一个新的恶意软件活动正在利用 WordPress 的 Popup Builder 插件中的高严重性安全漏洞来注入恶意 JavaScript 代码。

据 Sucuri 称，该活动在过去三周内已感染了 3,900 多个网站。

安全研究员 Puja Srivastava在 3 月 7 日的一份报告中表示：“这些攻击是由不到一个月的域名精心策划的，注册日期可以追溯到 2024 年 2 月 12 日。”

感染序列涉及利用 CVE-2023-6000，这是 Popup Builder 中的一个安全漏洞，可被利用来创建恶意管理员用户并安装任意插件。

今年 1 月初，Balada Injector 攻击活动利用了这一缺陷，导致至少 7,000 个站点受到攻击。

最新的一组攻击会导致注入恶意代码，该恶意代码有两种不同的变体，旨在将网站访问者重定向到其他网站，例如网络钓鱼和诈骗页面。

建议 WordPress 网站所有者保持其插件最新，并扫描其网站是否有任何可疑代码或用户，并执行适当的清理。

斯里瓦斯塔瓦说：“这种新的恶意软件活动清楚地提醒人们，如果不及时更新网站软件，将面临风险。”

这一进展发生之际，WordPress 安全公司 Wordfence披露了另一个名为 Ultimate Member 的插件中的一个高度严重的错误，该插件可以被用来注入恶意 Web 脚本。

跨站脚本 (XSS) 缺陷被追踪为 CVE-2024-2123（CVSS 评分：7.2），影响该插件的所有版本，包括 2.8.3 及之前的版本。已在 2024 年 3 月 6 日发布的 2.8.4 版本中进行了修补。

该缺陷源于输入清理和输出转义不足，从而允许未经身份验证的攻击者在页面中注入任意 Web 脚本，这些脚本将在用户每次访问时执行。

“再加上该漏洞可以被在易受攻击的网站上没有权限的攻击者利用，这意味着未经身份验证的攻击者在成功利用该漏洞后，很有可能获得运行易受攻击版本的插件的网站的管理用户访问权限， ”Wordfence 说道。

值得注意的是，插件维护者在 2 月 19 日发布的 2.8.3 版本中解决了类似的缺陷（CVE-2024-1071，CVSS 评分：9.8）。

它还发现了 Avada WordPress 主题中的任意文件上传漏洞（CVE-2024-1468，CVSS 评分：8.8），并可能远程执行恶意代码。7.11.5版本已解决。

Wordfence表示：“这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在受影响站点的服务器上上传任意文件，从而使远程代码执行成为可能。”

周四谷歌浏览器发布了安全增强版，提供实时隐私保护的 URL 保护，保护用户访问潜在的恶意网站。

Jonathan Li 和 Jasika Bawa表示：“桌面版和 iOS 版浏览器 的标准保护模式将根据谷歌服务器端已知不良网站列表实时检查网站。 ”

“如果我们怀疑某个网站对您或您的设备构成风险，您会看到包含更多信息的警告。通过实时检查网站，我们预计可以阻止更多 25% 的网络钓鱼尝试。”

到目前为止，Chrome 浏览器使用本地存储的已知不安全网站列表，该列表每 30 到 60 分钟更新一次，然后利用基于哈希的方法将访问的每个网站与数据库进行比较。

谷歌于 2023 年 9 月首次透露计划在不与该公司共享用户浏览历史记录的情况下转向实时服务器端检查。

这家搜索巨头表示，做出这一改变的原因是有害网站列表正在快速增长，而且 60% 的网络钓鱼域名存在时间不足10 分钟，因此难以阻止。

它补充说：“并非所有设备都拥有维护这个不断增长的列表所需的资源，也并非总是能够以受益于全面保护所需的频率接收和应用列表更新。”

因此，利用新的架构，每次用户尝试访问网站时，都会根据浏览器的全局和本地缓存（包含已知的安全 URL）以及先前安全浏览检查的结果来检查 URL，以确定网站的状态。

如果缓存中不存在所访问的 URL，则会通过将 URL 混淆为32 字节的完整哈希值来执行实时检查，然后将其截断为 4 字节长的哈希前缀、加密并发送到隐私服务器。

谷歌解释说：“隐私服务器会删除潜在的用户标识符，并通过 TLS 连接将加密的哈希前缀转发到安全浏览服务器，该连接将请求与许多其他 Chrome 用户混合在一起。”

