CI/CD管道中存在安全漏洞，攻击者可以利用这些漏洞来破坏开发过程并在部署时推出恶意代码。 近日，研究人员在Apache和Google的两个非常流行的开源项目的GitHub环境中发现了一对安全漏洞，可用于秘密修改项目源代码、窃取机密并在组织内部横向移动。 据Legit Security的研究人员称，这些问题是持续集成/持续交付（CI/CD）缺陷，可能威胁到全球更多的开源项目，目前主要影响Google Firebase项目和Apache运行的流行集成框架项目。 研究人员将这种漏洞模式称为“GitHub环境注入”。它允许攻击者通过写入一个名为“GITHUB_ENV”的GitHub环境变量创建一个特制的有效负载，来控制易受攻击项目的GitHub Actions管道。具体来说，问题存在于GitHub在构建机器中共享环境变量的方式，它允许攻击者对其进行操作以提取信息，包括存储库所有权凭证。 Legit Security首席技术官兼联合创始人Liav Caspi补充道，这个概念是，构建Actions本身信任这些提交以供审查的代码，不需要任何人对其进行审查。更糟糕的是，任何对GitHub做出过贡献的人都可以触发它，而无需任何人对其进行审查。所以，这个一个非常强大且危险的漏洞。 不要忽视CI/CD管道的安全性 根据Caspi的说法，他的团队在对CI/CD管道的持续调查中发现了这些漏洞。随着“SolarWinds式”供应链缺陷的激增，他们一直在寻找GitHub生态系统中的缺陷，因为它是开源世界和企业开发中最受欢迎的源代码管理（SCM）系统之一，因此也是将漏洞注入软件供应链的天然工具。 他解释称， “这些缺陷既体现了GitHub平台设计方式的设计缺陷，也体现了不同的开源项目和企业如何使用该平台。如果您非常了解风险并有意规避许多有风险的操作，您可能会编写一个非常安全的构建脚本。但我认为没有人真正意识到这一点，GitHub Actions中有一些非常危险的机制用于日常构建操作。” 他建议称，企业开发团队应始终对GitHub Action和其他构建系统保持“零信任”原则，假设他们用于构建的组件都可能会被攻击者利用，然后隔离环境并审查代码。 正如Caspi所解释的那样，这些缺陷不仅表明开源项目本身是供应链漏洞的潜在载体，而且构成CI/CD管道及其集成的代码也是如此。 好消息是，目前这两个漏洞都已得到修复。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343842.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： QNAP发布了一项新的公告，建议其网络连接存储（NAS）设备的用户升级到最新版本的Photo Station。此前，又一轮DeadBolt勒索软件攻击在野外肆虐，利用了软件中的零日漏洞。 这家台湾公司表示，它在9月3日检测到了这些攻击，并表示该活动似乎针对运行Photo Station且暴露在互联网上的QNAP NAS设备。 该问题已在以下版本中得到解决： QTS 5.0.1：Photo Station 6.1.2及更高版本 QTS 5.0.0/4.5.x：Photo Station 6.0.22及更高版本 QTS 4.3.6：Photo Station 5.7.18及更高版本 QTS 4.3.3：Photo Station 5.4.15及更高版本 QTS 4.2.6：Photo Station 5.2.14及更高版本 目前该漏洞的细节尚不清楚，该公司建议用户禁用路由器上的端口转发，防止NAS设备在互联网上访问，升级NAS固件，为用户帐户应用强密码，并定期备份以防止数据丢失。 自2022年1月以来，这是针对QNAP设备第四轮DeadBolt攻击的最新进展，随后在5月和6月发生了类似的入侵。 该公司表示：“QNAP NAS不应该直接连接到互联网。我们建议用户使用QNAP提供的myQNAPcloud Link功能，或启用VPN服务。这样可以有效加固NAS，降低被攻击的几率。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一个影响Chrome、Firefox和Safari的浏览器漏洞在最近的Chrome软件发布后被发现。Google开发人员发现了这个基于剪贴板的攻击，当用户访问一个被攻击的网页时，恶意网站可以覆盖用户的剪贴板内容。该漏洞也影响到所有基于Chromium的浏览器，但似乎在Chrome浏览器中最为普遍，目前用于复制内容的用户手势被列为了问题报告。 Google开发人员杰夫-约翰逊解释了该漏洞是如何被触发的，几种方式都是授予页面覆盖剪贴板内容的权限。一旦授予权限，用户可以通过主动触发剪切或复制动作，点击页面中的链接，甚至采取在有关页面上向上或向下滚动这样简单的动作来影响。 浏览器之间的区别在于，Firefox和Safari用户必须使用Control+C或⌘-C主动将内容复制到剪贴板，而Chrome用户只需查看一个恶意页面不超过几分之一秒就可以受到影响。 