发生这种情况，从而导致结果不一致，并为攻击者执行恶意操作打开了机会之窗。 根据CERT协调中心（CERT/CC）的公告，SRC漏洞在特征和利用策略方面与经典的竞争条件类似。然而，不同之处在于，攻击者在源自错误推测的分支（类似于Spectre v1）的瞬时执行路径上利用所述竞争条件，以最终向攻击者泄露信息的活泼代码片段或小工具为目标。 最终结果是，它允许有权访问CPU资源的攻击者从主机内存中访问任意敏感数据。 根据VUSec的说法，任何软件，如操作系统、虚拟机管理程序等，通过条件分支实现同步原语而不包含序列化指令的路径，在任何微体系结构上运行（例如x86、ARM、RISC-V等），都容易受到SRC的影响。 AMD表示，他们针对Spectre的现有指南仍然适用于缓解这一漏洞。Xen开源虚拟机管理程序的维护者承认所有版本都会受到影响，尽管他们表示这不太可能构成严重的安全威胁。 Xen表示：“出于谨慎考虑，Xen安全团队提供了强化补丁，包括在x86上添加新的LOCK_HARDEN机制，类似于现有的BRANCH_HARDEN。” 由于Xen下存在漏洞的不确定性以及性能影响的不确定性，LOCK_HARDEN默认处于关闭状态。但是，预计在该领域会进行更多研究，并认为采取缓解措施是谨慎的做法。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

勒索软件攻击者“ShadowSyndicate”正在扫描易受 CVE-2024-23334（aiohttp Python 库中的目录遍历漏洞）影响的服务器。 Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库，用于处理大量并发 HTTP 请求，而无需传统的基于线程的网络。 2024 年 1 月 28 日，aiohttp 发布了版本 3.9.2，解决了 CVE-2024-23334，这是一个高严重性路径遍历缺陷，影响 3.9.1 及更早版本的所有 aiohttp 版本，允许未经身份验证的远程攻击者访问易受攻击的服务器上的文件。 该缺陷是由于当静态路由的“follow_symlinks”设置为“True”时验证不充分，从而允许未经授权访问服务器静态根目录之外的文件。 2024 年 2 月 27 日，一名研究人员在 GitHub 上发布了 CVE-2024-23334 的概念验证 (PoC) 漏洞利用，并于 3 月初在 YouTube 上发布了展示分步利用说明的详细视频。 Cyble 的威胁分析师报告称，他们的扫描仪从 2 月 29 日开始捕获了针对 CVE-2024-23334 的利用尝试，并以更高的速度持续到 3 月。 关于攻击面，显示全球大约有 44,170 个暴露在互联网上的 aiohttp 实例。 无法识别运行在互联网上的实例的版本，因此很难确定易受攻击的 aiohttp 服务器的数量。 黑客利用 Bricks WordPress 网站构建器中的关键 RCE 缺陷。   转自安全客，原文链接：https://www.anquanke.com/post/id/294023 封面来源于网络，如有侵权请联系删除

思科发布了针对IOS RX软件中多个漏洞的补丁，其中包括三个高严重性缺陷，导致拒绝服务（DoS）和特权提升。 最严重的高严重性错误是CVE-2024-20320，这是IOS RX的SSH功能中的问题，攻击者可以通过向CLI发送精心设计的SSH命令来将权限提升到root。 该安全漏洞影响了8000系列路由器以及网络融合系统（NCS）540系列和5700系列路由器。通过IOS RX版本7.10.2的发布，该安全漏洞已得到修补。运行旧版本操作系统的设备应升级到已修补的版本。 第二个高严重性缺陷（CVE-2024-20318）影响启用了第2层服务功能的线卡。攻击者可以通过向易受攻击的设备发送特定的以太网帧，导致线卡网络处理器重置，并且可以重复该过程来重置线卡，从而导致拒绝服务（DoS）情况。 该漏洞已在IOS RX软件版本7.9.2和7.10.1中得到解决。 思科还发布了软件维护升级（SMU）来解决该错误。另外，思科还修补了CVE-2024-20327，这是一个影响ASR 9000系列路由器的以太网PPP（PPPoE）终止功能的高严重性DoS错误。对格式错误的PPPoE数据包处理不当会导致攻击者导致ppp_ma进程崩溃，从而导致PPPoE流量出现DoS状况。 思科表示，该问题影响路由器“在基于 Lightspeed 或 Lightspeed-Plus 的线卡上运行带有 PPPoE 终端的宽带网络网关 (BNG) 功能”。IOS RX 软件版本 7.9.21、7.10.1 和 7.11.1 包含针对此缺陷的补丁。 思科还宣布修复了 IOS XR 软件中的几个中等严重程度的漏洞，这些漏洞可能允许攻击者绕过保护、导致 DoS 情况或安装未经验证的软件映像。 这些缺陷已作为思科 2024 年 3 月半年度 IOS RX安全建议包的一部分得到解决，其中包括八项建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/293995 封面来源于网络，如有侵权请联系删除

趋势科技分析师报告称有黑客利用Windows SmartScreen 漏洞在目标系统投放DarkGate 恶意软件。 该漏洞被追踪为 CVE-2024-21412 漏洞，是一个 Windows Defender SmartScreen 漏洞，它允许特制的下载文件绕过这些安全警告。SmartScreen 是 Windows 的一项安全功能，当用户试图运行从互联网下载的未识别或可疑文件时会显示警告。 攻击者可以通过创建一个Windows Internet快捷方式（.url文件）来利用这个漏洞，该快捷方式指向另一个托管在远程SMB共享上的.url文件，这将导致最终位置的文件被自动执行。 今年二月中旬，微软已经修复了该漏洞。但据趋势科技披露，Water Hydra黑客组织曾利用该漏洞将DarkMe恶意软件投放到交易商的系统中。 DarkGate攻击细节 攻击始于一封包含 PDF 附件的恶意电子邮件，里面有一个链接利用谷歌 DoubleClick Digital Marketing（DDM）服务的开放重定向绕过电子邮件安全检查。当受害者点击链接时，他们会被重定向到一个托管互联网快捷方式文件的受攻击网络服务器。该快捷方式文件（.url）链接到由攻击者控制的 WebDAV 服务器上托管的第二个快捷方式文件。 利用 CVE-2024-21412 SmartScreen 漏洞 使用一个 Windows 快捷方式打开远程服务器上的第二个快捷方式可有效利用 CVE-2024-21412 漏洞，就会导致恶意 MSI 文件在设备上自动执行。 自动安装 MSI 文件的第二个 URL 快捷方式 这些 MSI 文件伪装成 NVIDIA、Apple iTunes 应用程序或 Notion 的合法软件。 执行 MSI 安装程序后，另一个涉及 “libcef.dll “文件和名为 “sqlite3.dll “的加载器的 DLL 侧载漏洞将解密并在系统上执行 DarkGate 恶意软件有效载荷。 一旦初始化，恶意软件就能窃取数据、获取附加有效载荷并将其注入正在运行的进程、执行密钥记录并为攻击者提供实时远程访问。 下图概括了 DarkGate 操作员自 2024 年 1 月中旬以来采用的复杂、多步骤感染链： 黑暗之门攻击链 趋势科技称，此次活动采用的是DarkGate 6.1.7版本，与旧版本5相比，该版本具有XOR加密配置、新配置选项以及命令和控制（C2）值更新等特点。 DarkGate 6 中提供的配置参数使其操作员能够确定各种操作策略和规避技术，例如启用启动持久性或指定最小磁盘存储和 RAM 大小以规避分析环境。 DarkGate v6 配置参数 今年2 月微软发布了 “星期二补丁 “更新，此次更新修复了 CVE-2024-21412漏洞。用户应第一时间下载更新包以降低攻击风险。 入侵指标 (IoC) 列表示意图 目前，趋势科技已公布了此次 DarkGate 活动的完整入侵指标 (IoC) 列表。   转自Freebuf，原文链接：https://www.freebuf.com/news/394773.html 封面来源于网络，如有侵权请联系删除

