HackerNews 编译，转载请注明出处： 阿姆斯特丹自由大学（Vrije Universiteit Amsterdam）的学术研究人员证实，在现实场景中，可利用 CPU 瞬时执行漏洞（transient execution CPU vulnerabilities）从公共云服务上运行的虚拟机（VM）中窃取内存数据。 研究表明，2018 年 1 月披露的英特尔处理器漏洞L1 终端故障（L1TF，又称 Foreshadow），以及被认为无法在新一代 CPU 上利用的 “半幽灵”（half-Spectre）漏洞组件（此前认为其无法直接泄露机密数据），二者结合后可用于从公共云环境中窃取数据。 上个月，这些研究人员发布了名为 “L1TF Reloaded” 的漏洞报告（PDF 文档）。该漏洞通过结合 L1TF 与 “半幽灵” 技术，绕过了当前广泛部署的软件防护措施，成功从谷歌云（Google Cloud）的虚拟机监控程序（hypervisor）及同一物理机上的其他租户（co-tenant）系统中窃取敏感数据。 研究人员指出：“我们基于一种新颖的‘指针追踪’技术（通过主机与客户机进行指针遍历），获取了在软件中手动执行‘二维页表遍历’所需的全部信息；借助这一能力，我们可将客户机的任意虚拟地址转换为主机物理地址，进而通过 L1TF 漏洞窃取受害者内存中的任意字节数据。” 漏洞背景与影响 L1TF 漏洞于 2018 年披露，披露当天恰逢臭名昭著的 “Spectre（幽灵）” 与 “Meltdown（熔断）” 漏洞公开。这三类漏洞的最终危害一致：攻击者可获取 CPU 在执行指令时意外访问、且已缓存到内存中的机密数据。 研究人员表示，尽管这类漏洞以往的现实影响有限（因攻击者需具备 “远程代码执行” 能力，才能触发 CPU 中的相关指令），但 “L1TF Reloaded” 的测试结果表明，公共云服务商面临的这类攻击具有实际可行性 —— 本质上，公共云服务商向客户提供的 “云服务”，相当于 “远程代码执行即服务”（remote code execution as a service）。 在云环境中，客户的虚拟化系统虽运行在同一硬件上，但彼此应被视为 “不可信对象”，因此需要针对 “Spectre” 等瞬时执行漏洞部署所有合理的防护措施。 攻击测试与结果 研究人员在谷歌云的 “单租户节点”（sole-tenant node，指仅分配给单个客户使用的物理服务器）上开展测试，结果显示：在 “高干扰环境”（noisy conditions）下，即便对主机或客户机的细节一无所知，仍能窃取目标虚拟机中 Nginx 服务器的 TLS 密钥，平均耗时 14.2 小时。 此次攻击的核心逻辑是：针对 Linux 系统 KVM（基于内核的虚拟机）子系统中的 “半幽灵” 漏洞组件，通过 “推测执行”（speculative execution）将内存中的数据加载到 L1 缓存中，随后利用 L1TF 漏洞从 L1 缓存中窃取这些机密数据。 具体而言，攻击者可从恶意虚拟机出发，实现三层数据窃取： 从主机操作系统（host OS）中窃取数据，识别该物理机上运行的其他虚拟机； 从目标客户机操作系统（guest OS）中窃取数据，了解目标虚拟机上正在运行的进程； 最终从目标虚拟机的 Nginx 服务器中窃取私有 TLS 密钥。 研究人员还在亚马逊云（AWS）上进行了相同攻击测试，但由于 AWS 部署了深度防御机制，最终仅能窃取非敏感的主机数据，无法获取核心敏感信息。 奖励与防护建议 谷歌为研究人员提供了测试所需的 “单租户节点”，并向其颁发了 151,515 美元奖金 —— 这是谷歌云漏洞奖励计划（Google Cloud VRP）的最高级别奖励，谷歌方面同时指出，这也是该计划首次发放此级别奖金。 研究人员强调：“我们的攻击表明，若仅针对单个瞬时执行漏洞进行孤立防护，效果十分有限 —— 攻击者可通过组合利用多个漏洞，不仅能绕过现有防御措施，还能构建更具破坏力的攻击原语（attack primitives）。而以下防护措施可有效阻止此类攻击：AWS 已部署的‘跨页表防护（XPFO）’与‘进程本地内存’机制，以及业内提议的‘地址空间隔离’或‘无机密数据虚拟机监控程序’方案。”   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

