该漏洞允许攻击者在未进行身份验证的情况下远程获得受影响设备的全部管理员权限。 思科要求客户立即在其所有面向互联网的 IOS XE 设备上禁用 HTTPS 服务器功能，以防止攻击者利用操作系统 Web 用户界面中的一个关键零日漏洞。 思科 IOS XE 是思科用于下一代企业网络设备的操作系统。 该漏洞被命名为 CVE-2023-20198，影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。思科将该漏洞定义为一个权限升级漏洞，可以完全接管设备。思科将该漏洞在 CVSS 评级中定为 10 分（满分 10 分）。 CVE-2023-20198： 最高严重性漏洞 思科在 10 月 16 日关于这个新的零日漏洞的公告中说：该漏洞允许未经认证的远程攻击者在受影响的系统上创建一个权限级别为 15 的账户。然后，攻击者可以使用该账户获得对受影响系统的控制权。思科 IOS 系统的权限级别 15 基本上意味着可以完全访问所有命令，包括重载系统和更改配置的命令。 一个未知的攻击者一直在利用这个漏洞，访问思科面向互联网的 IOS XE 设备，并植入一个 Lua 语言，以便在受影响的系统上执行任意命令。为了植入该漏洞，攻击者还一直在利用另一个漏洞 ——CVE-2021-1435 ，该漏洞是 IOS XE 的 Web UI 组件中的中等严重性命令注入漏洞，思科已于 2021 年修补了该漏洞。思科塔洛斯（Cisco Talos）的研究人员在一份单独的报告中说，即使是在已经对 CVE-2021-1435 进行了全面修复的设备上，攻击者也能成功地进行植入。 思科表示，它是在 9 月 28 日应对一起涉及客户设备异常行为的事件时首次获悉这个新漏洞的。该公司随后的调查显示，与该漏洞有关的恶意活动实际上可能早在 9 月 18 日就开始了。第一起事件的最终结果是，攻击者利用该漏洞从一个可疑的 IP 地址创建了一个具有管理员权限的本地账户。 针对思科的恶意活动集群 10 月 12 日，思科的 Talos 事件响应团队发现了另一个与该漏洞有关的恶意活动集群。与第一起事件一样，攻击者最初从一个可疑的 IP 地址创建了一个本地账户。但这一次，威胁行为者又采取了几种恶意行为，包括进行任意命令注入。 思科塔洛斯公司表示：要使植入活动生效，必须重新启动web服务器。思科指出：至少在一个观察到的案例中，服务器没有重新启动，因此植入程序尽管已经安装，却从未激活。植入本身并不是持久性的，这意味着企业可以通过设备重启来摆脱它。 但是，攻击者通过 CVE-2023-20198 创建的本地账户是持久性的，即使在设备重启后，攻击者也能继续获得受影响系统的管理员级访问权限。研究人员敦促企业注意 IOS XE 设备上的新用户或未知用户，这是攻击者利用该漏洞的潜在证据。同时，思科塔洛斯团队还提供了一个命令程序，企业可使用该命令确定受影响设备上是否存在该植入。 思科公司表示：我们强烈建议客户在所有面向互联网的系统上禁用HTTP服务器功能。同时建议可能受该活动影响的企业、组织立即执行思科产品安全事故响应小组（PSIRT）公告中的指导。 对于攻击者来说，思科等公司的网络技术上的零日漏洞（以及任何可获得管理员级权限的漏洞）尤其有价值。正如美国网络安全和基础设施安全局（CISA）和许多其他机构所指出的，网络路由器交换机、防火墙、负载平衡器和其他类似技术都是理想的攻击目标，因为大部分或所有流量都必须流经它们。   转自Freebuf，原文链接：https://www.freebuf.com/news/380882.html 封面来源于网络，如有侵权请联系删除

