Hackernews 编译，转载请注明出处： 攻击者正在积极利用WooCommerce Payments WordPress插件近期披露的一个严重安全漏洞，作为大规模针对性攻击的一部分。 该漏洞被追踪为CVE-2023-28121 (CVSS得分:9.8)，一种身份验证绕过的情况。漏洞允许未经身份验证的攻击者冒充包括管理员在内的任意用户，并执行一些操作。这可能导致网站被黑客接管。 Wordfence安全研究员Ram Gall在文章中表示:“针对该漏洞的大规模攻击始于2023年7月14日，并持续了整个周末。16日，针对15.7万个站点的攻击达到了130万次。” WooCommerce Payments的4.8.0到5.6.1版本存在风险，超过60万个网站都安装了该插件。WooCommerce早在2023年3月就发布了该漏洞的补丁，WordPress也向使用该软件受影响版本的网站发布了自动更新信息。 这类攻击的一个共同点是使用了HTTP请求标头“X-Wcpay-Platform-Checkout-User: 1”，这导致易受影响的站点将任何额外的有效负载均视为来自管理员的操作。 Wordfence表示，上述漏洞被用于部署WP Console插件。管理员可以使用该插件执行恶意代码，以设置持久性和后门受感染的站点。 Adobe ColdFusion漏洞被利用 Rapid7报告称，从2023年7月13日开始，Adobe ColdFusion漏洞就在多个客户环境中被积极利用，且在受感染的端点上部署web shell。 Rapid7安全研究员Caitlin Condon表示:“攻击者似乎正在利用CVE-2023-29298以及一个次要漏洞。”另外一个漏洞是CVE-2023-38203 (CVSS得分:9.8)，这是一个反序列化漏洞，在7月14日发布的带外更新中得到了解决。 CVE-2023-29298 (CVSS评分:7.5)涉及一个访问控制绕过漏洞，影响ColdFusion 2023、ColdFusion 2021 Update 6及以下，以及ColdFusion 2018 Update 16及以下。 “该漏洞允许攻击者通过在请求的URL中插入额外斜杠字符来访问管理端。”Rapid7上周披露到。他们表示，CVE-2023-29298的修复是不完整的，攻击者仍可以可以通过琐碎的修改来绕过Adobe发布的补丁。 thehackernews建议用户更新到最新版本的Adobe ColdFusion，以防止潜在的威胁，因为修复CVE-2023-38203的程序打破了漏洞利用链。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

随着生成式人工智能如今风靡一时，黑客将该技术重新用于自身利益，为加速网络犯罪提供了途径。根据SlashNext的调查结果，一种名为WormGPT的新型生成人工智能网络犯罪工具已在地下论坛上宣传，这是发起复杂的网络钓鱼和商业电子邮件入侵（BEC）攻击的一种方式。 安全研究员Daniel Kelley认为：“该工具将自己呈现为GPT模型的黑帽替代品，专为恶意活动而设计，黑客可以使用这种技术自动创建高度令人信服的虚假电子邮件，针对收件人进行个性化设置，从而增加攻击成功的机会。”该软件的作者将其描述为“众所周知的ChatGPT的最大敌人”，“可以让你做各种非法的事情” 在黑客手中，像WormGPT这样的工具可能是一种强大的武器，特别是OpenAI、ChatGPT和Google Bard采取越来越多地措施打击滥用大型语言模型（LLM）来制造令人信服的网络钓鱼电子邮件并生成恶意代码的行为。Check Point在本周的一份报告中表示：“与ChatGPT相比，巴德在网络安全领域的反滥用限制措施明显较低，因此，使用巴德的功能生成恶意内容要容易得多。” 今年2月初，这家以色列网络安全公司披露了黑客是如何利用API绕过ChatGPT 的限制，更不用通过使用大量电子邮件地址和密码列表入侵 ChatGPT 帐户，交易被盗的高级帐户。WormGPT在没有任何道德界限的情况下运行，这一事实突显了生成式 AI 构成的威胁，甚至允许新手黑客在没有技术手段的情况下迅速、大规模地发起攻击。更糟糕的是，黑客正在为ChatGPT推广“越狱”，目的是操纵该工具生成中可能泄露的敏感信息、制作不适当内容和执行有害代码的输出。 生成式人工智能可以创建语法无可挑剔的电子邮件，使它们看起来合法，并减少被标记为可疑的可能性。它的使用使复杂的BEC攻击的执行民主化。即使是技能有限的攻击者也可以使用这项技术，使其成为更广泛的网络犯罪工具。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Vk5iRQoRDimY5FNOI0bLhQ 封面来源于网络，如有侵权请联系删除

