Aggregator

新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险

嘶吼
8 months 2 weeks ago

OpenSSH 发布了安全更新,修复了两个漏洞,一个是 MitM 攻击漏洞,另一个是拒绝服务漏洞,其中一个漏洞是在十多年前引入的。Qualys 发现了这两个漏洞,并向 OpenSSH 的维护人员展示了其可利用性。

OpenSSH(开放安全外壳)是 SSH(安全外壳)协议的一个免费开源实现,它为不安全网络上的安全远程访问、文件传输和隧道传输提供加密通信。

作为世界上最广泛使用的工具之一,在企业环境、信息技术、开发运维、云计算和网络安全应用中,基于 Linux 和 Unix(包括 BSD、macOS)的系统中有着很高的采用率。

两个漏洞

根据 CVE-2025-26465 跟踪的 MiTM 漏洞是在2014年12月发布 OpenSSH 6.8p1 时引入的,因此该问题在十多年内未被发现。

当启用“VerifyHostKeyDNS”选项时,该漏洞会影响 OpenSSH 客户端,允许威胁者执行 MitM 攻击。

无论 VerifyHostKeyDNS 选项设置为“yes”还是“no”,针对 OpenSSH 客户端(CVE-2025-26465)的攻击都能成功,不需要用户交互,也不依赖于 DNS 中是否存在 SSHFP 资源记录(SSH指纹)。

启用后,由于错误处理不当,攻击者可以通过在验证期间强制出现内存不足错误来欺骗客户端接受非法服务器的密钥。

通过拦截 SSH 连接并提供带有过多证书扩展的大 SSH 密钥,攻击者可以耗尽客户端的内存,绕过主机验证,劫持会话以窃取凭据、注入命令和泄露数据。

虽然“VerifyHostKeyDNS”选项在 OpenSSH 中默认是禁用的,但从2013年到2023年,它在 FreeBSD 上默认是启用的,这使得许多系统暴露在这些攻击之下。

第二个漏洞是 CVE-2025-26466,这是2023年8月发布的 OpenSSH 9.5p1 中引入的预认证拒绝服务漏洞。

这个问题源于密钥交换期间不受限制的内存分配,从而导致不受控制的资源消耗。

攻击者可以重复发送16字节的 ping 消息,这会迫使 OpenSSH 缓冲256字节的响应,而不会立即受到限制。

在密钥交换期间,这些响应将被无限期存储,从而导致内存消耗过多和 CPU 过载,从而可能导致系统崩溃。

利用 CVE-2025-26466 的后果可能没有第一个漏洞那么严重,但在身份验证之前利用它的事实保持了非常高的中断风险。

发布安全更新

OpenSSH 团队本周发布了9.9p2版本,解决了这两个漏洞,因此建议相关用户应尽快迁移到该版本。此外,除非绝对必要,建议禁用 VerifyHostKeyDNS ,并依靠手动密钥指纹验证来确保 SSH 连接的安全。

对于 DoS 问题,建议管理员执行严格的连接速率限制,并监控 SSH 流量的异常模式,以便及早阻止潜在的攻击。

胡金鱼

AI自动化代码审计RCE

先知技术社区
8 months 2 weeks ago
AI最近的趋势持续偏高,用AI来写代码,挖漏洞甚至于审计代码的文章或者工具都非常多,最近刚好在学习AI安全,并且php相关的代码审计也比较熟练,趁着学习AI的机会结合代码审计进行学习。

黑客声称入侵 Check Point 网络安全公司并出售访问权限  

HackerNews
8 months 2 weeks ago
HackerNews 编译,转载请注明出处: 一名使用化名 “CoreInjection” 的黑客声称对以色列网络安全公司 Check Point 进行入侵,声称获得了敏感的内部数据和网络系统访问权限。 该黑客于 2025 年 3 月 30 日星期日在 Breach Forums 论坛上发布了这一声明,并宣布以 5 枚比特币(约 434,570 美元)的价格出售所窃取的内容。黑客强调,该价格”固定且不可协商”,且仅接受加密货币付款。有兴趣的买家需通过 TOX 消息平台联系。   在论坛的帖子中,CoreInjection 声称出售的数据包括:   – 内部项目文档   – 用户凭据(包括哈希和明文形式)   – 内部网络地图和架构图   – 专有软件的源代码和编译二进制文件   – 员工联系方式,包括电话号码和电子邮件地址   Check Point 公司的回应   在该帖子引起关注后不久,Check Point 发表声明,否认近期发生过如此规模的入侵事件。公司表示,该黑客的说法涉及的是”一个已知的、非常有限的旧事件”,该事件影响的仅是少数组织,且未涉及核心系统。   “此事件在几个月前就已得到处理,并不包含暗网论坛帖子中描述的内容,”Check Point 在声明中表示。”受影响的组织当时已得到通知和妥善处理,此次曝光不过是对旧信息的再度炒作。”   公司坚称,其客户、基础设施或内部运营均未受到安全威胁,并澄清称,受影响的门户网站并未涉及生产环境或包含敏感架构的系统。   CoreInjection 是谁?   CoreInjection 是网络犯罪领域的一个相对新面孔,但已迅速因针对关键基础设施和高端网络(特别是以色列的目标)而声名鹊起。该黑客于 2025 年 3 月 15 日首次出现在 Breach Forums 上,并自那时起已发布了 5 条出售企业网络访问权限的帖子。   其最早的一条帖子是出售对一家总部位于美国的工业机械和设备公司管理面板的访问权限,标价 100,000 美元。然而,不久之后,黑客的攻击目标展现出了一个明显的地理倾向——以色列。   2025 年 3 月 16 日,CoreInjection 声称在出售某以色列国际汽车公司的网络和管理电子邮件访问权限。据称,该访问权限包含对该公司”以色列网络基础设施的完全控制权”,售价 50,000 美元。   两天后的 3 月 18 日,黑客又发布了一条帖子,出售对一家以色列”知名数字屏幕公司”的”完整系统访问权限”。该帖子称,黑客可访问管理大型商场中的数字显示屏服务器,售价 100,000 美元,并强调该权限可实现”即时内容修改和传播”,也就是说,可以实时控制公共显示屏的内容。   这一细节引起了网络安全专家的警觉。过去,与伊朗、真主党和巴勒斯坦黑客组织有关的团体曾多次攻击 CCTV 摄像头、电视信号和公共显示屏,通常用于政治宣传。如果 CoreInjection 的声明属实,这类访问权限的出售可能会为类似的高曝光度攻击提供可乘之机。   2025 年 3 月 20 日,该黑客又发布了一条帖子,出售某以色列电气产品公司的客户和订单数据库,并声称数据”独家且最新”,售价 30,000 美元。   综合来看,CoreInjection 的一系列出售信息显示出明确的攻击模式:高价值访问权限、关键系统以及对以色列基础设施的强烈兴趣。无论其是独立行动,还是隶属于更广泛的组织,该黑客的活动都已引起地下论坛和网络安全界的关注。   仍存疑问   尽管 Check Point 试图安抚公众,但黑客对被窃数据的详细描述仍然引发了担忧。如果这些数据属实,其中提到的内部网络架构、明文凭据和专有软件,可能表明黑客的访问权限比 Check Point 公开承认的要深得多。   此外,仍有几个关键问题未得到解答。如果这确实是一个旧事件,为什么当时未被公开披露?对于一家规模如此庞大的网络安全公司来说,透明度应当是基本要求。而且,Check Point 尚未提供任何关于事件发生方式的细节,这使得外界无法判断其攻击路径究竟是什么——是错误配置的门户?凭据泄露?内部威胁?还是其他原因?   同时,Check Point 也未说明是否已查明黑客的入侵方式,或是否已锁定任何可能的嫌疑人。在缺乏这些信息的情况下,外界难以评估此次攻击是否已被完全遏制,或者仍然存在持续威胁。   这一事件发生之际,网络犯罪分子正越来越多地将网络安全公司本身作为攻击目标,往往利用微小的安全漏洞,进而引发更大规模的数据泄露。无论 CoreInjection 的声明是否属实,该事件都表明,即使是专门从事网络安全防御的公司,也无法完全免受黑客攻击的威胁。   消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