有消息称：美高梅度假村透露，公司上个月遭受网络攻击，损失高达1亿美元（约合人民币7.3亿元），黑客藉此窃取了客户的个人信息。 这家酒店和娱乐巨头在9月11日披露了一起网络安全事件。事件影响了主要网站、在线预订系统，以及老虎机、信用卡终端和自动取款机等赌场服务。 几天后，情况逐渐明晰。造成此次中断的威胁组织是与BlackCat/ALPHV勒索软件团伙的关联成员，被称为Scattered Spider。 这些黑客利用社交工程方法侵入了美高梅网络，窃取了敏感数据，并加密了100多个ESXi虚拟机管理器。 这次网络攻击大范围扰乱了美高梅业务运营，导致信息技术系统长时间中断，造成了实质性影响。 美高梅在向美国证券交易委员会（SEC）提交的 8-K表格中写道：“（我们）估计，由于9月的网络安全事件，拉斯维加斯大道度假村和区域运营部门的经调整物业息税折旧摊销前利润（EBITDAR）降低了约1亿美元。” “公司网站和移动端应用程序上的预订功能受到影响，导致入住率下降了88%。不过，基本只有9月的入住率受到影响。” 除了损失1亿美元的收入，美高梅还需支付不到1000万美元的一次性风险缓解费用、法律费用、第三方咨询和事件应对措施费用。美高梅表示，预计这些费用可由网络安全保险全额承担。 美高梅坚称，总体而言，财务影响将主要限于2023年第三季度，并不会对年度财务业绩产生重大影响。 美高梅度假村认为，这一事件已经得到控制，所有面向客户的系统已经完全恢复，剩下的系统预计将在未来几天内恢复正常运行。 客户数据被盗 美高梅还警告说，威胁行为者成功窃取了2019年3月之前与美高梅进行交易的客户的个人信息。 昨天，受影响的个人收到了一份单独的通知，告知他们下列详细信息已经暴露，被网络犯罪分子盗取，具体被盗信息因人而异： 姓名 电话号码 电子邮箱 邮寄地址 性别 出生日期 驾驶执照 社会安全号码（SSN） 护照号码 美高梅总结说，经调查，并未发现任何客户密码、银行账号和支付卡信息因该事件被泄露的迹象。 该公司为受数据泄露影响者提供免费的信用监控和身份保护服务，并警告客户要保持警惕，防止未经请求的通讯。 美高梅度假村警告称：“我们建议您继续保持警惕，通过查看账单、监控您的免费信用报告，防范欺诈和身份盗用事件。我们还建议您保持警惕，不要接受与您的个人信息有关的未经请求的通讯。”   转自安全内参，原文链接：https://www.secrss.com/articles/59410 封面来源于网络，如有侵权请联系删除

超微（Supermicro ）底板管理控制器 (BMC) 的智能平台管理接口 (IPMI) 固件中存在多个安全漏洞，这些漏洞可能导致权限升级，并在受影响的系统上执行恶意代码。 据Binarly称，从CVE-2023-40284到CVE-2023-40290，这七个漏洞的危险系数不等，可使未经认证的威胁行为者获得BMC系统的根权限。超微公司已经发布了 BMC 固件更新，以修复这些漏洞。 BMC 是服务器主板上的特殊处理器，支持远程管理，使管理员能够监控温度、设置风扇速度和更新 UEFI 系统固件等硬件指标。更重要的是，即使主机操作系统离线，BMC 芯片仍可保持运行，这也使它们成为部署持久性恶意软件的有效载体。 每个漏洞的简要说明如下: CVE-2023-40284、CVE-2023-40287 和 CVE-2023-40288 (CVSS 分数：9.6) ，三个跨站点脚本 (XSS) 漏洞，允许未经认证的远程攻击者在登录的 BMC 用户上下文中执行任意 JavaScript 代码。 CVE-2023-40285 和 CVE-2023-40286 (CVSS 得分：8.6) ，两个跨网站脚本 (XSS) 漏洞，允许未经身份验证的远程攻击者通过毒害浏览器 cookie 或本地存储，在登录的 BMC 用户的上下文中执行任意 JavaScript 代码。 CVE-2023-40289 (CVSS 得分：9.1) ， 操作系统命令注入漏洞，允许具有管理权限的用户执行恶意代码。 CVE-2023-40290（CVSS 得分：8.3），一个跨站点脚本 (XSS) 漏洞，允许未经身份验证的远程攻击者在已登录 BMC 用户的上下文中执行任意 JavaScript 代码，但仅限于在 Windows 上使用 Internet Explorer 11 浏览器时。 Binarly在本周发布的一份技术分析报告中称，CVE-2023-40289 漏洞必须警惕，因为它允许通过验证的攻击者获得root访问权限并完全控制BMC系统。