绿盟科技威胁周报(2024.01.29-2024.02.04)

一、威胁通告

1.runc容器逃逸漏洞(CVE-2024-21626)通告

【标签】CVE-2024-21626

【发布时间】2024-02-01 18:00:00 GMT

【概述】

近日,绿盟科技CERT监测到runc官方发布安全通告,修复了一个容器逃逸漏洞(CVE-2024-21626),由于runc在初始化时存在内部文件描述符泄露,且未验证最终工作目录是否位于容器的挂载命名空间,导致攻击者可以通过多种方式进行容器逃逸:1、由于runc 内部将宿主机 /sys/fs/cgroup句柄在内的部分文件描述符泄漏到runc init中,如果容器配置为已设置process.cwd,当具有特权的用户执行恶意容器镜像,则生成的pid1进程将在宿主机挂载命名空间中拥有一个工作目录,导致生成的进程可以访问整个宿主文件系统。2、由于runc exec中也存在文件描述符泄漏和缺乏工作目录验证,如果容器内的恶意进程知道某个管理进程将使用 –cwd 参数和给定路径调用 runc exec,便可以用符号链接将该路径替换为 /proc/self/fd/7/ 。一旦容器进程执行了容器镜像中的二进制文件,可以绕过PR_SET_DUMPABLE 保护,导致攻击者可以通过打开 /proc/$exec_pid/cwd 来访问主机文件系统。3、攻击1、2可以通过将类似/proc/self/fd/7/../../../bin/bash的路径用作process.args二进制参数来覆盖主机二进制文件。由于可以覆盖类似 /bin/bash的二进制文件,一旦特权用户在主机上执行目标二进制文件,攻击者就可以获得对主机的完全访问权限。

【参考链接】

    https://nti.nsfocus.com/threatNotice

2.Jenkins任意文件读取漏洞(CVE-2024-23897)通告

【标签】CVE-2024-23897

【发布时间】2024-01-30 19:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Jenkins发布安全公告,修复了Jenkins CLI中的一个任意文件读取漏洞(CVE-2024-23897),由于Jenkins中默认启用其CLI命令解析器的一个功能,特定的解析器功能expandAtFiles可将@参数中后跟文件路径的字符替换为文件内容,导致攻击者可通过使用Jenkins 控制器进程的默认字符编码读取读取Jenkins上的任意文件,并结合Resource Root URL、Remember me cookie、存储型 XSS或CSRF等在Jenkins控制器中实现任意代码执行。目前PoC已公开,请受影响的用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

3.GitLab任意文件写入漏洞(CVE-2024-0402)通告

【标签】CVE-2024-0402

【发布时间】2024-01-26 19:00:00 GMT

【概述】

近日,绿盟科技CERT监测到GitLab官方发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个任意文件写入漏洞(CVE-2024-0402),由于存在路径遍历问题,经过身份验证的攻击者在创建工作区时可将文件复制到 GitLab 服务器上的任意位置。CVSS评分为9.9,请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

二、热点资讯

1.7.5亿印度网络用户数据遭到泄露

【标签】数据泄露

【概述】

据网络安全公司CloudSEK报道,1月初,一个包含印度约7.5亿个人信息的庞大数据库被放到了暗网上出售。CloudSEK在与SecurityWeek分享的一份报告中指出,一个名为CyboDevil的攻击者在暗网以3000美元的价格宣传了这一数据库。该数据库大小为1.8TB,包含姓名、手机号码、地址和Aadhaar号码(Aadhaar号码对于个人来说是唯一的,用于进行识别)等详细信息。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZQ

2.黑客劫持WPS Office更新安装恶意程序

【标签】Blackwood

【概述】

安全公司ESET的研究人员披露了利用中国流行应用程序更新机制的网络攻击行动Blackwood。攻击者的活跃时间至少始于2018年,他们首先利用adversary-in-the-middle(AitM)劫持WPS Office、腾讯QQ和搜狗拼音等软件的更新请求,然后植入恶意程序NSPX30。该恶意程序是在2005年后门程序Project Wood基础上逐渐发展而来,与腾讯反病毒实验室在2016年披露的黑暗幽灵(DCM)木马相关。攻击主要针对中国和日本的公司,以及中国、日本和英国的个别人士。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZh

3.SO文件的安全,就交给这6大核心技术吧!

