The Hacker News 网站消息，可信平台模块 ( TPM ) 2.0 参考库规范中爆出一个严重安全漏洞，这些漏洞可能会导致设备信息泄露或权限提升。 漏洞或影响数十亿物联网设备 2022 年 11 月，网络安全公司 Quarkslab 发现并报告漏洞问题，其中一个漏洞被追踪为 CVE-2023-1017（涉及越界写入），另一个漏洞追踪为 CVE-2023-1018（可能允许攻击者越界读取）。 Quarkslab 指出，使用企业计算机、服务器、物联网设备、TPM 嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响，并一再强调，漏洞可能会影响数十亿设备。 可信平台模块 (TPM) 可信平台模块 (TPM) 技术是一种基于硬件的解决方案，可为现代计算机上的操作系统提供安全的加密功能，使其能够抵抗篡改。 微软表示，最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用，在系统启动过程中，可以测量加载的启动代码（包括固件和操作系统组件）并将其记录在 TPM 中，完整性测量值可用作系统启动方式的证据，并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。 可信计算组织（TCG） 漏洞事件发酵后，可信计算组织（简称：TCG，由 AMD、惠普、IBM、英特尔和微软组成）指出，由于缺乏必要的检查，出现漏洞问题，最终或引起本地信息泄露或权限升级。CERT 协调中心（CERT/CC）在一份警报中表示，受影响的用户应该考虑使用 TPM 远程验证来检测设备变化，并确保其 TPM 防篡改。 最后，安全专家建议用户应用 TCG 以及其它供应商发布的安全更新，以解决这些漏洞并减轻供应链风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/359428.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）和安全研究人员报告称，一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用，他们正利用该漏洞向未打补丁的服务器部署后门。专家表示，这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA已将CVE-2022-36537添加到其已知已开发漏洞（KEV）目录中，该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。 根据KEV列表，在ZK框架AuUploader servlets中发现的这个漏洞，可能允许攻击者 “检索位于Web上下文中的文件内容”，从而窃取敏感信息。CISA表示：该漏洞可以影响多个产品，包括但不限于ConnectWise R1Soft Server Backup Manager。 事实上，该漏洞在2022年10月首次出现便引起广泛关注，当时ConnectWise对其产品中漏洞的存在发出了警报，特别是ConnectWise Recover和R1Soft服务器备份管理器技术。Huntress的高级安全研究人员John Hammond和Caleb Stewart随后发表了一篇关于如何利用该漏洞的博文。 CISA和Huntress都是根据Fox-IT 2月22日发表的研究报告发出警告的，该报告发现有证据表明攻击者使用易受攻击版本的ConnectWise R1Soft Server Backup Manager软件 作为初始访问点和控制通过R1Soft Backup Agent连接的下游系统的平台，研究人员在一篇博客文章中写道。 研究人员在博文中还写道：这个代理被安装在系统上，以支持被R1Soft服务器软件备份，通常以高权限运行。这意味着，在对手最初通过R1Soft服务器软件获得访问权后，它能够在连接到该R1Soft服务器的所有运行代理的系统上执行命令。 漏洞的历史 ConnectWise方面在10月迅速采取行动为产品打补丁，向ConnectWise服务器备份管理器（SBM）的云端和客户端实例推送了自动更新，并敦促R1Soft服务器备份管理器的客户立即升级到新的SBM v6.16.4。 总部位于德国的安全厂商Code White GmbH的一名研究人员率先发现了CVE-2022-36537，并在2022年5月向ZK Java Web框架的维护者报告。他们在该框架的9.6.2版本中修复了这个问题。 根据Huntress的博文，ConnectWise意识到其产品的漏洞，当时同一公司的另一位研究人员发现ConnectWise的R1Soft SBM技术正在使用有漏洞的ZK库版本，并向公司报告了这个问题。 当该公司在90天内没有回应时，研究人员在Twitter上公布了一些关于如何利用该漏洞的细节，Huntress的研究人员利用这些细节复制了该漏洞并完善了一个概念验证（PoC）漏洞。 Huntress的研究人员最终证明他们可以利用该漏洞泄露服务器私钥、软件许可信息和系统配置文件，并最终在系统超级用户的背景下获得远程代码执行。 当时，研究人员通过Shodan发现了 多达5000个暴露的服务器管理器备份实例，所有这些都有可能被威胁者利用，同时还有他们的注册主机。他们推测，该漏洞有可能影响到比这更多的机器。 供应链面临风险 当Huntress对该漏洞进行分析时，没有证据表明存在主动利用的情况。现在，随着这种情况的改变，不仅在ConnectWise，在其他产品中也存在任何未打补丁的ZK Java Web框架版本。这对攻击者来说无疑是利好的，同时这可能给供应链带来重大风险。 Fox-IT的研究表明，全世界对ConnectWise的R1Soft服务器软件的利用大约始于11月底，也就是Huntress发布其PoC之后不久。 研究人员写道：在指纹识别的帮助下，我们已经在全球范围内确定了多个被攻击的主机供应商。 Fox-IT研究人员在1月9日说，他们已经确定了 总共有286台运行R1Soft服务器软件的服务器带有特定后门。 根据KEV列表，CISA敦促任何仍在使用受影响ConnectWise产品的未修补版本的组织“根据供应商说明”更新其产品。虽然到目前为止，该漏洞的存在仅在ConnectWise产品中被发现，但使用未修补版本的框架的其他软件也容易受到攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/359129.html 封面来源于网络，如有侵权请联系删除  

苹果公司修订了它上个月发布的安全公告，更新了影响iOS、iPadOS和macOS的三个新漏洞。 第一个漏洞是Crash Reporter组件中的一个竞赛条件（CVE-2023-23520），可使恶意攻击者以root身份读取任意文件。iPhone制造商表示，它通过额外的验证来解决这个问题。 另外两个漏洞，归功于Trellix研究员Austin Emmitt，位于Foundation框架中（CVE-2023-23530和CVE-2023-23531），可以武器化来实现代码执行。 苹果公司表示：“应用程序可能能够在其沙箱之外执行任意代码或具有某些提升的权限”，并补充说道已经通过“改进的内存处理”修补了这些问题。 在2023年1月23日发货的iOS 16.3、iPadOS 16.3和macOS Ventura 13.2中，这些中度至高度的漏洞已经得到修补。 Trellix在周二自己的报告中，将这两个漏洞归类为 “新的一类漏洞，允许绕过代码签名，在几个平台应用程序的上下文中执行任意代码，导致macOS和iOS上的权限升级和沙盒逃脱”。 这些漏洞还绕过了苹果为解决零点击漏洞而采取的缓解措施，如以色列雇佣军间谍软件供应商NSO集团利用FORCEDENTRY在目标设备上部署Pegasus。 因此，攻击者可以利用这些漏洞冲出沙盒，以更高的权限执行恶意代码，可能会允许访问日历、地址簿、信息、位置数据、通话记录、摄像头、麦克风和照片。 更要注意的的是，这些安全漏洞可以被滥用来安装任意的应用程序，甚至擦除设备。也就是说，利用这些漏洞需要攻击者已经获得了一个最初的立足点。 Austin Emmitt表示：上述漏洞代表了对macOS和iOS安全模型的重大破坏，该模型依赖于单个应用程序对所需资源的子集进行细粒度访问，并查询更高特权的服务以获取其他任何内容。