Aggregator

A vulnerability was found in Xplico up to 1.2.0. It has been declared as critical. This vulnerability affects unknown code of the component PCAP File Handler. The manipulation leads to command injection. This vulnerability was named CVE-2017-16666. The attack can be initiated remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

2024年12月18日至19日，由国家计算机网络应急技术处理协调中心（CNCERT/CC）主办的中国-东盟网络安全应急响应能力建设研讨会在广州成功举办。来自国内外10余个组织的代表参加此次会议，CNC

360漏洞云总经理胡晓娜受邀参与知名科技媒体《科技博弈论》的专访，深度探讨信息时代白帽黑客与众测平台的合作共赢之道。

《科技博弈论》是一家聚焦“前沿科技赋能实体产业”和“科技产业出海”，邀请“科技企业、行业专家、科研学者、科技大V”分享交流，搭建“全球华人科技圈子”的交流平台。往期精彩专访包括：贵州大数据安全工程研究

E安全消息，网络应用框架Apache MINA发现一个严重漏洞。漏洞被追踪为CVE-2024-52046，CVSS得分10，可能允许攻击者在系统上执行任意代码。 Apache MINA框架用于构建高性能和可扩展的网络应用，以其事件驱动异步API而闻名。该API简化了TCP/IP和UDP/IP等传输上的网络编程，被广泛应用于各种应用。 然而，其ObjectSerializationDecoder组件的一个缺陷为恶意行为者打开了大门。这个解码器利用Java的本地反序列化来处理序列化数据，被发现缺乏关键的安全检查。 问题的根源在于易受攻击版本的MINA处理对象反序列化的方式。没有适当的防护措施，攻击者可以发送特别制作的恶意序列化数据，当ObjectSerializationDecoder处理这些数据时，可能会导致远程代码执行（RCE）。这意味着攻击者可能完全控制受影响的系统。 CVE-2024-52046漏洞影响了一系列Apache MINA版本，具体包括： Apache MINA 2.0.0至2.0.26 Apache MINA 2.1.0至2.1.9 Apache MINA 2.2.0至2.2.3 需要注意的是，并非所有使用MINA的应用程序都会自动受到影响。 当应用程序使用IoBuffer#getObject()方法时，风险就会出现，这可能在ProtocolCodecFilter实例使用ObjectSerializationCodecFactory类被添加到过滤器链时被调用。如果你的应用程序依赖这些特定类和方法，你可能已经暴露了风险，必须立即采取行动。 Apache MINA团队通过发布以下修补版本迅速解决了这一关键漏洞： Apache MINA 2.0.27 Apache MINA 2.1.10 Apache MINA 2.2.4 仅仅升级是不够的。更新的版本引入了一个重要的安全增强功能：开发人员必须明确定义ObjectSerializationDecoder被允许反序列化的类。 通过三个新方法实现： accept(ClassNameMatcher classNameMatcher) accept(Pattern pattern) accept(String… patterns) 默认情况下，解码器现在将拒绝所有类，遵循“拒绝所有”的原则，除非明确允许。这增加了一个重要的控制层，防止了不受信任和潜在恶意对象的反序列化。 Apache MINA团队已表示，FtpServer、SSHd和Vysper子项目不受此漏洞影响。   转自E安全，原文链接：https://mp.weixin.qq.com/s/OC8JgmYZ1uWYTVFhKJyJcQ 封面来源于网络，如有侵权请联系删除

error code: 521

A vulnerability was found in Apple Safari up to 11.1.2. It has been classified as critical. Affected is an unknown function. The manipulation leads to use after free. This vulnerability is traded as CVE-2018-4312. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in Apache Geronimo 2.1/2.1.1/2.1.2/2.1.3. This issue affects some unknown processing of the component Administration Console. The manipulation leads to cross-site request forgery. The identification of this vulnerability is CVE-2009-0039. The attack may be initiated remotely. Furthermore, there is an exploit available.

