Aggregator

A vulnerability, which was classified as critical, was found in Oracle E-Business Intelligence 12.1.1/12.1.2/12.1.3. Affected is an unknown function of the component DBI Setups. The manipulation leads to an unknown weakness. This vulnerability is traded as CVE-2020-2808. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

HackerNews 编译，转载请注明出处： 周三，英国网络安全负责人宣布，该国情报部门看到了“俄罗斯网络攻击与我们安全面临的现实威胁之间存在直接联系”。 英国国家网络安全中心（NCSC）负责人理查德·霍恩在曼彻斯特举行的CYBERUK会议上警告称，莫斯科的恶意行为者“正在实施破坏行为，常常在其阴谋中使用犯罪代理”。 霍恩表示，无论是NCSC还是国内安全机构军情五处（MI5），都看到来自俄罗斯的网络威胁在英国街头显现，针对英国的各行各业和企业，使民众生命、关键服务和国家安全面临风险。 他告诉CYBERUK会议的听众，信息安全界的作用“因此不仅仅是保护系统，更是保护我们的人民、经济和社会免受伤害”。 霍恩说，NCSC无法透露行动细节，但解释说“网络手段”为一系列威胁行为者提供了侦察能力以及“发起现实威胁的能力”。 此次警告是在一系列疑似俄罗斯策划的欧洲破坏事件之后发布的。去年，欧洲各国的安全机构和政府就这些威胁发出了警告，同时北约和欧盟均谴责俄罗斯“日益加剧”的破坏活动和混合行动。 上个月，英国警方宣布逮捕了一名罗马尼亚男子，该男子涉嫌协助俄罗斯军事情报机构实施一项阴谋，其中包括一枚爆炸装置在伯明翰的DHL物流仓库爆炸。 据信，2024年7月德国莱比锡的DHL物流链发生的一起火灾也是俄罗斯所为。德国安全部门表示，如果那枚寄往英国的包裹炸弹在航班上爆炸，可能会引发空难。 第三起事件发生在7月，地点是波兰首都华沙附近。据路透社报道，这些企图被认为是未来阴谋的“预演”，俄罗斯计划在跨大西洋飞往美国和加拿大的货运航班上在空中引爆爆炸装置。 据报道，这些装置被伪装成来自立陶宛的按摩机，内部含有镁基物质，这种物质燃烧时极具破坏性，可能导致飞机坠毁。 11月，立陶宛总统吉塔纳斯·纳乌斯的首席国家安全顾问克斯蒂托尼斯·布德里斯指责俄罗斯军事情报机构格鲁乌（GRU）策划了这些阴谋。其他西方安全官员也认同这一评估，《华尔街日报》对此进行了报道。 这一指控是在波兰国家检察官办公室证实7月逮捕了4名与藏有爆炸物的包裹相关的人员之后提出的，该办公室称这些包裹被认为是对飞往美国和加拿大航班发动攻击前的试运行。另一名涉嫌在立陶宛邮寄这些包裹的男子于9月被捕。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全局（CISA）、联邦调查局（FBI）、环境保护局（EPA）和能源部（DoE）于周二发布警报，警告针对美国石油和天然气行业的网络攻击。 政府机构表示，这些攻击利用了基本的入侵技术，但关键基础设施组织内部糟糕的网络安全卫生状况可能导致中断甚至物理损坏。 “CISA越来越意识到一些不太复杂的网络行为者正在针对美国关键基础设施部门（石油和天然气）内的工业控制系统/监控与数据采集系统（ICS/SCADA），特别是在能源和交通系统中，”网络安全机构指出。 CISA所指的不太复杂的威胁行为者很可能是黑客行动主义团体——或者声称自己是黑客行动主义者的黑客。近年来，许多此类团体针对暴露在互联网上且未受保护或使用默认密码的SCADA及其他ICS系统发动了攻击。 尽管黑客的许多说法被夸大了，但工业网络安全专家经常警告说，这些攻击可能会产生重大影响。 在他们的警报中，CISA、FBI、EPA和DoE敦促关键基础设施组织“立即采取行动，改善其网络安全态势，以应对专门针对联网运营技术和ICS的网络威胁活动”。 为了抵御这些威胁，组织应确保运营技术（OT）系统不能直接从互联网访问，并确保通过虚拟专用网络（VPN）、强密码和防钓鱼多因素身份验证（MFA）安全地远程访问它们。 他们还应识别并立即更改默认密码，对关键系统实施网络分段，并确保能够手动操作OT系统。 此外，建议组织与相关实体合作，识别和解决在标准操作、默认产品配置或由系统集成商或托管服务提供商引入的可能配置错误。 “撰写机构建议关键基础设施组织定期与他们的第三方托管服务提供商、系统集成商和系统制造商沟通，这些实体可能能够提供系统特定的配置指导，以帮助他们确保运营技术的安全，”CISA、FBI、EPA和DoE指出。 CISA还建议关键基础设施组织审查并实施该机构近年来提供的资源，以帮助他们减少攻击面、实施网络分段、采用安全设计原则和防钓鱼MFA等。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in GitLab. It has been rated as problematic. Affected by this issue is some unknown functionality. The manipulation leads to an unknown weakness. This vulnerability is handled as CVE-2022-2826. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in Autocomplete Location Field Contact Form Plugin up to 2.0 on WordPress. This issue affects some unknown processing. The manipulation leads to cross site scripting. The identification of this vulnerability is CVE-2023-5005. The attack may be initiated remotely. There is no exploit available.