甲骨文因云数据泄露面临集体诉讼

HackerNews
8 months 2 weeks ago
HackerNews 编译,转载请注明出处: 德克萨斯州成为法律风暴的中心,因为一起针对甲骨文公司的集体诉讼。该诉讼于2025年3月31日在美国德克萨斯州西区联邦法院提起,指控甲骨文未能保护敏感信息,并未及时通知受影响的个人。 此次数据泄露事件最初于2025年3月22日由Hackread.com报道。一名使用“rose87168”化名的黑客声称在2025年1月入侵了甲骨文的云基础设施。据该黑客称,泄露的数据包括加密的单点登录密码、Java KeyStore(JKS)文件、企业管理器JPS密钥以及与甲骨文云的单点登录和LDAP系统相关的用户凭证。据称,被盗数据集包含约600万用户的信息。 甲骨文公开否认了此次数据泄露,并拒绝进一步说明。然而,网络安全公司CloudSEK进行了一项独立调查,并声称找到了“确凿证据”证明数据泄露。2025年3月31日,黑客在Breach Forums上发布了更多证据,包括甲骨文云环境的内部LDAP记录和部分凭证。 一名论坛管理员据称验证了数据的真实性,尽管Hackread.com表示,在甲骨文提供透明度之前,它无法独立确认数据泄露的全部情况。然而,根据TechMundo的报道,其分析了数据并发现其为真实。 这起集体诉讼由佛罗里达州居民迈克尔·托伊卡奇于2025年3月31日提起,他声称自己的私人信息通过一家使用甲骨文软件的医疗保健提供者存储在甲骨文的系统中。诉讼称,甲骨文未能达到行业标准安全实践,并指控该公司疏忽、违反受托责任、不当得利以及违反第三方受益人合同。 托伊卡奇声称,自消息传出以来,他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出,甲骨文未能遵守德克萨斯州法律,该法律要求组织在确认数据泄露后60天内通知受影响的个人。截至提起诉讼之日,甲骨文尚未发出任何此类通知。 提高赌注的是泄露数据的性质。诉讼强调,泄露不仅涉及个人身份识别信息(PII),还涉及敏感的健康数据。它引用了多个来源,包括彭博社和HIPAA Journal,这些报道称甲骨文已开始悄悄地向一些医疗保健客户发出患者数据泄露的警报。黑客的帖子威胁要发布受影响公司的完整名单,并提出如果特定组织支付费用来删除其员工记录,可以将其排除在外。 诉讼列出了甲骨文的一长串所谓失误,包括缺乏适当的加密、糟糕的网络监控以及未能及时检测或应对数据泄露。它还引用了甲骨文自己的公开隐私政策,该政策称公司会在不无故延迟的情况下报告任何数据泄露,但诉讼称这种情况并未发生。 随着对补偿性损害赔偿、信用监控服务以及对甲骨文数据安全基础设施改革的要求,这起集体诉讼正成为甲骨文多年来面临的最重要的法律挑战之一。此案还可能重新引发关于云服务提供商的责任以及他们如何处理客户及其最终用户的敏感数据的辩论。   消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

法国监管机构因歧视性 ATT 同意实践对苹果处以 1.5 亿欧元罚款

HackerNews
8 months 2 weeks ago
HackerNews 编译,转载请注明出处: 法国竞争监管机构对苹果公司实施 App Tracking Transparency (ATT) 隐私框架的方式处以 1.5 亿欧元(约 1.62 亿美元)罚款。 法国竞争管理局(Autorité de la concurrence)表示,将对苹果公司处以经济处罚,原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间,滥用了其作为 iOS 和 iPadOS 设备移动应用分销商的市场主导地位。 苹果在 iOS 14.5、iPadOS 14.5 和 tvOS 14.5 版本中引入的 ATT 框架,要求移动应用必须获得用户的明确同意,才能访问其设备的唯一广告标识符(即广告商标识符 IDFA),并在应用程序和网站之间跟踪用户,以进行定向广告投放。 “除非您获得用户的许可以启用跟踪,否则设备的广告标识符值将全部为零,您不得对其进行跟踪,”苹果在其官方网站上指出。”虽然您可以在任何时间显示 AppTrackingTransparency 提示,但只有在您展示该提示并用户授予权限后,设备的广告标识符值才会被返回。” 除了请求跟踪权限外,应用开发者还需要说明进行此类跟踪的具体目的。 “尽管 App Tracking Transparency (ATT) 框架的目标本身并无问题,但其实施方式既不是实现苹果公司声明的个人数据保护目标所必需的,也不成比例,”法国监管机构表示。 监管机构将 ATT 描述为”人为复杂”,并指出通过该框架获得的同意并不符合《法国数据保护法》的法律要求,因此开发者必须使用自己的同意收集解决方案。这导致用户会看到多个同意弹窗。 法国监管机构指出 ATT 实施中的两种不对称性 法国竞争管理局还指出了 ATT 实施方式中的两种不对称性。其中之一是,用户在同意被跟踪时需要进行两次确认,而拒绝跟踪则只需一步操作——这一点被认为破坏了”框架的中立性”。 “虽然发布者必须从用户处获得双重同意才能在第三方网站和应用程序上进行跟踪,但苹果公司在其自有应用中并未向用户请求同意(直到 iOS 15 实施之后),”该机构指出。”由于这一不对称性,法国国家信息与自由委员会(CNIL)对苹果处以罚款,认定其违反了《法国数据保护法》第 82 条,该条款是《ePrivacy 指令》的本地化版本。” “这一不对称性至今仍然存在,因为苹果公司为其自身的数据收集引入了一个单一的’个性化广告’弹窗来获取用户同意,而对于第三方数据收集,仍然要求开发者获得双重同意。” 值得注意的是,该命令并未要求对 ATT 框架进行具体更改。据路透社报道,这”取决于苹果公司自行确保其现在遵守裁决”。对于苹果来说,这笔罚款不过是九牛一毛——在截至 2024 年 12 月 28 日的季度中,该公司在 1243 亿美元的营收中实现了 363 亿美元的净利润。 苹果公司在与美联社分享的声明中表示,ATT 提示对所有开发者(包括苹果自身)都是一致的,并且该功能已获得消费者、隐私倡导者和全球数据保护机构的”强烈支持”。   消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Your smart home may not be as secure as you think

Help Net Security
8 months 2 weeks ago

The Internet of Things (IoT) has become a major part of daily life. Smartphones, smart thermostats, security cameras, and other connected devices make tasks easier and improve comfort, efficiency, and productivity. But as the number of devices grows, so do security risks. In this article, we explore the security challenges of smart IoT devices in the home, potential threats like hacking and privacy breaches, and measures users can take to ensure the security of their … More →

The post Your smart home may not be as secure as you think appeared first on Help Net Security.

Help Net Security

近 24000 个 IP 地址针对 PAN-OS GlobalProtect 发起协调登录扫描活动

HackerNews
8 months 2 weeks ago
HackerNews 编译,转载请注明出处: 网络安全研究人员警告称,针对Palo Alto Networks PAN-OS GlobalProtect网关的可疑登录扫描活动激增,近24000个唯一IP地址试图访问这些门户。 威胁情报公司GreyNoise表示:“这种模式表明有协调的努力来探测网络防御并识别暴露或易受攻击的系统,可能作为针对性利用的前奏。” 据称,这次激增始于2025年3月17日,每天约有20000个唯一IP地址参与,直到3月26日才减少。在高峰期,估计有23958个唯一IP地址参与了此次活动。其中,只有154个IP地址被标记为恶意。 美国和加拿大成为流量的主要来源,其次是芬兰、荷兰和俄罗斯。此次活动主要针对美国、英国、爱尔兰、俄罗斯和新加坡的系统。 目前尚不清楚是什么驱动了这一活动,但它表明了一种系统性地测试网络防御的方法,这很可能为后续的利用铺平道路。 “在过去的18到24个月里,我们观察到一种一致的模式,即有针对性地针对旧漏洞或特定技术的成熟攻击和侦察尝试,”GreyNoise的数据科学副总裁鲍勃·鲁迪斯表示。“这些模式通常与2到4周后出现的新漏洞相吻合。” 鉴于这种不寻常的活动,拥有面向互联网的Palo Alto Networks实例的组织必须采取措施来保护其登录门户。   消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

HYPR and IDEMIA Partner to Extend Smart ID Badge Security

Security Boulevard
8 months 2 weeks ago
Unlock Seamless Security: Combining Physical and Digital Access with HYPR and IDEMIA

Your organization spans a physical and a virtual environment, but how well aligned are your strategies for securing both? With the rise of hybrid work models, the challenge of securing sensitive information against increasingly sophisticated online and in-person threats has become more critical than ever.

In a groundbreaking move to address these challenges, HYPR and IDEMIA have joined forces. This powerful partnership unifies the management of credentials for both physical and digital access control on a single smart badge (the ID-One PIV Card), enabling enterprises to enhance their existing ID infrastructure with FIDO passkey protection.

The post HYPR and IDEMIA Partner to Extend Smart ID Badge Security appeared first on Security Boulevard.

Annemarie Mattheyse

Managed ad