Linux CUPS 打印系统存在严重缺陷,可能允许远程命令执行 网络相关
Linux 系统上的 OpenPrinting 通用 Unix 打印系统 ( CUPS )中披露了一组新的安全漏洞,这些漏洞可能在某些条件下允许远程命令执行。
安全研究员 Simone Margaritelli 表示:“未经身份验证的远程攻击者可以悄悄地用恶意 URL 替换现有打印机的 IPP URL(或安装新的打印机的 IPP URL),从而导致在(从该计算机)启动打印作业时(在该计算机上)执行任意命令。 ”
CUPS 是一种基于标准的开源打印系统,适用于 Linux 和其他类 Unix 操作系统,包括 ArchLinux、Debian、Fedora、Red Hat Enterprise Linux (RHEL)、ChromeOS、FreeBSD、NetBSD、OpenBSD、openSUSE 和 SUSE Linux。
漏洞列表如下:
CVE-2024-47176 - cups-browsed <= 2.0.1 绑定在 UDP INADDR_ANY:631 上,信任来自任何来源的任何数据包,以触发对攻击者控制的 URL 的 Get-Printer-Attributes IPP 请求
CVE-2024-47076 - libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 未验证或清理从 IPP 服务器返回的 IPP 属性,从而向 CUPS 系统的其余部分提供攻击者控制的数据
CVE-2024-47175 - libppd <= 2.1b1 ppdCreatePPDFromIPP2 在将 IPP 属性写入临时 PPD 文件时未验证或清理 IPP 属性,从而允许在生成的 PPD 中注入攻击者控制的数据
CVE-2024-47177 - cups-filters <= 2.0.1 foomatic-rip 允许通过 FoomaticRIPCommandLine PPD 参数执行任意命令
这些缺陷的最终后果是,它们可能被设计成一个漏洞链,允许攻击者在运行 CUPS 的网络暴露 Linux 系统上创建恶意的、伪造的打印设备,并在发送打印作业时触发远程代码执行。
网络安全公司 Ontinue表示:“该问题是由于‘cups-browsed’组件对‘有新打印机可用’公告处理不当,加上‘cups’对恶意打印资源提供的信息的验证不力造成的。”
“该漏洞源于对网络数据验证不足,允许攻击者让易受攻击的系统安装恶意打印机驱动程序,然后向该驱动程序发送打印作业,从而触发恶意代码的执行。恶意代码以 lp 用户的权限执行,而不是超级用户‘root’。”
RHEL 在一份公告中表示,操作系统的所有版本都受到这四个漏洞的影响,但指出它们在默认配置下不易受攻击。鉴于实际影响可能较小,它将这些问题的严重程度标记为“重要”。
报告称:“通过将这组漏洞组合在一起,攻击者可以实现远程代码执行,从而导致敏感数据被盗和/或关键生产系统受损。”
网络安全公司 Rapid7指出,只有当 UDP 端口 631 可访问且易受攻击的服务正在监听时,受影响的系统才可以被利用,无论是从公共互联网还是跨网段。
Palo Alto Networks透露,其所有产品和云服务均不包含上述 CUPS 相关的软件包,因此不受这些漏洞的影响。
针对这些漏洞的补丁目前正在开发中,预计将在未来几天发布。在此之前,建议在没有必要的情况下禁用和删除 cups-browsed 服务,并阻止或限制对 UDP 端口 631 的流量。
WatchTowr 首席执行官本杰明·哈里斯 (Benjamin Harris) 在与 The Hacker News 分享的声明中表示:“被誉为 Linux 系统末日的、被禁止的 Linux 未授权 RCE 漏洞似乎只会影响一部分系统。”
“鉴于此,虽然这些漏洞在技术影响方面很严重,但运行 CUPS 的台式机/工作站以与典型的 Linux 服务器版本相同的方式或数量暴露在互联网上的可能性要小得多。”
Tenable 高级研究工程师 Satnam Narang 表示,这些漏洞还没有达到 Log4Shell 或 Heartbleed 的级别。
