思科发布了针对IOS RX软件中多个漏洞的补丁，其中包括三个高严重性缺陷，导致拒绝服务（DoS）和特权提升。 最严重的高严重性错误是CVE-2024-20320，这是IOS RX的SSH功能中的问题，攻击者可以通过向CLI发送精心设计的SSH命令来将权限提升到root。 该安全漏洞影响了8000系列路由器以及网络融合系统（NCS）540系列和5700系列路由器。通过IOS RX版本7.10.2的发布，该安全漏洞已得到修补。运行旧版本操作系统的设备应升级到已修补的版本。 第二个高严重性缺陷（CVE-2024-20318）影响启用了第2层服务功能的线卡。攻击者可以通过向易受攻击的设备发送特定的以太网帧，导致线卡网络处理器重置，并且可以重复该过程来重置线卡，从而导致拒绝服务（DoS）情况。 该漏洞已在IOS RX软件版本7.9.2和7.10.1中得到解决。 思科还发布了软件维护升级（SMU）来解决该错误。另外，思科还修补了CVE-2024-20327，这是一个影响ASR 9000系列路由器的以太网PPP（PPPoE）终止功能的高严重性DoS错误。对格式错误的PPPoE数据包处理不当会导致攻击者导致ppp_ma进程崩溃，从而导致PPPoE流量出现DoS状况。 思科表示，该问题影响路由器“在基于 Lightspeed 或 Lightspeed-Plus 的线卡上运行带有 PPPoE 终端的宽带网络网关 (BNG) 功能”。IOS RX 软件版本 7.9.21、7.10.1 和 7.11.1 包含针对此缺陷的补丁。 思科还宣布修复了 IOS XR 软件中的几个中等严重程度的漏洞，这些漏洞可能允许攻击者绕过保护、导致 DoS 情况或安装未经验证的软件映像。 这些缺陷已作为思科 2024 年 3 月半年度 IOS RX安全建议包的一部分得到解决，其中包括八项建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/293995 封面来源于网络，如有侵权请联系删除

趋势科技分析师报告称有黑客利用Windows SmartScreen 漏洞在目标系统投放DarkGate 恶意软件。 该漏洞被追踪为 CVE-2024-21412 漏洞，是一个 Windows Defender SmartScreen 漏洞，它允许特制的下载文件绕过这些安全警告。SmartScreen 是 Windows 的一项安全功能，当用户试图运行从互联网下载的未识别或可疑文件时会显示警告。 攻击者可以通过创建一个Windows Internet快捷方式（.url文件）来利用这个漏洞，该快捷方式指向另一个托管在远程SMB共享上的.url文件，这将导致最终位置的文件被自动执行。 今年二月中旬，微软已经修复了该漏洞。但据趋势科技披露，Water Hydra黑客组织曾利用该漏洞将DarkMe恶意软件投放到交易商的系统中。 DarkGate攻击细节 攻击始于一封包含 PDF 附件的恶意电子邮件，里面有一个链接利用谷歌 DoubleClick Digital Marketing（DDM）服务的开放重定向绕过电子邮件安全检查。当受害者点击链接时，他们会被重定向到一个托管互联网快捷方式文件的受攻击网络服务器。该快捷方式文件（.url）链接到由攻击者控制的 WebDAV 服务器上托管的第二个快捷方式文件。 利用 CVE-2024-21412 SmartScreen 漏洞 使用一个 Windows 快捷方式打开远程服务器上的第二个快捷方式可有效利用 CVE-2024-21412 漏洞，就会导致恶意 MSI 文件在设备上自动执行。 自动安装 MSI 文件的第二个 URL 快捷方式 这些 MSI 文件伪装成 NVIDIA、Apple iTunes 应用程序或 Notion 的合法软件。 执行 MSI 安装程序后，另一个涉及 “libcef.dll “文件和名为 “sqlite3.dll “的加载器的 DLL 侧载漏洞将解密并在系统上执行 DarkGate 恶意软件有效载荷。 一旦初始化，恶意软件就能窃取数据、获取附加有效载荷并将其注入正在运行的进程、执行密钥记录并为攻击者提供实时远程访问。 下图概括了 DarkGate 操作员自 2024 年 1 月中旬以来采用的复杂、多步骤感染链： 黑暗之门攻击链 趋势科技称，此次活动采用的是DarkGate 6.1.7版本，与旧版本5相比，该版本具有XOR加密配置、新配置选项以及命令和控制（C2）值更新等特点。 DarkGate 6 中提供的配置参数使其操作员能够确定各种操作策略和规避技术，例如启用启动持久性或指定最小磁盘存储和 RAM 大小以规避分析环境。 DarkGate v6 配置参数 今年2 月微软发布了 “星期二补丁 “更新，此次更新修复了 CVE-2024-21412漏洞。用户应第一时间下载更新包以降低攻击风险。 入侵指标 (IoC) 列表示意图 目前，趋势科技已公布了此次 DarkGate 活动的完整入侵指标 (IoC) 列表。   转自Freebuf，原文链接：https://www.freebuf.com/news/394773.html 封面来源于网络，如有侵权请联系删除

今天是微软2024年3月补丁日，微软发布了针对60个漏洞的安全更新，其中包括18个远程代码执行漏洞。 本月补丁仅修复了两个严重级别漏洞：Hyper-V 远程代码执行漏洞和拒绝服务漏洞。 按漏洞类别统计： 24个特权提升漏洞 3个安全功能绕过漏洞 18个远程代码执行漏洞 6个信息泄露漏洞 6个拒绝服务漏洞 2个欺骗漏洞 60 个安全漏洞总数不包括 3 月 7 日修复的 4 个 Microsoft Edge 缺陷。微软没有在今天的补丁日更新中披露任何0day漏洞。 本次更新修复以下组件的安全漏洞： Microsoft Windows 、Office、Azure、.NET框架和Visual Studio、SQL Server、Windows Hyper-V、Skype、适用于 Android 的 Microsoft 组件、和微软Dynamics。微软还修复了另外五个 Chromium 缺陷。 其中两个漏洞（编号为CVE-2024-21407 和 CVE-2024-21408）被评为“严重”级，而其余漏洞为“重要”级。 漏洞 CVE-2024-21407 是 Windows Hyper-V 中的远程代码执行漏洞。 “此漏洞需要来宾虚拟机上经过身份验证的攻击者向虚拟机上的硬件资源发送特制的文件操作请求，这可能会导致在主机服务器上远程执行代码。” 安全公告中写道：“成功利用此漏洞需要攻击者收集特定环境的信息，并在利用之前采取其他措施来准备目标环境。” 漏洞 CVE-2024-21408 是 Windows Hyper-V 中的拒绝服务漏洞。 Microsoft 解决的评分最高的漏洞是开放管理基础设施 (OMI) 远程代码执行漏洞，编号为CVE-2024-21334（CVSS 评分 9.8）。 未经身份验证的远程攻击者可以触发此漏洞，在可通过 Internet 访问的 OMI 实例上执行代码。 “目前尚不清楚有多少系统可以通过互联网访问，但数量可能很大。微软给出了“利用可能性较小”的评级，但考虑到这是一个针对重要目标的简单释放后使用 (UAF) 漏洞，预计 TCP 端口 5986 的扫描很快就会增加。” 据 ZDI报道。 本月补丁日没有修复任何0day漏洞，但包含一些有趣的缺陷: CVE-2024-21400- Microsoft Azure Kubernetes 服务机密容器特权提升漏洞 Microsoft 修复了 Azure Kubernetes 服务中的一个漏洞，该漏洞可能允许攻击者获得提升的权限并窃取凭据。 Microsoft 安全公告解释道：“成功利用此漏洞的攻击者可能会窃取凭据并影响超出 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围的资源。” CVE-2024-26199 – Microsoft Office 权限提升漏洞 Microsoft 修复了 Office 漏洞，该漏洞允许任何经过身份验证的用户获得系统权限。 “任何经过身份验证的用户都可能触发此漏洞,它不需要管理员或其他提升的权限。”微软解释道。 CVE-2024-20671 – Microsoft Defender 安全功能绕过漏洞 微软修复了一个 Microsoft Defender 漏洞，微软解释说：“成功利用此漏洞的经过身份验证的攻击者可能会阻止 Microsoft Defender 启动。” 这将通过 Windows 设备上自动安装的 Windows Defender 反恶意软件平台更新来解决。此缺陷已在反恶意软件平台 4.18.24010.12 版本中修复。 CVE-2024-21411 – Skype for Consumer 远程代码执行漏洞 微软修复了 Skype for Consumer 的一个远程代码执行漏洞，该漏洞可能由恶意链接或图像触发。 微软解释说：“攻击者可以通过即时消息向用户发送恶意链接或恶意图像，然后说服用户单击该链接或图像来利用该漏洞。” 更多信息参考微软安全更新发行说明。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/AfVPHjx99c8Sim39rDdyuQ 封面来源于网络，如有侵权请联系删除

Magnet Goblin组织积极利用公共服务器中的漏洞，在Windows和Linux系统上部署恶意软件。 该组织的目标是1天漏洞，即已发布补丁的公开安全问题，要求攻击者在目标系统上安装更新之前迅速采取行动。 发现Magnet Goblin活动的Check Point分析师指出，该组织希望在发布漏洞利用PoC后立即利用漏洞。目标包括Ivanti Connect Secure、Apache ActiveMQ、ScreenConnect、Qlik Sense和Magento等设备或服务。它们可以使用专门的恶意软件（包括NerbianRAT和MiniNerbian），以及自定义JavaScript恶意软件变体WARPWIRE感染服务器，以窃取凭据。 针对Magento和Ivanti的活动涉及的基础设施分析揭示了针对Linux和Windows的其他工具的使用，包括ScreenConnect程序。还可能与CACTUS勒索软件有关，该勒索软件用于攻击Qlik Sense商业智能平台。 特别关注自2022年以来已知的Linux恶意软件NerbianRAT及其简化版本MiniNerbian。该程序的两个版本都可以收集系统信息、执行命令和控制（C2）服务器命令并提供加密通信。专家指出，MiniNerbian使用HTTP传输数据，并且仅在特定时间段内处于活动状态。 Magnet Goblin使用其工具通过不同的通信方法对受感染的系统提供可持续的控制：MiniNerbian通过HTTP进行通信，NerbianRAT使用原始TCP套接字。 Check Point 表示，在所有 1 天利用数据中识别 Magnet Goblin 攻击等特定威胁具有挑战性。这个问题使得黑客在漏洞被公开后所引发的混乱中无法被发现。为了对抗 1 天漏洞利用，及时修补至关重要。   转自安全客，原文链接：https://www.anquanke.com/post/id/293777 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Ultimate Member 插件中的高危 XSS 漏洞允许攻击者将脚本注入 WordPress 网站。 WordPress 安全公司 Defiant 的 Wordfence 团队发出警告称，Ultimate Member 插件中存在一个高危漏洞，可被利用将恶意脚本注入 WordPress 网站。 该漏洞编号为 CVE-2024-2123，被描述为跨站脚本（XSS）问题，利用了多个参数存储，允许攻击者将恶意脚本注入WordPress网站页面，并在加载这些页面时执行。 Wordfence解释称，该漏洞的根本原因在于Ultimate Member插件在输入清理和输出转义方面存在不足。具体而言，该插件的成员目录列表功能的实现不安全，未经身份验证的攻击者能够利用这一缺陷注入Web脚本。 由于“用户显示名称在插件模板文件中未经过转义显示”，并且用于编译用户数据的函数也不使用转义函数，因此攻击者可以在注册过程中提供恶意脚本作为用户名。 