A vulnerability classified as critical has been found in Swift Performance Lite Plugin up to 2.3.6.14 on WordPress. This affects an unknown part of the component Settings Export Handler. The manipulation leads to missing authorization. This vulnerability is uniquely identified as CVE-2023-6289. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability was found in kalcaddle KodeExplorer 4.51. It has been rated as problematic. Affected by this issue is some unknown functionality of the file config/i18n/en/main.php. The manipulation of the argument APP_HOST leads to cross site scripting. This vulnerability is handled as CVE-2023-49489. The attack may be launched remotely. There is no exploit available.

A vulnerability was found in Mozilla Firefox up to 120. It has been rated as critical. Affected by this issue is some unknown functionality. The manipulation leads to sandbox issue. This vulnerability is handled as CVE-2023-6869. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in HPE Integrated Lights-Out 5 and Integrated Lights-Out 6. It has been declared as critical. Affected by this vulnerability is an unknown functionality. The manipulation leads to improper authentication. This vulnerability is known as CVE-2023-50272. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in ConnectWise ScreenConnect up to 23.8.4. Affected by this issue is some unknown functionality. The manipulation leads to channel accessible by non-endpoint. This vulnerability is handled as CVE-2023-47257. The attack may be launched remotely. There is no exploit available.

A vulnerability was found in Mozilla Firefox up to 115.5. It has been classified as critical. This affects the function nsTextFragment. The manipulation leads to heap-based buffer overflow. This vulnerability is uniquely identified as CVE-2023-6858. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Thunderbird up to 115.5. It has been declared as critical. This vulnerability affects the function nsTextFragment. The manipulation leads to heap-based buffer overflow. This vulnerability was named CVE-2023-6858. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了SysAid IT支持软件本地版本中的多个安全漏洞，这些漏洞可能被利用来实现预认证的远程代码执行，并提升权限。 