上周四，LockBit勒索软件团伙的附属机构之一“国家危害机构”(National Hazard Agency)在其泄密站点上分享了被盗的台积电文件目录列表的屏幕截图，并要求台积电在8月6日最后期限之前支付7000万美元（编者：本文发稿时，Lockbit已在泄漏站点公布了台积电被盗数据）。 “国家危害机构”宣称，台积电如果未能支付赎金将导致黑客组织公开泄露其信息，包括台积电IT网络的网络登录凭据。台积电(TSMC)发布公告将所遭受的LockBit勒索软件攻击归咎于第三方设备供应商的漏洞，导致攻击者能够获取台积电在其企业网络中使用的一些服务器的（编者：供应商默认）设置。根据台积电的公告，导致数据泄漏的第三方供应商是中国台湾系统集成商Kinmax Technology，但未透露泄露数据的性质。 台积电表示：“台积电最近意识到我们的一家IT硬件供应商遭遇了网络安全事件，导致与服务器初始设置和配置相关的信息泄露。” 台积电“甩锅”第三方 台积电声称，第三方供应商Kinmax是一家与惠普、微软、VMware、思科和Fortinet等领先技术公司合作的系统集成商，其自身的系统漏洞使其客户也面临威胁。不过，台积电表示，此次安全漏洞“并未直接影响台积电的业务运营，也没有泄露任何台积电的客户信息”。“事件发生后，台积电已立即按照该公司的安全协议和标准操作程序终止与该供应商的数据交换。”但是“国家危害机构”表示，准备发布一份所谓的台积电网络“入口点”清单以及相关的密码和登录信息。 Grip Security首席执行官兼联合创始人Lior Yaari表示：“此次泄露事件很好地说明了机器身份与员工身份同样重要。”“数据无处不在，任何人都可以从任何地方访问。能同时保护员工和机器身份的公司将比其它公司更安全。” Kinmax道歉并淡化事件影响 据悉，Kinmax已向其客户发函，通报其在6月29日内部测试环境中发现的网络入侵，攻击者未经授权访问了系统安装准备信息。Kinmax信中写道：“泄露的内容主要包括该公司向客户提供的系统安装准备的默认配置，目前尚未对客户造成任何损害，客户也没有被黑客攻击。”台积电和Kinmax均未公开证实LockBit宣称的获取了台积电关键数据的说法。双方均未透露是否愿意支付7000万美元的要求。 Kinmax泄露事件发生两周前，美国司法部宣布逮捕了20岁的俄罗斯公民Ruslan Magomedovich Astamirov（АСТАМИРОВ、Руслан Магомедовичь），原因是他涉嫌参与美国和其他地方的多起LockBit勒索软件攻击。一天前，LockBit网站宣称入侵了印度制药公司Granules India，并公布所窃取的大量文件。 截止本文发稿，Lockbit已经公开泄漏台积电数据。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aXhZUl5F_Pwp05StuMGnSA 封面来源于网络，如有侵权请联系删除

7 月 1 日 晚，社交媒体上突然出现大量讨论#人大学生信息泄露#的帖子，网传中国人民大学一名毕业生通过非法技术手段，盗取了近几届人民大学学生的个人信息，并制作成网页供任何人随意浏览，甚至还可给该校女学生的颜值打分。 从网上披露的网传信息显示，被盗取的学生信息包括照片、姓名、学号、籍贯等，这些信息被公开在网站上。 人民大学学生信息被盗一事引起社会广泛关注，人民大学很快便做出回应。7 月 2 日，中国人民大学官方微博账号发布情况通报表示，学校已关注到我校部分学生信息被非法获取的情况，对此高度重视，第一时间联系警方，目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。感谢社会各界对学校的关心。 人民大学对学生信息被盗一事快速处理的态度获得民众的大力支持，社会上开始讨论若此事属实，该名毕业生曝光盗取的全校学生照片等个人信息，并制作网站，是否涉嫌犯罪？ 对于数据被盗事件，上海某律师事务所合伙人陈律师指出《民法典》和 2021 年 11 月 1 日起施行的《中华人民共和国个人信息保护法》中均明确了自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。一旦确认该男生的行为，其不但涉嫌侵权，严重的可能要承担刑事责任，即便该男生没有将相关网站内容对外公布，其收集和处理他人个人信息的行为也可能涉嫌违法。 此外，根据河南某律师事务所付律师的意见，涉事男生不但涉及侵犯公民个人信息罪，还涉及非法获取计算机信息系统数据罪。根据《检察机关办理侵犯公民个人信息案件指引》规定，对于采取网络技术手段非法获取计算机系统中公民个人信息的，同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪，应当择一重罪论处。具体处罚要依据嫌疑人的犯罪情节来定。 警方回应 海淀警方接到人民大学报警后，迅速针对“中国人民大学部分学生信息被非法获取”的情况，组织人员开展调查。经查，嫌疑人马某某（男，25岁，该校毕业生）涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前，马某某已被海淀公安分局依法刑事拘留，案件正在进一步调查中。警方高度重视公民个人信息保护，对于相关违法犯罪，将依法予以严厉打击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370922.html 封面来源于网络，如有侵权请联系删除

