Aggregator

欢迎投递简历！

欢迎投递简历！

HackerNews 编译，转载请注明出处： 更新（2025 年 2 月 11 日 19:32）：在发布报道后，Fortinet 告知我们，今日新增至 FG-IR-24-535 的 CVE-2025-24472 漏洞并非零日漏洞，已于 1 月修复。尽管今日更新的公告显示两个漏洞均被用于攻击，并为新发现的 CSF 代理请求利用路径提供了临时解决方案，但 Fortinet 表示只有 CVE-2024-55591 被利用。Fortinet 向 BleepingComputer 表示，如果客户此前根据 FG-IR-24-535/CVE-2024-55591 的指导进行了升级，则已对新披露的漏洞具备防护能力。本报道标题已更新以反映这一新信息，原文如下： Fortinet 今日警告称，攻击者正在利用 FortiOS 和 FortiProxy 中的另一个已修复的零日漏洞，劫持 Fortinet 防火墙并入侵企业网络。成功利用该认证绕过漏洞（CVE-2025-24472）可使远程攻击者通过构造恶意的 CSF 代理请求获得超级管理员权限。该漏洞影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0.19 以及 FortiProxy 7.2.0 至 7.2.12 版本。Fortinet 已在 FortiOS 7.0.17 及以上版本以及 FortiProxy 7.0.20/7.2.13 及以上版本中修复了该漏洞。 Fortinet 在上月发布的安全公告中新增了该漏洞的 CVE 编号，此前公告已警告客户有攻击者正在利用 FortiOS 和 FortiProxy 中的零日漏洞（编号 CVE-2024-55591），该漏洞影响相同版本的软件。然而，已修复的 CVE-2024-55591 漏洞可通过向 Node.js websocket 模块发送恶意请求进行利用。 据 Fortinet 介绍，攻击者利用这两个漏洞在受影响设备上生成随机管理员或本地用户账号，并将其添加到新的或现有的 SSL VPN 用户组中。攻击者还被发现修改防火墙策略及其他配置，并使用之前建立的恶意账号登录 SSLVPN 实例，“从而获得通往内部网络的隧道”。尽管 Fortinet 未提供更多关于此次攻击活动的信息，但网络安全公司 Arctic Wolf 发布了一份包含匹配入侵指标（IoC）的报告，称自 2024 年 11 月中旬以来，暴露在互联网上的 Fortinet FortiGate 防火墙管理接口一直受到攻击。 “该攻击活动涉及未经授权的管理员登录防火墙管理界面、创建新账号、通过这些账号进行 SSL VPN 认证以及各种其他配置变更，”Arctic Wolf Labs 表示。“虽然尚未最终确认初始攻击向量，但零日漏洞的可能性极高。各组织应尽快紧急禁用公开界面上的防火墙管理访问权限。” Arctic Wolf Labs 还提供了 CVE-2024-55591 大规模利用攻击的时间线，称其包含四个独特阶段： 漏洞扫描阶段（2024 年 11 月 16 日至 23 日） 侦察阶段（2024 年 11 月 22 日至 27 日） SSL VPN 配置阶段（2024 年 12 月 4 日至 7 日） 横向移动阶段（2024 年 12 月 16 日至 27 日） “鉴于不同入侵事件之间在手法和基础设施方面存在细微差别，可能有多个个人或团体参与了此次攻击活动，但 jsconsole 使用情况是贯穿始终的共同点。”此外，Arctic Wolf Labs 表示已于 2024 年 12 月 12 日通知 Fortinet 关于此次攻击的情况，并在五天后收到来自该公司产品安全事件响应团队（PSIRT）的确认，称该活动已知且正在调查中。 Fortinet 建议无法立即部署安全更新的管理员，通过禁用 HTTP/HTTPS 管理界面或通过本地策略限制可访问该界面的 IP 地址，作为临时解决方案来保护易受攻击的防火墙。BleepingComputer 已联系 Fortinet 发言人征求意见，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Ubuntu 22.04 打印子系统中的一个漏洞被发现，该漏洞位于 “ippusbxd” 包中，可能允许攻击者在锁定的笔记本电脑上执行任意代码。 不过，现代编译器的功能缓解了这一风险，防止了漏洞被利用到系统崩溃之外的程度。该漏洞是在对 macOS 打印子系统的代码审计中发现的，macOS 的打印子系统与开源的 CUPS 包有共同的基础。 Talos 研究人员将注意力转向了 IPP-USB 协议，该协议通过互联网打印协议（IPP）为通过 USB 连接的打印机启用网络打印。Ubuntu 22.04 中负责处理 IPP-USB 功能的 “ippusbxd” 包成为了调查的重点。 在检查代码时，由 “-Wstringop-overflow” 标志触发的编译器警告显示，get_format_paper 函数可能存在缓冲区溢出漏洞。该函数解析打印机在初始化时报告的纸张尺寸信息，漏洞源于使用了以源操作数的长度而不是目标缓冲区的大小为长度参数的 strncpy。 攻击者可以通过连接一个报告超大媒体尺寸的恶意打印机来利用这一漏洞，从而导致缓冲区溢出。Talos 情报的 Aleksandar Nikolich 通过分析代码上下文确认了该漏洞，揭示了一个精心设计的 “media-size-supported” 负载可以覆盖堆栈缓冲区。在锁定的笔记本电脑上利用这一漏洞，攻击者可以以提升的权限执行任意代码。 研究人员开发了一个概念验证（PoC）漏洞利用，使用 Raspberry Pi Zero 模拟 USB 打印机来展示该漏洞的潜在危害。通过修改 PAPPL 打印机小工具，模拟的打印机被配置为使用名为 “EXPLOIT_STRING” 的环境变量报告恶意媒体尺寸。当将 Raspberry Pi Zero 连接到目标 Ubuntu 机器时，ippusbxd 守护进程因段错误而崩溃，确认了漏洞的触发。 然而，进一步分析崩溃情况发现，由于编译器功能 “FORTIFY_SOURCE” 的存在，预期的内存损坏和潜在的代码执行被阻止。该功能会自动将潜在不安全的函数替换为更安全的替代品，并在缓冲区溢出发生之前检测到该条件。因此，该漏洞的影响仅限于导致系统崩溃，因为程序会在检测到溢出时明确终止。 研究人员强调，这一事件凸显了现代编译器功能（如静态分析）以及强大的缓解技术（如 “FORTIFY_SOURCE”）的重要性。当默认启用这些功能时，它们可以有效防止漏洞的利用。此外，该事件也强调了在开发过程中积极解决编译器警告的重要性。 在这一特定案例中，该漏洞的潜在影响进一步被削弱，因为 “ippusbxd” 包已被 “ipp-usb” 包取代。新包是用内存安全语言实现的，消除了缓冲区溢出的风险。尽管 Ubuntu 22.04 作为长期支持版本是一个例外，但较新的版本已转向使用 “ipp-usb”。 用户建议 Ubuntu 22.04 LTS 用户：确保安装了 ipp-usb，并在存在时移除 ippusbxd。 所有系统：通过运行 sudo apt update && sudo apt upgrade 应用更新，并重启打印服务。 物理安全：限制 USB 设备的访问，以防止未经授权的硬件连接。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月11日，网络安全公司eSentire发布报告称，网络攻击者正在利用一种名为“ClickFix”的技术，部署名为NetSupport RAT的远程访问木马。 自2025年1月初以来，“ClickFix”技术被频繁用于传播NetSupport RAT。该木马通常通过虚假网站和伪装的浏览器更新传播，攻击者可借此完全控制受害者设备，实时监控屏幕、操作键盘和鼠标、上传下载文件以及执行恶意命令。 NetSupport RAT最初是一款合法的远程IT支持程序，但已被恶意攻击者重新利用，针对组织机构窃取敏感信息，包括屏幕截图、音频、视频和文件。 “ClickFix”技术通过在被入侵的网站上注入虚假验证码页面，诱使用户按照指示复制并执行恶意的PowerShell命令，从而下载并运行恶意软件。在攻击过程中，PowerShell命令用于从远程服务器下载并执行NetSupport RAT客户端，恶意组件以PNG图像文件的形式存储。 此外，ClickFix技术还被用于传播Lumma Stealer恶意软件的更新版本，该软件使用ChaCha20密码算法解密包含命令与控制（C2）服务器列表的配置文件。eSentire表示，这些变化揭示了开发者为绕过当前的提取和分析工具而采用的规避策略。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国多州大量读者受影响

A vulnerability was found in Pygments up to 2.7.3. It has been declared as problematic. This vulnerability affects unknown code of the component SMLLexer. The manipulation of the argument exception leads to infinite loop. This vulnerability was named CVE-2021-20270. The attack can be initiated remotely. There is no exploit available.

A vulnerability classified as critical has been found in HDF5 up to 1.14.3. This affects the function H5VM_memcpyvv of the file H5VM.c. The manipulation leads to memory corruption. This vulnerability is uniquely identified as CVE-2024-32614. The attack can only be initiated within the local network. There is no exploit available.

A vulnerability classified as critical was found in Linux Kernel up to 6.1.85/6.6.26/6.8.5. This vulnerability affects unknown code. The manipulation leads to null pointer dereference. This vulnerability was named CVE-2024-36023. The attack needs to be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in Linux Kernel up to 6.6.32/6.9.3. Affected by this vulnerability is an unknown functionality of the file kernel/locking/mutex.c of the component zynqmp_dpsub. The manipulation leads to improper initialization. This vulnerability is known as CVE-2024-38664. The attack can only be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in nodejs Undici up to 5.28.3/6.0.0/6.11.0 and classified as problematic. Affected by this issue is the function fetch. The manipulation leads to improper access controls. This vulnerability is handled as CVE-2024-30261. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in distribution. It has been declared as problematic. This vulnerability affects unknown code of the file /v2/_catalog of the component API Request Handler. The manipulation leads to resource consumption. This vulnerability was named CVE-2023-2253. The attack needs to be approached within the local network. There is no exploit available.