Aggregator

A vulnerability classified as critical has been found in Quickheal AntiVirus Pro 7.0.0.1. This affects an unknown part in the library pepoly.dll. The manipulation leads to memory corruption. This vulnerability is uniquely identified as CVE-2013-6767. The attack needs to be approached locally. Furthermore, there is an exploit available.

error code: 521

HackerNews 编译，转载请注明出处： 一种全新的Microsoft 365钓鱼即服务（PaaS）平台，名为“FlowerStorm”，正在网络空间中迅速崛起，并成功填补了此前Rockstar2FA网络犯罪服务平台因意外关闭而留下的市场空缺。 据Trustwave的记录显示，Rockstar2FA作为一种专门支持大规模中间人攻击（AiTM）的PaaS平台，其主要目标是窃取Microsoft 365用户的凭证信息。该平台以其先进的规避技术、直观易用的控制面板以及多样化的钓鱼选项，向网络犯罪分子提供了为期两周的访问权限，费用高达200美元。 然而，在2024年11月11日，Rockstar2FA遭遇了部分基础设施的重大故障，导致多个服务页面无法正常访问。Sophos的研究员Sean Gallagher和Mark Parsons指出，此次故障似乎并非由执法机构的行动引发，而更可能源于技术层面的失误。 就在Rockstar2FA陷入困境的几周后，FlowerStorm这一新平台悄然出现在网络上，并迅速吸引了大量关注。   Rockstar2FA的检测情况 Sophos的研究发现，新兴的FlowerStorm服务与之前的Rockstar2FA在多个方面存在显著共性，这引发了人们对其是否为同一运营者为了降低曝光风险而改名的猜测。具体而言，Sophos识别出以下相似之处： 两个平台都使用模拟合法登录页面（如Microsoft）的钓鱼门户来窃取凭证和多因素认证（MFA）令牌，依赖于托管在.ru和.com等域名上的后台服务器。Rockstar2FA使用随机PHP脚本，而FlowerStorm则统一使用next.php。 钓鱼页面的HTML结构非常相似，包含随机文本注释、Cloudflare“旋转门”安全功能和类似“初始化浏览器安全协议”的提示。Rockstar2FA使用汽车主题，而FlowerStorm则改为植物主题，但底层设计保持一致。 凭证收集方法高度一致，使用诸如电子邮件、密码和会话跟踪令牌等字段。两个平台都支持通过后台系统进行电子邮件验证和MFA认证。 域名注册和托管模式有显著重叠，广泛使用.ru和.com域名及Cloudflare服务。它们的活动模式在2024年底显示出同步的波动，可能暗示有协调行动。 两个平台都出现了操作失误，暴露了后台系统，并展示了高度可扩展性。Rockstar2FA管理超过2000个域名，而FlowerStorm在Rockstar2FA崩溃后迅速扩展，暗示共享框架。 Sophos总结道：“尽管我们不能完全确定Rockstar2FA与FlowerStorm之间存在直接的关联，但两者在工具包内容上的高度相似性表明它们至少有着共同的起源或技术背景。”同时，Sophos也指出，“域名注册的相似模式可能反映了FlowerStorm和Rockstar在某种程度上的协调合作，但也有可能是市场力量驱动的结果。” 无论FlowerStorm的崛起背后有何种故事，对于用户和组织而言，它都是一个不容忽视的新威胁。该平台支持破坏性的钓鱼攻击，可能导致全面的网络入侵和数据泄露。 Sophos的遥测数据显示，约63%的组织和84%的FlowerStorm攻击目标用户位于美国。其中，服务、制造业、零售和金融服务等行业成为最受攻击的目标。 为了有效防范钓鱼攻击，建议用户和组织采取以下措施： 使用支持AiTM抗性FIDO2令牌的多因素认证（MFA）技术； 部署电子邮件过滤解决方案以拦截恶意邮件； 使用DNS过滤技术来阻止对可疑域名的访问（如.ru、.moscow和.dev等）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