据微软披露，近日检测到由俄罗斯国家附属黑客组织 “午夜暴雪 “进行的凭证窃取攻击激增。 微软的威胁情报团队说，入侵行为利用住宅代理服务来混淆攻击的源IP地址，目标是政府、IT服务提供商、非政府组织、国防和关键制造部门。 “午夜暴雪”以前被称为Nobelium，也以APT29、Cozy Bear、Iron Hemlock和The Dukes等名称被追踪过。 该组织在2020年12月因对 SolarWinds 高调攻击而引起全世界的关注，但在其针对外国部委和外交实体的目标攻击中，该组织依旧依靠隐蔽的工具。 这一迹象表明他们有强大的决心，即使在被曝光的情况下仍然保持他们的运作，这也使他们成为间谍领域可怕的存在。 微软在一系列推文中说：”这些凭证攻击使用了各种密码喷涂、暴力破解和令牌盗窃技术，同时还进行了会话重放攻击，利用可能通过非法销售获得的被盗会话获得对云资源的初始访问”。 微软进一步指出，APT29使用住宅代理服务来路由恶意流量，试图混淆使用受损凭证的连接。 自2021年11月以来，Recorded Future详细介绍了APT28（又名BlueDelta、Forest Blizzard、FROZENLAKE、Iron Twilight和Fancy Bear）针对乌克兰政府和军事实体策划的新的鱼叉式钓鱼活动。 这些攻击利用带有附件的电子邮件，以及开源Roundcube网络邮件软件的多个漏洞（CVE-2020-12641，CVE-2020-35730和CVE-2021-44026）来进行侦察和数据收集。 通过一个有效的漏洞使俄罗斯军事情报的黑客能够部署流氓的JavaScript恶意软件，将目标个人的电子邮件重定向到攻击者控制的电子邮件地址，并窃取他们的联系人名单。 随后，该特权升级漏洞已在2023年3月的 “补丁星期二 “中得到部分解决。 这些发现表明，俄罗斯的威胁者一直在努力收集关于乌克兰和整个欧洲的各种实体的有价值的情报，特别是在2022年2月俄乌战争爆发之后。 俄罗斯的威胁者在对乌克兰网络战行动中的显著特点是广泛部署旨在删除和破坏数据的雨刷恶意软件。 最后，Recorded Future总结道，”BlueDelta几乎肯定会继续优先针对乌克兰政府和私营部门组织，以更广泛的支持俄罗斯军事。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370415.html 封面来源于网络，如有侵权请联系删除

上周五（6月23日），全球最大的两家航空公司美国航空(American Airlines)和西南航空(Southwest Airlines)披露了一起数据泄露事件。泄露原因是航空飞行员管理招聘平台Pilot Credentials遭遇了黑客入侵。 此次攻击事件仅影响到了Pilot Credentials的系统，对航空公司的网络或系统并未造成损害或影响。 4月30日，黑客入侵了Pilot Credentials的系统，窃取了飞行员申请人及飞行员学员招聘过程中提供的个人信息文件。 美国航空公司表示，此次事件导致至少5745名飞行员和申请人的数据被泄露，西南航空公司报告的数据泄露总数为3009人。 根据美国航空公司的调查，泄露的数据涉及到了一些个人信息，例如姓名、社保号码、驾驶执照号码、护照号码、出生日期、飞行员证书号码以及其他政府颁发的身份证号等。 虽然目前没有证据表明有人故意盗取飞行员的个人信息用于欺诈或身份盗窃，但从现在开始，航空公司将把所有飞行员和学员申请人引导到自我管理的内部门户网站。 西南航空公司表示将不再使用外部供应商，今后申请飞行员的人可直接通过西南航空管理的内部门户网站进行相关资料提交。 同时，美国航空公司(American Airlines)和西南航空公司(Southwest Airlines)也已向相关执法部门通报了此次事件，相关部门正在全力配合他们对此事的调查。 美国航空公司曾多次遭遇数据泄露 2022年9月，美国航空公司披露了另一起数据泄露事件，该事件影响到了1708名美国航空公司的客户和员工。 2022年7月，美国航空公司还曾遭遇网络钓鱼攻击，导致员工电子邮件账户信息、员工、客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息被泄露。