BleepingComputer网站消息，近日，卡巴斯基发布了一款名为 KVRT 的新型病毒清除工具，允许 Linux 平台用户免费扫描系统并清除恶意软件和其他已知威胁。 该安全公司指出，人们普遍认为 Linux 系统本质上是安全的，不会受到威胁，但不断有 “野生 ”的例子证明并非如此，XZ Utils 后门就是其中之一。 卡巴斯基的新工具并不是实时威胁防护工具，而是一个独立的扫描器，可以检测恶意软件、广告软件、被滥用于恶意目的的合法程序以及其他已知威胁，并提供清理服务。 被删除或清除的恶意文件副本会以无害形式保存在隔离目录中。 该应用程序使用一个经常更新的反病毒数据库来扫描整个系统的匹配病毒，但用户每次都需要下载一个新的副本来获取最新的定义。 “我们的应用程序可以扫描系统内存、启动对象、引导扇区和操作系统中的所有文件，以查找已知的恶意软件。它可以扫描所有格式的文件，包括存档文件。”卡巴斯基说。 需要注意的是，KVRT 仅支持 64 位系统，并且需要激活互联网连接才能工作。 卡巴斯基已经在流行的 Linux 发行版上测试了该工具，并确认它可以在 Red Hat Enterprise Linux、CentOS、Linux Mint、Ubuntu、SUSE、openSUSE 和 Debian 等系统上运行。 卡巴斯基表示，即使发行版不在支持系统列表上，KVRT 也很有可能顺利运行，所以尝试运行一下扫描也无妨。 KVRT 主窗口 使用 KVRT KVRT 可从此处下载，下载后，用户需要将文件设为可执行文件，并以根用户身份运行，以获得最大功能。 KVRT 既可以在图形用户界面（GUI）上执行，也可以作为命令行工具在终端上执行。因此，它可以在较低的初始运行级别（低至 3 级）下使用（在这种情况下，人们可能会在感染恶意软件后陷入困境）。 如果普通用户执行扫描程序，它将不具备扫描所有可能隐藏威胁的目录和分区所需的权限。 在初始化过程中，扫描程序会将一些必要的文件解压缩到的临时目录中，但一旦关闭，这些文件就会被清除。 卡巴斯基在该网页上提供了如何通过图形用户界面和控制台设置二进制文件以执行的详细说明。 BleepingComputer 表示，他们没有测试过 KVRT 的有效性，也不能保证其安全性，因此使用该工具需要自行承担风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/402471.html 封面来源于网络，如有侵权请联系删除

据ESET 研究人员表示，自 2009 年以来，一个名为 “Ebury “的恶意软件僵尸网络已经感染了近 40 万台 Linux 服务器，截至 2023 年底，仍有约 10 万台服务器受到攻击。 以下是 ESET 自 2009 年以来记录的 Ebury 感染情况，可见随着时间的推移，感染量明显增长。 在近日发布的最新更新中，ESET报告称，最近的一次执法行动使他们得以深入了解恶意软件在过去15年中的活动。虽然 40万是一个庞大的数字，但这的确是近 15 年来的入侵数量。不过这些并非是在同一时间被入侵的。 ESET解释说：在其他服务器被清理或退役的同时，不断有新的服务器被入侵。研究所掌握的数据并不能说明攻击者何时失去了对系统的访问权限，因此很难知道僵尸网络在任何特定时间点的规模。 Ebury 的最新策略 最近的 Ebury 攻击表明，操作者倾向于入侵托管提供商，并对租用被入侵提供商虚拟服务器的客户实施供应链攻击。 最初的入侵是通过凭证填充攻击进行的，使用窃取的凭证登录服务器。一旦服务器被入侵，恶意软件就会从 wtmp 和 known_hosts 文件中渗出入站/出站 SSH 连接列表，并窃取 SSH 身份验证密钥，然后利用这些密钥尝试登录其他系统。 ESET 的详细报告中写道：当 known_hosts 文件包含散列信息时，作案者会尝试对其内容进行暴力破解。 在 Ebury 操作员收集的 480 万个 known_hosts 条目中，约有 200 万个条目对其主机名进行了散列。在这些散列主机名中，40%（约 80 万个）是猜测或暴力获取的。 另外，在可能的情况下，攻击者还可能利用服务器上运行的软件中已知的漏洞来获得进一步的访问权限或提升他们的权限。 托管提供商的基础设施（包括 OpenVZ 或容器主机）可用于在多个容器或虚拟环境中部署 Ebury。 在下一阶段，恶意软件操作员通过使用地址解析协议（ARP）欺骗拦截这些数据中心内目标服务器上的 SSH 流量，将流量重定向到其控制的服务器。 一旦用户通过 SSH 登录受攻击的服务器，Ebury 就会捕获登录凭证。 在服务器托管加密货币钱包的情况下，Ebury 会使用捕获的凭据自动清空钱包。据悉，2023 年Ebury 使用这种方法攻击了至少 200 台服务器，其中包括比特币和以太坊节点。 不过，这些货币化策略各不相同，还包括窃取输入支付网站的信用卡信息、重定向网络流量以从广告和联盟计划中获取收入、利用被攻陷的服务器发送垃圾邮件以及出售捕获的凭据。 在 2023 年底，ESET 观察到该软件引入了新的混淆技术和新的域生成算法 (DGA) 系统，使僵尸网络能够躲避检测并提高其抵御拦截的能力。 而根据 ESET 的最新发现，通过 Ebury 僵尸网络传播的恶意软件模块有： HelimodProxy： 通过修改mod_dir.so Apache模块代理原始流量和转发垃圾邮件，允许被入侵的服务器运行任意命令并支持垃圾邮件活动。 HelimodRedirect： 通过修改各种 Apache 和 nginx 模块，将 HTTP 流量重定向到攻击者控制的网站，从而将一小部分网络流量重定向到恶意网站。 HelimodSteal： 通过添加一个输入过滤器，拦截并窃取通过网络表单提交的数据（如登录凭证和支付详情），从而从 HTTP POST 请求中窃取敏感信息。 KernelRedirect： 通过使用挂接 Netfilter 的 Linux 内核模块，在内核级别修改 HTTP 流量以重定向访问者，改变 HTTP 响应中的位置标头，将用户重定向到恶意 URL。 FrizzySteal： 通过挂钩 libcurl 来拦截和渗透 HTTP 请求，使其能够捕获和窃取被入侵服务器发出的 HTTP 请求中的数据。 ESET 的最新调查是与荷兰国家高科技犯罪小组（NHTCU）合作进行的，该小组最近查获了网络犯罪分子使用的备份服务器。 荷兰当局称，Ebury 的行为者使用通过 Vidar Stealer伪造或盗用的身份，有时甚至冒用其他网络犯罪分子的绰号来误导执法部门。 目前，NHTCU 正在调查在该服务器中发现的证据，包括包含历史记录和保存的登录信息等网络浏览痕迹的虚拟机，但目前还没有新发现。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400974.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员披露了针对英特尔系统上 Linux 内核的首个原生 Spectre v2 漏洞，该漏洞是2018 年曝出的严重处理器“幽灵”（Spectre）漏洞 v2 衍生版本，利用该漏洞可以从内存中读取敏感数据，主要影响英特尔处理器 + Linux 发行版组合设备。 阿姆斯特丹自由大学系统与网络安全小组（VUSec）的研究人员在一份新的研究报告中提到，该漏洞被称为 “本地分支历史注入漏洞”，被追踪为 CVE-2024-2201。此漏洞可以绕过现有的 Spectre v2/BHI 缓解措施，以 3.5 kB/sec 的速度泄漏任意内核内存。 现阶段很难有效修复 Spectre v2 漏洞，这和处理器现有的推测执行（Speculative execution）机制有关。 推测执行是一种性能优化技术，现代处理器会猜测下一步将执行哪些指令，并提前执行从而加快响应速度。 VUSec 于 2022 年 3 月首次披露了 BHI，并将其描述为一种可以绕过英特尔、AMD 和 Arm 现代处理器中 Spectre v2 保护的技术。虽然该攻击利用了扩展的伯克利数据包过滤器（eBPF），但英特尔为解决该问题提出了禁用 Linux 非特权 eBPF的建议。 