利用 PHP 漏洞传播恶意软件并发起 DDoS 攻击 网络相关


据观察,多个威胁行为者利用最近披露的 PHP 安全漏洞来传播远程访问木马、加密货币矿工和分布式拒绝服务 (DDoS) 僵尸网络。

该漏洞为CVE-2024-4577(CVSS 评分:9.8),允许攻击者在使用中文和日语语言环境的 Windows 系统上远程执行恶意命令。该漏洞于 2024 年 6 月初公开披露。

Akamai 研究人员 Kyle Lefton、Allen West 和 Sam Tinklenberg在周三的分析中表示:“CVE-2024-4577 是一个漏洞,它允许攻击者逃离命令行并传递参数,让 PHP 直接解释。漏洞本身在于 Unicode 字符如何转换为 ASCII。”

该网络基础设施公司表示,在 PHP 漏洞被公开后的 24 小时内,它就开始观察到针对其蜜罐服务器的攻击尝试。

其中包括旨在传播名为Gh0st RAT的远程访问木马、 RedTail和 XMRig等加密货币矿工以及名为Muhstik的 DDoS 僵尸网络的漏洞。

研究人员解释道:“攻击者发送了一个类似于之前 RedTail 操作的请求,利用‘%ADd’的软连字符漏洞来执行 shell 脚本的 wget 请求。该脚本向同一个俄罗斯 IP 地址发出额外的网络请求,以检索 RedTail 加密挖掘恶意软件的 x86 版本。”

上个月,Imperva 还透露,TellYouThePass 勒索软件攻击者正在利用 CVE-2024-4577 来传播文件加密恶意软件的 .NET 变体。

建议依赖 PHP 的用户和组织将其安装更新到最新版本,以防范主动威胁。

研究人员表示:“新漏洞披露后,防御者保护自己的时间不断缩短,这是另一个关键的安全风险。对于这个 PHP 漏洞来说尤其如此,因为它的可利用性很高,而且被威胁者迅速利用。”

Cloudflare 表示,2024 年第二季度,该公司的 DDoS 攻击次数同比增长了 20%,并且在前六个月内缓解了 850 万次 DDoS 攻击。相比之下,该公司在 2023 年全年阻止了 1400 万次 DDoS 攻击。

研究人员 Omer Yoachimik 和 Jorge Pacheco在 2024 年第二季度的 DDoS 威胁报告中表示: “总体而言,第二季度的 DDoS 攻击数量环比下降了 11%,但同比增长了 20%。”

此外,已知的 DDoS 僵尸网络占所有 HTTP DDoS 攻击的一半。伪造用户代理和无头浏览器 (29%)、可疑 HTTP 属性 (13%) 和通用洪水 (7%) 是其他突出的 HTTP DDoS 攻击媒介。

在此期间,遭受攻击最多的国家是中国,其次是土耳其、新加坡、香港、俄罗斯、巴西、泰国、加拿大、台湾和吉尔吉斯斯坦。信息技术和服务、电信、消费品、教育、建筑和食品饮料成为 DDoS 攻击的主要目标行业。

研究人员表示:“2024 年第二季度,阿根廷被列为最大的 DDoS 攻击源。印度尼西亚紧随其后,位居第二,荷兰位居第三。”

标签: php DDoS

之参博客 发布于  2024-7-12 10:19 

微软 7 月更新修复了 143 个漏洞,其中包括两个被利用的漏洞 网络相关

上传中...100%

作为每月安全更新的一部分,微软发布了补丁来解决总共143 个安全漏洞,其中两个漏洞已被广泛利用。

143 个漏洞中有 5 个被评为严重,136 个被评为重要,4 个被评为中等严重程度。这些修复程序是对过去一个月内基于 Chromium 的 Edge 浏览器中已修复的33 个漏洞的补充。

以下是两个被利用的安全漏洞:

CVE-2024-38080(CVSS 评分:7.8)- Windows Hyper-V 特权提升漏洞
CVE-2024-38112(CVSS 评分:7.5)- Windows MSHTML 平台欺骗漏洞
微软在谈及 CVE-2024-38112 时表示:“要成功利用此漏洞,攻击者需要在利用之前采取额外措施来准备目标环境。攻击者必须向受害者发送一个恶意文件,受害者必须执行该文件。”

