【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

admin 2022年9月23日13:54:55安全新闻评论9 views3489字阅读11分37秒阅读模式



【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目


  全球早资讯 

【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

15年前未修补的Python漏洞可能影响超过350,000个项目

 


由于 Python 模块中存在 15 年未打补丁的安全漏洞,据信多达 350,000 个开源项目可能容易受到攻击。

开源存储库跨越多个行业垂直领域,例如软件开发、人工智能/机器学习、Web 开发、媒体、安全、IT 管理。

缺陷是CVE-2007-4559CVSS 评分:6.8),其根源在于 tarfile 模块,成功利用该模块可能会导致从任意文件写入执行代码。

Trellix 安全研究员 Kasimir Schulz一次写上去。

该漏洞最初于 2007 8 月披露,与如何利用特制的 tar 归档文件仅在打开文件时就可以覆盖目标机器上的任意文件有关。

简而言之,威胁行为者可以通过上传恶意 tar 文件来利用该弱点,这种方式可以逃脱要提取文件的目录并实现代码执行,从而使对手有可能夺取目标的控制权设备。

tarfile Python 文档中写道: “切勿在未经事先检查的情况下从不受信任的来源提取档案” 文件可能是在路径之外创建的,例如具有以'/'开头的绝对文件名或带有两个点'..'的文件名的成员。

该漏洞还让人想起 RARlab UnRAR 实用程序 (CVE-2022-30333 ) 中最近披露的一个漏洞,该漏洞可能导致远程代码执行。

Trellix 进一步发布了一个名为Creosote的自定义实用程序来扫描易受 CVE-2007-4559 攻击的项目,并使用它来发现 Spyder Python IDE Polemarch 中的漏洞。

如果不加以控制,这个漏洞已被无意添加到全球数十万个开源和闭源项目中,造成了巨大的软件供应链攻击面,”Douglas McKee指出

黑客针对未打补丁的Atlassian Confluence服务器部署加密矿工

【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

  


几个月前曝光的影响 Atlassian Confluence Server 的现已修补的严重安全漏洞正在被积极利用,用于在未修补的安装上进行非法加密货币挖掘。

如果不加以补救并成功利用,此漏洞可能会被用于多种甚至更多的恶意攻击,例如对基础设施和部署信息窃取程序的完整域接管、远程访问木马 (RAT) 和勒索软件,趋势科技威胁研究人员Sunil Bharti在一份报告中说。

该问题被跟踪为CVE-2022-26134CVSS 评分:9.8),已于 2022 6 月由澳大利亚软件公司解决。

在网络安全公司观察到的一个感染链中,该漏洞被用来在受害者的机器上下载并运行一个 shell 脚本(“ro.sh”),进而获取第二个 shell 脚本(“ap.sh” ”)。

恶意代码旨在更新PATH 变量以包含其他路径,例如“/tmp”,从远程服务器下载 cURL 实用程序(如果不存在),禁用 iptables 防火墙,滥用PwnKit 漏洞(CVE-2021-4034 ) 获得 root 权限,并最终部署 hezb 加密矿工。

与其他加密劫持攻击一样,shell 脚本还会终止其他竞争的硬币矿工,禁用阿里巴巴和腾讯的云服务提供商代理,然后通过 SSH 进行横向移动。

这些发现反映了Lacework微软、SophosAkamai 6 月份披露的类似利用尝试。

Lacework 的分析进一步表明,用于检索 cURL 软件的命令和控制 (C2) 服务器以及 hezb 矿工还分发了一个名为kik ”的基于 Golang ELF 二进制文件,该二进制文件使恶意软件能够杀死感兴趣的进程。

建议用户优先修补该漏洞,因为它可能被威胁行为者用于其他邪恶目的。

攻击者可以利用注入他们自己的代码进行解释并获得对目标 Confluence 域的访问权限,以及进行从控制服务器进行后续恶意活动到破坏基础设施本身的攻击,”Bharti 说。

【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

由于与密码重置相关的安全问题,Twitter注销了一些用户

  


Twitter周三表示,一些用户已退出其活动会话,以应对构成安全风险的错误。
该问题与密码重置有关——当用户重置密码时,他们在 Android iOS 设备上的活动会话并未关闭。已直接通知受影响的用户。
我们了解到一个错误,该错误允许某些 Twitter 帐户在自愿重置密码后在多个移动设备上保持登录状态。这意味着,如果您在一台设备上主动更改了密码,但在另一台设备上仍有打开的会话,则该会话可能尚未关闭,Twitter 解释道。
该公司表示,用户不必采取任何行动——除非在他们退出后重新登录他们的账户——并指出网络会话没有受到影响。它解释说,由于密码重置系统发生变化,该错误是去年引入的。
8 月,这家社交媒体巨头承认其软件中的一个漏洞暴露了匿名帐户所有者的身份——一些用户,例如人权活动家,出于安全原因可能不想透露他们的身份。
确认是在有 540 万用户数据被出售的报告之后发布的。Twitter当时表示,该漏洞已于今年早些时候修复,但很可能在修复之前就被利用了。
在其前安全负责人 Peiter Zatko 揭露一些重大问题后,Twitter 受到了抨击。他说这家社交媒体巨头忽视了重要的用户数据保护问题,指责高管们将利润置于安全之上
该公司最近还因未能保护用户数据隐私而被要求支付 1.5 亿美元的罚款。


澳大利亚电信公司Optus披露影响数据的违规行为

【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

  


澳大利亚电信公司 Optus 披露了一起影响前客户和当前客户个人信息的数据泄露事件。
Optus 成立于 1981 年,是澳大利亚第二大无线服务提供商,拥有近 970 万用户。它目前归新加坡电信所有。
周四,这家无线运营商宣布,未知的攻击者能够破坏其系统,获取姓名、出生日期、电子邮件地址、电话号码、地址和身份证件号码等信息。
Optus 首席执行官 Kelly Bayer Rosmarin 本周早些时候表示,虽然该公司的所有客户都被告知了数据泄露事件,但目前尚不清楚其中有多少人实际上受到了事件的影响。
Optus 声称,攻击中未访问客户支付详细信息和帐户密码,并且该事件中没有任何服务受到影响。
然而,该公司没有详细说明攻击者获得其网络访问权限的方式。
周四,澳大利亚竞争与消费者委员会 (ACCC) 通过其 Scamwatch 网站向 Optus 客户发出网络攻击后的潜在欺诈企图警告,该网站提供有关如何避免诈骗的信息。
“Scamwatch 警告 Optus 客户注意诈骗,并在网络攻击后采取措施保护他们的个人信息。Optus 客户应立即采取措施保护他们的所有账户,特别是他们的银行和金融账户,”ACCC 说。



【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

授权推送付款激增至75%的银行欺诈

 


支付认证专家警告说,当今大多数网上银行欺诈都是客户被骗付款骗子的结果。
所谓的授权推送支付 (APP) 欺诈发生在冒充受信任实体的骗子诱骗受害者将钱转移到他们控制的银行账户时。流行的例子包括加密和浪漫诈骗。
当受害者在技术上发起付款时,许多国家的银行拒绝退还以这种方式造成的损失。
根据Outseer1H 2022新报告,这些诈骗现在占所有基于美元价值的数字银行欺诈的 75%
该公司的产品负责人马克·克莱顿(Mark Crichton)表示,当涉及到此类攻击时,社会工程是欺诈者武器库中的关键武器
我们都看过有关 APP 欺诈的新闻报道,但事实上,这些攻击变得越来越频繁、越来越复杂并占欺诈交易的四分之三,这应该为银行敲响警钟,他补充道。人工智能和机器学习等技术有助于识别不寻常的支付模式并从源头上防止欺诈。
在英国,经过消费者权益组织多年的游说,贷方现在会在客户添加新收款人之前发出欺诈警告通知,如果收款人姓名和银行详细信息不匹配,也会提醒用户。
即便如此,根据UK Finance的数据,2021 年仍有 195,996 APP 诈骗事件,总损失超过 5.83 亿英镑。
品牌冒充是APP欺诈的关键策略。Outseer 声称它占今年上半年检测到的攻击的 65%
报告显示,2022 年上半年针对美国客户的网络钓鱼攻击数量增加了 42%,来自俄罗斯的攻击增加了 25%
总体而言,Outseer 声称在 2022 年的前六个月检测到对客户的 87,000 次攻击,平均每小时攻击约 20 次。


【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

扫描上方二维码关注我们



----------------------------------------------------------------------------

往期回顾:

【Hacker news daily】优步将最近的安全漏洞归咎于 LAPSUS$ 黑客组织

【Hacker news daily】黑客承认破坏洲际酒店集团的数据“为了好玩”

【反诈实录】一通电话,我成了真逃犯!

解读--《网络安全法(征求意见稿)》

原文始发于微信公众号(KK安全说):【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月23日13:54:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目 http://cn-sec.com/archives/1312451.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: