第511期 

你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访，在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢迎底部提出建议哦！

1、思科交换机存在严重漏洞可能允许远程攻击

近日，思科发布更新以解决其 Small Business 系列交换机中的一组九个安全漏洞，未经身份验证的远程攻击者可能会利用这些漏洞运行任意代码或导致拒绝服务 (DoS) 情况。

九个漏洞中的四个在 CVSS 评分系统中被评为 9.8 分（满分 10 分），这使得它们在本质上非常严重。九个缺陷影响以下产品线 -

• 250 系列智能开关（已在固件版本 2.5.9.16 中修复）

• 350 系列管理型交换机（已在固件版本 2.5.9.16 中修复）

• 350X 系列可堆叠管理型交换机（已在固件版本 2.5.9.16 中修复）

• 550X 系列可堆叠管理型交换机（已在固件版本 2.5.9.16 中修复）

• Business 250 系列智能交换机（已在固件版本 3.3.0.16 中修复）

• Business 350 系列管理型交换机（已在固件版本 3.3.0.16 中修复）

• 小型企业 200 系列智能交换机（不会打补丁）

• 小型企业 300 系列管理型交换机（不会打补丁）

• Small Business 500 系列可堆叠管理型交换机（不会打补丁）

每个缺陷的简要说明如下 -

• CVE-2023-20159（CVSS 评分：9.8）：Cisco Small Business 系列交换机堆栈缓冲区溢出漏洞

• CVE-2023-20160（CVSS 评分：9.8）：思科小型企业系列交换机未经身份验证的 BSS 缓冲区溢出漏洞

• CVE-2023-20161（CVSS 评分：9.8）：Cisco Small Business 系列交换机未经身份验证的堆栈缓冲区溢出漏洞

• CVE-2023-20189（CVSS 评分：9.8）：Cisco Small Business 系列交换机未经身份验证的堆栈缓冲区溢出漏洞

• CVE-2023-20024（CVSS 评分：8.6）：Cisco Small Business 系列交换机未经身份验证的堆缓冲区溢出漏洞

• CVE-2023-20156（CVSS 评分：8.6）：Cisco Small Business 系列交换机未经身份验证的堆缓冲区溢出漏洞

• CVE-2023-20157（CVSS 评分：8.6）：Cisco Small Business 系列交换机未经身份验证的堆缓冲区溢出漏洞

• CVE-2023-20158（CVSS 评分：8.6）：Cisco Small Business 系列交换机未经身份验证的拒绝服务漏洞

• CVE-2023-20162（CVSS 评分：7.5）：Cisco Small Business 系列交换机未经身份验证的配置读取漏洞

成功利用上述漏洞可能允许未经身份验证的远程攻击者通过基于 Web 的用户界面发送特制请求，从而在受影响的设备上以 root 权限执行任意代码。

或者，它们也可能被滥用以触发 DoS 条件或通过恶意请求读取易受攻击系统上的未经授权的信息。

2、乌克兰、爱尔兰、日本、冰岛加入北约合作网络防御卓越中心

北约合作网络防御卓越中心（CCDCOE）是一个跨国组织，旨在增强网络防御能力，促进北约成员国和伙伴国家之间的合作。

该组织位于爱沙尼亚塔林，在网络防御领域开展研究、培训和演习，并提供共享专业知识和最佳实践的平台。其使命是通过协作努力和创新解决方案的开发来改进网络防御政策、战略和运营。

在成立15周年之际，北约合作网络防御卓越中心 (CCDCOE) 在其位于塔林的总部升起了冰岛、爱尔兰、日本和乌克兰的旗帜，欢迎四个新成员国加入 CCDCOE 网络防御大家庭。

3、CVE-2023-2478：GitLab代码执行漏洞通告

报告编号：CERT-R-2023-144

报告来源：360CERT

报告作者：360CERT

更新日期：2023-05-08

1

 漏洞简述

2023年05月08日，360CERT监测发现GitLab发布了CE/EE的风险通告，漏洞编号为CVE-2023-2478，漏洞等级：严重，漏洞评分：9.6。

GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，可通过 Web 界面访问公开或私人项目。

对此，360CERT建议广大用户及时请做好资产自查以及预防工作，以免遭受黑客攻击。

2

 风险等级

360CERT对该漏洞的评定结果如下

评定方式

等级

威胁等级	严重
影响面	广泛
攻击者价值	高
利用难度	低
360CERT评分	9.6

3

 漏洞详情

CVE-2023-2478 远程代码执行漏洞

组件: GitLab:CE/EE

漏洞类型: 程序逻辑错误

实际影响: 远程代码执行

主要影响: 敏感数据窃取

简述: 该漏洞存在于GitLab中，是一个代码执行漏洞。在某些情况下，经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到实例上的任何项目，可能造成代码执行或敏感信息泄露的影响。

4

 影响版本

CVE-2023-2478

组件

影响版本

安全版本

GitLab:CE/EE	15.4 - 15.9.7	>= 15.9.7
GitLab:CE/EE	15.10 - 15.10.6	15.10.X >= 15.10.6
GitLab:CE/EE	15.11 - 15.11.2	15.11.X >= 15.11.2

