一、威胁通告
1.Atlassian Confluence路径遍历漏洞(CVE-2024-21677)通告
【标签】CVE-2024-21677
【发布时间】2024-03-25 15:00:00 GMT
【概述】
近日,绿盟科技CERT监测到Atlassian发布安全公告,修复了Confluence Data Center and Server中的目录遍历漏洞(CVE-2024-21677),CVSS 评分8.3;未经身份验证的攻击者需要与用户进行交互,利用此漏洞可对目标系统的机密性、完整性、可用性产生较大影响。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.Linux内核权限提升漏洞(CVE-2024-1086)通告
【标签】CVE-2024-1086
【发布时间】2024-03-29 11:00:00 GMT
【概述】
近日,绿盟科技CERT监测网上有研究员公开披露了一个Linux内核权限提升漏洞(CVE-2024-1086)的细节信息与验证工具,由于Linux内核的netfilter:nf_tables组件存在释放后重利用漏洞, nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,当NF_DROP发出类似于NF_ACCEPT的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至root权限。目前已有PoC公开,请相关用户尽快采取措施进行防护。目前已有PoC公开,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.可能因配置错误,Google Firebase的1.25亿条记录
【标签】Google
【概述】
根据三位安全研究人员最近发表的一篇文章,超过900个配置错误的Google Firebase网站可能泄露了近1.25亿条用户记录,他们在网上使用“mrbuh”、“xyzeva”和“logykk”。1月10日,安全研究员mrbruh首次报告说,在入侵基于人工智能的招聘系统Chattr.ai时,他们成功访问了Applebee’s、Chick-fil-A、肯德基、赛百味和塔可钟等流行的零售食品网站。零售和酒店业ISAC于1月11日报道了这一事件,即mrbruh发布第一篇文章的第二天,称攻击者可以使用Chattr.ai的注册功能,通过滥用其Google Firebase后端数据库中的漏洞或错误配置,创建具有完全读/写权限的新用户配置文件。然后建议零售和酒店业的公司联系Chattr.ai。
【参考链接】
https://ti.nsfocus.com/security-news/IlO69
2.美国政府发布一项针对公共部门DDoS攻击的新防护指南
【标签】DDoS,政府
【概述】
最近的研究表明,DDoS攻击变得越来越强大,有时被威胁行为者用作勒索手段。日前,CISA、联邦调查局(FBI)和多州信息共享和分析中心 (MS-ISAC)联合发布了一份针对公共部门实体的新指南《Understanding and Responding to Distributed Denial-Of-Service Attacks》(《了解和应对分布式拒绝服务攻击》)。这份新的分布式拒绝服务(DDoS)攻击防护指南,旨在为公共部门在面临此类攻击威胁时提供必要的应对之策。
【参考链接】
https://ti.nsfocus.com/security-news/IlO7t
3.更强擦除器“AcidPour”曝光!疑俄罗斯军情部门针对多家乌克兰ISP发起擦除攻击
【标签】AcidPour,俄乌冲突
【概述】
Sentinelone的研究人员3月21日发文表示,俄罗斯军事黑客在2022年初战争开始时使用的恶意软件更新版本可能已用于攻击四家乌克兰互联网服务提供商。名为AcidPour的新恶意软件扩展了AcidRain的功能和破坏潜力,包括Linux未排序块映像(UBI)和设备映射器(DM)逻辑,更好地针对RAID阵列和大型存储设备。研究人员的分析证实了AcidRain和AcidPour之间的联系,有效地将其与之前公开归因于俄罗斯军事情报部门的威胁组织联系起来。AcidPour在野外的发现再次提醒人们,AcidRain事件发生两年后,网络对俄乌战争的支持仍在不断发展。所涉及的威胁行为者善于策划大范围的破坏,并通过各种手段表明了他们这样做的坚定不移的决心和意图。
【参考链接】
https://ti.nsfocus.com/security-news/IlO6d
4.研究人员发现40,000个强大的EOL路由器、物联网僵尸网络
【标签】僵尸网络
【概述】
Lumen Technologies的威胁情报分析师发现一个由40,000个僵尸网络组成的强大僵尸网络集群,其中充满了用于网络犯罪活动的报废路由器和物联网设备。根据Lumen Black Lotus Labs的最新报告,一个臭名昭著的网络犯罪组织一直在针对世界各地的报废小型家庭/小型办公室 (SOHO) 路由器和物联网设备开展多年攻击活动。研究人员警告说,该路由器僵尸网络于2014年首次出现,一直在悄悄运行,同时在2024年1月和2月增长到来自88个国家的40,000多个僵尸网络。
【参考链接】
https://ti.nsfocus.com/security-news/IlO7K
5.新ShadowRay活动针对Ray AI框架进行全球攻击
【标签】CVE-2023-48022,ShadowRay
【概述】
研究人员警告说,黑客正在积极利用流行的开源人工智能框架Ray中的一个有争议的漏洞。该工具通常用于开发和部署大型Python应用程序,特别是机器学习、科学计算和数据处理等任务。据Ray的开发者Anyscale称,该框架被Uber、亚马逊和OpenAI等主要科技公司使用。以色列网络安全公司Oligo Security的研究人员发现,由于该漏洞被追踪为CVE-2023-48022(该公司将其称为ShadowRay),全球数千台公开暴露的Ray服务器受到了损害。该缺陷使攻击者能够控制公司的计算能力并泄露敏感数据。报告称,受影响的组织来自许多行业,包括医疗公司、视频分析公司和精英教育机构。一些受影响的设备受到损害至少七个月。
【参考链接】
https://ti.nsfocus.com/security-news/IlO8j
6.Facebook被指控曾利用用户设备监视竞品软件
【标签】SSL man-in-the-middle,Facebook
【概述】
近来,Facebook母公司Meta陷入了一起法律诉讼。据TechCrunch报道,Meta被指控在其数据收集活动上撒谎,并利用其从用户那里“欺骗性地提取”数据进行不公平的斗争。诉讼称,Meta在2016年6月至2019年5月之间曾使用一种名为“SSL man-in-the-middle”的网络攻击方法来拦截和解密竞品软件Snapchat、YouTube和Amazon加密的分析流量。据起诉Meta的广告商称,该项目以秘密的方式进行,旨在对自身构成威胁的竞品进行分析。这种做法可能违反了窃听法,属犯罪行为。根据法庭文件中公开的内部电子邮件,该项目以一种工具包的形式呈现,可以拦截特定子域的流量并读取原本加密的流量,以便衡量应用内的使用情况(即人们在应用中执行的特定操作,而不仅仅是整体应用访问量)。
【参考链接】
https://ti.nsfocus.com/security-news/IlO8i
7.利用漏洞,黑客能够轻易打开全球300万家酒店门锁
【标签】酒店
【概述】
最近一份研究报告显示,在常用于酒店的dormakaba公司旗下的Saflok RFID电子锁中,存在着一系列严重安全漏洞,允许攻击者伪造门卡任意解锁使用该类电子锁的所有酒店房间。全球131个国家的300多万家酒店的门锁都受此影响。对于攻击者来说,只需读取酒店的任意一张门卡就可以对酒店内的所有电子锁进行攻击。伪造的门卡可以使用任何MIFARE Classic卡与商用工具来制造。另外,这种攻击也可以使用任何能够读写或模拟MIFARE Classic卡的设备来实施(如Proxmark3和Flipper Zero等工具,以及支持NFC功能的安卓手机)。
【参考链接】
https://ti.nsfocus.com/security-news/IlO6P
8.libFuzzer漏洞挖掘总结教程
【标签】libFuzzer
【概述】
模糊测试(将可能无效的数据、异常数据或随机数据作为输入内容提供给程序)是在大型软件系统中查找错误的一种非常有效的方式,也是软件开发生命周期的重要组成部分。LibFuzzer与被测库相关联,并处理在模糊测试会话期间出现的所有输入选择、变更和崩溃报告。LLVM的排错程序用于协助内存损坏检测以及提供代码覆盖率指标。本篇文章简述libFuzzer原理,配合各个实例介绍参数功能意义,为最终进一步的完全利用奠定基础
【参考链接】
https://ti.nsfocus.com/security-news/IlO88
9.大语言模型安全指南:如何提升LLM安全抵御Prompt Injection
【标签】LLM
【概述】
Prompt Injection的本质与SQL注入类似,威胁行为者能够在受控数据字段内嵌入指令,使得系统难以区分数据和指令,威胁行为者可以通过控制AI模型的输入值,以诱导模型返回非预期的结果。因此,Prompt Injection将会给所有的LLM(大语言模型)应用程序带来非常严重的安全风险。这种安全问题就在于,这些LLM应用程序的接口本质上都是可以实现Prompt Injection的,因为它们对任何用户指令都是“开放”的。而另一个问题就在于,很多LLM应用程序开发人员潜意识里都会认为,机器学习/深度学习模型的模糊性质很难去实现针对Prompt Injection的全面防御,也就是无法将此类风险降到最低。但是,我们可以使用基于角色的API并遵循安全基准规则来进行设计和开发,以此来将该风险降至最低。
【参考链接】
https://ti.nsfocus.com/security-news/IlO6T
10.超800个npm包可能被攻击者用来诱骗开发人员运行恶意代码
【标签】npm
【概述】
新研究发现npm注册表中有800多个软件包与其注册表项存在差异,其中18个软件包被发现利用了一种名为“明显混淆”的技术。该调查结果来自网络安全公司JFrog,该公司表示,威胁行为者可能会利用该问题来诱骗开发人员运行恶意代码。安全研究员安德烈·波尔科夫尼琴科(Andrey Polkovnichenko):“这是一个真正的威胁,因为开发人员可能会被诱骗下载看似无辜的软件包,但其隐藏的依赖项实际上是恶意的。”
【参考链接】
https://ti.nsfocus.com/security-news/IlO62
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。