英特尔公司表示，特权管理运行时可以配置为允许非特权用户在特权域中生成和执行代码–例如Linux的’非特权eBPF’，这大大增加了瞬时执行攻击的风险，即使存在针对模式内分支目标注入的防御措施。 可以对内核进行配置，在默认情况下拒绝访问非特权 eBPF，同时仍允许管理员在需要时在运行时启用它”。原生 BHI 通过证明 BHI 无需 eBPF 即可实现，从而抵消了这一反制措施。它可能会影响所有易受 BHI 影响的英特尔系统。 访问 CPU 资源的攻击者可以通过安装在机器上的恶意软件影响推测执行路径，从而提取与不同进程相关的敏感数据。 CERT 协调中心（CERT/CC）在一份公告中提到：禁用特权 eBPF 和启用（Fine）IBT 的现有缓解技术目前不足以阻止针对内核/管理程序的 BHI 攻击。未经认证的攻击者可以利用这个漏洞，通过投机性跳转到所选的小工具，从 CPU 泄漏特权内存。 Spectre v2 漏洞利用 经证实，该漏洞已经影响到了 Illumos、英特尔、红帽、SUSE Linux、Triton Data Center 和 Xen等多个系统。 据悉，该漏洞是 Spectre v1 的一个变种，能够通过利用推测执行和竞争条件的组合泄漏 CPU 架构的数据。 苏黎世联邦理工学院（ETH Zurich）的最新研究披露了一系列被称为 “Ahoi攻击 “的攻击，这些攻击可用于破坏基于硬件的可信执行环境（TEE）和破解机密虚拟机（CVM），如AMD安全加密虚拟化-安全嵌套分页（SEV-SNP）和英特尔信任域扩展（TDX）。 这些代号为 Heckler 和 WeSee 的攻击利用恶意中断破坏CVM的完整性，允许威胁者远程登录并获得高级访问权限，以及执行任意读、写和代码注入以禁用防火墙规则和打开root shell。 研究人员表示：Ahoi 攻击是攻击者通过利用管理程序向受害者的vCPU注入恶意中断，并诱使其执行中断处理程序而实现的。这些中断处理程序可以产生全局效应，比如改变应用程序中的寄存器状态等等，攻击者可以触发这些中断处理程序，从而成功入侵受害者的CVM。 目前，英特尔更新了针对 Spectre v2 的缓解建议，现在建议禁用非特权扩展伯克利数据包过滤器（eBPF）功能、启用增强型间接分支限制猜测（eIBRS）和启用监控模式执行保护（SMEP）。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397580.html 封面来源于网络，如有侵权请联系删除

上周末，红帽(Red Hat)和美国网络安全和基础设施安全局(CISA)联合发布警告，称流行的Linux压缩工具XZ Utils存在影响广泛的高危漏洞（CVSS评分10分）。由于XZ压缩工具广泛存在于各种Linux发行版本中，因此检查并修复该漏洞是本周企业IT和安全团队的头等大事。 根据红帽公司上周六发布的安全公告。该漏洞编号为CVE-2024-3094，影响用于压缩和解压缩文件格式的XZ Utils工具（5.6.0和5.6.1版本）。红帽表示，该工具几乎存在于所有Linux发行版中。 CISA表示，他们正与开源社区合作，“响应有关恶意代码嵌入在XZ Utils 5.6.0和5.6.1版本中的报告”，该恶意代码可能允许未经授权访问受影响的系统。 CISA拒绝透露更多详细信息，例如受影响的系统数量、幕后黑手以及受害者分布等信息，目前尚未有官方回应。 最可怕的供应链攻击 微软工程师安德烈斯·弗伦德(Andres Freund)上周在调查一台运行Debian Sid（Debian发行版的滚动开发版本）的Linux设备SSH登录速度过慢问题时发现了该安全漏洞（后门）。弗伦德发现，该漏洞最早可追溯到3月26日。 安全研究机构Bad Sector Labs透露，这是一次极为复杂的供应链攻击，如果不是该漏洞拖慢了sshd速度，未来很长一段时间都难以被发现。 