“现实情况是,各种软件,无论是开源软件还是闭源软件,都有无数的漏洞尚未被发现和披露,”纳朗说。“安全研究对这一过程至关重要,我们可以也应该要求软件供应商做得更好。”
“对于正在研究这些最新漏洞的组织来说,必须强调的是,最具影响力和最令人担忧的漏洞是已知漏洞,这些漏洞继续被与民族国家有联系的高级持续性威胁团体以及勒索软件分支机构所利用,这些勒索软件分支机构每年从企业窃取数百万美元。”
谷歌转向 Rust 编程,Android 内存漏洞减少 52% 网络相关
谷歌透露,作为其安全设计方法的一部分,其向 Rust 等内存安全语言的过渡已导致 Android 中发现的内存安全漏洞百分比在六年内从 76% 下降到 24%。
该科技巨头表示,专注于新功能的安全编码不仅可以降低代码库的整体安全风险,而且还使转换更具“可扩展性和成本效益”。
谷歌的 Jeff Vander Stoep 和 Alex Rebert 在与 The Hacker News 分享的一篇文章中表示,最终,这会导致内存安全漏洞数量下降,因为新的内存不安全开发在一定时间后会放缓,而新的内存安全开发则会占据主导地位。
或许更有趣的是,尽管新的内存不安全代码的数量增加,但内存安全漏洞的数量也会下降。
这种悖论可以通过漏洞呈指数衰减的事实来解释,研究发现,大量漏洞通常存在于新的或最近修改的代码中。
“问题主要在于新代码,因此我们必须从根本上改变代码开发方式,”范德斯托普和雷伯特指出。“随着时间的推移,代码会逐渐成熟,变得更加安全,因此,随着代码变旧,重写等投资的回报也会逐渐减少。”
谷歌早在 2021 年 4 月就正式宣布了在 Android 中支持 Rust 编程语言的计划,并表示它从 2019 年左右开始优先将新开发过渡到内存安全语言。
因此,操作系统中发现的内存安全漏洞数量从2019 年的 223 个下降到 2024 年的不到 50 个。
不言而喻的是,此类缺陷的减少很大程度上归功于对抗这些缺陷的方法的进步,从被动修补到主动缓解,再到使用Clang sanitizers等工具主动发现漏洞。
该科技巨头进一步指出,内存安全策略应该进一步发展,通过纳入安全设计原则,将安全性融入基础,优先考虑“高保证预防”。
“安全编码让我们能够对代码的属性以及基于这些属性可能发生或不可能发生的情况做出强有力的断言,而不是专注于所应用的干预措施(缓解、模糊测试)或试图使用过去的表现来预测未来的安全性。”Vander Stoep 和 Rebert 说。
不仅如此。谷歌表示,它还专注于提供 Rust、C++ 和 Kotlin 之间的互操作性,而不是代码重写,作为一种“实用且渐进的方法”,以拥抱内存安全语言并最终消除整个漏洞类别。
报告称:“在新代码中采用安全编码提供了一种范式转变,使我们能够利用漏洞固有的衰减来发挥我们的优势,即使在现有的大型系统中也是如此。”
“这个概念很简单:一旦我们关闭了新的漏洞,它们就会成倍减少,使我们的所有代码更安全,提高安全设计的有效性,并减轻与现有内存安全策略相关的可扩展性挑战,以便可以更有效地有针对性地应用它们。”
目前,谷歌宣称正在加强与 Arm 产品安全和图形处理单元 (GPU) 工程团队的合作,以标记多个缺陷并提高整个 Android 生态系统中 GPU 软件/固件堆栈的整体安全性。
其中包括在 Pixel 自定义驱动程序代码中发现两个内存问题(CVE-2023-48409 和 CVE-2023-48421),以及在 Arm Valhall GPU 固件和第五代 GPU 架构固件中发现另一个内存问题(CVE-2024-0153)。
谷歌和 Arm表示:“主动测试是一种良好的卫生习惯,因为它可以在新漏洞被利用之前检测并解决它们。”
Microchip ASF 中的严重缺陷使物联网设备面临远程代码执行风险 网络相关
Microchip 高级软件框架 (ASF) 中披露了一个严重的安全漏洞,如果成功利用,可能会导致远程代码执行。
该漏洞的编号为CVE-2024-7490,CVSS 评分为 9.5(满分 10.0)。该漏洞被描述为 ASF 实现 tinydhcp 服务器时出现的基于堆栈的溢出漏洞,源于缺乏足够的输入验证。
计算机应急响应小组 (CERT) 协调中心 (CERT/CC)在一份公告中表示:“ASF 代码库的所有公开示例中都存在一个漏洞,该漏洞允许特制的 DHCP 请求导致堆栈溢出,从而导致远程代码执行。”
鉴于该软件不再受支持且植根于以物联网为中心的代码,CERT/CC 警告称,该漏洞“很可能在野外许多地方出现”。
该问题影响 ASF 3.52.0.2574 及该软件的所有先前版本,该机构还指出,tinydhcp 软件的多个分支也可能容易受到该漏洞的影响。
目前尚无修复或缓解措施来解决 CVE-2024-7490,除非将 tinydhcp 服务替换为另一个不存在相同问题的服务。
与此同时,SonicWall Capture Labs 详细介绍了影响联发科 Wi-Fi 芯片组的严重零点击漏洞 ( CVE-2024-20017,CVSS 9.8),由于越界写入问题,该漏洞可能无需任何用户交互即可导致远程代码执行。
该公司表示: “受影响的版本包括联发科 SDK 7.4.0.1 及更早版本,以及 OpenWrt 19.07 和 21.02。” “这意味着各种各样的设备都存在漏洞,包括路由器和智能手机。”
“该漏洞是一种缓冲区溢出,它是由于攻击者直接从受控的数据包数据中获取长度值而没有进行边界检查,并将其放入内存副本中造成的。这种缓冲区溢出会导致越界写入。”
联发科于 2024 年 3 月发布了针对该漏洞的补丁,但随着截至 2024 年 8 月 30 日概念验证 (PoC) 漏洞公开发布,利用该漏洞的可能性有所增加。
Ivanti 云设备严重漏洞遭主动网络攻击利用 网络相关
Ivanti 透露,影响云服务设备 (CSA) 的一个严重安全漏洞正在遭到广泛利用。
这个新漏洞的 CVE 标识符为 CVE-2024-8963,CVSS 评分为 9.4(满分 10.0)。该公司在 CSA 4.6 Patch 519 和 CSA 5.0 中“顺便解决了”这个问题。
该公司在周四的公告中表示: “Ivanti CSA 4.6 Patch 519 之前的版本中的路径遍历允许未经身份验证的远程攻击者访问受限功能。”
它还指出,该漏洞可能与CVE-2024-8190 (CVSS 评分:7.2)有关,允许攻击者绕过管理员身份验证并在设备上执行任意命令。
Ivanti 进一步警告称,该公司“知道有有限数量的客户被此漏洞利用”,几天前该公司披露了针对 CVE-2024-8190 的主动利用尝试。
这表明该活动背后的威胁行为者正在结合这两个缺陷来实现在易受攻击的设备上执行代码。
这一进展促使美国网络安全和基础设施安全局 (CISA) 将该漏洞添加到其已知被利用漏洞 ( KEV ) 目录中,要求联邦机构在 2024 年 10 月 10 日之前应用修复程序。
强烈建议用户尽快升级到 CSA 版本 5.0,因为版本 4.6 已经停止使用且不再受支持。
针对允许远程代码执行的严重 VMware vCenter 漏洞发布补丁 网络相关
博通周二发布了更新,以解决影响 VMware vCenter Server 的严重安全漏洞,该漏洞可能为远程代码执行铺平道路。
该漏洞的编号为 CVE-2024-38812(CVSS 评分:9.8),被描述为DCE/RPC 协议中的堆溢出漏洞。
该虚拟化服务提供商在公告中表示: “具有 vCenter Server 网络访问权限的恶意行为者可能会通过发送特制的网络数据包来触发此漏洞,从而可能导致远程代码执行。”
该缺陷与 VMware 于 2024 年 6 月在 vCenter Server 中解决的另外两个远程代码执行缺陷CVE-2024-37079 和 CVE-2024-37080(CVSS 评分:9.8)类似。
VMware 还解决了 vCenter Server 中的一个权限提升漏洞 (CVE-2024-38813,CVSS 评分:7.5),该漏洞可能使具有实例网络访问权限的恶意行为者通过发送特制的网络数据包将权限提升到 root 权限。
TZL 团队的安全研究人员 zbl 和 srs 在 2024 年 6 月在中国举行的Matrix Cup网络安全竞赛期间发现并报告了这两个漏洞。它们已在以下版本中得到修复 -