约翰逊的博文引用了Šime的视频例子，Šime是一家专门面向网络开发者的内容创作者。Šime的演示揭示了Chrome浏览器用户受到影响的速度有多快，只要在活动的浏览器标签之间切换，就会触发该漏洞。无论用户进行了多长时间或何种类型的互动，恶意网站都会立即用威胁者决定提供的内容取代任何剪贴板内容。 约翰逊的博客提供了技术细节，描述了一个页面如何获得写到系统剪贴板的权限。一种方法是使用现在已被废弃的命令，即document.execCommand。 另一种方法是利用最近的navigator.clipboard.writetext API，它有能力将任何文本写入剪贴板而不需要额外的操作。一个演示说明了针对同一漏洞的两种方法如何工作。 虽然这个漏洞表面上听起来没有什么破坏性，但用户应该保持警惕，恶意行为者可以利用内容交换来利用毫无戒心的受害者。例如，一个欺诈性网站可以用另一个欺诈性URL替换之前复制的URL，在不知情的情况下将用户引向旨在获取信息和破坏安全的其他网站。 该漏洞还为威胁者提供了将复制的加密货币钱包地址保存在剪贴板上的能力，替换为由恶意第三方控制的另一个钱包的地址。一旦交易发生，资金被发送到欺诈性钱包，受害的用户通常几乎没有能力追踪和收回他们的资金。 Google已经意识到了这个漏洞，并有望在不久的将来发布一个补丁。在此之前，用户应谨慎行事，避免使用基于剪贴板的复制内容打开网页，并在继续进行任何可能危及其个人或财务安全的活动之前验证其复制内容的输出。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312115.htm 封面来源于网络，如有侵权请联系删除

据The Verge 8月31日消息，TikTok安卓版存在一个高危漏洞，攻击者可能借此实现一键式账户劫持，影响数亿用户。 微软365防御研究小组在一篇博文中披露了该漏洞的细节，影响范围为23.7.3之前的安卓版本。在微软向TikTok报告后，该漏洞已打上补丁。 博文披露，一旦TikTok用户点击一个特制链接，攻击者就可以在用户不知情的情况下劫持账户，访问和修改用户的个人资料、敏感信息、发送消息、上传视频。 该漏洞影响了安卓应用的deeplink（深度链接）功能。这种深度链接会指令操作系统如何处理链接，例如用户点击嵌入在网页中的 “关注此账户 “按钮后，会跳转到推特关注某用户。 这种链接处理还包括一个验证过程，但研究人员发现了一种方法，可以绕过这个验证过程，在应用程序中执行一些潜在的攻击功能。在一次概念验证攻击中，研究人员制作了一个恶意链接，点击后将TikTok账户的简介改为 “SECURITY BREACH”。 TikTok在CVE-2022-28799的Mitre数据库条目中表示，精心制作的URL（未经验证的deeplink）可以在新窗口加载任意网站。这可能允许攻击者利用附加的JavaScript接口进行一键接管。 该漏洞潜在影响巨大，安卓版TikTok在谷歌应用商店的总下载量超过了15亿次。好消息是，TikTok发言人莫琳·沙纳汉回应，目前并无证据表明该漏洞被恶意利用。微软证实，TikTok快速反应并修复了该漏洞。 此前，据PCMAG报道，一位安全研究人员发现，TikTok iOS版本的应用内，打开任何外部链接都会触发监控，记录所有键盘输入和屏幕点击行为。但TikTok发言人否认了这一说法，称“TikTok不会通过JavaScript代码收集屏幕点击或文本输入内容，这些代码仅用于调试、故障排除和性能监控。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343500.html 封面来源于网络，如有侵权请联系删除

谷歌推出一项新的漏洞奖励计划，奖励从谷歌开源项目中发现并报告漏洞的安全研究人员。 作为这项新的开源软件漏洞奖励计划 (OSS VRP) 的一部分，谷歌提供的奖励金范围是100美元至31337美元。不过针对“特别聪明或有趣的漏洞”，将会有1000美元左右的额外奖励。 谷歌运行漏洞奖励计划的时间已有12年左右并不断对其扩充，涵盖了安卓、Chrome、Linux 内核等领域。迄今为止，谷歌已向研究人员发放了超过3800万美元的奖励金。 这项新的开源漏洞奖励计划关注开源软件，旨在解决和供应链攻陷相关的风险。 谷歌表示，“去年，针对开源软件供应链的攻击同比增长了650%，出现在新闻头条的事件如 Codecov和Log4Shell 等事件展示了单个开源漏洞的破坏潜力。” 谷歌表示，谷歌所持有的GitHub组织机构公开库中包括的所有当前软件均涵盖在OSS VRP内。同时计划还涵盖这些项目的第三方依赖，不过研究人员必须提前向依赖的所有人发送通知。该奖励计划提到，“请首先将您的漏洞报告直接发给易受攻击数据包的所有人，确保该问题在我们知晓漏洞详情前就已在上游修复。” 