error code: 521

HackerNews 编译，转载请注明出处： 黑客已找到多种绕过多因素认证（MFA）的方法，而九成安全专家仍然认为MFA能够完全防止账户被接管，网络安全公司警告道。 多因素认证常被誉为防止账户接管的“银弹”，用于保护用户在密码泄露后避免被黑客侵入。然而，黑客早已预见到这一障碍并已做好了反击准备。网络犯罪分子正发动数百万次攻击，旨在绕过MFA。 Proofpoint 2024年《Phish报告》显示，仅使用一个名为EvilProxy的MFA绕过工具，每个月就发起了超过100万次攻击。EvilProxy是一个钓鱼即服务工具包。 “然而，89%的安全专家认为MFA能够完全防止账户接管。显然，这之间存在脱节，”该公司表示。 威胁行为者至少使用六种方法绕过MFA，其中许多战术都相当复杂： 钓鱼攻击：网络罪犯诱使用户将MFA代码或登录凭证输入由攻击者控制的网站。 MFA疲劳攻击：一旦威胁行为者获得了用户的密码，他们就会发起大量MFA推送通知，试图让用户困惑。受害者通常为了停止这些通知而批准访问请求。 会话劫持：攻击者使用信息窃取恶意软件和其他手段在身份验证后窃取会话Cookie，这使得前面的MFA身份验证变得无效。 SIM卡交换：如果用户依赖SMS验证码进行MFA，黑客可能尝试将目标的电话号码转移到自己的手中。为此，攻击者需要通过社会工程学手段操控移动运营商，或在组织内有内部人员协助。 社交工程：黑客获取敏感凭证的另一种方式是通过直接询问。许多公司提供一种方式，允许远程员工重置密码和MFA设置，而无需亲自到场。如果没有适当的在线身份验证，攻击者可以通过欺骗IT帮助台交出伪造的员工凭证。 中间人攻击：攻击者使用如Evilginx之类的专用钓鱼工具拦截会话令牌。然后，这些令牌会被转发给合法服务，攻击者因此获得访问权限。 此前，研究人员甚至成功地仅通过猜测6位数验证码绕过了微软的MFA实施。微软声称，MFA能够防止99%的账户被接管攻击。 Proofpoint指出，单靠MFA是不够的。 “毫无疑问，MFA为用户认证安全增添了重要的防护层。这使得威胁行为者更加难以突破。但上述绕过技术展示了为何仅依赖单一的安全防御机制是如此危险，”该公司表示。“攻击者能够适应并突破广泛部署的保护措施。” Proofpoint建议，MFA应作为更大范围防御深度策略的一部分，额外的安全层次能在一个防御层被突破时减少成功攻击的可能性。 MFA工具并不相同，因此建议采用抗钓鱼的MFA。更安全的MFA方法包括硬件安全密钥（FIDO2）或生物识别技术。 通过部署端点检测与响应（EDR）工具来增强端点保护，是识别和缓解主机级别未经授权访问的一个安全层。 “投资于防御凭证钓鱼。大多数威胁行为者偏好使用高度针对性的社交工程钓鱼攻击来获取用户凭证，”Proofpoint指出。 其他措施包括安装专门的账户接管安全系统，能够检测、调查并自动响应云账户接管，教育用户识别钓鱼企图，并制定事件响应和恢复计划。 “准备应对最坏的情况。确保有一个明确的事件响应计划，包含快速撤销访问令牌和调查可疑登录的办法。”   消息来源：Cybernews, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in John Beatty Easy PHP Photo Album 1.0. It has been classified as problematic. This affects an unknown part. The manipulation of the argument dir leads to basic cross site scripting. This vulnerability is uniquely identified as CVE-2003-1146. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

