近日名为 Nimbuspwn 的漏洞组合被曝光，可以让本地攻击者在 Linux 系统上提升权限，部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题，并指出它们可以被串联起来，在一个脆弱的系统上获得 root 权限。 Nimbuspwn 存在于 networkd-dispatcher 组件，该组件用于在 Linux 设备上发送连接状态变化，目前已经以 CVE-2022-29799 和 CVE-2022-29800 进行追踪。 发现这些漏洞是从“监听系统总线上的消息”开始的，这促使研究人员审查 networkd-dispatcher 的代码流。微软研究员Jonathan Bar Or在报告中解释说，Nimbuspwn 的安全缺陷是指目录穿越、符号链接竞赛和检查时间-使用时间（TOCTOU）竞赛条件问题。 一个引起兴趣的观察结果是，networkd-dispatcher守护进程在启动时以系统的根权限运行。研究人员注意到，该守护进程使用了一种名为”_run_hooks_for_state”的方法，根据检测到的网络状态发现并运行脚本。 它使用名为 subprocess.Popen 的进程运行上述位置的每个脚本，同时提供自定义环境变量。微软的报告解释说，”_run_hooks_for_state”有多个安全问题。 ● 目录遍历（CVE-2022-29799）：流程中没有一个函数对OperationalState或AdministrativeState进行消毒。这些状态被用来建立脚本路径，因此一个状态可能包含目录遍历模式（例如”…/…/”），以逃离”/etc/networkd-dispatcher”基本目录。 ● 符号链接竞赛：脚本发现和subprocess.Popen都遵循符号链接。 ● 检查时间-使用时间（TOCTOU）竞赛条件（CVE-2022-29800）：脚本被发现和它们被运行之间有一定时间。攻击者可以滥用这个漏洞，将networkd-dispatcher认为由root拥有的脚本替换成不属于root的脚本。     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1263423.htm 封面来源于网络，如有侵权请联系删除

新的研究表明，黑客经常使用相同的常用密码，通常是默认密码获得服务器的访问权。来自Bulletproof的数据还显示，在黑客使用的顶级默认凭证列表中，默认的Raspberry Pi用户名和登录信息占据了突出位置。 在整个2021年，利用蜜罐进行的研究表明，目前总网络活动的70%是机器人流量。随着黑客越来越多地部署自动化攻击方法，默认凭证是这些不良行为者最常使用的密码，实际上充当了犯罪访问的’骨架钥匙’。  “名单上有默认的Raspberry Pi凭证（un:pi/pwd:raspberry）。互联网上有超过20万台机器在运行标准的树莓派操作系统，这使得它成为不法分子的合理目标。我们还可以看到看起来像是在Linux机器上使用的凭证（un:nproc/pwd:nproc）。”Bulletproof公司首席技术官Brian Wagner说：”这突出了一个关键问题–默认凭证仍然没有被改变。使用默认凭证为攻击者提供了一个最容易的切入点，充当了多个黑客的’骨架钥匙’。使用合法的凭证可以让黑客避免被发现，并使调查和监测攻击变得更加困难。” 今天仍在被攻击者使用的密码中，有四分之一源自2009年12月的RockYou数据库泄漏。这些密码仍然是可行的，Bulletproof公司的渗透测试人员在测试中也尝试使用这些密码，因为它们仍然有很高的成功率。 “在一个服务器被放到互联网上的几毫秒内，它就已经被各种实体扫描了。僵尸网络将以它为目标，然后大量的恶意流量被驱动到服务器，”瓦格纳补充说。”尽管我们的一些数据显示合法的研究公司正在扫描互联网，但我们遇到的进入我们蜜罐的流量的最大比例来自威胁行为者和被破坏的主机。” 完整的Bulletproof年度网络安全行业威胁报告来自该公司的网站。下面有一个正在使用的顶级默认凭证列表。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1247725.htm 封面来源于网络，如有侵权请联系删除

根据 CrowdStrike 的威胁遥测数据，在 2021 年针对 Linux 发行版本（被物联网设备广泛部署）的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。 与 2020 年相比，Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备，将它们聚集成僵尸网络，并利用它们来进行分布式拒绝服务（DDoS）攻击。 当今大多数的云基础设施和网络服务器都运行 Linux，但它也为移动和物联网设备提供动力。它之所以受欢迎，是因为它提供了可扩展性、安全功能和广泛的发行版，以支持多种硬件设计和在任何硬件要求上的巨大性能。 随着各种 Linux 构建和分布在云基础设施、移动和物联网的核心，它为威胁者提供了一个巨大的机会。例如，无论是使用硬编码凭证、开放端口还是未修补的漏洞，运行Linux的物联网设备对威胁者来说都是一个低风险的果实–它们的大规模破坏会威胁到关键互联网服务的完整性。预计到2025年底，将有超过300亿台物联网设备连接到互联网，为威胁和网络犯罪分子创造一个潜在的巨大攻击面，以创建大规模的僵尸网络。 僵尸网络是一个连接到远程指挥和控制（C2）中心的受损设备网络。它在更大的网络中发挥着小齿轮的作用，并能感染其他设备。僵尸网络经常被用于DDoS攻击，向目标发送垃圾邮件，获得远程控制，并进行加密等CPU密集型活动。DDoS攻击使用多个连接互联网的设备来访问一个特定的服务或网关，通过消耗整个带宽来阻止合法流量的通过，导致其崩溃。 ● XorDDoS XorDDoS是一个为多种Linux架构编译的Linux木马，范围从ARM到x86和x64。它的名字来自于在恶意软件和网络通信中使用XOR加密到C2基础设施。当针对物联网设备时，该木马已知会使用SSH暴力攻击来获得对脆弱设备的远程控制。 在 Linux 机器上，XorDDoS 的一些变种显示，其操作者扫描和搜索Docker服务器，并打开2375端口。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问，攻击者可以滥用它来获得对机器的root访问。 ● Mozi Mozi 是一个点对点（P2P）僵尸网络，利用分布式哈希表（DHT）系统，实施自己的扩展DHT。DHT提供的分布式和去中心化的查找机制使Mozi能够将C2通信隐藏在大量合法的DHT流量后面。Mozi通过强加SSH和Telnet端口来感染系统。然后它封锁这些端口，以便不被其他恶意行为者或恶意软件覆盖。 ● Mirai Mirai 恶意软件在过去几年中声名鹊起，特别是在其开发者公布了 Mirai 的源代码之后。与Mozi类似，Mirai滥用弱协议和弱密码，如Telnet，利用暴力攻击入侵设备。 自从Mirai的源代码公开后，出现了多个Mirai变种，这个Linux木马可以被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变种在现有的Mirai功能上进行了补充，或实现了不同的通信协议，但在其核心部分，它们共享相同的Mirai DNA。   （消息及封面来源：cnBeta）