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358452.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，韩国汽车制造商现代（Hyundai）和起亚（Kia）给旗下约 830 万辆汽车进行了防盗安全更新（预估有 380 万辆现代汽车和 450 万辆起亚汽车）。 据悉，此次安全升级的缘由是 2022 年 7 月 TikTok 上疯狂传播的“Kia Challenge”活动，“实验人员”只需一根 USB 线即可盗走现代或者亚汽车，虽然此举本质上是一种偷车行为，但汽车存在安全逻辑漏洞的问题还是引起广泛讨论。 随着“挑战”事件发酵，现代汽车发布公告表示，为降低犯罪分子针对其没有按钮式点火装置和固定防盗装置的车辆盗窃案数量，公司正在推出一个免费的防盗软件升级，以防止车辆被盗。 现代和起亚汽车存在安全漏洞 现代和起亚汽车存在明显逻辑漏洞。正常情况下，钥匙启动车辆需要绕过防盗器，但这两个品牌的部分车型允许任何 “转动钥匙启动 “系统绕过防盗器，这使得盗贼可以使用任何 USB 电缆强行激活“点火桶”，从而启动车辆。 此外，“Kia Challenge”之所以影响如此之大，以至于在洛杉矶，这两个品牌 2022 年的盗窃案与前一年相比陡然增加了 85%，在芝加哥，针对这两个品牌的盗窃案同样增加了 9 倍。 根据美国交通部（NHTSA）发表文章的文章来看，安全漏洞影响了大约 380 万辆现代汽车和 450 万辆起亚汽车。 现代和起亚表示正在进行软件升级 自 2022 年 11 月以来，这两个汽车品牌一直在与美国各地的执法机构合作，提供数以万计的方向盘锁。为了更好的解决这个问题，两家车给所有受影响的车辆免费提供安全更新。 近日，已经开始向 100 多万辆 2017-2020 年伊兰特、2015-2019 年索纳塔和 2020-2021年 Venue 汽车进行安全升级。 值得一提的是，免费升级所需时间不超过一个小时，起亚、现代将陆续通知符合条件的车主进行更新。第二阶段的安全更新将在 2023 年 6 月前完成，主要针对以下车型。 2018-2022年雅绅特 2011-2016年伊兰特 2021-2022年伊兰特 2018-2020年伊兰特GT 2011-2014 Genesis Coupe 2018-2022年 科纳 2020-2021 Palisade 2013-2018 圣达菲运动版 2013-2022年 圣达菲 2019款圣达菲XL 2011-2014 索纳塔 2011-2022年 图森 2012-2017年，2019-2021年Veloster 根据现代车企发布的内容来看，软件升级主要修改了 “从钥匙到启动 “的逻辑。升级后，只有当钥匙扣被用来解锁车辆时，点火装置才会启动。 此外，现代公司还将为其客户提供一张车窗贴纸，让盗贼知道该车的软件已经升级，以期中和社交媒体宣传的黑客行为，阻止任何企图。 对于没有发动机防盗系统，无法接受修复软件升级的车型，现代汽车将为车主支付方向盘锁的费用。起亚承诺将很快推出其软件升级，但尚未发布任何具体日期或细节的公告。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357767.html 封面来源于网络，如有侵权请联系删除

根据网络安全保险公司Coalition最新发布的网络威胁指数报告，预计2023年平均每月将有1900个危险漏洞披露，比2022年增长13%，其中高危漏洞270个、严重高危漏洞155个。   最新的“网络威胁指数”预测基于Coalition公司过去十年通过其主动风险管理与预防技术收集的数据，这些数据来自承保和索赔、其全球蜜罐传感器网络以及对超过52亿个IP地址的扫描。报告称，2023年绝大多数漏洞利用发生在公开披露后90天内，其中大多数利用集中在漏洞披露后30天内。 据Coalition介绍，该预测模型基于其季节性自回归综合移动平均模型，分析了过去十多年的漏洞和季节性数据，在此基础上对2023年的新增漏洞数量、类型和严重性进行了预测。 Coaliton还分析了蜜罐监测到的22000次网络攻击，以了解攻击者的技术。 94%的企业至少有一个未加密服务公开暴露 报告指出，在2022年扫描的组织中，94%的企业至少有一个未加密的服务暴露在互联网上。远程桌面协议（RDP）仍然是网络攻击者最常扫描的协议，这表明攻击者仍然更喜欢利用旧协议的新漏洞访问系统。此外，Elasticsearch和MongoDB数据库的攻击率很高，有信号显示大量数据库已被勒索软件攻击得手。 未经身份验证的数据库访问在2022年有所增加，尤其是Redis。报告称，这是因为Redis易于使用和扩展。许多企业可能缺乏安全重点或专业知识，这导致数据库配置错误或缺乏安全控制。这使得大量数据暴露在互联网上，面临被盗或被勒索赎金的风险。 报告建议企业IT和安全团队在漏洞补丁发布后的30天内优先修补面向公众开放的基础设施和面向互联网的软件漏洞，并遵循定期升级周期来缓解旧软件中的漏洞。 新的漏洞评估模型：CESS 2023年Coalition开发了一个全新的漏洞评分机制，名为联盟漏洞利用评分系统（CESS）。其目标是创建一个评分机制完全透明，更加准确的漏洞评估系统，以便安全社区可以提供改进建议。CESS的灵感来自漏洞预测评分系统（EPSS）和通用漏洞扫描系统（CVSS），侧重于提供定制信息，可根据攻击者利用漏洞的可能性来辅助网络安全承保业务。 CESS系统的核心是能够为安全研究人员提供两个关键信息：漏洞利用的可用性和漏洞利用的可能性。 EPSS专注于两个核心指标：效率和覆盖范围。效率值显示企业利用资源来解决已修复漏洞的百分比。EPSS指出，与仅通过CVSS基于严重性评分的随机漏洞相比，将企业的大部分资源用于修复大多数已知利用的漏洞更有效。覆盖范围则是查看已修复的被利用漏洞的百分比。 EPSS专注于利用概率最高的漏洞，能帮助企业最大化利用稀缺的安全资源来降低风险，并最大限度地减少开发团队摩擦。   转自 GoUpSec，原文链接：https://www.secrss.com/articles/51691 封面来源于网络，如有侵权请联系删除

外媒黑客新闻报道称，恶意黑客正在利用向日葵（Sunlogin）软件的已知漏洞来部署Silver C2框架，以实施后续入侵活动。 这一安全事件调查由韩国安全公司AhnLab的安全应急响应中心（ASEC）发布。该中心发现，中国远程桌面控制软件向日葵的安全漏洞已遭到利用，攻击者正借此部署各种恶意载荷。 研究人员表示，“恶意黑客不仅使用了Silver后门，还使用了BYOVD（自带易受攻击驱动程序）来破坏安全产品并安装反向shell。” 攻击者首先利用向日葵v11.0.0.33及更早版本中的两个远程代码执行漏洞（CNVD-2022-03672 和 CNVD-2022-10270）打开局面，然后借此传播Silver或其他恶意软件，例如Gh0st RAT和XMRig加密货币采矿程序。 在相关案例中，恶意黑客据称利用向日葵漏洞安装了PowerShell脚本，该脚本又利用BYOVD技术使得系统中已安装的安全软件失效，最后使用Powercat投放了反向shell。 BYOVD技术滥用了合法但却易受攻击的Windows驱动程序mhyprot2.sys。该驱动程序经过有效证书的签名，可获得更高权限并终止反病毒进程。 值得注意的是，趋势科技此前曾经披露过，有攻击者利用原神冲击（Genshin Impact）游戏的反作弊驱动程序（包括mhyprot2.sys）部署勒索软件。 研究人员指出，“目前还不确定，这次是否出自同一批恶意黑客之手，但几个小时之后，日志显示被攻击系统确实由于向日葵远程代码执行漏洞而被装上了Silver后门。” 从调查结果来看，这批黑客打算利用由Go语言编写的合法渗透测试工具Silver，替代以往的Cobalt Strike和Metasploit。 研究人员总结道，“Silver提供必要的分步功能，例如账户信息窃取、内部网络横移以及企业内网越界，跟Cobalt Strike非常相似。”     转自 安全内参，原文链接：https://www.secrss.com/articles/51691 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，NAS 厂商 QNAP（威联通）在安全公告表示， QTS 5.0.1 和 QuTS hero h5.0.1 两款软件中存在严重漏洞 （追踪为 CVE-2022-27596，CVSS v3 评分：9.8）。 