一、威胁通告
1.GeoServer与GeoTools远程代码执行漏洞(CVE-2024-36401/CVE-2024-36404)通告
【标签】CVE-2024-36401,CVE-2024-36404
【发布时间】2024-07-03 14:00:00 GMT
【概述】
近日,绿盟科技CERT监测到GeoServer和GeoTools发布安全公告,修复了GeoServer与GeoTools 中的XPath表达式注入漏洞(CVE-2024-36404);由于GeoServer调用的GeoTools库API会以不安全的方式将要素类型的属性名称传递给 commons-jxpath库,该库在解析XPath表达式时可以执行任意代码,未经身份验证的攻击者可以通过向默认安装的GeoServer发送特制的输入,利用多个OGC请求参数实现远程代码执行。目前漏洞细节与PoC已公开,请受影响的用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.OpenSSH远程代码执行漏洞(CVE-2024-6387)通告
【标签】CVE-2024-6387
【发布时间】2024-07-02 11:00:00 GMT
【概述】
近日,绿盟科技CERT监测到OpenSSH发布安全公告,修复了OpenSSH远程代码执行漏洞(CVE-2024-6387);由于默认配置下的OpenSSH Server (sshd)中存在信号处理程序竞争条件问题,如果客户端未在LoginGraceTime 秒内(默认情况下为 120 秒,旧版 OpenSSH 中为 600 秒)进行身份验证,则 sshd 的 SIGALRM 处理程序将被异步调用,该信号处理程序会调用各种非async-signal-safe的函数(例如syslog()),未经身份验证的攻击者可以利用此漏洞在基于 glibc 的Linux系统上以root身份执行任意代码。目前漏洞细节与PoC已公开,请受影响的用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.乘客在航班上架设恶意WiFi热点面临长达23年刑期
【标签】Flipperzer
【概述】
随着“大菠萝”、Flipperzero等WiFi黑客硬件的流行,在机场、航班、酒店、办公楼等公共场所架设恶意WiFi热点窃取隐私数据的“恶作剧”越来越多,这种行为是否“可刑”?近日,澳大利亚联邦警察(AFP)指控一名澳大利亚男子在珀斯、墨尔本和阿德莱德的多趟国内航班和机场实施“恶意双胞胎”WiFi攻击,窃取他人的电子邮件或社交媒体账号。
【参考链接】
https://ti.nsfocus.com/security-news/IlOwU
2.已发布补丁!微软披露Rockwell PanelView Plus两大漏洞
【标签】DoS
【概述】
近日,微软在Rockwell PanelView Plus设备中发现并披露了两个重大漏洞,未经身份认证的攻击者可远程利用这些漏洞执行远程代码和发起拒绝服务(DoS)攻击。微软的调查结果揭露了在广泛使用这些人机界面(HMI)图形终端的工业领域存在的严重安全漏洞,凸显了在工业自动化系统中采取强有力的安全措施以防止潜在破坏的迫切需要。
【参考链接】
https://ti.nsfocus.com/security-news/IlOxr
3.Scattered Spider黑客组织将重点转向云应用程序以窃取数据
【标签】Scattered Spider
【概述】
Scattered Spider是指一群经常使用相同Telegram频道、黑客论坛和Discord服务器的网络犯罪分子。虽然有报道称Scattered Spider是一个有特定成员的有组织团伙,但该组织实际上是一个由讲英语(不一定来自英语国家)的个人组成的松散集体,他们共同合作进行入侵、窃取数据并勒索目标。
【参考链接】
https://ti.nsfocus.com/security-news/IlOw0
4.谷歌拟允许独立Web应用访问敏感的USB设备
【标签】WebUSB
【概述】
谷歌正在开发一项不受限制的WebUSB新功能,可允许受信任的隔离网络应用程序绕过WebUSB API中的安全限制。WebUSB是一种JavaScript API,能够让网络应用程序访问计算机上的本地USB设备。作为WebUSB规范的一部分,某些接口,比如HID、大容量存储、智能卡、视频、音频/视频设备和无线控制器会受保护,不能通过网络应用程序访问,以防止恶意脚本访问潜在的敏感数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlOwn
5.美国防部设定网络防御激进目标:75%以上的管理类能力实现完全自动化
【标签】TechNet Cyber
【概述】
安全内参6月28日消息,在周二举行的2024年度TechNet Cyber会议媒体圆桌会议,美国国防信息系统局(DISA)网络安全与分析主管Brian Hermann透露,为了应对不断加剧的外国威胁,该机构设定了一个雄心勃勃的目标:通过AI将其75%的管理类网络安全能力完全自动化。Hermann在巴尔的摩举行的TechNet Cyber会议上表示:“切实提高自动化能力,是应对不断加剧的外国威胁并完成任务的唯一方法。只有这样,我们的分析师才能把脑力聚焦于高端战斗工作,而不是忙于处理司空见惯的日常事务……我明白这个目标很激进,但也正是我们正在努力实现的目标。”
【参考链接】
https://ti.nsfocus.com/security-news/IlOwa
6.影响大量路由器,Juniper Networks曝最严重的“身份验证”漏洞
【标签】Juniper Networks
【概述】
近日,Juniper Networks被曝存在一个极其严重的“身份验证”漏洞,对Session Smart 路由器(SSR)、Session Smart Conductor和WAN Assurance 路由器等产品造成比较明显的影响。目前,Juniper已紧急发布了相应的漏洞补丁,用户可及时进行系统更新。该漏洞编号为CVE-2024-2973,攻击者可利用该漏洞完全控制设备。简单来说,JuniperSession Smart路由器、Session Smart Conductor在运行冗余对等设备时,存在使用替代路径或通道绕过身份验证的漏洞,从而使得攻击者可以有效绕过身份验证,并对设备具有高控制度。
【参考链接】
https://ti.nsfocus.com/security-news/IlOwq
7.OpenSSH漏洞预警:无需用户交互,可提权至root
【标签】CVE-2024-6387
【概述】
CVE-2024-6387是OpenSSH服务器中的一个严重漏洞,影响基于glibc的Linux系统。默认配置下的OpenSSH Server(sshd)中存在信号处理程序竞争条件漏洞,如果客户端未在LoginGraceTime秒内(默认情况下为120秒,旧版OpenSSH中为600秒)进行身份验证,则sshd的SIGALRM处理程序将被异步调用,但该信号处理程序会调用各种非async-signal-safe的函数(例如syslog()),威胁者可利用该漏洞在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。
【参考链接】
https://ti.nsfocus.com/security-news/IlOwQ
8.美国防部拟通过紫队测试确保零信任解决方案的持续稳健
【标签】零信任
【概述】
美国防部正在寻求开发并实施一项新流程,以便在零信任解决方案投入使用后对其进行持续评估和验证。美国防部正在迅速评估和验证行业供应商创建的零信任解决方案,以在2027财年结束前达到其认为的零信任“目标水平”。
【参考链接】
https://ti.nsfocus.com/security-news/IlOvY
9.线下的加密货币抢劫案
【标签】加密货币
【概述】
加密货币不仅仅是黑客在网络上的攻击目标,它也日益成为线下抢劫犯的目标。美国司法部上周宣布对佛罗里达男子Remy Ra St. Felix的定罪,24岁的他带领一群人通过暴力逼迫受害者交出加密货币。举例来说,St. Felix与一名同伙闯入北卡罗来纳州一对70多岁夫妇的家中,进行殴打,逼迫他们将逾15万美元的比特币和以太坊转移到他们的钱包。
【参考链接】
https://ti.nsfocus.com/security-news/IlOwr
10.PoC已出!高危漏洞CVE-2024-6387强势来袭
【标签】CVE-2024-6387
【概述】
Qualys公司发现的RegreSSHion(CVE-2024-6387)漏洞搅动了安全界的神经。这是OpenSSH(regreSSHion)中的一个严重漏洞允许攻击者完全访问服务器!数百万人面临风险。OpenSSH服务器中发现了一个名为“regreSSHion”的高危漏洞,对全球数百万个系统构成重大威胁。此漏洞允许远程未经身份验证的代码执行(RCE),这意味着攻击者无需任何登录凭据即可完全控制易受攻击的服务器。Qualys研究人员发现了超过1400万个暴露在互联网上的潜在易受攻击的OpenSSH实例。如果漏洞被成功利用,意味着这些基于LINUX的设备则将以ROOT权限被控制和接管。
【参考链接】