Bleeping Computer 网站披露，CISA 将 Progress MOVEit Transfer 管理文件传输（MFT）解决方案中一个安全漏洞添加到其已知被利用漏洞列表中，并命令美国联邦机构在 6 月 23 日前修补其系统。 该关键安全漏洞被追踪为 CVE-2023-34362，是一个 SQL 注入漏洞，未经身份验证的远程攻击者能够利用其访问 MOVEit Transfer 的数据库并执行任意代码。 根据具有约束力的操作指令（BOD 22-01），一旦将某个安全漏洞添加到 CISA 已知被利用漏洞目录中，联邦民事行政分支机构（FCEB）必须修补该漏洞。值得一提的是，虽然 BOD 22-01 主要针对联邦机构，但强烈建议私营公司同样优先保护其系统免受 MOVEit 传输漏洞的影响。 Progress 建议所有客户给他们的 MOVEit Transfer 实例打补丁，以阻止潜在的安全风险，对于那些不能立即应用安全更新的客户也可以禁用所有通往其 MOVEit Transfer 环境的 HTTP 和 HTTPS 流量。 受影响的 MOVEit Transfer 版本和固定版本列表如下。 目前，互联网上有超过 2500 台 MOVEit 传输服务器，其中大部分位于美国。据 Mandiant 公司首席技术官 Charles Carmakal 称至少从 5 月 27 日开始，网络攻击者就一直在利用 CVE-2023-34362 漏洞，这一时间比 Progress 公司公开披露并测试脆弱系统安全补丁的节点早四天。 Carmakal 告诉 BleepingComputer，在过去几天发生多起大规模漏洞利用和数据盗窃事件，Mandiant 还不清楚攻击者的犯罪动机，企业应该为数据泄露和潜在的勒索做好心里准备。 网络攻击者能够利用漏洞进行多种攻击 BleepingComputer 获悉，在新发现的网络外壳（Mandiant 称之为 LemurLoot）的帮助下，攻击者已经攻破多个组织，盗取了大量数据。LemurLoot 能够帮助攻击者获取包括可用于从受害者的 Azure Blob Storage 容器中渗出数据登录凭证等在内的多个 Azure Blob Storage 账户信息。 Mandiant 还发现针对 MOVEit 传输服务器的攻击与 FIN11威胁团伙之间可能存在联系，该组织以在其他文件传输系统中利用零日漏洞后，通过 Clop 勒索软件的泄漏网站进行数据盗窃勒索而闻名。 截至目前，由于攻击者还没有开始勒索受害者，对于他们的详细身份信息尚不可知。此外，对于 CVE-2023-34362 漏洞的利用与 2020 年 12 月对 Accelion FTA 服务器的零日漏洞利用和 2023 年 1 月对 GoAnywhere MFT 零日漏洞大规模利用高度相似。 GoAnywhere MFT 和 Accelion FTA 被臭名昭著的 Clop 勒索软件团伙盯上后，被窃取了大量数据并成为了勒索攻击受害者。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368491.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，苹果最近解决了一个由微软发现的macOS系统漏洞，该漏洞允许拥有 root 权限的攻击者绕过系统完整性保护 (SIP)以安装不可删除的恶意软件，并通过规避透明度同意和控制 (TCC) 安全检查来访问受害者的私人数据。 该漏洞被称为Migraine ，由一组微软安全研究人员发现并报告给苹果，现在被追踪为CVE-2023-32369。苹果已在两周前的 5 月 18 日发布的macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修补了该漏洞。 系统完整性保护 (SIP)是一种 macOS 安全机制，可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件，其运作原则是只有由 Apple 签名或拥有特殊权限的进程（例如 Apple 软件更新和安装程序）才被授权更改受 macOS 保护的组件。 此外，如果不重新启动系统并启动 macOS Recovery（内置恢复系统），就无法禁用 SIP，这需要对已经受损的设备进行物理访问。 然而，微软的研究人员发现，拥有 root 权限的攻击者可以通过滥用 macOS 迁移助手实用程序来绕过 SIP 安全实施。研究证明，拥有 root 权限的攻击者可以使用 AppleScript 自动执行迁移过程，并在将其添加到 SIP 的排除列表后启动恶意负载，而无需重新启动系统和从 macOS Recovery 启动。 任意绕过 SIP 会带来重大风险，尤其是在被恶意软件利用时，包括创建无法通过标准删除方法删除的受 SIP 保护的恶意软件。此外攻击面也得到扩大，并可能允许攻击者通过任意内核代码执行来篡改系统完整性，并可能安装 rootkit 以隐藏安全软件中的恶意进程和文件。 绕过 SIP 保护还可以完全绕过TCC 策略，使威胁行为者能够替换 TCC 数据库并获得对受害者私人数据的无限制访问权限。 已非第一次发现macOS 漏洞 这不是微软研究人员近年来报告的第一个此类 macOS 漏洞。2021 年，微软报告了一个名为Shrootless 的 SIP 绕过漏洞，允许攻击者在受感染的 Mac 上执行任意操作，将权限提升为 root，并可能在易受攻击的设备上安装 rootkit。 最近，微软首席安全研究员 Jonathan Bar Or 还发现了一个名为 Achilles 的安全漏洞，攻击者可以利用该漏洞绕过 Gatekeeper对不受信任应用的限制，以此来部署恶意软件。他还发现了另一个名为powerdir的漏洞，可以让攻击者绕过TCC来访问用户的受保护数据。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368060.html 封面来源于网络，如有侵权请联系删除

据 Ivanti 称，2023 年 3 月，报告的违规总数高于前三年报告的总和。 勒索软件组织不断将漏洞武器化，并将其添加到他们的武器库中，以对受害者发动破坏性和破坏性攻击。2023 年第一季度，研究人员发现了 12 个与勒索软件相关的新漏洞。他们还更新了正在跟踪的与勒索软件相关的关键指标，为企业保护其数据和资产免受这些不断升级的威胁提供了宝贵的见解。 与勒索软件相关的漏洞 前五名要点： 1.2023 年第一季度，有12 个新漏洞与勒索软件相关。 在过去的一个季度中，73% 的这些漏洞在互联网和深网和暗网中呈上升趋势。随着这种增加，现在有 7,444 种产品和 121 家供应商容易受到勒索软件攻击，其中微软以 135 个与勒索软件相关的漏洞位居榜首。 2.完整的MITRE ATT&CK杀伤链存在于59个漏洞中，其中两个漏洞是全新的。 MITRE ATT&CK杀伤链的漏洞允许攻击者端到端地利用它们（初始访问渗透），使它们极其危险。然而，流行的扫描器目前无法检测到其中三个漏洞。 3.流行的扫描器未检测到与勒索软件相关的 18 个漏洞，使企业面临重大风险。 4.开源漏洞有所增加。 目前有 119 个与勒索软件相关的漏洞存在于多个供应商和产品中。这是一个非常紧迫的问题，因为开源代码在许多工具中得到广泛使用。 5.两个高级持续威胁 (APT) 组织最近开始使用勒索软件作为首选武器。 包括 DEV-0569 和 Karakurt，使利用勒索软件的 APT 组织总数达到 52 个。 “我们不断从所有行业的客户那里听到，降低风险是他们的三大优先事项，当我们将其与我们的研究结果并列时，我们发现风险每个季度都在升级。安全人才短缺和 IT 预算紧缩限制了企业直面这些挑战。”Securin 首席执行官Aaron Sandeen表示，“私营和公共组织的安全取决于全方位应对这一挑战。” 弱点类别 该报告还追踪了导致勒索软件团体武器化的漏洞的弱点类别，强调了企业广泛使用的软件产品和操作系统缺乏安全性。对于企业及其安全团队，这份指数报告提供了有关勒索软件攻击者使用的趋势和技术的见解，这将帮助他们加强对这种风险的防御。“多年来，我们一直警告我们的客户注意软件制造商和 NVD 和 MITRE 等存储库忽略的漏洞。我们的预测性威胁情报平台已经能够在威胁被目前困扰全球组织的勒索软件团伙积极采用之前很久就向客户发出威胁警告。”Sandeen 说。除了使用更传统的策略外，威胁行为者还在不断改进他们的工具和策略，以使其更具破坏性。Ivanti 首席产品官 Srinivas Mukkamala表示：“IT 和安全团队面临的最大挑战之一是确定漏洞的优先级并修复漏洞，尤其是那些与勒索软件相关的漏洞。”他还指出，“我们现在才开始看到威胁行为者开始使用 AI 发起攻击。随着多态恶意软件攻击和攻击性计算的副驾驶成为现实，情况只会变得更加复杂。虽然尚未在野外出现，但勒索软件作者使用 AI 来扩展正在使用的漏洞和漏洞利用列表只是时间问题。这一全球挑战需要全球响应，以真正打击威胁行为者并将他们拒之门外。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/93_0ZncJP_ETx-_jYZ_6TA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，CISA 发布警告称上周有一个打补丁的零日漏洞（CVE-2023-2868）被网络攻击者用来入侵 Barracuda电子邮件安全网关（ESG）设备。