HackerNews

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一种新型名称混淆攻击“whoAMI”，该攻击允许任何发布具有特定名称的亚马逊机器镜像（AMI）的人在亚马逊网络服务（AWS）账户内获得代码执行权限。 Datadog安全实验室研究员Seth Art在一份与《黑客新闻》共享的报告中表示：“如果大规模执行，这种攻击可以用于获取数千个账户的访问权限。这种易受攻击的模式可以在许多私有和开源代码仓库中找到。” 这种攻击本质上是一种供应链攻击，通过发布恶意资源并诱骗配置错误的软件使用它而不是合法的对应资源来实现。 攻击利用了任何人都可以将AMI（用于在AWS中启动弹性计算云EC2实例的虚拟机镜像）发布到社区目录这一事实，以及开发人员在通过ec2:DescribeImages API搜索时可能省略“–owners”属性的情况。 具体来说，当受害者通过API检索AMI ID时，名称混淆攻击需要满足以下三个条件： 使用名称过滤器， 未指定所有者、所有者别名或所有者ID参数， 从返回的匹配镜像列表中获取最新创建的镜像（“most_recent=true”）。 这使得攻击者可以创建一个与搜索条件中指定的模式匹配的恶意AMI，从而导致使用威胁行为者的“替身”AMI创建EC2实例。反过来，这授予了对实例的远程代码执行（RCE）能力，允许威胁行为者发起各种后续利用行动。 攻击者只需要一个AWS账户，就可以将他们的后门AMI发布到公共社区AMI目录，并选择一个与目标所寻求的AMI匹配的名称。 “这与依赖混淆攻击非常相似，只是在后者中，恶意资源是一个软件依赖项（如pip包），而在whoAMI名称混淆攻击中，恶意资源是一个虚拟机镜像，”Art说。 Datadog表示，该公司监控的大约1%的组织受到了whoAMI攻击的影响，并且发现了使用易受攻击标准编写的Python、Go、Java、Terraform、Pulumi和Bash shell的公开代码示例。 在2024年9月16日负责任地披露后，亚马逊在三天后解决了这个问题。当被要求置评时，AWS告诉《黑客新闻》，它没有发现任何证据表明这种技术在野外被滥用。 “所有AWS服务都按设计运行。根据广泛的日志分析和监控，我们的调查确认，这项研究中描述的技术仅由授权研究人员执行，没有证据表明任何其他方使用了它，”该公司表示。 “这种技术可能会影响通过ec2:DescribeImages API检索亚马逊机器镜像（AMI）ID但未指定所有者值的客户。2024年12月，我们推出了Allowed AMIs，这是一种新的账户范围设置，使客户能够限制在其AWS账户内发现和使用AMI。我们建议客户评估并实施这一新的安全控制措施。” 截至去年11月，HashiCorp Terraform已开始在terraform-provider-aws版本5.77.0中使用“most_recent = true”但未使用所有者过滤器时向用户发出警告。预计该警告诊断将在版本6.0.0中升级为错误。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软在 2025 年 2 月 11 日披露了一个 Windows 轻量级目录访问协议（LDAP）实现中的关键安全漏洞，允许攻击者远程执行任意代码。 这个被指定为 CVE-2025-21376 的“蠕虫式”漏洞被分类为远程代码执行（RCE）问题，无需任何用户交互或权限即可被利用。 该漏洞涉及多个弱点，包括竞争条件（CWE-362）、整数下溢（CWE-191）和基于堆的缓冲区溢出（CWE-122）。 攻击者可以通过向易受攻击的 LDAP 服务器发送特制请求来利用此漏洞。 成功利用可能导致缓冲区溢出，进而实现远程代码执行。 通用漏洞评分系统（CVSS）为此漏洞分配了 8.1 的基础分和 7.1 的时间分。 微软专家指出，该漏洞的攻击向量是网络-based（AV:N），攻击复杂度高（AC:H），无需权限（PR:N），无需用户交互（UI:N）。 影响范围未变（S:U），对机密性、完整性和可用性的影响均为高（C:H, I:H, A:H）。 利用性和影响 尽管目前尚无公开的利用代码，但可利用性评估表明，利用此漏洞的可能性较大。目前该漏洞尚未公开披露或被利用。 然而，由于其蠕虫式特性，即无需用户干预即可在网络中快速传播，因此潜在的利用风险显著。 为了缓解此漏洞，建议用户应用微软提供的最新安全更新。 截至 2025 年 2 月的补丁星期二，受影响的系统（包括 Windows Server 2019 和 Windows 10 Version 1809）的更新已经可用。 用户应优先应用最新的安全补丁，以防止此漏洞被利用。因此，及时了解最新的漏洞和更新对于维护强大的网络安全防御至关重要。   消息来源：CyberSecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   Rapid7 的安全研究人员周四发现了一个新的 PostgreSQL 零日漏洞，该漏洞似乎是一个针对 BeyondTrust 远程支持产品的攻击链中的关键组成部分。 这个漏洞被标记为 CVE-2025-1094，影响 PostgreSQL 交互终端 psql，允许包含不受信任但正确转义的输入的 SQL 语句触发 SQL 注入。 有趣的是，Rapid7 直接将 PostgreSQL 漏洞的利用与针对 BeyondTrust 远程支持系统的远程代码执行攻击联系起来。这些攻击已经成功入侵了美国财政部的机器。 在所有检查的情景中，Rapid7 研究人员表示，BeyondTrust 漏洞（CVE-2024-12356）的利用都需要借助这个 PostgreSQL 漏洞。尽管 BeyondTrust 已经发布了其漏洞的补丁，包括 CVE-2024-12356 和另一个漏洞（CVE-2024-12686），但 PostgreSQL 中的基础漏洞仍然是攻击者的一个令人担忧的切入点。 根据 Rapid7 的公开文档，该漏洞存在于 psql 处理无效字节序列的方式中，这些序列来自格式错误的 UTF-8 字符。在测试中，Rapid7 研究人员发现，精心制作的无效序列可以提前终止 SQL 命令，允许攻击者注入额外的语句，甚至通过 psql 的元命令触发 shell 执行。 在受控测试中，Rapid7 研究人员表示，他们能够注入一个命令，在系统上执行 id 命令，确认了完全系统被攻破的可能性。 PostgreSQL 团队发布了一个紧急补丁，并警告称，在 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本中存在受影响的情况。该项目在感谢 Rapid7 发现该漏洞的同时，并未承认零日漏洞的利用情况。 Rapid7 还发布了一个 Metasploit 模块，该模块可以识别易受攻击的 BeyondTrust 系统，并自动化有效载荷的传递。