研华EKI工业级无线接入点设备被披露近二十个安全漏洞,其中一些漏洞可被利用来绕过身份验证并以提升的权限执行代码。
网络安全公司NozomiNetworks在周三的分析中表示:“这些漏洞带来了重大风险,允许以root权限执行未经身份验证的远程代码,从而完全损害受影响设备的机密性、完整性和可用性。”
经过负责任的披露,以下固件版本已修复了这些漏洞-
1.6.5(适用于EKI-6333AC-2G和EKI-6333AC-2GD)1.2.2(适用于EKI-6333AC-1GPO)在已发现的20个漏洞中,有6个被认定为严重漏洞,允许攻击者通过植入后门获得对内部资源的持续访问权限、触发拒绝服务(DoS)条件,甚至将受感染的端点重新用作Linux工作站,以实现横向移动和进一步的网络渗透。
在这6个严重缺陷中,有5个(从CVE-2024-50370到CVE-2024-50374,CVSS评分:9.8)与操作系统(OS)命令中使用的特殊元素的不当中和有关,而CVE-2024-50375(CVSS评分:9.8)涉及关键功能缺少身份验证的情况。
另外值得注意的是CVE-2024-50376(CVSS分数:7.3),这是一个跨站点脚本缺陷,可以与CVE-2024-50359(CVSS分数:7.2)相结合,这是另一个需要身份验证的OS命令注入实例,以实现无线任意代码执行。
也就是说,为了使这次攻击成功,它要求外部恶意用户在物理上接近研华接入点,并从恶意接入点广播特制的数据。
NozomiNetworks表示:“攻击者可以通过其恶意接入点广播的一条信息是SSID(通常称为‘Wi-Fi网络名称’)。因此,攻击者可以插入JavaScript有效负载作为其恶意接入点的SSID,并利用CVE-2024-50376触发Web应用程序内的跨站点脚本(XSS)漏洞。”
结果是在受害者的Web浏览器上下文中执行任意JavaScript代码,然后可以将其与CVE-2024-50359结合使用,以root权限在操作系统级别实现命令注入。这可能采用反向shell的形式,为威胁行为者提供持久的远程访问。
该公司表示:“这将使攻击者能够远程控制受感染的设备,执行命令,并进一步渗透网络,提取数据或部署其他恶意脚本。”
该漏洞的编号为CVE-2023-28461(CVSS评分:9.8),涉及缺少身份验证的情况,可被利用来实现远程任意代码执行。网络硬件供应商于2023年3月发布了针对此安全漏洞的修复程序(版本9.4.0.484)。
ArrayNetworks表示:“ArrayAG/vxAG远程代码执行漏洞是一种网络安全漏洞,攻击者可以利用该漏洞浏览文件系统或在SSLVPN网关上使用HTTP标头中的标志属性执行远程代码,而无需进行身份验证。该产品可通过易受攻击的URL加以利用。”
此前不久,网络安全公司趋势科技披露,一个与中国有关的网络间谍组织EarthKasha(又名MirrorFace)一直在利用面向公众的企业产品中的安全漏洞,例如ArrayAG(CVE-2023-28461)、Proself(CVE-2023-45727)和FortinetFortiOS/FortiProxy(CVE-2023-27997),进行初始访问。在被列入KEV目录之前,该组织还未披露其安全漏洞。
地球卡莎(EarthKasha)以广泛攻击日本实体而闻名,尽管近年来,它也被发现攻击台湾、印度和欧洲。
本月早些时候,ESET还披露了一项EarthKasha活动,该活动针对欧盟一个未具名的外交实体,利用即将于2025年4月在日本大阪举行的2025年世界博览会作为诱饵,提供名为ANEL的后门。
鉴于漏洞正被积极利用,建议联邦民事行政部门(FCEB)机构在2024年12月16日之前应用补丁,以确保其网络安全。
据VulnCheck称,在总共60名指定威胁行为者中,有15个不同的中国黑客组织与滥用2023年最常被利用的15个漏洞中的至少一个有关。
该网络安全公司表示,已发现超过440,000台可能受到攻击的互联网主机。
VulnCheck的PatrickGarrity表示:“企业应该评估这些技术的风险暴露程度,增强对潜在风险的可见性,利用强大的威胁情报,保持强大的补丁管理实践,并实施缓解控制措施,例如尽可能减少这些设备面向互联网的暴露。”