这些漏洞被追踪为CVE-2025-2775、CVE-2025-2776和CVE-2025-2777，均被描述为XML外部实体（XXE）注入漏洞，这种情况发生在攻击者能够成功干扰应用程序解析XML输入时。 反过来，这可能会允许攻击者将不安全的XML实体注入到Web应用程序中，使他们能够执行服务器端请求伪造（SSRF）攻击，最坏的情况下，实现远程代码执行。 根据watchTowr Labs研究人员Sina Kheirkhah和Jake Knott的说法，这3个漏洞的描述如下： CVE-2025-2775和CVE-2025-2776：在/mdm/checkin端点中的预认证XXE CVE-2025-2777：在/lshw端点中的预认证XXE watchTowr Labs表示，通过向相关端点发送精心制作的HTTP POST请求，可以轻而易举地利用这些漏洞。 成功利用这些漏洞可以使攻击者检索包含敏感信息的本地文件，包括SysAid自己的“InitAccount.cmd”文件，其中包含安装期间创建的管理员账户用户名和明文密码信息。 凭借这些信息，攻击者可以作为具有管理员权限的用户，获得对SysAid的完全管理访问权限。 更糟糕的是，XXE漏洞可以与另一个操作系统命令注入漏洞（由第三方发现）串联，以实现远程代码执行。该命令注入问题已被分配为CVE-2025-2778。 SysAid已于2025年3月初通过发布本地版本24.4.60 b16修复了这4个漏洞。一个结合这4个漏洞的概念验证（PoC）利用程序已经公开。 鉴于SysAid的安全漏洞（如CVE-2023-47246）此前曾被Cl0p等勒索软件行为者在零日攻击中利用，用户必须更新其实例至最新版本。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响 OttoKit（原名 SureTriggers）WordPress 插件的第二个安全漏洞已在野外遭到积极利用。 该漏洞被追踪为 CVE-2025-27007（CVSS 评分：9.8），是一个权限提升漏洞，影响了该插件1.0.82版本及之前的所有版本。 Wordfence表示：“这是由于 create_wp_connection() 函数缺少能力检查，且对用户的身份验证凭据验证不足。这使得未经认证的攻击者能够建立连接，最终可能导致权限提升。” 也就是说，该漏洞仅在以下两种可能的情况下可被利用—— 当网站从未启用或使用过应用密码，且 OttoKit 以前也从未使用应用密码连接到该网站时； 当攻击者已获得网站的认证访问权限并能够生成有效的应用密码时。 Wordfence 透露，其观察到威胁行为者试图利用初始连接漏洞与网站建立连接，随后通过 automation/action 端点创建管理员用户账户。 此外，攻击尝试同时针对 CVE-2025-3102（CVSS 评分：8.1），这是同一插件中的另一个漏洞，自上个月以来也在野外遭到了利用。 这表明威胁行为者可能在伺机扫描 WordPress 安装，查看其是否易受这两个漏洞中的任何一个影响。以下是观察到针对这些漏洞的 IP 地址—— 2a0b:4141:820:1f4::2 41.216.188.205 144.91.119.115 194.87.29.57 196.251.69.118 107.189.29.12 205.185.123.102 198.98.51.24 198.98.52.226 199.195.248.147 鉴于该插件的活跃安装量超过10万次，用户必须尽快应用最新补丁（版本1.0.83）。 Wordfence 表示：“攻击者可能早在2025年5月2日就开始积极瞄准此漏洞，大规模利用则始于2025年5月4日。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与Play勒索软件家族有关的威胁行为者利用微软Windows最近修补的安全漏洞作为零日漏洞，攻击了美国一家未具名的机构。 据博通旗下的赛门铁克威胁猎手团队称，此次攻击利用了CVE-2025-29824，这是公共日志文件系统（CLFS）驱动程序中的一个权限提升漏洞，微软上个月对其进行了修补。 Play，也被称为Balloonfly和PlayCrypt，以其双重勒索策略而闻名，即在加密之前先窃取敏感数据，以换取赎金。它自2022年年中以来一直活跃。 赛门铁克观察到，在此次活动中，威胁行为者可能利用面向公众的思科自适应安全设备（ASA）作为切入点，通过尚未确定的方法转移到目标网络上的另一台Windows机器上。 此次攻击值得注意的是使用了Grixba，这是一个之前被归因于Play的定制信息窃取器，以及一个针对CVE-2025-29824的利用程序，该程序被放置在音乐文件夹中，并伪装成Palo Alto Networks软件（例如，“paloaltoconfig.exe”和“paloaltoconfig.dll”）。 威胁行为者还被观察到运行命令，收集受害者活动目录中所有可用机器的信息，并将结果保存到CSV文件中。 “在利用程序执行过程中，会在C:\ProgramData\SkyPDF路径下创建两个文件，”赛门铁克解释说。“第一个文件PDUDrv.blf是一个公共日志文件系统基础日志文件，是利用过程中产生的一个痕迹。” “第二个文件clssrv.inf是一个被注入到winlogon.exe进程中的DLL。这个DLL能够释放另外两个批处理文件。” 其中一个名为“servtask.bat”的批处理文件用于提升权限、转储SAM、SYSTEM和SECURITY注册表项，创建一个名为“LocalSvc”的新用户，并将其添加到管理员组。另一个批处理文件“cmdpostfix.bat”用于清除利用痕迹。 赛门铁克表示，在此次入侵中没有部署勒索软件负载。调查结果表明，在微软修复之前，针对CVE-2025-29824的利用程序可能已经被多个威胁行为者掌握。 值得注意的是，网络安全公司详细描述的利用方式与微软披露的另一项活动集群Storm-2460并不重叠，后者利用该漏洞进行有限的攻击，传播名为PipeMagic的木马。 CVE-2025-29824的利用也表明勒索软件行为者使用零日漏洞入侵目标的趋势。去年，赛门铁克透露，Black Basta团伙可能利用了CVE-2024-26169，这是Windows错误报告服务中的一个权限提升漏洞，作为零日漏洞。 “自带安装程序”EDR绕过技术在Babuk勒索软件攻击中的新应用 与此同时，Aon的Stroz Friedberg事件响应服务详细描述了一种名为“自带安装程序”的本地绕过技术，威胁行为者利用该技术禁用端点安全软件并部署Babuk勒索软件。 据该公司称，此次攻击针对了SentinelOne的端点检测与响应（EDR）系统，通过利用SentinelOne代理升级/降级过程中的一个漏洞，在获得一台面向公众的服务器的本地管理员权限后实施攻击。 “Aon的研究人员John Ailes和Tim Mashni表示：“自带安装程序是一种技术，威胁行为者可以通过在配置不当的情况下，及时终止代理更新过程，从而绕过主机上的EDR保护。” 这种方法值得注意，因为它不依赖于易受攻击的驱动程序或其他工具来解除安全软件的武装。相反，它利用代理升级过程中的一个时间窗口来终止正在运行的EDR代理，使设备处于无保护状态。 具体来说，它利用了这样一个事实：使用MSI文件安装软件的不同版本会导致它在执行更新之前终止已经运行的Windows进程。 “自带安装程序”攻击本质上涉及运行一个合法的安装程序，并在关闭正在运行的服务后，通过发出“taskkill”命令强行终止安装过程。 “Aon的研究人员表示：“由于SentinelOne的旧版本进程在升级过程中被终止，而新进程在启动前被中断，最终结果是一个没有SentinelOne保护的系统。” SentinelOne表示，这种技术也可以应用于其他端点保护产品，该公司已经对其本地升级授权功能进行了更新，以防止此类绕过再次发生。这包括默认为所有新客户启用该功能。 与此同时，思科透露，一个名为Crytox的勒索软件家族在其攻击链中使用了HRSword，以关闭端点安全保护。 HRSword此前曾在传播BabyLockerKZ和Phobos勒索软件的攻击中被观察到，以及那些旨在终止韩国AhnLab安全解决方案的攻击。 勒索软件新趋势 近几个月来，勒索软件攻击越来越多地将目标对准域控制器，以入侵组织，使威胁行为者能够获得特权账户的访问权限，并利用集中的网络访问权限在几分钟内加密数百或数千个系统。 “在超过78%的人为操作的网络攻击中，威胁行为者成功入侵了域控制器，”微软上个月透露。 “此外，在超过35%的案例中，主要传播设备——负责大规模分发勒索软件的系统——是域控制器，突显了其在实现广泛加密和运营中断中的关键作用。” 近几个月来，检测到的其他勒索软件攻击利用了一种名为PlayBoy Locker的新勒索软件即服务（RaaS），它为相对缺乏技能的网络犯罪分子提供了一个全面的工具包，包括勒索软件负载、管理仪表板和支持服务。 “PlayBoy Locker RaaS平台为附属机构提供了许多选项，用于构建针对Windows、NAS和ESXi系统的勒索软件二进制文件，能够根据不同的操作需求进行定制配置，”Cybereason表示。“PlayBoy Locker RaaS运营商为附属机构宣传定期更新、反检测功能，甚至提供客户支持。” 与此同时，DragonForce发起了一场勒索软件卡特尔运动，这是一个声称控制了RansomHub的网络犯罪团伙，RansomHub是一个在2025年3月底突然停止运营的RaaS计划。 白标签品牌服务旨在允许附属机构将DragonForce勒索软件伪装成不同的菌株，以换取额外费用。威胁行为者声称将从成功的勒索软件赎金中抽取20%的份额，允许附属机构保留剩余的80%。 DragonForce于2023年8月首次出现，最初定位为支持巴勒斯坦的黑客行动主义行动，随后发展成为一个完整的勒索软件行动。在最近几周，该RaaS集团因其针对英国零售商（如哈罗德、马莎和合作商店）的攻击而受到关注。 “这一举措，以及DragonForce将其自身品牌定位为‘勒索软件卡特尔’的推动，表明该组织希望通过启用一个生态系统来提高其在网络犯罪领域的知名度，”SentinelOne表示。“在这种模式下，DragonForce提供基础设施、恶意软件和持续的支持服务，而附属机构则以自己的品牌运行活动。” 据BBC新闻报道，针对英国零售行业的攻击被认为是由臭名昭著的威胁集团和RansomHub附属机构Scattered Spider（又名Octo Tempest或UNC3944）策划的。 “包括UNC3944在内的威胁行为者将零售组织视为有吸引力的目标是合理的，因为它们通常拥有大量个人身份信息（PII）和财务数据，”谷歌旗下的Mandiant表示。 “此外，如果勒索软件攻击影响了它们处理金融交易的能力，这些公司可能更有可能支付赎金要求。” 2024年，勒索软件攻击增加了25%，勒索软件组织泄露网站的数量增加了53%。根据Bitsight的说法，这种分裂是较小、更灵活的帮派的出现，它们正在攻击中型组织，这些组织可能并不总是有资源来应对这些威胁。 “勒索软件组织的激增意味着它们的增长速度超过了执法部门关闭它们的速度，它们对小型组织的关注意味着任何人都可能成为目标，”安全研究员Dov Lerner表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，联邦陪审团裁定，NSO集团需向Meta旗下的WhatsApp支付约1.68亿美元的赔偿金。此前四个月，一名联邦法官判定这家以色列公司违反美国法律，通过WhatsApp服务器部署Pegasus间谍软件，对全球超过1400名个人实施攻击。 WhatsApp于2019年首次对NSO集团提起诉讼，指控其利用Pegasus针对记者、人权活动家和政治异见人士。 审判期间公布的法庭文件显示，此次行动中，456名墨西哥人被攻击，其次是印度的100名受害者、巴林的82人、摩洛哥的69人和巴基斯坦的58人。总计有来自51个不同国家的个人受到影响。 这些攻击利用了当时WhatsApp语音通话功能的一个零日漏洞（CVE-2019-3568，CVSS评分：9.8），触发了间谍软件的部署。 2024年12月发布的一项裁决中，美国地区法官Phyllis J. Hamilton指出，在2019年5月的相关时间段内，Pegasus通过WhatsApp位于加利福尼亚的服务器发送了43次。 Meta旗下WhatsApp的负责人Will Cathcart在X上表示：“我们对间谍软件开发商NSO的案件在2024年12月创造了历史，当时法院裁定他们违反了美国的联邦和州法律。” “今天陪审团对NSO的惩罚性裁决是对间谍软件行业的一个重要威慑，防止他们对美国公司和全球用户进行非法行为。” Cathcart补充说，公司的下一步是申请法院命令，防止NSO再次攻击WhatsApp，并表示将向致力于保护人们免受此类攻击的数字权利组织捐款。 除了1.67254亿美元的惩罚性赔偿外，陪审团还裁定NSO集团必须向WhatsApp支付444719美元的补偿性赔偿，以补偿WhatsApp工程师为阻止攻击途径所做的重大努力。 这一裁决是隐私倡导者和人权组织的重大胜利，他们曾多次指责NSO集团将其强大的监控软件授权给客户，以监视民间社会成员。 尽管NSO集团试图通过声称其无法了解客户如何使用Pegasus来逃避责任，但汉密尔顿法官指出，它不能一方面声称其意图是帮助客户打击恐怖主义和儿童剥削，另一方面又声称与客户如何使用该技术无关，除了提供建议和支持。 Meta表示：“NSO被迫承认，它每年花费数千万美元开发恶意软件安装方法，包括通过即时通讯、浏览器和操作系统，而且其间谍软件至今仍能够入侵iOS或Android设备。” 在与Courthouse News和POLITICO分享的声明中，NSO集团表示，其技术在防止严重犯罪和恐怖主义方面发挥着关键作用，并且打算寻求适当的法律补救措施。该公司因从事“恶意网络活动”于2021年被美国政府制裁。 苹果公司曾对NSO集团提起类似的诉讼，但在2024年9月撤销了该诉讼，理由是继续进行可能会泄露其安全计划的敏感细节。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

将复杂的技术实现简化为自然语言交互，帮助客户快速实现基于威胁情报与AI 大模型的安全运营。

将复杂的技术实现简化为自然语言交互，帮助客户快速实现基于威胁情报与AI 大模型的安全运营。

A vulnerability classified as critical was found in Canteen Management System 1.0. This vulnerability affects unknown code of the file /youthappam/manage_website.php. The manipulation leads to unrestricted upload. This vulnerability was named CVE-2022-43231. The attack can be initiated remotely. There is no exploit available.