【标签】SO

【概述】

众多开发者认为SO文件相对而言更加安全,并将许多核心算法、加密解密方法、协议等放在SO文件中。但是,黑客可以通过反编译SO库文件,窃取开发者花费大量人力物力财力的研发成果,进行创意窃取或二次打包,使得开发者和用户利益受损。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZA

4.CVE-2023-6246:本地提权拿到Debian、Ubuntu和Fedora的通用密钥

【标签】CVE-2023-6246

【概述】

系统库中的一个严重漏洞再次引发了有关Linux安全性的问题。非特权攻击者可以通过利用最近披露的GNU C库(glibc)中的本地权限提升 (LPE)漏洞,在默认配置下获得对多个主要Linux发行版的root访问权限。此安全问题被跟踪为CVE-2023-6246,与glibc中用于将消息写入syslog的“__vsyslog_internal()”函数相关。该缺陷于2022年8月在glibc版本2.37中意外引入,然后在修复另一个漏洞 (CVE-2022-39046)时转移到版本2.36 。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO09

5.NSPX30 :通过植入搜狗拼音更新绕过防病毒软件

【标签】Blackwood

【概述】

攻击者绕过防病毒软件并在受害者的系统中获得永久立足点。斯洛伐克公司ESET发现了一个代号为Blackwood的此前未知的黑客组织的活动,并将其。该组织自2018年以来一直活跃,专门从事中间对手 (AitM) 攻击,该攻击拦截更新合法软件的请求以提供复杂的NSPX30植入。NSPX30植入物存在于腾讯QQ、WPS Office、搜狗拼音等知名程序的更新机制中。这些攻击针对的是中国、日本和英国的制造、贸易和工程公司以及个人。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZ5

6.中央网信办启动“清朗·2024年春节网络环境整治”专项行动

【标签】专项行动

【概述】

为营造喜庆祥和的春节网上氛围,中央网信办决定自1月29日起开展为期1个月的“清朗·2024年春节网络环境整治”专项行动。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZL

7.后果严重:Sys:All 允许通过Google帐户接管Kubernetes集群

【标签】Kubernetes

【概述】

安全公司Orca Security在Google Kubernetes Engine( GKE )中发现了一个漏洞,该漏洞允许拥有Google帐户的攻击者获得对Kubernetes集群的控制权。该问题的代号为Sys:All。据估计,大约有250,000个活跃的GKE集群受到该漏洞的影响。 根据Orca Security的一份报告,该问题是关于系统的一个常见误解: GKE中的经过身份验证的组。system:authentiated组是一个特殊的组,包含所有经过身份验证的对象,包括用户和服务帐户。许多人认为该群组只包含经过验证的用户,而事实上它包含任何Google帐户。此问题可能会产生严重后果,因为管理员可能会无意中授予该组过多的权力。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZ6

8.利用SSPI数据报上下文bypassUAC

【标签】SSPI

【概述】

整个漏洞利用的核心在于Windows在本地身份验证和网络身份验证过程中尝试的令牌存在一些差异,网络身份验证生成不受限的令牌,而我们可以通过某种方法在验证时强制指定使用数据报式身份验证(数据报上下文),从而在本地实现伪造网络身份验证。这将在新产生的登录会话中首先产生一个不受限的令牌,然后生成一个受限令牌,并将两者关联起来。同时,由于Lsass存在一些问题,在某些情况下,Lsass会存储登录会话中生成的第一个Token,最终导致了可以通过SSPI来实现bypassUAC。

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZp

9.CISA发出警告,iPhone内核漏洞正在被利用

【标签】CVE-2022-48618

【概述】

CISA近期警告称,一个影响苹果iPhone、Mac、TVs和手表的内核安全漏洞正在被威胁攻击者积极利用。据悉,漏洞被追踪为CVE-2022-48618,由苹果公司的安全研究人员发现并上报,但令人疑惑的是直到2024年1月9日才在2022年12月发布的安全公告更新中披露。目前,苹果公司尚未透露CVE-2022-48618漏洞是否在两年前首次发布安全公告时被悄悄修补过。

【参考链接】

    https://ti.nsfocus.com/security-news/IlO0c

10.消息称美政府将要求科技公司分享大模型训练与安全信息

【标签】LLM

【概述】

据外媒Wired报道,美国政府将援引《国防生产法》,要求科技公司与美政府分享大语言模型训练启动和安全数据方面的信息,更多的细节预计将于本周公开。美国商务部长吉娜・雷蒙多(Gina Raimondo)在上周五的一次活动中表示:“我们(美国政府)正在利用《国防生产法》进行一项调查,要求公司每次启动训练新的LLM时向我们分享情况,同时也要分享安全数据结果以便于审查。”

【参考链接】

    https://ti.nsfocus.com/security-news/IlNZF

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author