微软高级威胁研究员Thomas Roccia也表示XZ攻击的复杂程度令人震惊，他绘制了一个初步的攻击流程图如下： 目前的调查显示，从5.6.0版本开始，xz的上游代码库和tarball下载包中被植入恶意代码。liblzma（xz包的一部分）构建过程会从伪装成测试文件的混淆二进制恶意文件中提取预构建的对象文件，用于修改liblzma代码中的特定函数，生成一个被篡改的liblzma库，该库可以被任何链接到此库的软件使用，从而截取并修改与该库的数据交互。 值得注意的是，xz版本5.6.0和5.6.1库中存在的恶意注入仅包含在tarball下载包中。Xz的上游Git代码库缺少触发恶意代码构建的M4宏，但是“预埋”了二级恶意文件，可在恶意M4宏存在的环境中发挥作用。如果不合并到构建过程中，这个恶意二级文件本身是无害的。 研究人员发现该漏洞会影响OpenSSH守护进程。虽然OpenSSH不直接链接到liblzma库，但它会以一种方式与systemd通信，由于systemd链接到liblzma，这使得OpenSSH暴露于恶意软件攻击。 目前已有众多安全研究人员踊跃追查恶意代码的来源。很多安全专家认为，这是一次针对开源供应链的极为复杂的特工攻击（人力情报HUMINT），历时长达两年。发动攻击的APT组织并成功让特工人员（Jia Tan）晋升为XZ项目的维护者。该判断如果坐实，将意味着整个开源社区都会掀起一场反间谍行动。 安全研究人员Alexander Patrakov指出：通过对xz后门的逆向工程初步分析发现，这可能是历史上执行得最好，同时也是最可怕的供应链攻击，黑客控制了广泛使用的代码库的授权上游。在理想情况下（该后门顺利进入Linux稳定发行版），黑客可以利用此后门远程入侵并控制整个系统。 缓解措施：立级停用或降级 安全专家建议，xz5.6.0和5.6.1版本的用户应该立级降级版本或停用该工具。Linux管理员可以查询包管理器或运行安全研究员Kostas分享的shell脚本（下图）来检查系统安装了哪个版本的XZ： 该脚本可以帮用户在不运行后门可执行文件的情况下确定版本。 网络安全专家约翰·班贝内克(John Bambenek)表示，受影响的库“在现代Linux发行版中往往会默认安装，因此，即使企业不使用该工具，也应立即将该漏洞的修复升级到最高优先级。” 红帽的公告则强烈建议相关用户立即停止个人或工作用途的XZUtils使用，并提供了用于修复漏洞的更新链接。 “目前调查表明，在红帽社区生态系统中，只有Fedora 41和Fedora Rawhide受到影响。所有版本的红帽企业级Linux (RHEL)均未受影响，”红帽表示：“有报告和证据表明，在为Debian不稳定版本(Sid)开发的xz 5.6.x版本发现恶意注入，其他Linux发行版也可能受到影响。建议用户咨询发行版维护者获取指导。” 对于个人和企业用户，红帽建议立即停止使用Fedora 41或Fedora Rawhide。如果在商务环境中使用受影响的发行版，建议用户联系信息安全团队获取进一步措施。 CISA在公告中建议用户降级到安全版本：“开发人员和用户应将XZ Utils降级到未受损版本（例如，XZ Utils 5.4.6稳定版），并主动排查系统中可疑活动。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/t2llszsv1zOOqcyAfaS0_Q 封面来源于网络，如有侵权请联系删除

安全研究人员观察到 Red Hat 和 Ubuntu 系统受到 Linux 版本的 DinodasRAT（也称为 XDealer）的攻击，该版本可能自 2022 年以来一直在运行。 该恶意软件的第一个版本已追踪至 2021 年，但 Linux 变体尚未公开披露过。 网络安全公司 ESET 此前曾发现 DinodasRAT 在一项名为“Operation Jacana（水雉行动）”的针对政府实体的间谍活动中损害了 Windows 系统。 本月早些时候，趋势科技报道了他们追踪的一个名为“Earth Krahang”的 APT 组织，该组织使用 XDealer 破坏了全球多国政府的 Windows 和 Linux 系统。 