HackerNews 编译，转载请注明出处： Quarkslab 研究人员发现了 9 个漏洞，统称为PixieFail。这些漏洞影响了 UEFI 的开源参考实现 EDK II 的 IPv6 网络协议栈。 统一可扩展固件接口（UEFI）是一项规范，定义了用于引导计算机硬件并与操作系统进行交互的平台固件的架构。实现该规范的固件示例包括 AMI Aptio、Phoenix SecureCore、TianoCore EDK II、InsydeH2O 等。 研究人员在分析 Tianocore 的 EDK II PXE 实现 NetworkPkg 时发现了这些漏洞。这些漏洞的严重程度和潜在利用可能取决于特定固件构建和默认的 PXE 引导配置。 PixieFail 漏洞可被利用以实现远程代码执行和敏感信息泄露，并执行拒绝服务（DoS）和网络会话劫持攻击。 NetworkPkg 是一组在 UEFI 环境中实现网络功能的模块。UEFI 中的 NetworkPkg 可能包括在预引导阶段初始化和管理与网络相关功能的模块。这可能涉及用于与网络设备交互的协议，如用于网络引导的 Preboot eXecution Environment（PXE）协议。 “为了从网络引导，客户端系统必须能够定位、下载和执行设置、配置和运行操作系统的代码。这通常是通过几个阶段完成的，首先通过简单协议（如TFTP）从网络服务器下载一个最小程序，然后下载并运行第二个引导阶段或完整的操作系统映像。”通告中写道。 “为了定位这个最小程序，称为网络引导程序（NBP），PXE 客户端依赖 DHCP 服务器来获取配置参数，以用有效的 IP 地址配置其网络接口，并接收要查询 NBP 文件的启动服务器列表。” “由于 DHCP 服务器必须提供这样的列表和其他特殊参数，因此 PXE 客户端必须发送一些强制性的与 PXE 相关的 DHCP 选项，且 DHCP 服务器必须是‘PXE启用’的，即配置适当以识别 PXE 客户端选项并回复正确的 DHCP 服务器选项。” 以下是专家发现的 PixieFAIL 漏洞列表： CVE-2023-45229 – 处理 DHCPv6 Advertise 消息中的 IA_NA/IA_TA 选项时出现整数下溢 CVE-2023-45230 – DHCPv6 客户端中通过长服务器 ID 选项发生缓冲区溢出 CVE-2023-45231 – 处理带有截断选项的 ND 重定向消息时出现越界读取 CVE-2023-45232 – 解析目标选项标头中的未知选项时出现无限循环 CVE-2023-45233 – 解析目标选项标头中的 PadN 选项时出现无限循环 CVE-2023-45234 – 处理 DHCPv6 通告消息中的 DNS 服务器选项时缓冲区溢出 CVE-2023-45235 – 从 DHCPv6 代理播发消息处理服务器 ID 选项时出现缓冲区溢出 CVE-2023-45236 – 可预测的 TCP 初始序列号 CVE-2023-45237 – 使用弱伪随机数生成器 CERT 协调中心 （CERT/CC） 也发布了有关这些漏洞的公告。 “本地网络中的攻击者（在某些情况下是远程的）可以利用这些漏洞来执行远程代码、发起 DoS 攻击、进行 DNS 缓存中毒或提取敏感信息。” CERT/CC 还发布了漏洞说明，其中包含受影响供应商的完整列表以及缓解这些问题的指南。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

越来越多的神经网络开发人员使用 GPU 处理器，但其安全性如何呢？ 人工智能系统的发展势头强劲。越来越多的公司开始使用图形处理单元 ( GPU ) 来获取运行大型语言模型和快速处理大量数据所需的计算能力。GPU 的需求从未如此之高，芯片制造商正在积极增加供应。 然而，在最近的一项研究中，专家同时提请注意多个型号和品牌的漏洞，特别是苹果、高通和 AMD 芯片。此问题可能允许攻击者从处理器内存中窃取大量数据。 长期以来，制造商一直在提高中央处理单元的安全性，以避免内存中的敏感数据泄露。GPU 的设计优先考虑图形性能而不是信息安全。然而，随着 GPU 在生成型人工智能和机器学习领域的使用不断扩大， Trail of Bits 的专家警告称，需要解决的威胁正在不断增加。 Trail of Bits 的人工智能和机器学习安全总监 Heidi Hlaaf 评论道：“这些 GPU 存在严重的安全问题，可能会导致大量数据泄露。” 要利用这个被分析师称为 LeftoverLocals 的漏洞，攻击者必须已经在受攻击设备的操作系统上具备一定级别的访问权限。 现代计算机和服务器经过专门设计，可以使用相同的计算资源隔离来自不同用户的数据。然而，LeftoverLocals 攻击打破了这些障碍。通过利用该漏洞，黑客能够从易受攻击的 GPU 的本地内存中获取正常条件下无法获取的任何信息。这些可以是来自语言模型的请求和响应，以及控制它们的权重。 去年夏天，研究人员测试了来自 7 家制造商的 11 款芯片以及几个相关的软件框架。