近日，美国网络安全和基础设施安全局（CISA）发布了三份工业控制系统（ICS）公告，涉及ETIC电信、诺基亚和Delta工业自动化的软件中的多个漏洞。其中最突出的是影响ETIC电信公司远程访问服务器（RAS）的一组三个缺陷，它 “可能允许攻击者获得敏感信息，并控制有漏洞的设备和其他连接的机器”，CISA说。 这包括CVE-2022-3703（CVSS评分：9.0），这是一个关键的缺陷，源于RAS网络门户无法验证固件的真实性，从而有可能塞进一个流氓包，授予对手后门权限。 另外两个缺陷与RAS API中的目录穿越错误（CVE-2022-41607，CVSS评分：8.6）和一个文件上传问题（CVE-2022-40981，CVSS评分：8.3）有关，可被利用来读取任意文件和上传恶意文件，从而破坏设备。 以色列工业网络安全公司OTORIO被认为是发现和报告了这些缺陷。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞，法国公司在4.7.3版本中解决了这些问题。 CISA的第二个公告涉及诺基亚ASIK AirScale 5G通用系统模块的三个缺陷（CVE-2022-2482、CVE-2022-2483和CVE-2022-2484），这可能为任意代码执行和安全启动功能的停止铺平道路。所有的缺陷在CVSS严重性等级中被评为8.4级。CISA指出，成功利用这些漏洞可能导致执行恶意内核，运行任意的恶意程序，或运行修改过的诺基亚程序。 据说这家芬兰电信巨头已经公布了影响ASIK 474021A.101和ASIK 474021A.102版本的缺陷的缓解说明。该机构建议用户直接与诺基亚联系，以获得进一步信息。 最后，该网络安全机构还警告说，一个路径穿越漏洞（CVE-2022-2969，CVSS评分：8.1）影响了台达工业自动化公司的DIALink产品，可被利用来在目标设备上植入恶意代码。 该漏洞已在1.5.0.0 Beta 4版本中得到解决，CISA表示可以直接联系台达工业自动化或通过台达现场应用工程（FAEs）获得该版本。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/YlzSIFJSsLkFUAEiTfggaQ 封面来源于网络，如有侵权请联系删除

印度的大众快速交通系统依赖通勤智能卡，而这些智能卡容易被利用，并允许任何人有效地免费旅行。安全研究员Nikhil Kumar Singh发现了一个影响德里地铁智能卡系统的漏洞。该研究人员表示，该漏洞利用了充值过程，允许任何人为地铁列车的智能卡充值，金额与次数不限。 Singh表示，他是在无意中使用德里地铁站的一个储值机为自己的地铁智能卡免费充值后发现这个漏洞的。 Singh说，这个错误的存在，是因为当旅客使用地铁站的储值机给他们的地铁智能卡充值时，地铁充值系统没有正确地验证付款。他说，缺乏检查意味着，即使储值机显示购买失败，智能卡也会被欺骗，以为它已经充值。在这种情况下，付款被标记为待定，随后被退回，使该人能够有效地免费乘坐地铁。 “我在德里地铁的系统上试了一下，能够获得免费的充值额度，”Singh表示。”我仍然需要通过使用PhonePe或Paytm支付来启动充值，但由于充值仍未完成，30天后会被退回。这就是为什么在技术上是免费的，”他说。 Singh分享了他在2月份录制的概念验证视频，展示了智能卡如何被骗到德里地铁卡上增值。在更好地了解该漏洞后，该研究人员在一天后联系了德里地铁公司（DMRC）。作为回应，DMRC要求Singh通过电子邮件分享该漏洞的细节，他这样做了，同时还提供了一份技术报告和演示该漏洞运行的日志文件。3月16日，Singh收到了一份模板式的回复，承认收到了他的邮件，但没有收到任何进一步的回复。 这个尚未修复的问题存在于智能卡本身。德里地铁依靠的是荷兰芯片制造商恩智浦半导体公司（NXP）生产的MiFare DESFire EV1智能卡。印度除了首都以外的其他地铁系统，包括班加罗尔，也使用同样的智能卡系统。如果其他州的地铁列车的技术基础设施是一样的，那么这个错误在那里也会起作用。 这不是安全研究人员第一次发现同一品牌的智能卡的问题。过去的研究发现类似的漏洞影响了德里地铁使用的相同的DESFire EV1智能卡，以及其他欧洲大众交通系统。2020年，MiFare推出了DESFire EV3作为其非接触式解决方案，具有更好的安全性。 Singh建议，如果地铁系统迁移到DESFire EV3卡，智能卡的错误可以得到修复。 DMRC的三位发言人没有回答多封寻求评论的电子邮件，恩智浦的发言人表示暂时无法提供评论。负责该市地铁服务的班加罗尔地铁公司也没有发表评论。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161624205958578722/?log_from=39f4d88fc74f_1667544181155&wid=1667544282360 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Fortinet解决了该公司某些产品中的16个漏洞，其中6个漏洞的严重程度很高。 