vCenter Server 8.0(已在 8.0 U3b 中修复)
vCenter Server 7.0(已在 7.0 U3 中修复)
VMware Cloud Foundation 5.x(在 8.0 U3b 中作为异步补丁修复)
VMware Cloud Foundation 4.x(在 7.0 U3 中作为异步补丁修复)
博通表示,尚未发现这两个漏洞被恶意利用,但已敦促客户将其安装更新至最新版本,以防范潜在威胁。
该公司表示:“这些漏洞是内存管理和损坏问题,可用于攻击 VMware vCenter 服务,可能允许远程代码执行。”
与此同时,美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 发布联合咨询报告,敦促各机构努力消除威胁行为者可能利用来破坏系统的跨站点脚本 (XSS) 漏洞。
政府机构表示: “当制造商未能正确验证、清理或转义输入时,就会出现跨站点脚本漏洞。” “这些故障允许威胁行为者将恶意脚本注入 Web 应用程序,利用它们在不同环境中操纵、窃取或滥用数据。”
新的 RAMBO 攻击利用 RAM 无线电信号窃取隔离网络的数据 网络相关
人们发现一种新型的侧信道攻击利用设备随机存取存储器 (RAM) 发出的无线电信号作为数据泄露机制,对隔离网络构成威胁。
该技术的代号为“RAMBO ”(“辐射间隙内存总线进攻”的缩写),由以色列内盖夫本·古里安大学软件与信息系统工程系进攻性网络研究实验室负责人 Mordechai Guri 博士命名。
Guri 博士在一篇新发表的研究论文中表示: “利用软件生成的无线电信号,恶意软件可以对文件、图像、键盘记录、生物特征信息和加密密钥等敏感信息进行编码。”
“利用软件定义无线电 (SDR) 硬件和简单的现成天线,攻击者可以从远处拦截传输的原始无线电信号。然后可以解码信号并将其转换回二进制信息。”
多年来,Guri 博士利用串行 ATA 电缆(SATAn)、MEMS 陀螺仪(GAIROSCOPE)、网络接口卡上的 LED(ETHERLED)和动态功耗(COVID-bit),设计了各种机制从离线网络中提取机密数据。
研究人员设计的其他一些非常规方法包括通过图形处理单元 (GPU) 风扇 ( GPU-FAN ) 产生的隐蔽声学信号、内置主板蜂鸣器 ( EL-GRILLO ) 产生的 (超) 声波,甚至打印机显示面板和状态 LED ( PrinterLeak ),从隔离网络泄露数据。
去年,Guri 博士还演示了AirKeyLogger,这是一种无硬件射频键盘记录攻击,它利用计算机电源的无线电发射向远程攻击者泄露实时按键数据。
古里博士在研究中指出:“为了泄露机密数据,处理器的工作频率被操纵,从而产生由按键调制的电源单元电磁辐射模式。按键信息可以通过射频接收器或带有简单天线的智能手机在几米外接收。”
与此类攻击一样,它需要首先通过其他方式(例如内部恶意人员、中毒的 USB 驱动器或供应链攻击)破坏 隔离网络,从而允许恶意软件触发隐蔽的数据泄露通道。
RAMBO 也不例外,该恶意软件用于操纵 RAM,使其能够生成时钟频率的无线电信号,然后使用曼彻斯特编码对其进行编码并传输,以便从远处接收。
编码数据可能包括按键、文档和生物特征信息。然后,另一端的攻击者可以利用 SDR 接收电磁信号,解调和解码数据,并检索窃取的信息。
Guri 博士说:“该恶意软件利用 RAM 的电磁辐射来调制信息并将其向外传输。远程攻击者使用无线电接收器和天线可以接收信息,对其进行解调,并将其解码为原始的二进制或文本表示。”
研究发现,该技术可用于以每秒 1,000 位的速度泄露运行 Intel i7 3.6GHz CPU 和 16 GB RAM 的隔离计算机的数据,并以每个按键 16 位的速度实时泄露按键信息。
Guri 博士表示:“低速时,4096 位 RSA 加密密钥可在 41.96 秒内被窃取,高速时则为 4.096 位。生物特征信息、小文件 (.jpg) 和小文档 (.txt 和 .docx) 在低速时需要 400 秒,在高速时则只需几秒钟。”
“这表明,RAMBO 隐蔽通道可用于在短时间内泄露相对简短的信息。”
