Aggregator

SolarWinds 在其 Web Help Desk 产品中留下了硬编码凭证，可供远程、未经身份验证的攻击者使用，登录易受攻击的实例、访问内部功能并修改敏感数据 该软件制造商称这是一个严重的疏忽，目前已发布更新修复；制造商鼓励用户安装修复程序，该修复程序会删除内置的硬编码凭证。 该安全漏洞编号为CVE-2024-28987，CVSS 严重性评级为 9.1（满分 10）。 它影响 Web Help Desk 12.8.3 HF1 及所有先前版本，并已在 12.8.3 HF2 中修复。昨天发布的修补程序必须手动安装。 WHD 是 SolarWinds 的 IT 帮助台票务和资产管理软件，其网站拥有来自政府、教育、医疗保健、非营利组织和电信领域客户的推荐。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z9feIKhNS9VrRE__XM6xsA 封面来源于网络，如有侵权请联系删除

Atlassian 发布了 2024 年 8 月安全公告，详细介绍了影响 Bamboo、Confluence、Crowd 和 Jira 产品的九个高严重性漏洞。 Bamboo 数据中心和服务器收到了针对两个高严重性漏洞的补丁，其中包括一个经过身份验证的远程代码执行漏洞，其漏洞编号为 CVE-2024-21689。 第二个漏洞是一个拒绝服务 (DoS) 安全缺陷，影响 Bouncy Castle Jva 依赖项。该漏洞编号为 CVE-2024-29857，无需身份验证即可利用。 针对 Confluence 数据中心和服务器发布的补丁解决了两个高严重性安全缺陷，包括 Apache Tomcat (CVE-2024-34750) 中的 DoS 问题，该问题可能被未经身份验证的攻击者利用。 第二个缺陷是反射式跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 问题，编号为 CVE-2024-21690，它可能允许远程、未经身份验证的攻击者在受害者的浏览器中执行任意 HTML 或 JavaScript 代码。 该公司解释说，攻击者可以“强迫最终用户在当前已经过身份验证的 Web 应用程序上执行不必要的操作”。 Atlassian 解决了 Crowd Data Center 和 Server 中的三个高严重性 SSRF 漏洞。这三个漏洞被标记为 CVE-2024-22259、CVE-2024-22243 和 CVE-2024-22262，均会影响该产品使用的 Spring Framework。 该公司还宣布了针对 Jira 数据中心和服务器以及 Jira 服务管理数据中心和服务器的 Apache Tomcat 依赖项中高严重性漏洞的补丁。该漏洞编号为 CVE-2024-34750，可导致 DoS 攻击。 Atlassian 在其安全公告中表示，针对这些漏洞的补丁已于上个月发布。尽管该公司并未提及这些漏洞是否已被利用，但建议用户尽快更新其安装。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yLPxy0MQx1vzpF4acGJS-g 封面来源于网络，如有侵权请联系删除

