HackerNws编译，转载请注明出处： 研究人员Jose Rodriguez在 Android 14和13中发现了一个能绕过锁屏的漏洞，该漏洞可能会暴露用户 Google 帐户中照片、联系人、浏览记录等多项敏感数据。 几个月前，该研究人员在多个平台上发布消息，包括Twitter、Reddit和Telegram，询问是否可能从锁屏界面打开Google Maps链接，因为他无法在他的Pixel上锁定的情况下完成这个操作。 Rodriguez发现可以绕过锁定屏幕，并声称谷歌也意识到这个问题至少六个月，但尚未解决。 他在5月份向谷歌报告了这个问题，并指出到11月底，谷歌仍然没有计划进行安全更新的日期。 Rodriguez解释说，漏洞利用的影响因用户安装和配置谷歌地图而异。如果激活驾驶模式，严重程度会显著升级。 以下是研究人员描述的两种情况以及相关的严重性级别： 如果用户未激活“驾驶模式”：攻击者可以访问最近和常用的地点（如家、工作地点），同时还能够获取联系人信息，并与联系人实时分享位置，或者通过手动输入攻击者可以进入的电子邮件地址进行位置共享。 如果用户已激活了“驾驶模式”：除了前述访问权限外，攻击者还可以通过链接另一个漏洞访问设备的照片，将其发布或添加为账户的个人资料图片。此外，攻击者还能够访问Google账户或多个账户的广泛信息和配置，有可能从第二个设备获取对该账户的完全访问权限，以及其他尚待调查的内容。 Rodriguez敦促Android用户在手机上测试屏幕锁定绕过功能，并提供他们的评论，包括Android版本和设备的型号。   内容来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站消息，WordPress 近期发布了6.4.2更新版本，修复了一个远程代码执行 (RCE) 漏洞。据悉，该漏洞能够与另外一个安全漏洞形成“联动”，允许威胁攻击者在目标网站上运行任意 PHP 代码。 WordPress 是一种非常流行的开源内容管理系统（CMS），主要用于创建和管理网站，目前已经有8 亿多个网站使用它，约占互联网上所有网站的45%。然而，该项目的安全团队在 WordPress core 6.4中发现了一个面向属性编程（POP）链漏洞，在某些条件下，该漏洞可允许未经授权的威胁攻击者执行任意 PHP 代码。 POP 链“要求”威胁攻击者控制反序列化对象的所有属性，而 PHP 的 unserialize()函数正好可以做到这一点，一旦这样操作的话，威胁攻击者有可能通过控制发送到 megic 方法（如”_wakeup()”）的值来劫持应用程序的流程。值得一提的是，这个安全问题需要受害目标网站上存在 PHP 对象注入漏洞（可能存在于插件或主题附加组件中）才能产生最恶劣的影响。 WordPress 方面指出，该远程代码执行漏洞虽然在内核中无法直接被攻击者利用，但安全团队认为如果与某些插件结合使用，尤其是在多站点安装中，就有可能造成严重后果。 Wordfence 的 WordPress 安全专家的 PSA 提供了有关该安全问题的一些技术细节，并解释称该安全问题出现在 WordPress 6.4中引入的”WP_HTML_Token”类中，以改进块编辑器中的 HTML 解析，该类包含一个”__destruct”magic 方法，该方法使用”call_user_func”执行在”on_decurt”属性中定义的函数，并将”bookmark_name”作为参数。 最后，研究人员强调，威胁攻击者能够利用对象注入漏洞，轻松控制这些属性来执行任意代码。 有条件执行回调函数的类析构函数（Patchstack） 尽管该安全漏洞本身可能并不严重，但由于需要在已安装和活动的插件或主题上注入对象，WordPress 核心中存在可利用的 POP 链会显著增加 WordPress 网站的总体风险。Patchstack 针对 WordPress 和插件的安全平台发出的通知中强调，针对该问题的漏洞利用链已于几周前上传至 GitHub，随后被添加到用于 PHP 应用程序安全测试的 PHPGGC 库中。 最后，即使该漏洞只是潜在的安全问题，而且在某些特定情况下才可以被威胁攻击者利用，但安全研究人员还是建议管理员尽快更新到最新的 WordPress 版本。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/386057.html 封面来源于网络，如有侵权请联系删除

