最近，Unit 42的研究人员发现了一项针对2021年12月以来Digium手机中使用的Elastix系统的活动。威胁参与者利用Rest Phone Apps (restapps)模块中的一个漏洞，编号为CVE-2021-45461 (CVSS评分9.8)，在VoIP服务器上植入一个web shell。攻击者通过在目标的Digium手机软件中放置额外的有效载荷，利用web shell来窃取数据。 根据Palo Alto Networks Unit 42 发布的公告，“截至目前，从2021年12月底到2022年3月底，我们已经见证了该家族超过50万个独特的恶意软件样本。该恶意软件会在web服务器的文件系统上安装多层混淆的PHP后门，下载新的有效负载以执行并安排重复的任务来重新感染主机系统。 此外，恶意软件会向每个下载的恶意软件植入一个随机的垃圾字符串，以试图规避基于IoCs的签名防御。” 研究人员还观察到，在 2021 年 12 月中旬至 2022 年 3 月期间，大量恶意流量可能来自超过50万个独特的样本。这些流量的目标是用于VoIP电话设备的Digium 开源 Asterisk 通信软件。该恶意活动与两年前Check Point Research 在 2020 年详述的INJ3CTOR3 报告有许多相似之处 ，专家推测这可能是该活动的死灰复燃。该攻击链从远程服务器检索shell脚本释放器的代码开始，然后在文件系统的多个位置下载并执行混淆的 PHP 后门程序，PHP 后门还会创建多个root用户帐户并设置计划任务来维护持久性并重新感染主机系统，该恶意软件通过cmd请求参数支持任意命令以及允许操作员执行恶意活动的内置默认命令。 该报告还显示，在易受攻击的服务器中植入 web shell 的策略对于恶意行为者来说并不是一种新策略。捕获高级入侵的唯一方法是深度防御策略。只有通过在一个窗格中编排多个安全设备和应用程序，防御者才能检测到这些攻击。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339440.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 消费电子产品制造商联想周二发布了修复措施，解决了其UEFI固件中的三个安全漏洞，这些漏洞影响了70多种产品型号。 Slovak网络安全公司ESET在一系列推文中表示:“这些漏洞可以在平台启动的早期阶段实现任意代码执行，可能会让攻击者劫持操作系统执行流程，并禁用一些重要的安全功能。” CVE-2022-1890、CVE-2022-1891和CVE-2022-1892这三个漏洞都与缓冲区溢出漏洞有关，联想已将其描述为导致受影响系统上的权限提升。ESET的Martin Smolár报告了这些缺陷。 这些错误源于对三个不同的驱动程序 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 中名为“DataSize”的 NVRAM 变量的验证不足，从而导致缓冲区溢出，可以将其武器化以实现代码执行。 这是联想自今年年初以来第二次着手解决UEFI安全漏洞。今年4月，该公司解决了三个漏洞（CVE-2021-3970、CVE-2021-3971和CVE-2021-3972）——也是由Smolár发现的——可能被用来部署和执行固件植入。 强烈建议受影响设备的用户将其固件更新到最新版本，以缓解潜在威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员近日发现了一个高危漏洞，允许黑客远程解锁和启动多款本田（Honda）车型。目前本田旗下 10 款最受欢迎的车型均受到了影响。更糟糕的是，研究人员调查认为从 2012 到 2022 年发售的所有车型可能都存在这个漏洞。 这个漏洞被安全研究人员称之为“RollingPWN”，主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型，每次所有者按下 fob 按钮时都会创建一个新的进入代码。 在新进入代码创建之后，理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员 Kevin26000 和 Wesley Li 发现旧代码可以回滚并用于获取对车辆的不必要访问权限。 研究人员对 2012-2022 年发售的多款本田车型进行了测试，均发现了这个漏洞。目前经过测试，已经确认受到影响的车辆型号包括 ● Honda Civic 2012 ● Honda XR-V 2018 ● Honda CR-V 2020 ● Honda Accord 2020 ● Honda Odyssey 2020 ● Honda Inspire 2021 ● Honda Fit 2022 ● Honda Civic 2022 ● Honda VE-1 2022 ● Honda Breeze 2022 根据漏洞影响车型列表和成功测试情况，Kevin26000 和 Li 坚信该漏洞可能会影响所有本田汽车，而不仅仅是上面列出的前十个。 为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞，但许多受影响的汽车不提供 OTA 支持。更大的潜在受影响车辆池使得召回情况不太可能发生。 目前，Kevin26000 和 Li 正怀疑该漏洞是否也存在于其他车企的车辆型号中。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1290501.htm 封面来源于网络，如有侵权请联系删除

在 Chrome 发布紧急更新之后，微软今天也发布了修复补丁，修复了被追踪为 CVE-2022-2294 的高危零日漏洞。微软也没有详细说明修复的细节，只是在 Edge 的更新日志中指出：“此更新包含对 CVE-2022-2294 的修复，Chromium 团队已报告该漏洞被黑客利用”。 目前安装该补丁之后，Edge 稳定版的最新版本是 103.0.1264.48。如果浏览器没有为您自动更新，请单击浏览器窗口右上角的三点菜单，然后导航到帮助和反馈 > 关于 Microsoft Edge 以触发更新。 今天修复的零日漏洞（追踪为CVE-2022-2294）存在于 WebRTC（网络实时通信）组件中，导致基于堆的缓冲区溢出，由 Avast 威胁情报团队的 Jan Vojtesek 于 7 月 1 日星期五报告。成功利用堆溢出的影响范围包括程序崩溃和任意代码执行，如果在攻击过程中实现了代码执行，则可以绕过安全解决方案。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1289671.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处：   OpenSSL于1998年首次发布，是一个通用加密库，它提供了安全套接字层和传输层安全协议的开源实现，使用户能够生成私钥，创建证书签名请求，安装SSL/TLS证书。 OpenSSL项目的维护者已经发布了补丁，以解决加密库中的一个严重错误，该错误可能在某些场景下导致远程代码执行。 该问题现在被分配为漏洞编号CVE-2022-2274，并被描述为在2022年6月21日发布的OpenSSL 3.0.4版本中引入的RSA私钥操作导致堆内存损坏的情况。 维护者称其为“RSA实现中的严重漏洞”，称该漏洞可能导致计算过程中的内存损坏，攻击者可能将其武器化，以触发执行计算的机器上的远程代码执行。 西安电子科技大学博士生Xi Ruoyao于2022年6月22日向OpenSSL报告了该漏洞。建议该库的用户升级到OpenSSL版本3.0.5，以减轻任何潜在的威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞，如果该漏洞被行为威胁者利用的话，就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。 从技术角度来看，当各种Amazon应用程序接口(API)对用户进行身份验证时，就需要Amazon访问令牌，其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口，像Amazon Drive API，可能允许威胁参与者获得对用户文件的完全访问权限。 根据Checkmarx的说法，该漏洞源于照片应用程序组件之一的错误配置，这将允许外部应用程序访问它。每当启动此应用时，它会触发一个带有客户访问令牌的HTTP请求，而接收该请求的服务器就能被其控制。 研究人员表示，在掌握这一点后，安装在受害者手机上的恶意应用程序可能会发送一个指令，并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间，勒索软件就很容易成为可能的攻击载体，恶意操作人员可以读取、加密和重写客户的文件，同时还能删除他们的历史记录。 此外，Checkmarx说，他们在研究中只分析了整个亚马逊生态系统里的一小部分API，这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。 在发现这组漏洞后，Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大，并且在实际攻击场景中成功的可能性很高，亚马逊认为这是一个严重程度很高的问题，并在报告后不久就发布了修复程序。”   转自 Freebuf，原文链接：https://www.freebuf.com/news/337760.html 封面来源于网络，如有侵权请联系删除

安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。 研究人员当月已向甲骨文揭露2漏洞，但甲骨文今年才修补，因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497，甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445，但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事，也超出了一般标准的90天，他们认为这家软体巨人的动作太迟缓。 ADF Faces框架包括超过150个支援Ajax的JavaServer Faces（JSF）元件及开发框架，可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI（Oracle Business Intelligence）的前远端程序码执行（pre-auth RCE）漏洞，该漏洞可让未经授权的攻击者经由HTTP连线呼叫开采，最严重可接管JDeveloper。