这种权限允许在 BMC 组件重启时仍能持续攻击，并在被入侵的基础架构内横向移动，感染其他端点。 其他六个漏洞，特别是CVE-2023-40284、CVE-2023-40287和CVE-2023-40288可用于为BMC IPMI软件的Web服务器组件创建一个具有管理员权限的账户。 因此，攻击者可以将它们与 CVE-2023-40289 结合起来，执行命令注入并实现代码执行。攻击者可能以发送网络钓鱼电子邮件的形式，其中包含指向管理员电子邮件地址的诱杀链接，单击该链接时会触发 XSS 有效负载的执行。 安全隐患 尽管 Binarly 表示在 2023 年 10 月初观察到超过 70000 个暴露在互联网上的 Supermicro IPMI 网络接口实例，但目前还没有证据表明存在恶意利用这些漏洞的情况。 固件安全公司进一步解释说：首先，利用暴露在互联网上的 Web 服务器组件中的漏洞，可以远程入侵 BMC 系统。然后，攻击者可以通过合法的 iKVM 远程控制 BMC 功能访问服务器的操作系统，或者用恶意固件闪烁目标系统的 UEFI，从而实现对主机操作系统的持久控制。这样，攻击者就可以在内部网络中横向动，入侵其他主机。 今年早些时候，AMI MegaRAC BMC 的两个安全漏洞被曝光，如果被成功利用，威胁者可以远程控制易受攻击的服务器并部署恶意软件。   转自Freebuf，原文链接：https://www.freebuf.com/news/379751.html 封面来源于网络，如有侵权请联系删除

根据Emsisoft本周发布的最新统计，勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个，受影响的人数超过6000万。该数据与IT市场研究公司KonBriefingResearch9月26日最新公布的数据（2040家受害组织）基本一致： Emsisoft的研究人员表示，受害组织绝大多数位于美国。受影响最严重的行业是金融、专业服务与教育，分别占数据泄露事件的13.8%和51.1%。” 本周最引人注目的MOVEit数据泄露事件是美国教育非营利组织国家学生信息交换所也受到了攻击，近900所美国院校的学生信息遭到泄露。 2023年5月下旬，Cl0p勒索组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 过去几个月，MOVEit漏洞的受害者清单（链接在文末）持续快速增长，而勒索组织Cl0p也放弃使用勒索软件，转而只获取敏感数据，并威胁公司除非缴纳赎金，否则将其数据泄露到网上。 值得注意的是，这是勒索组织Cl0p三年内第三次利用web应用程序中的零日漏洞进行勒索。三次的目标都是知名软件公司的“安全产品”。CI0p的“大获成功”势必将吸引其他黑客组织的效仿，这进一步加剧了应用安全和软件供应链安全面临的严峻威胁态势。 MOVEit漏洞受害者清单：https://konbriefing.com/en-topics/cyber-attacks-moveit-victim-list.html   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/OJzI0RG19D-Li8NnePantw 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，Outpost 24 的研究人员 Astrid Tedenbrant 在 Nagios XI 网络和 IT 基础架构监控与管理解决方案中发现四个漏洞，漏洞分别追踪为 CVE-2023-40931。 Nagios XI 可监控所有关键任务基础设施组件，其中主要包括应用程序、服务、操作系统、网络协议、系统指标和网络基础设施，目前全球有成千上万的实体组织正在在使用它。 据悉，这些安全漏洞主要影响到 5.11.1 及更低版本的 Nagios XI。CVE-2023-40931、CVE-2023-40933 和 CVE-2023-40934 漏洞是 SQL 注入问题，网络可利用这几个漏洞提升自身权限，并获取敏感的用户数据，包括密码哈希和 API 令牌。 