阻止攻击的对策包括对信息传输实施“红黑”区域限制、使用入侵检测系统 (IDS)、监控虚拟机管理程序级内存访问、使用无线电干扰器阻止无线通信以及使用法拉第笼。
WordPress 的 LiteSpeed Cache 插件中发现严重安全漏洞 网络相关
网络安全研究人员发现 WordPress 的 LiteSpeed Cache 插件中又一个严重的安全漏洞,该漏洞可能允许未经身份验证的用户控制任意帐户。
该漏洞编号为 CVE-2024-44000(CVSS 评分:7.5),影响 6.4.1 之前的版本(包括 6.4.1 版本)。该漏洞已在 6.5.0.1 版本中得到解决。
Patchstack 研究员 Rafie Muhammad 表示:“该插件存在未经身份验证的帐户接管漏洞,任何未经身份验证的访问者都可以获得任何已登录用户的身份验证访问权限,最坏的情况下可以获得管理员级别角色的访问权限,之后可以上传和安装恶意插件。 ”
此次发现是在对该插件进行广泛的安全分析之后得出的,此前该分析已发现一个严重的权限提升漏洞(CVE-2024-28000,CVSS 评分:9.8)。LiteSpeed Cache 是 WordPress 生态系统中流行的缓存插件,拥有超过 500 万个活跃安装。
新的漏洞源于名为“/wp-content/debug.log”的调试日志文件被公开暴露,这使得未经身份验证的攻击者可以查看文件中包含的潜在敏感信息。
这还可能包括 HTTP 响应标头中的用户 cookie 信息,从而有效地允许用户使用任何有效的会话登录到存在漏洞的站点。
该漏洞的严重程度较低,因为前提条件是必须在 WordPress 网站上启用调试功能才能成功。或者,它也可能会影响过去某个时间点激活了调试日志功能但未能删除调试文件的网站。
需要注意的是,此功能默认是禁用的。补丁通过将日志文件移动到 LiteSpeed 插件文件夹内的专用文件夹(“/wp-content/litespeed/debug/”)、随机化文件名以及删除在文件中记录 cookie 的选项来解决该问题。
建议用户检查其安装中是否存在“/wp-content/debug.log”,如果调试功能已启用(或曾经启用),则采取措施清除它们。
还建议设置 .htaccess 规则来拒绝直接访问日志文件,因为如果恶意行为者通过反复试验的方法知道新的文件名,他们仍然可以直接访问新的日志文件。
穆罕默德说:“此漏洞凸显了确保执行调试日志过程的安全性、不应记录哪些数据以及如何管理调试日志文件的重要性。”
未修补的 AVTECH IP 摄像头漏洞遭黑客利用,发起僵尸网络攻击 网络相关
影响 AVTECH IP 摄像机的一个多年前的高严重性漏洞已被恶意行为者用作零日漏洞,以将其引入僵尸网络。
Akamai 研究人员 Kyle Lefton、Larry Cashdollar 和 Aline Eliovich 表示,有问题的漏洞 CVE-2024-7029(CVSS 评分:8.7)是“在 AVTECH 闭路电视 (CCTV) 摄像机的亮度功能中发现的命令注入漏洞,允许远程代码执行 (RCE)。”
美国网络安全和基础设施安全局 (CISA) 本月早些时候首次公开了该安全漏洞的详细信息,强调其攻击复杂性低且可远程利用。
该机构在 2024 年 8 月 1 日发布的警报中指出: “成功利用此漏洞可能允许攻击者以正在运行的进程所有者的身份注入和执行命令。”
值得注意的是,该问题仍未得到修复。它影响使用 FullImg-1023-1007-1011-1009 及更高版本固件的 AVM1203 摄像头设备。根据 CISA 的说法,这些设备虽然已停产,但仍在商业设施、金融服务、医疗保健和公共卫生、交通系统领域使用。
Akamai 表示,攻击活动自 2024 年 3 月开始,尽管该漏洞早在 2019 年 2 月就有一个公开的概念验证 (PoC) 利用。然而,直到本月才发布 CVE 标识符。
“运营这些僵尸网络的恶意行为者一直在利用新的或未被发现的漏洞来传播恶意软件,”这家网络基础设施公司表示。“许多漏洞都有公开的漏洞利用或可用的 PoC,但缺乏正式的 CVE 分配,在某些情况下,设备仍未打补丁。”