他们在 Apple、AMD 和 Qualcomm 的处理器中发现了 LeftoverLocals。9 月，CERT 中心和 Khronos Group 合作开始大规模传播有关该漏洞的信息。 Nvidia、Intel 或 Arm 处理器没有发现任何问题。但苹果、高通和 AMD 的代表证实，他们的产品容易受到此漏洞的影响。这意味着 AMD Radeon RX 7900 XT 等知名芯片以及 iPhone 12 Pro 和苹果 MacBook Air M2 等设备都面临风险。 苹果发言人指出，该公司已发布针对 2023 年底推出的最新 M3 和 A17 处理器的修复程序。因此，该漏洞仍然存在于数百万使用旧芯片的前代 iPhone、iPad 和 MacBook 中。 1 月 10 日，Trail of Bits 重新测试了多款苹果设备。他们确认 MacBook Air M2 仍然存在漏洞，而第三代 iPad Air A12 似乎已经修复。 高通表示，该公司目前正在开发安全更新，并建议用户安装制造商提供的补丁。据 Trail of Bits 报道，高通已经发布了必要的固件。 1 月 10 日，AMD 发布了一份网络安全公告，详细介绍了该公司消除 LeftoverLocals 的计划。更正将于三月份进行。 谷歌还表示，它已经意识到一个影响 AMD、苹果和高通 GPU 的问题。该公司已经发布了针对具有易受攻击的 AMD 和高通 GPU 的 ChromeOS 设备的更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/292717 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，GitHub 轮换了 12 月份修补的漏洞可能泄露的密钥，漏洞被追踪为 CVE-2024-0200，不仅允许威胁攻击者在未打补丁的服务器上远程执行代码，还支持威胁攻击者访问生产容器的环境变量（包括凭据）。 近期，GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补，GitHub 方面敦促所有客户应尽快安装安全更新，以避免遭受网络安全威胁。 值得一提的是，针对 CVE-2024-0200 漏洞的利用可能稍微有点复杂并，如果想要成功利用漏洞，威胁攻击者需要使用组织所有者角色（具有组织的管理员访问权限）进行身份验证。 Github 副总裁兼副首席安全官 Jacob DePriest 表示，2023 年 12 月 26 日，GitHub 通过 Bug 赏金计划收到一份安全报告，其中显示了一个安全漏洞，如果一旦成功利用该漏洞，便可以轻松访问生产容器中的凭据。事发当天，公司就组织了安全研究人员在 GitHub.com 上修复了漏洞，并开始轮换所有可能暴露的凭证。 在进行了全面调查后，根据漏洞问题的独特性以及对内部的遥测和日志记录的分析，公司研究人员有信心地认为 CVE-2024-0200  漏洞没有被威胁攻击者发现和利用过。DePriest 还强调，根据安全程序且出于谨慎考虑，公司对凭证进行了轮换，并强烈建议用户定期从 API 中提取公钥，以确保使用的是来自 GitHub 的最新数据。 此外，尽管 GitHub 在 12 月份轮换的大部分密钥无需客户自行操作，但那些使用 GitHub 提交签名密钥和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客户加密密钥的用户需要导入新的公钥。 近期，GitHub 似乎很不”健康“，接连爆出多个安全漏洞。前段时间，GitHub 方面修复了一个高严重性企业服务器命令注入漏洞（CVE-2024-0507），该漏洞允许威胁攻击者使用具有编辑器角色的管理控制台用户账户提升权限。 2023 年 3 月，GitHub.com 的私人 SSH 密钥意外地通过 GitHub 公共仓库 “短暂 “暴露了一段时间，影响了使用 RSA 通过 SSH 进行的 Git 操作，之后该公司也轮换了 GitHub.com 的私人 SSH 密钥。 2022 年 12 月，威胁攻击者在攻破 GitHub 公司的开发和发布计划存储库后，窃取了大量敏感数据，迫使GitHub 不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389885.html 封面来源于网络，如有侵权请联系删除