5

 修复建议

通用修补建议

根据影响版本中的信息，排查并升级到安全版本，或直接访问参考链接获取官方更新指南。

6

 产品侧解决方案

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

4、新的 ZIP 域名引发了网络安全专家之间的争论

网络安全研究人员和 IT 管理员对谷歌新的 ZIP 和 MOV 互联网域提出了担忧，警告称威胁行为者可能会利用它们进行网络钓鱼攻击和恶意软件传播。

本月早些时候， 谷歌推出了 八个新的顶级域 (TLD)，可以购买这些域来托管网站、电子邮件。

虽然 ZIP 和 MOV  TLD 自 2014 年以来一直可用，但直到本月它们才普遍可用，允许任何人为网站购买域，如 bleepingcomputer.zip。

但是，这些域可能被认为具有风险，因为 TLD 也是论坛帖子、消息和在线讨论中通常共享的文件的扩展名，现在某些在线平台或应用程序会自动将其转换为 URL。

在线看到的两种常见文件类型是 ZIP 存档和 MPEG 4 视频，其文件名以 .zip（ZIP 存档）或 .mov（视频文件）结尾。因此，人们发布包含扩展名为 .zip 和 .mov 文件名的链接是很常见的。

但是，既然它们是 TLD，一些消息传递平台和社交媒体网站会自动将扩展名为 .zip 和 .mov 的文件名转换为 URL。

例如，在 Twitter 上，如果您向某人发送有关打开 zip 文件和访问 MOV 文件的说明，无害的文件名将转换为 URL，如下所示。

Twitter 自动链接 .zip 和 .mov 文件名

当人们在说明中看到 URL 时，他们通常认为该 URL 可用于下载相关文件，并可能会点击该链接。例如，将文件名链接到下载是我们通常在文章、教程和论坛中提供有关 BleepingComputer 的说明的方式。

但是，如果威胁行为者拥有与链接文件名同名的 .zip 域，则有人可能会错误地访问该站点并落入网络钓鱼诈骗或下载恶意软件，并认为该 URL 是安全的，因为它来自受信任的来源。

虽然威胁行为者不太可能注册数千个域来捕获少数受害者，但您只需要一名公司员工错误地安装恶意软件就会影响整个网络。

滥用这些域不是理论上的，网络情报公司 Silent Push Labs 已经发现 microsoft-office[.]zip 中似乎是一个网络钓鱼页面，试图窃取 Microsoft 帐户凭据。

网络安全研究人员也开始研究域名，Bobby Rauch发表了关于使用 Unicode 字符和 URL 中的用户信息分隔符(@)开发令人信服的网络钓鱼链接的研究。

Rauch 的研究表明威胁行为者如何制作看起来像 GitHub 上合法文件下载 URL 的网络钓鱼 URL，但在单击时实际上会将您带到 v1.27.1[.]zip 的网站，如下图所示。

https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zip

5、Apple 修复了三个新的0day漏洞，用于破解 iPhone、Mac

近日，Apple 发布公告修复了三个新的0day漏洞，这些漏洞可能已经被用于攻击 iPhone、Mac 和 iPad。

这些安全漏洞均在多平台 WebKit 浏览器引擎中发现，并被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373。

第一个漏洞是沙箱逃逸，它使远程攻击者能够突破 Web 内容沙箱。

另外两个是可以帮助攻击者访问敏感信息的越界读取和一个允许在受感染设备上执行任意代码的释放后使用问题，这两个问题都是在诱使目标加载恶意制作的网页之后（网页内容）。

Apple 通过改进边界检查、输入验证和内存管理解决了 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 中的三个零日漏洞。

受影响的设备列表非常广泛，因为该错误会影响较旧和较新的型号，其中包括：

• iPhone 6s（所有机型）、iPhone 7（所有机型）、iPhone SE（第 1 代）、iPad Air 2、iPad mini（第 4 代）、iPod touch（第 7 代）和 iPhone 8 及更新机型

• iPad Pro（所有机型）、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型

• 运行 macOS Big Sur、Monterey 和 Ventura 的 Mac

• Apple Watch Series 4 及更新机型

• Apple TV 4K（所有型号）和 Apple TV HD

  
  

该公司还透露，CVE-2023-28204 和 CVE-2023-32373（由匿名研究人员报告）首先通过 5 月 1 日发布的适用于 iOS 16.4.1 和 macOS 13.3.1 设备的快速安全响应 (RSR) 补丁解决  。

值得一提的是，谷歌威胁分析小组的 Clément Lecigne 和国际特赦组织安全实验室的 Donncha Ó Cearbhaill 报告了 CVE-2023-32409。

这两位研究人员所属的组织定期披露有关利用零日漏洞在政客、记者、持不同政见者等的智能手机和计算机上部署雇佣间谍软件的国家支持活动的详细信息。

6、研究人员发布 PoC 工具：利用 CVE-2023-32784 漏洞从 KeePass 检索主密码

安全研究员 Vdohney 发布了一个名为KeePass 2.X Master Password Dumper 的PoC 工具，它允许检索 KeePass 的主密码。

