据网上流传的消息，加密货币Solana(代币：SOL)钱包出现未知的高危安全漏洞，黑客通过漏洞获取到用户钱包的私钥或者助记词，然后直接将钱包资产清空。 目前具体问题还不清楚，但如果用户使用SOL代币钱包请立即将所有资产转移到中心化的交易所进行过渡，防止资产被盗。 当前被盗的钱包数量还在增长、用户损失的资金量也在继续飙升，目前已经被盗的加密货币预估超过了1000万美元，涉及的SOL钱包包括Phantom和Slope等，这俩都是热钱包。 如果用户有硬件钱包的话也可以将资产转入到硬件钱包，这样安全性应该也可以提升不少。 区块链安全公司派盾发布的消息是上述钱包可能由于供应链问题，Phantom钱包则表示不相信这是他们特有的问题，但无论如何用户被盗的资金也不会找回来，钱包方面是不可能因为这类黑客攻击而赔偿用户的。 另外有专注于区块链诈骗的追踪者从钱包方面获取到部分蛛丝马迹，黑客将被盗资产转入的主钱包似乎是7个月前通过币安资助的。即这个钱包在之前有过交易记录，黑客通过币安交易所提币到这个钱包，这和交易所倒是没什么关系，但币安应该可以通过提币者信息来追踪黑客。 币安创始人赵长鹏也对该问题发布警告提醒用户尽快转移资产，不过目前还是没有确定黑客身份以及漏洞情况。 对Solana这个加密货币蓝点网此前就表示用户应该远离，之前Solana试图通过投票强行接管巨鲸账号，尽管后来投票被撤销但这种行为已经违背去中心化理念。 另外Solana这个加密货币存在非常明显的高度控盘问题，不排除是其团队和早期投资者高度控盘割韭菜。上述情况与此次安全问题虽然没有关联但也值得用户警惕，如果你在上次投票过后就跑路了那至少此次不会被这个黑客攻击事件所影响。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1300213.htm 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，大华摄像头被曝存在“开放式网络视频接口论坛（ONVIF）”标准实施的安全漏洞，编号CVE-2022-30563（CVSS 评分：7.4），黑客可通过该漏洞嗅探未加密的ONVIF交互，允许攻击者通过重放凭据来破坏摄像机。 2022年6月28日，大华已经发布了漏洞补丁修复了这一漏洞，受影响的产品型号如下： 大华ASI7XXX：v1.000.0000009.0.R.220620之前的版本 大华IPC-HDBW2XXX：v2.820.0000000.48.R.220614之前的版本 大华IPC-HX2XXX：v2.820.0000000.48.R.220614之前的版本 资料显示，ONVIF（开放式网络视频接口论坛）是一个全球性的开放式行业论坛，专注于基于网络IP安防产品（如网络摄像头连接到网络录像机，网络摄像头连接到监控软件，及门禁系统）的全球标准的制定。ONVIF创建了一个视频监控和其他物理安全领域的IP产品如何进行相互通信的标准，解决了各个厂家产品不能相互兼容的问题。 安全专家在报告中指出，安全漏洞存在于“WS-UsernameToken”身份验证机制中，允许攻击者通过重放凭据来破坏摄像机。这意味着一旦黑客成功利用该漏洞，那么就可以秘密添加恶意管理员帐户，以最高权限获得对受影响设备的无限制访问，包括实时观看和重放摄像头视频。 具体攻击方式是，黑客捕获一个通过 WS-UsernameToken 模式进行身份验证的未加密 ONVIF 请求，然后使用该请求发送具有相同身份验证数据的伪造请求，以诱骗设备创建管理员帐户。 本次披露是在Reolink、ThroughTek、Annke和Axis设备中发现类似缺陷之后进行的，强调了物联网安全摄像头系统由于部署在关键基础设施中而带来的潜在风险。 安全专家表示，不少攻击者对于入侵IP摄像机感兴趣，以此收集有关目标公司设备或生产过程的情报。这些情报可以让攻击者对目标公司发起网络攻击前进行充分侦查，而获取的目标环境信息越多，黑客就越容易制定攻击方式，甚至在物理上破坏关键基础设施的生产过程。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340694.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一周前，Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁，其中包含一个关键漏洞，现在这个漏洞已经被广泛利用。 该漏洞追踪为CVE-2022-26138，它涉及在应用程序中使用硬编码密码，未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。 在Twitter上发布硬编码凭据之后，这家澳大利亚软件公司开始优先考虑补丁，以缓解针对该漏洞的潜在威胁。 值得注意的是，这个漏洞只在Confluence应用程序启用时才存在。也就是说，卸载Confluence应用程序并不能修复漏洞，因为在卸载应用程序后，创建的帐户不会自动删除。 建议受影响产品的用户尽快将其本地实例更新到最新版本（2.7.38和3.0.5），或采取措施禁用/删除该帐户。 