卡巴斯基实验室发现，新出现的恶意软件通过盗版应用程序进入macOS用户的计算机，并用受感染的版本替换他们的比特币钱包和Exodus钱包。该恶意软件的攻击对象为MacOS 13.6及以上版本，其利用用户输入计算机安全密码的时机获得用户密码，而当用户尝试打开已被恶意软件入侵的加密钱包时，则能够获取其私钥。 卡巴斯基的研究人员发现并分析了此感染链的各个阶段。受害者在按照安装说明将其放置在 /Applications/ 文件夹中后下载并执行恶意软件，假设它是他们下载的破解应用程序的激活器。这将打开一个伪造的激活器窗口，要求输入管理员密码。 激活器窗口和密码提示 （Kaspersky） 获得许可后，恶意软件通过“AuthorizationExecuteWithPrivileges”函数运行工具可执行文件 （Mach-O），然后检查系统上的 Python 3，如果不存在，则安装它，使该过程看起来像“应用程序修补”。 接下来，恶意软件联系其命令和控制 （C2） 服务器，该服务器位于一个命名为“apple-health[.] ”的站点上来获取一个 base64 编码的 Python 脚本，该脚本可以在被破坏的设备上运行任意命令。 研究人员发现，攻击者使用一种有趣的方法以正确的URL联系C2服务器：来自两个硬编码列表的单词和五个字母的随机序列作为三级域名。 通过使用这种方法，威胁参与者能够将其活动隐藏在流量中，并从 DNS 服务器下载伪装成 TXT 记录的 Python 脚本有效负载，这些负载将显示为正常请求。 来自 DNS 服务器的回复包含三条 TXT 记录，每条记录都是包含 Python 脚本的 AES 加密消息的 base64 编码片段。 隐藏在加密消息中的 Python 脚本负载 （Kaspersky） 这个初始 Python 脚本充当另一个 Python 脚本的下载器，该脚本提供后门访问、收集和传输有关受感染系统的信息，例如操作系统版本、目录列表、已安装的应用程序、CPU 类型和外部 IP 地址。 “tool”可执行文件还会修改“/Library/LaunchAgents/launched..plist”，以在系统重新启动之间为脚本建立持久性。 卡巴斯基指出，在他们的检查过程中，C2返回了后门脚本的升级版本，表明了持续的开发，但没有观察到命令执行，所以这可能还没有实现。 下载的脚本还包含两个函数，用于检查受感染的系统是否存在比特币钱包和 Exodus 钱包。如果找到，它会将它们替换为从“apple-analyzer[.]com.”下载的后门副本。 从受害者那里窃取的数据（卡巴斯基） 当他们的钱包应用程序意外提示重新输入他们的钱包详细信息并提供此信息时，用户不会产生怀疑，他们的钱包就会被清空。 卡巴斯基研究人员表示，尽管用盗版应用程序欺骗用户以传递恶意软件是一种常见的攻击途径，但最新的攻击活动表明，威胁行为者还可以想出新的方法（如将其隐藏在DNS服务器上的域TXT记录中）来传递有效载荷。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UQRlYMOE2kNhrU7F-6j56g 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，澳大利亚、美国和英国政府宣布对俄罗斯人 Aleksandr Gennadievich Ermakov 实施制裁。据悉，该男子被认为是 2022 年 Medibank 攻击事件的幕后黑手，也是 REvil 勒索软件组织的重要成员。 Medibank 是一家澳大利亚大型医疗保险提供商，在 2022 年 10 月遭到了严重的勒索软件攻击，最终导致公司运营和中断，部分业务受阻，经过内部网络安全调查，最终确认威胁攻击者盗取了大量客户的个人数据信息。 黑客盗取的数据中包括姓名、电子邮件地址、电话号码、实际地址、护照号码、医疗报销信息和医疗服务提供商的详细信息。安全事件发生一个月后，黑客陆陆续续泄露了约 1000 万人的被盗数据。 经过长时间调查，澳大利亚当局确认 Ermakov 为 Medibank 网络攻击和数据盗窃事件的责任人，并且将 Ermakov 与多个网上化名（GustaveDore、aiiis_ermak、blade_runner 和 JimJone）联系起来了，公布了此人的照片。