Hackernews 编译，转载请注明出处： 据观察，一种名为Zerobot的基于Go的新型僵尸网络利用物联网（IoT）设备和其他软件中的近20个安全漏洞，在野外迅速扩散。 Fortinet FortiGuard实验室的研究员Cara Lin说：“僵尸网络包含几个模块，包括自我复制、针对不同协议的攻击和自我传播。它还使用WebSocket协议与其命令和控制服务器进行通信。” 据称，该行动于2022年11月18日之后开始，主要针对Linux操作系统，以控制易受攻击的设备。 Zerobot的名字来自于一个传播脚本，该脚本用于在获得对主机的访问权后根据其微架构实现（例如“zero.arm64”）检索恶意有效载荷。 该恶意软件旨在针对各种CPU架构，如i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64和s390x。 迄今为止，已经发现了两个版本的Zerobot：一个是在2022年11月24日之前使用的，它具有基本功能和一个更新的版本，包括自传播模块，可以使用21个漏洞攻击其他端点。 这包括影响TOTOLINK路由器、Zysel防火墙、F5 BIG-IP、海康威视摄像头、FLIR AX8热成像摄像头、D-Link DNS320 NAS和Spring Framework等的漏洞。 Zerobot在受感染的机器上初始化后，会与远程命令控制（C2）服务器建立联系，并等待进一步的指令，允许它运行任意命令，并对TCP、UDP、TLS、HTTP和ICMP等不同网络协议发起攻击。 “在很短的时间内，它被更新为字符串模糊处理、复制文件模块和传播攻击模块，这使得它更难被检测出来，并使其具有更高的感染能力。”Lin说。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国Megatrends（AMI）MegaRAC基板管理控制器（BMC）软件中披露了三种不同的安全漏洞，可能导致在易受攻击的服务器上执行远程代码。 固件和硬件安全公司Eclypsium在与The Hacker News分享的一份报告中表示：“利用这些漏洞的影响包括远程控制受感染的服务器，远程部署恶意软件、勒索软件和固件植入物，以及服务器物理损坏（砖砌）。” BMC是服务器中的特权独立系统，用于控制低级硬件设置和管理主机操作系统，即使在计算机断电的情况下也是如此。 这些功能使BMC成为黑客的目标，他们希望在操作系统重新安装和硬盘更换后幸存下来的设备上植入持久性恶意软件。 这些新发现的问题统称为BMC&C，攻击者可以访问Redfish等远程管理界面（IPMI），从而利用这些漏洞，可能使对手能够控制系统并使云基础设施面临风险。 其中最严重的漏洞是 CVE-2022-40259（CVSS评分：9.9），这是一种通过Redfish API执行任意代码的情况，要求攻击者在设备上拥有最低级别的访问权限（回调权限或更高）。 CVE-2022-40242（CVSS评分：8.3）与系统管理员用户的哈希有关，可以破解和滥用该哈希值以获得管理shell访问权限，而CVE-2022-2827（CVSS 评分：7.5）是密码重置功能中的一个漏洞，可以利用该漏洞来确定是否存在具有特定用户名的帐户。 研究人员解释说：“[CVE-2022-2827]允许精确定位预先存在的用户，并且不会导致进入shell，但会为攻击者提供暴力攻击或撞库攻击的目标列表。” 调查结果再次强调了确保固件供应链和确保BMC系统不直接暴露在互联网上的重要性。 该公司表示：“由于数据中心倾向于在特定硬件平台上实现标准化，任何BMC级别的漏洞都很可能适用于大量设备，并可能影响整个数据中心及其提供的服务。” Binarly在基于AMI的设备中披露了多个高影响漏洞，这些漏洞可能导致早期启动阶段（即EFI前环境）内存损坏和任意代码执行。 今年5月早些时候，Eclypsium还发现了影响Quanta Cloud Technology（QCT）服务器的所谓“Pantsdown”BMC漏洞，成功利用该漏洞可以让攻击者完全控制设备。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

The Hacker News 网站披露，IBM 近日修复一个影响其 PostgreSQL 云数据库（ICD）产品的高严重性安全漏洞（CVSS分数：8.8），该漏洞可能被利用来篡改内部存储库并运行未经授权的代码。 云安全公司 Wiz 将该漏洞称为“Hell’s Keychain ”，一旦恶意攻击者成功利用该漏洞可能会在客户环境中远程执行代码，甚至读取或修改存储在 PostgreSQL 数据库中的数据。 Wiz 研究人员 Ronen Shustin 和 Shir Tamari 表示：该漏洞由三个暴露的秘密 Kubernetes 服务帐户令牌、私有容器注册密码、CI/CD 服务器凭据组成，再加上对内部构建服务器的过度许可网络访问。 Hell’s Keychain 始于 ICD 中的一个 SQL 注入漏洞，该漏洞可能授予攻击者超级用户（又称 “ibm”）权限，然后允许其在托管数据库实例的底层虚拟机上执行任意命令。 据悉，这个功能被武器化以期访问 Kubernetes API 令牌文件，从而允许更广泛的开发后工作，包括从 IBM 的私有容器注册表中提取容器图像，该注册表存储与用于PostgreSQL 的 ICD 相关的图像，并扫描这些图像以获取其他机密。 研究人员强调，容器图像通常包含公司知识产权的专有源代码和二进制工件，此外，它们还可以包含攻击者可以利用的信息，以发现其他漏洞并在服务的内部环境中执行横向移动。 