【资讯】①黑客利用漏洞入侵美国政府机构②漏洞允许远程控制 Apple 和 Linux 设备

感谢师傅 · 关注我们

 

1

黑客利用 Adobe ColdFusion 漏洞入侵美国政府机构

 

美国网络安全和基础设施安全局 (CISA)发出警告称，黑客正积极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。

该机构指出，此漏洞能在运行 Adobe ColdFusion 2018 Update 15 、2021 Update 5 及更早版本的服务器上执行任意代码，在 Adobe于3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前曾被用作零日漏洞。

CISA在警告中揭露了两起利用该漏洞的攻击事件。第一起事件发生在6月2日，攻击者在一台运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用此漏洞收集了用户账户信息，并试图窃取注册表文件和安全帐户管理器（SAM）信息。攻击者滥用可用的安全工具来访问域控制器上的特殊目录 SYSVOL。

第二起事件发生在 6 月 26 日，攻击破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器，并安装了一个 Web shell ( config.jsp )，允许攻击者将代码插入 ColdFusion 配置文件并提取凭证，其活动包括删除攻击中使用的文件以隐藏行踪，以及在 C:IBM 目录中创建文件，以便在未被发现的情况下进行恶意操作。

攻击者在第二次攻击中使用的工具

CISA 将这些攻击归类为侦察活动，但尚不清楚这两次入侵是否是同一攻击者所为。

为了降低风险，CISA 建议将 ColdFusion 升级到最新可用版本，设置应用网络分段、防火墙或 WAF，并强制执行软件签名策略。

参考来源：https://www.bleepingcomputer.com/news/security/hackers-breach-us-govt-agencies-using-adobe-coldfusion-exploit/

来源：freebuf 链接：https://www.freebuf.com/news/385807.html

 

2

CVE-2023-45866：蓝牙中的漏洞允许远程控制 Apple 和 Linux 设备

 

这个错误十多年来一直没有被发现。

SkySafe 软件工程师 Mark Newlin发现了自 2012 年以来一直存在的蓝牙 危险漏洞。该漏洞允许攻击者无需身份验证即可连接Apple、Android和Linux设备并输入任意命令。该错误编号为 CVE-2023-45866，不需要特殊设备即可操作，这使得它特别危险。

研究人员表示，这种攻击可以通过运行Linux操作系统的计算机上的标准蓝牙适配器进行。

Newlin 在 GitHub 上的帖子指出：“该缺陷允许蓝牙配对机制被欺骗，在未经身份验证的情况下将设备连接到假键盘。未经身份验证的配对算法被写入蓝牙协议本身，但其在软件级别实现中的错误为攻击者打开了大门。”

纽林计划在即将召开的会议上展示该漏洞的详细信息和演示代码，但仍希望等到问题得到解决。他已经向苹果、谷歌、Canonical 和蓝牙 SIG 报告了这一情况。

这并不是纽林第一次发现此类错误。2016 年，它发现了影响 17 家制造商的无线鼠标和键盘的其他蓝牙缺陷。

谷歌表示，Android 版本 11-14 的补丁可供 OEM 厂商使用。所有受支持的 Pixel 设备将于 12 月收到更新。不过，目前还没有针对 Android 4.2.2 – 10 的解决方案。

在 Linux 上，该问题已于 2020 年得到修复，但大多数发行版（包括 Ubuntu、Debian 等）默认情况下禁用更新。

该漏洞还影响 macOS 和 iOS。当蓝牙被激活并且妙控键盘连接到设备时，威胁尤其严重。苹果已经确认了该问题，但尚未公布修复计划。

转自；安全客
链接；https://www.anquanke.com/post/id/291766

往期推荐

【资讯】WordPress 曝出严重漏洞、特别重大、重大、较大网络安全事件，怎么分？

一款批量Linux应急响应检查工具

2023年（12月）1500-2000元手机挑选攻略

【LSP专享】绝对震撼！米娜的火辣舞蹈将你带入另一个世界！米娜舞蹈视频6V

【资讯】俄罗斯军事黑客瞄准北约快速反应部队、因忽视漏洞修复美国联邦服务器受攻击、美国安全局 (CISA) 添加了四个高通漏洞

一款更易上手的GUI版xray漏扫工具（附下载）

2023年（11月），2500-3000元手机挑选推荐攻略

【LSP专享】全网疯传！米娜狂野性感舞蹈燃爆荧屏。10V

【资讯】暗网出售台湾监视名单？3GB 数据售价 10 万美元、研究人员发现新型攻击方式，可通过图像和音频操纵大模型

【渗透测试】渗透测试常用方法总结，大神之笔！

【手机评测推荐】2023年（12月），3500-4000元手机挑选推荐攻略

【LSP专享】曝光级别破表！你绝对无法想象米娜的热辣舞姿！米娜舞蹈视频10V

【资讯】安全厂商中标信息、黑客通过虚拟键盘控制iPhone、GitHub的15,000 个 Go 存储库受损

【工具分享】一款全自动白帽漏洞扫描器

【手机评测】2023年（12月），4000-5000元手机挑选攻略

【LSP专享】米娜舞蹈视频10V

【资讯】Black Basta 勒索软件团伙出道以来至少“赚取”1.07 亿美元、Zyxel 警告专有 NAS 设备存在严重漏洞

POC管理和漏洞扫描工具

2023年（12月），5000-6000元手机挑选攻略

【LSP专享】斗鱼女主播米娜舞蹈视频，大摆锤、动感光波、吹笛子什么都有10V

声明：本公众号所分享内容仅用于网安爱好者之间的技术讨论，禁止用于违法途径，所有渗透都需获取授权！否则需自行承担，本公众号及原作者不承担相应的后果

点击左侧关注我们
关键字：资源
资源页面不定时更新资源
【免责声明】版权归原作者，如有侵权，请联系我们进行删除或与您共商解决，感谢阅读

点分享
点收藏
点点赞
点在看

原文始发于微信公众号（黑客白帽子）：【资讯】①黑客利用漏洞入侵美国政府机构②漏洞允许远程控制 Apple 和 Linux 设备