据悉，即使远程攻击者没有获得用户交互权限或易受攻击设备上其它权限，也可以轻松利用 CVE-2022-27596 漏洞在受影响的 QNAP 设备上注入恶意代码。 漏洞影响 QTS 5.0.1 和 QuTS hero h5.0.1 版本。 漏洞披露不久后，QNAP 就发布了 QTS 和 QuTS 固件安全更新。目前，以下操作系统版本已修复了 CVE-2022-27596 漏洞。 QTS 5.0.1.2234 build 20221201 及更高版本 QuTS hero h5.0.1.2248 build 20221215 及更高版本 网络安全公司 Censys 对互联网上暴露的 QNAP 设备进行了全面扫描，发现 30000 台设备运行 QTS 5.0.1 和 QuTS hero h5.0.1易受攻击的版本，可能会受到 CVE-2022-27596 漏洞的影响。 此外，Censys 对 67415 台据称运行基于 QNAP 系统的主机进行了检查，但只从 30520 台主机中获得了版本号。在这 30520 台具有版本的主机中，只有 557 台更新了安全补丁，这意味着 29968 台主机可能受到 CVE-2022-27596 漏洞的影响。值得一提的是，其中易感染的系统主要位于意大利（3200）、美国（3149）和台湾（1942）。 易受攻击的版本： 最后，Censys 强调一旦 CVE-2022-27596 漏洞被网络犯罪分子发布并武器化，可能会给成千上万的 QNAP 用户带来麻烦。因此强烈建议用户立刻升级其 QNAP 设备，以免遭受网络攻击。   转自 Freebuf，原文链接：https://www.freebuf.com/news/356449.html 封面来源于网络，如有侵权请联系删除

Meta公司为用户管理其Facebook和Instagram的登录而创建的一个新的集中式系统中的一个错误可能使恶意的黑客仅仅通过知道他们的电子邮件地址或电话号码就能关闭一个账户的双因素保护措施。 来自尼泊尔的安全研究员Gtm Mänôz意识到，当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时，Meta没有设置尝试次数的限制，该中心帮助用户连接他们所有的Meta账户，如Facebook和Instagram。 有了受害者的电话号码或电子邮件地址，攻击者就会到集中的账户中心，输入受害者的电话号码，将该号码与他们自己的Instagram或Facebook账户连接起来，然后用暴力破解双因素短信代码。这是关键的一步，因为某人可以尝试的次数是没有上限的。 一旦攻击者获得正确的代码，受害者的电话号码就会与攻击者的账户联系起来。一次成功的攻击仍然会导致Meta公司向受害者发送一条信息，说他们的双因素被禁用，因为他们的电话号码被链接到了别人的账户上。在这个过程中，影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。   Meta公司发给一个用户的电子邮件的截图，上面写着：”我们想让你知道，你的电话号码在Facebook上被另一个人注册和验证了。” 理论上，鉴于目标不再启用双因素，攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。 Mänôz去年在Meta账户中心发现了这个漏洞，并在9月中旬向公司报告。Meta公司在一个月后修复了该漏洞，并向Mänôz支付了27200美元的奖励。 目前还不清楚怀有恶意的黑客是否也发现了这个漏洞，并在Facebook修复它之前利用了它，Meta公司没有立即回应评论请求。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7194496182545023547/ 封面来源于网络，如有侵权请联系删除