随后的调查还表明，攻击者还利用这些员工账户发送了更多的网络钓鱼邮件。 2021年3月，全球航空信息技术巨头SITA披露，黑客入侵了美国航空公司的服务器，并访问了全球多家航空公司使用的乘客服务系统(PSS)，美国航空公司也遭到了数据泄露。 美国航空公司是世界上机队规模最大的航空公司，在其主线航线上拥有1300多架飞机，每天运营近6700个航班，飞往50多个国家的350个目的地，拥有超过12万名员工。 西南航空公司是世界上最大的低成本航空公司，拥有近7万名员工，业务遍布11个国家的121多个机场。   转自 Freebuf，原文链接： https://www.freebuf.com/news/370182.html 封面来源于网络，如有侵权请联系删除

近日，Synopsys 安全研究人员发现，在可以将智能手机用作远程键盘和鼠标的三个 Android 应用程序中存在多个未修补的漏洞。 这些应用程序分别是Lazy Mouse、PC Keyboard和Telepad，它们已从 Google Play 商店累计下载超过 200 万次。其中Telepad 不再能通过应用商店下载，但可以从其网站下载。 懒惰鼠标（com.ahmedaay.lazymouse2 和 com.ahmedaay.lazymousepro） PC 键盘 (com.beapps.pckeyboard) Telepad (com.pinchtools.telepad) 虽然这些应用程序通过连接到桌面上的服务器来代替鼠标键盘的运行，但是Synopsys 网络安全研究中心 (CyRC)发现了多达七个与弱身份验证或缺少身份验证、缺少授权和不安全通信相关的缺陷。 简而言之，这些问题（从 CVE-2022-45477 到 CVE-2022-45483）可能会被恶意攻击者利用来执行任意命令，无需身份验证通加载用户的击键来获取敏感信息。 Lazy Mouse 服务器还受到弱密码策略的影响，但其并没有实施速率限制，使远程未经身份验证的攻击者能够轻易地暴力破解 PIN 并执行命令。 更值得注意的是，两年多来这些应用程序没有任何更新，因此用户最好立即删除这些应用程序。 Synopsys 安全研究员 Mohammed Alshehri 表示：这三个应用程序被广泛使用，但它们既没有考虑到用户的隐私安全也没有进行任何迭代，显然，在开发这些应用程序时，安全性并不在他们的设计范围内。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351574.html 封面来源于网络，如有侵权请联系删除

安全内参11月25日消息，微软近期发布一份报告，揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看，已经有黑客利用软件中的漏洞攻击能源组织。 本周二，微软研究人员在一份分析报告中透露，他们在Boa Web Server软件中发现了一个易受攻击的开源组件，被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包（SDK）。 尽管Boa Web Server在2005年就已停止更新，但它仍被广泛应用，并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式，防御方其实很难缓解这一安全缺陷。 微软报告称，恶意黑客试图利用Boa Web Server的多个漏洞，包括一个高危级别的信息泄露漏洞（CVE-2021-33558）和一个任意文件访问漏洞（CVE-2017-9833）。未经身份验证的攻击者可以利用这些漏洞获取用户凭证，并远程执行代码。 “影响该组件的两个漏洞，可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息，并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中，恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起，黑客方就能引发更大影响，甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。 微软最初发现这个易受攻击的组件，是在调查一起针对印度电网的入侵事件中。此前，美国威胁情报公司Recorded Future曾在2021年发布报告，详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。 2022年4月，Recorded Future又发布一份报告，介绍了另一个国家支持的恶意黑客团伙。报告称，该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术（OT）网络上开辟登陆点。 