涵盖在内的项目分为三个层级，旗舰开源软件项目（这些项目被认为敏感度高）中的漏洞将为研究人员获得更高的奖励。最多奖励金将分配给 Bazel、Angular、Golang、Protocol buffers和Fuchsia。 谷歌鼓励研究人员关注导致供应链攻陷的漏洞、导致产品缺陷的设计问题以及安全问题如凭据泄露、弱密码和不安全的安装程序等。 转自 安全内参，原文链接：https://www.secrss.com/articles/46426 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在其已知漏洞目录中添加了10个新漏洞，其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞（CVE-2021-38406 CVSS 评分：7.8）。 根据具有约束力的操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 据美国机构称，Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证（输入验证不正确）。攻击者可以触发该漏洞，导致越界写入并实现代码执行。 重要的是没有安全补丁可以解决此问题，并且受影响的产品已经报废。 CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞，跟踪为CVE-2021-31010 （CVSS评分：7.5）。 “在受影响的Apple iOS、macOS和watchOS版本中，沙盒进程可能能够绕过沙盒限制。”公告中写道。 添加到该目录的其他漏洞有： CVE-2022-26352  – dotCMS无限制上传文件漏洞 CVE-2022-24706  – Apache CouchDB资源不安全默认初始化漏洞 CVE-2022-24112  – Apache APISIX身份验证绕过漏洞 CVE-2022-22963  – VMware Tanzu Spring Cloud Function远程代码执行漏洞 CVE-2022-2294  – WebRTC堆缓冲区溢出漏洞 CVE-2021-39226  – Grafana身份验证绕过漏洞 CVE-2020-36193  – PEAR Archive_Tar链接解析不当漏洞 CVE-2020-28949  – PEAR Archive_Tar不受信任数据反序列化漏洞 CISA命令联邦机构在2022年9月15日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

The hacker news 网站披露，Atlassian Bitbucket 服务器和数据中心出现严重漏洞，该漏洞可能允许攻击者执行恶意代码，Atlassian 目前已经推出了漏洞修复方案。 安全漏洞被追踪为 CVE-2022-36804（CVSS 评分：9.9），是一个多端点的命令注入漏洞，潜在攻击者可通过特制的 HTTP 请求加以利用。 服务器多个版本受到漏洞影响 据悉，CVE-2022-36804 漏洞由网络安全研究员 TheGrandPew 发现，经过详细分析，这一漏洞主要影响了 6.10.17 之后发布的所有版本 Bitbucket Server 和 Datacenter，7.0.0 和更高版本也受到严重影响。 受漏洞影响的服务器版本详情如下： Bitbucket 服务器和数据中心7.6； Bitbucket服务器和数据中心7.17版； Bitbucket服务器和数据中心7.21版； Bitbucket服务器和数据中心 8.0版； Bitbucket服务器和数据中心 8.1版； Bitbucket服务器和数据中心 8.2版； Bitbucket服务器和数据中心 8.3版。 CVE-2022-36804 漏洞爆出不久后，Atlassian 在一份公告中表示，潜在攻击者在拥有公共 Bitbucket 存储库访问权或私有存储库读取权限的情况下，可以通过发送恶意的 HTTP 请求来执行任意代码。 Atlassian 建议用户应尽快更新补丁 鉴于部分用户无法立即应用补丁，Atlassian提供了临时解决办法。用户可以使用 “feature.public.access=false ”关闭公共存储库，以防止未经授权的用户利用该漏洞。 Atlassian 强调，这种方式并不是一个完美的缓解措施，已经通过其他方式获取了有效凭据的潜在攻击者依然可以利用漏洞，这意味着部分拥有用户账户的攻击者仍然可以成功利用该漏洞，进行网络攻击活动。 最后，Atlassian 建议受漏洞影响的用户尽快升级到最新版本，以减轻潜在的安全威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343151.html 封面来源于网络，如有侵权请联系删除

