一、威胁通告
1.JumpServer会话录像文件未授权访问漏洞(CVE-2023-42442)
【标签】不区分行业
【发布时间】2023-09-21 11:00:00 GMT
【概述】
近日,绿盟科技CERT监测到JumpServer会话录像文件未授权访问漏洞。由于会话回放录像接口/api/v1/terminal/sessions/鉴权不当,未授权的攻击者可以通过直接访问/api/v1/terminal/sessions/接口查看并下载会话回放录像数据,造成敏感信息泄露。当会话回放存储在S3、OSS或其他云存储中,则不受此漏洞影响。目前该漏洞细节及PoC已公开,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.GitLab越权调用漏洞(CVE-2023-5009)通告(CVE-2023-5009)
【标签】不区分行业
【发布时间】2023-09-21 11:00:00 GMT
【概述】
近日,绿盟科技CERT监测到GitLab官方发布安全通告,修复了GitLab企业版(EE)中的一个越权调用漏洞。该漏洞是CVE-2023-3932的绕过,具有低权限的攻击者可在未经用户同意情况下,滥用扫描执行策略运行pipelines任务。成功利用该漏洞攻击者可能会访问敏感信息、操纵用户数据,造成数据泄露。CVSS评分为9.6,请受影响的用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.ThemeBeed漏洞是快速修补Windows的另一个原因
【标签】不区分行业
【概述】
在2023年9月的周二补丁更新中,修复了一个被称为“主题出血”的漏洞。Gabe Kirkpatrick发布了一个概念验证(PoC)漏洞,他是报告该漏洞的研究人员之一。
【参考链接】
https://ti.nsfocus.com/security-news/79vRQV
2.使用IM传播CS的钓鱼活动分析
【标签】不区分行业
【概述】
攻击者通过即时聊天软件进入与目标人员相关的群聊,以获取目标人员的信息和行为习惯。一旦攻击者确定了目标人员,他们会通过私聊的方式向目标人员发送伪装成看似合法的文件,以引诱目标人员点击下载。
【参考链接】
https://ti.nsfocus.com/security-news/79vRQB
3.SAS令牌使用不当导致Microsoft数据大规模泄漏
【标签】不区分行业
【概述】
微软研究人员在训练开源人工智能学习模型时,向GitHub公共存储库泄露了38TB的敏感数据。微软数据泄露始于2020年7月,白帽黑客直到2023年6月22日才发现并报告了这一事件。
【参考链接】
https://ti.nsfocus.com/security-news/79vRRB
4.芬兰当局拆除臭名昭著的PIILOPUOTI暗网毒品市场
【标签】不区分行业
【概述】
芬兰执法当局宣布关闭PIILOPUOTI,这是一个自2022年5月以来专门从事非法毒品交易的暗网市场。芬兰海关(又名Tulli)周二在一份简短声明中表示:“该网站作为加密TOR网络中的隐藏服务运行。”“该网站被用于毒品交易等匿名犯罪活动。”
【参考链接】
https://ti.nsfocus.com/security-news/79vRRj
5.研究人员披露Akira勒索软件利用虚拟机以绕过EDR
【标签】不区分行业
【概述】
Akira 勒索软件组织自 2023 年 4 月以来一直在攻击受害者。研究人员观察到的一项新技术利用了将勒索软件部署到 Windows Hyper-V 虚拟机管理程序系统上,导致连接的虚拟机 ( VM )受到严重损坏。即使基于 Windows 的虚拟机管理程序和目标虚拟机正在运行重要的端点检测和响应 ( EDR ) 工具,威胁行为者也会通过在虚拟机管理程序上创建新的、不受监控的虚拟机来规避这一点,他们可以从中导航虚拟机管理程序上的目录并执行他们的勒索软件。
【参考链接】
https://ti.nsfocus.com/security-news/79vRQt
6.QNX7 密码 hash 算法分析以及 Hashcat 模块编写
【标签】不区分行业
【概述】
在 2021 年想要碰撞 QNX Hash 发现 hashcat 不支持 QNX 6.6.0版本。当时 issue 就有人提了这个需求,但我一直很忙没时间开发。直到2023年9月的艰难单刷工信部车联网攻防演练,又遇到了 QNX 7 的 Hash,发现那么多年过去了还是没支持。为了防止下次又遇到这个需求,于是就抽空研究了 qnx 的库还有 hashcat,为了编写 hashcat 模块走了一点弯路。
【参考链接】
https://ti.nsfocus.com/security-news/79vRQ5
7.知名免费下载器FDM被黑三年多才被发现 而且这件事从头到尾都很吊诡
【标签】不区分行业
【概述】
流行的免费下载器 Free Download Manager 日前被卡巴斯基实验室发现安全问题,FDM 官网网站遭到入侵。比较搞笑的是黑客在 2020 年就已经拿下 FDM 官网,但 FDM 团队直到现在收到卡巴斯基通报后才发现这个问题,而且这件事从头到尾都是莫名其妙的。
【参考链接】
https://ti.nsfocus.com/security-news/79vRQ1
8.巴基斯坦APT使用YouTube模仿RAT在安卓设备上进行间谍活动
【标签】不区分行业
【概述】
据SentinelOne报道,与巴基斯坦有关的国家支持的威胁行为者Transparent Tribe被观察到使用模仿YouTube外观的新版caparat安卓木马。
【参考链接】
https://ti.nsfocus.com/security-news/79vRQT
9.分析一个现代疯狂的Android漏洞
【标签】不区分行业
【概述】
2022年12月,谷歌的威胁分析小组(TAG)发现了一个针对三星安卓设备的漏洞利用链。TAG的博客文章涵盖了目标和活动背后的演员。这是对其中一个漏洞链的最后阶段的技术分析,特别是CVE-2023-0266(在ALSA兼容层中为0天)和CVE-2023-26083(在Mali GPU驱动程序中为0天),以及攻击者用于获得内核任意读/写访问权的技术。
【参考链接】
https://ti.nsfocus.com/security-news/79vRRh
10.用户设备对5G基础设施的攻击
【标签】不区分行业
【概述】
来自移动电话等蜂窝设备的精心制作的数据包可以利用5G核心中的故障状态机来攻击蜂窝基础设施。国防、公用事业和医疗等关键行业日常运营中使用的智能设备取决于5G带来的速度、效率和生产力。此条目将CVE-2021-45462描述为向专用5G网络部署拒绝服务(DoS)攻击的潜在用例。
【参考链接】
https://ti.nsfocus.com/security-news/79vRRD
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。