网络安全和基础设施安全局（CISA） 披露了 美国联邦机构的两台公共服务器遭受严重攻击的信息。犯罪分子利用了Adobe ColdFusion中的一个严重漏洞（编号为 CVE-2023-26360 ） 。 该漏洞 于 3 月份公开 ，并已于 4 月份被纳入 CISA 已知可利用漏洞目录中，美国联邦机构被要求在 4 月 5 日之前修复该漏洞。然而，在 6 月和 7 月， 有消息称该漏洞从未得到修补，这主要是由于 Adobe 的过错，使得攻击者随着时间的推移能够成功攻击易受攻击的系统。 CISA 没有提供有关该漏洞是否随后得到完全修补、谁是攻击幕后黑手，或者该机构对于错过修补最后期限的官方立场的信息。 对日志的分析结果表明，联邦服务器受到了两次单独的攻击。两台受攻击的服务器都使用过时版本的 ColdFusion，并且容易受到多个 CVE 的攻击。攻击者在受感染的服务器上启动了各种命令，包括利用该漏洞下载恶意软件。 虽然 CISA 无法确认数据是否被盗，但据信这两次攻击都是情报驱动的，目的是调查更广泛的网络。目前尚不清楚这些攻击是否涉及同一运营商。 第一次袭击发生在六月二日。攻击者利用CVE-2023-26360漏洞获得了服务器的访问权限并执行了各种侦察任务。然而，攻击的其他阶段，例如尝试收集凭据和更改受感染服务器上的策略，均未成功。 第二次违规发生在6月26日。攻击者利用了CVE-2023-26360，并花了很长时间探索该系统。然而，恶意代码无法解密密码，因为它是为旧版本的 ColdFusion 设计的。 CISA 强调，攻击者可能获得了种子值和 ColdFusion 加密方法的访问权限，理论上可以解密密码。尽管如此，在受感染的服务器上没有发现恶意代码，表明有人尝试使用这些值进行解密。 这些事件凸显了及时更新软件以防止此类网络攻击的必要性。即使软件供应商无法立即完全消除安全漏洞，也肯定会在后续更新中这样做。这就是为什么管理员及时安装任何安全更新极其重要的原因。“如果有用就不要碰它”的原则在这里绝对不适用。   转自安全客，原文链接：https://www.anquanke.com/post/id/291725 封面来源于网络，如有侵权请联系删除

固件安全公司 Binarly 周三披露了一种攻击方法的细节，该方法可通过利用恶意 UEFI logo images来危害许多消费者和企业设备。 这种被称为LogoFAIL的攻击方法利用 UEFI 固件使用的图像解析器中的漏洞在启动过程或 BIOS 设置中显示徽标。让受影响的解析器处理特制的图像可以使攻击者劫持执行流并运行任意代码。 黑客可以使用 LogoFAIL 攻击来危害整个系统并绕过安全启动等安全措施。 “这些漏洞可能会危及整个系统的安全性，导致‘操作系统下方’的安全措施（例如任何安全启动方式）失效，包括英特尔 Boot Guard。这种程度的攻击意味着攻击者可以获得对受影响系统的深度控制。”Binarly 解释道。 Binarly 的分析表明，UEFI 供应商对 BMP、PNG、JPEG、GIF 和其他类型的图像使用各种类型的解析器。该安全公司的研究针对的是 Insyde、AMI 和 Phoenix 的固件，并发现了24个漏洞，其中一半以上已被授予“高严重性”评级。 受影响的固件影响全球主流计算机型号，包括宏碁、戴尔、Framework、富士通、技嘉、惠普、英特尔、联想、MSI、三星和 Supermicro 等公司制造的数百种消费者和企业计算机型号（包括基于 x86 和 ARM 的设备）。这意味着全球数百万台设备可能会受到攻击。 通过滥用固件更新程序，用恶意版本替换合法徽标，可以发起 LogoFAIL 攻击。假设徽标不受硬件验证启动技术的保护，则使用 SPI 闪存编程器也可能通过物理访问进行攻击。 一些供应商（包括英特尔、宏碁和联想）提供的功能使用户能够自定义启动过程中显示的徽标，从而可以从操作系统发起 LogoFAIL 攻击，而无需物理访问设备。 值得注意的是，虽然在上述所有供应商的设备中都发现了图像解析器漏洞，但它们并不总是会被利用。例如，在戴尔的案例中，该徽标受到英特尔 Boot Guard 的保护，即使攻击者可以物理访问目标系统，也可以防止其被替换。此外，戴尔不提供任何徽标定制功能。 Binarly 在周三的黑帽欧洲会议上介绍了此次攻击的详细信息，该公司还发布了一篇技术博客文章描述其发现。 该安全公司发布了一段视频，展示了概念验证 (PoC) LogoFAIL 漏洞利用的实际情况，演示了拥有操作系统管理员权限的攻击者如何将权限升级到固件级别。 几个月前，这些漏洞已通过 CERT/CC 报告给受影响的供应商，但即使供应商创建了修复程序，这些类型的安全漏洞的补丁也可能需要很长时间才能到达终端设备。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/bvfuswUqcLxIFt4K4f8knw 封面来源于网络，如有侵权请联系删除