漏洞 CVE-2023-40932 是一个通过自定义徽标组件的跨站点脚本问题，网络攻击者可以触发该安全漏洞来读取和修改目标受害者的页面数据（包括登录表单中的纯文本密码）。 Outpost24 在发布的帖子中指出 CVE-2023-40931、CVE-2023-4 0933 和 CVE-2023 0934 三个漏洞允许具有不同权限级别的用户通过 SQL 注入访问数据库字段，从这些漏洞获得的数据可能用于进一步提升产品中的权限，并获取密码哈希和 API 令牌等敏感用户数据。 第四个漏洞（CVE-2023-40932）允许通过自定义徽标组件进行跨站点脚本编写，该组件将在每个页面上呈现，包括登录页面，这就可能被网络攻击者用来读取和修改页面数据，例如登录表单中的纯文本密码。 Nagios XI 公司于 2023 年 9 月 11 日发布了 5.11.2 版，解决了上述漏洞问题。 值得一提的是，2021 年 9 月，工业网络安全公司 Claroty 的研究人员也曾在 Nagios 中发现了 11 个漏洞。据悉，漏洞可能导致服务器端请求伪造（SSRF）、欺骗、本地权限升级、远程代码执行和信息泄露。   转自Freebuf，原文链接：https://www.freebuf.com/news/378735.html 封面来源于网络，如有侵权请联系删除

Atlas VPN 已确认存在一个零日漏洞，该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前，发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。 关于 Atlas VPN 零日漏洞 Atlas VPN提供 “免费 “和付费的 “高级 “VPN解决方案，可以改变用户的IP地址，以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。 此次发现的漏洞仅影响Lunux版AtlasVPN客户端v1.0.3（即最新版本）。 发帖者解释了漏洞的根本原因，首先，AtlasVPN Linux 客户端由两部分组成，守护进程（atlasvpnd）由管理连接，客户端（atlasvpn）由用户控制连接、断开连接和列出服务。当客户端不通过本地套接或任何其他安全手段进行连接，而是在 8076 端口的 localhost 上打开一个 API时，它没有任何身份验证。计算机上运行的任何程序，包括浏览器，都可以访问这个端口。 简而言之，通过恶意脚本，任何网站都可以向 8076 端口提出断开 VPN 连接的请求，然后运行另一个请求，泄露用户的 IP 地址。 成功 “攻击 “的前提条件是访问者使用 Linux，并在访问网站时主动使用 AtlasVPN Linux 客户端 v1.0.3。当然，这也限制了潜在受害者的数量。 修复程序正在开发中 Atlas VPN 的通信主管 Rūta Čižinauskaitė 说：我们正在修复这个漏洞。该漏洞影响 Atlas VPN Linux 客户端 1.0.3 版本。正如研究人员所说，由于该漏洞，恶意行为者可能会断开应用程序，从而断开用户与 VPN 网关之间的加密流量。这可能导致用户的 IP 地址泄露。 目前，该公司正在努力尽快修复这个容易被利用的漏洞，一旦问题得到解决，就会提示用户将其 Linux 应用程序更新到最新版本。 Čižinauskaitė还表示，他们将在开发过程中实施更多的安全检查，以避免未来出现此类漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/377482.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，思科 BroadWorks 应用交付平台和思科 BroadWorks Xtended 服务平台出现了严重漏洞，可能允许远程攻击者伪造凭证并绕过身份验证。思科 BroadWorks 是面向企业和消费者的云通信服务平台，漏洞由思科安全工程师内部发现，编号为 CVE-2023-20238，CVSS 评分达到了最高级别的10分。 