目前，美国网络安全局已将该漏洞添加到其野外利用的安全漏洞目录中。 Barracuda 已经发布安全补丁 Barracuda 的安全解决方案在全球范围内有很大的市场份额，约 20 多万个实体组织使用，其中包括三星、三菱、卡夫亨氏和达美航空等知名公司。 Barracuda 指出根据调查结果显示，内部已经确定 CVE-2023-2868 漏洞可导致网络攻击者对电子邮件网关设备子集的未经授权访问，Barracuda 已通过周末发布的两个安全补丁修补了有该漏洞的设备。 值得一提的是，CISA 要求联邦民用行政部门机构（FCEB）机构必须按照 BOD 22-01 约束性操作指令的命令修补或缓解（CVE-2023-2868）漏洞。 受漏洞影响的客户应尽快检查其网络是否被破坏 Barracuda 公司表示对受感染的设备调查仅限于其 ESG 产品，并建议受影响的客户尽快审查其环境，以确保攻击者不会访问其网络上的其他它设备，联邦机构必须重视 CISA 的警报，立刻检查其网络是否有入侵迹象。 此外，尽管只需要美国联邦机构来修复添加到 CISA 已知漏洞（KEV）列表中的漏洞，但也强烈建议私营公司优先修复这些漏洞。CISA 强调这些漏洞是恶意网络行为者的常见攻击载体，并对联邦企业构成重大风险。 近期，CISA 在其漏洞列表中增加多个安全漏洞。当地时间周一，CISA 警告联邦机构要保护其环境中的iPhone 和 Mac 免受三个 iOS 和 macOS 零日攻击，其中一个由 Google TAG 和 Amnesty International 安全研究人员报告，并可能在国家支持的间谍软件攻击中被利用。 一周前，CISA 还在其 KEV 目录中增加了一个三星 ASLR 绕过漏洞，该漏洞作为利用链的一部分被网络攻击滥用，在运行Android 11、12 和 13 的三星移动设备上部署间谍软件套件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367823.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，GitLab 发布了 16.0.1 版紧急安全更新，以解决被追踪为 CVE-2023-2825 的严重性（CVSS v3.1 评分：10.0）路径遍历漏洞。 GitLab 是一个基于网络的 Git 存储库，主要面向需要远程管理代码的开发团队，目前共拥有约 3000 万注册用户和 100 万付费客户。 一位名叫 pwnie 的安全研究员发现 CVE-2023-2825 漏洞，随后在 GitLab 的 HackOne 漏洞奖励计划中报告了这个问题。据悉，该漏洞影响 GitLab社区版（CE）和企业版（EE）的 16.0.0 版本，其它更早的版本几乎都不受影响。 CVE-2023-2825 漏洞详情 CVE-2023-2825 漏洞源于路径遍历问题，当一个附件存在于至少五个组内嵌套的公共项目中时，未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。 以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时，GitLab 没有披露很多细节，但一再强调用户使用最新安全更新的重要性。 GitLab 在安全公告中表示，强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。（当没有提到产品的具体部署类型（总括、源代码、舵手图等）时，意味着所有类型都受到影响。） 值得一提的是，CVE-2023-2825 漏洞只能在特定条件下才会触发，即当公共项目中有一个附件嵌套在至少五个组中时，好在这并不是所有 GitHub 项目遵循的结构。 尽管如此，GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本，以降低安全风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367499.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）警告说，一个影响三星设备的严重性漏洞正在被滥用。 该漏洞被追踪为CVE-2023-21492（CVSS评分：4.4），影响运行安卓11、12和13版本的特定三星设备。 三星公司将该漏洞定义为一个信息披露漏洞，攻击者可以利用该漏洞绕过地址空间布局随机化（ASLR）保护。 ASLR是一种安全技术，旨在通过掩盖设备内存中可执行文件的位置来阻止内存损坏和代码执行漏洞。 