安全浏览服务器随后解密哈希前缀并将其与服务器端数据库进行匹配，以返回与浏览器发送的哈希前缀之一匹配的所有不安全 URL 的完整哈希值。

最后，在客户端，将完整哈希值与所访问 URL 的完整哈希值进行比较，如果发现匹配，则会显示警告消息。

谷歌还证实，隐私服务器只不过是由 Fastly 运营的Oblivious HTTP ( OHTTP ) 中继，位于 Chrome 和安全浏览服务器之间，以防止后者访问用户的 IP 地址，从而阻止其将 URL 检查与用户的互联网浏览历史记录。

该公司强调：“最终，安全浏览会看到您 URL 的哈希前缀，但看不到您的 IP 地址，而隐私服务器会看到您的 IP 地址，但不会看到哈希前缀。” “没有任何一方可以访问您的身份和哈希前缀。因此，您的浏览活动仍然是私密的。”

上传中...100%

据观察，威胁行为者在针对一家未透露姓名的“大公司”的网络攻击中利用QEMU开源硬件模拟器作为隧道软件来连接到其基础设施。

虽然 Chisel、FRP、ligolo、ngrok 和 Plink 等许多合法的隧道工具已被对手利用以达到其优势，但这一开发标志着第一个用于此目的的 QEMU。

卡巴斯基研究人员 Grigory Sablin、Alexander Rodchenko 和 Kirill Magaskin表示：“我们发现 QEMU 支持虚拟机之间的连接：-netdev 选项创建可以连接到虚拟机的网络设备（后端）。”

“众多网络设备中的每一个都是由其类型定义的，并支持额外的选项。”

换句话说，其想法是创建一个虚拟网络接口和一个套接字类型的网络接口，从而允许虚拟机与任何远程服务器进行通信。

这家俄罗斯网络安全公司表示，它能够使用 QEMU 从企业网络中无法访问互联网的内部主机到具有互联网访问权限的枢轴主机建立网络隧道，该主机连接到攻击者在云上运行的服务器模拟器。

调查结果表明，威胁行为者正在不断多样化其攻击策略，将其恶意流量与实际活动相结合并实现其运营目标。

研究人员表示：“恶意行为者使用合法工具执行各种攻击步骤对于事件响应专业人员来说并不新鲜。”

“这进一步支持了多级保护的概念，其中涵盖可靠的端点保护以及用于检测和防御复杂和有针对性的攻击（包括人为攻击）的专门解决方案。”

思科已发布补丁来解决影响其安全客户端软件的高严重性安全漏洞，威胁行为者可能会利用该漏洞与目标用户打开 VPN 会话。

该网络设备公司将该漏洞描述为 CVE-2024-20337（CVSS 评分：8.2），允许未经身份验证的远程攻击者对用户进行回车换行 ( CRLF ) 注入攻击。

由于对用户提供的输入验证不足，威胁行为者可能会利用该缺陷诱骗用户在建立 VPN 会话时单击特制链接。

该公司在一份公告中表示：“成功的利用可能允许攻击者在浏览器中执行任意脚本代码或访问基于浏览器的敏感信息，包括有效的 SAML 令牌。”

“然后，攻击者可以使用该令牌以受影响用户的权限建立远程访问 VPN 会话。VPN 头端后面的各个主机和服务仍然需要额外的凭据才能成功访问。”

该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，并已在以下版本中得到解决 -

4.10.04065 之前（不易受攻击）
4.10.04065 及更高版本（在 4.10.08025 中修复）
5.0（迁移到固定版本）
5.1（在 5.1.2.42 中修复）

亚马逊安全研究员Paulos Yibelo Mesfin被认为发现并报告了该缺陷，他告诉黑客新闻，当目标访问其控制下的网站时，该缺陷允许攻击者访问本地内部网络。

思科还发布了 CVE-2024-20338（CVSS 评分：7.3）的修复程序，这是 Linux 安全客户端中的另一个高严重性缺陷，可能允许经过身份验证的本地攻击者提升受影响设备上的权限。它已在版本 5.1.2.42 中得到解决。

它说：“攻击者可以通过将恶意库文件复制到文件系统中的特定目录并说服管理员重新启动特定进程来利用此漏洞。 ” “成功的利用可能允许攻击者以 root 权限在受影响的设备上执行任意代码。”