Check Point 安全研究员 Haifei Li 于 2024 年 5 月发现并报告了该漏洞,他表示,威胁行为者正在利用特制的 Windows Internet 快捷方式文件 (.URL),点击后,通过调用已退役的 Internet Explorer (IE) 浏览器将受害者重定向到恶意 URL。

李解释说: “IE 上还有一个技巧可以隐藏恶意的 .HTA 扩展名。通过使用 IE 而不是 Windows 上更安全、更现代的 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者计算机方面获得了显著优势,尽管该计算机运行的是现代的 Windows 10/11 操作系统。”

早在 2023 年 1 月,采用该攻击技术的工件就已上传到 VirusTotal 恶意软件扫描平台,这表明威胁行为者已经意识到该漏洞超过 1.5 年。

Tenable 高级研究员 Satnam Narang 表示:“CVE-2024-38080 是 Windows Hyper-V 中的一个特权提升漏洞。本地经过身份验证的攻击者可以利用此漏洞在初步攻陷目标系统后将特权提升至系统级别。”

虽然目前尚不清楚 CVE-2024-38080 滥用的具体细节,但 Narang 指出,这是自 2022 年以来 44 个 Hyper-V 漏洞中第一个被广泛利用的漏洞。

微软修补的另外两个安全漏洞在发布时已被列为已知漏洞。其中包括一种名为FetchBench的侧信道攻击(CVE-2024-37985,CVSS 评分:5.9),该攻击可让攻击者从基于 Arm 的系统上运行的特权进程中查看堆内存。

第二个公开披露的漏洞是CVE-2024-35264(CVSS 评分:8.1),这是一个影响.NET 和 Visual Studio 的远程代码执行漏洞。

雷德蒙德在一份公告中表示:“攻击者可以通过在处理请求主体时关闭 http/3 流来利用此漏洞,从而导致竞争条件。这可能导致远程代码执行。”

作为补丁星期二更新的一部分,还解决了影响 SQL Server Native Client OLE DB 提供程序的 37 个远程代码执行漏洞、20 个安全启动安全功能绕过漏洞、三个 PowerShell 特权提升漏洞以及 RADIUS 协议中的欺骗漏洞(CVE-2024-3596又名 BlastRADIUS)。

Rapid7 的首席产品经理 Greg Wiseman 表示:“[SQL Server 漏洞] 特别影响 OLE DB 提供程序,因此不仅需要更新 SQL Server 实例,还需要解决运行存在漏洞的连接驱动程序版本的客户端代码。”

“例如,攻击者可以使用社会工程策略欺骗经过身份验证的用户尝试连接到配置为返回恶意数据的 SQL Server 数据库,从而允许在客户端执行任意代码。”

补丁列表的最后一项是CVE-2024-38021(CVSS 评分:8.8),这是 Microsoft Office 中的一个远程代码执行漏洞,如果成功利用,可能允许攻击者获得高权限,包括读取、写入和删除功能。

Morphisec 于 2024 年 4 月下旬向微软报告了该漏洞,并表示该漏洞不需要任何身份验证,并且由于其零点击性质而构成严重风险。

Michael Gorelik表示: “攻击者可以利用此漏洞获得未经授权的访问,执行任意代码,并在无需任何用户交互的情况下造成重大损害。” “缺乏身份验证要求使其特别危险,因为它为广泛利用打开了大门。”

微软上个月底宣布将开始发布与云相关的安全漏洞的 CVE 标识符,以提高透明度。

标签: 微软

之参博客 发布于  2024-7-11 11:44 

热门开源 Git 服务 Gogs 披露未修补的严重缺陷 网络相关


Gogs开源自托管 Git 服务中披露了四个未修补的安全漏洞,其中包括三个严重漏洞,这些漏洞可能使经过身份验证的攻击者能够破坏易受攻击的实例、窃取或擦除源代码,甚至植入后门。

SonarSource 研究人员 Thomas Chauchefoin 和 Paul Gerste 指出,这些漏洞如下:

CVE-2024-39930(CVSS 评分:9.9)——内置 SSH 服务器中的参数注入
CVE-2024-39931(CVSS 评分:9.9)——删除内部文件
CVE-2024-39932(CVSS 评分:9.9)——变更预览期间的参数注入
CVE-2024-39933(CVSS 评分:7.7)——标记新版本时进行参数注入
成功利用前三个缺陷可能允许攻击者在 Gogs 服务器上执行任意命令,而第四个缺陷则允许攻击者读取任意文件,例如源代码和配置机密。

换句话说,通过滥用这些问题,威胁行为者可以读取实例上的源代码,修改任何代码,删除所有代码,瞄准可从 Gogs 服务器访问的内部主机,并冒充其他用户并获得更多权限。

也就是说,所有四个漏洞都要求攻击者经过身份验证。此外,触发 CVE-2024-39930 需要启用内置 SSH 服务器、使用 env 二进制文件的版本,并且威胁行为者拥有有效的 SSH 私钥。

研究人员表示:“如果 Gogs 实例启用了注册功能,攻击者只需创建一个帐户并注册他们的 SSH 密钥即可。否则,他们就必须入侵另一个帐户或窃取用户的 SSH 私钥。”

在 Windows 上运行的 Gogs 实例不会被利用,Docker 镜像也是如此。但是,在 Debian 和 Ubuntu 上运行的 Gogs 实例容易受到攻击,因为 env 二进制文件支持“--split-string”选项。

根据 Shodan 上的数据,大约有 7,300 个 Gogs 实例可通过互联网公开访问,其中近 60%位于中国,其次是美国、德国、俄罗斯和香港。

目前尚不清楚有多少暴露的服务器存在上述漏洞。SonarSource 表示,他们无法得知这些问题是否正在被利用。

这家瑞士网络安全公司还指出,该项目维护人员在 2023 年 4 月 28 日接受其初步报告后“没有实施修复并停止了沟通”。

在没有更新的情况下,建议用户禁用内置 SSH 服务器,关闭用户注册以防止大规模利用,并考虑切换到 Gitea。SonarSource 还发布了一个用户可以应用的补丁,但指出它尚未经过广泛测试。

云安全公司 Aqua 发现,访问令牌和密码等敏感信息一旦被硬编码,即使从基于 Git 的源代码管理 (SCM) 系统中删除后,仍可能永久暴露。

该问题被称为幻影秘密,其根源在于它们无法通过任何常规扫描方法发现 - 其中大多数使用“git clone”命令查找秘密 - 并且某些秘密只能通过“git clone --mirror”或 SCM 平台的缓存视图访问,突显了此类扫描工具可能错过的盲点。

安全研究人员 Yakir Kadkoda 和 Ilay Goldman表示: “提交内容仍可通过 SCM 上的‘缓存视图’进行访问。从本质上讲,SCM 会永久保存提交内容。”

“这意味着,即使从存储库的克隆和镜像版本中删除了包含提交的秘密,如果有人知道提交哈希,仍然可以访问它。他们可以通过 SCM 平台的 GUI 检索提交内容并访问泄露的秘密。”

标签: 开源 Git Gogs

之参博客 发布于  2024-7-8 15:51 

微软发现罗克韦尔自动化 PanelView Plus 中存在严重缺陷 网络相关


微软披露了罗克韦尔自动化 PanelView Plus 中的两个安全漏洞,这些漏洞可被远程、未经身份验证的攻击者利用来执行任意代码并触发拒绝服务 (DoS) 条件。

安全研究员 Yuval Gordon表示:“PanelView Plus 中的 [远程代码执行] 漏洞涉及两个自定义类,可被滥用来将恶意 DLL 上传并加载到设备中。”

“DoS 漏洞利用相同的自定义类来发送设备无法正确处理的精心设计的缓冲区,从而导致 DoS。”

缺点列表如下 -

CVE-2023-2071(CVSS 分数:9.8) - 一个不当的输入验证漏洞,允许未经身份验证的攻击者通过精心设计的恶意数据包执行远程代码。
CVE-2023-29464(CVSS 评分:8.2) - 一种不当的输入验证漏洞,允许未经身份验证的威胁行为者通过精心设计的恶意数据包从内存中读取数据,并通过发送大于缓冲区大小的数据包导致 DoS
成功利用这两个缺陷可使对手远程执行代码或导致信息泄露或 DoS 情况。