Palo Alto Networks在其2022年Unit 42事件响应报告中发现，黑客在公开披露新的安全漏洞后15分钟内，会扫描易受攻击的端点。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： LibreOffice背后的团队发布了安全更新，以修复生产力软件中的三个安全漏洞，其中一个漏洞可能被用来在受影响的系统上实现任意代码执行。 追踪为CVE-2022-26305，该问题被描述为在检查宏是否由受信任的作者签名时证书验证不正确的情况，从而导致执行宏中打包的恶意代码。 LibreOffice在通报中表示：“因此，黑客可以创建任意证书，其序列号和颁发者字符串与受信任的证书相同，LibreOffice会将其显示为属于受信任的作者，这可能导致用户执行包含在不受信任的宏中的任意代码。” 除此之外，更新还解决了在加密期间使用静态初始化向量（CVE-2022-26306）的问题，如果黑客可以访问用户的配置信息，这可能会削弱安全性。 最后，这些更新还解决了CVE-2022-26307问题，其中主密钥编码不当，如果黑客拥有用户配置，则存储的密码很容易受到暴力攻击。 这三个漏洞是由 OpenSource Security GmbH 代表德国联邦信息安全办公室报告的，在LibreOffice 版本7.2.7、7.3.2和7.3.3中已得到解决。 五个月前，文档基金会于2022年2月修复了另一个不正确的证书验证错误（CVE-2021-25636）。去年10月，修补了三个欺骗漏洞，这些漏洞可能被滥用来修改文档，使其看起来像是由可信来源进行了数字签名。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，一份研究报告显示，攻击者在新漏洞公开披露后 15 分钟内，就会扫描到有漏洞的端点，留给系统管理员修补已披露的安全漏洞时间比以往想象的还要少。 根据 Palo Alto 2022 年 Unit 42 事件响应报告，部分黑客一直在监视软件供应商是否会发布漏洞披露公告，以便可以利用这些漏洞对公司网络进行初始访问或远程代码执行。 2022 年攻击面管理威胁报告发现，攻击者通常是在 CVE 漏洞公布 15 分钟内开始扫描漏洞。 值得一提的是，由于对扫描漏洞的要求并不高，低技能的攻击者也可以在互联网上扫描易受攻击的端点，并在暗网市场上出售。之后几小时内，就会出现第一次主动的利用尝试，往往会击中了一些未来得及打补丁的系统。 Unit 42 事件响应报告以 CVE-2022-1388 为例，该漏洞披露于 2022 年 5 月 4 日，根据 Unit 42 的说法，在 CVE 公布后 10 个小时内，他们已经记录了 2552 次扫描和利用尝试。 不难看出，修补漏洞是系统维护者和恶意攻击者之间的时间竞赛，每一方的延误幅度都随着时间的推移而减少。 2022 年利用最多的漏洞 根据 Palo Alto收集的数据，2022 年上半年，网络访问中被利用最多的漏洞是 “ProxyShell ”利用链，占总记录利用事件的 55%。ProxyShell 是通过将 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207 链接在一起利用。 Log4Shell 排名第二，占总记录利用事件的 14%，SonicWall 的各种 CVE 占了 7%，ProxyLogon 占 5%，Zoho ManageEngine ADSelfService Plus 的 RCE 在 3% 的案例中被利用。 2022 年上半年利用最多的漏洞(Unit 42) 从这些统计数字可以看出，利用量中绝大部分是由半旧的漏洞而不是最新披露的漏洞。发生这种情况有多种原因，包括攻击面的大小、利用的复杂性和实际影响等。 可以观察到更有价值的和保护得更好的系统，其管理员会迅速应用安全更新，因为这些系统往往会成为漏洞披露后，网络攻击的重要目标。 同样值得注意的是，报告显示，利用软件漏洞进行初始网络破坏的方法约占所用方法的三分之一，在 37% 的情况下，网络钓鱼是实现初始访问的首选手段。在 15% 的案例中，黑客入侵网络的方式是暴力破解或使用泄露的凭据。最后，对特权员工使用社工攻击或贿赂内部人员占了 10% 。 2022 年上半年，攻击者如何实现初始访问 目前，系统管理员、网络管理员和安全专业人员在努力应对最新的安全威胁和操作系统问题时已经承受了巨大压力，攻击者如此快速针对其设备只会增加额外的压力。因此，如果可能的话，通过使用 VPN 等技术，尽量让设备远离互联网。 通过限制对服务器的访问，管理员不仅可以降低漏洞利用的风险，还可以在漏洞成为内部目标之前应用安全更新。 不幸的是，一些服务必须公开，这就要求管理员通过访问列表尽可能地加强安全，只暴露必要的端口和服务，并尽可能快地应用更新，虽然快速应用关键更新可能会导致停机，但这远比遭受全面网络攻击好得多。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340287.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： FileWave移动设备管理（MDM）产品中的多个漏洞使组织面临网络攻击。 Claroty研究人员在FileWave MDM产品中发现了两个漏洞，使1000多个组织面临网络攻击。FIleWave MDM用于组织查看和管理设备配置、位置、安全设置和其他设备数据。组织可以使用MDM平台向设备推送强制软件和更新，更改设备设置、锁定，并在必要时远程擦除设备。 现在修补的漏洞是跟踪为CVE-2022-34907的身份验证绕过漏洞，以及跟踪为CVE-2022-34906的硬编码加密密钥。这两个漏洞都存在于版本14.6.3和14.7.x之前的FileWave MDM中，14.7.x在版本14.7.2之前。FileWave在本月早些时候解决了版本14.7.2中的漏洞。 身份验证绕过漏洞允许远程攻击者实现“super_user”访问并完全控制MDM安装，然后使用它来管理目标组织的任何设备。 Claroty发布的分析报告写道：“在我们的研究过程中，我们能够识别出FileWave MDM产品套件身份验证过程中的一个关键漏洞，允许我们创建一个漏洞利用程序，绕过平台中的身份验证要求，实现super_user访问，通过利用这个身份验证绕过漏洞，我们能够完全控制任何连接互联网的MDM实例。” 为了演示CVE-2022-34907漏洞，专家们创建了一个标准的FileWave设置，并注册了6台设备。他们利用此漏洞泄漏有关MDM服务器实例管理的所有设备的数据。 “最后，通过使用常规MDM功能，允许IT管理员在托管设备上安装软件包和软件，我们在每个受控设备上安装恶意软件包，在每个托管设备上弹出虚假勒索软件病毒。这样，我们就演示了潜在攻击者如何利用Filewave的功能来控制不同的托管设备。”Claroty发布的帖子中写道。 研究人员演示了如何利用该漏洞在由专家泄露的实例管理的设备上安装勒索软件。 Claroty总结道：“如果恶意使用此漏洞，远程攻击者可以轻松攻击并感染所有通过FileWave MDM管理的可访问互联网的实例，允许攻击者控制所有托管设备，访问用户的个人家庭网络、组织的内部网络等。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Drupal开发团队发布了安全更新来修复多个问题，其中包括关键的代码执行漏洞。 Drupal core – 中度严重 – 多个漏洞 – SA-CORE-2022-015 Drupal core – 严重– 任意PHP代码执行 – SA-CORE-2022-014 Drupal core – 中度严重 – 访问绕过 – SA-CORE-2022-013 Drupal core – 中度严重 – 信息泄露 – SA-CORE-2022-012 美国网络安全和基础设施安全局针对上述漏洞发布了一份公告。 最严重的一个是跟踪为CVE-2022-25277的任意PHP代码执行。 “Drupal core在上传时会清理带有危险扩展名的文件名（参考：SA-CORE-2020-012），并从文件名中删除前导点和尾随点，以防止上传服务器配置文件（参考：SA-CORE-2019-010）。公告中写道。“但是，之前对这两个漏洞的保护并没有正常工作。因此，如果将站点配置为允许上传带有htaccess扩展名的文件，这些文件的文件名将无法得到正确清理。这也可能允许绕过Drupal core的默认.htaccess文件提供的保护，以及在Apache Web服务器上远程执行代码。” 为了缓解此问题，域管理员必须将文件字段显式配置为允许 htaccess 作为扩展名（受限权限），或作为覆盖允许的文件上载的模块或自定义代码。这个漏洞影响了9.4和9.3版本，公告指出，该问题只影响具有特定配置的Apache web服务器。 其他三个漏洞被评为“中度严重”，可能导致跨站点脚本攻击、信息泄露或访问绕过。 所有问题都会影响9.4和9.3版本，但信息泄露漏洞也会影响版本7。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 7月22日，网络安全公司SonicWall发布补丁，以缓解影响其Analytics On-Prem和全球管理系统产品的关键SQL注入（SQLi）漏洞。 该漏洞被跟踪为CVE-2022-22280，在CVSS评分系统上的严重性等级为9.4，源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”，这可能导致未经身份验证的SQL注入。 “如果不在用户可控制的输入中充分删除或引用SQL语法，生成的SQL查询可能会导致这些输入被解释为SQL，而不是普通的用户数据。”MITRE在其对SQL注入的描述中指出。 这可以用于更改查询逻辑以绕过安全检查，或插入修改后端数据库的附加语句，其中可能包括执行系统命令。 DBappSecurity HAT Lab的H4lo和Catalpa发现并报告了影响2.5.0.3-2520 及更早版本的Analytics On-Prem 以及9.3.1-SP2-Hotfix1之前和包括它在内的所有GMS版本的漏洞。 