黑客使用有效的管理员凭据获得了对交换机的访问权限，然后从应用程序级别“越狱”到操作系统级别。 进一步的证据表明，经验丰富的攻击者越来越多地攻击边缘设备和网络设备，以提高隐身性和持久性：在这个案例中，一个名为“Velvet Ant”的黑客组织实力雄厚，但却鲜为人知。 2024 年 7 月 1 日，思科发布了一份公告，详细介绍了影响其 Nexus 交换机使用的 NX-OS 软件的 CLI 命令注入漏洞。 同一天，Sygnia 报告称发现该漏洞已被其追踪的黑客组织 Velvet Ant 使用。Sygnia 现已发布有关 Velvet Ant TTP 的更多信息。 Velvet Ant是 Sygnia 为该黑客组织的命名。该公司没有发现任何证据表明其他研究人员研究过该组织。 Velvet Ant攻击事件是老练攻击者通过边缘或网络设备攻击网络的典型案例。此类设备通常设计为黑匣子，用户访问权限有限，通常没有日志记录，安全堆栈也无法查看。成功攻击者的优势在于隐蔽性和持久性显著提高。 在一篇新博客文章中，Sygnia 描述了 Velvet Ant 多年来如何向网络基础设施的“更深、更黑暗”部分过渡，并最终危及思科交换机的安全。 Nexus 交换机运行 NX-OS。它具有分层架构，包括有限的 CLI“应用程序”级别和基于 Linux 的底层操作系统级别。授权管理员使用应用程序级别 CLI 执行网络管理任务，但不能（或不应该）直接访问受保护的操作系统级别。交换机的管理与操作系统分离，并受 CLI 的限制。操作系统级别处理核心系统功能、运行进程和管理对交换机操作至关重要的资源。 在可见性方面，操作系统层面发生的事情仍停留在操作系统层面——管理员和网络安全堆栈无法看到。“这些交换机设备不允许用户访问底层操作系统，因此几乎不可能扫描到入侵指标。”研究人员指出。 在这起事件中，Velvet Ant 首先使用有效的管理员凭据访问了交换机，然后从应用程序级别“越狱”（使用命令注入漏洞）进入操作系统级别。攻击者通过应用程序级别访问网络，并在操作系统级别实现隐藏持久性。 该漏洞编号为CVE-2024-20399，仍在等待 NVD 分析。思科公告将其评为中等严重性等级，漏洞描述为“思科 NX-OS 软件 CLI 中的漏洞可能允许拥有管理员凭据经过身份验证的用户在受影响设备的底层操作系统上以 root 身份执行任意命令。” 通过控制交换机，Velvet Ant 能够直接转向网络上的其他设备，而无需采用通常的横向移动方法——大多数不良行为者入侵都是通过这种方法检测到的。Velvet Ant 的目的是从事间谍活动。 研究人员表示：“这种访问使攻击者能够提升对交换机的控制权，使他们能够执行恶意脚本并操纵系统，超出预期的管理能力。” 该漏洞的发现是针对 Velvet Ant 间谍活动的大规模取证调查的一部分。在此期间，Sygnia 发现了使用有效管理凭据执行的可疑 Base64 编码命令。这些命令曾用于加载和执行二进制文件，并被追溯到交换机。 Velvet Ant 在利用后删除驻留证据。尽管如此，Sygnia 还是能够从设备内存中重建已使用的恶意软件。它将该恶意软件命名为 VelvetShell – 两种开源工具 TinyShell（Unix 后门）和 3proxy 的混合构造。 虽然这些工具长期以来一直被单独用于恶意目的，但 Velvet Ant 将它们整合到单个二进制文件中。在这种组合格式下，它可以执行任意命令、下载和上传文件，以及创建用于代理网络流量的隧道。简而言之，它对受感染系统提供了广泛的控制，既可以实现数据泄露，也可以实现持续访问。 最初的0day漏洞（现已被思科修补）并不容易利用。攻击者必须拥有网络访问权限和管理员凭据才能访问 Nexus 交换机。这种复杂性解释了为什么思科自己的公告中只给 Nexus 漏洞一个“中等”严重评级。 如果能做到这一点，攻击者可以利用该漏洞访问和控制交换机操作系统，并从那里访问和利用其他设备，同时保持对网络安全堆栈的隐藏。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JC3ml71XHISjRWIepP4Ocg 封面来源于网络，如有侵权请联系删除

Here’s a look at the most interesting products from the past week, featuring releases from Entrust, Fortanix, McAfee, Own, RightCrowd, and Wallarm. Own proactively detects and stores data changes in Salesforce Continuous Data Protection from Own pushes data changes to a backup as they happen, allowing businesses to capture changes in their data in near real-time. In addition to creating a more resilient and scalable approach, the higher-fidelity datasets this offering creates will enable organizations … More →

The post New infosec products of the week: August 23, 2024 appeared first on Help Net Security.

1.Bianlian勒索团伙公布新的受害公司 2.Play团伙公布新的受害公司 3.Abyss勒索团伙公布了新的受害公司

vArmor借助 Linux 内核的 LSM（AppArmor & BPF）和 Seccomp 技术对容器进行沙箱加固，从而增强容器隔离性、减少内核攻击面、增加容器逃逸和横向移动的难度与成本。

n.eko 是一款多合一的浏览器工具，可以本地运行，也可以在 Do

从CVE-2021-3156 sudoheap-overflow 漏洞开始练就二进制0day猎人

使用Flutter进行项目开发加载H5页面时，打开H5页面需要使用WebView组件。同时，为了和H5页面进行数据交换，有时候还需要借助JSBridge来实现客 […]

Janusec Application Gateway Janusec Application Gateway is an application security solution that provides WAF (Web Application Firewall), CC attack defense, a unified web administration portal, private key protection, web routing, and scalable load balancing....

The post janusec: Golang based application security solutions appeared first on Penetration Testing Tools.