通过利用该漏洞，攻击者可以自由执行命令、访问机密数据、更改用户设置以及进行电话欺诈。受影响的思科应用交付平台和 BroadWorks Xtended 服务平台功能包括认证服务、BW呼叫中心、自定义媒体文件检索、版主客户端应用程序等。 除上述提到的两个组件之外，CVE-2023-20238 不会影响任何其他 BroadWorks 组件，因此其他产品的用户无需采取任何操作。 思科称，攻击者利用该漏洞后所获得的能力取决于伪造帐户的权限级别，“管理员”级别将是最糟糕的情况。然而，利用该缺陷的先决条件之一是拥有与目标 Cisco BroadWorks 系统关联的有效用户 ID。这种情况可能会减少利用 CVE-2023-20238 的攻击者数量，但这并不能缓解问题，因此风险仍然很严重。 思科没有针对此缺陷提供任何解决方法，因此建议的解决方案是针对 23.0 分支版本的用户更新到 AP.platform.23.0.1075.ap385341，针对独立版本的用户更新到版本 2023.06_1.333 或 2023.07_1.332 （RI）版。 CVE-2023-20238 也会影响 22.0 分支的用户，但思科不会发布该版本的安全更新，因此建议旧版本用户的响应是迁移到固定版本。 目前，还没有关于 CVE-2023-20238 被主动利用的报告，但系统管理员应 尽快应用可用的更新。     转自Freebuf，原文链接:https://www.freebuf.com/articles/377490.html 封面来源于网络，如有侵权请联系删除

CISA、FBI和美国网络司令部(USCYBERCOM)于本周四（9月7日）发布的一份联合报告显示，国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞攻击了美国一家航空组织。 此次攻击背后的威胁组织尚未公布，联合公告中也并未将攻击者与特定国家联系起来，但USCYBERCOM的新闻稿中将此次攻击活动和伊朗黑客联系了起来。 CISA方面声称，黑客组织至少从 1 月份开始就入侵了航空组织网络。他们此前入侵了一台运行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墙的互联网外露服务器。 CISA、FBI和CNMF在公告中提到，有高级持续威胁（APT）行为者利用CVE-2022-47966漏洞非法访问了一个面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），并在其网络中建立了持久性。 该漏洞允许黑客在 ManageEngine 应用程序上远程执行代码。还有其他 APT 行为者利用 CVE-2022-42475 在组织的防火墙设备上建立存在。 正如这三个美国机构所警告的那样，这些威胁组织经常会搜索那些面向互联网却没有打补丁的设备。在渗入目标网络后，攻击者会在被黑的网络基础设施组件上保持持久性。这些网络设备很可能会被用作受害者网络内横向移动的基础或者恶意基础设施。 美国国家安全局建人们采取措施以确保基础设施的安全，这些措施包括但不限于保护所有系统免受所有已知漏洞的攻击、监控远程访问软件的未经授权使用，以及删除不必要（已禁用）的账户和组（尤其是特权账户）。 攻击和确保系统安全的警告 今年 1 月，CISA 下令联邦机构保护其系统免受 CVE-2022-47966 漏洞的攻击，几天后，网上发布了概念验证 (PoC) 漏洞利用代码，威胁方开始攻击未打补丁的 ManageEngine 实例，以打开反向外壳。 在 CISA 发出警告几个月后，朝鲜 Lazarus 黑客组织也开始利用 Zoho 漏洞，成功入侵了医疗机构和一家互联网骨干基础设施提供商。 联邦调查局和 CISA 就国家支持的组织利用 ManageEngine 漏洞攻击关键基础设施，包括金融服务和医疗保健发布了其他多条警报。 正如Fortinet在1月份披露的那样，CVE-2022-42475 FortiOS SSL-VPN漏洞在针对政府组织和相关目标的攻击中也被作为零日漏洞加以利用。 Fortinet 曾在去年11月28日修复了该漏洞，但并未公布该漏洞被利用的具体信息。不过Fortinet 自12 月中旬后已经开始敦促客户为其设备打上补丁，以确保设备安全。 转自Freebuf，原文链接:https://www.freebuf.com/news/377479.html 封面来源于网络，如有侵权请联系删除