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与朝鲜有关的国家级威胁行为者被指与一场针对韩国商业、政府和加密货币部门的持续活动有关。 这场被 Securonix 命名为 DEEP#DRIVE 的攻击活动，被归因于一个名为 Kimsuky 的黑客组织，该组织也被追踪为 APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427 和 Velvet Chollima。 “攻击者利用用韩语编写的定制网络钓鱼诱饵，伪装成合法文件，成功渗透到目标环境。” 安全研究人员丹・尤兹维克（Den Iuzvyk）和蒂姆・佩克（Tim Peck）在一份与《黑客新闻》共享的报告中表示，并将此活动描述为“复杂且多阶段的操作”。 通过网络钓鱼电子邮件发送的诱饵文件，格式为 .HWP、.XLSX 和 .PPTX，伪装成工作日志、保险文件和与加密货币相关的文件，诱使收件人打开它们，从而触发感染过程。 攻击链值得注意的是其在各个阶段大量依赖 PowerShell 脚本，包括有效载荷传递、侦察和执行。其特点还在于使用 Dropbox 进行有效载荷分发和数据窃取。 这一切都始于一个包含单个 Windows 快捷方式（.LNK）文件的 ZIP 压缩包，该文件伪装成合法文件。当提取并运行时，会触发 PowerShell 代码的执行，以从 Dropbox 获取并显示诱饵文件，同时通过名为“ChromeUpdateTaskMachine”的计划任务在 Windows 主机上秘密建立持久性。 其中一个用韩语编写的诱饵文件涉及物流设施叉车操作的安全工作计划，深入探讨了重型货物的安全处理，并概述了确保遵守工作场所安全标准的方法。 PowerShell 脚本还设计为联系同一个 Dropbox 位置以获取另一个 PowerShell 脚本，该脚本负责收集和窃取系统信息。此外，它还会投放第三个 PowerShell 脚本，最终负责执行一个未知的 .NET 程序集。 “使用基于 OAuth 令牌的身份验证进行 Dropbox API 交互，使得侦察数据（如系统信息和活动进程）能够无缝窃取到预定文件夹。” 研究人员表示。 “这种基于云的基础设施展示了一种有效且隐蔽的方法来托管和检索有效载荷，绕过了传统的 IP 或域名阻止列表。此外，该基础设施似乎具有动态性和短寿命，正如攻击初期阶段后关键链接的迅速移除所证明的那样，这不仅使分析复杂化，还表明攻击者积极监控其活动以确保操作安全。” Securonix 表示，他们能够利用 OAuth 令牌获得更多关于威胁行为者基础设施的洞察，发现证据表明这场活动可能从去年 9 月就开始了。 “尽管缺少最后阶段，但分析突显了攻击者采用的复杂技术，包括混淆、隐蔽执行和动态文件处理，这些技术表明攻击者意图规避检测并使事件响应复杂化。” 研究人员总结道。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一场规模巨大的物联网（IoT）安全漏洞事件曝光了 27 亿条包含敏感用户数据的信息，其中包括 Wi-Fi 网络名称、密码、IP 地址和设备标识符。此次事件与中国植物生长灯制造商 Mars Hydro 以及加州注册公司 LG-LED SOLUTIONS LIMITED 有关。 网络安全研究人员 Jeremiah Fowler 发现了这个未受保护的数据库，并向 vpnMentor 进行了报告。这一事件凸显了物联网设备安全和云存储实践中的严重漏洞。 这个公开可访问的数据库总计 1.17TB，没有任何密码保护或加密措施。它包含了全球售出的物联网设备的日志、监控记录和错误报告，具体内容包括： Wi-Fi SSID（网络名称） 和明文密码。 IP 地址、设备 ID、MAC 地址和操作系统详细信息（iOS/Android）。 API 令牌、应用程序版本以及标有“Mars-pro-iot-error”或“SF-iot-error”的错误日志。 事件背景与调查 Mars Hydro 的 Mars Pro 应用程序用于控制物联网生长灯和气候系统，尽管其隐私政策声称不收集用户数据，但据报道，该应用程序仍然收集了这些数据。 进一步的调查发现，这些记录与加州注册公司 LG-LED SOLUTIONS LIMITED 有关。泄露的数据还包括 API 详细信息以及 LG-LED SOLUTIONS、Mars Hydro 和 Spider Farmer 公司的 URL 链接，这些公司生产和销售农业生长灯、风扇和冷却系统。 许多记录标有“Mars-pro-iot-error”或“SF-iot-error”，其中包含令牌、应用版本、设备类型和 IP 地址以及 SSID 凭证。 Fowler 迅速通知了 LG-LED SOLUTIONS 和 Mars Hydro，几小时后，数据库的访问权限被限制。Mars Hydro 确认，“Mars Pro”应用程序是他们的官方产品，该应用在 iOS 和 Android 平台上支持多种语言。 然而，目前尚不清楚 LG-LED SOLUTIONS 是否直接管理该数据库，或者是否使用了第三方承包商。数据库曝光的时间长度以及是否有未经授权的方访问过它也不得而知。 安全风险与影响 泄露的数据带来了严重的风险： 网络渗透：攻击者可以利用暴露的 Wi-Fi 凭证访问家庭或企业网络，从而实施中间人攻击、数据拦截或勒索软件部署。 僵尸网络招募：受感染的物联网设备可能被劫持用于 DDoS 攻击，正如最近涉及 Matrix 黑客组织的事件所示。 物理威胁：恶意行为者可能操纵连接的生长灯、风扇或冷却系统，从而可能破坏农作物。 Fowler 特别强调了“最近邻攻击”这种战术的可能性，这是俄罗斯 GRU 黑客在 2024 年通过附近 Wi-Fi 网络入侵一家乌克兰组织的策略。 Palo Alto Networks 的威胁报告为此提供了背景：98% 的物联网设备数据未加密，57% 的设备高度脆弱。 此次事件反映了物联网安全中的系统性缺陷： 弱加密：许多设备依赖如 WPA2 等过时的协议，这些协议容易受到暴力破解攻击。 默认密码：用户往往未能更改出厂设置，导致设备暴露在风险中。 集中化云存储风险：在未受保护的服务器上存储大量数据，创造了单点故障。 值得注意的是，研究人员猜测此次泄露可能涉及 2019 年由中国智能设备品牌 Orvibo 暴露的同一数据库。 专家建议 专家们敦促物联网制造商和用户采取以下措施： 加密敏感日志，并用令牌化值替换明文凭证。 分割网络，将物联网设备与关键系统隔离。 进行定期审计 和渗透测试。 Mars Hydro 和 LG-LED SOLUTIONS 尚未就此次泄露事件的起源或可能的第三方参与发表评论。Fowler 强调，他的发现旨在“提高人们的意识”，目前没有证据表明存在直接滥用行为。   