绿盟科技威胁周报(2023.05.08-2023.05.14)

一、威胁通告

1.微软5月安全更新多个产品高危漏洞通)

【发布时间】2023-05-12 14:00:00 GMT

【概述】

5月10日,绿盟科技CERT监测到微软发布5月安全更新补丁,修复了38个安全问题,涉及Win32k、Windows OLE、Microsoft SharePoint Server、Windows Pragmatic General Multicast (PGM)等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。

【参考链接】

    https://nti.nsfocus.com/threatNotice

2.Linux OverlayFS权限提升漏洞(CVE-2023-0386)通告(CVE-2023-0386)

【发布时间】2023-05-09 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现网上公开披露了一个Linux OverlayFS权限提升漏洞(CVE-2023-0386)的PoC。由于Linux内核的OverlayFS子系统存在缺陷,攻击者可以利用该漏洞通过将具有特权的可执行文件从“nosuid mount”复制到另一个文件夹,且该文件夹中的挂载启用了uid映射功能。在复制过程中,会发生uid映射错误,攻击者可实现在目标系统上提升至ROOT权限。该漏洞的CVSS评分为7.8,建议受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

3.GitLab代码执行漏洞(CVE-2023-2478)(CVE-2023-2478)

【发布时间】2023-05-09 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测到GitLab官方发布安全通告,修复了GitLab社区版(CE)和企业版(EE)中的一个代码执行漏洞(CVE-2023-2478)。具有低权限的远程攻击者可通过GraphQL端点将恶意Runner添加到实例的任意项目上,进一步利用可在目标系统上执行任意代码或敏感信息泄露。CVSS评分为9.6,请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

二、热点资讯

1.新的Linux NetFilter内核漏洞使攻击者能够获得根权限

【标签】不区分行业

【概述】

最近发现的一个Linux NetFilter内核漏洞被识别为CVE-2023-32233,它使没有特权的本地用户能够获得根级别的权限并完全控制受影响的系统。然而,该缺陷的严重程度尚未得到评估。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOYf

2.Python开发技巧——禁用Requests库编码url

【标签】不区分行业

【概述】

我在使用Python Requests库发送HTTP数据包时,发现Requests库默认会对url进行编码。而在测试某些漏洞时,触发漏洞需要url的原始数据,禁用编码url的功能。本文将要介绍我的解决方法,记录研究细节。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOWU

3.针对中亚各国政府的复杂DownEx恶意软件行动

【标签】政府

【概述】

中亚的政府组织是一场复杂间谍活动的目标,该活动利用了一种名为DownEx的先前未记录的恶意软件。Bitdefender在与《黑客新闻》分享的一份报告中表示,这一活动仍然活跃,有证据可能表明俄罗斯的威胁行为者参与其中。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOY3

4.中情局目标中国发起黑客帝国

【标签】政府

【概述】

令人担忧的是,中国国家计算机病毒应急响应中心(CVERC)发布了指控和警告,称CIA参与对关键基础设施的网络攻击,并利用“黑客帝国”组织在全球范围内策划反对政府的和平进化和颜色革命。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOWS

5.Dragon Breath APT利用双重清洁应用技术瞄准赌博行业

【标签】赌博

【概述】

据观察,一种名为Dragon Breath的高级持续威胁(APT)参与者通过采用一种新颖的DLL侧加载机制,为其攻击增加了新的复杂性。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOWw

6.西部数据通知客户黑客窃取个人数据

【标签】不区分行业

【概述】

使用过西部数据在线商店的西部数据客户的个人信息可能被黑客窃取。该公司在2023年4月初透露,2023年3月遭遇安全漏洞,导致一些系统离线。当时公布的信息很少。西部数据确实证实,黑客访问了几家公司的系统,并已开始对此次入侵进行调查。西部数据已于2023年5月5日向客户发送电子邮件,告知他们网络安全事件。该公司在信中证实,一个“未知的第三方”设法访问了客户数据。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOWm

7.微星固件密钥遭泄露,上百款产品受影响

【标签】微星

【概述】

据Cyber News 5月5日消息,有网络攻击者泄露了著名硬件厂商微星科技的固件映像签名密钥,这些密钥是区分合法和恶意更新的关键组件。研究人员已经确定了泄露的固件映像签名密钥和英特尔用于 MSI 产品的 BootGuard。据固件供应链安全平台 Binarly 首席执行官 Alex Matrosov 称,泄露的固件密钥影响了 57 款 微星产品,而泄露的 BootGuard 密钥影响了该公司 166 款产品。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOWE

8.SquareX浏览器集成的网络安全解决方案确保消费者在线活动的安全

【标签】不区分行业

【概述】

SquareX正在开发一种基于浏览器的网络安全产品,以确保消费者的网络安全。在当今的云SaaS时代,随着专业人士主要使用web浏览器进行所有在线活动——检查邮件、创建文档、上传/下载文件、流媒体内容、银行和电子商务,形势发生了重大变化。随着浏览器成为新的“操作系统”,攻击者将其作为攻击目标,引入了一系列全新的威胁,如网络钓鱼、身份盗窃、会话劫持和其他基于浏览器的攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOXN

9.SRv6系列文章(一):SRv6为何那么6?

【标签】不区分行业

【概述】

Segment Routing是一种基于分段传输的源路由技术。Segment Routing技术主要有SR-MPLS和SRv6两种实现。其中,SR-MPLS是基于 MPLS 数据平面的Segment Routing实现,其SID为MPLS 标签 (Label);SRv6(Segment Routing over IPv6,基于Ipv6的分段路由)则是基于 IPv6 数据平面的Segment Routing实现,其SID为IPv6地址。SRv6 结合了 Segment Routing 的源路由优势和IPv6 的所有特质,并且具有多重网络编程空间,符合 SDN(Software Defined Network,软件定义网络)思想,是实现意图驱动网络的利器。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOXc

10.溯源分析 | 黑客横扫亚多家云平台做流量劫持

【标签】企业

【概述】

自 2022 年 9 月上旬以来,一个未知的黑客已成功入侵数万个主要针对东亚用户的网站,将数十万用户重定向到成人主题内容。在每种情况下,黑客都将恶意代码注入到面向消费者的网页中,这些网页旨在收集有关访问者环境的信息,并偶尔将他们重定向到这些其他网站,具体取决于随机机会和用户所在的国家/地区。在过去的几个月里,我们一直在调查利用通过未知威胁向量获得的合法 FTP 凭据的大规模网络操作。在许多情况下,这些是高度安全的自动生成的 FTP 凭据,黑客以某种方式获取并利用这些凭据进行网站劫持。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOWC

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author