LumenTechnologies的最新发现显示,名为Ngioweb的恶意软件已被用于支持臭名昭著的住宅代理服务NSOCKS,以及VN5Socks和Shopsocks5等其他服务。
Ngioweb最早于2018年8月被CheckPoint记录在案,与传播恶意软件的Ramnit木马活动有关。近几周,LevelBlue和TrendMicro对Ngioweb进行了广泛分析,其中后者正在追踪该行动背后以经济为动机的威胁行为者WaterBarghest。
该恶意软件能够针对运行MicrosoftWindows和Linux的设备,其名称取自2018年注册的命令和控制(C2)域,名称为“ngioweb[.]su”。
据TrendMicro称,截至2024年10月,该僵尸网络包含超过20,000台物联网设备,WaterBarghest利用它来查找和渗透易受攻击的物联网设备,使用自动脚本并部署Ngioweb恶意软件,将其注册为代理。受感染的机器人随后被列入住宅代理市场上出售。
研究人员FeikeHacquebord和FernandoMercês表示:“从最初的感染到设备作为代理在住宅代理市场上可用,整个货币化过程只需10分钟,这表明这是一个高度高效和自动化的操作。”
使用该恶意软件的攻击链利用了一系列漏洞和零日漏洞,用于攻击路由器和家用物联网设备,如摄像头、吸尘器和门禁等。该僵尸网络采用两层架构:第一层是加载器网络,由15-20个节点组成,它将机器人引导到加载器C2节点以检索和执行Ngioweb恶意软件。
按设备类型对住宅代理提供商的代理进行细分,结果显示僵尸网络运营商针对的是广泛的供应商,包括NETGEAR、Uniview、Reolink、Zyxel、Comtrend、SmartRG、LinearEmerge、Hikvision和NUUO。
LevelBlue和Lumen的最新披露显示,感染Ngioweb木马的系统被作为NSOCKS的住宅代理服务器出售,而NSOCKS此前曾被威胁行为者用于针对Okta的凭证填充攻击。
受害设备还被发现与由域生成算法(DGA)创建的第二阶段C2域建立长期连接。这些域在任何时候都约为15个,充当“守门人”,确定机器人是否值得添加到代理网络中。
如果设备符合资格标准,DGAC2节点会将它们连接到反向连接C2节点,进而通过NSOCKS代理服务使它们可供使用。
LumenTechnologies表示:“NSOCKS用户通过180多个‘反向连接’C2节点路由其流量,这些节点充当入口/出口点,用于掩盖或代理其真实身份。”“这项服务背后的参与者不仅为其客户提供了代理恶意流量的手段,而且该基础设施还经过精心设计,使各种威胁行为者能够创建自己的服务。”
住宅代理服务的商业市场和代理的地下市场预计在未来几年将会增长,部分原因是受到高级持续威胁(APT)组织和网络犯罪组织的需求推动。
Lumen表示:“这些网络经常被寻找漏洞或窃取凭证的犯罪分子利用,为他们提供了一种无缝方法来部署恶意工具,而无需透露他们的位置或身份。”
“尤其令人担忧的是NSOCKS等服务的使用方式。使用NSOCKS,用户可以选择180个不同的国家作为其终端。此功能不仅允许恶意行为者在全球范围内传播其活动,还使他们能够通过域名(例如.gov或.edu)瞄准特定实体,这可能导致更有针对性且可能更具破坏性的攻击。”
Oracle警告称,影响敏捷产品生命周期管理(PLM)框架的高严重性安全漏洞已被广泛利用。
该漏洞的编号为CVE-2024-21287(CVSS评分:7.5),可在无需身份验证的情况下被利用来泄露敏感信息。
该公司在一份公告中表示:“此漏洞无需身份验证即可被远程利用,也就是说,它可以通过网络被利用,无需用户名和密码。如果成功利用,此漏洞可能会导致文件泄露。”
CrowdStrike安全研究人员JoelSnape和LutzWolf因发现并报告该漏洞而受到赞誉。
目前尚无关于谁在利用此漏洞、恶意活动的目标是谁以及这些攻击的范围有多广的信息。
Oracle安全保障副总裁EricMaurice表示:“如果成功利用该漏洞,未经身份验证的犯罪者可以从目标系统下载可在PLM应用程序使用的权限下访问的文件。”
鉴于积极利用,建议用户尽快应用最新补丁以获得最佳保护。
HackerNews已联系Oracle和CrowdStrike征求意见。如果收到回复,我们将更新此报道。
