Aggregator

微软 Defender 误报事件,超 1700 份敏感文档遭泄露

HackerNews
4 months 2 weeks ago
HackerNews 编译,转载请注明出处: 微软Defender XDR错误将合法的Adobe Acrobat云服务链接标记为恶意链接,导致用户通过ANY.RUN沙箱平台公开上传了超过1,700份敏感文档。 ANY.RUN是一个交互式在线沙箱分析平台,允许用户在受控环境中运行可疑文件或链接以检测恶意软件。该平台明确警告免费版用户:所有上传文件将默认公开。 ANY.RUN在声明中表示:“我们观察到大量Adobe Acrobat云服务链接(acrobat[.]adobe[.]com/id/urn:aaid:sc:)被突然上传至沙箱。经调查发现,微软Defender XDR误将该域名标记为恶意。这导致免费用户以公开模式上传了上千份含企业敏感数据的Adobe文件。” 尽管ANY.RUN已将相关分析设为私有以防止泄露,但用户仍在持续公开分享机密文档。该公司建议用户在处理工作相关任务时购买商业许可证以确保隐私合规。 除ANY.RUN外,VirusTotal等恶意软件分析平台也允许用户上传可疑文件,可能导致数据无意泄露。 网络安全社区对ANY.RUN的“误导性声明”表示不满。有Reddit用户指出,该平台首页标注“创建免费账户”并声称“可保持上传与分析内容私有”,但实际条款中免费版数据默认公开。 用户评论:“当用户专注于分析恶意软件时,很容易忽略这类‘看似明显’的警告——如果真这么明显,就不会有这么多人出错了。” 专家建议:用户应仔细核查沙箱平台的隐私政策与设置,或彻底避免上传任何敏感数据。     消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CVE-2019-0227 | Oracle Communications Session Route Manager 8.0.0/8.1.0/8.1.1/8.2.0 Core server-side request forgery (EDB-46682)

Vuldb Updates
4 months 2 weeks ago
A vulnerability, which was classified as critical, has been found in Oracle Communications Session Route Manager 8.0.0/8.1.0/8.1.1/8.2.0. Affected by this issue is some unknown functionality of the component Core. The manipulation leads to server-side request forgery. This vulnerability is handled as CVE-2019-0227. Access to the local network is required for this attack. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2017-6363 | GD Graphics Library up to 2.2.5 gd_tiff.c tiffWriter out-of-bounds (Issue 383)

Vuldb Updates
4 months 2 weeks ago
A vulnerability, which was classified as problematic, was found in GD Graphics Library up to 2.2.5. Affected is the function tiffWriter of the file gd_tiff.c. The manipulation leads to out-of-bounds read. This vulnerability is traded as CVE-2017-6363. It is possible to launch the attack remotely. Furthermore, there is an exploit available. The real existence of this vulnerability is still doubted at the moment.
vuldb.com

CVE-2016-7524 | ImageMagick File coders/meta.c out-of-bounds (Issue 96 / ID 169347)

Vuldb Updates
4 months 2 weeks ago
A vulnerability, which was classified as problematic, has been found in ImageMagick. Affected by this issue is some unknown functionality of the file coders/meta.c of the component File Handler. The manipulation leads to out-of-bounds read. This vulnerability is handled as CVE-2016-7524. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to apply a patch to fix this issue.
vuldb.com

CVE-2013-6451 | MediaWiki prior 1.19.10/1.21.4/1.22.1 CSS cross site scripting (Nessus ID 81227 / ID 12828)

Vuldb Updates
4 months 2 weeks ago
A vulnerability was found in MediaWiki. It has been rated as problematic. Affected by this issue is some unknown functionality. The manipulation of the argument CSS leads to cross site scripting. This vulnerability is handled as CVE-2013-6451. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2012-2142 | Poppler up to 0.21.3 Escape Sequence Error.cc error escape output (Nessus ID 80824 / ID 123074)

Vuldb Updates
4 months 2 weeks ago
A vulnerability classified as critical has been found in Poppler up to 0.21.3. Affected is the function Error of the file Error.cc of the component Escape Sequence Handler. The manipulation leads to escaping of output. This vulnerability is traded as CVE-2012-2142. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.
vuldb.com

Weekly Update 449

Troy Hunt
4 months 2 weeks ago

Today, I arrived at my PC first thing in the morning to find the UPS dead (battery was cactus) and the PC obviously without power. So, I tracked down a powerboard and some IEC C14 to mains cable adaptors and powered back up. On boot, neither the Bluetooth mouse nor

Troy Hunt

黑客利用 Ivanti ICS 零日漏洞对日本发起攻击

HackerNews
4 months 2 weeks ago
HackerNews 编译,转载请注明出处: 网络安全研究人员警告称,一种名为DslogdRAT的新型恶意软件正通过利用Ivanti Connect Secure(ICS)中已修复的安全漏洞进行传播。该恶意软件与Web Shell在2024年12月期间通过零日漏洞CVE-2025-0282被植入日本多家机构的系统。JPCERT/CC研究员Yuma Masubuchi在周四发布的报告中指出:“攻击者当时利用该零日漏洞安装恶意软件。” CVE-2025-0282是ICS中的关键远程代码执行漏洞,Ivanti已于2025年1月初修复。该漏洞已被中文背景的网络间谍组织UNC5337用作零日漏洞,用于投递SPAWN恶意软件生态系统及DRYHOOK、PHASEJAM等工具,后两种恶意软件尚未关联到已知威胁组织。 JPCERT/CC和美国网络安全与基础设施安全局(CISA)发现,攻击者后续利用同一漏洞投递SPAWN的更新版本SPAWNCHIMERA和RESURGE。本月初,谷歌旗下Mandiant披露另一个ICS漏洞CVE-2025-22457被用于分发与中国黑客组织UNC5221关联的SPAWN恶意软件。 目前尚不确定使用DslogdRAT的攻击是否属于UNC5221操纵的SPAWN恶意软件活动。攻击链利用CVE-2025-0282部署Perl Web Shell,进而投递DslogdRAT等载荷。DslogdRAT通过套接字连接外联服务器发送系统信息,接收执行Shell命令、文件传输及代理劫持等指令。 威胁情报公司GreyNoise同时警告,过去24小时内针对ICS和Ivanti Pulse Secure(IPS)设备的可疑扫描活动激增9倍,涉及270多个独立IP地址;过去90天累计超过1000个IP。其中255个IP被判定为恶意,643个标记为可疑。恶意IP使用TOR出口节点,可疑IP关联小型托管商,主要来源国为美国、德国和荷兰。该公司表示:“此波扫描可能预示协同侦察及未来攻击准备,尽管尚未关联具体CVE,但类似峰值常出现在实际攻击前。”     消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CVE-2023-29848 | Bang Resto 1.0 Add New Menu admin/menu.php itemName cross site scripting (Issue 171899 / EDB-51377)

Vuldb Updates
4 months 2 weeks ago
A vulnerability classified as problematic has been found in Bang Resto 1.0. Affected is an unknown function of the file admin/menu.php of the component Add New Menu. The manipulation of the argument itemName leads to cross site scripting. This vulnerability is traded as CVE-2023-29848. It is possible to launch the attack remotely. Furthermore, there is an exploit available.
vuldb.com

研究人员发现 Rack::Static 漏洞,可能导致 Ruby 服务器数据泄露

HackerNews
4 months 2 weeks ago
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了Ruby网络服务器接口Rack中的三个安全漏洞。若被成功利用,攻击者可在特定条件下未授权访问文件、注入恶意数据并篡改日志。 网络安全厂商OPSWAT标记的漏洞如下: CVE-2025-27610(CVSS评分:7.5):路径遍历漏洞,攻击者若确定文件路径,可访问指定根目录下的所有文件。 CVE-2025-27111(CVSS评分:6.9):对回车换行符(CRLF)序列的不当中和及日志输出过滤漏洞,可操纵日志条目并扭曲日志文件。 CVE-2025-25184(CVSS评分:5.7):对CRLF序列的不当中和及日志输出过滤漏洞,可篡改日志条目并注入恶意数据。 成功利用这些漏洞可使攻击者掩盖攻击痕迹、读取任意文件并注入恶意代码。 OPSWAT在提供给《The Hacker News》的报告中称:“CVE-2025-27610尤其严重,未认证攻击者可借此获取配置文件、凭证等敏感信息,导致数据泄露。”该漏洞源于托管静态内容(如JavaScript、样式表、图片)的中间件Rack::Static未清理用户提供的路径。当:root参数未明确定义时,Rack默认将当前工作目录(Dir.pwd)设为网络根目录。若:root与:urls配置不当,攻击者可通过路径遍历访问敏感文件。 缓解措施包括升级至最新版本、移除Rack::Static的使用,或确保root:指向仅含公开文件的目录。 与此同时,Infodraw媒体中继服务(MRS)被发现存在关键漏洞(CVE-2025-43928,CVSS评分:9.8),攻击者可通过登录页用户名参数的路径遍历漏洞读取或删除任意文件。 Infodraw是以色列移动视频监控解决方案提供商,其设备被多国执法部门、私家调查、车队管理及公共交通用于传输音视频和GPS数据。安全研究员Tim Philipp Schäfers表示:“该漏洞允许未认证攻击者读取系统任意文件(例如使用用户名’../../../../’),且存在任意文件删除漏洞。”该漏洞影响MRS的Windows和Linux版本,目前未修复。比利时与卢森堡的受影响系统已下线。 Schäfers建议:“受影响组织应立即将应用下线(因厂商未提供补丁且漏洞可能被近期利用)。若无法下线,需通过VPN或IP白名单加强防护。”     消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