Wordfence 指出，通常情况下，CVE-2024-2123 等 XSS 漏洞可被利用注入代码来创建新的管理帐户、将访问者重定向到恶意网站或注入后门。 “由于该漏洞允许未经身份验证的攻击者在易受攻击的网站上利用，攻击者成功利用该漏洞后，可能获取运行易受攻击版本的插件的网站的管理用户访问权限， ”Wordfence 指出。 Wordfence指出，该安全漏洞于2月28日通过其漏洞赏金计划提交。插件的开发人员于3月2日获悉漏洞，并于3月6日发布了补丁。 此安全漏洞影响Ultimate Member 2.8.3及更早版本。建议用户尽快更新至Ultimate Member 2.8.4版本以修复该漏洞。 Ultimate Member是一个用于WordPress的用户配置文件和会员插件，拥有超过200,000个活跃安装。 根据WordPress的统计数据，在过去7天内，该插件被下载了约100,000次，这表明其一半用户仍然容易受到 CVE-2024-2123 的攻击。 消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

该漏洞影响全球超过 100 万辆特斯拉 Model 3 车辆。 安全研究人员Talal Haj Bakri和Tommy Misk展示了如何利用网络钓鱼攻击来危害特斯拉车主的帐户，解锁汽车并启动发动机。这次攻击与特斯拉应用程序的最新版本4.30.6和汽车固件版本11.1 2024.2.7有关。 研究人员已向特斯拉报告了他们发现的漏洞，并指出将汽车与新手机连接的程序存在安全性问题。然而，制造商认为这个错误微不足道。 为了演示攻击，他们使用了Flipper Zero小工具，但也可以使用其他设备（计算机、Raspberry Pi或 Android 智能手机）进行攻击。 攻击首先在特斯拉充电站部署了一个名为“Tesla Guest”的虚假WiFi网络。这个SSID通常可以在特斯拉服务中心找到，并且为车主所熟知。连接到虚假网络后，受害者会看到一个钓鱼特斯拉帐户登录页面，其中输入的凭据会立即发送给攻击者。 网络钓鱼过程   攻击者在获取了特斯拉车主的凭据后，请求一次性密码以绕过双因素身份验证 (2FA) 并获得对特斯拉应用程序的访问权限，从而能够实时跟踪车辆的位置。 一旦攻击者获得了特斯拉帐户的访问权限，他们可以添加新的电话钥匙，而这需要靠近汽车。电话钥匙通过特斯拉移动应用程序和车主的智能手机工作，提供通过安全蓝牙连接自动锁定和解锁车辆的功能。 值得注意的是，一旦添加了新的电话钥匙，特斯拉车主在应用程序中不会收到任何通知，汽车的触摸屏上也不会显示任何警告。使用新的电话钥匙，攻击者可以解锁车辆并激活其所有系统，使其能够像车主一样开车离开。 这种攻击在特斯拉 Model 3 上成功进行。研究人员建议在添加新的电话钥匙时，需要物理特斯拉钥匙卡（RFID 卡）来增加额外的身份验证层，以提高安全性。 特斯拉汽车还使用钥匙卡，这是一种薄的RFID卡，必须放置在中控台上的RFID读取器中才能启动汽车。尽管它们更安全，但如果电话钥匙不可用或电池电量不足，特斯拉将它们视为备用选项。 对于这一漏洞，特斯拉表示，相关系统行为是设计使然，特斯拉Model 3用户手册并未表明需要RFID卡才能添加Phone Key。特斯拉没有回应置评请求，也没有计划发布软件更新来防止此类攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/293736 封面来源于网络，如有侵权请联系删除

思科发布了更新，以解决其安全客户端软件中的一个严重漏洞，该漏洞允许攻击者连接到目标用户的VPN会话。 该漏洞编号为 CVE-2024-20337 ， CVSS严重等级为 8.2 ，允许未经身份验证的远程攻击者进行CRLF 注入攻击，从而允许黑客在建立 VPN 会话期间强迫受害者单击特制链接。 攻击允许攻击者在受害者的浏览器中执行任意脚本或访问敏感信息，包括有效的SAML令牌，这反过来又允许攻击者使用受影响用户的权限建立对 VPN 会话的远程访问。 该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，公司已在最新的软件版本中修复，可以在此页面上找到安全版本表 。 此外，思科还解决了 Secure Client for Linux 中的另一个严重漏洞 CVE-2024-20338 (CVSS 7.3)，该漏洞可能允许具有本地访问权限的攻击者升级其在设备上的权限。该漏洞已在5.1.2.42版本中修复。 思科敦促用户立即更新他们的系统，以保护免受可能的攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/293734 封面来源于网络，如有侵权请联系删除

Apple 发布了紧急安全更新，以解决两个 iOS 0day漏洞，分别为 CVE-2024-23225 和 CVE-2024-23296，这些漏洞在针对 iPhone 设备的攻击中被利用。 CVE-2024-23225 是一个内核内存损坏漏洞，该公司通过改进验证来解决该漏洞。 “具有任意内核读写能力的攻击者可能能够绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用。” CVE-2024-23225 是一个 RTKit 内存损坏漏洞，该公司通过改进验证来解决该缺陷。 “具有任意内核读写能力的攻击者可能能够绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用。” 苹果证实这两个漏洞都被积极利用。该公司表示：“苹果公司已获悉有关此问题可能已被利用的报告。” 受影响的设备包括 iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini第五代及以后。 苹果通过发布iOS 17.4、  iPadOS 17.4、  iOS 16.76和 iPad 16.7.6解决了这两个漏洞。 iPhone 漏洞通常被商业间谍软件供应商或民族国家行为者利用，在许多情况下，目标是持不同政见者和记者。 普通用户通常勿须过度担心，苹果系统的0day漏洞攻击往往针对那些特殊目标。普通用户只须在苹果发布安全更新后及时升级系统即可降低风险。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mUECkn3t2VYlQseGWUwMKQ 封面来源于网络，如有侵权请联系删除

Kimsuky（又名 Thallium 和 Velvet Chollima）是一个朝鲜黑客组织，以对全球组织和政府进行网络间谍攻击而闻名。 近日，有安全人员发现该黑客组织正利用 ScreenConnect 漏洞投递ToddleShark 的新型恶意软件，尤其是 CVE-2024-1708 和 CVE-2024-1709。 据悉，这些黑客利用的是今年 2 月 20 日披露的身份验证绕过和远程代码执行漏洞，当时 ConnectWise 敦促 ScreenConnect 客户立即将其服务器升级到 23.9.8 或更高版本。2 月 21 日，针对这两个漏洞的公开漏洞被发布，包括勒索软件行为者在内的黑客们很快开始在实际攻击中利用这些漏洞。 根据 Kroll 网络情报团队发布的报告，新的 Kimsuky 恶意软件具有多态性特征，似乎是为长期间谍活动和情报搜集而设计的。 ToddleShark使用合法的微软二进制文件来最小化其痕迹，执行注册表修改以降低安全防御，并通过计划任务建立持久访问，随后是持续的数据窃取和外渗阶段。 ToddleShark 的详细信息 克罗尔公司的分析师表示，ToddleShark 是 Kimsuky 的 BabyShark 和 ReconShark 后门的新变种，以前曾以美国、欧洲和亚洲的政府组织、研究中心、大学和智库为目标。 黑客通过利用漏洞获得 ScreenConnect 端点的初始访问权限，从而获得身份验证绕过和代码执行能力。随后 Kimsuky 会使用合法的微软二进制文件（如 mshta.exe）来执行恶意脚本，如严重混淆的 VBS，将其活动与正常的系统进程混合。 该恶意软件会更改 Windows 注册表中的 VBAWarnings 键，允许在各种 Microsoft Word 和 Excel 版本上运行宏。