Lefton 告诉 The Hacker News,目前尚无关于这些攻击范围的数据,尽管估计有 27,000 台 AVTech 设备暴露在互联网上。不过,该公司表示,它拥有明确的归因信息,打算在未来披露。
攻击链相当简单,它们利用 AVTECH IP 摄像头漏洞以及其他已知漏洞(CVE-2014-8361和CVE-2017-17215 )在目标系统上传播Mirai 僵尸网络变体。
研究人员表示:“在这种情况下,僵尸网络很可能使用的是 Corona Mirai 变种,早在 2020 年,其他供应商就曾提到过该变种与 COVID-19 病毒有关。”“执行后,恶意软件会通过端口 23、2323 和 37215 上的 Telnet 连接到大量主机。它还会将字符串‘Corona’打印到受感染主机的控制台上。”
几周前,网络安全公司 Sekoia 和 Team Cymru 详细介绍了一个名为 7777(或 Quad7)的“神秘”僵尸网络,该网络利用受感染的 TP-Link 和 ASUS 路由器对 Microsoft 365 帐户发起密码喷洒攻击。截至 2024 年 8 月 5 日,已发现多达 12,783 个活跃机器人。
Sekoia 的研究人员表示:“该僵尸网络在开源中以在受感染的设备上部署 SOCKS5 代理来对全球许多实体的 Microsoft 365 帐户进行极其缓慢的‘暴力’攻击而闻名”,并指出大多数受感染的路由器位于保加利亚、俄罗斯、美国和乌克兰。
虽然该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名,但 Team Cymru 的后续调查显示,该网络可能扩展,包括第二组僵尸网络,主要由华硕路由器组成,其特点是开放端口 63256。
“Quad7 僵尸网络继续构成重大威胁,即使其潜力目前未知或尚未发挥,也表现出韧性和适应性,”Team Cymru表示。“7777 和 63256 僵尸网络之间的联系,在保持看似独特的运营孤岛的同时,进一步凸显了 Quad7 背后威胁运营商不断演变的策略。”
俄罗斯黑客利用 Safari 和 Chrome 漏洞发动高调网络攻击 v2ray节点购买地址
网络安全研究人员发现了多起在野攻击活动,这些活动利用 Apple Safari 和 Google Chrome 浏览器中现已修补的漏洞,用窃取信息的恶意软件感染移动用户。
谷歌威胁分析小组 (TAG) 研究员 Clement Lecigne在与 The Hacker News 分享的一份报告中表示: “这些活动传播了已有补丁的 n 日漏洞,但对于未打补丁的设备仍然有效。”
该活动发生在 2023 年 11 月至 2024 年 7 月之间,值得注意的是,该活动通过对蒙古政府网站 cabinet.gov[.]mn 和 mfa.gov[.]mn 进行水坑攻击来传播漏洞。
有一定把握地认为,该入侵行为是俄罗斯政府支持的代号为APT29(又名午夜暴雪)的威胁行为者所为,并且攻击活动中使用的漏洞与之前与商业监控供应商 (CSV) Intellexa 和 NSO Group 有关的漏洞有相似之处,表明漏洞被重复使用。
此次攻击活动中存在的漏洞如下:
CVE-2023-41993 - WebKit 漏洞,在处理特制的 Web 内容时可能导致任意代码执行(Apple 于 2023 年 9 月在 iOS 16.7 和 Safari 16.6.1 中修复)
CVE-2024-4671 - Chrome Visuals 组件中存在释放后使用漏洞,可能导致任意代码执行(Google 于 2024 年 5 月在适用于 Windows 和 macOS 的 Chrome 版本 124.0.6367.201/.202 以及适用于 Linux 的版本 124.0.6367.201 中修复)
CVE-2024-5274 - V8 JavaScript 和 WebAssembly 引擎中的类型混淆缺陷,可能导致任意代码执行(Google 于 2024 年 5 月在适用于 Windows 和 macOS 的 Chrome 版本 125.0.6422.112/.113 以及适用于 Linux 的版本 125.0.6422.112 中修复)
据称,2023 年 11 月和 2024 年 2 月的活动涉及对两个蒙古政府网站的攻击——第一个网站和第二个网站唯一的 mfa.gov[.]mn——通过指向行为者控制的域的恶意 iframe 组件来提供 CVE-2023-41993 漏洞利用。
谷歌表示:“当使用 iPhone 或 iPad 设备访问时,水坑攻击网站会使用 iframe 来提供侦察负载,该负载会执行验证检查,最终下载并部署另一个带有 WebKit 漏洞的负载,以从设备中窃取浏览器 cookie。”
该有效载荷是一个 cookie 窃取框架,Google TAG 此前详细介绍了该框架,该框架与2021 年利用iOS 零日漏洞 (CVE-2021-1879) 有关,用于从包括谷歌、微软、领英、Facebook、雅虎、GitHub 和 Apple iCloud 在内的几个热门网站收集身份验证 cookie,并通过 WebSocket 将它们发送到攻击者控制的 IP 地址。
谷歌当时指出:“受害者需要通过 Safari 在这些网站上开启会话才能成功窃取 cookie”,并补充道,“攻击者使用 LinkedIn 消息向西欧国家的政府官员发送恶意链接。”
事实上,Cookie 窃取模块还单独列出了网站“webmail.mfa.gov[.]mn”,这表明蒙古政府雇员可能是此次 iOS 攻击活动的目标。
2024 年 7 月,mfa.gov[.]mn 网站第三次遭到感染,注入了 JavScript 代码,该代码将使用 Chrome 的 Android 用户重定向到恶意链接,该链接结合了漏洞 CVE-2024-5274 和 CVE-2024-4671 的漏洞链,部署了浏览器信息窃取负载。
具体来说,攻击序列使用 CVE-2024-5274 来破坏渲染器,并使用 CVE-2024-4671 来实现沙盒逃逸漏洞,最终使得突破 Chrome站点隔离保护并传播可窃取 cookie、密码、信用卡数据、浏览器历史记录和信任令牌的窃取恶意软件成为可能。
Google TAG 指出:“此活动提供了一个简单的二进制文件,删除所有 Chrome 崩溃报告,并将以下 Chrome 数据库泄露回 track-adv[.]com 服务器 - 类似于早期 iOS 活动中看到的基本最终有效载荷。”
该科技巨头进一步表示,2023 年 11 月的水坑攻击和2023 年 9 月 Intellexa使用的漏洞共享相同的触发代码,2024 年 7 月的水坑攻击和 2024 年 5 月 NSO Group 使用的 CVE-2024-5274 触发器中也观察到了这种模式。
更重要的是,据称 CVE-2024-4671 的漏洞与之前的 Chrome 沙盒逃逸漏洞有相似之处,Intellexa 被发现在野外利用该漏洞与另一个 Chrome 漏洞CVE-2021-37973有关,而谷歌已于 2021 年 9 月解决了该漏洞。
虽然目前尚不清楚攻击者是如何获得这三个漏洞的漏洞利用程序的,但调查结果充分表明,民族国家行为者正在使用最初由 CSV 用作零日漏洞的 n 日漏洞利用程序。
然而,这也提出了一种可能性,即这些漏洞利用程序可能是从漏洞经纪人那里获得的,该经纪人之前将这些漏洞利用程序作为零日漏洞卖给了间谍软件供应商。在苹果和谷歌加强防御措施之际,这些漏洞利用程序的稳定供应使形势得以持续发展。
研究人员表示:“此外,水坑攻击仍是一种威胁,攻击者可以利用复杂的漏洞攻击那些经常访问网站的用户,包括使用移动设备的用户。水坑攻击仍然是大规模 n-day 攻击的有效途径,攻击者可以利用那些可能仍在使用未打补丁的浏览器的人群。”
研究人员在 MLOps 平台中发现 20 多个供应链漏洞 网络相关
网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞,并警告机器学习 (ML) 软件供应链中存在安全风险。
这些漏洞被描述为固有和基于实现的缺陷,可能会造成严重后果,从任意代码执行到加载恶意数据集。
MLOps 平台提供设计和执行 ML 模型管道的功能,其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中,或允许其他客户端使用 API(又称模型即服务)查询它们。