硬件制造商联发科、HPE 和戴尔周一发布公告，告知客户其产品中发现并修补的潜在严重漏洞。 半导体公司联发科宣布修补十几个漏洞，其中包括数十个芯片组的调制解调器组件中一个严重漏洞，该漏洞可能导致远程代码执行 (RCE)。 该问题被标记为 CVE-2024-20154，是一种越界写入漏洞，当设备连接到攻击者控制的恶意基站时，无需用户交互即可利用该漏洞。 联发科的建议还详细介绍了七个高严重性漏洞，这些漏洞可能会导致本地权限提升，如果攻击者靠近易受攻击的设备，则会导致 RCE。 Dell发布了针对其更新包 (DUP) 框架中高严重性缺陷的补丁，该漏洞编号为 CVE-2025-22395，并被描述为本地特权升级问题，该问题可能导致任意脚本的执行，从而导致拒绝服务 (DoS) 情况。DUP 框架版本 22.01.02 解决了此漏洞。 此外，该科技公司还发布了针对受 CVE-2024-52316 影响的多种产品的修复程序，CVE-2024-52316 是 2024 年 11 月披露的 Apache Tomcat 漏洞，可能导致身份验证绕过。 HPE 宣布修复其运行 Brocade Fabric OS (FOS) 的 SAN 交换机中使用的第三方组件中的多个缺陷，包括可能导致权限提升、远程命令执行、身份验证绕过、DoS 和任意文件创建或删除的高中严重性漏洞。 该公司的建议中提到了十个安全缺陷：两个于 2022 年公开披露，四个于 2023 年披露，四个于 2024 年发现。所有漏洞均已在 HPE B 系列产品的 FOS 固件 9.2.2、9.2.1a1 和 9.2.0c 版本中修复。 尽管没有任何供应商提及这些漏洞被利用进行攻击，但建议用户尽快应用这些补丁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/wYpP3IxCHbWsHTQuZPPFwQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 有关Dynamics 365和Power Apps Web API中三个已修复安全漏洞的详情已公布，这些漏洞存在数据泄露风险。 这些漏洞由墨尔本网络安全公司Stratus Security发现，并于2024年5月得到修复。其中两个漏洞位于Power Platform的OData Web API Filter中，第三个则涉及FetchXML API。 首个漏洞源于OData Web API Filter缺乏访问控制，使得攻击者可访问包含敏感信息的联系人表，如全名、电话号码、地址、财务数据及密码哈希。 攻击者可利用此漏洞进行布尔搜索，通过逐个猜测哈希字符来提取完整哈希，直至找到正确值。 “例如，我们先发送startswith(adx_identity_passwordhash, ‘a’)，再发送startswith(adx_identity_passwordhash, ‘aa’)，接着是startswith(adx_identity_passwordhash, ‘ab’)，依此类推，直至返回以’ab’开头的结果，”Stratus Security指出。 “继续此过程，直至查询返回以’ab’开头的有效结果。当无更多字符返回有效结果时，即表示我们已获取完整值。” 至于微软Dynamics 365和Power Apps Web API的第二个漏洞，则在于利用同一API中的orderby子句从必要数据库表列（如联系人的主要电子邮件地址EMailAddress1）获取数据。 此外，Stratus Security还发现，FetchXML API可与联系人表结合使用，通过orderby查询访问受限列。“使用FetchXML API时，攻击者可针对任意列构建orderby查询，完全绕过现有访问控制，”该公司表示，“与先前漏洞不同，此方法无需orderby以降序排列，为攻击增添了灵活性。” 因此，利用这些漏洞的攻击者可编制密码哈希和电子邮件列表，进而破解密码或出售数据。 “Dynamics 365和Power Apps API中的漏洞再次提醒我们：网络安全需持续警惕，尤其是像微软这样掌握大量数据的大公司，”Stratus Security强调。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软的2024年10月补丁周二交付了一系列重要的安全更新，解决了其生态系统中的121个漏洞。这包括三个关键漏洞和114个标记为重要的漏洞，跨越了微软的服务和软件的广泛。 遭受攻击的零日漏洞 本月的补丁包括修复两个已经在野外发现的被积极利用的零日漏洞。其中最令人担忧的漏洞之一是CVE-2024-43573，这是一个Windows MSHTML 平台中的欺骗漏洞。MSHTML，虽然经常与现已退役的Internet Explorer相关联，但仍然会影响遗留系统。虽然微软没有分享详细的利用细节，美国网络安全和基础设施安全局（CISA）已经标记了这个漏洞，敦促用户在2024年10月29日之前修补它。 另一个零日，CVE-2024-43572，是微软管理控制台（MMC）中的远程代码执行（RCE）漏洞。MMC是系统管理员广泛使用的工具，使得此漏洞在企业环境中具有高度的危险性。利用漏洞可以让攻击者获得对Windows系统的未经授权控制权，进一步突出了快速打补丁的重要性。 另外三个公开披露但在攻击中未被利用的零日漏洞是: CVE-2024-43583:Winlogon特权漏洞的提升。攻击者可能利用此漏洞获得对操作系统的SYSTEM级访问权限。 CVE-2024-6197:开源Curl远程代码执行漏洞。成功利用此漏洞需要客户端连接到恶意服务器，这可能允许攻击者在客户端上获得代码执行。 CVE-2024-20659 – Windows Hyper-V安全特性绕过漏洞。攻击者必须先获得对受限网络的访问权限，然后再执行攻击。成功利用此漏洞可能允许攻击者破坏虚拟机管理器和内核。 关键漏洞 除了零天，微软已经解决了三个关键的漏洞，可以允许远程代码执行或特权升级，如果不打补丁。 CVE-2024-43468（CVSS 9.8）：微软配置管理器（ConfigMgr）远程代码执行漏洞。未经身份验证的攻击者可能利用此漏洞在服务器或数据库上执行命令。 CVE-2024-43582:远程桌面协议（RDP）服务器中的一个严重缺陷可能允许攻击者发送恶意数据包，导致在具有与RPC服务相同权限的服务器上执行远程代码。 CVE-2024-43488: Visual Studio Code的Arduino扩展存在一个远程代码执行漏洞，使得攻击者能够绕过关键的身份验证检查。利用此漏洞可以在Arduino扩展中远程执行代码，从而危及用户的开发环境。 Windows核心组件中的漏洞 本月修复的几个漏洞针对的是系统安全不可或缺的关键Windows组件: CVE-2024-43502:一个Windows内核特权提升漏洞，可能允许攻击者在受影响的系统上获得最高级别的访问权限。 CVE-2024-43560:另一个影响Windows存储端口驱动程序的权限升级问题，提供了潜在的SYSTEM级访问。 微软Office和OpenSSH漏洞 10月的更新还解决了Microsoft Office和OpenSSH for Windows中的显著漏洞： UTE-2024-43609：Microsoft Office中的欺骗漏洞可能会在基于Web的攻击中被利用。攻击者可能会在网站上托管恶意文件，或诱骗用户通过电子邮件打开该文件，从而导致潜在的严重后果。 CVE-2024-43581和CVE－2024－43615号文件所列的Microsoft的OpenSSH for Windows的实现中的这些漏洞都是至关重要的，允许远程代码执行时被利用。使用OpenSSH的Windows服务器的管理员应优先考虑这些补丁。 从Windows打印假脱机程序组件到Visual Studio和远程桌面服务，本月的修补程序针对的漏洞几乎跨越微软的每一个主要产品。这包括欺骗、拒绝服务、特权提升和远程代码执行缺陷。值得注意的是，本月早些时候，微软解决了Microsoft Edge（基于铬）中的三个漏洞。 CISA 已将本月修补的零日漏洞 CVE-2024-43573 和 CVE-2024-43572 纳入其已知被利用漏洞目录，强调了立即修补的重要性。CISA建议用户在2024年10月29日之前修补所有零日漏洞和关键漏洞，以避免成为主动的受害者。     转自安全客，原文链接：https://www.anquanke.com/post/id/300639 封面来源于网络，如有侵权请联系删除

近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞，该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261，CVSS v3 得分为 9.8，是一个输入验证故障，由用户提供的数据处理不当引起，允许远程攻击者在主机操作系统上执行任意命令。 Zyxel 警告称某些 AP 和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。 受 CVE-2024-7261 影响的 Zyxel 接入点 (AP) 如下： NWA 系列： NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻击，请升级至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻击，请升级至 6.70(ABVT.5) 及更高版本。 WAC 系列： WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻击，请升级至 6.28(AAXH.3) 及更高版本。 WAX 系列： WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACHF.2) 及更高版本。 WBE 系列： WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACLE.2) 及更高版本。 Zyxel 表示，运行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影响，但该型号已通过云自动更新到 V2.00(ACIP.3)，其中实施了 CVE-2024-7261 的修补程序。 更多 Zyxel 修复 Zyxel 还针对 APT 和 USG FLEX 防火墙中的多个高严重性缺陷发布了安全更新。摘要如下： CVE-2024-6343：CGI 程序中的缓冲区溢出可能导致通过身份验证的管理员发送伪造的 HTTP 请求，从而导致 DoS。 CVE-2024-7203：验证后命令注入允许通过伪造的 CLI 命令执行操作系统命令。 CVE-2024-42057：在 IPSec VPN 中的指令注入，允許未認證的攻擊者在「使用者為本-PSK」模式下，利用偽造的長使用者名稱執行作業系統指令。 CVE-2024-42058：取消引用空指针可通过未认证攻击者发送的伪造数据包导致 DoS。 CVE-2024-42059：身份验证后命令注入允许身份验证的管理员通过 FTP 上传伪造的压缩语言文件执行操作系统命令。 CVE-2024-42060： 認證後指令注入漏洞，令已認證的管理員可透過上載精心製作的內部使用者協議檔案，執行作業系統指令。 CVE-2024-42061：dynamic_script.cgi “中的反射 XSS 允许攻击者诱骗用户访问伪造的 URL，从而可能泄漏基于浏览器的信息。 上述漏洞中 CVE-2024-42057 值得特别关注 ，它是 IPSec VPN 功能中的命令注入漏洞，无需验证即可被远程利用。 利用漏洞所需的特定配置要求会降低其严重性，包括在基于用户的 PSK 身份验证模式下配置设备，以及用户的用户用户名长度超过 28 个字符。 有关其他受影响的防火墙更多详细信息，可具体查看 Zyxel 公告。   转自Freebuf，原文链接：https://www.freebuf.com/news/410154.html 封面来源于网络，如有侵权请联系删除。

微软周二警告客户修补一个严重的 TCP/IP 远程代码执行 (RCE) 漏洞，该漏洞被利用的可能性较高，会影响所有使用 IPv6（默认情况下启用）的 Windows 系统。 该安全漏洞由昆仑实验室的 xiaowei 发现，编号为CVE-2024-38063 ，是由整数下溢漏洞引起的，攻击者可以利用该漏洞触发缓冲区溢出，从而可用于在易受攻击的 Windows 10、Windows 11 和 Windows Server 系统上执行任意代码。 该安全研究员在推特上表示：“考虑到其危害，我不会在短期内透露更多细节”，并补充道，在本地 Windows 防火墙上阻止 IPv6 不会阻止漏洞利用，因为该漏洞在被防火墙处理之前就被触发。 正如微软在周二补丁日公告中所解释的那样，未经身份验证的攻击者可以通过反复发送包含特制数据包的 IPv6 数据包，在低复杂度攻击中远程利用此漏洞。 微软还分享了对此严重漏洞的可利用性评估，并为其贴上“更有可能被利用”的标签，这意味着攻击者可以创建漏洞代码来“在攻击中持续利用该漏洞”。 鉴于该漏洞的高风险，微软建议用户优先修补。对于那些无法立即安装本周 Windows 安全更新的用户，作为一种缓解措施，微软建议禁用 IPv6 以消除攻击面。 微软同时表示 IPv6 网络协议栈是“Windows Vista 和 Windows Server 2008 及更新版本的强制性部分”，并且不建议关闭 IPv6 或其组件，因为这可能会导致某些 Windows 组件停止工作。 可蠕虫漏洞 趋势科技Zero Day 团队表示，将 CVE-2024-38063 漏洞列为微软本周补丁日修复的最严重漏洞之一，并将其标记为可感染蠕虫的漏洞。 “最糟糕的情况可能是 TCP/IP 中的漏洞，它允许远程、未经身份验证的攻击者通过向受影响的目标发送特制的 IPv6 数据包来获得提升的代码执行能力。”趋势科技说。 “这意味着它是可感染蠕虫的。可以禁用 IPv6 来防止此漏洞，但几乎所有程序都默认启用 IPv6。” 虽然微软和其他公司警告 Windows 用户尽快修补其系统以阻止使用 CVE-2024-38063 漏洞的潜在攻击，但这并不是第一个并且可能不会是最后一个利用 IPv6 数据包进行攻击的 Windows 漏洞。 在过去四年中，微软修补了多个其他 IPv6 问题，包括两个被追踪为CVE-2020-16898 / 9  （也称为 Ping of Death）的 TCP/IP 漏洞，这些漏洞可被利用于远程代码执行 (RCE) 和使用恶意 ICMPv6 路由器通告数据包的拒绝服务 (DoS) 攻击。 此外，IPv6 碎片错误 ( CVE-2021-24086 ) 导致所有 Windows 版本都容易受到 DoS 攻击，而 DHCPv6 缺陷 ( CVE-2023-28231 ) 使得通过特制的调用获得 RCE 成为可能。 尽管攻击者尚未利用它们针对所有支持 IPv6 的 Windows 设备进行大规模攻击，但由于 CVE-2024-38063 被利用的可能性增加，建议用户立即应用本月 Windows 安全更新。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VsfLU1n53a9PaVlx9wz_SA 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 8 月补丁日，本次升级针对 89 个漏洞的安全更新，其中包括六个被积极利用的漏洞和三个公开披露的0day漏洞。微软仍在努力为第十个公开披露的0day漏洞开发补丁。 本次补丁日修复了八个严重漏洞，这些漏洞涉及权限提升、远程代码执行和信息泄露。 各个漏洞类别的漏洞数量如下： 36 个特权提升漏洞 4 个安全功能绕过漏洞 28 个远程代码执行漏洞 8 个信息泄露漏洞 6 个拒绝服务漏洞 7 个欺骗漏洞 上面列出的漏洞数量并不包括本月早些时候披露的 Microsoft Edge 漏洞。 本月补丁日修复了六个被积极利用的0day漏洞和另外三个公开披露的0day漏洞。目前，另一个公开披露的0day漏洞仍未修复，但微软正在开发更新。 以下是六个新修补的0day漏洞： CVE-2024-38178— Windows 脚本引擎中的内存损坏漏洞允许远程代码执行攻击，如果经过身份验证的客户端被诱骗点击链接，未经身份验证的攻击者便可发起远程代码执行。据 Microsoft 称，要成功利用此漏洞，攻击者需要先准备目标，使其在 Internet Explorer 模式下使用 Edge。CVSS 7.5/10。 Ahn 实验室和韩国国家网络安全中心报告了这一0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。 CVE-2024-38189— Microsoft Project 中存在一个远程代码执行漏洞，攻击者可通过恶意操纵的 Microsoft Office Project 文件利用此漏洞，在禁用“通过 Internet 策略阻止宏在 Office 文件中运行”且未启用“VBA 宏通知设置”的系统上执行远程代码执行。CVSS 8.8/10。 微软表示，攻击者需要诱骗用户打开恶意文件，例如通过网络钓鱼攻击或引诱用户访问托管该文件的网站。 CVE-2024-38107 — Windows 电源依赖性协调器中的权限提升漏洞被评为“重要”，CVSS 严重性评分为 7.8/10。“成功利用此漏洞的攻击者可以获得系统权限.”微软表示，但没有提供任何 IOC 或其他漏洞利用遥测数据。 