该工具利用未修补的 KeePass 漏洞（跟踪号CVE-2023-32784）从 KeePass 2.x 版本的内存中检索主密码。

“在 2.54 之前的 KeePass 2.x 中，即使工作区被锁定或不再运行，也可以从内存转储中恢复明文主密码。内存转储可以是 KeePass 进程转储、交换文件 (pagefile.sys)、休眠文件 (hiberfil.sys) 或整个系统的 RAM 转储。”

 “第一个字符无法恢复。在 2.54 中，有不同的 API 使用和/或随机字符串插入来缓解。”

KeePass 是一种免费的开源软件，用于安全地管理密码。它充当数字“保险箱”，用户可以在其中存储和组织他们的敏感信息，包括密码、信用卡号、备注和其他敏感信息。KeePass 使用您需要提供的主密钥或主密码来加密数据，以便访问存储的信息。

该漏洞应在计划于 2023 年 6 月初发布的KeePass 2.54 中得到修复。

问题源于在 KeePass 2.X 使用自定义开发的文本框（'SecureTextBoxEx'）输入密码。此文本框不仅用于输入主密码，还用于 KeePass 的其他地方，例如允许攻击者使用它来恢复其内容的密码编辑框。

对于键入的每个字符，都会在内存中创建一个剩余的字符串。

“由于 .NET 的工作方式，一旦创建就几乎不可能摆脱它。例如，当键入“密码”时，将产生以下剩余字符串：•a、••s、•••s、••••w、•••••o、••••••r , •••••••d。” “POC 应用程序在转储中搜索这些模式，并为密码中的每个位置提供可能的密码字符。” 

攻击的成功取决于密码的键入方式以及每个会话键入的密码数量。专家解释说，即使每个会话或错别字有多个密码，.NET CLR 分配这些字符串的方式意味着它们很可能在内存中被很好地排序。

例如，如果用户键入三个不同的密码，攻击者可能会按顺序为每个字符位置获得三个候选密码，从而恢复所有三个密码。

消息是 CVE-2023-32784 漏洞只能由本地攻击者利用。

“如果你有理由怀疑有人可以访问你的计算机并进行取证分析，这可能很糟糕。最坏的情况是主密码将被恢复，尽管 KeePass 被锁定或根本没有运行。” ”研究人员总结道。

“如果你使用带有强密码的全盘加密并且你的系统是干净的，你应该没问题。仅凭这一发现，没有人可以通过互联网远程窃取您的密码。”

一旦 KeePass 2.54 可用并安装它，那么对于长期使用 KeePass 的用户，他们的主密码（以及可能的其他密码）可能在页面文件/交换文件和休眠文件中。专家建议：

• 更改您的主密码

• 删除休眠文件

• 删除页面文件/交换文件

• 覆盖 HDD 上已删除的数据以防止雕刻（例如  Windows 上的密码

  
  

7、暗网Skynet Market头目认罪：出售数万人财务信息

一名美国公民Michael D. Mihalo承认经营一个名为Skynet Market 的暗网梳理网站，专门从事信用卡和借记卡数据的交易，并出售了属于该国数万名受害者的财务信息。

2016 年 2 月 22 日至 2019 年 10 月 1 日期间，Mihalo 和他的同伙还在 AlphaBay Market、Wall Street Market 和 Hansa Market 等其他暗网市场上兜售他们的软件。

美国司法部 (DoJ) 在 2023 年 5 月 16 日发布的一份新闻声明中表示：“Mihalo 组建并指挥了帮助他在暗网上出售这些被盗财务信息的团队。”

“Mihalo 个人拥有、发送和接收与 49,084 张被盗支付卡相关的信息，目的是将支付卡信息在暗网网站上贩卖，所有这些都是为了推动阴谋。”

被告的一名同伙 Taylor Ross Staats 担任“卡片检查员”，确保出售的财务信息仍然有效，并且没有被相关金融机构取消。

据估计，Staats 通过这些服务至少赚取了价值 21,000 美元的比特币。他于 2022 年 12 月 14 日承认了一项因在该行动中担任此职务而串谋实施访问设备欺诈的罪名。他将面临最高五年的监禁。

司法部补充说，现年 40 岁的伊利诺伊州人 Mihalo 从这些计划中获得了价值超过 100 万美元的加密货币。

被告已承认一项共谋实施访问设备欺诈罪，最高可判处五年徒刑，以及一项访问设备欺诈罪和六项洗钱罪，每项罪名最高可判处 10 年徒刑入狱时间。他还被勒令没收所有非法所得。

本月早些时候，美国当局还关闭了Try2Check，这是一个流行的俄罗斯平台，网络犯罪分子使用该平台来确认被盗信用卡信息的合法性。

原文始发于微信公众号（安全客）：【安全头条】CVE-2023-2478：GitLab代码执行漏洞通告