渗透测试公司 STM Cyber 报告称，PAX Technology 的基于 Android 的 PoS（销售点）终端受到一系列漏洞的影响，这些漏洞可被利用来执行任意代码或命令。 PAX 总部位于中国，生产支付终端、密码键盘以及 PoS 硬件和软件，产品销往全球。PAX 的 PoS 设备在基于 Android 的 PayDroid 上运行。 据 STM Cyber 称，虽然沙箱可以防止终端上的应用程序相互交互，但具有 root 访问权限的攻击者可以篡改任何应用程序，包括支付流程。 尽管攻击者无法访问解密的支付信息，但他们可以修改交易金额和其他相关数据，STM Cyber 在 PAX PoS 设备中发现了六个漏洞，在一份技术报告中解释道，该报告还包括证明：概念（PoC）利用。 该公司表示，攻击者可以通过物理 USB 访问易受攻击的设备来利用其中三个问题。 第一个漏洞 CVE-2023-4818 允许攻击者将 PAX A920 设备的引导加载程序降级到以前的、可能存在漏洞的版本。然而，签名检查仅允许加载由 PAX 签名的引导加载程序。 第二个问题 CVE-2023-42134 允许攻击者注入内核参数并在任何 PAX PoS 设备上以 root 权限执行任意代码。该错误可以在快速启动模式下通过执行隐藏命令来覆盖未签名的分区来利用。 接下来是 CVE-2023-42135，这是一个类似的内核参数注入缺陷，导致通过刷新不同的未签名分区来执行代码。该问题影响 PAX A920Pro/A50 设备。 STM Cyber 解释说，影响所有 PAX PoS 终端的另外两个漏洞可以被攻击者利用 shell 访问易受攻击的设备来执行任意命令。 第一个漏洞编号为 CVE-2023-42136，允许攻击者注入以特定单词开头的 shell 命令，绕过现有检查并获得“系统”权限。 攻击者可以利用第二个缺陷 CVE-2023-42137 覆盖任意文件，并可能将其权限提升到系统或 root。 第六个安全缺陷（编号为 CVE-2023-42133）的详细信息尚未发布。 STM Cyber 于 2023 年 5 月向 PAX 报告了这些漏洞，并于 8 月通知了波兰 CERT。PAX 已发布针对所有漏洞的补丁。   转自安全客，原文链接：https://www.anquanke.com/post/id/292699 封面来源于网络，如有侵权请联系删除

1月16日，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布了一份关于该恶意软件的联合公告，称名为Androxgh0st 恶意软件的幕后黑客正在创建一个强大的僵尸网络。 Androxgh0st最早可以追溯到 2022 年 12 月，当时 Lacework 的研究人员发现该恶意软件被用于窃取各种凭证，这些凭证来自很多主流应用，例如 Amazon Web Services、Microsoft Office 365、SendGrid 和 Twilio。 研究人员表示，由Androxgh0st 组建的僵尸网络会搜索 .env 文件，这类文件通常被用来存储凭证和令牌。恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能，例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及 Web shell 部署。 此外，该恶意软件还使用 Laravel 框架（一种用于开发 Web 应用程序的工具）漏洞搜索网站。一旦僵尸网络发现又使用 Laravel 的网站，就会尝试确定某些包含凭证的文件是否暴露。 而这框架一漏洞被追踪为CVE-2018-15133，CISA于1月16日将该漏洞添加到其已知利用漏洞目录中。美国联邦民事机构必须在 2 月 6 日之前对其进行修补。 网络安全专家约翰·史密斯（John Smith） 表示，AndroxGh0st 是云基础设施面临的威胁日益增长的另一个例子。 该恶意软件用于加密劫持、垃圾邮件或恶意电子邮件活动，并利用 Web 应用程序中未修补的漏洞进行横向移动，并通过创建帐户和提升权限来维持持久性。 史密斯指出，由于 AndroxGh0st 正在利用暴露的 .env 文件和未修补的漏洞，因此建议用户定期检查和监控云环境是否存在任何暴露，并制定带外修补策略。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389879.html 封面来源于网络，如有侵权请联系删除

谷歌发布了一项紧急更新，旨在修复 Chrome 浏览器中的三个高度严重的安全漏洞，并警告其中一个漏洞已被广泛利用。 被利用的零日漏洞被标记为 CVE-2024-0519，被描述为 V8 JavaScript 引擎中的越界内存访问问题。 按照惯例，谷歌未提供关于攻击范围的详细信息，也没有共享遥测数据来帮助防御者寻找妥协的迹象。 谷歌的一份简要声明指出：“谷歌已经获知了与 CVE-2024-0519 漏洞相关的报告。” 公司表示，这个零日漏洞是匿名报告的。 最新的 Chrome 浏览器更新还解决了 V8 中另外两个被评为高危的内存安全问题。谷歌表示，此次更新还包括了在内部通过审计、模糊测试等方式发现的多项修复。 就在几周前，谷歌发布了针对多个内存安全问题的补丁，这些问题使用户容易受到代码执行攻击的威胁。 2023 年，谷歌修复了至少 7 个在野外利用过程中发现的零日漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/292683 封面来源于网络，如有侵权请联系删除

