Aggregator

A vulnerability classified as very critical was found in Linux Kernel 2.6.23. This vulnerability affects unknown code. The manipulation leads to memory corruption. This vulnerability was named CVE-2009-0065. The attack can be initiated remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

作者：Ryan Greenblatt, Carson Denison等 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/abs/2412.14093v1 摘要 我们在此呈现了一项关于大型语言模型在训练过程中进行“对齐伪装”行为的演示：该模型有选择地遵从其训练目标，以防止其行为在训练之外被改变。具体来说，我们首先向Claude 3 Opus模型提供了一个系统提示...

error code: 521

A vulnerability was found in Microsoft Word 2003. It has been declared as critical. This vulnerability affects unknown code of the component DOC Document Handler. The manipulation as part of Embedded Image leads to improper resource management. This vulnerability was named CVE-2013-6801. The attack can be initiated remotely. Furthermore, there is an exploit available.

A vulnerability classified as critical has been found in Philippe Jounin Tftpd32. Affected is an unknown function. The manipulation leads to format string. This vulnerability is traded as CVE-2013-6809. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Quickheal AntiVirus Pro 7.0.0.1. This affects an unknown part in the library pepoly.dll. The manipulation leads to memory corruption. This vulnerability is uniquely identified as CVE-2013-6767. The attack needs to be approached locally. Furthermore, there is an exploit available.

error code: 521

HackerNews 编译，转载请注明出处： 一种全新的Microsoft 365钓鱼即服务（PaaS）平台，名为“FlowerStorm”，正在网络空间中迅速崛起，并成功填补了此前Rockstar2FA网络犯罪服务平台因意外关闭而留下的市场空缺。 据Trustwave的记录显示，Rockstar2FA作为一种专门支持大规模中间人攻击（AiTM）的PaaS平台，其主要目标是窃取Microsoft 365用户的凭证信息。该平台以其先进的规避技术、直观易用的控制面板以及多样化的钓鱼选项，向网络犯罪分子提供了为期两周的访问权限，费用高达200美元。 然而，在2024年11月11日，Rockstar2FA遭遇了部分基础设施的重大故障，导致多个服务页面无法正常访问。Sophos的研究员Sean Gallagher和Mark Parsons指出，此次故障似乎并非由执法机构的行动引发，而更可能源于技术层面的失误。 就在Rockstar2FA陷入困境的几周后，FlowerStorm这一新平台悄然出现在网络上，并迅速吸引了大量关注。   Rockstar2FA的检测情况 Sophos的研究发现，新兴的FlowerStorm服务与之前的Rockstar2FA在多个方面存在显著共性，这引发了人们对其是否为同一运营者为了降低曝光风险而改名的猜测。具体而言，Sophos识别出以下相似之处： 两个平台都使用模拟合法登录页面（如Microsoft）的钓鱼门户来窃取凭证和多因素认证（MFA）令牌，依赖于托管在.ru和.com等域名上的后台服务器。Rockstar2FA使用随机PHP脚本，而FlowerStorm则统一使用next.php。 钓鱼页面的HTML结构非常相似，包含随机文本注释、Cloudflare“旋转门”安全功能和类似“初始化浏览器安全协议”的提示。Rockstar2FA使用汽车主题，而FlowerStorm则改为植物主题，但底层设计保持一致。 凭证收集方法高度一致，使用诸如电子邮件、密码和会话跟踪令牌等字段。两个平台都支持通过后台系统进行电子邮件验证和MFA认证。 域名注册和托管模式有显著重叠，广泛使用.ru和.com域名及Cloudflare服务。它们的活动模式在2024年底显示出同步的波动，可能暗示有协调行动。 两个平台都出现了操作失误，暴露了后台系统，并展示了高度可扩展性。Rockstar2FA管理超过2000个域名，而FlowerStorm在Rockstar2FA崩溃后迅速扩展，暗示共享框架。 Sophos总结道：“尽管我们不能完全确定Rockstar2FA与FlowerStorm之间存在直接的关联，但两者在工具包内容上的高度相似性表明它们至少有着共同的起源或技术背景。”同时，Sophos也指出，“域名注册的相似模式可能反映了FlowerStorm和Rockstar在某种程度上的协调合作，但也有可能是市场力量驱动的结果。” 无论FlowerStorm的崛起背后有何种故事，对于用户和组织而言，它都是一个不容忽视的新威胁。该平台支持破坏性的钓鱼攻击，可能导致全面的网络入侵和数据泄露。 Sophos的遥测数据显示，约63%的组织和84%的FlowerStorm攻击目标用户位于美国。其中，服务、制造业、零售和金融服务等行业成为最受攻击的目标。 为了有效防范钓鱼攻击，建议用户和组织采取以下措施： 使用支持AiTM抗性FIDO2令牌的多因素认证（MFA）技术； 部署电子邮件过滤解决方案以拦截恶意邮件； 使用DNS过滤技术来阻止对可疑域名的访问（如.ru、.moscow和.dev等）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

主站 分类 漏洞 工具 极客

一些热门的npm包遭到入侵，攻击者利用窃取到的令牌将带有加密挖矿恶意软件的版本发布到了官方包注册表中。

主站 分类 漏洞 工具 极客

Builder.ai由于数据库配置错误，该平台遭遇了重大数据泄露事件，共计泄露数据超过300万条，1.29TB。

error code: 521

HackerNews 编译，转载请注明出处： 已修复的Fortinet FortiClient EMS严重安全漏洞CVE-2023-48788（CVSS评分高达9.3）目前正被恶意攻击者利用。该漏洞是一种SQL注入漏洞，允许攻击者通过发送精心构造的数据包来执行未经授权的代码或命令。 据俄罗斯网络安全公司Kaspersky透露，2024年10月，一家未透露名称的公司因Windows服务器暴露在互联网上且存在两个与FortiClient EMS相关的开放端口而成为了攻击目标。这家公司使用Fortinet技术为员工提供安全的VPN访问权限，并允许员工将特定的策略下载到公司设备上。 攻击者首先利用CVE-2023-48788漏洞作为初始访问途径，随后通过部署远程桌面软件如AnyDesk和ScreenConnect获得远程访问受损主机的权限。Kaspersky的分析指出，在初次安装后，攻击者开始向受感染系统上传额外的有效载荷，进行发现与横向移动活动，如枚举网络资源、尝试获取凭证、执行防御规避技术，并通过AnyDesk远程控制工具生成进一步的持久性。 攻击过程中部署的一些其他重要工具包括： webbrowserpassview.exe，一款密码恢复工具，用于显示存储在Internet Explorer（版本4.0至11.0）、Mozilla Firefox（所有版本）、Google Chrome、Safari和Opera中的密码。 Mimikatz netpass64.exe，一款密码恢复工具 netscan.exe，一款网络扫描工具 据信，这场攻击的幕后黑手针对了多家位于不同国家的公司，包括巴西、克罗地亚、法国、印度、印尼、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋等，并利用了不同的ScreenConnect子域名。 Kaspersky还表示，它在2024年10月23日检测到了另一起利用CVE-2023-48788漏洞的攻击。这次攻击执行了一个托管在webhook[.]site域名上的PowerShell脚本，旨在扫描易受该漏洞影响的系统并“收集来自易受攻击目标的响应”。 这一披露发生在网络安全公司Forescout在8个月前揭露类似的攻击活动后，后者也利用了CVE-2023-48788漏洞，部署了ScreenConnect和Metasploit Powerfun有效载荷。 “对这一事件的分析帮助我们确定了攻击者当前用于部署远程访问工具的技术，正在不断更新和增加复杂性，”研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： Sophos发布了热修复程序，修复了其防火墙产品中的三个安全漏洞，这些漏洞可能被利用来实现远程代码执行，并在特定条件下允许特权系统访问。 其中两个漏洞的严重性被评为“关键”，但截至目前，没有证据表明这些漏洞已被大规模地利用以进行攻击。以下是漏洞的详细信息： CVE-2024-12727 (CVSS评分：9.8)：在电子邮件保护功能中存在一个未经身份验证的SQL注入漏洞，攻击者如果启用了特定配置的Secure PDF eXchange（SPX），并且防火墙运行在高可用（HA）模式下，可能导致远程代码执行。 CVE-2024-12728 (CVSS评分：9.8)：在高可用（HA）集群初始化过程中，由于建议的非随机SSH登录密码短语，存在一个弱口令漏洞，即使在HA建立过程完成后，该密码仍然有效，从而暴露了特权访问帐户（如果SSH已启用）。 CVE-2024-12729(CVSS评分：8.8)：在用户门户中存在一个身份验证后代码注入漏洞，允许经过身份验证的用户获得远程代码执行权限。 该安全厂商表示，CVE-2024-12727 影响大约0.05%的设备，而 CVE-2024-12728 影响约0.5%的设备。这三种漏洞都影响Sophos Firewall 21.0 GA（21.0.0）及更早版本，修复版本如下： CVE-2024-12727 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2） CVE-2024-12728 – v20 MR3、v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2） CVE-2024-12729 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3） 为了确保热修复程序已应用，用户被建议执行以下步骤： CVE-2024-12727 – 从Sophos防火墙控制台启动设备管理>高级Shell，运行命令“cat /conf/nest_hotfix_status”（如果值为320或更高，则表示已应用热修复程序） CVE-2024-12728 和CVE-2024-12729  – 从Sophos防火墙控制台启动设备控制台，运行命令“system diagnostic show version-info”（如果值为HF120424.1或更高，则表示已应用热修复程序） 作为临时解决方法，直到应用补丁，Sophos建议客户将SSH访问限制为仅通过物理隔离的专用HA链路，和/或重新配置HA，使用足够长且随机的自定义密码短语。 用户还可以采取的另一个安全措施是禁用WAN上的SSH访问，并确保用户门户和Web管理界面不暴露在WAN上。 这一安全修复发生在约一周前美国政府对中国公民关天峰提出指控之后，该指控称关天峰利用零日安全漏洞（CVE-2020-12271，CVSS评分高达9.8）侵入了全球大约81,000台Sophos防火墙。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文