DinodasRAT 详细信息 在本周早些时候的一份报告中，卡巴斯基的研究人员表示，DinodasRAT 的 Linux 变体在执行时会在其二进制文件所在的目录中创建一个隐藏文件，该文件充当互斥体，以防止多个实例在受感染的设备上运行。 接下来，恶意软件使用 SystemV 或 SystemD 启动脚本在计算机上设置持久性。为了使检测变得复杂，恶意软件会在父进程等待时再次执行。 恶意软件的执行逻辑 （卡巴斯基） 使用感染、硬件和系统详细信息对受感染的计算机进行标记，并将报告发送到命令和控制 (C2) 服务器以管理受害主机。 为受害者创建唯一 ID （卡巴斯基） 与 C2 服务器的通信通过 TCP 或 UDP 进行，而恶意软件在 CBC 模式下利用微型加密算法 (TEA)，确保安全的数据交换。 Dinodas网络数据包结构 （卡巴斯基） DinodasRAT 具有旨在监视、控制和从受感染系统中窃取数据的功能。其主要特点包括： 监视和收集有关用户活动、系统配置和运行流程的数据。 接收来自 C2 的执行命令，包括文件和目录操作、shell 命令执行以及更新 C2 地址。 枚举、启动、停止和管理受感染系统上的进程和服务。 为攻击者提供远程shell，以便在单独的威胁中直接执行命令或文件。 通过远程服务器代理 C2 通信。 下载可能包含改进和附加功能的恶意软件的新版本。 自行卸载并从系统中擦除其先前活动的所有痕迹。 研究人员表示，DinodasRAT 使攻击者能够完全控制受感染的系统。他们指出，攻击者主要使用恶意软件来通过 Linux 服务器获取和维护对攻击目标的访问。 卡巴斯基表示：“后门功能齐全，使操作员能够完全控制受感染的机器，从而实现数据泄露和间谍活动。” 卡巴斯基没有提供有关初始感染方法的详细信息，但指出自 2023 年 10 月以来，该恶意软件影响多国受害者。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pmf5FbBtJ4ri0SJDMI-JIg 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现，Linux 操作系统中的 util-linux 软件包 wall 命令中存在一个漏洞，该漏洞名为 WallEscape，被追踪为 CVE-2024-28085，黑客能够利用该漏洞窃取密码或更改剪贴板。 利用WallEscape 漏洞攻击的方式 据调查，该漏洞已存在 11 年之久，也就是说该软件包 2.40 版本前的每个版本都存在该漏洞。研究人员表示，WallEscape 可能会影响 “wall “命令，该命令在 Linux 系统中通常用于向登录到同一系统（如服务器）的所有用户的终端发送消息弹窗。 由于在处理通过命令行参数输入时，转义序列会被过滤，因此无权限用户可利用该漏洞，使用转义控制字符在其他用户的终端机上创建假的 SUDO 提示，并诱使他们输入管理员密码。 安全研究员 Ferrante 解释称，如果 “mesg “实用程序处于活动状态，且 wall 命令具有 setgid 权限，那在这样的情况下，该漏洞就有可能被成功利用。 同时，研究人员指出，这两种情况在 Ubuntu 22.04 LTS（Jammy Jellyfish）和 Debian 12.5（Bookworm）上都存在，但在 CentOS 上不存在。 目前，WallEscape 的概念验证利用代码已经发布，同时也公布了攻击者利用该漏洞的技术细节。 除了技术细节外，研究人员还介绍了可能导致不同结果的利用方案。其中一个案例描述了为 Gnome 终端创建虚假 SUDO 提示以诱骗用户输入密码的步骤。 Ferrante 也提到，黑客可以通过为 Gnome 终端创建虚假的 SUDO 提示，诱骗用户输入敏感信息作为命令行参数。但需要一些预防措施，比如使用 wall 命令向目标传递一个脚本，改变他们在终端中的输入（前景色、隐藏输入、睡眠时间），这样虚假的密码提示就会作为合法请求通过。 要找到密码，攻击者就必须检查 /proc/$pid/cmdline 文件中的命令参数，在多个 Linux 发行版上，非特权用户都能看到这些参数。 另一种攻击方式是通过转义序列更改目标用户的剪贴板。研究人员强调，这种方法并不适用于所有终端模拟器，Gnome 就是其中之一。 但由于人们可以通过墙发送转义序列，因此如果用户使用的终端支持这种转义序列，攻击者就可以将受害者的剪贴板更改为任意文本。 研究人员在漏洞报告中提供了设置陷阱和运行攻击的演示代码，并解释了两种利用方案的工作原理。 值得注意的是，利用 WallEscape 依赖于本地访问（物理访问或通过 SSH 进行远程访问），这限制了其严重性。 其中涉及到的安全风险来自在多用户设置（如组织的服务器）中与受害者访问同一系统的无权限用户。 安全人员建议广大用户立即升级到 linux-utils v2.40，以修补漏洞。一般来说，可通过 Linux 发行版软件包管理器上的标准升级通道进行，但可能会有一些延迟。 另外，系统管理员还可通过移除 “wall “命令中的 setgid 权限，或使用 “mesg “命令将其标志设置为 “n”，并禁用消息广播功能，这样就能有效缓解 CVE-2024-28085 漏洞带来的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/396355.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现，在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉，安全漏洞可能诱使用户加入合法网络的恶意“克隆”，允许威胁攻击者在没有密码的情况下加入可信网络。 安全研究人员对 wpa_supplicant 和英特尔的 iNet Wireless Daemon（IWD）进行安全评估后，发现分别被追踪为 CVE-2023-52160 和 CVE-2023-52161 的安全漏洞。 Top10VPN 在与 Mathy Vanhoef 合作进行的一项新研究中表示， CVE-2023-52160 和 CVE-2023-52161 安全漏洞允许威胁攻击者诱骗受害者连接到受信任网络的恶意“克隆”中，并拦截其流量，最终成功在没有密码的情况下加入其他安全网络。 特别是 CVE-2023-52161安全漏洞，该漏洞允许威胁攻击者未经授权访问受保护的 Wi-Fi 网络，从而使现有用户和设备面临恶意软件感染、数据盗窃和商业电子邮件泄露 (BEC)等潜在的网络攻击，主要影响 IWD 2.12 及更低版本。 CVE-2023-52160 安全漏洞影响 2.10 及以前版本的 wpa_supplicant，鉴于其是安卓设备处理无线网络登录请求的默认软件，因此是上述两个安全漏洞中更紧迫的一个。 值得一提的是，CVE-2023-52160 安全漏洞只会影响没有正确配置身份验证服务器证书的 Wi-Fi 客户端，CVE-2023-52161 则是影响使用 Linux 设备作为无线接入点 (WAP) 的任何网络。 从研究人员发布的公告来看，成功利用 CVE-2023-52160 的前提条件是，威胁攻击者必须掌握受害者先前连接过的 Wi-Fi 网络的 SSID。此外，威胁攻击者必须与受害者保持合适的物理距离。（安全研究人员指出，利用该漏洞的最优情况是威胁攻击者在受害者附近四处走动，扫描网络，然后再瞄准离开办公室的员工。） 目前，Debian (1, 2)、Red Hat (1)、SUSE (1, 2) 和 Ubuntu (1, 2) 等主要 Linux 发行版已针对上述安全漏洞发布了更新公告，ChromeOS 118 及更高版本也已解决了 wpa_supplicant 问题，但 Android 的修复程序目前仍旧尚未发布。 最后，Top10VPN 强调，为保护自身安全性，Android 用户必须尽快手动配置任何已保存的企业网络 CA 证书，以防止遭遇网络攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/392285.html 封面来源于网络，如有侵权请联系删除