JFrog 研究人员在一份详细报告中表示: “固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。”
一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码,利用模型在加载时支持自动代码执行的事实(例如,Pickle 模型文件)。
这种行为还扩展到某些数据集格式和库,允许自动执行代码,从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。
另一个固有漏洞实例涉及 JupyterLab(以前称为 Jupyter Notebook),这是一个基于 Web 的交互式计算环境,使用户能够执行代码块(或单元)并查看相应的结果。
研究人员指出:“许多人不知道的一个固有问题是,在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript],而浏览器会很乐意呈现这些内容。”
这里的问题是,JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护,并且父 Web 应用程序可以自动运行任意 Python 代码。
换句话说,攻击者可以输出恶意的 JavaScript 代码,以便在当前的 JupyterLab 笔记本中添加新单元,将 Python 代码注入其中,然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。
为此,JFrog 表示,它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ,CVSS 评分:7.5),该漏洞源于运行不受信任的配方时缺乏足够的清理,从而导致 JupyterLab 中的客户端代码执行。
研究人员表示:“这项研究的主要结论之一是,我们需要将 ML 库中的所有 XSS 漏洞视为潜在的任意代码执行,因为数据科学家可能会将这些 ML 库与 Jupyter Notebook 一起使用。”
第二组缺陷与实施弱点有关,例如 MLOps 平台缺乏身份验证,这可能允许具有网络访问权限的威胁行为者通过滥用 ML Pipeline 功能来获得代码执行能力。
这些威胁并不是理论上的,出于经济动机的攻击者会滥用此类漏洞来部署加密货币矿工,正如未修补的 Anyscale Ray( CVE-2023-48022 ,CVSS 评分:9.8)的情况一样。
第二种类型的实施漏洞是针对 Seldon Core 的容器逃逸,它使攻击者能够超越代码执行,在云环境中横向移动,并通过将恶意模型上传到推理服务器来访问其他用户的模型和数据集。
这些漏洞串联起来的最终结果是,它们不仅可以被用作武器来渗透和传播到组织内部,而且还能危害服务器。
研究人员表示:“如果你正在部署一个允许模型服务的平台,那么你现在应该知道,任何可以提供新模型的人实际上也可以在该服务器上运行任意代码。”“确保运行模型的环境完全隔离,并针对容器逃逸进行强化。”
此次披露之际,Palo Alto Networks Unit 42详细介绍了开源 LangChain 生成 AI 框架中两个现已修补的漏洞 (CVE-2023-46229 和 CVE-2023-44467),这两个漏洞可能分别允许攻击者执行任意代码和访问敏感数据。
上个月,Trail of Bits 还披露了检索增强生成 (RAG) 开源聊天机器人应用程序 Ask Astro 中的四个问题,这些问题可能导致聊天机器人输出中毒、文档提取不准确以及潜在的拒绝服务 (DoS)。
正如人工智能应用程序中暴露出的安全问题一样,人们也设计出一些技术来毒害训练数据集,最终目的是诱骗大型语言模型 (LLM) 生成易受攻击的代码。
康涅狄格大学的一组学者表示:“与最近将恶意负载嵌入代码可检测或不相关部分(例如注释)的攻击不同,CodeBreaker 利用 LLM(例如 GPT-4)进行复杂的负载转换(不影响功能),确保用于微调的毒化数据和生成的代码都可以逃避强大的漏洞检测。 ”