关于该漏洞如何被利用的其他细节目前还不清楚，但三星手机的漏洞过去曾被商业间谍软件供应商用来部署恶意软件。 早在2020年8月，谷歌Project Zero也展示了一个远程零点击彩信攻击，利用Quram qmg库中的两个缓冲区覆盖漏洞（SVE-2020-16747和SVE-2020-17675）来击败ASLR并实现代码执行。 鉴于漏洞被积极的滥用，CISA已将该缺陷添加到其已知被利用的漏洞（KEV）目录中，与两个思科IOS漏洞（CVE-2004-1464和CVE-2016-6415）一起，敦促联邦民用行政部门（FCEB）机构在2023年6月9日前应用补丁。 上周，CISA还在KEV目录中增加了7个漏洞，其中最久远的是一个影响Linux的13年漏洞（CVE-2010-3904），允许没有权限的本地攻击者可以将其权限升级到root。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367168.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，安全研究人员在 WebKit 浏览器引擎中发现了三个零日漏洞，分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373，网络攻击者可以利用这些漏洞，针对 iPhone、Mac 和 iPad 展开网络攻击活动。 漏洞详情 网络攻击者可以利用上述三个漏洞，侵入用户设备访问用户敏感信息，甚至可以诱使受害者目标加载恶意制作的网页（网络内容），在受损设备上执行任意代码。接收到漏洞反馈后，苹果公司通过改进边界检查、输入验证和内存管理，解决了漏洞问题。 据悉，macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 等都会受到漏洞影响。具体受影响机型包括： iPhone 6s（所有型号）、iPhone 7（所有型号的）、iPhone SE（第一代）；iPad Air 2、iPad mini（第四代）、iPod touch（第七代）和 iPhone 8 及更高版本； iPad Pro（所有型号）、iPad Air 第三代及以后、iPad 第五代及更高版本、iPad mini 第五代及更高版本； 运行 macOS Big Sur、Monterey 和 Ventura 的 Mac 电脑 ； Apple Watch Series 4 及更高版本 Apple TV 4K（所有型号）和 Apple TV HD 。 苹果表示公司内部已经知道了三个零日漏洞正在野外被积极利用，5 月 1 日发布的 iOS 16.4.1 和 macOS 13.3.1设备的快速安全响应（RSR）补丁解决 CVE-2023-28204 和 CVE-2023-32373 这两个漏洞问题。 谷歌威胁分析小组成员 Clément Lecigne 和 Amnesty International’s 安全实验室成员 Donncha Ó Cearbhaill 发现并报告了CVE-2023-32409。这两名研究人员所属的组织会定期披露具有国家背景的黑客活动，这些网络犯罪分子利用零日漏洞在政客、记者、持不同政见者等人员的智能手机和电脑上部署间谍软件。 2023 年初以来，苹果修复了多个零日漏洞 进入 2023 年以来，苹果多次爆出安全漏洞。2 月份，苹果公司解决了一个 WebKit 零日（CVE-2023-23529）问题，该漏洞可以被攻击者用来在易受攻击的 iPhone、iPad 和 Mac 上执行代码；4月份，苹果修复了两个零日漏洞 CVE-2023-28206 和 CVE-2023-20205，攻击者可以利用这两个漏洞在目标设备上部署商业间谍软件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366946.html 封面来源于网络，如有侵权请联系删除

在发现安全漏洞后，安全人员敦促WordPress高级自定义插件的用户更新版本6.1.6。 该漏洞被标识为 CVE-2023-30777，与反射式跨站点脚本 （XSS） 的情况有关，该漏洞可被滥用向其他良性网站注入任意可执行脚本。 该插件有免费和专业两个版本，有超过两百万的安装。该漏洞于2023年5月2日被发现并报告给维护人员。 Patchstack研究员Rafie Muhammad说：该漏洞允许任何未经认证的用户窃取敏感信息，在这种情况下，通过诱使有特权的用户访问特制的URL路径，在WordPress网站上进行特权升级。 反射式XSS攻击通常发生在，受害者被骗点击电子邮件或其他途径发送的假链接，导致恶意代码被发送到易受攻击的网站，该网站将攻击反射到用户的浏览器上。 