2023年 第43周 微信公众号精选安全技术文章总览
洞见网安 2023-10-23
0x1 币安智能链(BSC)被利用隐藏恶意代码
水网火安 2023-10-29T18:08:27
币安智能链(BSC)近期成为黑客攻击的新目标,他们利用名为“EtherHiding”或“ClearFake”的新型代码分发技术隐藏恶意脚本。这种技术通过滥用BSC合约,将恶意JS脚本注入被黑网站,并误导用户下载虚假的浏览器更新。黑客最初通过受感染的WordPress网站和Cloudflare Worker服务进行攻击,但随后转向利用区块链的去中心化和匿名特性。这一攻击方式使得恶意行为难以检测和取缔。Guardio Labs的研究人员指出,黑客通过区块链地址创建智能合约,查询BNB智能链以获取第二阶段脚本,然后从黑客控制的服务器下载第三阶段脚本,显示虚假的应用更新页面。如果用户点击更新按钮,就会被重定向到下载恶意可执行文件。这一攻击揭示了用户在软件服务使用中需要及时更新补丁,并保持系统安全的重要性,同时也对区块链的安全使用和监管提出了挑战。
区块链安全 智能合约漏洞 恶意软件攻击 跨平台攻击 钓鱼攻击 安全监管 用户安全意识
0x2 【风险通告】F5 BIG-IP远程代码执行漏洞(CVE-2023-46747)
安恒信息CERT 2023-10-27T15:35:09
近日,F5公司发布了关于其BIG-IP产品的安全公告,揭露了一个严重的远程代码执行漏洞(CVE-2023-46747)。该漏洞允许攻击者通过Apache httpd转发AJP协议时的请求走私漏洞绕过权限验证,进而通过远程代码执行漏洞获取服务器权限。安恒信息CERT已成功复现此漏洞。F5 BIG-IP是一款集成了多种网络功能的应用交付平台,影响版本包括17.1.0等多个版本。CVSS3.1评分显示该漏洞危害等级极高,建议用户尽快升级至安全版本或采取临时缓解措施。安恒信息的产品已支持该漏洞的检测与防护。
CVE-2023-46747 F5 BIG-IP 远程代码执行 请求走私 安全公告 应急响应 网络攻击 负载均衡 应用交付平台 安全产品 CVSS评分
0x3 近期攻击中,Winter APT组织利用RoundCube Webmail软件中的零日漏洞进行了攻击
黑猫安全 2023-10-27T10:02:07 鹏鹏同学
俄罗斯的Winter Vivern APT组织(也称TA473)在2023年10月11日被发现利用Roundcube webmail软件中的一个零日漏洞进行攻击。这个漏洞与该组织之前利用的CVE-2020-35730不同。Winter Vivern自2020年以来一直活跃,主要针对欧洲和中亚的政府机构。2023年3月,Proofpoint观察到该组织利用Zimbra实例中的CVE-2022-27926漏洞获取敏感电子邮件访问权限。最近,该组织通过发送特制邮件利用Roundcube中的XSS漏洞(CVE-2023-5631),这些邮件伪装成来自team.managment@outlook.com,主题为“Get started in your Outlook”。邮件中的SVG标签含有base64编码的恶意载荷,当解码后会在受害者浏览器中执行。ESET分析发现,即使在完全修补的Roundcube实例上,JavaScript注入也能成功运行,揭示了服务器端脚本rcube_washtml.php中的零日XSS漏洞。Roundcube随后在2023年10月14日修补了该漏洞,影响的版本包括1.6.x(1.6.4之前)、1.5.x(1.5.5之前)和1.4.x(1.4.15之前)。ESET指出,尽管Winter Vivern组织使用的工具技术含量不高,但其通过频繁的网络钓鱼活动和针对未定期更新的互联网应用程序漏洞,对欧洲政府构成持续威胁。
APT攻击 零日漏洞 跨站脚本(XSS) 政府机构 Web应用安全 网络钓鱼
0x4 ILEAKAGE攻击利用Safari窃取苹果设备的数据
黑猫安全 2023-10-27T10:02:07 鹏鹏同学
研究人员开发了一种名为iLeakage的侧信道推测执行攻击,通过Safari浏览器从Mac、iPhone和iPad设备中窃取敏感信息。该攻击类似于Spectre,通过诱使Safari渲染特定网页,利用推测执行来恢复敏感数据。攻击者可能窃取包括Gmail收件箱内容和自动填充密码等重要信息。研究团队结合新技术,实现了从Google等热门服务中提取敏感信息的端到端攻击。由于iOS设备上仅允许使用Safari/WebKit浏览器引擎,几乎所有苹果制造的智能手机和平板设备均易受此攻击。研究人员还展示了从Instagram恢复凭据的视频演示,突显了攻击的实用性。
侧信道攻击 浏览器安全 数据泄露 移动设备安全 推测执行攻击
