全球早资讯
15年前未修补的Python漏洞可能影响超过350,000个项目
由于 Python 模块中存在 15 年未打补丁的安全漏洞,据信多达 350,000 个开源项目可能容易受到攻击。
开源存储库跨越多个行业垂直领域,例如软件开发、人工智能/机器学习、Web 开发、媒体、安全、IT 管理。
缺陷是CVE-2007-4559(CVSS 评分:6.8),其根源在于 tarfile 模块,成功利用该模块可能会导致从任意文件写入执行代码。
Trellix 安全研究员 Kasimir Schulz再一次写上去。
该漏洞最初于 2007 年 8 月披露,与如何利用特制的 tar 归档文件仅在打开文件时就可以覆盖目标机器上的任意文件有关。
简而言之,威胁行为者可以通过上传恶意 tar 文件来利用该弱点,这种方式可以逃脱要提取文件的目录并实现代码执行,从而使对手有可能夺取目标的控制权设备。
tarfile 的 Python 文档中写道: “切勿在未经事先检查的情况下从不受信任的来源提取档案” 。“文件可能是在路径之外创建的,例如具有以'/'开头的绝对文件名或带有两个点'..'的文件名的成员。”
该漏洞还让人想起 RARlab 的 UnRAR 实用程序 (CVE-2022-30333 ) 中最近披露的一个漏洞,该漏洞可能导致远程代码执行。
Trellix 进一步发布了一个名为Creosote的自定义实用程序来扫描易受 CVE-2007-4559 攻击的项目,并使用它来发现 Spyder Python IDE 和 Polemarch 中的漏洞。
“如果不加以控制,这个漏洞已被无意添加到全球数十万个开源和闭源项目中,造成了巨大的软件供应链攻击面,”Douglas McKee指出。
黑客针对未打补丁的Atlassian Confluence服务器部署加密矿工
几个月前曝光的影响 Atlassian Confluence Server 的现已修补的严重安全漏洞正在被积极利用,用于在未修补的安装上进行非法加密货币挖掘。
“如果不加以补救并成功利用,此漏洞可能会被用于多种甚至更多的恶意攻击,例如对基础设施和部署信息窃取程序的完整域接管、远程访问木马 (RAT) 和勒索软件,”趋势科技威胁研究人员Sunil Bharti在一份报告中说。
该问题被跟踪为CVE-2022-26134(CVSS 评分:9.8),已于 2022 年 6 月由澳大利亚软件公司解决。
在网络安全公司观察到的一个感染链中,该漏洞被用来在受害者的机器上下载并运行一个 shell 脚本(“ro.sh”),进而获取第二个 shell 脚本(“ap.sh” ”)。
恶意代码旨在更新PATH 变量以包含其他路径,例如“/tmp”,从远程服务器下载 cURL 实用程序(如果不存在),禁用 iptables 防火墙,滥用PwnKit 漏洞(CVE-2021-4034 ) 获得 root 权限,并最终部署 hezb 加密矿工。
与其他加密劫持攻击一样,shell 脚本还会终止其他竞争的硬币矿工,禁用阿里巴巴和腾讯的云服务提供商代理,然后通过 SSH 进行横向移动。
这些发现反映了Lacework、微软、Sophos和Akamai在 6 月份披露的类似利用尝试。
Lacework 的分析进一步表明,用于检索 cURL 软件的命令和控制 (C2) 服务器以及 hezb 矿工还分发了一个名为“kik ”的基于 Golang 的 ELF 二进制文件,该二进制文件使恶意软件能够杀死感兴趣的进程。
建议用户优先修补该漏洞,因为它可能被威胁行为者用于其他邪恶目的。
“攻击者可以利用注入他们自己的代码进行解释并获得对目标 Confluence 域的访问权限,以及进行从控制服务器进行后续恶意活动到破坏基础设施本身的攻击,”Bharti 说。
由于与密码重置相关的安全问题,Twitter注销了一些用户
澳大利亚电信公司Optus披露影响数据的违规行为
授权推送付款激增至75%的银行欺诈
----------------------------------------------------------------------------
往期回顾:
【Hacker news daily】优步将最近的安全漏洞归咎于 LAPSUS$ 黑客组织
【Hacker news daily】黑客承认破坏洲际酒店集团的数据“为了好玩”
原文始发于微信公众号(KK安全说):【Hacker news daily】15 年前未修补的 Python 漏洞可能影响超过 350,000 个项目
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论