Wiz 表示，它能够从图像清单文件中提取内部工件存储库和 FTP 凭证，有效地允许对受信任的存储库和 IBM 构建服务器进行不受限制的读写访问。 这种攻击能够覆盖到 PostgreSQL 映像构建过程中使用的任意文件，然后将这些文件安装在每个数据库实例上，因此可能会产生严重后果。 IBM 在一份独立的咨询报告中表示，所有用于 PostgreSQL 实例的 IBM 云数据库都可能受到该 漏洞的影响，但目前还没有发现恶意活动的迹象，修补措施于 2022 年 8 月 22 日和 9 月 3 日推出，已自动应用于客户实例，无需进一步操作。 研究人员表示：作为广泛攻击链的一部分，这些漏洞可能被恶意攻击者利用，最终导致对平台的供应链攻击。 为了减轻此类威胁，建议组织监控其云环境中分散的凭据，强制实施网络控制以防止访问生产服务器，并防止容器注册表损坏。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351588.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）咨询报告，警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权，或查看和执行程序。 GX Works3是ICS环境中使用的工程工作站软件，作为从控制器上传和下载程序的机制，排除软件和硬件问题，并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。 10个缺陷中有3个与敏感数据的明文存储有关，4个与使用硬编码的加密密钥有关，2个与使用硬编码的密码有关，1个涉及保护不足的凭证情况。 其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1，可以被滥用，以获得对CPU模块的访问，并获得项目文件的信息，而不需要任何权限。 发现CVE-2022-29831（CVSS评分：7.5）的Nozomi Networks表示，能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块，并可能破坏工业流程。 报告指出：“工程软件是工业控制器安全链中的一个重要组成部分，如果其中出现任何漏洞，对手可能会滥用这些漏洞，最终破坏所管理的设备，从而破坏受监督的工业流程。” CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务（DoS）漏洞的细节，该漏洞源于缺乏适当的输入验证（CVE-2022-40265，CVSS评分：8.6）。 CISA指出：”成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。 在一个相关的发展中，网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器（RCC）972的三个问题，其中最关键的问题（CVE-2022-2641，CVSS评分：9.8）可能导致远程代码执行或引起DoS条件。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/b9D8hfD8H_dkUVhtpXyYnA 封面来源于网络，如有侵权请联系删除

据cybernews消息，现代汽车APP存在一个重大安全漏洞。利用这个漏洞，黑客可以远程解锁、启动汽车。更令业界感到惊讶的是，这个漏洞已经存在了10年之久，影响了自2012年生产的现代汽车，以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称，该漏洞并未被广泛利用。 这两个APP的名称是MyHyundai 和 MyGenesis，允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆，可进一步提升车主的使用体验。 根据网络安全研究人员Sam Curry的说法，原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限，但是，该APP与授权服务器的通信之间存在一个严重的安全漏洞，导致攻击者可以轻易取得相应的权限。 Sam Curry在社交平台发文称，“我们注意到服务器不要求用户确认他们的电子邮件地址，此外还有一个非常松散的正则表达式，允许在您的电子邮件中使用控制字符。” 在深入研究绕过身份验证的可能方法后，Sam Curry和他的团队发现，在注册过程中，只需要在现有受害者电子邮件的末尾添加CRLF字符，攻击者就可以使用现有的电子邮件注册一个新帐户。 而这个新帐户将获得一个JSON网络令牌 (JWT)，该令牌与服务器中的合法电子邮件相匹配，从而授予攻击者对目标车辆的访问权限。 Sam Curry发布消息称，“我们目前在确认，是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作，如果真的可以做到这一点，那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。 随后，有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示，使用受害者的电子邮件地址并添加 CRLF 字符，就可以让他们远程解锁链接了相应电子邮件地址的车辆。 有消息称，某些黑客团队也盯上了这个漏洞，甚至开发了一个python 脚本，只需要获取受害者的电子邮件地址，即可执行车辆上的所有命令，甚至接管车主的帐户。 目前，该漏洞已经报告给现代汽车公司，并且已经得到修复。在发布的公告中，现代汽车表示，经过调查后并未发现该漏洞被黑客利用了。 现代声称该公司调查了这个问题，并没有发现该漏洞在野外被利用，并强调利用该漏洞条件苛刻，“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址，以及研究人员使用的特定网络脚本。” 而这似乎与目前不少安全人员发布的内容不太相符。 Yuga Labs公司的分析师称，只需要知道目标车辆识别号 (VIN)，就有可能向端点发送伪造的 HTTP 请求，从而顺利利用该漏洞。 在实际情况中，车辆VIN 很容易在停放的汽车上获取，通常在仪表板与挡风玻璃相接的板上可见，攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到，供潜在买家查看车辆的历史记录。 近年来，智能汽车产业正处于快速发展期，越来越多的安全专家们也开始将研究重点放在汽车攻击领域，发现了不少重量级汽车网络安全漏洞，包括远程解锁、启动、停止车辆等，成功向外界展示，攻击者是如何破坏车辆中的各种组件，涉及多个主流汽车品牌。 也正因为如此，汽车厂商们应进一步加大对网络安全的重视程度，并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间，其安全性的重要性毋庸置疑，也是车主们选择汽车的重要衡量因素。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351422.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月30日消息，谷歌的威胁分析小组 (TAG) 发现一家西班牙软件公司试图利用 Chrome 、 Firefox 浏览器以及 Microsoft Defender 安全应用程序中的漏洞从事间谍活动，目前漏洞已经得到修复。 谷歌TAG表示，这家总部位于巴塞罗那的软件公司虽然官方宣称是一家安全解决方案提供商，但其实也从事商业监控活动。 该公司使用Heliconia 框架，利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞，提供了将有效载荷部署到目标设备所需的所有工具。该利用框架由多个组件组成，每个组件都针对目标设备软件中的特定安全漏洞： Heliconia Noise：一个 Web 框架，用于部署 Chrome 渲染器错误利用，以及 Chrome 沙箱逃逸以在目标设备上安装代理 Heliconia Soft：一个部署包含 Windows Defender 漏洞的 PDF  Web 框架，被跟踪为 CVE-2021-42298 Heliconia 文件：一组针对 Linux 和 Windows 的 Firefox 漏洞利用，其中一个被跟踪为 CVE-2022-26485 对于 Heliconia Noise 和 Heliconia Soft，这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。 TAG分析了一个包含虚拟代理的框架样本，得到的结果是在运行和退出的情况下未执行任何恶意代码，认为该框架的客户提供了他们自己的代理，或者是谷歌没有权限访问整个框架。 尽管没有证据表明目标安全漏洞被积极利用，并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞，但TAG 表示这些漏洞很可能在野外被用作零日漏洞。 对间谍软件供应商的跟踪 TAG 属于谷歌旗下的安全专家团队，专注于保护谷歌用户免受国家支持的网络攻击，但团队也跟踪了数十家从事间谍或监视服务的公司。 2022年6 月，TAG 注意到意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下，在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。期间，目标用户被提示安装伪装成合法移动运营商应用的监控软件。 最近，TAG 揭露了另一场监视活动，受国家支持的攻击者利用五个零日漏洞，在目标设备上安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。 TAG表示，间谍软件行业的发展使用户处于危险之中，并降低了互联网的安全性，虽然根据国家或国际法律，监控技术可能是合法的，但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351256.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全公司JFrog的新发现表明，针对npm生态系统的恶意软件可以利用npm命令行接口（CLI）工具中的“意外行为”来逃避安全检查。 npm CLI的安装和审计命令具有内置功能，可以检查软件包及其所有依赖项是否存在已知漏洞，通过突出漏洞有效地为开发人员提供警告机制。 但正如JFrog所确认的那样，当软件包遵循特定的版本格式时，不会显示安全建议，这会造成严重缺陷，可能直接或通过软件包的依赖关系引入其系统的情况。 具体来说，只有当安装的软件包版本包含连字符（例如，1.2.3-a）时，问题才会出现，其中连字符用于表示npm模块的预发布版本。 虽然项目维护人员将常规npm软件包版本和预发布版本之间的差异视为一种预期功能，但这也使它成为攻击者试图毒害开源生态系统的成熟机会。 Or Peles说：“黑客可能会利用这种行为，故意在他们看起来无辜的软件包中植入易受攻击或恶意代码，这些代码将被其他开发人员包括在内，因为它们有价值的功能，或由于感染技术的错误，如拼写错误或依赖关系混淆 。” 换句话说，对手可以发布一个预发版本格式看似无害的软件包，然后可能会被其他开发人员接收，尽管有相反的证据，但不会被告知该软件包是恶意的。 