error code: 521

HackerNews 编译，转载请注明出处： 黑客攻击了罗德岛州的健康和福利项目系统，并将文件发布到了暗网，州长丹尼尔·麦基周一表示，这一事件是州政府已预料到的情况。 根据麦基办公室发布的新闻稿，州政府已制定外展策略，鼓励可能受影响的罗德岛居民保护他们的个人信息。州长表示，目前尚不清楚是否所有从RIBridges系统中窃取的文件都已经发布到暗网上。暗网是一个加密网络中的一部分，只有通过专门的匿名工具才能访问。 麦基办公室的声明称：“目前，IT团队正在努力分析已发布的文件。这是一个复杂的过程，我们尚不清楚这些文件中包含的数据范围。” 麦基在下午的新闻发布会上表示，负责建设和维护RIBridges的公司德勤已与黑客取得了联系。 州政府正在与德勤合作，生成受影响个人的名单。官员表示，信函将发送给这些个人，告知他们如何访问免费的信用监控服务。 依赖RIBridges的州政府项目包括医疗补助、补充营养援助计划（SNAP）、临时贫困家庭援助、儿童保育援助计划、罗德岛工作计划、长期服务与支持、At HOME成本分担计划以及通过HealthSource RI购买的健康保险。 声明补充道：“虽然这些数据已经被泄露，但这并不意味着它们已被用于身份盗窃。” 麦基呼吁罗德岛居民采取一系列步骤来保护他们的财务信息，包括：联系所有三大信用报告机构——Equifax、Experian和TransUnion——冻结他们的信用；联系其中一个信用报告机构，申请免费的信用报告；并要求在信用档案中添加欺诈警报。 居民还应使用多因素身份验证，而不仅仅依赖一个密码来访问个人信息，并警惕看似合法的假冒电子邮件、电话或短信。 麦基表示，执法部门也正在调查此次数据泄露事件，但他指出，由于犯罪的性质，抓捕嫌疑人面临着巨大的挑战。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub正遭遇虚假“星标”泛滥的问题，这些虚假星标被恶意用于提升软件病毒传播仓库的曝光度，诱使更多无辜用户上钩。 星标功能类似于社交媒体上的“点赞”，让用户能够为自己感兴趣的仓库标记。GitHub则将这些星标作为全球排名系统的参考指标之一，并据此向用户推荐相关内容。 GitHub说明：“用户可通过为仓库或主题加注星标，来发掘平台上的相似项目。一旦加星标，GitHub可能会在个人仪表板上推荐相关内容。” 去年夏季，Check Point揭露了一个名为“Stargazers Ghost Network”的恶意软件传播网络，该网络通过大量虚假账户为虚假项目加星标，以推广信息窃取恶意软件，揭示了这一问题的存在已久。 不仅恶意项目，部分非恶意项目也采用虚假星标手段提升人气、扩大影响，吸引真实用户关注与采用，此举不仅加剧了问题，还损害了平台信誉。 近期，Socket联合卡内基梅隆大学及北卡罗来纳州立大学的研究人员发布的一项新研究显示，GitHub上约有450万个星标疑似虚假。 追踪虚假星标 研究团队开发了一款名为“StarScout”的工具，用于分析来自“GHArchive”的20TB数据，寻找虚假星标的迹象。GHArchive记录了2019年7月至2024年10月期间超过60亿个GitHub事件的元数据，包括3.1亿个仓库的6,050万用户操作和6.1亿个星标。 StarScout通过检测用户的活动特征来识别可疑星标行为，比如仅为单个仓库加星标的用户、显示出机器人或临时账户活动模式的用户，以及在短时间内对相同仓库加星标的账户群体。该方法基于CopyCatch算法，这是一种专为发现社交网络中欺诈模式设计的算法。 通过将低活动量和同步模式算法应用于数据分析，研究团队识别出了4,530,000个疑似虚假星标，这些星标来自1,320,000个账户，分布在22,915个仓库中。 为了提高结果的准确性，研究人员筛除了潜在的误报，仅保留了那些在单个月份内出现显著异常星标激增且虚假星标比例超过10%的仓库。这一筛选过程将结果缩减为310万个虚假星标，涉及278,000个账户和15,835个仓库。 到2024年10月，约91%的相关仓库和62%的虚假账户已被删除，这进一步证明了StarScout工具的有效性。此外，2024年虚假星标活动显著增加，特别是在7月期间，超过50个星标的仓库中约有15.8%参与了这些恶意活动。 研究团队在2024年7月报告了StarScout识别的虚假仓库和账户，GitHub已将其全部删除。目前，他们仍在评估并报告2024年11月发现的其他虚假星标群体。 虚假星标对GitHub及其用户的影响多方面显现，但总体而言，这一问题正在侵蚀平台的信任基础及其托管的各种软件项目的可靠性。 用户在下载软件前应谨慎对待星标数量，深入评估仓库的活动和质量，仔细阅读文档、检查内容和贡献，并在可能的情况下审查代码。 欺诈性GitHub仓库的存在十分普遍，甚至被国家支持的行动所利用。因此，在下载软件时必须提高警惕。 BleepingComputer已联系GitHub以了解其应对虚假星标问题的具体措施，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

A vulnerability, which was classified as critical, has been found in Deon George phpLDAPadmin up to 1.2.1.1. Affected by this issue is the function masort in the library lib/functions.php. The manipulation of the argument orderby leads to code injection. This vulnerability is handled as CVE-2011-4075. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

今天要推荐的是一个适合初学者学习信息安全知识，锻炼动手能力，黑盒测试往往是对未知的探索，作为初学者，直接实战，通常会一无所获，久而久之容易丧失对于学习动力。如果有一定存在可被攻击成功路径的虚拟环境，通

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了微软Azure Data Factory Apache Airflow集成中的三项安全漏洞，这些漏洞若被成功利用，可能使攻击者能够执行多种隐秘操作，包括数据窃取和恶意软件部署。 “利用这些漏洞，攻击者可以获得对整个Airflow Azure Kubernetes Service (AKS)集群的持续访问权限，成为影子管理员，”Palo Alto Networks的Unit 42团队在本月早些时候发布的一份分析报告中指出。 虽然微软将这些漏洞归类为低严重性，但其具体问题包括： – Airflow集群中的Kubernetes RBAC配置错误 – Azure内部Geneva服务的密钥处理配置错误 – Geneva服务身份验证机制薄弱 除未经授权访问外，攻击者还可能利用Geneva服务中的漏洞篡改日志数据或发送虚假日志，以掩盖创建新Pod或账户时的恶意行为。 初始攻击途径涉及创建一个定向无环图（DAG）文件并将其上传至连接到Airflow集群的私人GitHub存储库，或者修改现有的DAG文件。其最终目标是在文件导入后立即启动一个反向Shell连接到外部服务器。 要实现这一点，攻击者首先需要通过利用被攻陷的服务主体或文件的共享访问签名（SAS）令牌获得对存储DAG文件的存储账户的写权限。或者，他们可以通过泄露的凭据攻破Git存储库。 虽然通过这种方式获取的Shell在Kubernetes Pod中以Airflow用户的权限运行，其权限有限，但进一步分析发现了一个与Airflow运行器Pod相关联的集群管理员权限服务账户。 这一配置错误，加上Pod可通过互联网访问，使得攻击者能够下载Kubernetes命令行工具kubectl，最终通过部署特权Pod并突破底层节点，实现对整个集群的全面控制。 攻击者随后可利用主机虚拟机（VM）的Root权限进一步深入云环境，未经授权访问Azure托管的内部资源，包括Geneva服务。部分Geneva服务还授予对存储账户和事件中心的写权限。 “这意味着技术高超的攻击者可以修改一个存在漏洞的Airflow环境，”研究人员Ofir Balassiano和David Orlovsky表示。“例如，攻击者可以创建新的Pod和服务账户，甚至修改集群节点，并向Geneva发送伪造的日志而不会引发警报。” “此问题凸显了严格管理服务权限以防止未经授权访问的重要性，也强调了对关键第三方服务操作进行监控以防止此类访问的必要性。” 此次披露还伴随着Datadog Security Labs的另一发现，即Azure Key Vault中的权限升级场景。攻击者可通过Key Vault Contributor角色读取或修改Key Vault内容，例如API密钥、密码、认证证书和Azure Storage SAS令牌。 问题在于，虽然拥有Key Vault Contributor角色的用户在启用访问策略的Key Vault上无法直接访问数据，但该角色被发现具有添加自身至Key Vault访问策略的权限，从而绕过了权限限制。 “策略更新可能包含列出、查看、更新和全面管理Key Vault数据的能力，”研究人员Katie Knowles解释道。“这导致了一个场景：Key Vault Contributor角色的用户尽管没有[基于角色的访问控制]权限来管理权限或查看数据，但仍可获得所有Key Vault数据的访问权限。” 微软随后更新了其文档，强调访问策略风险：“为了防止未经授权访问和管理您的Key Vault、密钥、机密和证书，必须限制Key Vault Contributor角色对启用访问策略权限模型的Key Vault的访问。” 这一事件发生之际，亚马逊Bedrock CloudTrail日志记录问题也被曝光。该问题使区分针对大语言模型（LLM）的恶意查询与合法查询变得困难，从而允许攻击者进行侦察活动而不引发任何警报。 “具体来说，失败的Bedrock API调用与成功调用记录方式相同，未提供任何特定错误代码，”Sysdig研究员Alessandro Brucato表示。“API响应中缺乏错误信息可能通过在CloudTrail日志中产生误报来阻碍检测工作。没有这些细节，安全工具可能会误将正常活动解读为可疑行为，从而导致不必要的警报并可能忽视真正的威胁。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文