Web 应用程序漏洞测试 公司VulnCheck 的一项新研究发现， GitHub上 有超过 15,000 个Go模块存储库容易受到存储库劫持或“RepoJacking”攻击。 这种类型的攻击允许黑客恶意利用其合法所有者执行的名称更改或完全删除 GitHub 帐户。为此，攻击者创建一个与旧存储库同名的全新存储库，然后利用其与软件供应链其他部分的连接来分发恶意代码。 据 VulnCheck 称，已在超过 15,000 个 Go 模块存储库中发现了此类攻击的漏洞。“由于 GitHub 用户名更改，超过 9,000 个存储库容易受到攻击。另有 6,000 多个账户因账户删除而被删除，”该公司首席技术官 Jacob Baines 对结果评论道。 这些存储库总共包含至少 80 万个版本的 Go 模块，供世界各地的开发人员使用。因此，即使捕获这些存储库的一部分，也可能对许多软件产品的网络安全造成严重后果。 用 Go 编程语言编写的模块构成了特殊的威胁。与npm或PyPI等具有集中存储库的其他解决方案不同，Go 模块是在 GitHub 或Bitbucket等平台上分散发布的。 “任何人都可以指示 Go 模块镜像和 pkg.go.dev 绕过存储库来缓存模块详细信息，”Baines 指出。因此，攻击者只需要捕获旧用户的名称和流行存储库的名称，而无需直接与 GitHub 交互。 GitHub 正试图通过阻止使用先前删除的流行名称创建存储库来对抗此类攻击。但这对于 Go 模块来说并不有效，这些模块是绕过主存储库进行缓存的。 “不幸的是，缓解所有这些潜在的存储库接管对于 Go 或 GitHub 公司来说是一个挑战。第三方无法合理注册 15,000 个安全账户，”Baines 表示。他鼓励 Go 开发人员保持警惕并仔细监控他们使用的模块和存储库的状态。 因此，存储库劫持攻击的威胁对于 GitHub 生态系统来说非常严重，可能对整个网络安全造成重大损害。GitHub 和 Go 应迅速制定有效的对策来保护模块和存储库免受此类攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/291683 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 警告黑客积极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。 该安全问题允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前，它曾被用作0day漏洞。 当时，CISA 发布了有关黑客组织利用该缺陷的通知，并敦促联邦组织和国家服务机构应用安全更新。 在今天的警报中，美国网络安全与基础设施安全局警告称，CVE-2023-26360 仍在攻击中被利用，并展示了 6 月份影响两个联邦机构系统的事件。 “在这两起事件中，Microsoft Defender for Endpoint (MDE) 都警告称，该机构的预生产环境中面向公众的 Web 服务器上可能存在 Adobe ColdFusion 漏洞被利用的情况” – CISA 该机构指出，“两台服务器都运行过时的软件版本，这些软件容易受到各种 CVE 的攻击。” CISA 表示，黑客组织利用该漏洞，使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。 第一起事件发生在 6 月 26 日，利用严重漏洞破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器。 攻击者进行进程枚举和网络检查，并安装了一个 Web shell ( config.jsp )，允许他们将代码插入 ColdFusion 配置文件并提取凭据。 他们的活动包括删除攻击中使用的文件以隐藏其存在，以及在 C:\IBM 目录中创建文件以避免恶意操作不被发现。 攻击者在第一次攻击中使用的工具 （CISA） 第二起事件发生在 6 月 2 日，当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。 在这种情况下，攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。 接下来，他们试图窃取注册表文件和安全帐户管理器（SAM）信息。攻击者滥用可用的安全工具来访问 SYSVOL，这是域中每个域控制器上都存在的特殊目录。 在这两起事件中，安全人员都在入侵者能够窃取数据或横向移动之前检测到并阻止了攻击，并在 24 小时内将受感染的资产从关键网络中删除。 CISA 的分析将这些攻击归类为侦察活动。然而，尚不清楚这两次入侵是否是同一攻击者所为。 为了降低风险，CISA 建议将 ColdFusion 升级到最新可用版本，应用网络分段，设置防火墙或 WAF，并强制执行签名的软件执行策略。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9nd08sOf8ZKd5lZTb67NqQ 封面来源于网络，如有侵权请联系删除

欧洲、美国和亚洲暴露在公共互联网上的数万台 Microsoft Exchange 电子邮件服务器容易受到远程代码执行漏洞的影响。 邮件系统运行的软件版本目前不受支持，并且不再接收任何类型的更新，容易受到多个安全问题的影响，其中一些问题的严重程度非常严重。 已终止支持的Exchange Server 2007 仍在运行 ShadowServer Foundation 的互联网扫描显示，目前可通过公共互联网访问的近 20,000 台 Microsoft Exchange 服务器已达到生命周期结束 (EoL) 阶段。 周五，超过一半的系统位于欧洲。在北美，有 6,038 个 Exchange 服务器，在亚洲有 2,241 个实例。 已终止支持的 Microsoft Exchange 服务器仍在运行 Foundation ShadowServer 的统计数据可能无法显示完整情况，因为 Macnica 安全研究员Yutaka Sejiyama发现有超过 30,000 台 Microsoft Exchange 服务器已终止支持。 根据 Sejiyama 对 Shodan 的扫描，11 月底，公共网络上有 30,635 台计算机安装了不受支持的 Microsoft Exchange 版本： 275 个Exchange     Server 2007 实例 4,062 个Exchange     Server 2010 实例 26,298 个Exchange     Server 2013 实例 远程代码执行漏洞风险 研究人员还比较了补丁更新率，发现自今年 4 月以来，全球 EoL Exchange 服务器数量仅从 43,656 台下降了 18%，Sejiyama 认为下降幅度还不够。 “即使是最近，我仍然看到这些漏洞被利用的新闻，现在我明白了原因。许多服务器仍处于脆弱状态。”——Yutaka Sejiyama ShadowServer 基金会强调，在公共网络上发现的过时的 Exchange 计算机容易受到多个远程代码执行漏洞的影响。 一些运行旧版本 Exchange 邮件服务器的计算机容易受到ProxyLogon的攻击，这是一个编号为 CVE-2021-26855 的严重安全问题，可以与被识别为 CVE-2021-27065 的不太严重的错误链接起来以实现远程代码执行。 Sejiyama 表示，根据扫描期间从系统获得的内部版本号，有近 1,800 个 Exchange 系统容易受到 ProxyLogon、ProxyShell或ProxyToken漏洞的影响。 ShadowServer指出，扫描中的机器容易受到以下安全漏洞的影响： CVE-2020-0688 CVE-2021-26855  – ProxyLogon CVE-2021-27065  – ProxyLogon 漏洞利用链的一部分 CVE-2022-41082 –     ProxyNotShell 漏洞利用链 的一部分 CVE-2023-21529 CVE-2023-36745 CVE-2023-36439 上述大多数漏洞微软将它们标记为“重要”级别。此外，除了在攻击中被利用的 ProxyLogon 链外，所有这些链都被标记为“更有可能”被利用。 即使仍在运行过时 Exchange 服务器的公司已经实施了可用的缓解措施，该措施也还不够，因为 Microsoft 建议优先在面向外部的服务器上安装更新。 对于达到支持终止的实例，剩下的唯一选择是升级到仍至少收到安全更新的版本。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/azwDBy2YQc8gyDrnx5X9Lw 封面来源于网络，如有侵权请联系删除