攻击者利用AWS中的漏洞入侵系统，窃取了超过3000万行机密信息。 黑客组织ShinyHunters最近表示，它已经访问了澳大利亚比萨饼店连锁店Pizza Hut 100多万客户的数据。攻击者表示，他们在1-2个月前利用AWS中的漏洞入侵系统，窃取了超过3000万行机密信息。 黑客发布的样本包含订单信息，包括姓名、地址、电话号码和客户的加密银行卡数据。专家核实了被盗数据的真实性。 ShinyHunters黑客要求30万美元删除被盗信息。该组织已经在公共领域发布了拒绝支付赎金的公司的数据。到目前为止，澳大利亚的Pizza Hut还没有公开评论这一事件，也没有回应攻击者的要求。该公司的官方网站和社交媒体上也没有任何关于黑客攻击的信息或通知客户。当地媒体向Pizza Hut管理层提出的数据盗窃问题也没有得到答复。 被盗的数据可能被用于从银行卡上窃取资金、钓鱼攻击和其他犯罪目的。这一事件威胁到澳大利亚数百万披萨连锁店客户的安全。 尽管这一事件规模巨大，但并未超越今年澳大利亚发生的另一个重大事件。黑客3月对澳大利亚Latitude集团的袭击实际上使该公司破产，但奇迹般地没有完全摧毁其业务，这在很大程度上归功于良好的管理和许多缓解措施。 这些事件暴露了大公司易受黑客攻击的脆弱性，并强调了确保公司内部数据以及客户、合作伙伴和员工的机密信息得到可靠保护的重要性。窃取数百万人的个人数据是一种严重的犯罪行为，会给企业带来重大的声誉和财务风险。     转自安全内参，原文链接:https://www.secrss.com/articles/58568 封面来源于网络，如有侵权请联系删除

丰田公司称，最近日本生产工厂的运营中断是由于其数据库服务器的存储空间不足所致。 据报道，8 月 29 日，丰田公司在日本的 14 家汽车组装厂中，有 12 家因未定义的系统故障而不得不停止运行。 作为世界上最大的汽车制造商之一，这种情况造成每天大约 13000 辆汽车的产量损失，有可能影响到对全球市场的出口。 今天，丰田公司在其日本新闻门户网站上发布了一份声明，解释说故障发生在 2023 年 8 月 27 日的一次日常 IT 系统维护期间。 日常的维护工作是整理数据库中的数据并删除零散数据。然而，由于在完成任务之前存储空间已不足，因此发生了错误，导致系统崩溃。 这次事件直接影响了公司的生产订购系统，导致无法计划和执行生产任务。 丰田公司解释说，其主服务器和备份机器在同一系统上运行。因此，两个系统都面临同样的故障，无法进行切换，因此才导致工厂停止运营。 2023 年 8 月 29 日，丰田的 IT 团队准备了一台容量更大的服务器，以接收前两天传输的部分数据。 随后，生产订单系统得以恢复，工厂也恢复正常运行。 丰田公司在9月6日重申：”对所有相关方而言，我们对引发的担忧深表歉意。我们在此重申，此次系统故障并非由于网络攻击所致”。 这起事件凸显了信息技术挑战的复杂性，以及日常维护计划不当可能造成的后果。 一个看似微小的疏忽，比如计算错误数据迁移所需的磁盘空间，或者仅仅是存储空间不足，都可能给大型企业带来数百万美元的损失。 在 IT 系统安全和数据管理方面，丰田公司经历艰难的一年。 今年 5 月，丰田汽车制造商两次报告称，系统配置错误导致潜在的数据泄露，影响了数百万客户。 今年早些时候，研究人员在丰田的应用程序中发现了 API 漏洞，并在该公司的供应商门户网站中发现了安全漏洞，导致未经授权访问机密数据。     转自Freebuf，原文链接:https://www.freebuf.com/news/377327.html 封面来源于网络，如有侵权请联系删除