CVE-2023-2071 影响 FactoryTalk View Machine Edition(版本 13.0、12.0 及之前版本),而 CVE-2023-29464 则影响 FactoryTalk Linx(版本 6.30、6.20 及之前版本)。

值得注意的是,罗克韦尔自动化分别于2023 年 9 月 12 日和2023 年 10 月 12 日发布了针对这些漏洞的警告。美国网络安全和基础设施安全局 (CISA) 于9 月 21 日和10 月 17 日发布了自己的警报。

此次披露之际,未知威胁行为者被认为正在利用最近披露的 HTTP 文件服务器严重安全漏洞 ( CVE-2024-23692,CVSS 评分:9.8) 来传播加密货币矿工和木马,如Xeno RAT、Gh0st RAT 和 PlugX。

该漏洞被描述为模板注入的案例,允许远程、未经身份验证的攻击者通过发送特制的 HTTP 请求在受影响的系统上执行任意命令。


之参博客 发布于  2024-7-5 09:47 

新的英特尔 CPU 漏洞“Indirector”暴露敏感数据 网络相关


英特尔的现代 CPU(包括 Raptor Lake 和 Alder Lake)被发现容易受到新的侧信道攻击,这种攻击可能被利用来泄露处理器中的敏感信息。

此次攻击由安全研究人员 Luyi Li、Hosein Yavarzadeh 和 Dean Tullsen命名为Indirector ,利用间接分支预测器 (IBP) 和分支目标缓冲区 (BTB) 中发现的缺陷来绕过现有防御措施并危及 CPU 的安全性。

研究人员指出:“间接分支预测器 (IBP) 是现代 CPU 中的硬件组件,可以预测间接分支的目标地址。”

“间接分支是控制流指令,其目标地址在运行时计算,因此很难准确预测。IBP 使用全局历史和分支地址的组合来预测间接分支的目标地址。”

其核心思想是识别 IBP 中的漏洞,以发起精确的分支目标注入 (BTI) 攻击 - 又名 Spectre v2 ( CVE-2017-5715 ) - 该攻击针对处理器的间接分支预测器,导致通过侧信道向具有本地用户访问权限的攻击者未经授权披露信息。

这是通过名为 iBranch Locator 的自定义工具实现的,该工具用于定位任何间接分支,然后执行精确的目标 IBP 和 BTP 注入以执行推测执行。

英特尔于 2024 年 2 月获悉这一发现,并已将此问题告知其他受影响的硬件/软件供应商。

作为缓解措施,建议更积极地使用间接分支预测器屏障(IBPB),并通过结合更复杂的标签、加密和随机化来强化分支预测单元(BPU)设计。

该研究发布之际,Arm CPU 被发现容易受到名为 TIKTAG 的推测执行攻击,该攻击针对内存标记扩展 (MTE),在不到四秒的时间内以超过 95% 的成功率泄露数据。

研究人员 Juhee Kim、Jinbum Park、Sihyeon Roh、Jaeyoung Chung、Youngjoo Lee、Taesoo Kim 和 Byoungyoung Lee表示,这项研究“发现了能够通过推测执行从任意内存地址泄露 MTE 标签的新型 TikTag 小工具”。

“利用 TikTag 小工具,攻击者可以绕过 MTE 的概率防御,将攻击成功率提高近 100%。”

针对这一披露,Arm表示,“MTE 可以提供一组有限的确定性第一道防线,以及一组更广泛的概率第一道防线,以抵御特定类别的漏洞攻击。”

“然而,概率特性并不是为了针对能够暴力破解、泄露或制作任意地址标签的交互式对手而设计的完整的解决方案。”


之参博客 发布于  2024-7-2 20:33 

隐藏在数据中的人工智能训练的秘密 网络相关


虽然有些 SaaS 威胁显而易见,但其他威胁则隐藏在显而易见的地方,两者都会对您的组织构成重大风险。Wing 的研究表明,高达 99.7% 的组织使用嵌入了 AI 功能的应用程序。这些 AI 驱动的工具不可或缺,可提供从协作和沟通到工作管理和决策的无缝体验。然而,在这些便利的背后隐藏着一个很大程度上未被认识到的风险:这些 SaaS 工具中的 AI 功能可能会危及敏感的业务数据和知识产权 (IP)。

Wing 最近的发现揭示了一个令人惊讶的统计数据:十大最常用的人工智能应用中有 70%可能会使用您的数据来训练他们的模型。这种做法可以超越单纯的数据学习和存储。它可能涉及对您的数据进行再训练、让人工审核人员对其进行分析,甚至与第三方共享。

通常,这些威胁深藏在条款和条件协议和隐私政策的细则中,这些条款概述了数据访问和复杂的退出流程。这种隐秘的方法带来了新的风险,使安全团队难以保持控制。本文深入探讨了这些风险,提供了真实案例,并提供了通过有效的 SaaS 安全措施保护组织的最佳实践。

人工智能训练的四大风险#
当人工智能应用程序使用您的数据进行训练时,会出现几个重大风险,可能会影响您组织的隐私、安全性和合规性:

  1. 知识产权 (IP) 和数据泄露#
    最关键的问题之一是您的知识产权 (IP) 和敏感数据可能通过 AI 模型暴露。当您的业务数据用于训练 AI 时,它可能会无意中泄露专有信息。这可能包括敏感的业务策略、商业机密和机密通信,从而导致严重的漏洞。

  2. 数据利用与利益错位#
    AI 应用程序经常使用您的数据来提高其功能,这可能会导致利益错位。例如,Wing 的研究表明,一款流行的 CRM 应用程序利用其系统中的数据(包括联系方式、交互历史记录和客户备注)来训练其 AI 模型。这些数据用于增强产品特性和开发新功能。然而,这也可能意味着使用相同平台的竞争对手可能会从从您的数据中获得的见解中受益。

  3. 第三方共享#
    另一个重大风险是与第三方共享您的数据。为 AI 训练收集的数据可能会被第三方数据处理器访问。这些合作旨在提高 AI 性能并推动软件创新,但也引发了对数据安全的担忧。第三方供应商可能缺乏强大的数据保护措施,从而增加了违规和未经授权的数据使用的风险。

  4. 合规问题#
    世界各地的法规各不相同,对数据的使用、存储和共享都制定了严格的规定。当 AI 应用程序使用您的数据进行训练时,确保合规性变得更加复杂。不合规可能会导致巨额罚款、法律诉讼和声誉损害。遵守这些法规需要付出巨大的努力和专业知识,这进一步使数据管理复杂化。

他们实际上训练什么数据?#
了解 SaaS 应用程序中用于训练 AI 模型的数据对于评估潜在风险和实施强大的数据保护措施至关重要。然而,这些应用程序之间缺乏一致性和透明度,这对首席信息安全官 (CISO) 及其安全团队来说是一个挑战,他们无法识别用于 AI 训练的具体数据。这种不透明性引发了人们对敏感信息和知识产权无意中泄露的担忧。

应对人工智能平台中的数据选择退出挑战#
在 SaaS 应用程序中,有关选择退出数据使用的信息通常很分散且不一致。有些在服务方面提到了选择退出选项,有些则在隐私政策中提到,有些则要求向公司发送电子邮件才能选择退出。这种不一致和缺乏透明度使安全专业人员的任务变得复杂,凸显了对控制数据使用的精简方法的需求。

例如,一款图像生成应用程序允许用户通过选择付费套餐中提供的私人图像生成选项来退出数据训练。另一款应用程序提供了退出选项,但这可能会影响模型性能。一些应用程序允许个人用户调整设置,以防止他们的数据被用于训练。

退出机制的多样性凸显了安全团队需要了解和管理不同公司的数据使用政策。集中式 SaaS 安全态势管理 (SSPM)解决方案可以提供帮助,为每个平台提供可用的退出选项警报和指导,简化流程,并确保遵守数据管理政策和法规。

最终,了解 AI 如何使用您的数据对于管理风险和确保合规性至关重要。了解如何选择退出数据使用对于保持对隐私和安全的控制同样重要。然而,由于 AI 平台缺乏标准化方法,这些任务变得具有挑战性。通过优先考虑可见性、合规性和可访问的退出选项,组织可以更好地保护其数据免受 AI 训练模型的影响。利用 Wing 等集中式自动化 SSPM 解决方案,用户能够自信而有控制地应对 AI 数据挑战,确保他们的敏感信息和知识产权保持安全。

标签: 人工智能

之参博客 发布于  2024-7-2 20:33 

CocoaPods 中的关键漏洞使 iOS 和 macOS 应用面临供应链攻击的风险 网络相关

在 Swift 和 Objective-C Cocoa 项目的 CocoaPods 依赖管理器中发现了三个安全漏洞,这些漏洞可能被利用来发起软件供应链攻击,从而使下游客户面临严重风险。

E.V.A 信息安全公司的研究人员 Reef Spektor 和 Eran Vaknin 在今天发布的一份报告中表示,这些漏洞允许“任何恶意行为者占有数千个未被认领的 pods,并在许多最流行的 iOS 和 macOS 应用程序中插入恶意代码”。

这家以色列应用安全公司表示,这三个问题已经由 CocoaPods 在 2023 年 10 月进行了修补。CocoaPods 还在漏洞披露时重置了所有用户会话。

其中一个漏洞是 CVE-2024-38368(CVSS 评分:9.3),它使攻击者可以滥用“认领你的 Pods”过程并控制某个包,从而有效地篡改源代码并引入恶意更改。然而,这要求所有之前的维护者已被移除出项目。

问题的根源可以追溯到 2014 年,当时迁移到 Trunk 服务器导致数千个包的所有者未知(或未认领),使攻击者能够利用公共 API 认领 pods,并使用在 CocoaPods 源代码中可用的电子邮件地址("[email protected]")来接管控制权。

第二个漏洞更加严重(CVE-2024-38366,CVSS 评分:10.0),它利用了不安全的电子邮件验证工作流在 Trunk 服务器上运行任意代码,从而可以用于操纵或替换包。

在服务中还发现了电子邮件地址验证组件中的第二个问题(CVE-2024-38367,CVSS 评分:8.2),该问题可能诱使接收者点击一个看似无害的验证链接,但实际上,该链接会将请求重定向到由攻击者控制的域,以获取开发者的会话令牌。

更糟糕的是,通过伪造 HTTP 标头(即修改 X-Forwarded-Host 标头字段)并利用配置错误的电子邮件安全工具,这个漏洞可以升级为零点击账户接管攻击。

“我们发现几乎每个 pod 所有者都在 Trunk 服务器上使用其组织的电子邮件注册,这使他们容易受到我们的零点击接管漏洞的攻击,”研究人员表示。

这并不是 CocoaPods 第一次被置于安全审查中。2023 年 3 月,Checkmarx 透露,与依赖管理器关联的一个被废弃的子域(“cdn2.cocoapods[.]org”)可能会被对手通过 GitHub Pages 劫持,以托管其恶意负载。


之参博客 发布于  2024-7-2 10:06 

新的 OpenSSH 漏洞可能导致 Linux 系统以 Root 身份进行 RCE 网络相关


OpenSSH 维护人员发布了安全更新,以修复一个严重的安全漏洞,该漏洞可能导致基于 glibc 的 Linux 系统中以 root 权限执行未经身份验证的远程代码。

该漏洞代号为 regreSSHion,CVE 标识符为 CVE-2024-6387。它位于OpenSSH 服务器组件(也称为 sshd)中,用于监听来自任何客户端应用程序的连接。

Qualys 威胁研究部门高级主管 Bharat Jogi 在今天发布的一份披露文件中表示:“该漏洞是 OpenSSH 服务器 (sshd) 中的信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE) 。该竞争条件会影响默认配置下的 sshd。”

OpenSSH 在一份公告中表示:“已证明在具有 [地址空间布局随机化]的 32 位 Linux/glibc 系统上可成功利用该漏洞。在实验室条件下,攻击平均需要 6-8 小时的连续连接,直至达到服务器可接受的最大连接时长。”