这项漏洞风险值达9.8。 但研究人员最后发现，该漏洞还影响多个甲骨文产品，包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外，而且任何以ADF Faces framework开发的网站也会受影响，包括许多甲骨文线上系统及Oracle Cloud Infrastructure。 Fusion Middleware的Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞则是Jang找到。OAM是单一签入（SSO）元件。这漏洞可和CVE-2022-21497串联起来，在OAM达成远端程序码执行，让未经授权的攻击者可经由Oracle Web Services/OAM新增、删除或修改资料，风险值为8.1。研究人员强调这十分严重，因为VMWare、华为及高通都使用OAM的SSO，且甲骨文许多Oracle线上服务也使用OAM作为SSO。 ADF framework及OAM两漏洞皆影响Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。尽管研究人员批评甲骨文动作太慢，但甲骨文已释出更新版，研究人员也呼吁企业用户尽速安装最新版本。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/u78-LspaS2dhUTR-_eGaHg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，MEGA 发布了一个安全更新，以解决一系列可能会暴露用户数据的严重漏洞。据悉，即使用户数据以加密形式存储，仍存在安全风险。 MEGA 总部位于新西兰，主要提供云存储和文件托管服务，拥有来自 200 多个国家的超过 2.5 亿注册用户。根据统计，用户总共上传了约 1200 亿个不同的文件，大小达到了 1000 PB。 最近，瑞士苏黎世联邦理工学院的研究人员发现 MEGA 加密方案中存在安全漏洞，该漏洞允许他们访问用户的加密数据。2022 年 3 月 24 日，研究人员本着负责的态度向该公司报告了漏洞。 在研究漏洞的过程中，研究人员发现了五种可能针对用户数据的攻击，这些攻击主要依赖于同等数量的漏洞，但它们有一个共同点，都依赖于窃取和破译一个RSA密钥。 研究人员发现的五种攻击（苏黎世联邦理工学院） 目前，MEGA 还没有发现因为漏洞导致用户账户或数据泄露的事件，但漏洞的出现对MEGA服务的数据安全承诺造成了巨大冲击。 解密MEGA MEGA 主要是使用一个用户控制的端对端加密（UCE）系统来保护用户数据，该系统的基础是根据用户的常规登录密码生成的加密密钥。 之后，通过随机过程生成主密钥，并用于后续加密密钥子集，其中主要包括 RSA 密钥对、用于聊天功能的 Curve 密钥、Ed 签名密钥和节点密钥等，每个用户的 RSA 密钥都存储在 MEGA 的服务器上，并没有完整性的保护。 苏黎世联邦理工学院的团队发现了一种新方法，可以进行中间人攻击，从而恢复目标 MEGA 账户的 RSA 密钥。研究人员还发布了以下概念验证视频（文中为视频部分片段截图，原视频请点击文末链接观看）。 通过安全人员研究发现，这种攻击依赖于通过比较进行的主要因素猜测，并且需要至少 512 次登录尝试才能起作用。此外，攻击者必须进入 MEGA 的服务器才能实施攻击。这样的话，对于外部攻击者来说，显然是非常困难，但对于不道德的 MEGA 员工来说，就没有那么大挑战了。 研究人员表示，一旦目标账户的 RSA 密钥泄露了用户的密文，攻击者就可以反向恢复主密钥的 AES-ECB 明文，然后解密整个密钥子集。最终，攻击者可以解密存储在 MEGA 云上的用户数据，以明文形式访问聊天记录，甚至向账户的存储库上传新内容。 漏洞产生的影响和补救措施 目前，MEGA 已经修复了可导致所有客户端上用户数据解密的两个漏洞（RSA 密钥恢复和明文恢复），缓解了第三个漏洞（框架），并计划在即将发布的更新中解决剩余的两个已经发现问题。 值得注意的是，这些修复并不是完美的对策，但好在不会影响用户体验，也不需要用户重新加密他们存储的数据、更改密码或创建新密钥。 MEGA 云服务提供商表示，尽管发现的密码漏洞影响范围很广，但幸运的是漏洞可利用性的门槛非常高。另外，提供商强调，无论是内部人员还是外部人员，都没有任何用户帐户或数据被不当访问的迹象。   转自 Freebuf，原文链接：https://www.freebuf.com/news/337040.html 封面来源于网络，如有侵权请联系删除  