据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 这一安全漏洞被标识为 CVE-2023-36025（CVSS 评分为 8.8），于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁，而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录，证实了在野外攻击中存在相关证据。 根据微软的通报，黑客可以通过向用户发送精心设计的互联网快捷方式文件（URL）并说服收件人点击它来利用该问题。 这家科技巨头表示：“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 在漏洞公开披露后，我们观察到黑客展示了对该漏洞的利用，并发布了各种概念验证 (PoC) 漏洞，并且许多黑客已将此漏洞的利用纳入其攻击链中。 现在，趋势科技报告称，恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer，这是一种以前未知的恶意软件类型，可以从受感染的系统中获取大量信息。 Phemedrone Stealer 采用 C# 编写，可作为开源软件使用，并在 GitHub 和 Telegram 上积极维护。 除了从网络浏览器、加密货币钱包和各种消息应用程序（包括 Telegram、Steam 和 Discord）窃取数据之外，该威胁还会截取屏幕截图并收集系统信息，包括硬件详细信息和位置数据。 然后，收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。 作为观察到的攻击的一部分，利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后，这些文件会下载并执行一个控制面板项 (.cpl) 文件，该文件调用 rundll32.exe 来执行恶意 DLL，充当下一阶段的加载程序，该阶段托管在 GitHub 上。 下一阶段是一个模糊加载器，它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件，进而加载 Phemedrone Stealer 有效负载。 趋势科技指出：“尽管已经打了补丁，但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法，以多种恶意软件类型感染用户，包括勒索软件和 Phemedrone Stealer 等窃取程序。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292678 封面来源于网络，如有侵权请联系删除

Aqua Security披露了Apache产品的安全漏洞。 网络安全研究人员发现一种新型攻击，利用Apache Hadoop和Flink软件中的配置缺陷，在目标系统上部署了加密货币矿工。 Aqua Security的研究人员在1月8日发布的报告中指出：“由于攻击者采用shell程序和rootkit来隐匿恶意软件，因此这次攻击具有特殊的迷惑性。” 该恶意软件会删除特定目录的内容并修改系统配置，以规避检测。 Apache Hadoop感染链利用了YARN（Yet Another Resource Negotiator）资源管理器的配置错误，该资源管理器负责追踪集群中的资源并调度应用程序。 具体而言，这一缺陷允许未经身份验证的远程攻击者通过特制的HTTP请求执行任意代码，具体效果取决于用户在执行代码的主机上的权限。针对Apache Flink的类似攻击同样针对错误配置，该配置允许远程攻击者在无需任何身份验证的情况下执行代码。 这些漏洞并非新现象，先前曾有组织以经济利益为动机（例如TeamTNT）利用这些漏洞进行攻击，以在Docker和Kubernetes中进行加密劫持和其他恶意活动而声名鹊起。然而，最新的攻击引人注目的地方在于，在成功渗透Hadoop和Flink应用程序后，攻击者使用rootkit来隐匿加密货币挖掘过程。 攻击始于攻击者发送未经身份验证的请求以部署新应用程序，随后向YARN发送POST请求，要求执行特定命令以启动该新应用程序。该命令的目的是在执行过程中清空/tmp目录下的所有现有文件，从远程服务器下载名为“dca”的文件并执行，最后再次清空/tmp目录下的所有文件。 运行的代码是一个打包的ELF二进制文件，该文件加载了两个rootkit和一个门罗币矿工二进制文件。为了确保攻击的持久性，攻击者创建了一个cron作业，用于下载并执行部署“dca”二进制文件的shell脚本。 通过对攻击者基础设施的分析，发现用于下载有效负载的服务器在2023年10月31日注册。 为缓解此类攻击，建议组织部署基于代理的安全解决方案，以检测加密货币挖矿程序、rootkit、打包的二进制文件以及其他可疑活动。   转自安全客，原文链接：https://www.anquanke.com/post/id/292629 封面来源于网络，如有侵权请联系删除