该漏洞影响 8.5p1 和 9.7p1 之间的版本。4.4p1 之前的版本也容易受到竞争条件漏洞的影响,除非它们针对 CVE-2006-5051 和CVE-2008-4109进行了修补。值得注意的是,OpenBSD 系统不受影响,因为它们包含阻止该漏洞的安全机制。

该安全漏洞很可能也会影响 macOS 和 Windows,尽管其在这些平台上的可利用性仍未得到证实,需要进一步分析。

具体来说,Qualys 发现,如果客户端在 120 秒内未进行身份验证(由 LoginGraceTime 定义的设置),则 sshd 的 SIGALRM 处理程序将以非异步信号安全的方式异步调用。

利用 CVE-2024-6387 的最终结果是完全系统入侵和接管,使威胁行为者能够以最高权限执行任意代码、破坏安全机制、窃取数据,甚至保持持续访问。

“漏洞一旦修复,又会在后续软件版本中再次出现,这通常是由于更改或更新无意中再次引入了该问题,”Jogi 说道。“这起事件凸显了彻底的回归测试在防止已知漏洞再次引入环境中的关键作用。”

虽然该漏洞由于其远程竞争条件性质而存在重大障碍,但建议用户应用最新补丁以防范潜在威胁。还建议通过基于网络的控制来限制 SSH 访问,并实施网络分段以限制未经授权的访问和横向移动。


之参博客 发布于  2024-7-2 10:01 

研究人员警告广泛使用的工业气体分析设备存在缺陷 网络相关


艾默生罗斯蒙特气相色谱仪被披露存在多个安全漏洞,可能被恶意行为者利用来获取敏感信息、引发拒绝服务 (DoS) 条件,甚至执行任意命令。

这些缺陷影响 GC370XA、GC700XA 和 GC1500XA,存在于 4.1.5 及之前版本中。

据运营技术 (OT) 安全公司 Claroty 称,这些漏洞包括两个命令注入缺陷和两个单独的身份验证和授权漏洞,未经身份验证的攻击者可以利用它们执行从身份验证绕过到命令注入等各种恶意操作。

美国网络安全和基础设施安全局 (CISA) 在一月份发布的一份咨询报告中表示:“成功利用这些漏洞可能允许未经身份验证的攻击者通过网络访问来运行任意命令、访问敏感信息、导致拒绝服务情况以及绕过身份验证来获取管理员权限。 ”

用于进行关键气体测量的色谱仪可通过名为 MON 的软件进行配置和管理。该软件还可用于存储关键数据并生成色谱图、警报历史记录、事件日志和维护日志等报告。


Claroty 对固件以及用于该设备与 Windows 客户端MON2020之间通信的专有协议的分析发现了以下缺陷 -

CVE-2023-46687(CVSS 评分:9.8)——未经身份验证且具有网络访问权限的用户可以从远程计算机在 root 上下文中执行任意命令
CVE-2023-49716(CVSS 评分:6.9)——具有网络访问权限的经过身份验证的用户可以从远程计算机运行任意命令
CVE-2023-51761(CVSS 评分:8.3)——未经身份验证且具有网络访问权限的用户可以通过重置相关密码来绕过身份验证并获取管理员权限
CVE-2023-43609(CVSS 分数:6.9)——未经身份验证且具有网络访问权限的用户可能会获取敏感信息的访问权限或导致拒绝服务情况
经过负责任的披露,艾默生发布了[PDF] 固件更新版本以解决漏洞问题。该公司还建议最终用户遵循网络安全最佳实践,并确保受影响的产品不会直接暴露在互联网上。

此次披露之际,Nozomi Networks详细介绍了AiLux RTU62351B 中的几个漏洞,这些漏洞可能被滥用来访问设备上的敏感资源、更改其配置,甚至以 root 身份执行任意命令。这些漏洞被统称为 I11USION。

Proges Plus 温度监测设备及其相关软件(即 Sensor Net Connect 和 Thermoscan IP)中也发现了安全漏洞,这些漏洞可能允许对关键医疗系统授予管理员权限,从而使恶意行为者能够操纵系统设置、安装恶意软件和窃取数据。