流行的家长控制应用 KidSecurity 泄露了 活动日志。攻击者可以获取数百万用户的个人数据。 KidSecurity 在 Google Play 上的下载量超过一百万次，为家长提供了跟踪孩子位置、收听设备中的音频以及设置设备使用限制的工具。 9 月 16 日，研究人员发现该应用程序未配置 Elasticsearch 和 Logstash 存储的身份验证，这些存储通常用于分析日志和事件数据。由于此错误，用户活动日志在互联网上公开保留了一个多月。 据估计，此次泄露影响了超过 3 亿条记录，其中包括 21,000 个电话号码和 31,000 个电子邮件地址。此外，有关支付卡的信息也被部分披露，包括号码的前六位和后四位数字、卡到期日期和发卡行。 此外，有迹象表明攻击者已经利用了该漏洞。应用程序服务器受到 Readme 僵尸网络的攻击，该僵尸网络经常在受感染的系统上留下勒索软件文件。尽管目前还没有关于这一特定事件的勒索数据。 将电子邮件地址、电话号码和付款信息等敏感数据暴露给儿童跟踪应用程序会构成严重威胁。在犯罪分子手中，这些信息可用于身份盗窃、欺诈和未经授权的金融交易，使儿童及其家人面临巨大风险。尽管用户的位置尚未被泄露，但数据泄露严重侵犯了他们的隐私和安全。     转自安全客，原文链接：https://www.anquanke.com/post/id/291597 封面来源于网络，如有侵权请联系删除

据安全运营公司 Arctic Wolf 称，影响商业分析公司 Qlik 产品的三个漏洞可能已在勒索软件攻击中被利用。 该网络安全公司报告称，发现攻击似乎利用 CVE-2023-41266、CVE-2023-41265 和 CVE-2023-48365 进行初始访问，然后攻击者尝试在受感染的系统上部署 Cactus 勒索软件。 这些被利用的漏洞是由 Praetorian 发现的，并在 Qlik 宣布提供补丁后不久于 8 月和9 月披露了详细信息。 这些被评为“严重”和“高严重性”的安全漏洞影响了数据分析解决方案 Qlik Sense Enterprise for Windows。CVE-2023-41266 是一个路径遍历问题，允许未经身份验证的远程攻击者生成匿名会话并向未经授权的端点发送 HTTP 请求。 CVE-2023-41265 是一个 HTTP 隧道缺陷，可被利用来提升权限并在托管存储库应用程序的后端服务器上执行 HTTP 请求。 结合起来，未经身份验证的远程黑客可以利用这两个漏洞来执行任意代码并向 Qlik Sense 应用程序添加新的管理员用户。 在 Praetorian 研究人员成功绕过CVE-2023-41265补丁后，分配了 CVE-2023-48365。 虽然 Qlik 针对这些漏洞的公告目前表示没有证据表明存在野外利用的情况，但 Arctic Wolf 声称已经看到明显利用这些漏洞进行远程代码执行的攻击。 在获得对目标组织系统的初步访问权限后，网络犯罪分子被发现卸载安全软件、更改管理员帐户密码、安装远程访问软件、使用 RDP 进行横向移动以及窃取数据。在某些情况下，攻击者试图部署 Cactus 勒索软件。 “根据在所有入侵中观察到的显着重叠，我们将所有描述的攻击归因于同一威胁行为者，该威胁行为者负责部署 Cactus 勒索软件，”Arctic Wolf 说。 Qlik 声称拥有超过 40,000 名客户，这使得其产品中的漏洞对黑客来说非常有价值。 据 ZoomEye 称，Qlik Sense 有超过 17,000 个暴露在互联网上的实例，主要分布在美国，其次是巴西和几个欧洲国家。 Cactus 勒索软件自2023 年 3 月以来一直活跃，已针对多个主要组织。据了解，网络犯罪分子会利用 VPN 设备中的漏洞进行初始访问。 转自安全客，原文链接：https://www.anquanke.com/post/id/291576 封面来源于网络，如有侵权请联系删除

苹果公司周四为其旗舰 macOS 和 iOS 平台推出了安全更新，以修复旧移动设备上已经被利用的两个严重缺陷。  根据库比蒂诺的一系列建议，这些在 WebKit 浏览引擎中标记的漏洞可被用来劫持敏感内容或发起任意代码执行攻击。  该公司推出了iOS 17.1.2 和 iPadOS 17.1.2，修复了 WebKit 缺陷，并警告称，可以通过恶意网页内容发起漏洞利用。  该公司表示：“苹果公司已获悉一份报告，称该问题可能已被针对 iOS 16.7.1 之前的 iOS 版本所利用。”  按照惯例，苹果的公告没有提供有关野外利用的任何其他信息。  该公司将这一发现归功于谷歌威胁分析小组 (TAG) 的 Clément Lecigne。谷歌的研究人员积极发现利用 iPhone 零日漏洞的商业间谍软件供应商和唯利是图的黑客公司。  WebKit 内存安全错误（CVE-2023-42916 和 CVE-2023-42917）也在新的macOS Sonoma 14.1.2和Safari 17.1.2更新中进行了修补。 转自安全客，原文链接：https://www.anquanke.com/post/id/291574 封面来源于网络，如有侵权请联系删除