建议依赖易受攻击设备的组织升级到Analytics 2.5.0.3-2520-Hotfix1和GMS 9.3.1-SP2-Hotfix-2。 SonicWall表示：“没有解决这个漏洞的方法，但是，通过整合Web应用程序防火墙来阻止SQLi尝试，可以显着降低被利用的可能性。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 周三，苹果发布了针对iOS、iPadOS、macOS、tvOS和watchOS的软件补丁，以解决影响其平台的一系列安全漏洞。 这包括至少37个漏洞，这些漏洞跨越iOS和macOS中的不同组件，从权限提升到任意代码执行，从信息泄露到拒绝服务。 其中最主要的是CVE-2022-2294，这是Google本月早些时候披露的WebRTC组件中的内存损坏漏洞，该漏洞在针对Chrome浏览器用户的真实攻击中被利用。但是，没有证据表明针对iOS，macOS和Safari的漏洞进行了疯狂的零日利用。 除了 CVE-2022-2294 之外，这些更新还解决了影响 Apple Neural Engine （CVE-2022-32810、CVE-2022-32829 和 CVE-2022-32840）、音频 （CVE-2022-32820）、GPU 驱动程序 （CVE-2022-32821）、ImageIO （CVE-2022-32802）、IOMobileFrameBuffer （CVE-2022-26768）、内核（CVE-2022-32813 和 CVE-2022-32815） 和 WebKit （CVE-2022-32792）的几个任意代码执行漏洞。 此外，还修补了影响内核的指针身份验证绕过 （CVE-2022-32844）、ImageIO 组件中的 DoS 错误 （CVE-2022-32785），以及 AppleMobileFileIntegrity 和文件系统事件中的两个权限提升漏洞（CVE-2022-32819 和 CVE-2022-32826）。 最新版本的 macOS 解决了 SMB 模块中的五个安全漏洞，恶意应用可能会利用这些漏洞来获得提升的权限、泄露敏感信息以及使用内核权限执行任意代码。 建议 Apple 设备的用户更新到 iOS 15.6、iPadOS 15.6、macOS（Monterey 12.5、Big Sur 11.6.8 和 2022-005 Catalina）、tvOS 15.6 和 watchOS 8.7，以获得最新的安全防护。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，思科解决了Cisco Nexus Dashboard数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者以root或管理员权限执行命令和操作。 第一个安全漏洞（被评为严重严重性漏洞，编号为 CVE-2022-20857）使未经身份验证的威胁参与者能够通过发送HTTP 请求来访问API，并以root 权限远程执行任意命令。 第二个漏洞（Web UI 中的一个高严重性漏洞，编号为 CVE-2022-20861）允许远程攻击者通过欺骗经过身份验证的管理员单击恶意链接来进行跨站点请求伪造攻击。 对此，思科也作出了解释，利用该漏洞可能允许攻击者在受影响的设备上以管理员权限执行操作。而近期修补的另一个高严重性安全漏洞 (CVE-2022-20858) 可以让未经身份验证的远程攻击者通过打开与容器镜像管理服务的TCP连接来下载容器镜像或将恶意镜像上传到受影响的设备。幸运的是，正如思科在发布的安全公告中解释的那样，恶意图像将在设备重启或Pod重启后运行。不过这些漏洞影响Cisco Nexus Dashboard 1.1及更高版本。思科已解决近期发布的2.2(1e)安全更新中的漏洞，并建议客户尽快迁移到固定版本。 这些安全漏洞是由思科高级安全计划小组 (ASIG) 的安全研究人员在内部安全测试期间发现的。思科的产品安全事件响应团队 (PSIRT) 表示，目前暂不知道公开可用的漏洞利用或在野外的积极利用。同时思科还修补了Cisco Nexus 仪表板的SSL/TLS实施中的第四个漏洞 (CVE-2022-20860)，该漏洞可能让未经身份验证的远程威胁参与者通过拦截中间人攻击中的流量来改变通信，利用该漏洞还可能允许攻击者查看敏感信息，包括受影响控制器的管理员凭据。思科表示之所以存在此漏洞，是因为当 Cisco Nexus Dashboard 与 Cisco 应用策略基础设施控制器 (APIC)、Cisco Cloud APIC 或 Cisco Nexus Dashboard Fabric Controller（以前的数据中心网络管理器 (DCNM) 控制器）建立连接时，未验证 SSL 服务器证书。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339721.html 封面来源于网络，如有侵权请联系删除