这些未修补的漏洞还可能导致医疗监控基础设施出现 DoS 情况,从而导致对温度敏感的药品和疫苗变质。

标签: 工业 缺陷

之参博客 发布于  2024-6-29 11:41 

Vanna AI 中的即时注入漏洞导致数据库遭受 RCE 攻击 网络相关


网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞,该漏洞可被利用通过提示注入技术实现远程代码执行漏洞。

供应链安全公司 JFrog表示,该漏洞的编号为 CVE-2024-5565(CVSS 评分:8.1),与“ask”函数中的提示注入有关,可被利用来诱骗库执行任意命令。

Vanna 是一个基于 Python 的机器学习库,允许用户与他们的 SQL 数据库聊天以通过“只需提出问题”(又名提示)来收集见解,然后使用大型语言模型(LLM)将其转换为等效的 SQL 查询。

近年来,生成式人工智能 (AI) 模型的快速推出凸显了其被恶意行为者利用的风险,他们可以通过提供绕过内置安全机制的对抗性输入将这些工具武器化。

其中一类突出的攻击是即时注入,它指的是一种人工智能越狱,可用于无视 LLM 提供商为防止产生攻击性、有害或非法内容而建立的护栏,或执行违反应用程序预期目的的指令。

此类攻击可以是间接的,其中系统处理由第三方控制的数据(例如,传入的电子邮件或可编辑文档)以启动导致 AI 越狱的恶意负载。

他们还可以采取所谓的多次越狱或多回合越狱(又名 Crescendo)的形式,其中操作员“从无害的对话开始,逐步将对话引向预期的、禁止的目标”。

这种方法可以进一步扩展,以实施另一种称为“Skeleton Key”的新型越狱攻击。

微软 Azure 首席技术官 Mark Russinovich表示:“这种 AI 越狱技术采用多轮(或多步骤)策略,使模型忽略其护栏。一旦忽略护栏,模型将无法确定来自任何其他人的恶意或未经批准的请求。”

Skeleton Key 与 Crescendo 的不同之处还在于,一旦越狱成功,系统规则发生改变,模型就可以对原本被禁止的问题做出回应,而不管其中的道德和安全风险。

“当 Skeleton Key 越狱成功时,模型就承认它已经更新了指南,随后将遵守指令来生成任何内容,无论它如何违反其原始负责任的 AI 指南,”Russinovich 说。

“与 Crescendo 等其他越狱不同,Skeleton Key 将模型置于用户可以直接请求任务的模式,而 Crescendo 等其他越狱必须间接或通过编码向模型询问任务。此外,模型的输出似乎完全未经过滤,并揭示了模型的知识范围或生成请求内容的能力。”

JFrog 的最新发现(同样由刘彤独立披露)表明,快速注入可能会产生严重影响,特别是当它们与命令执行相关时。

CVE-2024-5565 利用 Vanna 促进文本到 SQL 生成的事实来创建 SQL 查询,然后使用 Plotly 图形库执行这些查询并以图形方式呈现给用户。

这是通过“ask”函数实现的- 例如,vn.ask(“按销售额排名前 10 位的客户有哪些?”) - 这是允许生成在数据库上运行的 SQL 查询的主要 API 端点之一。

上述行为加上 Plotly 代码的动态生成,产生了一个安全漏洞,允许威胁行为者提交嵌入要在底层系统上执行的命令的特制提示。

JFrog表示:“Vanna 库使用提示函数向用户呈现可视化结果,可以使用提示注入来改变提示并运行任意 Python 代码而不是预期的可视化代码。”

“具体来说,允许将外部输入输入到库的‘ask’方法并将‘visualize’设置为 True(默认行为)会导致远程代码执行。”

在负责任地披露之后,Vanna 发布了一份强化指南,警告用户 Plotly 集成可用于生成任意 Python 代码,并且暴露此功能的用户应在沙盒环境中执行此操作。

JFrog 安全研究高级主管 Shachar Menashe 在一份声明中表示:“这一发现表明,如果没有适当的治理和安全保障,广泛使用 GenAI/LLM 的风险可能会对组织产生严重影响。”

“预提示注入的危险性仍未得到广泛了解,但很容易实施。公司不应依赖预提示作为万无一失的防御机制,在将 LLM 与数据库或动态代码生成等关键资源连接时,应采用更强大的机制。”


之参博客 发布于  2024-6-28 08:03