Security Affairs 网站消息，苹果近期发布了 Magic Keyboard 固件更新版本 2.0.6，解决了蓝牙键盘注入漏洞问题（漏洞被追踪为 CVE-2024-0230）。据悉，该安全漏洞是一个会话管理问题，由 kySafe 公司研究员 Marc Newlin 发现并上报，黑客能够利用漏洞获取键盘物理访问权限，窃取其蓝牙配对密钥并监控蓝牙通信。 苹果公司在公告中指出，威胁攻击者一旦成功对配件进行物理访问，就有可能提取其蓝牙配对密钥并监控蓝牙流量。此外，威胁攻击者还可以利用未经验证的蓝牙连接到受影响的设备并注入恶意程序，从而实现安装应用程序、执行任意命令、转发消息等操作。 未打补丁的设备在以下情况下容易受到网络攻击： 只要启用蓝牙，安卓设备就会受到攻击； Linux/BlueZ 要求蓝牙可被发现/连接； iOS 和 macOS 在启用蓝牙且 Magic Keyboard 已与手机或电脑配对的情况下存在漏洞。 Magic Keyboard 固件更新 2.0.6 适用于 Magic Keyboard、Magic Keyboard (2021)、带数字键盘的 Magic Keyboard、带 Touch ID 的 Magic Keyboard 以及带 Touch ID 和数字键盘的 Magic Keyboard 等版本。 最后，研究人员指出锁定模式并不能阻止黑客利用 CVE-2024-0230 安全漏洞，目前也尚不清楚漏洞是否已被在野攻击被利用。 过去一年，苹果曝出多个高危漏洞 2023 年 2 月份，苹果公司发布安全更新，解决旧款 iPhone 和 iPad 中的零日漏洞  CVE-2023-23529。据悉，该漏洞是一个 WebKit 类型的混淆问题。 CVE-2023-23529 安全漏洞危害极大，一旦被威胁攻击者成功利用，可能会引起操作系统崩溃，威胁攻击者甚至可以在诱骗受害者打开恶意网页后，在目标 iPhone 和 iPad 上执行任意代码（该漏洞也会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1）。 2023 年上半年 ，研究人员还在 WebKit 浏览器引擎中发现了三个零日漏洞，分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373。 威胁攻击者可以利用上述三个漏洞，侵入用户设备访问用户敏感信息，甚至可以诱使受害者目标加载恶意制作的网页（网络内容），在受损设备上执行任意代码。 接收到漏洞反馈后，苹果公司通过改进边界检查、输入验证和内存管理苹果在 5 月 1 日发布的 iOS 16.4.1 和 macOS 13.3.1设备的快速安全响应（RSR）补丁解决 CVE-2023-28204 和 CVE-2023-32373 这两个漏洞问题。   转自Freebuf，原文链接：https://www.freebuf.com/news/389665.html 封面来源于网络，如有侵权请联系删除

近日，思科修补了一个关键的 Unity Connection 安全漏洞，该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案，适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、Cisco Unified IP Phone、智能手机或平板电脑，支持高可用性和冗余。 该漏洞（CVE-2024-20272）出现在该软件基于网络的管理界面上，是由于特定 API 缺乏身份验证以及对用户提供的数据验证不当造成的。攻击者可通过向目标和易受攻击系统上传任意文件，在底层操作系统上执行命令。成功利用后，攻击者可以在系统上存储恶意文件，在操作系统上执行任意命令，并将权限提升至 root。 幸运的是，思科的产品安全事故响应小组（PSIRT）表示，目前还没有证据表明该漏洞已被利用的情况出现。 利用 PoC 漏洞进行命令注入 昨天（1月10日），思科宣布修补了多款产品中的十个中等严重性安全漏洞，这些漏洞允许攻击者升级权限、发起跨站脚本（XSS）攻击、注入命令等。 其中一个漏洞的概念验证利用代码已在网上公布，该漏洞是思科 WAP371 无线接入点基于 Web 的管理界面中的一个命令注入漏洞，被追踪为 CVE-2024-20287。 尽管攻击者可以利用这个漏洞在未打补丁的设备上以 root 权限执行任意命令，但要成功利用这个漏洞还需要管理凭据。 思科表示，由于思科WAP371设备已于2019年6月达到报废年限，因此不会发布固件更新来修补 CVE-2024-20287 安全漏洞。 同时，该公司建议网络上有 WAP371 设备的客户尽快迁移到思科 Business 240AC 接入点。 去年10 月，思科还修补了两个零日漏洞（CVE-2023-20198 和 CVE-2023-20273），这些漏洞在一周内被利用入侵了 50,000 多台 IOS XE 设备。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389437.html 封面来源于网络，如有侵权请联系删除