近日，一份关于一组56个漏洞的安全报告已发布，这些漏洞统称为 Icefall，会影响各种关键基础设施环境中使用的运营技术 (OT) 设备。 据悉，Icefall是由Forescout的Vedere实验室的安全研究人员发现，它影响了十家供应商的设备。包括安全漏洞类型允许远程代码执行、破坏凭证、固件和配置更改、身份验证绕过和逻辑操作。受影响的供应商包括 Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa。他们已在 Phoenix Contact、CERT VDE和美国网络安全和基础设施安全局 ( CISA ) 协调的负责任披露中得到通知。 在过去的几年里，受 Icefall 影响的系统类型已成为专门恶意软件 Industroyer 2 和 CaddyWiper 的更频繁目标，这两种恶意软件都是不久前由俄罗斯黑客针对乌克兰发电厂部署的。   漏 洞 概 述 Vedere Labs 发现的缺陷主要涉及凭证安全、固件操纵和远程代码执行，同时操纵配置和创建拒绝服务 (DoS) 状态帐户的数量较少。 Icefall漏洞的类型 （Forescout）  Forescout在其报告中指出，“许多漏洞是由于 OT 的设计不安全”，还补充说“许多身份验证方案被破坏”，这表明实施阶段的安全控制不足。 例如，研究人员指出，许多设备使用明文凭据、弱密码或损坏密码、硬编码密钥和客户端身份验证。 这些身份验证漏洞为威胁行为者实现远程代码执行 (RCE) 和 DoS 条件或安装恶意固件映像铺平了道路。通过在目标设备或其后面的设备上发出命令来直接操作操作是研究人员强调的另一个风险。   潜 在 后 果 Icefall 影响了众多工业部门使用的各种设备，使其极具吸引力，尤其是对国家支持的对手而言。Forescout 表示，一些可能来自利用 Icefall 的威胁参与者的场景包括创建误报、更改流量设定点、中断 SCADA 操作或禁用紧急关闭和消防安全系统。 为了证明他们的发现和潜在风险，研究人员使用了风力发电和天然气运输系统，显示了各种 Icefall 缺陷的位置以及如何将它们链接起来以实现更深层次的妥协。 （图注风力发电厂的冰瀑缺陷 （Forescout）） （天然气运输系统 （Forescout）  受影响的设备分布在世界各地。分析师使用 Shodan 扫描互联网以查找暴露的易受攻击的系统，并发现以下前六名： Honeywell Saia Burgess – 2924 台设备，遍布意大利、德国、瑞士、瑞典和法国。 Omron 控制器——西班牙、加拿大、法国、美国和匈牙利的 1305 台设备。 Phoenix Contact DDI – 意大利、德国、印度、西班牙和土耳其的 705 台设备。 ProConOS SOCOMM – 236 台设备，遍布中国、美国、德国、新加坡和香港。 霍尼韦尔趋势控制——法国、丹麦、意大利、西班牙和英国的 162 台设备。 Emerson Fanuc /PACSystems – 美国、加拿大、波兰、台湾和西班牙的 60 台设备。 值得注意的是，有 74% 的易受攻击产品系列已通过安全认证，这表明这些程序既不安全，也不够全面。   缓 解 办 法 主要的安全建议是应用供应商提供的最新固件更新。不过，目前并非所有提到的供应商都发布了 Icefall 的修复程序，也有下游供应商需要采取行动。在修复可用或可以安装之前，强烈建议系统管理员对网络进行分段并监控流量和设备活动。 使用“设计安全”的设备发现和替换易受攻击的产品以及安装物理交换机是降低妥协变化的好方法。 Forescout 通过对软件、固件和硬件组件的深入手动和自动分析发现了 Icefall 漏洞集。该公司发布了一份更详细的技术报告，描述了影响一个供应商的四个漏洞，但这些漏洞仍在披露中。 建议公司遵循每个供应商的安全建议，以了解有关每个漏洞对受影响产品的具体影响的更多详细信息。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/IkDCLnwuBX25YzM3ka34PQ 封面来源于网络，如有侵权请联系删除

网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息，其中一些可能被攻击者混合使用，以在受影响的系统上实现远程代码执行。 工业安全公司 Claroty在一份新报告中表示：“这些漏洞如果被利用，会给网络上的西门子设备带来许多风险，包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。” 值得庆幸的是，2021年10月12日，西门子在 V1.0 SP2 版本更新中解决了上述所有的安全漏洞（从 CVE-2021-33722 到 CVE-2021-33736）。西门子在一份报告中写到，最严重的漏洞可能允许经过身份验证的远程攻击者，在某些条件下以系统特权在系统上执行任意代码。 威胁最大的漏洞编号是CVE-2021-33723（CVSS 评分：8.8），它允许攻击者将权限升级至管理员账号，病号可以与路径遍历漏洞 CVE-2021-33722（CVSS 评分：7.2）想结合，最终实现远程任意代码执行。 此外，还有一个需要注意的是 SQL 注入漏洞，漏洞编号（CVE-2021-33729，CVSS 分数：8.8），通过该漏洞，经过身份验证的攻击者可以在本地数据库中执行任意命令。 Claroty 的 Noam Moshe认为，SINEC在网络拓扑中处于至关重要的中心位置，因为它需要访问凭据、加密密钥和其他授予它的管理员访问权限，以便管理网络中的设备。 从攻击者的角度来看，这种攻击是利用合法凭证和网络工具进行恶意活访问、活动和控制，而SINEC将攻击者置于以下主要位置：侦察、横向移动和特权升级。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336659.html 封面来源于网络，如有侵权请联系删除