近日，安全研究人员在流行的开源电子病历系统OpenEMR中发现多个严重漏洞，可被攻击者组合利用，在服务器上远程执行代码。 OpenEMR是一种全球流行的电子病历(EHR)系统和医疗实践管理解决方案，被全球超过10万家医疗机构使用，服务超过2亿患者。 开源OpenEMR项目由非营利组织OpenEMR基金会提供支持，由数百名志愿者和专业人士维护。OpenEMR基金会的愿景是“让每个医疗服务机构都能用上高质量的医疗信息技术。” 专业人士指出，由于OpenEMR是开源软件，非常适合安全研究人员查找漏洞，因为这样做不必担心负面的法律后果。事实上，开源解决方案的安全性正是得益于安全研究人员的努力而不断提升。 三个严重漏洞 安全研究人员Brinkrolf使用SonarSource的静态应用程序安全测试(SAST)引擎分析OpenEMR的软件代码，发现了三个严重漏洞： 经过身份验证的文件读取 经过身份验证的本地文件包含 经过身份验证的反射型XSS 第一个漏洞可能允许未经身份验证的攻击者利用流氓MySQL服务器从OpenEMR实例读取任意文件，包括证书、密码、令牌和备份。后两者可用于接管开放的、易受攻击的OpenEMR实例。SonarSource的公告提供了三个漏洞的更深入的技术细节（链接在文末）。 好消息是，OpenEMR维护人员在不到一周的时间内修复了这些漏洞，并推出了软件的补丁/新版本(v7.0.0)。建议使用OpenEMR的医疗机构尽早升级到该版本。   转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/kgoqfeG63RA9fGrxwXKihA 封面来源于网络，如有侵权请联系删除

目前，鉴于各平台对密码的要求越来越复杂，越来越多用户使用密码管理软件统一存储密码，虽然此举可以很好帮助用户管理账户信息，但也意味着一旦此类软件存在漏洞，很容易导致机密数据泄露。 近日，Bleeping Computer 网站披露，开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055，网络攻击者能够利用漏洞在用户毫不知情的情况下，以纯文本形式导出用户的整个密码数据库。 不同于 LastPass 、BitwardenKeePass 等云托管的数据库，KeePass 允许用户使用本地存储的数据库来管理密码，并允许用户通过主密码加密数据库，以避免泄漏，这样恶意软件或威胁攻击者就很难访问数据库并自动窃取其中存储的密码。 但 CVE-2023-24055 允许获得目标系统写入权限的威胁攻击者更改 KeePass XML 配置文件并注入恶意触发器，从而将数据库中所有用户名和密码以明文方式导出。 据悉，当目标用户启动 KeePass 并输入主密码以解密数据库时，将触发导出规则，并将数据库内容保存到一个文件中，攻击者可以稍后将其导出到其控制的系统中。值得一提的是，整个数据库导出过程都在系统后台完成，不需要前期交互，不需要受害者输入密码，甚至不会通知受害者，悄悄导出所有数据库中存储的密码信息。 安全研究人员认为 CVE-2023-24055 漏洞爆出可能使威胁攻击者更容易在受损设备上转储和窃取 KeePass 数据库的内容。部分户要求 KeePass 开发团队在黑客“悄悄”导出数据库之前添加确认提示，或者提供一个没有导出功能的应用程序版本。 KeePass 官方表示暂无漏洞修补措施 KeePass 官方声明表示，CVE-2023-24055 漏洞不应该归咎于 KeePass，并且这一漏洞不是其所能够解决的，有能力修改写入权限的网络攻击者完全可以进行更强大的网络攻击。 当用户常规安装 KeePass 时，一旦攻击者具有写入权限，就可以执行各种命令，开展攻击活动，就算用户运行可移植版，威胁攻击者也可以用恶意软件替换 KeePass 可执行文件。 上述两种情况表明，对 KeePass 配置文件进行写入意味着攻击者实际上可以执行比修改配置文件更强大的攻击（这些攻击最终也会影响 KeePass，而不受配置文件保护）。因此，KeePass 建议用户只有保持环境安全（使用防病毒软件、防火墙、不打开未知电子邮件附件等），才能防止此类攻击。 最后，KeePass 开发人员指出，即使用户无法获得更新版本，仍然能够通过系统管理员身份登录并创建强制配置文件来保护数据库。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356226.html 封面来源于网络，如有侵权请联系删除