该开发再次重申了软件供应链是如何构建为各方之间的信任链的，以及一个环节的妥协如何影响使用恶意第三方依赖的所有下游应用程序。 为了应对这种威胁，建议开发人员避免安装带有预发布版本的npm包，除非已知源代码完全可靠。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周一在其已知漏洞利用目录（KEV）中，添加了一个影响Oracle Fusion中间件的关键漏洞，引用了积极利用漏洞的证据。 该漏洞被跟踪为CVE-2021-35587, CVSS评分为9.8，影响Oracle Access Manager (OAM)版本11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。 成功利用远程命令执行漏洞可能会使具有网络访问权限的未经身份验证的攻击者完全破坏并接管access Manager实例。 越南安全研究员Nguyen Jang (Janggggg)在今年3月初报告了peterjson的漏洞，他指出：“它可以让攻击者访问OAM服务器，创建拥有任何特权的用户，或者只是在受害者的服务器中执行代码。” 2022年1月，Oracle在其关键补丁更新中解决了该漏洞。 有关这些攻击的性质和利用规模的其他细节目前尚不清楚。威胁情报公司GreyNoise收集的数据表明，将该漏洞武器化的企图一直在进行，其源头是美国、中国、德国、新加坡和加拿大。 CISA还将最近修补的Google Chrome浏览器（CVE-2022-4135）中的堆缓冲区溢出漏洞添加到KEV目录中，这家互联网巨头承认该漏洞在野外被滥用。 联邦机构需要在2022年12月19日前应用供应商补丁，以保护其网络免受潜在威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： ESET宣布发现了一个影响宏碁笔记本电脑的漏洞，该漏洞允许攻击者停用UEFI Secure Boot。 专家解释说，该漏洞被追踪为CVE-2022-4020，与联想公司本月早些时候披露的漏洞类似。 与联想的情况一样，攻击者可以直接从OS创建NVRAM变量来触发这个漏洞，使UEFI安全引导失效。 Secure Boot是最新的统一可扩展固件接口（UEFI）2.3.1的一个安全特性，旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项rom的篡改。在检测能够攻击或感染系统规范之前，它们将被阻止运行。 能够绕过Secure Boot的攻击者可以绕过计算机上运行的任何安全措施，即使在重新安装操作系统的情况下也可以实现持久性。 CVE-2022-4020影响宏碁Aspire A315-22的某些版本，该漏洞存在于这些宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中。与联想的问题类似，具有提升权限的攻击者可以利用该漏洞通过修改NVRAM变量来修改UEFI Secure Boot设置。如果NVRAM变量“BootOrderSecureBootDisable”存在，则DXE驱动程序BootOrderDxe只需禁用UEFI Secure Boot。 ESET解释说，该漏洞仅影响Aspire A315-22/22G、A115-21和Extensia EX215-21/21G 5台设备。根据宏碁的说法，更新应该作为关键的Windows更新发布。或者，可以在此处下载更新的BIOS版本。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

本周三晚间，安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。 过去一个月，大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。 然而，Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。 例如，Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。 Alevski在一篇技术博客文章（链接在文末）透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据，并将其替换为任意内容。 该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息（DM）共享的文件（Mastodon上的DM与Twitter不同，省略了加密）。攻击者还有可能实施包括删除服务器文件的破坏性攻击。总之，这个安全漏洞为各种恶作剧和恶意行为敞开了大门。 Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞后立即得到响应。 Bell表示：“该漏洞是存储桶访问策略配置错误，我没有从默认访问路径中删除写访问权限。” 在问题解决后发布的博客文章中，Alevski补充说：“对象存储级别的系统配置错误会破坏Mastodon的所有安全机制”。 Alevski最后警告说：infosec.exchange绝不是Mastodon生态系统中系统配置漏洞的个案。安全研究人员仍在不断发现其他Mastodon实例上的配置错误。 “我在其中几个（其他实例）中发现了类似的问题，并且已经报告了这些漏洞。”Alevski说道。 转自 安全内参，原文链接：https://www.secrss.com/articles/49338 封面来源于网络，如有侵权请联系删除