CVE-2024-38106 – 已检测到针对此 Windows 内核特权提升漏洞的攻击，该漏洞的 CVSS 严重性评分为 7.0/10。“成功利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞的攻击者可以获得系统权限。”此0day漏洞已匿名报告给 Microsoft。 CVE-2024-38213— 微软将其描述为 Windows Mark of the Web 安全功能绕过，在主动攻击中被利用。“成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。” CVE-2024-38193– Windows 辅助功能驱动程序中 WinSock 的权限提升安全缺陷正在被广泛利用。目前尚不清楚技术细节和 IOC。成功利用此漏洞的攻击者可以获得系统权限。 微软还敦促 Windows 系统管理员紧急关注一批严重漏洞，这些问题使用户面临远程代码执行、权限提升、跨站点脚本和安全功能绕过攻击。 其中包括Windows 可靠多播传输驱动程序(RMCAST)中的一个主要缺陷，该漏洞会带来远程代码执行风险 (CVSS 9.8/10)；Windows TCP/IP 远程代码执行严重缺陷，CVSS 严重性评分为 9.8/10；Windows 网络虚拟化中两个独立的远程代码执行问题；以及Azure Health Bot中的信息泄露漏洞(CVSS 9.1)。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p6babzoONUHIA413JpVQyA 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员在 Amazon Web Services （AWS） 产品中发现了多个严重漏洞，如果成功利用这些漏洞，可能会导致严重后果。 根据云安全公司Aqua在与The Hacker News分享的一份详细报告，这些漏洞的影响范围包括远程代码执行（RCE）、全方位服务用户接管（可能提供强大的管理访问权限）、操纵人工智能模块、暴露敏感数据、数据泄露和拒绝服务攻击。 其中，研究人员发现最核心的问题是一种被称为“桶垄断（Bucket Monopoly）的影子资源攻击载体，能在使用 CloudFormation、Glue、EMR、SageMaker、ServiceCatalog 和 CodeStar 等服务时自动创建 AWS S3 存储桶。 由于以该方式创建的 S3 存储桶名称具有唯一性，又遵循预定义的命名规则，攻击者可利用此行为在未使用的 AWS 区域中设置存储桶，并等待合法的 AWS 客户使用上述易受攻击的服务之一来秘密访问 S3 存储桶的内容。 根据攻击者控制的S3存储桶权限，该攻击方法可用于升级以触发 DoS 条件，或执行代码、操纵或窃取数据，甚至在受害者不知情的情况下完全控制其账户。 不过，攻击者必须等到受害者首次在新区域部署新的 CloudFormation 堆栈才能成功发起攻击。而修改 S3 存储桶中的 CloudFormation 模板文件以创建恶意管理员用户还取决于受害者账户是否具有管理 IAM 角色的权限。 Aqua 表示，这种攻击方式不仅影响 AWS 服务，还影响企业组织在AWS 环境中部署的许多开源项目。Aqua还发现其他五项 AWS 服务依赖于类似的 S3 存储桶命名方法，从而容易遭受影子资源攻击： AWS Glue: aws-glue-assets-{Account-ID}-{Region} AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region} AWS SageMaker: sagemaker-{Region}-{Account-ID} AWS CodeStar: aws-codestar-{Region}-{Account-ID} AWS Service Catalog: cf-templates-{Hash}-{Region} 这些漏洞于2024年2月首次得到披露，亚马逊在3月—6月期间对这些漏洞进行了修复，相关研究成果已在近期举行的2024美国黑帽大会上进行了公布。   转自Freebuf，原文链接：https://www.freebuf.com/news/408363.html 封面来源于网络，如有侵权请联系删除