随后，美国、英国与澳大利亚协调宣布对 Ermakov 实施制裁。 美国财政部副部长布赖恩-尼尔森（Brian E. Nelson）表示，具有俄罗斯背景的威胁攻击者持续以欧美关键基础设施企业为目标，窃取敏感数据信息，美国、澳大利亚和英国联合采取的制裁行动彰显了追究犯罪分子责任的决心。 业内对 Ermakov 的了解似乎并不多，仅有部分媒体曾报道过有人使用其的 “GustaveDore “化名在俄语 XSS 黑客论坛上发帖，并提供 PHP 开发服务。 提供各种服务的 GustaveDeore（来源：BleepingComputer） 值得一提的是，Medibank 安全事件发生后，当地媒体纷纷呢报道事件背后的黑手是一个名为“BlogXXX”的勒索软件团伙，该团伙也声称对Medibank 攻击负责进。（BlogXXX 被认为是 REvil 组织的短暂重启） 随着调查的深入，澳大利亚内政和网络安全部长证实，Ermakov 是 REvil 勒索软件团伙的成员，并指出虽然该名犯罪分子可能不关心制裁或想办法逃避制裁，但他的非法活动会感受到这些限制的影响。澳大利亚网络安全中心负责人 Abigail Bradshaw 进一步解释，虽然网络犯罪分子 Ermakov 都是匿名交易， 但经过制裁后，其攻击活动肯定会受到最大程度上的限制。   转自Freebuf，原文链接：https://www.freebuf.com/news/390471.html 封面来源于网络，如有侵权请联系删除

2023 年 12 月，名为 ScarCruft 的黑客组织精心策划了一场新的攻击活动，媒体组织和朝鲜事务的知名专家成为了这场活动的目标。 SentinelOne 研究人员 Aleksandar Milenkoski 和 Tom Hegel 在一份报告中表示：“ScarCruft 黑客组织一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。” 网络钓鱼电子邮件（韩语） 这个与朝鲜有联系的黑客组织，也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet，被评估为国家安全部 (MSS) 的一部分，与 Lazarus Group 和 Kimsuky 不同，后者是国家安全部 (MSS) 的一部分。 ScarCruft 黑客组织以政府和叛逃者为目标而闻名，利用鱼叉式网络钓鱼诱饵提供 RokRAT 和其他后门，最终目标是秘密收集情报以实现朝鲜的战略利益。 2023 年 8 月，ScarCruft 与 Lazarus 集团一起对俄罗斯导弹工程公司 NPO Mashinostroyeniya 进行的攻击有关，这被认为是一次“非常理想的战略间谍任务”，旨在使其有争议的导弹计划受益。 感染链 本周早些时候，朝鲜官方媒体报道称，该国已对其“水下核武器系统”进行了测试，以回应美国、韩国和日本的演习，并称这些演习对其国家安全构成威胁。 SentinelOne 观察到的最新攻击链针对朝鲜事务专家，冒充朝鲜研究所成员，敦促收件人打开包含演示材料的 ZIP 存档文件。 虽然存档中的 9 个文件中有 7 个是良性的，但其中两个是恶意 Windows 快捷方式 (LNK) 文件，反映了 Check Point 先前于 2023 年 5 月披露的用于分发 RokRAT 后门的多阶段感染序列。 诱饵文件 有证据表明，一些在 2023 年 12 月 13 日左右成为攻击目标的个人此前也曾在一个月前的 2023 年 11 月 16 日被挑选出来。 SentinelOne 表示，其调查还发现了恶意软件——两个 LNK 文件（“inteligence.lnk”和“news.lnk”）以及提供 RokRAT 的 shellcode 变体——据说这是黑客行动计划和测试过程的一部分。 虽然前一个快捷方式文件只是打开合法的记事本应用程序，但通过 news.lnk 执行的 shellcode 为 RokRAT 的部署铺平了道路，尽管这种感染过程尚未在野外观察到，这表明它可能用于未来的活动。 这一事态发展表明，国家背景的黑客组织正在积极调整其作案方式，可能是为了规避对其策略和技术公开披露的检测。 研究人员表示：“ScarCruft 仍然致力于获取战略情报，并可能打算深入了解非公开网络威胁情报和防御策略。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zlbizmZlCEeZMOTxH05OJw 封面来源于网络，如有侵权请联系删除

网络安全公司 Varonis 在微软产品中发现了 一个新漏洞，以及多种允许黑客获取用户密码哈希值的攻击方法。 该漏洞编号为 CVE-2023-35636，影响 Outlook 中的日历共享功能，评级为“重要”( CVSS 6.5 )。在它的帮助下，黑客可以向用户发送一封特制的信件，迫使 Outlook 连接到黑客控制的服务器，并向其发送 NTLM v2 哈希值以进行身份验证。 NTLM v2 是一种用于对远程服务器上的用户进行身份验证的协议。NTLM v2 用户的密码哈希对于黑客来说可能很有价值，因为他们可以发起暴力攻击并以明文形式获取密码，或者直接使用哈希进行身份验证。 2023年12月，Microsoft在计划外的安全更新中修复了CVE-2023-35636，但一些攻击方法仍可能允许黑客获取身份验证哈希。 因此，已确定的方法之一是使用开发人员经常使用的 Windows 性能分析器 (WPA) 实用程序。研究人员发现，与 WPA 相关的链接是使用特殊 URI 进行处理的，该 URI 尝试在 Internet 上使用 NTLM v2 进行身份验证，这会暴露 NTLM 哈希值。 此方法还涉及发送一封包含链接的电子邮件，该链接旨在将受害者重定向到黑客控制的站点上，从而触发恶意WPA负载。 另外两种方法使用标准 Windows 文件资源管理器。与 WPA 不同，WPA  不是默认的系统组件，主要仅供软件开发人员使用，文件资源管理器已深度集成到 Windows 中，并被绝大多数用户日常使用。这两种攻击选项都涉及黑客通过电子邮件、社交媒体或其他渠道向目标用户发送恶意链接。 “一旦受害者点击链接，黑客就可以获得哈希值，然后尝试离线破解用户的密码”，瓦罗尼斯解释道。“一旦哈希被破解并获得密码，黑客就可以使用它以用户身份登录组织。” 如上所述，CVE-2023-35636 已于 12 月修复，但其他问题仍然存在。建议企业安装最新的安全更新，并采取额外措施防范网络钓鱼攻击，以免成为犯罪分子的受害者。   转自安全客，原文链接：https://www.anquanke.com/post/id/292815 封面来源于网络，如有侵权请联系删除

周六，芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击，影响其位于瑞典的一个数据中心的云托管客户，据报道，此次攻击是由 Akira 勒索软件团伙发起的。 事件导致瑞典连锁影院 Filmstaden 和其他零售商的销售系统瘫痪。 Tietoevry 是一家芬兰 IT 服务公司，为企业提供托管服务和云托管。该公司在全球拥有约 24,000 名员工，2023 年收入为 31 亿美元。 Tietoevry 证实，勒索软件攻击发生在周五晚上到周六早上，影响了他们位于瑞典的一个数据中心。 Tietoevry 在一份新闻声明中解释道：“此次攻击仅限于我们瑞典数据中心的一部分，影响了 Tietoevry 为瑞典部分客户提供的服务。” “Tietoevry 立即隔离了受影响的平台，勒索软件攻击并未影响公司基础设施的其他部分。” 该公司表示，他们正在恢复基础设施和服务，但客户在服务器恢复上线时仍然受到影响。 勒索软件攻击对该公司的虚拟化和管理服务器进行了加密，这些服务器用于托管瑞典众多企业的网站或应用程序。瑞典最大的连锁影院 Filmstaden 受到此次攻击的影响，无法通过网站或移动应用程序在线购买电影票、零食、软饮料或糖果。 Filmstaden 网站上关于 IT 中断的警告消息，来源：BleepingComputer Filmstaden 的所有者、Odeon 影院集团的海伦娜·埃克伦德 (Helena Eklund) 告诉瑞典通讯社 TT：“我们正在调查所有可能性。” Filmstaden 的停电意味着只有已经买票的人才能在周六去电影院。 通常情况下，电影院观众是不允许自带饮料或零食的，但由于目前的情况，这一规定已被放弃。 这些问题影响到整个国家，还包括 Svenska Bio 的电影院，但那里的顾客可以通过瑞典的移动支付系统 Swish 进行支付。 其他受到攻击影响的公司包括折扣零售连锁店 Rusta、原材料供应商 Moelven 和农业供应商 Grangnården，后者在 IT 服务恢复之前被迫关闭商店。 这次中断还影响了 Tietoevry 的薪资和人力资源管理系统 Primula，该系统由瑞典政府、大学和学院使用。 该国受影响的大学和学院包括卡罗林斯卡学院、SLU、 West大学、斯德哥尔摩大学、隆德大学和马尔默大学。 攻击事件还影响了瑞典众多政府机构和市政当局，包括 Statens 服务中心、Vellinge 市、Bjuv 市和乌普萨拉县。 对于乌普萨拉县来说，IT 系统瘫痪的后果更为严重，事件影响了该地区的医疗保健系统。 Akira 勒索软件据称是攻击幕后黑手 BleepingComputer 获悉，Akira 勒索软件行动是对 Tietoevry 攻击的幕后黑手，此前不久，芬兰政府就该国公司正在遭受黑客攻击发出警告。 Akira 勒索软件行动于 2023 年 3 月启动，并迅速开始通过双重勒索攻击破坏全球企业网络。 芬兰国家网络安全中心 (NCSC) 本月透露 ，2023 年报告了 12 起 Akira 勒索软件攻击案件，其中大多数发生在今年年底。 芬兰 NCSC 警告说：“这些事件尤其与安全薄弱的 Cisco VPN 实施或其未修补的漏洞有关，恢复通常很困难。” 8 月，BleepingComputer 报道 Akira 勒索软件团伙破坏了不受多重身份验证保护的 Cisco VPN 帐户，以获取对内部公司网络的访问权限。 一旦攻击者破坏了网络，他们就会横向传播到其他设备，同时窃取公司数据。一旦所有数据被盗并获得管理权限，勒索软件组织就会对受害者网络上的文件进行加密。 思科警告说，客户应该在所有 VPN 帐户上配置 MFA，并将日志数据发送到远程系统日志服务器。 使用远程系统日志服务器，即使攻击者清除了思科路由器上的日志，在攻击事件后仍然可以访问日志进行分析。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/DuMqTCJXuXgjjeE4P10y6A? 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，Vans、Timberland、The North Face、Dickies 和 Supreme 等知名服饰和鞋类品牌背后的母公司 VF Corporation 表示，在 12 月份发生的勒索软件攻击事件中，超过 3500 万客户个人信息被威胁攻击者盗取了。 值得一提的是，VF Corporation 强调，受勒索软件攻击事件影响的消费者所属的社会安全号码、银行账户信息或支付卡信息没有被盗取，其系统中没有存储这些数据，而且迄今为止，VF 也尚未发现任何证据表明威胁攻击者获取了消费者的密码信息。 2023 年 12 月 15 日，VF Corporation 提交给美国证券交易委员会的文件中披露了勒索软件攻击事件，称威胁攻击者通过加密一些 IT 系统破坏了公司的业务运营，并窃取了公司的数据，其中主要包括消费者的个人数据。 由于此次攻击产生了巨大的影响，VF Corporation 公司被迫关闭了部分系统以控制攻击事件波及的范围，零售店的库存补充也中断，订单执行延迟，最终导致很多客户取消了订单，部分批发发货也延迟了。勒索软件事件发生后，VF Corporation 立刻组织了网络安全专家进行修复，很快就基本恢复了在此次事件中被加密的 IT 系统。 目前，VF Corporation 公司正与联邦执法部门和相关监管机构合作，调查此次攻击及其影响程度，但尚未通过其官方网站或社交媒体账户向客户通报消费者数据被盗事件。此外，VF Corporation 公司也没有披露此次数据泄露事件中受影响数据的性质，以及是否会对其员工、供应商、经销商和合作伙伴造成恶劣影响。 VF Corporation 公司是一家总部位于美国科罗拉多州的服装和鞋类公司，年收入达到 116 亿美元，雇佣了 35000 名员工，旗下拥有包括 Vans、Timberland、The North Face、Supreme、Dickies、Eastpak、Kipling、Napapijri、AND1、JanSport、Icebreaker、Altra Running 和 SmartWool 等在内的13 个全球知名品牌。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/390241.html 封面来源于网络，如有侵权请联系删除

在开源 TensorFlow 机器学习框架中发现的持续集成与持续交付（CI/CD）配置错误，可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架，于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛用于自动化工作任务和开发新系统，其在分布式训练支持、可扩展的生产和部署选项、多种设备（比如安卓）支持方面备受好评。 Praetorian 的研究员 Adnan Khan 和 John Stawinski 在本周发布的一份报告中表示，这些配置错误可能被黑客利用来“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏”。 通过利用这些漏洞，黑客可将恶意版本上传到 GitHub 仓库，并获得自托管 GitHub 运行器（runner）上的远程代码执行权限，甚至检索 tensorflow-jenkins 用户的 GitHub 个人访问令牌（PAT）。 TensorFlow 使用 GitHub Actions 自动化软件构建、测试和部署流程。运行器指的是执行 GitHub Actions 工作流中任务的机器，可以自托管，也可以由 GitHub 托管。 GitHub 在其文档中写道，“建议用户仅在私有仓库中使用自托管运行器，因为公共仓库的分支可能通过创建执行危险代码的工作流拉取请求，在您的自托管运行器机器上运行潜在危险的代码。” 换言之，这允许任何贡献者通过提交恶意拉取请求，在自托管运行器上执行任意代码。 然而，这并不会对 GitHub 托管的运行器构成任何安全问题，因为每个运行器都是短暂的，并且是一个干净、隔离的虚拟机，在任务执行结束后就会被销毁。 Praetorian 表示，它能够识别在自托管运行器上执行的 TensorFlow 工作流，随后发现以前的贡献者提交的分支拉取请求自动触发了相应的 CI/CD 工作流，且无需批准。 因此，一个想要对目标仓库进行木马化的黑客是这样操作的，他会修正一个拼写错误或进行一个小但合法的代码更改，为此创建一个拉取请求，然后等待拉取请求被合并，以成为一个贡献者。这将使他们能够在创建恶意拉取请求时执行代码，而不会引起任何警告。 对工作流日志的进一步检查表明，自托管运行器不仅是非短暂性的（从而为持久性打开了大门），而且与工作流相关的 GITHUB_TOKEN 也附带了广泛的写入权限。 研究人员指出“因为 GITHUB_TOKEN 拥有 contents:write 权限，它可以上传版本到 https://github[.]com/tensorflow/tensorflow/releases/，黑客如果破坏这些 GITHUB_TOKEN，就可以在发布资产中添加他们自己的文件。” 最重要的是， contents:write 权限可以武器化，通过直接向 TensorFlow 仓库推送代码，秘密地将恶意代码注入到一个特性分支，并将其合并到主分支。 不仅如此，黑客还可以窃取发布工作流中使用的 AWS_PYPI_ACCOUNT_TOKEN，以向 Python 包索引（PyPI）注册表进行身份验证，并上传恶意 Python .whl 文件，以便有效地污染包。 研究人员说，“黑客还可以利用 GITHUB_TOKEN 的权限来危及 JENKINS_TOKEN 仓库密钥，尽管这个密钥并未在自托管运行器上运行的工作流中使用。” 在 2023 年 8 月 1 日进行了负责任的披露后，项目维护人员于 2023 年 12 月 20 日解决了这些漏洞，要求批准从所有 fork pull 请求提交的工作流，包括以前的贡献者提交的工作流，并将在自托管运行器上运行的工作流的 GITHUB_TOKEN 权限更改为只读。 “随着越来越多的组织自动化他们的 CI/CD 流程，类似的 CI/CD 攻击正在增加。”研究人员说道，“AI/ML 公司尤其脆弱，因为他们的许多工作流需要大量的计算能力，而 GitHub 托管的运行器是无法提供的，因此自托管运行器很普遍。” 两位研究人员都透露，几个公共 GitHub 存储库，包括与 Chia Networks，Microsoft DeepSpeed 和 PyTorch 相关的存储库，容易受到通过自托管 GitHub Actions 运行器进行恶意代码注入的影响。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/390133.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在周四将一个已经修复的关键漏洞添加到其已知被利用漏洞（KEV）目录中，该漏洞影响了 Ivanti Endpoint Manager Mobile（EPMM）和 MobileIron Core ，并正在被广泛利用。 有问题的漏洞是 CVE-2023-35082（CVSS 分数：9.8），这是一个身份验证绕过漏洞，是对同一解决方案中另一个漏洞 CVE-2023-35078（CVSS 分数：10.0）的修补绕过。 Ivanti 在 2023 年 8 月指出：“如果此漏洞被利用，未经授权的远程（面向互联网）黑客能够潜在地访问用户的个人身份信息，并对服务器进行有限的更改。” 漏洞影响到所有版本的 Ivanti Endpoint Manager Mobile（EPMM），包括 11.10、11.9 和 11.8，还有 MobileIron Core 的 11.7 及以下版本。 发现并报告该漏洞的网络安全公司 Rapid7 表示，它可以与 CVE-2023-35081 链接，以允许黑客将恶意 Web Shell 文件写入设备。 目前还没有关于该漏洞如何在实际攻击中被武器化的详细信息。建议联邦机构在 2024 年 2 月 8 日之前应用供应商提供的修复程序。 Ivanti Connect Secure （ICS）虚拟专用网络（VPN）设备中的另外两个零日漏洞（CVE-2023-46805 和 CVE-2024-21887）也遭到大规模利用， 用于投放 Web Shell 和设置被动后门，该公司预计将在下周发布更新。 Ivanti 在一份咨询中表示：“我们已经观察到黑客瞄准系统的配置和运行缓存，其中包含对 VPN 操作至关重要的秘密。” “虽然我们没有在每个实例中观察到这种情况，但出于谨慎起见，Ivanti 建议您在重建后更换这些秘密。” 本周早些时候，Volexity 透露已经能够找到全球 1,700 多种设备遭到入侵的证据。虽然最初的攻击与一名疑似中国黑客（代号 UTA0178）有关，但后来还有其他黑客加入了攻击行列。 Assetnote 对这两个相关漏洞进行了深入的逆向工程分析，发现了一个额外的端点（”/api/v1/totp/user-backup-code”），通过该端点，身份验证绕过漏洞（CVE-2023-46805）可在旧版本的 ICS 上被滥用并获得反向 shell。 安全研究人员 Shubham Shah 和 Dylan Pindur 将其描述为“由于相对简单的安全错误而导致安全 VPN 设备暴露于大规模利用的另一个例子”。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Rapid SCADA 开源工业自动化平台受到多个漏洞的影响，这些漏洞可能允许黑客访问敏感的工业系统，但这些漏洞仍未修补。 美国网络安全机构 CISA 上周发布了一份公告，向工业组织通报 Claroty 研究人员在 Rapid SCADA 中发现的 7 个漏洞。 