在此之后，微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见，这个易受攻击的组件很可能给整个世界带来巨大威胁。 另一个重要问题在于，由于经常被整合在流行的SDK当中，所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK，这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用，而它正好包含Boa Web服务器。 由于持续观察到针对Boa漏洞的攻击，微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。 转自 安全内参，原文链接：https://www.secrss.com/articles/49412 封面来源于网络，如有侵权请联系删除

美国联邦调查局和CISA在11月16日发布的联合公告中透露，一个未命名的伊朗支持的威胁组织入侵了美国联邦民事行政部门（FCEB）组织，以部署XMRig加密恶意软件。 攻击者使用针对Log4Shell （CVE-2021-44228） 远程代码执行漏洞的攻击方式，在入侵了未修补的 VMware Horizon 服务器后进而入侵美国联邦网络。 联合公告中写道：“在事件响应活动过程中，CISA确定网络威胁行为者利用未修补的VMware Horizon服务器中的Log4Shell漏洞，安装XMRig加密挖掘软件，横向移动到域控制器（DC），破坏凭据，然后在多个主机上植入Ngrok反向代理以保持持久性，” 这两个美国联邦机构还补充说：“所有尚未针对Log4Shell修补VMware系统的组织都应该假设他们已经遭到破坏，并建议他们开始在其网络中寻找恶意活动。” CISA也在六月份警告说：“VMware Horizon和Unified Access Gateway（UAG）服务器仍然受到多个威胁行为者的攻击，包括国家支持的黑客组织，使用Log4Shell漏洞开展攻击。” Log4Shell 可以被远程利用，以暴露在本地或 Internet 访问下的易受攻击的服务器为目标，在被破坏的网络之间横向移动，以访问存储敏感数据的内部系统。 国家黑客正在进行的Log4Shell利用 自从 2021 年 12 月披露后，多个威胁行为者几乎立即开始扫描和利用未修补的系统。 攻击者名单包括来自伊朗、朝鲜和土耳其的国家支持的黑客组织，以及与一些勒索软件团伙关系密切而闻名的访问经纪人。 根据此类情况，CISA建议拥有易受攻击的VMware服务器的组织做好他们已遭到破坏的假设并启动威胁搜寻活动。VMware也在一月份敦促客户尽快保护其VMware Horizon服务器免受Log4Shell攻击。 在今天的公告中，CISA和FBI更是进一步建议组织应用建议的缓解和防御措施，包括： 1、将受影响的 VMware Horizon 和统一接入网关 （UAG） 系统更新到最新版本。 2、最大程度地减少组织面向 Internet 的攻击面。 3、针对映射到 CSA 中 MITRE ATT&CK FOR ENTERPRISE 框架的威胁行为，执行、测试和验证组织的安全计划。 4、根据公告中所述的 ATT&CK 技术测试组织的现有安全控制。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/TAv7j9MctreutCUoog6Qmw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Snatch勒索软件组织声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子产品的公司。 HENSOLDT France公司为法国和国外的航空、国防、能源和运输部门提供各种关键电子解决方案、产品和服务，无论是航空、海军还是陆地应用。 根据公司网站，HENSOLDT France公司提供任务管理系统、世界级传感器、嵌入式系统；测试与仿真；氢气和电力转换、命令与控制、机械解决方案、支持和咨询以及安全通信和网络安全。 该公司开发特定的电子解决方案，并为危险环境提供专用的COTS解决方案。它们完全符合军事和航空标准，以及测试、集成和仿真解决方案，以确保关键系统的开发。 Snatch勒索软件组织将HENSOLDT France添加到其Tor泄密网站公布的受害者名单中。 该组织发布了被盗数据样本（94 MB）作为黑客攻击的证据。 Snatch勒索软件于2019年底首次被发现，Sophos研究人员发现了该勒索软件可以将感染的计算机重新启动到安全模式，以绕过常驻安全解决方案。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文