Apple发布了针对iOS、iPadOS、macOS、visionOS及其Safari网络浏览器的安全更新,以解决两个已被广泛利用的零日漏洞。
这些缺陷如下:
CVE-2024-44308-JavaScriptCore中的漏洞,在处理恶意Web内容时可能导致任意代码执行CVE-2024-44309-WebKit中的cookie管理漏洞,在处理恶意Web内容时可能导致跨站点脚本(XSS)攻击
这家iPhone制造商表示,它分别通过改进检查和改进状态管理解决了CVE-2024-44308和CVE-2024-44309问题。
目前关于漏洞利用的具体性质尚不清楚,但苹果承认,这两个漏洞“可能在基于Intel的Mac系统上被积极利用”。
谷歌威胁分析小组(TAG)的ClémentLecigne和BenotSevens因发现和报告这两个漏洞而受到赞誉,这表明这两个漏洞很可能被用于高度针对性的政府支持或雇佣兵间谍软件攻击。
更新适用于以下设备和操作系统-
iOS18.1.1和iPadOS18.1.1-iPhoneXS及更新机型、iPadPro13英寸、iPadPro12.9英寸第3代及更新机型、iPadPro11英寸第1代及更新机型、iPadAir第3代及更新机型、iPad第7代及更新机型、iPadmini第5代及更新机型iOS17.7.2和iPadOS17.7.2-iPhoneXS及更新机型、iPadPro13英寸、iPadPro12.9英寸第2代及更新机型、iPadPro10.5英寸、iPadPro11英寸第1代及更新机型、iPadAir第3代及更新机型、iPad第6代及更新机型、iPadmini第5代及更新机型macOSSequoia15.1.1-运行macOSSequoia的MacvisionOS2.1.1-AppleVisionProSafari18.1.1-运行macOSVentura和macOSSonoma的Mac
到目前为止,苹果今年已修复了其软件中的四个零日漏洞,其中一个(CVE-2024-27834)在Pwn2Own温哥华黑客大赛上进行了展示。另外三个漏洞分别于2024年1月和3月进行了修补。
建议用户尽快将其设备更新到最新版本,以防范潜在威胁。
据了解,影响ProgressKempLoadMaster和VMwarevCenterServer的安全漏洞现已得到修补,并正在遭到广泛利用。
美国网络安全和基础设施安全局(CISA)周一将ProgressKempLoadMaster中最高严重性安全漏洞CVE-2024-1212(CVSS评分:10.0)添加到其已知被利用漏洞(KEV)目录中。ProgressSoftware早在2024年2月就解决了这个问题。
该机构表示:“ProgressKempLoadMaster包含一个操作系统命令注入漏洞,允许未经身份验证的远程攻击者通过LoadMaster管理界面访问系统,从而执行任意系统命令。”
发现并报告该漏洞的Rhino安全实验室表示,如果攻击者可以访问管理员Web用户界面,则成功利用该漏洞可以在LoadMaster上执行命令,从而授予他们对负载均衡器的完全访问权限。
CISA添加CVE-2024-1212的同时,博通也发出警告称,攻击者目前正在利用VMwarevCenterServer中最近披露的两个安全漏洞。今年6月,在中国举行的MatrixCup网络安全竞赛中展示了这两个漏洞。
这两个漏洞分别为CVE-2024-38812(CVSS评分:9.8)和CVE-2024-38813(CVSS评分:7.5),最初于2024年9月得到解决,但该公司上个月第二次对前者进行了修复,并表示之前的补丁“并未完全解决”问题。
CVE-2024-38812-DCERPC协议实现中存在堆溢出漏洞,可能允许具有网络访问权限的恶意行为者获取远程代码执行权限CVE-2024-38813-一个权限提升漏洞,可能允许具有网络访问权限的恶意行为者将权限提升至root
虽然目前还没有关于在现实世界的攻击中观察到的利用这些漏洞的详细信息,但CISA建议联邦民事行政部门(FCEB)机构在2024年12月9日之前修复CVE-2024-1212,以确保其网络的安全。
几天前,Sophos披露,网络犯罪分子正在积极利用VeeamBackup&Replication中的一个严重漏洞(CVE-2024-40711,CVSS评分:9.8)来部署一种之前未记录的勒索软件Frag。
UbuntuServer(自21.04版起)默认安装的needrestart包中被发现存在多个已有十年历史的安全漏洞,这些漏洞可能允许本地攻击者在无需用户交互的情况下获得root权限。
Qualys威胁研究部门(TRU)于上个月初发现并报告了这些漏洞,并表示这些漏洞很容易被利用,因此用户必须迅速采取行动来修复。据信这些漏洞自2014年4月27日发布的needrestart0.8引入解释器支持以来就一直存在。
Ubuntu在一份公告中表示:“这些needrestart漏洞允许本地权限提升(LPE),这意味着本地攻击者能够获得root权限”,并指出这些问题已在3.8版本中得到解决。
Needrestart是一个实用程序,它可以扫描系统以确定在应用共享库更新后需要重新启动的服务,以避免整个系统重新启动。
以下列出了五个缺陷——
CVE-2024-48990(CVSS评分:7.8)-该漏洞允许本地攻击者通过诱骗needrestart使用攻击者控制的PYTHONPATH环境变量运行Python解释器,从而以root身份执行任意代码CVE-2024-48991(CVSS评分:7.8)-该漏洞允许本地攻击者通过赢得竞争条件并诱骗needrestart运行自己的伪Python解释器,以root身份执行任意代码CVE-2024-48992(CVSS评分:7.8)-一个漏洞,允许本地攻击者通过诱骗needrestart使用攻击者控制的RUBYLIB环境变量运行Ruby解释器,从而以root身份执行任意代码CVE-2024-11003(CVSS评分:7.8)和CVE-2024-10224(CVSS评分:5.3)-两个漏洞允许本地攻击者利用libmodule-scandeps-perl软件包(版本1.36之前)中的问题以root身份执行任意shell命令成功利用上述缺陷可以允许本地攻击者为PYTHONPATH或RUBYLIB设置特制的环境变量,从而导致在运行needrestart时执行指向威胁行为者环境的任意代码。
Ubuntu指出:“在CVE-2024-10224中,[...]攻击者控制的输入可能导致Module::ScanDepsPerl模块通过open()一个‘讨厌的管道’(例如通过传递‘commands|’作为文件名)或通过将任意字符串传递给eval()来运行任意shell命令。”
“就其本身而言,这不足以实现本地权限提升。然而,在CVE-2024-11003中,needrestart将攻击者控制的输入(文件名)传递给Module::ScanDeps,并以root权限触发CVE-2024-10224。CVE-2024-11003的修复消除了needrestart对Module::ScanDeps的依赖。”
虽然强烈建议下载最新的补丁,但Ubuntu表示用户可以根据需要禁用解释器扫描器,重新启动配置文件作为临时缓解措施,并确保在应用更新后恢复更改。
Qualys公司TRU产品经理SaeedAbbasi表示:“needrestart实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限,其中needrestart通常以root用户身份运行。”
“利用这些漏洞的攻击者可以获得root访问权限,从而损害系统完整性和安全性。”
网络安全研究人员披露了PostgreSQL开源数据库系统中的一个高严重性安全漏洞,该漏洞可能允许非特权用户更改环境变量,并可能导致代码执行或信息泄露。
该漏洞的编号为CVE-2024-10979,CVSS评分为8.8。
环境变量是用户定义的值,可让程序在运行时动态获取各种信息,例如访问密钥和软件安装路径,而无需对其进行硬编码。在某些操作系统中,它们在启动阶段初始化。
PostgreSQL在周四发布的一份公告中表示:“PostgreSQLPL/Perl中对环境变量的错误控制允许非特权数据库用户更改敏感的进程环境变量(例如PATH)。”
“即使攻击者没有数据库服务器操作系统用户,这通常也足以实现任意代码执行。”
该漏洞已在PostgreSQL版本17.1、16.5、15.9、14.14、13.17和12.21中得到解决。发现该问题的Varonis研究人员TalPeleg和CobyAbrams表示,根据攻击场景,该漏洞可能会导致“严重的安全问题”。
这包括但不限于通过修改PATH等环境变量来执行任意代码,或通过运行恶意查询来提取机器上的有价值的信息。
“例如,将CREATEEXTENSIONS权限授予特定扩展,并另外设置shared_preload_libraries配置参数以仅加载所需的扩展,通过限制CREATEFUNCTION权限来限制角色按照最小特权原则创建函数,”Varonis说。
网络安全研究人员发现了一种新的网络钓鱼活动,该活动传播已知商业恶意软件RemcosRAT的新型无文件变种。
FortinetFortiGuardLabs研究员张晓鹏在上周发表的分析报告中表示,RemcosRAT“为买家提供了一系列先进功能,可远程控制买家的计算机”。
“然而,威胁行为者滥用Remcos收集受害者的敏感信息并远程控制他们的计算机来执行进一步的恶意行为。”
攻击的起点是一封网络钓鱼电子邮件,使用以采购订单为主题的诱饵来诱使收件人打开MicrosoftExcel附件。
该恶意Excel文档旨在利用Office中已知的远程代码执行漏洞(CVE-2017-0199,CVSS评分:7.8)从远程服务器(“192.3.220[.]22”)下载HTML应用程序(HTA)文件(“cookienetbookinetcahce.hta”)并使用mshta.exe启动它。
而HTA文件则被多层JavaScript、VisualBasicScript和PowerShell代码包裹,以逃避检测。它的主要职责是从同一台服务器检索可执行文件并执行它。
随后,该二进制文件继续运行另一个经过混淆的PowerShell程序,同时还采用了一系列反分析和反调试技术来使检测工作变得复杂。下一步,恶意代码利用进程挖空技术最终下载并运行RemcosRAT。
“它不是将Remcos文件保存到本地文件并运行,而是直接在当前进程的内存中部署Remcos,”张说。“换句话说,它是Remcos的无文件版本。”
RemcosRAT能够从受感染主机收集各种信息,包括系统元数据,并可以通过命令和控制(C2)服务器远程执行攻击者发出的指令。
这些命令允许程序收集文件、枚举和终止进程、管理系统服务、编辑Windows注册表、执行命令和脚本、捕获剪贴板内容、更改受害者的桌面壁纸、启用摄像头和麦克风、下载其他有效负载、记录屏幕,甚至禁用键盘或鼠标输入。
与此同时,Wallarm披露,威胁行为者正在滥用DocusignAPI发送看似真实的虚假发票,试图欺骗毫无戒心的用户并大规模开展网络钓鱼活动。
攻击需要创建一个合法的付费Docusign账户,这样攻击者就可以更改模板并直接使用API。然后,这些账户会被用来创建特制的发票模板,模仿NortonAntivirus等知名品牌对文档进行电子签名的请求。
该公司表示:“与依赖欺骗性电子邮件和恶意链接的传统网络钓鱼诈骗不同,这些事件使用真正的DocuSign帐户和模板来冒充信誉良好的公司,让用户和安全工具措手不及。”
“如果用户以电子方式签署该文档,攻击者可以使用签署的文档向DocuSign以外的组织请求付款,或者通过DocuSign将签署的文档发送到财务部门进行付款。”
我们还观察到网络钓鱼活动利用一种名为ZIP文件串联的非常规策略来绕过安全工具并向目标分发远程访问木马。
该方法涉及将多个ZIP存档附加到单个文件中,这会引入安全问题,因为7-Zip、WinRAR和Windows文件资源管理器等不同程序对此类文件的解压和解析存在差异,从而导致忽略恶意负载的情况。
PerceptionPoint在最近的一份报告中指出:“通过利用ZIP阅读器和档案管理器处理连接ZIP文件的不同方式,攻击者可以嵌入专门针对某些工具用户的恶意软件。”
“威胁行为者知道这些工具通常会错过或忽略隐藏在连接档案中的恶意内容,从而使他们能够在不被发现的情况下传递有效载荷,并瞄准使用特定程序处理档案的用户。”
与此同时,一个名为VentureWolf的威胁行为者涉嫌使用MetaStealer(RedLineStealer恶意软件的一个分支)针对俄罗斯制造业、建筑业、IT和电信行业发起网络钓鱼攻击。