这种社会工程元素意味着反射式XSS不具有与存储式XSS攻击相同的覆盖范围和规模，因此攻击者将恶意链接分发给尽可能多的受害者。 Imperva指出：反射式XSS攻击通常是由于传入的请求没有得到充分的净化，从而允许操纵网络应用程序的功能和激活恶意脚本。 值得注意的是，CVE-2023-30777可以在Advanced Custom Fields的默认安装或配置上激活，尽管只有对该插件有访问权限的登录用户才有可能这样做。 Craft CMS修补了两个中等强度的XSS漏洞（CVE-2023-30177和CVE-2023-31144），攻击者可以利用这些漏洞提供恶意的有效载荷。 此外，cPanel 产品中还披露了另一个 XSS 漏洞（CVE-2023-29489，CVSS 分数：6.1），该漏洞可以在没有任何身份验证的情况下被利用来运行任意 JavaScript。 Assetnote的Shubham Shah说：攻击者不仅可以攻击cPanel的管理端口，还可以攻击运行在80和443端口的应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365809.html 封面来源于网络，如有侵权请联系删除

据Security affairs 5月4日消息，VulnCheck 研究人员最近利用打印管理软件 PaperCut 服务器中的一个严重漏洞，设计了一种新的利用方法，可以绕过所有当前安全检测。 PaperCut为佳能、爱普生、施乐和几乎所有其他主要打印机品牌生产打印管理软件，其产品被7万多个组织使用，包括世界各地的政府机构、大学和大公司。此次利用的漏洞被追踪为 CVE-2023-27350，CVSS评分高达9.8，是 PaperCut MF/NG 不当访问控制漏洞。PaperCut MF/NG 在 SetupCompleted 类中包含一个不正确的访问控制漏洞，允许绕过身份验证并在 SYSTEM 上下文中执行代码。 VulnCheck研究人员公开了两个漏洞利用变体： 1.使用 PaperCut 打印脚本接口执行 Windows 命令的漏洞（Horizon3.ai 漏洞的变体）； 2.利用打印脚本接口投放恶意 JAR。 这两种方法都滥用了系统内置的 JavaScript 接口。JavaScript 引擎是 Rhino，允许该用户执行任意 Java。PaperCut Software 实施了配置选项来降低这种任意代码执行向量的风险，但由于攻击者拥有完全的管理访问权限，这些保护措施很容易被禁用。 VulnCheck 设计的 PoC 漏洞利用将 auth 程序设置为 Linux 上的“/usr/sbin/python3”和 Windows 上的“C:\Windows\System32\ftp.exe”，攻击者可以通过在登录尝试期间提供恶意用户名和密码，在易受攻击的服务器上执行任意代码。 4 月 19 日，PaperCut 确认了该漏洞，该公司收到了网络安全公司趋势科技两份关于 PaperCut MF/NG 严重安全漏洞报的告。 趋势科技计划在 2023 年 5 月 10 日披露有关该漏洞的更多信息。 好在PaperCut通过发布 PaperCut MF 和 PaperCut NG 20.1.7、21.2.11 和 22.0.9 及更高系统版本解决了漏洞问题，强烈建议用户升级到其中一个包含修复程序的版本。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365552.html 封面来源于网络，如有侵权请联系删除

GitHub宣布正式上线提供私人漏洞报告功能，以便研究人员和更广泛的公众可以私下报告漏洞。有了这个功能，研究人员可以在不公开披露弱点的情况下报告漏洞。这确保了恶意行为者不会在修复措施发布之前利用这些漏洞。   私人漏洞报告首先在GitHub Universe 2022年作为公开测试版提供。从那时起，30000个组织的维护者已经在超过180,000个存储库中启用了该功能。GitHub表示，这种私人报告机制启动以来，已经收到了超过1000份报告。 随着GitHub将这一功能晋升为普遍可用，它还增加了几个新功能。第一个改进让维护者可以在其组织中的所有仓库上启用该功能，而不是一次只启用一个仓库。维护者还可以为那些帮助发现问题的人指定一个类型，一些类型包括分析员、发现者、赞助者等等。 最后，还有一个新的版本库安全顾问的API，方便与第三方系统的整合，自动提交，和漏洞警报。希望随着这一功能的普及，开源项目会变得更安全一些。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7223979662970946105/ 封面来源于网络，如有侵权请联系删除