主站 分类 漏洞 工具 极客

一些热门的npm包遭到入侵，攻击者利用窃取到的令牌将带有加密挖矿恶意软件的版本发布到了官方包注册表中。

主站 分类 漏洞 工具 极客

Builder.ai由于数据库配置错误，该平台遭遇了重大数据泄露事件，共计泄露数据超过300万条，1.29TB。

error code: 521

HackerNews 编译，转载请注明出处： 已修复的Fortinet FortiClient EMS严重安全漏洞CVE-2023-48788（CVSS评分高达9.3）目前正被恶意攻击者利用。该漏洞是一种SQL注入漏洞，允许攻击者通过发送精心构造的数据包来执行未经授权的代码或命令。 据俄罗斯网络安全公司Kaspersky透露，2024年10月，一家未透露名称的公司因Windows服务器暴露在互联网上且存在两个与FortiClient EMS相关的开放端口而成为了攻击目标。这家公司使用Fortinet技术为员工提供安全的VPN访问权限，并允许员工将特定的策略下载到公司设备上。 攻击者首先利用CVE-2023-48788漏洞作为初始访问途径，随后通过部署远程桌面软件如AnyDesk和ScreenConnect获得远程访问受损主机的权限。Kaspersky的分析指出，在初次安装后，攻击者开始向受感染系统上传额外的有效载荷，进行发现与横向移动活动，如枚举网络资源、尝试获取凭证、执行防御规避技术，并通过AnyDesk远程控制工具生成进一步的持久性。 攻击过程中部署的一些其他重要工具包括： webbrowserpassview.exe，一款密码恢复工具，用于显示存储在Internet Explorer（版本4.0至11.0）、Mozilla Firefox（所有版本）、Google Chrome、Safari和Opera中的密码。 Mimikatz netpass64.exe，一款密码恢复工具 netscan.exe，一款网络扫描工具 据信，这场攻击的幕后黑手针对了多家位于不同国家的公司，包括巴西、克罗地亚、法国、印度、印尼、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋等，并利用了不同的ScreenConnect子域名。 Kaspersky还表示，它在2024年10月23日检测到了另一起利用CVE-2023-48788漏洞的攻击。这次攻击执行了一个托管在webhook[.]site域名上的PowerShell脚本，旨在扫描易受该漏洞影响的系统并“收集来自易受攻击目标的响应”。 这一披露发生在网络安全公司Forescout在8个月前揭露类似的攻击活动后，后者也利用了CVE-2023-48788漏洞，部署了ScreenConnect和Metasploit Powerfun有效载荷。 “对这一事件的分析帮助我们确定了攻击者当前用于部署远程访问工具的技术，正在不断更新和增加复杂性，”研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： Sophos发布了热修复程序，修复了其防火墙产品中的三个安全漏洞，这些漏洞可能被利用来实现远程代码执行，并在特定条件下允许特权系统访问。 其中两个漏洞的严重性被评为“关键”，但截至目前，没有证据表明这些漏洞已被大规模地利用以进行攻击。以下是漏洞的详细信息： CVE-2024-12727 (CVSS评分：9.8)：在电子邮件保护功能中存在一个未经身份验证的SQL注入漏洞，攻击者如果启用了特定配置的Secure PDF eXchange（SPX），并且防火墙运行在高可用（HA）模式下，可能导致远程代码执行。 CVE-2024-12728 (CVSS评分：9.8)：在高可用（HA）集群初始化过程中，由于建议的非随机SSH登录密码短语，存在一个弱口令漏洞，即使在HA建立过程完成后，该密码仍然有效，从而暴露了特权访问帐户（如果SSH已启用）。 CVE-2024-12729(CVSS评分：8.8)：在用户门户中存在一个身份验证后代码注入漏洞，允许经过身份验证的用户获得远程代码执行权限。 该安全厂商表示，CVE-2024-12727 影响大约0.05%的设备，而 CVE-2024-12728 影响约0.5%的设备。这三种漏洞都影响Sophos Firewall 21.0 GA（21.0.0）及更早版本，修复版本如下： CVE-2024-12727 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2） CVE-2024-12728 – v20 MR3、v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2） CVE-2024-12729 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3） 为了确保热修复程序已应用，用户被建议执行以下步骤： CVE-2024-12727 – 从Sophos防火墙控制台启动设备管理>高级Shell，运行命令“cat /conf/nest_hotfix_status”（如果值为320或更高，则表示已应用热修复程序） CVE-2024-12728 和CVE-2024-12729  – 从Sophos防火墙控制台启动设备控制台，运行命令“system diagnostic show version-info”（如果值为HF120424.1或更高，则表示已应用热修复程序） 作为临时解决方法，直到应用补丁，Sophos建议客户将SSH访问限制为仅通过物理隔离的专用HA链路，和/或重新配置HA，使用足够长且随机的自定义密码短语。 用户还可以采取的另一个安全措施是禁用WAN上的SSH访问，并确保用户门户和Web管理界面不暴露在WAN上。 这一安全修复发生在约一周前美国政府对中国公民关天峰提出指控之后，该指控称关天峰利用零日安全漏洞（CVE-2020-12271，CVSS评分高达9.8）侵入了全球大约81,000台Sophos防火墙。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