其中一个高严重性漏洞是FortiADC日志页面中的持续XSS，跟踪为CVE-2022-38374。该漏洞的根本原因是FortiADC中网页生成漏洞[CWE-79]期间输入的中和不当。未经身份验证的远程攻击者可触发此漏洞，通过流量和事件日志视图中观察到的HTTP字段执行存储的跨站脚本 （XSS） 攻击。 该公司解决的另一个问题是CLI命令中的命令注入漏洞，跟踪为FortiTester的CVE-2022-33870。 FortiTester命令行解释器中操作系统命令漏洞[CWE-78]中使用的特殊元素的不当中和，可能允许经过身份验证的攻击者通过对现有命令的特制参数执行未经授权的命令。 另一个漏洞，被追踪为CVE-2022-26119，影响FortiSIEM，被描述为“明文存储的Glassfish本地凭证”。 具有命令行访问权限的本地攻击者可以利用该漏洞，通过硬编码密码直接在Glassfish服务器上执行操作。 此处提供了2022年11月解决的漏洞的完整列表。 10月，Fortinet证实，被追踪为CVE-2022-40684的关键身份验证绕过漏洞正在野外被恶意利用。该问题影响了FortiGate防火墙和FortiProxy web代理。 攻击者可以利用该漏洞登录易受攻击的设备。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，OpenSSL 修补了其用于加密通信通道和 HTTPS 连接的开源密码库中两个高危漏洞。漏洞分别追踪为 CVE-2022-3602 和 CVE-2022-3786，主要影响 OpenSSL 3.0.0 及更高版本，现已在 OpenSSL 3.0.7 中得到解决。 据悉，CVE-2022-3602 是一个任意 4 字节堆栈缓冲区溢出漏洞，可能导致拒绝服务或远程代码执行。CVE-2022-3786 可以被攻击者通过恶意电子邮件地址利用，通过缓冲区溢出触发拒绝服务状态。 OpenSSL 团队表示，虽然目前没有证据表明这两个漏洞已经被利用，但鉴于其具有很高的危险性，希望受影响用户尽快安装更新升级补丁，以免遭受网络威胁。此外，OpenSSL 还提供了一些其它缓解措施，例如直到应用新补丁前，要求操作 TLS 服务器的管理员禁用 TLS 客户端认证。 CVE-2022-3602 漏洞危险指数下降 值得一提的是，OpenSSL 最初发布的漏洞警告促使了管理员立即采取行动缓解漏洞，但之后鉴于 CVE-2022-3602 已被降级为高度严重，况且它只影响 OpenSSL 3.0 及更高版本，另外与 OpenSSL 密码库早期版本相比，最近发布的版本也尚未大量部署到生产中使用的软件上，因此造成的实际影响可能很有限， 尽管一些安全专家和供应商将此漏洞的危险性等同于 Apache Log4J 日志库中的 Log4Shell 漏洞，但在Censys 在线发现的 1793000 多个主机中，只有大约 7000个暴露在互联网上的系统正在运行易受攻击的OpenSSL 版本，Shodan 也列出了大约 16000 个可公开访问的 OpenSSL 实例。 此外，云安全公司 Wiz.io 也表示，在分析了主要云环境（AWS、GCP、Azure、OCI和阿里巴巴云）中的部署后，发现只有 1.5% 的 OpenSSL 实例受到这一安全漏洞的影响。 流行 CSP 中存在漏洞的 OpenSSL 实例 最新的 OpenSSL 版本包含在多个流行的 Linux 发行版中，其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被网络安全公司 Akamai标记为有漏洞，荷兰国家网络安全中心目前也正在确认一份受 CVE-2022-3602 漏洞影响的软件产品清单。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348558.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软周二表示，它解决了Azure Cosmos DB的Jupyter Notebooks中的身份验证绕过漏洞，该漏洞启用了完全读写访问权限。 这家科技巨头表示，该漏洞于2022年8月12日出现，并于2022年10月6日在全球范围内得到纠正，两天后，Orca Security披露了该漏洞，并将其称为CosMiss。 研究人员Lidor Ben Shitrit和Roee Sagi说：“如果攻击者知道笔记本的‘forwardingId’，即笔记本工作区的UUID，他们将拥有笔记本的完全权限，而无需进行身份验证，包括读写访问权限，以及修改运行笔记本的容器的文件系统的能力。” 此容器修改最终可以通过覆盖与Cosmos DB 资源管理器相关联的Python文件来生成反向 shell，从而为在笔记本容器中获取远程代码执行铺平道路。 然而，要想成功利用该漏洞，攻击者必须拥有唯一的128位forwardingId，并在一小时内使用该id，之后临时笔记本将自动删除。 