0x5 漏洞情报 | Apache ActiveMQ 远程代码执行漏洞
斗象智能安全 2023-10-26T18:35:25 诸葛象
近日,Apache ActiveMQ被公开披露存在远程代码执行漏洞。Apache ActiveMQ是一款流行的开源消息代理软件,支持多种消息传递协议,广泛用于构建企业级消息服务系统。该漏洞影响Apache ActiveMQ版本小于5.18.3的所有用户。攻击者通过向61616端口发送恶意数据,即可实现对受影响系统的远程代码执行。斗象科技监控到这一漏洞后,建议用户及时更新至安全版本Apache ActiveMQ 5.18.3,以修复该漏洞。官方已发布修复程序,用户可从Apache ActiveMQ的GitHub标签页下载更新。
远程代码执行 Apache ActiveMQ 开源软件漏洞 Java 消息代理 漏洞修复 安全更新
0x6 x64内核实验-段机制的变化
看雪学苑 2023-10-26T18:07:05 幺幺满地乱爬
本文详细介绍了x86架构下的IA-32e模式,包括其段描述符结构、启动流程以及与32位环境的差异。文章首先概述了IA-32e模式下段描述符的三个主要部分:base、limit和attribute,并解释了在64位环境下base和limit不再使用的原因。接着,文章讨论了IA-32e模式下的系统调用流程,并通过rdmsr命令展示了如何查看MSR寄存器的值以确认当前模式。随后,文章分析了非系统段描述符的变化,包括64位代码段描述符和系统段描述符,并举例说明了如何使用windbg命令查看段描述符的详细信息。此外,文章还介绍了调用门、中断门和任务门在64位环境下的变化,特别是TSS段描述符和中断门的新特性。最后,文章讨论了SMAP和SMEP的作用以及如何通过实验验证其功能。
操作系统安全 内核安全 内存安全 处理器架构安全 系统调用安全 逆向工程 漏洞分析 防护技术
0x7 【风险通告】Apache ActiveMQ远程命令执行漏洞
安恒信息CERT 2023-10-26T17:28:29
近日,安恒信息CERT监测发现Apache ActiveMQ组件存在远程命令执行漏洞。该漏洞允许攻击者通过默认的61616服务端口发送特定请求,从而实现远程命令执行。Apache ActiveMQ是一款流行的开源消息代理,支持多种语言和平台。受影响的版本包括5.18.0至5.18.3和5.17.0至5.17.6。安恒信息研究院已复现此漏洞,并给出了CVSS3.1评分10的高危害等级。建议用户尽快升级至安全版本5.18.3或更高版本,并采取临时缓解措施。此外,安恒信息提供7款产品以覆盖该漏洞的检测与防护。受影响资产主要分布在中国,国内资产数量达到450,554。
远程命令执行漏洞 Apache ActiveMQ 开源软件漏洞 Java消息代理 应急响应 漏洞评分 网络空间资产测绘 漏洞防护
0x8 Citrix警告管理员立即修复Netscaler CVE-2023-4966漏洞
黑猫安全 2023-10-26T09:53:05 鹏鹏同学
Citrix近日发布安全公告,警告管理员立即修复NetScaler ADC和Gateway设备中的CVE-2023-4966漏洞,该漏洞已在实际攻击中被利用。漏洞存在于多个版本的NetScaler产品中,Citrix提供了具体的修复版本号,并指出12.1版本已停止支持,建议升级。Mandiant研究人员发现,攻击者可通过该漏洞劫持验证会话,绕过多因素身份验证,可能导致进一步的安全威胁。攻击目标包括专业服务、技术和政府组织。Citrix确认了野外的攻击报告,并强烈建议受影响版本的用户立即安装更新,同时提供了终止会话的命令。该漏洞无解决方法,Citrix仅分享了有限的技术细节以保护客户。
漏洞利用 紧急修复 安全更新 会话劫持 多因素身份验证绕过 零日攻击 横向扩展 目标攻击 产品生命周期结束
0x9 【黑产攻防道03】利用JS参数更新检测黑产的协议破解
极验 2023-10-26T09:01:31 © 极验
本文探讨了网络安全领域中验证码与黑产破解的攻防博弈。文章首先介绍了黑产破解验证码的三种主要方式:图片答案识别、协议破解和模拟器破解。接着,文章以极验为例,详细解释了如何通过设置钓鱼参数来检测协议破解,并举例说明了如何在票务平台事件中应用这一策略。文章进一步分析了黑产破解协议的攻击原理和流程,包括如何通过模拟真实请求和伪造参数来进行攻击。此外,文章还讨论了企业如何定位黑产的协议破解,以及极验如何通过“异常标记”功能来防御黑产攻击。最后,文章强调了验证码与黑产之间的持续博弈,并指出了解攻击方技术和储备更多防御手段的重要性。