同时创建计划任务，通过定期（每分钟）执行恶意代码来建立持久性。 注册表修改 ToddleShark 会定期从受感染设备中收集系统信息，包括以下内容： 主机名 系统配置详情 用户账户 活动用户会话 网络配置 已安装的安全软件 所有当前网络连接 枚举正在运行的进程 通过解析常用安装路径和 Windows 开始菜单列出已安装的软件 用于窃取数据的 16 个 cmd.exe 实例 最后，ToddleShark 会将收集到的信息编码成隐私增强邮件 (PEM) 证书，并外泄到攻击者的指挥和控制 (C2) 基础设施，这是一种先进的已知 Kimsuky 策略。 多态恶意软件 新恶意软件的一个显著特征是多态性，这使其在许多情况下都能逃避检测，并使分析更具挑战性。ToddleShark 通过几种技术实现了这一点。 首先，它在初始感染步骤中使用的被严重混淆的 VBScript 中使用随机生成的函数和变量名，从而增加了静态检测的难度。大量十六进制编码代码与垃圾代码穿插在一起，可能会使恶意软件有效载荷看起来是良性或不可执行的。 隐藏在垃圾代码中的功能代码 此外，ToddleShark 还采用了随机字符串和[功能]代码定位，这足以改变其结构模式，使基于签名的检测对其无效。 最后，用于下载附加阶段的 URL 是动态生成的，从 C2 获取的初始有效载荷的哈希值始终是唯一的，因此标准的拦截列表方法几乎是无效的。 Kroll 公司将在其网站上发布博文，分享与 ToddleShark 有关的具体细节和（入侵指标）IoC。   转自Freebuf，原文链接：https://www.freebuf.com/news/393309.html 封面来源于网络，如有侵权请联系删除

Techreport网站消息，近日，美国法院下令要求以色列间谍软件开发商NSO集团将其Pegasus间谍软件的代码交给WhatsApp。 2019年，NSO集团利用WhatsApp的安全漏洞对1400名用户进行了为期两周的监视。同年，WhatsApp向该公司提起了法律诉讼。自那时起，诉讼一直在进行。 至今，美国法院下达该命令，这标志着WhatsApp诉讼的一次重要胜利。 另外，法院还要求NSO集团向WhatsApp演示这些间谍软件的工作原理，并提供完整功能的详细解读。 唯一对NSO集团有利的是，目前他们不需要披露其客户名单，也无需透露是谁指示他们监控那1400人，更不需要透露有关其服务器基础设施的信息。 NSO集团有何回应？ 目前，NSO集团未对此事件发表评论，或许是因为诉讼仍在进行中。 这项判决是由美国地方法院作出的，NSO集团对此并不满意。判决之前，该公司曾向美国最高法院申请驳回该案件。NSO集团认为，因为他们代表外国政府行事，应该获得法律豁免权。并且，他们将Pegasus间谍软件仅出售给经过“审查”的政府机构，且其使用目的仅限于打击恐怖主义活动。 在诉讼中，WhatsApp声称被监视的人包括记者、政治人物、外交官、人权倡导者以及一些外国政府的高级官员。因此，这些账户被标记为“恐怖主义调查对象”的理由并不成立，这使得NSO集团的主张显得没那么可信了。 2023年，由于间谍软件使用目的未公开，最高法院认定NSO集团的主张没有根据，并驳回了上诉请求，允许WhatsApp继续进行诉讼。 Pegasus是什么？NSO集团到底是做什么的？ Pegasus是一款间谍软件，一旦安装在目标设备上，就能够无限制地获取该设备上的所有内容，包括短信、图片、电子邮件、联系人，甚至是电话通话记录。 虽然NSO集团声称自己代表外国政府，但它在美国的声誉并不好。实际上，在2021年，乔·拜登总统将其列入黑名单，原因是发现其行为与美国的外交政策和国家安全利益相悖。 NSO集团表示，他们仅将这款间谍软件出售给全球的政府机构，并声称他们对购买者选择如何使用该软件不承担责任。 虽然从未公开披露过其客户名单，但内部报告显示，匈牙利、印度、卢旺达、沙特阿拉伯和阿联酋等国家曾与NSO集团有过商业往来。   转自Freebuf，原文链接：https://www.freebuf.com/news/393194.html 封面来源于网络，如有侵权请联系删除