非特权攻击者可以通过利用 GNU C 库 (glibc) 中新披露的本地权限提升 (LPE) 漏洞，在默认配置下获得多个主要 Linux 发行版的 root 权限。 该安全漏洞编号为CVE-2023-6246，是在 glibc 的 __vsyslog_internal() 函数中发现的，广泛使用的 syslog 和 vsyslog 函数调用该函数将消息写入系统消息记录器，详细技术报告为。 该漏洞是由于2022 年 8 月在 glibc 2.37 中意外引入的基于堆的缓冲区溢出漏洞造成的，后来在解决跟踪为 CVE-2022-39046 的不太严重的漏洞时回退到 glibc 2.36。 Qualys 安全研究人员表示：“缓冲区溢出问题构成了重大威胁，因为它可能允许本地权限升级，使非特权用户能够通过对使用这些日志记录功能的应用程序进行精心设计的输入来获得完全的 root 访问权限。尽管该漏洞需要特定的条件才能被利用（例如异常长的 argv[0] 或 openlog() ident 参数），但由于受影响库被广泛使用，其影响是巨大的。” 影响 Debian、Ubuntu和 Fedora 系统 在测试他们的发现时，Qualys 确认 Debian 12 和 13、Ubuntu 23.04 和 23.10 以及 Fedora 37 到 39 都容易受到 CVE-2023-6246 漏洞的攻击，允许任何非特权用户在默认安装时将权限升级到完全 root 访问权限。 尽管他们的测试仅限于少数发行版，但研究人员补充说“其他发行版也可能存在相同风险。” 在分析 glibc 的其他潜在安全问题时，研究人员还发现了另外三个漏洞，其中两个较难利用，位于 __vsyslog_internal() 函数（CVE-2023-6779 和 CVE-2023-6780）中，第三个漏洞（ glibc 的 qsort() 函数中的内存损坏问题仍在等待 CVEID）。 Qualys 威胁研究部门的产品经理 Saeed Abbasi表示：“这些缺陷凸显了软件开发中严格安全措施的迫切需要，特别是对于在许多系统和应用程序中广泛使用的核心库。” Qualys 团队发现的其他 Linux root 提权漏洞 在过去的几年，Qualys 的研究人员发现了其他几个 Linux 安全漏洞，这些漏洞可以让攻击者完全控制未修补的 Linux 系统，即使在默认配置下也是如此。 他们发现的漏洞包括 glibc 的 ld.so 动态加载器（ Looney Tunables ）中的一个漏洞、Polkit 的 pkexec 组件（称为 PwnKit）中的一个漏洞、内核文件系统层（称为 Sequoia）中的另一个缺陷以及 Sudo Unix 程序（又名Baron Samedit）中的一个缺陷。 Looney Tunables 缺陷 ( CVE-2023-4911 ) 披露几天后，概念验证 (PoC) 漏洞在网上发布，攻击者在一个月后 Kinsing 恶意软件利用该漏洞窃取云服务提供商 (CSP) 凭据进行攻击活动。 Kinsing 恶意软件团伙以在受感染的云系统（包括 Kubernetes、Docker API、Redis 和 Jenkins 服务器）上部署加密货币挖掘恶意软件而闻名。 CISA 随后命令美国联邦机构确保其 Linux 系统免受 CVE-2023-4911 攻击，并将其添加到被积极利用的漏洞目录中，并将其标记为“对联邦企业构成重大风险”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9VvXViEw9ol4KfkH3O9t1A 封面来源于网络，如有侵权请联系删除

Monti勒索软件是一个同时具有Windows和Linux变种的勒索软件。其在2022年6月被首次发现，当时也引起了不少的关注。它不仅在名称上与臭名昭著的Conti勒索软件相似，而且在威胁行为上也非常类似。该小组以“Monti”为名，并故意模仿了Conti团队广为人知的战术、技术和程序（TTPs），整合了大量Conti的工具，甚至使用了Conti泄漏的源代码。自被发现以来，Monti团队一直在持续针对公司进行持续攻击，并在泄露的网站上公开曝光受害公司的数据。 Industry Count Legal 3 Financial services 2 Healthcare 2 Others 6 表1： Monti勒索软件泄露网站上出现的公司的行业（数据日为2023年3月至8月） Monti勒索软件被曝光两个月后，又开始了恶意活动，这一次他们的目标是政府部门。与此同时，一个新的基于Linux的Monti变种（Ransom.Linux.MONTI.THGOCBC）出现，其与先前的基于Linux的变种有显著差异。早期版本主要基于泄露的Conti源代码，新版本采用了不同的加密器，并具有额外的不同行为。截至撰写本文时，在VirusTotal上只有三家安全厂商将样本标记为恶意。 通过使用BinDiff将新变种与旧变种进行比较，我们发现它们的相似性仅为29%，而旧变种和Conti的相似性率为99%。 我们建议采取后续安全措施来保护重要数据: 实施多因素身份验证（MFA），以阻止攻击者在网络中横向扩展并获得对敏感数据的访问权限。 遵循3-2-1备份指南来生成关键文件的备份。该指南要求创建三个备份副本，使用两种不同的文件格式，并将一个副本存储在不同的位置。这种方法确保了冗余，并最大限度地降低了数据丢失的可能性。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3010/ 消息来源：trendmicro，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员在亚马逊云平台（AWS）中发现了一种新的后渗透漏洞，能允许 AWS 系统管理器代理（SSM 代理）作为远程访问木马在 Windows 和 Linux 环境中运行。 Mitiga的研究人员Ariel Szarf和Or Aspir在与The Hacker News分享的一份报告中说：“SSM代理是管理员用来管理实例的合法工具，攻击者如果在安装SSM代理的端点上获得了高权限访问，就可以重新利用它来持续开展恶意活动。” SSM Agent是一个安装在Amazon EC2实例上的软件，使管理员可以通过统一界面更新、管理和配置其 AWS 资源。 使用 SSM 代理作为木马具有诸多优点，能受到端点安全解决方案的信任，并且无需部署可能触发检测的其他恶意软件。为了进一步混淆视听，攻击者可以使用自己的恶意 AWS 帐户作为命令和控制 (C2) 来远程监控受感染的 SSM 代理。 Mitiga 详细介绍的后渗透技术假定攻击者已经拥有在安装并运行了 SSM Agent 的 Linux 或 Windows 端点上执行命令的权限，这需要将 SSM Agent 注册为在 “混合 “模式下运行，允许与 EC2 实例所在的原始 AWS 账户之外的不同 AWS 账户通信。这会导致 SSM 代理从攻击者拥有的 AWS 账户执行命令。 另一种方法是使用Linux 命名空间功能启动第二个 SSM 代理进程，该进程与攻击者的 AWS 账户进行通信，而已在运行的 SSM 代理则继续与原始 AWS 账户进行通信。 最后。Mitiga 发现 SSM 代理功能可能被滥用，将 SSM 流量路由到攻击者控制的服务器（包括非 AWS 账户端点），从而允许攻击者控制 SSM 代理而无需依赖AWS 基础设施。 Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件，以检测任何异常活动迹象，并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。     转自Freebuf，原文链接:https://www.freebuf.com/news/373738.html 封面来源于网络，如有侵权请联系删除