网络安全 验证码技术 黑产攻防 HTTP协议 JavaScript混淆 加密算法 动态更新 异常检测 数据分析 防御策略
0xa 无形的注视——蓝牙设备的允许列表侧信道攻击
数缘信安社区 2023-10-26T07:01:38 © 丁景宏
你的蓝牙也许正在泄露你的隐私。
0xb 最新linux漏洞CVE-2023-4911可获得root权限
水网火安 2023-10-25T18:57:09
本文报道了GNU C库(glibc)中一个名为CVE-2023-4911的缓冲区溢出漏洞。glibc是GNU/Linux操作系统的基础组件,其动态加载器在处理GLIBC_TUNABLES环境变量时存在安全漏洞。攻击者可以利用此漏洞获取Linux系统的root权限,对系统安全构成严重威胁。该漏洞影响主流的Linux发行版。文章详细分析了漏洞的触发条件和处理流程,指出parse_tunables()函数在处理GLIBC_TUNABLES变量时的不当操作是漏洞的根本原因。
Linux漏洞 缓冲区溢出 root权限 操作系统安全 动态加载器 glibc
0xc 微软计划在 Windows 11 中取消 NTLM ,使用 Kerberos 进行更强大的身份验证
水网火安 2023-10-25T18:57:09
微软近期宣布将在Windows 11操作系统中取消NTLM身份验证协议,转而使用Kerberos协议提供更强大的身份验证。NTLM协议是早期Windows版本的标准安全协议,但由于其安全性问题,如NTLM中继攻击和哈希传递攻击,微软决定在Windows 11中弃用。Kerberos协议是目前Windows 2000以上所有Windows版本上的域连接设备的默认身份验证协议。为了提高安全性,微软正在开发两个新的Kerberos功能:IAKerb(使用Kerberos进行初始和传递身份验证)和本地KDC(本地密钥分发中心)。这一变化旨在减少安全风险,并增强Windows操作系统的整体安全性。
操作系统安全 身份验证协议 安全漏洞 安全更新 安全最佳实践 恶意软件攻击
0xd 核心产品|嘉韦思蜜网欺骗防御系统,部署快见效快的网络安全“药方”
嘉韦思 2023-10-25T17:26:57
让信息安全不再遥远
0xe 内网穿透工具Ngrok加密流量分析
安全牛 2023-10-25T12:36:43 xhbw
本文详细分析了内网穿透工具Ngrok的加密流量。Ngrok是一款基于Go语言开发的内网穿透工具,支持TCP、HTTP和TLS协议。它主要用于解决内网资源无法被外网访问的问题,具有简单易用、快速连接和跨平台等特性。然而,该工具也可能被攻击者利用进行网络渗透。文章指出,攻击者可以通过Ngrok将内网服务映射至公网,如Windows的RDP服务和Linux的SSH服务。由于Ngrok使用TLSv1.3协议加密流量,这使得流量分析和检测变得更加困难。观成科技安全研究团队对Ngrok进行了研究,发现其存在心跳特征,可以通过指纹过滤、特征匹配和流量行为分析等方法进行检测。文章还提到了Ngrok的Web Interface监控界面和配置选项,以及如何通过子域名保持连接地址的不变性。
内网穿透 加密流量分析 网络安全威胁 隐蔽通信 流量行为分析
0xf 【免杀技术】SingleSC 10.25 红队免杀加载器
猫蛋儿安全 2023-10-25T09:02:43 © 猫蛋儿
声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授
0x10 SolarWinds修复了其访问权限管理产品中的三个严重的远程命令执行漏洞
黑猫安全 2023-10-24T09:48:59 鹏鹏同学
SolarWinds Access Rights Manager (ARM)产品被发现存在三个严重的远程代码执行漏洞,这些漏洞被安全研究人员通过Trend Micro的Zero Day Initiative (ZDI)在6月22日报告。这些漏洞分别为CVE-2023-35182、CVE-2023-35185和CVE-2023-35187,均被评为9.8的高严重性级别,允许远程攻击者在无需身份验证的情况下执行任意代码。这些漏洞分别存在于createGlobalServerChannelInternal、OpenFile和OpenClientUpdateFile方法中,主要问题在于对用户提供的数据缺乏适当的验证,导致不受信任数据的反序列化和文件操作。SolarWinds已于10月18日发布了ACM版本2023.2.1,修复了这些安全问题。
远程代码执行 高危漏洞 未认证访问 数据反序列化 文件操作 系统权限执行 补丁发布
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