消息来源：CyberSecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zacks Investment Research（以下简称 Zacks）是一家美国投资研究公司，通过其专有的股票表现评估工具“Zacks Rank”为客户提供数据驱动的洞察，以帮助做出明智的财务决策。据报道，Zacks 去年遭受了另一起数据泄露事件，导致约 1200 万个账户的敏感信息被曝光。 今年 1 月底，一名威胁行为者在黑客论坛上发布了数据样本，声称 Zacks 在 2024 年 6 月发生了数据泄露，导致数百万客户的数据被曝光。这些数据可供论坛成员以少量加密货币换取，包含全名、用户名、电子邮件地址、物理地址和电话号码。 BleepingComputer 多次联系 Zacks 询问数据的真实性，但尚未收到回复。然而，该威胁行为者告诉 BleepingComputer，他们以域管理员身份访问了公司的活动目录，然后窃取了主网站（Zacks.com）和其他 16 个网站的源代码，包括一些内部网站。他们还分享了窃取的源代码样本作为新漏洞的证明。 今天早些时候，泄露的 Zacks 数据库被添加到“Have I Been Pwned”网站，用户可以在此检查他们的个人数据是否被泄露。HIBP 确认该文件包含 1200 万个唯一的电子邮件地址，以及 IP 地址、姓名、未加盐的 SHA-256 哈希密码、电话号码、物理地址和用户名。 然而，该服务也指出，大约 93% 的泄露电子邮件地址已经存在于其数据库中，这些地址来自过去对该平台或其他服务的泄露。 无官方确认 Zacks 尚未确认所谓的数据泄露，但如果数据泄露被证明是新黑客攻击的结果，这可能是该公司过去四年中的第三次重大数据泄露。 2023 年 1 月，Zacks 披露黑客在 2021 年 11 月至 2022 年 8 月期间侵入了其网络，并获取了 82 万名客户的敏感信息。 几个月后，2023 年 6 月，HIBP 验证了一个来自 Zacks 的独立数据库，该数据库之前已被泄露。该数据库包含使用 Zacks 服务的 880 万名个人的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。 根据 HIBP 服务的创建者 Troy Hunt 的说法，这些数据似乎在 2020 年 5 月被泄露，表明这是一起较早的事件。 尽管尚未得到官方验证，但 HIBP 在将其添加到服务之前已经验证了最新的 Zacks 客户数据泄露，并且有非常高的信心认为它来自一起新事件。需要注意的是，也有可能是威胁行为者从其他服务抓取了这些信息，并编制了一个与 Zacks 相关的用户信息数据库。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了一种名为“whoAMI”的名称混淆攻击，该攻击允许任何人通过发布具有特定名称的亚马逊机器镜像（AMI）来访问亚马逊网络服务（AWS）账户。 “whoAMI”攻击由 DataDog 研究人员于 2024 年 8 月提出，他们证明了攻击者可以通过利用软件项目检索 AMI ID 的方式，在 AWS 账户内获得代码执行权限。 亚马逊确认了这一漏洞，并在 9 月推出了修复措施，但问题在客户侧仍然存在，尤其是在组织未能更新代码的环境中。 实施“whoAMI”攻击 AMI 是预配置了必要软件（操作系统、应用程序）的虚拟机，用于创建在 AWS 生态系统中称为 EC2（弹性计算云）实例的虚拟服务器。 AMI 有公共和私有之分，每个都有特定的标识符。对于公共 AMI，用户可以在 AWS 目录中搜索所需的 AMI ID。 为了确保 AMI 来自 AWS 市场中的可信来源，搜索需要包含“所有者”属性，否则“whoAMI”名称混淆攻击的风险会增加。 “whoAMI”攻击之所以能够实现，是由于 AWS 环境中 AMI 选择的配置错误： 软件使用 ec2:DescribeImages API 检索 AMI 时未指定所有者 脚本使用通配符而不是具体的 AMI ID 一些基础设施即代码（IaC）工具（如 Terraform）使用“most_recent=true”，自动选择符合过滤条件的最新 AMI 这些条件允许攻击者通过命名资源与受信任的资源相似来插入恶意 AMI。如果没有指定所有者，AWS 会返回所有匹配的 AMI，包括攻击者的 AMI。 如果参数“most_recent”被设置为“true”，受害者的系统会提供最新添加到市场中的 AMI，这可能包括一个名称与合法条目相似的恶意 AMI。 演示检索恶意 AMI 而不是受信任的 AMI 攻击者只需发布一个符合受信任所有者使用的模式的 AMI 名称，用户就很容易选择它并启动一个 EC2 实例。 “whoAMI”攻击不需要突破目标的 AWS 账户。攻击者只需要一个 AWS 账户，将他们的后门 AMI 发布到公共社区 AMI 目录中，并战略性地选择一个模仿目标 AMI 的名称。 DataDog 表示，根据他们的遥测数据，他们监控的大约 1% 的组织容易受到“whoAMI”攻击，但“这一漏洞可能影响数千个不同的 AWS 账户”。 亚马逊的回应和防御措施 DataDog 研究人员通知了亚马逊这一漏洞，该公司确认内部非生产系统容易受到“whoAMI”攻击。 问题在 2024 年 9 月 19 日得到修复，12 月 1 日，AWS 引入了一个名为“Allowed AMIs”的新安全控制功能，允许客户创建受信任 AMI 提供商的允许列表。 AWS 表示，除了安全研究人员的测试外，该漏洞未被利用，因此没有客户数据通过“whoAMI”攻击被泄露。 亚马逊建议客户在使用“ec2:DescribeImages”API 时始终指定 AMI 所有者，并启用“Allowed AMIs”功能以获得额外保护。 新功能可通过 AWS 控制台 → EC2 → 账户属性 → Allowed AMIs 访问。 从 2024 年 11 月开始，Terraform 5.77 在使用“most_recent = true”而没有所有者过滤器时开始向用户发出警告，并计划在未来的版本（6.0）中实施更严格的措施。 系统管理员必须审查他们的配置并更新 AMI 源代码（Terraform、AWS CLI、Python Boto3 和 Go AWS SDK），以安全地检索 AMI。 要检查是否正在使用不受信任的 AMI，可以通过“Allowed AMIs”启用 AWS 审计模式，并切换到“强制模式”以阻止它们。 DataDog 还发布了一个扫描器，用于检查 AWS 账户中由不受信任的 AMI 创建的实例，可在 GitHub 仓库 中获取。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络与云安全领域近期出现了一种利用 Webflow 内容分发网络（CDN）上的虚假 PDF 文档进行的广泛网络钓鱼活动，其目的是窃取信用卡信息并实施金融诈骗。 “攻击者针对在搜索引擎上查找文档的受害者，使他们访问到包含嵌入式 CAPTCHA 图像的恶意 PDF，该图像中嵌入了一个钓鱼链接，诱使受害者提供敏感信息。” Netskope 威胁实验室研究员简・迈克尔・阿尔坎塔拉（Jan Michael Alcantara）表示。 自 2024 年下半年以来，这种活动一直在进行。用户在谷歌等搜索引擎上查找书名、文档和图表时，会被重定向到托管在 Webflow CDN 上的 PDF 文件。这些 PDF 文件中嵌入了一个模仿 CAPTCHA 挑战的图像，导致点击该图像的用户被带到了一个钓鱼页面，而这次页面上托管的是一个真实的 Cloudflare Turnstile CAPTCHA。 通过这种方式，攻击者试图为这一过程披上一层合法的外衣，欺骗受害者认为他们进行了一次安全检查，同时也规避了静态扫描器的检测。 完成真实 CAPTCHA 挑战的用户随后会被重定向到一个包含“下载”按钮的页面，以访问所谓的文档。然而，当受害者尝试完成此步骤时，他们会收到一个弹出消息，要求输入个人和信用卡信息。 “在输入信用卡信息后，攻击者会发送一条错误消息，表明信息未被接受。” 迈克尔・阿尔坎塔拉说，“如果受害者再次提交两到三次信用卡信息，他们将被重定向到一个 HTTP 500 错误页面。” 与此同时，SlashNext 详细披露了一种名为 Astaroth 的新型网络钓鱼工具包（不要与同名的银行恶意软件混淆），该工具包在 Telegram 和网络犯罪市场上以 2000 美元的价格出售，提供六个月的更新和绕过技术。 像网络钓鱼即服务（PhaaS）一样，它允许网络犯罪分子通过模仿流行在线服务的虚假登录页面来收集凭证和双因素认证（2FA）代码。 “ Astaroth 利用 Evilginx 风格的反向代理拦截和操纵受害者与合法认证服务（如 Gmail、Yahoo 和 Microsoft）之间的流量。” 安全研究员丹尼尔・凯利（Daniel Kelley）表示，“作为中间人，它实时捕获登录凭证、令牌和会话 cookie，有效绕过了 2FA。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司表示，最近在Kraken勒索软件团伙的泄露网站上发布的文件，涉及的数据来源于三年前的网络攻击。 这些数据，包含一份似乎从思科系统中被窃取的凭证列表，近日出现在Kraken勒索软件团伙的新数据泄露网站上。 思科发言人回应SecurityWeek的询问时表示：“思科已知有关安全事件的报告。报告中提到的事件发生在2022年5月，且我们当时已完全解决了该事件。” 他还表示：“根据我们的调查，事件并未对客户造成任何影响。” 思科曾在2022年8月详细说明了这一网络攻击事件。当时，一个名为Yanluowang的勒索软件团伙将思科列为其泄露网站的受害者，声称窃取了数GB的信息。 该事件被归咎于俄罗斯关联的威胁行为者UNC2447，该团伙以使用FiveHands和HelloKitty勒索软件而闻名。事件还与臭名昭著的Lapsus$黑客团伙有关，该团伙在2022年底解散，原因是两名英国成员被逮捕并定罪，此外，还与Yanluowang团伙有关。 2022年9月，攻击者公开了从思科窃取的文件，思科确认这些数据确实来源于其网络。 就在上周末，其中一部分数据——包括用户名、标识符和密码哈希值——出现在Kraken的泄露网站上，目前该网站总共有六篇相关帖子。 Kraken似乎是HelloKitty勒索软件团伙的重新品牌化，正如泄露网站所提到的，这也解释了为何他们会拥有这些思科的数据。 该团伙多次更换名字，可能是为了通过重提旧有攻击来吸引对新品牌的关注。 消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti发布了针对Ivanti Connect Secure（ICS）、Ivanti Policy Secure（IPS）和Ivanti Secure Access Client（ISAC）的安全更新，修复了多个漏洞，其中包括三项严重漏洞。 该公司通过其负责任的披露计划，收到了来自CISA、Akamai的安全研究人员以及HackerOne漏洞赏金平台的报告，才得知这些漏洞。 Ivanti在安全公告中指出，尚未收到这些问题在实际环境中被积极利用的报告。然而，Ivanti建议用户尽快安装安全更新。 三个关键的安全漏洞 Ivanti修复的三项关键安全漏洞如下： CVE-2025-22467：ICS中的基于堆栈的缓冲区溢出漏洞，允许具有低权限的远程认证攻击者执行代码（严重性评分：9.9）。 CVE-2024-38657：外部控制文件名漏洞，允许远程认证攻击者在ICS和IPS中执行任意文件写入（严重性评分：9.1）。 CVE-2024-10644：代码注入漏洞，允许远程认证攻击者在ICS和IPS中执行远程代码（严重性评分：9.1）。 利用这三项漏洞可以从远程位置进行攻击，但攻击者需要先进行身份认证。并且，其中两项漏洞需要管理员权限才能执行远程代码或写入任意文件。 尽管如此，风险仍然相当大，因为内部威胁或通过钓鱼、先前的泄露或暴力破解密码窃取凭证的攻击者，依然可以利用这些漏洞进行恶意操作。 此外，公告中还列出了五个中到高严重性的漏洞，包括跨站脚本（XSS）漏洞、硬编码密钥、敏感数据以明文存储以及权限不足等问题。 影响版本 这些漏洞影响的版本包括： ICS 22.7R2.5及更早版本 IPS 22.7R1.2及更早版本 ISAC 22.7R4及以下版本 每个漏洞影响的具体产品版本详情，请参见下表。 这些问题已经在ICS 22.7R2.6、IPS 22.7R1.3和ISAC 22.8R1中修复，系统管理员应升级至这些版本。 Pulse Connect Secure 9.x Ivanti还确认该问题也影响Pulse Connect Secure 9.x版本，但表示由于这些产品的支持期已经结束，因此不会为这些版本提供修复。 Ivanti解释称：“Pulse Connect Secure 9.x版本于2024年6月达到了工程结束，并且自2024年12月31日起已结束支持。” “因此，9.x版本的Connect Secure不再接收回溯修复，”公司补充道，并鼓励客户升级到Ivanti Connect Secure 22.7版本。 Ivanti未提供对已修复漏洞的任何缓解措施，安装最新更新是推荐的解决方案。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月12日，Bill Toulas报道——一个名为“Sarcoma”的新型勒索病毒组织近日声称对中国台湾大型印刷电路板（PCB）制造商Unimicron发起了攻击。 黑客发布了他们声称从该公司系统中窃取的文件样本，并威胁如果不支付赎金，将于下周泄露所有数据。 在Sarcoma的泄密网站上，黑客于昨日更新了新的信息，称他们目前掌握着从Unimicron公司窃取的377GB SQL文件和文档。 Unimicron被列入Sarcoma受害者名单 Unimicron是一家公开上市公司，主要生产刚性和柔性印刷电路板（PCB）、高密度互连（HDI）板以及集成电路（IC）载体。 该公司是全球最大的PCB制造商之一，在中国、德国和日本设有工厂和服务中心。其产品广泛应用于LCD显示器、计算机、外设以及智能手机等领域。 Unimicron在台湾证券交易所（TWSE）公告中披露称，2月1日公司遭遇了一次勒索病毒攻击，造成运营中断。 根据公告，该事件发生在1月30日，影响了Unimicron旗下的中国子公司——深圳市友米科技有限公司。 该公司表示，攻击的影响范围有限，并已聘请外部网络取证团队进行事件分析并协助实施防御措施。 然而，Unimicron并未确认是否发生了数据泄露。与此同时，Sarcoma在勒索平台上泄露的样本看起来似乎是真实的。 BleepingComputer已联系Unimicron，要求其就Sarcoma的指控发表更新声明，但尚未得到回复。 Sarcoma勒索病毒于2024年10月首次发动攻击，并迅速成为当月最活跃和高产的勒索病毒团伙之一，声称已攻陷36个受害者。 2024年11月，网络安全专家CYFIRMA警告称：“Sarcoma勒索病毒因其激进的攻击手法和不断增加的受害者数量，正迅速成为一个重大威胁。” 2024年12月，工业网络威胁情报公司Dragos将Sarcoma列为全球工业组织最重要的新兴威胁之一。 RedPiranha的报告提供了关于Sarcoma的更多细节，解释了该组织利用钓鱼邮件和n天漏洞利用手段获得初步访问权限，并且已通过供应链攻击从服务供应商转向其客户。 在渗透成功后，Sarcoma进行RDP利用、横向移动和数据窃取等活动。 然而，虽然该威胁团伙的行动显示出其在该领域的经验，但其具体工具尚未被分析，因此其操作的来源和战术仍未完全解码。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据微软报告，与俄罗斯有关的威胁组织Seashell Blizzard已指派其一个分支获取面向互联网的基础设施的初始访问权，并在目标组织中建立长期驻留。 Seashell Blizzard也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear，自 2009 年以来一直活跃，据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。 该威胁组织以从事间谍活动、信息行动和网络破坏而闻名，例如破坏性的 KillDisk (2015)、MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和 Prestige (2022) 攻击。 Seashell Blizzard针对关键基础设施发起攻击，包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统，并已在军事行动中得到利用，尤其是在乌克兰。 微软在周三的一份报告中指出：“自 2023 年 4 月以来，Seashell Blizzard已加大了对该地区军事社区的攻击力度，可能是为了获取战术情报。他们持续瞄准乌克兰，这表明Seashell Blizzard的任务是获取并保留对高优先级目标的访问权，为俄罗斯军事和政府提供一系列未来行动选项。” 在过去四年中，Seashell Blizzard内部的一个小组一直致力于一项广泛的初始访问行动，称为“BadPilot 活动”，目的是在高价值目标中建立持久性，以支持定制的网络操作。 微软解释说：“Seashell Blizzard内部的这个小组至少从 2021 年就开始活跃，他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动，有时会导致严重的区域网络入侵。” 微软表示，该子组织的活动使Seashell Blizzard能够接触多个领域的全球目标（包括国际政府），从而横向扩大业务规模。 去年，该小组扩大了其目标列表，包括美国和英国的组织，主要通过利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 的漏洞。 微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改，以被动收集网络凭据，并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。 微软指出：“鉴于Seashell Blizzard是俄罗斯在乌克兰的网络先锋，微软威胁情报评估认为，这个访问小组将继续创新新的扩展技术，入侵乌克兰和全球网络，以支持俄罗斯的战争目标和不断变化的国家优先事项。”   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化货币借贷平台 zkLend 遭受了一次安全漏洞攻击，攻击者利用智能合约漏洞窃取了 3600 枚以太坊，当时价值 950 万美元。 zkLend 是建立在 Starknet 上的去中心化货币市场协议，而 Starknet 是以太坊的第二层扩展解决方案。该平台允许用户存入、借入和借出各种资产。 此次攻击发生在昨天下午，zkLend 在 X 平台上警告称其遭受了一起网络安全事件。 据 EthSecurity Telegram 频道消息，攻击者利用了 zkLend 智能合约中的取整错误漏洞。 该频道的一篇帖子写道：“攻击者将‘lending_accumulator’操纵为一个非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的取整错误，反复存入 4.069297906051644021 wstETH，获得 2 wei，随后提取 4.069297906051644020*1.5 – 1 = 6.103946859077466029 wstETH，仅消耗 1 wei。” Starkware 是 Starknet 网络的开发者，其确认该漏洞并非 Starknet 技术的一部分，而是特定于应用程序的漏洞。 据 Cyvers 称，攻击者试图通过 RailGun 隐私协议洗钱，但由于协议政策被阻止。 zkLend 现已向黑客发出消息，表示如果对方归还 90% 的被盗以太坊（即 3300 枚 ETH），他们可以保留剩余的 10%，并且不会因此次攻击承担任何责任。 zkLend 在链上向黑客发送的消息中写道：“我们知道你对今天 zkLend 的攻击负责。你可以保留 10% 的资金作为白帽赏金，并将剩余的 90%，即 3300 枚 ETH，归还到这个以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C。” “在收到转账后，我们同意放弃与此次攻击相关的所有责任。” “我们目前正在与安全公司和执法部门合作。如果我们没有在 2025 年 2 月 14 日世界协调时 00:00 之前收到你的回复，我们将采取下一步行动来追踪和起诉你。” 加密货币窃贼需在 2 月 13 日下午 7:00（美国东部标准时间）之前归还 90% 的被盗资金，之后 zkLend 将采取法律行动。 目前尚未收到黑客的任何回复，这在类似情况下通常是如此。尚未有威胁行为者被认定为此次攻击的幕后黑手。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于本周二发布了针对其软件产品的安全更新，修复了63个漏洞，其中包括2个已被积极利用的漏洞。 这63个漏洞中，3个被评为严重（Critical），57个为重要（Important），1个为中等（Moderate），2个为低危（Low）。除此之外，微软还解决了自上个月补丁星期二更新以来，针对其基于Chromium的Edge浏览器的23个漏洞。 此次更新的重点是修复了两个被积极利用的漏洞： CVE-2025-21391（CVSS评分：7.1）——Windows存储权限提升漏洞 CVE-2025-21418（CVSS评分：7.8）——Windows辅助功能驱动程序（WinSock）权限提升漏洞 微软在关于CVE-2025-21391的警报中表示：“攻击者仅能删除系统上的特定文件。该漏洞不会泄露任何机密信息，但可能允许攻击者删除数据，导致服务不可用。” Action1公司总裁兼联合创始人Mike Walters指出，该漏洞可能与其他漏洞结合使用，从而提升权限并执行后续操作，复杂化恢复工作，攻击者也可能通过删除重要的取证资料来掩盖其行踪。 另一方面，CVE-2025-21418是涉及AFD.sys的权限提升漏洞，攻击者可利用该漏洞获得系统级权限（SYSTEM权限）。 值得注意的是，去年8月，Gen Digital披露了相同组件中的类似漏洞CVE-2024-38193，该漏洞已被朝鲜黑客组织Lazarus Group利用。2024年2月，微软也修复了一个影响AppLocker驱动程序（appid.sys）的Windows内核权限提升漏洞CVE-2024-21338，该漏洞也曾被Lazarus Group利用。 这些攻击链之所以引人注目，是因为它们超越了传统的“带入易受攻击驱动程序”（BYOVD）攻击，而是利用了Windows本地驱动程序中的安全漏洞，从而无需在目标环境中引入其他驱动程序。 目前尚不清楚CVE-2025-21418的滥用是否与Lazarus Group有关。美国网络安全和基础设施安全局（CISA）已将这两个漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在2025年3月4日前应用相关补丁。 此次更新中，微软解决的最严重漏洞是CVE-2025-21198（CVSS评分：9.0），一个高性能计算（HPC）包中的远程代码执行（RCE）漏洞。 微软表示：“攻击者可通过向目标头节点或Linux计算节点发送特制的HTTPS请求，进而执行远程代码，并能够在连接到目标头节点的其他集群或节点上执行代码。” 此外，另一个远程代码执行漏洞CVE-2025-21376（CVSS评分：8.1）影响Windows轻量目录访问协议（LDAP），攻击者可通过发送特制请求执行任意代码。不过，成功利用该漏洞需要攻击者在竞争条件下获胜。 Immersive Labs的网络安全工程师Ben McCarthy表示：“鉴于LDAP是Active Directory的核心组件，后者支撑着企业环境中的身份验证和访问控制，若被攻破，可能导致横向渗透、权限提升以及广泛的网络入侵。” 此外，更新还修复了一个NTLMv2哈希泄露漏洞CVE-2025-21377（CVSS评分：6.5），如果成功利用，攻击者可冒充目标用户进行身份验证。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的黑客组织Kimsuky近日被发现使用一种新策略，通过欺骗目标以管理员身份运行PowerShell，随后指示受害者粘贴并执行其提供的恶意代码。 微软威胁情报团队在X平台上发布的一系列帖子中表示：“为了执行这一战术，黑客伪装成韩国政府官员，并与目标建立信任关系，之后通过钓鱼邮件发送带有PDF附件的邮件。” 受害者被说服点击包含Windows系统注册步骤链接的URL，以查看所谓的PDF文档。该注册链接要求受害者以管理员身份启动PowerShell并将显示的代码片段复制并粘贴到终端中执行。 如果受害者照做，恶意代码将下载并安装基于浏览器的远程桌面工具，并从远程服务器下载包含硬编码PIN的证书文件。 微软表示：“该代码随后向远程服务器发送网页请求，使用下载的证书和PIN注册受害者的设备。这使得黑客能够访问该设备并进行数据外泄。” 微软还表示，自2025年1月以来，该攻击方法在少数攻击中得到了应用，并称其与Kimsuky黑客组织以往的攻击手法有所不同。 值得注意的是，Kimsuky并非唯一采用这种攻击策略的朝鲜黑客组织。2024年12月，调查显示，与“传染性面试”活动相关的黑客组织也通过类似方式欺骗用户，在Apple macOS系统的终端应用中复制并执行恶意命令，声称是为了解决浏览器无法访问摄像头和麦克风的问题。 此类攻击在近几个月内迅速增加，部分原因在于它们依赖目标自行感染机器，从而绕过了安全防护。 亚利桑那州女子承认为朝鲜IT工人运营“笔记本电脑农场” 与此同时，美国司法部（DoJ）宣布，亚利桑那州一名48岁女子因参与诈骗IT工人计划认罪，该计划使朝鲜黑客能够冒充美国公民和居民，在超过300家美国公司获得远程工作机会。 司法部表示，从2020年10月到2023年10月，这一活动为Christina Marie Chapman和朝鲜非法获利超过1710万美元，违反了国际制裁。 司法部称：“作为美国公民，Chapman与海外IT工人合作，从2020年10月到2023年10月，盗取美国国民的身份，并利用这些身份申请远程IT工作，进一步实施计划时，向国土安全部传递虚假文件。” “Chapman和她的同谋在数百家美国公司获得了工作机会，包括财富500强公司，通常是通过临时工作人员公司或其他承包机构。” 被告于2024年5月被捕，她还被指控通过在家中设置多个笔记本电脑，运营一个“笔记本电脑农场”，制造出朝鲜工人正在国内工作的假象，实际上这些工人位于中国和俄罗斯，通过远程连接到公司的内部系统。 司法部补充道：“由于Chapman及其同谋的行为，超过300家美国公司受影响，超过70个美国公民身份被泄露，超过100次向DHS传递虚假信息，超过70名美国人被错误地创建了税务责任。” 随着执法部门加大对这一IT工人计划的审查，相关的数据外泄和勒索行为不断升级。 美国联邦调查局（FBI）在上个月发布的通报中表示：“在被发现连接到公司网络后，朝鲜IT工人通过扣押窃取的专有数据和代码进行勒索，直到公司满足赎金要求。”FBI还表示：“在某些情况下，朝鲜IT工人已公开发布受害公司专有代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe公司在周二发布了针对多个产品中至少45个已记录漏洞的补丁，并警告称这些软件缺陷会使用户面临远程代码执行攻击的风险。 其中最严重的问题是Adobe Commerce中存在的一大批关键漏洞，可能导致任意代码执行、安全功能绕过和权限提升。 位于加利福尼亚州圣何塞的软件供应商对Adobe Commerce的安全公告给出了“严重”评级，并敦促企业客户紧急应用可用的补丁。 该公司还为Adobe InDesign修复了至少4个严重级别的漏洞，警告称内存安全问题（如越界写入和缓冲区溢出）会带来重大的代码执行风险。 Adobe Illustrator、Adobe InCopy和Substance 3D Designer产品也获得了安全更新，以修复多个关键的远程代码执行漏洞。 在周二的补丁更新中，Adobe还涉及了广受欢迎的Adobe Photoshop和Photoshop Elements应用程序，并警告存在权限提升风险。 此外，Adobe公司还警告称其Substance 3D Stager工具容易受到拒绝服务攻击的影响。 Adobe表示，目前尚未发现这些已记录漏洞在现实环境中被利用的情况，但强烈建议用户和IT管理员通过Creative Cloud桌面应用程序或使用每个产品的内置更新机制安装修复补丁。 对于托管企业部署，组织应利用Adobe管理控制台或Creative Cloud打包器，迅速将修复程序推送给最终用户。 鉴于本月披露的漏洞严重性，安全专家建议安全团队在打补丁后进行后续评估，包括常规系统监控和应用程序测试。   消息来源：Security Week, 编译：zhongx； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 远程连接管理解决方案的领先提供商 Devolutions 发布安全公告，称其 Remote Desktop Manager（RDM）产品在多个平台上存在严重漏洞。这些漏洞可能允许攻击者拦截和篡改加密通信，进而危及敏感数据和系统安全。 漏洞源于 RDM 证书验证逻辑的缺陷。在 Windows 平台上（CVE-2025-1193，CVSSv4 评分为 8.5），证书验证未能校验主机；而在其他平台上（CVE-2024-11621，CVSSv4 评分为 8.6），证书验证完全缺失，会无提示地接受任何证书。 公告指出：“具体来说，在 Windows 平台上，证书验证未校验主机。在其他平台上，证书验证缺失，会无提示地接受任何证书。” 这些漏洞可能使攻击者发动中间人攻击，拦截并篡改用户与远程系统之间的加密流量，从而导致凭据被盗和未经授权访问敏感数据。 Devolutions 已为所有受影响平台发布补丁，强烈建议用户和管理员立即升级： 平台 受影响版本 修复版本 Windows 2024.3.19 及更早版本 2024.3.20.0+ macOS 2024.3.9.0 及更早版本 2024.3.10.3+ Linux 2024.3.2.5 及更早版本 2024.3.2.9+ Android 2024.3.3.7 及更早版本 2024.3.4.2+ iOS 2024.3.3.0 及更早版本 2024.3.4.0+ PowerShell 2024.3.6.0 及更早版本 2024.3.7.0+ 依赖 Remote Desktop Manager 的组织应立即采取行动，确保运行最新安全版本。   消息来源：Security Online；编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 EclecticIQ 威胁分析师披露，俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰的 Windows 用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行攻击。这些攻击可能始于 2023 年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的 ProtonMail 账号注册攻击域名，被 EclecticIQ 确认为与 Sandworm 黑客相关。 攻击者还利用 BACKORDER 加载器部署 DarkCrystal RAT（DcRAT）恶意软件（此前 Sandworm 攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。 EclecticIQ 识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和 TTPs。最近一次是在 2025 年 1 月 12 日，分析师观察到攻击者利用拼写错误的域名，通过 DcRAT 远程访问木马进行数据泄露攻击。 一旦在受害者的设备上部署，假冒的 KMS 激活工具会显示一个伪造的 Windows 激活界面，在后台安装恶意软件加载器，并禁用 Windows Defender，随后传递最终的 RAT 负载。 这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器 Cookie、浏览历史记录、保存的凭据、FTP 凭据、系统信息和屏幕截图。 Sandworm 使用恶意 Windows 激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。EclecticIQ 表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为 Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。 Sandworm（也被追踪为 UAC-0113、APT44 和 Seashell Blizzard）是一个自 2009 年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第 74455 军事单位，主要针对乌克兰发动破坏性和破坏性攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 更新（2025 年 2 月 11 日 19:32）：在发布报道后，Fortinet 告知我们，今日新增至 FG-IR-24-535 的 CVE-2025-24472 漏洞并非零日漏洞，已于 1 月修复。尽管今日更新的公告显示两个漏洞均被用于攻击，并为新发现的 CSF 代理请求利用路径提供了临时解决方案，但 Fortinet 表示只有 CVE-2024-55591 被利用。Fortinet 向 BleepingComputer 表示，如果客户此前根据 FG-IR-24-535/CVE-2024-55591 的指导进行了升级，则已对新披露的漏洞具备防护能力。本报道标题已更新以反映这一新信息，原文如下： Fortinet 今日警告称，攻击者正在利用 FortiOS 和 FortiProxy 中的另一个已修复的零日漏洞，劫持 Fortinet 防火墙并入侵企业网络。成功利用该认证绕过漏洞（CVE-2025-24472）可使远程攻击者通过构造恶意的 CSF 代理请求获得超级管理员权限。该漏洞影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0.19 以及 FortiProxy 7.2.0 至 7.2.12 版本。Fortinet 已在 FortiOS 7.0.17 及以上版本以及 FortiProxy 7.0.20/7.2.13 及以上版本中修复了该漏洞。 Fortinet 在上月发布的安全公告中新增了该漏洞的 CVE 编号，此前公告已警告客户有攻击者正在利用 FortiOS 和 FortiProxy 中的零日漏洞（编号 CVE-2024-55591），该漏洞影响相同版本的软件。然而，已修复的 CVE-2024-55591 漏洞可通过向 Node.js websocket 模块发送恶意请求进行利用。 据 Fortinet 介绍，攻击者利用这两个漏洞在受影响设备上生成随机管理员或本地用户账号，并将其添加到新的或现有的 SSL VPN 用户组中。攻击者还被发现修改防火墙策略及其他配置，并使用之前建立的恶意账号登录 SSLVPN 实例，“从而获得通往内部网络的隧道”。尽管 Fortinet 未提供更多关于此次攻击活动的信息，但网络安全公司 Arctic Wolf 发布了一份包含匹配入侵指标（IoC）的报告，称自 2024 年 11 月中旬以来，暴露在互联网上的 Fortinet FortiGate 防火墙管理接口一直受到攻击。 “该攻击活动涉及未经授权的管理员登录防火墙管理界面、创建新账号、通过这些账号进行 SSL VPN 认证以及各种其他配置变更，”Arctic Wolf Labs 表示。“虽然尚未最终确认初始攻击向量，但零日漏洞的可能性极高。各组织应尽快紧急禁用公开界面上的防火墙管理访问权限。” Arctic Wolf Labs 还提供了 CVE-2024-55591 大规模利用攻击的时间线，称其包含四个独特阶段： 漏洞扫描阶段（2024 年 11 月 16 日至 23 日） 侦察阶段（2024 年 11 月 22 日至 27 日） SSL VPN 配置阶段（2024 年 12 月 4 日至 7 日） 横向移动阶段（2024 年 12 月 16 日至 27 日） “鉴于不同入侵事件之间在手法和基础设施方面存在细微差别，可能有多个个人或团体参与了此次攻击活动，但 jsconsole 使用情况是贯穿始终的共同点。”此外，Arctic Wolf Labs 表示已于 2024 年 12 月 12 日通知 Fortinet 关于此次攻击的情况，并在五天后收到来自该公司产品安全事件响应团队（PSIRT）的确认，称该活动已知且正在调查中。 Fortinet 建议无法立即部署安全更新的管理员，通过禁用 HTTP/HTTPS 管理界面或通过本地策略限制可访问该界面的 IP 地址，作为临时解决方案来保护易受攻击的防火墙。BleepingComputer 已联系 Fortinet 发言人征求意见，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Ubuntu 22.04 打印子系统中的一个漏洞被发现，该漏洞位于 “ippusbxd” 包中，可能允许攻击者在锁定的笔记本电脑上执行任意代码。 不过，现代编译器的功能缓解了这一风险，防止了漏洞被利用到系统崩溃之外的程度。该漏洞是在对 macOS 打印子系统的代码审计中发现的，macOS 的打印子系统与开源的 CUPS 包有共同的基础。 Talos 研究人员将注意力转向了 IPP-USB 协议，该协议通过互联网打印协议（IPP）为通过 USB 连接的打印机启用网络打印。Ubuntu 22.04 中负责处理 IPP-USB 功能的 “ippusbxd” 包成为了调查的重点。 在检查代码时，由 “-Wstringop-overflow” 标志触发的编译器警告显示，get_format_paper 函数可能存在缓冲区溢出漏洞。该函数解析打印机在初始化时报告的纸张尺寸信息，漏洞源于使用了以源操作数的长度而不是目标缓冲区的大小为长度参数的 strncpy。 攻击者可以通过连接一个报告超大媒体尺寸的恶意打印机来利用这一漏洞，从而导致缓冲区溢出。Talos 情报的 Aleksandar Nikolich 通过分析代码上下文确认了该漏洞，揭示了一个精心设计的 “media-size-supported” 负载可以覆盖堆栈缓冲区。在锁定的笔记本电脑上利用这一漏洞，攻击者可以以提升的权限执行任意代码。 研究人员开发了一个概念验证（PoC）漏洞利用，使用 Raspberry Pi Zero 模拟 USB 打印机来展示该漏洞的潜在危害。通过修改 PAPPL 打印机小工具，模拟的打印机被配置为使用名为 “EXPLOIT_STRING” 的环境变量报告恶意媒体尺寸。当将 Raspberry Pi Zero 连接到目标 Ubuntu 机器时，ippusbxd 守护进程因段错误而崩溃，确认了漏洞的触发。 然而，进一步分析崩溃情况发现，由于编译器功能 “FORTIFY_SOURCE” 的存在，预期的内存损坏和潜在的代码执行被阻止。该功能会自动将潜在不安全的函数替换为更安全的替代品，并在缓冲区溢出发生之前检测到该条件。因此，该漏洞的影响仅限于导致系统崩溃，因为程序会在检测到溢出时明确终止。 研究人员强调，这一事件凸显了现代编译器功能（如静态分析）以及强大的缓解技术（如 “FORTIFY_SOURCE”）的重要性。当默认启用这些功能时，它们可以有效防止漏洞的利用。此外，该事件也强调了在开发过程中积极解决编译器警告的重要性。 在这一特定案例中，该漏洞的潜在影响进一步被削弱，因为 “ippusbxd” 包已被 “ipp-usb” 包取代。新包是用内存安全语言实现的，消除了缓冲区溢出的风险。尽管 Ubuntu 22.04 作为长期支持版本是一个例外，但较新的版本已转向使用 “ipp-usb”。 用户建议 Ubuntu 22.04 LTS 用户：确保安装了 ipp-usb，并在存在时移除 ippusbxd。 所有系统：通过运行 sudo apt update && sudo apt upgrade 应用更新，并重启打印服务。 物理安全：限制 USB 设备的访问，以防止未经授权的硬件连接。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文