本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障，导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特（Ashutosh Barot）发现的，其中包括客户全名、性别、电子邮件地址、手机号码等等。 在阿卡萨航空公司网站于 8 月 7 日成立上线之后，巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通，但没有找到直接联系人。 这位研究专家表示：“我通过他们的官方Twitter账户联系了航空公司，要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID，我没有向其分享漏洞详细信息，因为它可能由支持人员或第三方供应商处理。所以，我再次给他们发了电子邮件，并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。 在没有得到航空公司关于他如何与安全团队联系的回应后，研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后，该航空公司承认确实存在该问题，导致 34,533 条客户记录面临风险。该航空公司还表示，暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch，它进行了额外的审查，以确保其所有系统的安全性。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309711.htm 封面来源于网络，如有侵权请联系删除

一位擅长以各种创新方式从断网设备中提取数据的安全研究专家近日发现了一个新漏洞，可以使用手机窃取气隙系统的数据。气隙系统（air gapped）指的是，将电脑与互联网以及任何连接到互联网上的电脑进行隔离。该系统在物理上是隔离的，无法与其他计算机或网络设备进行无线或物理连接。 气隙系统主要用于关键基础设施以及其他对网络安全有极高要求的场所。虽然气隙系统在日常环境中并不常见，但是近年来也出现了针对这种系统的攻击方式，例如使用附近智能手机的麦克风接收数据的 Mosquito 攻击。 因此，Apple 和 Google 在 iOS 和 Android 中引入了权限设置，阻止应用程序访问设备的麦克风，并且当麦克风处于活动状态时，这两种操作系统都会使用视觉指示器。 和麦克风不同，在大部分现代化智能手机中陀螺仪已经是标准配置。陀螺仪用于检测智能手机的旋转速度，并被广泛认为是一种更安全的传感器，因为 iOS 或 Android 都没有指示它们何时被使用，也没有提供完全阻止访问的选项。 现在，Mosquito 攻击的创造者有了一项新技术，它使用智能手机的陀螺仪来接收附近听不见的声波，整个过程不依赖于麦克风。 本古里安大学网络安全研究中心的研发负责人 Mordechai Guri 在他最新的研究论文中表示，这种被他称为“Gairoscope”的新攻击可以在“几米远”的范围内从气隙计算机中窃取敏感信息。 与针对气隙系统的其他攻击一样，Guri 的“Gairoscope”概念验证需要非常接近气隙系统。但是从那里，攻击者可以通过侦听从气隙系统的扬声器产生的声波并从附近智能手机的陀螺仪中拾取来收集密码或登录凭据。 Guri 说，这些听不见的频率会产生“智能手机陀螺仪内的微小机械振荡”，可以将其转换为可读数据。他补充说，攻击者可以使用移动浏览器执行漏洞利用，因为可以使用 JavaScript 访问手机陀螺仪。 虽然该方法仍处于试验阶段，但 Guri 和他的团队建议了一些旨在限制新恶意软件影响的对策，例如消除扬声器以创建无音频网络环境，并使用音频硬件过滤掉音频硬件产生的共振频率。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308531.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： VMware本周发布了补丁，以解决VMware Tools实用工具套件中的一个严重漏洞，该漏洞被跟踪为CVE-2022-31676。 VMware Tools是一组服务和模块，支持公司产品中的多项功能，以便更好地管理客户机操作系统，并与客户机操作系统进行无缝用户交互。 对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞，从而提升受损系统上的权限。 通报中写道：“VMware Tools受到本地权限提升漏洞的影响，对客户机操作系统具有本地非管理访问权限的黑客可以作为虚拟机中的root用户提升权限。” 该漏洞影响了Windows和Linux平台上的工具，该公司发布的固定版本是12.1.0和10.3.25。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文