朝鲜黑客通过空壳公司分发恶意软件​

HackerNews
4 months 2 weeks ago
HackerNews 编译,转载请注明出处: 与朝鲜关联的威胁行为组织“Contagious Interview”(传染性面试)在虚假招聘流程中设立了多家空壳公司,用于分发恶意软件。 网络安全公司Silent Push在深度分析中指出:“在此次新活动中,该威胁组织利用加密货币咨询行业的三家空壳公司——BlockNovas LLC(blocknovas[.]com)、Angeloper Agency(angeloper[.]com)和SoftGlide LLC(softglide[.]co)——通过‘面试诱饵’传播恶意软件。” 该活动被用于分发三种已知恶意软件家族:BeaverTail、InvisibleFerret和OtterCookie。 “Contagious Interview”是朝鲜策划的多起以招聘为主题的社会工程攻击之一。攻击者以编程任务或“解决视频面试时摄像头故障”为借口,诱导目标下载跨平台恶意软件。网络安全界追踪此活动的别名包括CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342和Void Dokkaebi。 此次攻击的升级体现在: 空壳公司网络:BlockNovas声称有14名员工,但Silent Push发现其多数员工档案为伪造。通过Wayback Machine查看blocknovas[.]com的“关于我们”页面时,该公司自称“运营12年以上”,但实际注册时间仅1年。 社交媒体伪装:攻击者在Facebook、LinkedIn、Pinterest、X、Medium、GitHub和GitLab创建虚假账户扩大传播。 多阶段攻击链: BeaverTail:JavaScript窃取器/加载器,通过域名lianxinxiao[.]com建立C2通信,投递下一阶段载荷。 InvisibleFerret:Python后门,支持Windows/Linux/macOS持久化,可窃取浏览器数据、文件并安装AnyDesk远程控制软件。 OtterCookie:部分攻击链通过同一JS载荷分发。 基础设施细节: BlockNovas子域名托管“状态仪表盘”,监控lianxinxiao[.]com、angeloperonline[.]online等域名。 子域名mail.blocknovas[.]com运行开源密码破解系统Hashtopolis。 域名attisscmo[.]com托管加密货币钱包工具Kryptoneer,支持Suiet Wallet、Ethos Wallet等连接。 时间线与影响: 2024年9月:至少一名开发者的MetaMask钱包遭入侵。 2024年12月:BlockNovas在LinkedIn发布针对乌克兰IT专家的高级软件工程师职位。 2025年4月23日:FBI查封BlockNovas域名,指控其用于“虚假招聘及恶意软件分发”。 技术规避手段: 使用Astrill VPN和住宅代理隐藏基础设施。 利用AI工具Remaker生成虚假人物头像。 通过俄罗斯IP段(位于哈桑和伯力)连接VPS服务器,操作招聘网站和加密货币服务。Trend Micro指出,这些地区与朝鲜存在地理和经济关联,推测朝俄可能存在基础设施共享。 双重动机: 数据窃取:通过远程IT员工渗透企业(即Wagemole攻击)。 资金转移:将薪资汇入朝鲜账户。Okta观察到攻击者使用生成式AI(GenAI)优化虚假身份创建、面试安排及实时语音/文本翻译。 行业警示: 企业需警惕加密货币行业招聘中要求“测试区块链项目”或“修复技术问题”的可疑任务,此类要求可能成为恶意软件投递的切入点。     消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络;  转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad