Aggregator

ハミングヘッズ株式会社が提供するDefense Platform Home Editionには、複数の脆弱性が存在します。

HackerNews 编译，转载请注明出处： 网络安全公司VulnCheck最新报告显示，2024年野外被利用的CVE数量攀升至768个，较2023年的639个增长20%，创下年度新高。 约23.6%的KEV在公开披露当日或之前就已被武器化，这一比例虽较2023年的26.8%略有下降，却印证了漏洞在其生命周期内随时可能遭受攻击的行业规律。 VulnCheck安全研究员Patrick Garrity在接受《黑客新闻》采访时透露：”2024年公布的CVE中，有1%在发布时就被确认遭到野外利用。考虑到漏洞利用常存在滞后性，实际数字预计会持续攀升。”这一发现基于该公司持续追踪的漏洞生命周期数据。 值得关注的是，报告发布的两个月前，VulnCheck曾披露2023年度最常被利用的15个高危漏洞中，有15个中国黑客组织（占已命名威胁行为体的四分之一）涉及至少一个漏洞的利用。 其中，Log4j漏洞（CVE-2021-44228）以关联31个威胁组织位居榜首，目前仍有65,245台主机存在潜在风险。 经测算，全球约40万台联网设备因Apache、Atlassian等10家主流厂商产品的15个安全缺陷面临攻击威胁。这些涉及企业包括思科、微软、Fortinet等行业巨头，暴露出广泛的企业级安全风险。 对此，VulnCheck提出五点防护建议：企业需系统评估技术暴露面、建立风险可视化机制、强化威胁情报应用、完善补丁管理体系，并尽可能减少相关设备的互联网暴露面。该建议直指当前企业网络安全建设的核心痛点，为应对日益复杂的漏洞攻击提供了操作性框架。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国网络安全和基础设施安全局（CISA）于本周二在其已知被利用漏洞（KEV）目录中新增了四个安全漏洞，并指出这些漏洞已在野外被积极利用。 新增漏洞详情 以下为新增漏洞的具体信息： CVE-2024-45195（CVSS评分：7.5/9.8）：Apache OFBiz中的强制浏览漏洞，允许远程攻击者未经授权访问服务器并执行任意代码（已于2024年9月修复）。 CVE-2024-29059（CV

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息，如果该漏洞被成功利用，可能会允许威胁行为者窃取用户的凭据并发起后续攻击。 Zenity Labs 在一份与《黑客新闻》分享的报告中表示，这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动，从而获得对敏感数据的未经授权的访问。 “该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365，这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说，“这增加了成功攻击的可能性，使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。” 在 2024 年 9 月负责任地披露该漏洞后，微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。 微软 Power Platform 是一系列低代码开发工具，允许用户促进分析、流程自动化和数据驱动的生产力应用程序。 该漏洞本质上是服务器端请求伪造（SSRF），源于 SharePoint 连接器中的“自定义值”功能，该功能允许攻击者在流程中插入自己的 URL。 然而，为了使攻击成功，恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。 “有了环境制造者角色，他们可以创建和共享恶意资源，如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色，他们需要先获得这些角色。” 在一个假设的攻击场景中，威胁行为者可以为 SharePoint 操作创建一个流程，并与低权限用户（即受害者）共享，导致他们的 SharePoint JWT 访问令牌泄露。 掌握了这个被捕获的令牌，攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。 不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务，如 Power Apps 和 Copilot Studio，以窃取用户的令牌并进一步提升访问权限。 “你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互，你就可以像在组织内一样轻松地窃取他们的令牌，使攻击更加广泛。” “主要的收获是，Power Platform 服务的相互关联性可能会导致严重的安全风险，尤其是考虑到 SharePoint 连接器的广泛使用，其中存储了大量敏感的公司数据，确保在各种环境中维护适当的访问权限可能会很复杂。” 这一事件发生之际，Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞，这些漏洞可能被利用来与元数据 API 端点通信，从而允许攻击者获取有关机器配置的信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

这种创新方法被称为“宪法分类器”，已在数千小时的人类红队测试和合成评估中表现出了显著的抗攻击能力。

AMD has disclosed a high-severity vulnerability (CVE-2024-56161) in its Secure Encrypted Virtualization (SEV) technology, which could allow attackers with administrative privileges to inject malicious CPU microcode.  This flaw compromises the confidentiality and integrity of virtual machines (VMs) protected by SEV-SNP, a security feature designed to safeguard sensitive workloads in virtualized environments. The issue stems from […]

The post AMD SEV Vulnerability Allows Malicious CPU Microcode Injection as Admin appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 谷歌日前发布安全更新，修复安卓操作系统中47项安全漏洞，其中一项已被证实遭到实际攻击。 本次修复的核心漏洞CVE-2024-53104（CVSS评分7.8）属于USB视频类（UVC）驱动内核组件的权限提升漏洞。 谷歌表示，攻击者可通过物理接触设备实施本地提权攻击，且已监测到该漏洞存在“有限范围的定向攻击”。 技术溯源显示，该漏洞最早可追溯至2008年发布的Linux内核2.6.26版本。 Linux内核维护者Greg Kroah-Hartman在2024年12月初披露，该漏洞源于”uvc_driver.c”程序中”uvc_parse_format()”函数对UVC_VS_UNDEFINED类型帧解析时引发的越界写入问题，可能导致内存损坏、程序崩溃或任意代码执行。 安全机构GrapheneOS分析指出，考虑到该漏洞涉及物理提权特性，不排除被取证数据提取工具滥用的可能性。同步修复的还包括高通WLAN组件高危漏洞CVE-2024-45569（CVSS评分9.8），该漏洞同样存在内存损坏风险。 值得注意的是，谷歌此次采用2025-02-01和2025-02-05双安全补丁级别机制，以便设备厂商灵活处理安卓系统通用漏洞。 “我们鼓励 Android 合作伙伴修复本公告中的所有问题，并使用最新的安全补丁级别，”谷歌表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文