报告时间：2024年12月27日 周五上午 10:30

error code: 521

HackerNews 编译，转载请注明出处： Rspack开发者近日透露，其两个npm包——@rspack/core与@rspack/cli，不幸遭遇了供应链攻击。攻击者利用未授权的npm发布权限，将含有加密货币挖矿恶意软件的版本上传至官方包管理库中。 在发现该问题后，Rspack团队迅速行动，将存在风险的1.1.7版本从npm注册表中下架，并发布了最新的安全版本1.1.8。 安全供应链领域的专家公司Socket对此进行了分析，指出：“这些被攻击者发布的版本，内含恶意脚本，对系统安全构成严重威胁。” Rspack，这一由字节跳动公司开发的高性能JavaScript打包工具，凭借其Rust编写的高效性，受到了阿里巴巴、亚马逊、Discord和微软等众多公司的青睐。数据显示，受影响的npm包每周下载量分别超过30万和14.5万次。 深入分析感染版本后发现，恶意代码会秘密地将敏感配置信息（如云服务凭证）通过HTTP请求发送至远程服务器（”80.78.28[.]72″），同时还会收集IP地址和位置信息。值得注意的是，此次攻击还特别针对了中国、俄罗斯、中国香港、白俄罗斯和伊朗等地区的机器。 而攻击的最终目的，是在受感染的Linux主机上，通过安装包中的postinstall脚本，自动下载并执行XMRig加密货币挖矿程序。Socket公司表示：“恶意软件通过自动运行的postinstall脚本执行，确保恶意负载无需用户操作即可嵌入目标环境中。” 面对此次攻击，Rspack项目维护者除了发布无恶意代码的新版本外，还采取了多项措施，包括废除所有现有的npm和GitHub令牌、检查代码库和npm包的权限、对源代码进行审计等。目前，针对令牌盗窃的根本原因仍在调查中。 此次事件再次凸显了包管理工具在安全防护方面的不足，需要加强认证检查等保护措施，但即便如此，也无法完全避免此类攻击。 此外，研究还发现，另一npm包vant也遭受了此次供应链攻击的波及。该包每周下载量超过4.1万次。Sonatype公司表示，攻击者成功将多个受感染版本发布至npm注册表，版本范围覆盖2.13.3至4.9.14。 vant项目维护者对此回应称：“此版本旨在修复一个安全问题。我们发现团队成员的npm令牌被窃取，并被用于发布多个含有安全漏洞的版本。我们已经采取措施修复问题，并重新发布了最新版本。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

URLFinder URLFinder is a high-speed, passive URL discovery tool designed to simplify and accelerate web asset discovery, ideal for penetration testers, security researchers, and developers looking to gather URLs without active scanning. Feature Curated...

The post URLFinder: No More Active Scanning for URL Gathering appeared first on Penetration Testing Tools.

error code: 521

HackerNews 编译，转载请注明出处： 日前，一名俄罗斯和以色列双重国籍男子在美国被起诉，涉嫌自2019年或更早开始，至2024年2月至少间歇性地参与开发已停运的LockBit勒索病毒即服务（RaaS）平台。 51岁的Rostislav Panev于今年8月在以色列被捕，当前正等待引渡，美国司法部（DoJ）在一份声明中表示。根据他加密货币钱包的资金转移记录，Panev在2022年6月至2024年2月期间赚取了约23万美元。 美国检察官Philip R. Sellinger表示：“Rostislav Panev多年致力于构建并维护数字武器，支持其LockBit同谋者进行全球破坏，造成数十亿美元的损失。” LockBit是全球最活跃的勒索病毒团伙之一，其基础设施在2024年2月被国际执法行动“Cronos”查封。该团伙因攻击全球至少120个国家的2500多个实体而声名狼藉，其中美国受害者多达1800个。 LockBit的攻击目标涵盖个人、小型企业、跨国公司、医院、学校、非营利组织、关键基础设施、政府和执法机构等多个领域。该RaaS平台估计为该团伙带来了至少5亿美元的非法收入。 法庭文件显示，Panev被捕后，调查人员分析了他的计算机，发现他拥有一个位于暗网的在线存储库管理员凭证，该存储库包含多个版本的LockBit构建器源代码，供附属成员用于创建定制版本的勒索病毒。 此外，调查人员还发现了LockBit控制面板的访问凭证和名为StealBit的工具，后者允许附属成员在加密操作前窃取受害主机的敏感数据。 除了编写和维护LockBit恶意代码外，Panev还被指控为该网络犯罪团伙提供技术支持，并与主要管理员Dmitry Yuryevich Khoroshev（网络别名LockBitSupp）通过直接消息交流，讨论构建器和控制面板的开发工作。 美国司法部表示：“在8月被以色列当局逮捕后的审讯中，Panev承认曾为LockBit团伙进行编码、开发和咨询工作，并因此定期收到加密货币支付。” “Panev承认，他为LockBit开发了禁用杀毒软件的代码；将恶意软件部署到多个连接受害者网络的计算机上；并将LockBit勒索信息打印到受害网络上的所有打印机。” 此次逮捕后，已有七名LockBit成员——Mikhail Vasiliev、Ruslan Astamirov、Artur Sungatov、Ivan Gennadievich Kondratiev、Mikhail Pavlovich Matveev——在美国被起诉。 尽管遭遇这些打击，LockBit的运营者似乎计划东山再起，预计2025年2月发布LockBit 4.0版本。但在持续的执法打击和起诉压力下，勒索团伙能否成功复出仍未可知。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文