苹果公司发布了安全更新来解决多个安全漏洞，其中包括两个据称已被广泛利用的漏洞。

漏洞如下：
CVE-2024-23225 - 内核中存在内存损坏问题，具有任意内核读写能力的攻击者可利用该问题绕过内核内存保护
CVE-2024-23296 - RTKit 实时操作系统 (RTOS) 中存在内存损坏问题，具有任意内核读写能力的攻击者可利用该问题绕过内核内存保护

目前尚不清楚这些漏洞是如何被发现的。苹果表示，这两个漏洞均已通过 iOS 17.4、iPadOS 17.4、iOS 16.7.6 和 iPadOS 16.7.6 中改进的验证得到解决。

这些更新适用于以下设备
iOS 16.7.6 和 iPadOS 16.7.6 - iPhone 8、iPhone 8 Plus、iPhone X、iPad 第 5 代、iPad Pro 9.7 英寸和 iPad Pro 12.9 英寸第 1 代
iOS 17.4 和 iPadOS 17.4 - iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型、和 iPad mini 第 5 代及更高版本
根据最新进展，自今年年初以来，苹果公司已解决了其软件中总共三个被积极利用的零日漏洞。2024 年 1 月下旬，它修复了 WebKit 中的一个类型混淆缺陷 ( CVE-2024-23222 )，影响 iOS、iPadOS、macOS、tvOS 和 Safari Web 浏览器，可能导致任意代码执行。
这些漏洞涉及影响 Android Pixel 设备的信息泄露缺陷 (CVE-2023-21237) 和 Sunhillo SureLine 中的操作系统命令注入缺陷，可能导致以 root 权限执行代码 (CVE-2021-36380)。

谷歌在 2023 年 6 月发布的一份公告中承认，它发现有迹象表明“CVE-2023-21237 可能受到有限的、有针对性的利用”。至于 CVE-2021-36380，Fortinet去年年底透露，一个名为 IZ1H9 的 Mirai 僵尸网络正在利用该缺陷将易受影响的设备纳入 DDoS 僵尸网络。

sockboom是一家v2ray节点订阅供应商，提供v2ray节点，但是最近v2ray节点失效，官网也打不开。
小编最新消息：sockboom跑路了
推荐最新v2ray节点购买地址：https://tz.v2ray.club/

老牌翻墙机场
SS/SSR/V2ray/Trojan 机场
TomatoCloud 是一家成立时间超过5年的老牌机场，支持 Shadowsocks、ShadowsocksR、Vmess、Trojan 多种翻墙协议，国内有多个接入点，涵盖了电信、联通、移动多线接入，中转和IPLC专线。Tomato Cloud 机场对流媒体和 ChatGPT 都提供不错的支持，也是比较早支持 sing-box 客户端的机场之一。

套餐价格：

Basic：$48/年，128G流量/月。
Plus：$78/年，256G流量/月。
Pro：$120/年，512G流量/月。
Business：$240/年，1024G流量/月。
购买地址：https://tz.v2ray.club/

Shadowsocks 机场
Hysteria 机场
狗狗加速时一家同时支持 Shadowsocks 和 Hysteria 新协议的机场，机场运营团队位于海外，线路有直连和中转隧道，对流媒体和 OpenAI 应用都提供解锁支持。狗狗加速机场注册支持免费试用。
套餐价格：
标准套餐：￥15.8/月，160G流量。
高级套餐：￥20.8/月，200G流量。
豪华套餐：￥39.8/月，500G流量。
购买地址：https://tz.v2ray.club

Web3VPN 又名 Web3 加速器，是一家成立于2021年的翻墙机场，采用 Shadowsocks 协议，有隧道中转和 IPLC 专线节点提供。注册可免费试用1天。网站可直接使用谷歌账号和加密货币钱包进行登录，支持 USDT 加密货币付款方式。
套餐价格：
VIP1：￥14.9/月，15G流量/月。
VIP2：￥25/月，100G流量/月。
购买地址：https://tz.v2ray.club

闪电云是一家成立于2022年的机场节点，提供V2Ray节点，主打高质量稳定的翻墙线路，在Android、iOS、macOS、路由器、Windows都有客户端可以使用，翻墙机场节点包括美国、日本、德国、台湾、英国、香港等11个国家及地区，支持支付宝和微信支付。
成立时间
2022
翻墙协议
V2Ray
最便宜价格
CNY￥ 1.00 每天
付款方式
微信支付, 支付宝
节点特色BGP, Clash, IEPL, IPLC, 不限设备数, 免费试用, 自研客户端
机场购买地址：https://tz.v2ray.club/