今天是微软2024年3月补丁日，微软发布了针对60个漏洞的安全更新，其中包括18个远程代码执行漏洞。 本月补丁仅修复了两个严重级别漏洞：Hyper-V 远程代码执行漏洞和拒绝服务漏洞。 按漏洞类别统计： 24个特权提升漏洞 3个安全功能绕过漏洞 18个远程代码执行漏洞 6个信息泄露漏洞 6个拒绝服务漏洞 2个欺骗漏洞 60 个安全漏洞总数不包括 3 月 7 日修复的 4 个 Microsoft Edge 缺陷。微软没有在今天的补丁日更新中披露任何0day漏洞。 本次更新修复以下组件的安全漏洞： Microsoft Windows 、Office、Azure、.NET框架和Visual Studio、SQL Server、Windows Hyper-V、Skype、适用于 Android 的 Microsoft 组件、和微软Dynamics。微软还修复了另外五个 Chromium 缺陷。 其中两个漏洞（编号为CVE-2024-21407 和 CVE-2024-21408）被评为“严重”级，而其余漏洞为“重要”级。 漏洞 CVE-2024-21407 是 Windows Hyper-V 中的远程代码执行漏洞。 “此漏洞需要来宾虚拟机上经过身份验证的攻击者向虚拟机上的硬件资源发送特制的文件操作请求，这可能会导致在主机服务器上远程执行代码。” 安全公告中写道：“成功利用此漏洞需要攻击者收集特定环境的信息，并在利用之前采取其他措施来准备目标环境。” 漏洞 CVE-2024-21408 是 Windows Hyper-V 中的拒绝服务漏洞。 Microsoft 解决的评分最高的漏洞是开放管理基础设施 (OMI) 远程代码执行漏洞，编号为CVE-2024-21334（CVSS 评分 9.8）。 未经身份验证的远程攻击者可以触发此漏洞，在可通过 Internet 访问的 OMI 实例上执行代码。 “目前尚不清楚有多少系统可以通过互联网访问，但数量可能很大。微软给出了“利用可能性较小”的评级，但考虑到这是一个针对重要目标的简单释放后使用 (UAF) 漏洞，预计 TCP 端口 5986 的扫描很快就会增加。” 据 ZDI报道。 本月补丁日没有修复任何0day漏洞，但包含一些有趣的缺陷: CVE-2024-21400- Microsoft Azure Kubernetes 服务机密容器特权提升漏洞 Microsoft 修复了 Azure Kubernetes 服务中的一个漏洞，该漏洞可能允许攻击者获得提升的权限并窃取凭据。 Microsoft 安全公告解释道：“成功利用此漏洞的攻击者可能会窃取凭据并影响超出 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围的资源。” CVE-2024-26199 – Microsoft Office 权限提升漏洞 Microsoft 修复了 Office 漏洞，该漏洞允许任何经过身份验证的用户获得系统权限。 “任何经过身份验证的用户都可能触发此漏洞,它不需要管理员或其他提升的权限。”微软解释道。 CVE-2024-20671 – Microsoft Defender 安全功能绕过漏洞 微软修复了一个 Microsoft Defender 漏洞，微软解释说：“成功利用此漏洞的经过身份验证的攻击者可能会阻止 Microsoft Defender 启动。” 这将通过 Windows 设备上自动安装的 Windows Defender 反恶意软件平台更新来解决。此缺陷已在反恶意软件平台 4.18.24010.12 版本中修复。 CVE-2024-21411 – Skype for Consumer 远程代码执行漏洞 微软修复了 Skype for Consumer 的一个远程代码执行漏洞，该漏洞可能由恶意链接或图像触发。 微软解释说：“攻击者可以通过即时消息向用户发送恶意链接或恶意图像，然后说服用户单击该链接或图像来利用该漏洞。” 更多信息参考微软安全更新发行说明。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/AfVPHjx99c8Sim39rDdyuQ 封面来源于网络，如有侵权请联系删除

Magnet Goblin组织积极利用公共服务器中的漏洞，在Windows和Linux系统上部署恶意软件。 该组织的目标是1天漏洞，即已发布补丁的公开安全问题，要求攻击者在目标系统上安装更新之前迅速采取行动。 发现Magnet Goblin活动的Check Point分析师指出，该组织希望在发布漏洞利用PoC后立即利用漏洞。目标包括Ivanti Connect Secure、Apache ActiveMQ、ScreenConnect、Qlik Sense和Magento等设备或服务。它们可以使用专门的恶意软件（包括NerbianRAT和MiniNerbian），以及自定义JavaScript恶意软件变体WARPWIRE感染服务器，以窃取凭据。 针对Magento和Ivanti的活动涉及的基础设施分析揭示了针对Linux和Windows的其他工具的使用，包括ScreenConnect程序。还可能与CACTUS勒索软件有关，该勒索软件用于攻击Qlik Sense商业智能平台。 特别关注自2022年以来已知的Linux恶意软件NerbianRAT及其简化版本MiniNerbian。该程序的两个版本都可以收集系统信息、执行命令和控制（C2）服务器命令并提供加密通信。专家指出，MiniNerbian使用HTTP传输数据，并且仅在特定时间段内处于活动状态。 Magnet Goblin使用其工具通过不同的通信方法对受感染的系统提供可持续的控制：MiniNerbian通过HTTP进行通信，NerbianRAT使用原始TCP套接字。 Check Point 表示，在所有 1 天利用数据中识别 Magnet Goblin 攻击等特定威胁具有挑战性。这个问题使得黑客在漏洞被公开后所引发的混乱中无法被发现。为了对抗 1 天漏洞利用，及时修补至关重要。   转自安全客，原文链接：https://www.anquanke.com/post/id/293777 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Ultimate Member 插件中的高危 XSS 漏洞允许攻击者将脚本注入 WordPress 网站。 WordPress 安全公司 Defiant 的 Wordfence 团队发出警告称，Ultimate Member 插件中存在一个高危漏洞，可被利用将恶意脚本注入 WordPress 网站。 该漏洞编号为 CVE-2024-2123，被描述为跨站脚本（XSS）问题，利用了多个参数存储，允许攻击者将恶意脚本注入WordPress网站页面，并在加载这些页面时执行。 Wordfence解释称，该漏洞的根本原因在于Ultimate Member插件在输入清理和输出转义方面存在不足。具体而言，该插件的成员目录列表功能的实现不安全，未经身份验证的攻击者能够利用这一缺陷注入Web脚本。 由于“用户显示名称在插件模板文件中未经过转义显示”，并且用于编译用户数据的函数也不使用转义函数，因此攻击者可以在注册过程中提供恶意脚本作为用户名。 Wordfence 指出，通常情况下，CVE-2024-2123 等 XSS 漏洞可被利用注入代码来创建新的管理帐户、将访问者重定向到恶意网站或注入后门。 “由于该漏洞允许未经身份验证的攻击者在易受攻击的网站上利用，攻击者成功利用该漏洞后，可能获取运行易受攻击版本的插件的网站的管理用户访问权限， ”Wordfence 指出。 Wordfence指出，该安全漏洞于2月28日通过其漏洞赏金计划提交。插件的开发人员于3月2日获悉漏洞，并于3月6日发布了补丁。 此安全漏洞影响Ultimate Member 2.8.3及更早版本。建议用户尽快更新至Ultimate Member 2.8.4版本以修复该漏洞。 Ultimate Member是一个用于WordPress的用户配置文件和会员插件，拥有超过200,000个活跃安装。 根据WordPress的统计数据，在过去7天内，该插件被下载了约100,000次，这表明其一半用户仍然容易受到 CVE-2024-2123 的攻击。 消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文