Redmond说：“即使知道forwardingId，该漏洞也无法执行笔记本，无法自动将笔记本保存在受害者（可选）连接的GitHub存储库中，也无法访问Azure Cosmos DB帐户中的数据。” 微软在自己的公告中指出，它没有发现恶意活动的证据，并补充说客户不需要采取任何行动。它还将该问题描述为“难以利用”，因为128位forwadingID的随机性及其有限的使用寿命。 “不使用Jupyter Notebooks的客户（99.8%的Azure Cosmos DB客户不使用Jupyter Notebooks）不容易受到此漏洞的影响。”该公司进一步表示。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 三星设备的Galaxy Store应用程序中披露了一个现已修补的安全漏洞，该漏洞可能会导致受影响手机上的远程命令执行。 该漏洞影响Galaxy Store 4.5.32.4版本，与处理某些深层链接时发生的跨站点脚本（XSS）漏洞有关。 SSD Secure Disclosure在上周发布的一份公告中表示：“在这种情况下，由于没有安全检查深度链接，当用户从包含深度链接的网站访问链接时，攻击者可以在Galaxy Store应用程序的web视图上下文中执行JS代码。” XSS攻击允许攻击者在从浏览器或其他应用程序访问网站时注入并执行恶意JavaScript代码。 Galaxy Store应用程序中发现的漏洞与三星营销和内容服务（MCS）的深度链接配置有关，这可能导致注入MCS网站的任意代码执行。 然后，当访问该链接时，可以利用此功能在三星设备上下载和安装恶意软件应用程序。 研究人员指出：“为了能够成功利用受害者的服务器，有必要使用HTTPS和CORS绕过chrome。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据The Hacker News 10月27日消息，在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞，使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。 应用程序开发人员 Guilherme Rambo 在 2022 年 8 月发现并报告了该漏洞，编号为 CVE-2022-32946。 Rambo表示，在使用 AirPods 或 Beats 等设备时，只要请求访问蓝牙权限的都可以记录用户与Siri的对话。而该漏洞与 AirPods 中一项名为 DoAP 的服务有关，该服务用于支持 Siri 和听写功能，从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序，且不会显示麦克风的访问请求。 而在 macOS 系统上，该漏洞可能被滥用以完全绕过TCC用户隐私保护框架，这意味着任何应用程序都可以记录用户与 Siri 的对话，且无需请求任何权限。 Rambo表示，造成这一漏洞的原因是由于缺乏对 BTLEServerAgent 的权利检查，BTLEServerAgent 是负责处理 DoAP 音频的保护程序服务。 目前该漏洞已通过系统更新补丁得到修复，涉及的产品包括iPhone8及之后的所有机型；所有的iPad Pro；iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348108.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： OpenSSL项目宣布将发布更新，以解决开源工具包中的一个关键漏洞。专家指出，这是自2016年9月以来在工具包中修补的首个关键漏洞。 “OpenSSL项目团队宣布即将发布的OpenSSL 3.0.7版本。该版本将于2022年11月1日星期二UTC 1300-1700之间发布。”公告中写道。“OpenSSL 3.0.7是一个安全修复版本，该版本中修复的最高级别问题是‘严重’。” 该严重漏洞仅影响3.0及更高版本。这是OpenSSL项目继2014年严重Heartbleed漏洞（CVE-2014-0160）之后解决的第二个关键漏洞。 3.0.7版本将于下周（11月1日）发布，维护人员将其定义为“安全修复版本”。 OpenSSL项目还宣布了即将发布的bug修复版本1.1.1s，该版本将于同一天发布。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

莱顿高级计算机科学研究所的研究人员在GitHub上发现了数以千计存在问题的存储库，这些存储库为各种漏洞提供虚假的概念验证（PoC），并借此隐藏传播恶意软件。 GitHub是最大的代码托管平台之一，研究人员用它来发布PoC漏洞，以帮助安全社区验证漏洞的修复或确定一个漏洞的影响和范围。 据莱顿高级计算机科学研究所的研究人员称，如果不包括被证实的恶作剧软件，以虚假PoC进行掩饰，实际上上恶意软件的可能性可能高达10.3%。 数据收集和分析 研究人员使用以下三种机制分析了47300多个储存库，包含2017年至2021年期间披露的漏洞： IP地址分析：将PoC的发布者IP与公共封锁名单以及VT和AbuseIPDB进行比较。 二进制分析：对提供的可执行文件及其哈希值运行VirusTotal检查。 十六进制和Base64分析：在执行二进制和IP检查之前对混淆的文件进行解码。 在提取的150734个独特的IP中，有2864个与封锁名单条目相匹配，1522个在Virus Total的反病毒扫描中被检测为恶意的，其中1069个存在于AbuseIPDB数据库中。二进制分析检查了一组6160个可执行文件，发现共有2164个恶意样本托管在1398个存储库中。 总的来说，在测试的47313个软件库中，有4893个软件库被认为是恶意的，其中大部分涉及到2020年的漏洞。报告中包含了一小部分带有虚假PoC的软件库，这些软件库正在传播恶意软件。研究人至少分享了60个案例，然而这些例子仍然是存活的，并且正在被GitHub取缔。 PoC中的恶意软件 通过仔细研究其中一些案例，研究人员发现了大量不同的恶意软件和有害脚本，从远程访问木马到Cobalt Strike。 一个有趣的案例是CVE-2019-0708的PoC，通常被称为 “BlueKeep”，它包含一个base64混淆的Python脚本，从Pastebin获取一个VBScript。该脚本是Houdini RAT，一个基于JavaScript的老式木马，支持通过Windows CMD执行远程命令。 在另一个案例中，研究人员发现了一个假的PoC，这是一个收集系统信息、IP地址和用户代理的信息窃取器。这是另一个研究人员之前创建的安全实验，所以用自动工具找到它是对研究人员的确认，他们的方法是有效的。 还有一些没有在技术报告中体现的例子，例如： PowerShell PoC包含一个用base64编码的二进制文件，在Virus Total中被标记为恶意的。 Python PoC包含一个单行代码，用于解码在Virus Total中被标记为恶意的base64编码的有效载荷。 伪造的BlueKeep漏洞包含一个被大多数反病毒引擎标记为恶意的可执行文件，并被识别为Cobalt Strike。一个隐藏在假PoC中的脚本，其中有不活跃的恶意组件，但如果其作者愿意，依旧可以造成损害。 如何保持安全 盲目相信GitHub上未经验证的仓库是不可取的，因为其内容没有经过审核，所以用户在使用前要对其进行审查。建议软件测试人员仔细检查他们下载的PoC，并在执行之前尽可能多地进行检查。 专家认为，所有测试人员都应该遵循这三个步骤。 仔细阅读你即将在你或你客户的网络上运行的代码。 如果代码太模糊，需要太多的时间来手动分析，就在一个环境中（例如一个隔离的虚拟机）进行沙盒测试，并检查你的网络是否有可疑的流量。 使用开源的情报工具，如VirusTotal来分析二进制文件。 目前，研究人员已经将他们发现的所有恶意软件库报告给GitHub，但在所有这些软件库被审查和删除之前，还需要一些时间，所以许多软件库仍然对公众开放。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347905.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员披露了微软Windows中两个漏洞的详细信息，其中一个漏洞可能被利用来导致拒绝服务（DoS）。 这些漏洞被Varonis称为LogCrusher和OverLog，针对事件日志远程处理协议（MS-EVEN），该协议允许远程访问事件日志。 Dolev Taler在与the Hacker News分享的一份报告中表示，虽然前者允许“任何域用户远程崩溃任何Windows计算机的事件日志应用程序”，但OverLog通过“填充域上任何Windows计算机的硬盘空间”导致DoS。 OverLog被分配了CVE标识符CVE-2022-37981（CVSS评分：4.3），并由微软作为其10月补丁周二更新的一部分进行了处理。然而，LogCrusher仍未解决。 “性能可以被中断和/或降低，但攻击者不能完全拒绝服务。”这家科技巨头在本月早些时候发布的关于该漏洞的公告中表示。 根据Varonis的说法，这些漏洞在于攻击者可以获得旧版Internet Explorer日志的句柄，从而有效地为利用该句柄使受害者计算机上的事件日志崩溃甚至引发DoS条件的攻击奠定了基础。 这是通过将其与日志备份功能（BackupEventLogW）中的另一个漏洞相结合来实现的，该功能可将任意日志重复备份到目标主机上的可写文件夹中，直到硬盘驱动器被填满。 此后，Microsoft通过限制本地管理员访问Internet Explorer事件日志来修复OverLog漏洞，从而减少了滥用的可能性。 “虽然这解决了这组特定的Internet Explorer事件日志漏洞，但其他用户可访问的应用程序事件日志仍有可能同样用于攻击。”Taler说。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文