Rapid SCADA 被宣传为开发监控和控制系统的理想选择，特别是工业自动化和 IIoT 系统、能源核算系统和过程控制系统。 该产品受到 7 种类型的漏洞影响，根据 CISA 的通报，这些漏洞可用于读取敏感文件、远程执行任意代码、通过网络钓鱼攻击访问敏感系统、提升权限、获取管理员密码以及访问与应用程序内部代码相关的敏感数据。 其中一个漏洞被归类为“严重”，另外两个漏洞被归类为“高严重性”，尽管开发人员已于 2023 年 7 月上旬收到通知，但截至目前尚未发布相应的补丁。 CISA 和 Claroty 表示，他们试图与 Rapid SCADA 的开发人员联系，但未能成功。该开发商还未回应《SecurityWeek》的置评请求。 Claroty 的漏洞研究员 Noam Moshe 告诉《SecurityWeek》，由于其免费和开源的特性，Rapid SCADA 已在现代运营技术（OT）生态系统的许多不同领域得到广泛应用，对于中小型公司来说是一个不错的选择。 Moshe 指出，未经身份验证的黑客可以利用其中一些漏洞进行远程代码执行，并且有几十个可直接从互联网访问的 Rapid SCADA 实例，使组织容易受到攻击。 研究人员解释说：“我们发现的漏洞使黑客能够快速在 SCADA 服务器上实现远程代码执行，这意味着黑客可以完全控制这些服务器。” “成功利用漏洞后，黑客可以修改Rapid SCADA 服务器控制的服务行为，并在受害者网络内进行横向移动等操作。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292767 封面来源于网络，如有侵权请联系删除

Tianocore EDK II 中的 9 个漏洞为黑客提供了完全的恶意行动自由。 法国公司 Quarkslab 的研究人员在 Tianocore EDK II （ UEFI规范的开放实现）中发现了许多严重漏洞，可利用这些漏洞进行远程代码执行。 9 个漏洞统称为 PixieFAIL，可导致拒绝服务、信息泄露、远程代码执行、DNS 缓存中毒和网络会话劫持。它们是在检查 NetworkPkg 时发现的，该 NetworkPkg 提供用于网络配置的驱动程序和应用程序。 该漏洞模块被许多制造商使用，包括微软、ARM、Insyde、Phoenix Technologies 和 AMI。Quarkslab 的 CTO 还确认了 Microsoft 的 Tianocore EDK II 改编项目 Project Mu 中存在易受攻击的代码。 这九个漏洞在以下 CVE 标识符下进行了描述： CVE-2023-45229：处理 DHCPv6 Advertise 消息中 IA_NA/IA_TA 选项时存在整数缺陷； CVE-2023-45230：由于长服务器 ID 选项导致 DHCPv6 客户端出现缓冲区溢出； CVE-2023-45231：处理 ND 重定向消息中的截断选项时出现越界读取； CVE-2023-45232：解析 Destination Options 标头中的未知选项时出现无限循环； CVE-2023-45233：解析 Destination Options 标头中的 PadN 选项时出现无限循环； CVE-2023-45234：处理 DHCPv6 通告消息中的 DNS 服务器时出现缓冲区溢出； CVE-2023-45235：处理 DHCPv6 代理广告消息中的服务器 ID 参数时缓冲区溢出； CVE-2023-45236：可预测的 TCP 起始序列号； CVE-2023-45237：使用弱伪随机数生成器。 Quarkslab 发布了一个 PoC 漏洞来演示前七个漏洞，允许防御者创建签名来检测感染尝试。 CERT-CC 协调中心发布了一份通知，列出了受影响和潜在易受攻击的制造商，以及实施补丁和保护措施的建议。中心代表确认 Insyde、AMI、Intel 和 Phoenix Technologies 受到影响，但其漏洞的具体状态仍不清楚。   转自安全客，原文链接：https://www.anquanke.com/post/id/292722 封面来源于网络，如有侵权请联系删除