2024年5月安全领域发现并修复了多个严重的安全漏洞,涉及多家知名企业和技术产品。
(一)本月漏洞要点总结
-
Palo Alto Networks防火墙漏洞:PAN发布了针对其防火墙产品中一个严重漏洞(CVE-2024-3400)的更新,该漏洞评分为CVSS满分10分,可允许未经认证的攻击者以root权限执行任意代码。
-
Judge0在线代码执行系统漏洞:Judge0系统中发现多个沙箱逃逸漏洞,攻击者可借此获得目标系统的代码执行权限,这些漏洞的CVSS评分均为最高。
-
Dropbox数字签名服务漏洞:Dropbox Sign遭受攻击,影响了所有用户,包括电子邮件、用户名及账户设置的泄露,部分用户更面临电话号码、哈希密码等敏感信息的暴露。
-
HPE Aruba设备漏洞:HPE Aruba修复了ArubaOS中的四个严重漏洞,这些漏洞可能导致远程代码执行。
-
安卓DNS泄漏漏洞:即便启用了终止开关,部分安卓设备在切换VPN服务器时仍会出现DNS查询泄漏。
-
西门子软件反序列化漏洞:西门子Simatic Energy Manager软件中的漏洞可能被利用执行远程代码。
-
Dropbox、HPE Aruba、安卓、西门子等多个品牌和平台:均报告了各自产品中的安全漏洞,包括远程代码执行、数据泄露和隐私侵犯等问题。
-
主流技术产品漏洞:包括Fluent Bit实用程序、GitHub Enterprise Server、QNAP NAS设备、Veeam备份软件、特斯拉TeslaLogger、llama_cpp_python Python包、Ivanti Endpoint Manager等,均发现了可能导致远程代码执行、身份验证绕过、拒绝服务攻击、信息泄露等严重后果的漏洞。
这些漏洞强调了持续更新软件和系统的重要性,以及企业和个人用户应采取积极措施,及时应用安全更新以防止潜在的攻击。
(二)漏洞详细情况
1、Palo Alto Networks针对严重的防火墙漏洞发布更新
https://security.paloaltonetworks.com/CVE-2024-3400
Palo Alto Networks (PAN) 针对可被利用的最严重漏洞发布更新修复信息。根据更新,该漏洞的编号为 CVE-2024-3400,CVSS 漏洞严重性评分为 10 分(满分 10 分),并且可以允许未经身份验证的威胁参与者在防火墙设备上以 root 权限执行任意代码。该缺陷存在于 PAN-OS 10.2、11.0 和 11.1 中,最初由研究人员发现后于 4 月 12 日披露。PAN 表示,利用此漏洞的攻击数量持续增长,并且“第三方已公开披露了此漏洞的概念证明”。
2、Judge0开源在线代码执行系统存在多个严重沙箱逃逸漏洞
https://tantosec.com/blog/judge0/
Judge0 开源在线代码执行系统中已披露多个严重安全漏洞,攻击者可利用这些漏洞在目标系统上获取代码执行权限。这三个缺陷本质上都很严重,允许“拥有足够访问权限的对手执行沙箱逃逸并获得主机的 root 权限”。Judge0(发音为“judge Zero”)被其维护者描述为“强大的、可扩展的、开源的在线代码执行系统”,可用于构建需要在线代码执行功能的应用程序,例如候选人评估、电子学习,以及在线代码编辑器和 IDE。据其网站称,该服务已被 AlgoDaily、CodeChum 和 PYnative 等 23 家客户使用。2024 年 3 月发现并报告的缺陷为CVE-2024-28185(CVSS 评分:10.0)、CVE-2024-28189(CVSS 评分:10.0)和CVE-2024-29021(CVSS 评分:9.1)。
3、Dropbox披露影响所有用户的数字签名服务漏洞
https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm
云存储服务提供商 Dropbox 周三披露,Dropbox Sign(以前称为 HelloSign)遭到身份不明的威胁者的攻击,这些威胁参与者访问了与数字签名产品所有用户相关的电子邮件、用户名和常规帐户设置。该公司在向美国证券交易委员会 (SEC) 提交的文件中表示,它于 2024 年 4 月 24 日意识到“未经授权的访问”。Dropbox于 2019 年 1 月宣布计划收购 HelloSign。表格 8-K 文件中表示:“威胁行为者还访问了与 Dropbox Sign 所有用户相关的数据,例如电子邮件和用户名,以及一般帐户设置。对于部分用户,攻击者还访问了电话号码、哈希密码以及某些身份验证信息,例如 API 密钥、OAuth 令牌和多因素身份验证。”
4、HPE Aruba设备存在四个严重漏洞面临远程代码执行攻击
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt
HPE Aruba Networking(以前称为 Aruba Networks)已发布安全更新,以解决影响 ArubaOS 的严重缺陷,这些缺陷可能导致受影响系统上的远程代码执行 (RCE)。在这10 个安全缺陷中,有 4 个缺陷的严重程度被评为严重:CVE-2024-26304、CVE-2024-26305、CVE-2024-33511、CVE-2024-33512。
5、安卓漏洞可能会在启用VPN终止开关的情况下泄漏DNS流量
https://mullvad.net/en/blog/dns-traffic-can-leak-outside-the-vpn-tunnel-on-android
Mulvad VPN 用户发现,即使通过“阻止没有 VPN 的连接”选项启用了“始终在线 VPN”功能,Android 设备在切换 VPN 服务器时也会泄漏 DNS 查询。“始终在线 VPN”旨在在设备启动时启动 VPN 服务,并在设备或配置文件打开时保持其运行。启用“阻止没有 VPN 的连接”选项(也称为终止开关)可确保所有网络流量和连接都通过始终连接的 VPN 隧道,从而阻止窥探者监视用户的 Web 活动。即使在最新操作系统版本 (Android 14) 上启用了这些功能,Android 错误也会泄漏一些 DNS 信息。
6、西门子软件中的反序列化漏洞可导致远程代码执行
https://claroty.com/team82/research/exploiting-a-classic-deserialization-vulnerability-in-siemens-simatic-energy-manager
研究人员详细介绍了用于监控工业环境中能源消耗的西门子软件中的反序列化漏洞,并将该缺陷归因于这家德国企业集团决定使用已知安全风险的编程方法。西门子在两年前修补了该漏洞(编号为CVE-2022-23450),对于西门子客户来说,时间足够长,可以在对他们发现的缺陷进行详细解释之前应用补丁。西门子 Simatic Energy Manager 中没有采取对策,该软件使用专有消息协议将工厂能源使用数据从 Web 服务器传输到用户应用程序。研究人员对消息传递协议进行了逆向工程,发现了包含短语 的消息类型 BinaryFormatter。
7、微软披露安卓应用严重漏洞,多个受App安装量超40亿
https://www.freebuf.com/news/400004.html
近日,研究人员披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响几款下载总量数十亿的 Android 应用程序。
8、Tinyproxy存在严重漏洞超过五万台主机可被远程执行代码
https://tinyproxy.github.io/
研究人员发现 90310 台主机中超过 50% 被发现在互联网上暴露了Tinyproxy 服务,该服务容易受到 HTTP/HTTPS 代理工具中未修补的严重安全漏洞的影响。该漏洞的编号为CVE-2023-49606,CVSS 评分为 9.8 分(满分 10 分),该问题将其描述为影响版本 1.10.0 和 1.11.1 的释放后使用错误。是最新版本。特制的 HTTP 标头可能会触发先前释放的内存的重用,从而导致内存损坏并可能导致远程代码执行。攻击者需要发出未经身份验证的 HTTP 请求才能触发此漏洞。换句话说,未经身份验证的威胁参与者可以发送特制的HTTP 连接标头来触发内存损坏,从而导致远程代码执行。
9、小米、WPS Office安卓应用易受文件覆盖漏洞影响
https://thehackernews.com/2024/05/popular-android-apps-like-xiaomi-wps.html
谷歌Play商店中的几款流行安卓应用程序容易受到代号为Dirty Stream攻击的路径遍历相关漏洞的影响,恶意应用程序可利用该漏洞覆盖受影响应用程序主目录中的任意文件。
10、LiteSpeed缓存漏洞能够完全控制WordPress网站
https://wpscan.com/blog/surge-of-javascript-malware-in-sites-with-vulnerable-versions-of-litespeed-cache-plugin/
攻击者正在积极利用影响 WordPress LiteSpeed Cache 插件的高严重性缺陷在易受影响的网站上创建流氓管理员帐户。该漏洞(CVE-2023-40000,CVSS 评分:8.3)已被利用来设置名为 wpsupp-user 和 wp-configuser 的虚假管理员用户。研究人员于 2024 年 2 月披露的CVE-2023-40000是一个存储型跨站点脚本 (XSS) 漏洞,可能允许未经身份验证的用户通过特制的 HTTP 请求来提升权限。该缺陷已于 2023 年 10 月在版本 5.7.0.1 中得到解决。值得注意的是,该插件的最新版本是6.2.0.1,发布于2024年4月25日。
11、 CISA 警告:GitLab 关键漏洞正在被利用,可实现账户接管
https://www.darkreading.com/application-security/critical-gitlab-bug-exploit-account-takeover-cisa
KnowBe4 的安全意识倡导者 Erich Kron 说,如果攻击者选择更改被他们潜入的 GitLab 账户的合法关联电子邮件地址,那么他们就可以阻止合法账户所有者登录或使用密码恢复功能将其改回来。
12、F5 Central Manager中两个严重漏洞可导致完全设备接管
https://eclypsium.com/blog/big-vulnerabilities-in-next-gen-big-ip/
F5 Next Central Manager 中发现了两个安全漏洞,攻击者可能会利用这些漏洞来夺取设备的控制权并创建隐藏的流氓管理员帐户以实现持久性。这些可远程利用的缺陷“可以让攻击者获得对设备的完全管理控制,随后允许攻击者在 Next Central Manager 管理的任何 F5 资产上创建帐户”。两个问题的描述:CVE-2024-21793(CVSS 评分:7.5)- OData 注入漏洞,可能允许未经身份验证的攻击者通过 BIG-IP NEXT Central Manager API 执行恶意 SQL 语句。CVE-2024-26026(CVSS 评分:7.5)- SQL 注入漏洞,可能允许未经身份验证的攻击者通过 BIG-IP Next Central Manager API 执行恶意 SQL 语句。
13、Chrome 124 更新修补了一个被利用的零日漏洞
https://www.securityweek.com/exploited-chrome-zero-day-patched-by-google/
该零日漏洞被追踪为CVE-2024-4671,Google 将其描述为 Visuals 组件中的高严重性释放后使用错误。
14、Veeam修复了备份管理平台中的高严重性漏洞
https://helpcenter.veeam.com/docs/vac/deployment/about.html?ver=80
Veeam 已修复 Veeam 服务提供商控制台 (VSPC) 中的一个高严重性漏洞 (CVE-2024-29212),并敦促客户实施该补丁。Veeam 服务提供商控制台是托管服务提供商 (MSP) 和企业用来管理和监控数据备份操作的云平台。“服务提供商可以部署 Veeam 服务提供商控制台,向其客户提供由 Veeam 支持的备份即服务和灾难恢复即服务服务。企业可以使用该解决方案来简化远程办公室、分支机构或其他地点的备份操作。”该公司解释道。CVE-2024-29212 的存在是由于 Veeam Service Provider Console 服务器在管理代理与其组件之间的通信期间使用了不安全的反序列化方法。它影响 VSPC 版本 4.0、5.0、6.0、7.0 和 8.0。
15、苹果周一推出了紧急安全更新,修复被利用的0day漏洞
https://www.securityweek.com/apple-patch-day-code-execution-flaws-in-iphones-ipads-macos/
苹果周一对其移动和桌面操作系统推出了紧急安全主题更新,并警告称,黑客可能已经在野外利用了 IOS 漏洞。安全响应团队记录了 iPhone 和 iPad 上的至少 16 个漏洞,并呼吁特别关注 CVE-2024-23296,这是 RTKit 中的一个内存损坏错误,该公司表示,在补丁发布之前“可能已被利用”。
16、严重Next.js漏洞能让攻击者破坏服务器
https://cybersecuritynews.com/next-js-server-compromise/
根据分享的报告,当威胁行为者利用此漏洞时,可能会导致Next.js的响应不同步,进而导致响应队列中毒。
17、微软警告被利用的零日漏洞,修补了 60 个 Windows 漏洞
https://www.securityweek.com/microsoft-patches-60-windows-vulns-warns-of-active-zero-day-exploitation/
星期二补丁:微软记录了多个软件产品中的 60 个安全漏洞,并标记了一个被积极利用的 Windows 零日漏洞,以供紧急关注。
18、微软修补了61个漏洞包括两个被积极利用的零日漏洞
https://msrc.microsoft.com/update-guide/releaseNote/2024-May
作为2024年5月补丁星期二更新的一部分,微软已解决了其软件中总共61个新的安全漏洞,其中包括两个已被广泛利用的零日漏洞。在61个缺陷中,1个缺陷的严重程度被评为“严重”,59个缺陷的严重程度被评为“重要”,1个缺陷的严重程度被评为“中等”。过去一个月,基于Chromium的Edge浏览器解决了30个漏洞,其中包括两个最近披露的零日漏洞(CVE-2024-4671和CVE-2024-4761),这些漏洞已被标记为在攻击中被利用。
19、VMware修复了Workstation和Fusion产品中的严重安全漏洞
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24280
VMware Workstation和Fusion产品中已披露多个安全漏洞,威胁行为者可利用这些漏洞访问敏感信息、触发拒绝服务(DoS)条件并在某些情况下执行代码。Broadcom旗下的虚拟化服务提供商表示,这四个漏洞影响Workstation版本17.x和Fusion版本13.x,修复程序分别在版本17.5.2和13.5.2中提供。
20、新的Chrome零日漏洞CVE-2024-4761正在被利用
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html
谷歌周一发布了紧急修复程序,以解决Chrome网络浏览器中的一个新的零日漏洞,该漏洞已被广泛利用。该高严重性漏洞(编号为CVE-2024-4761)是一个影响V8 JavaScript和WebAssembly引擎的越界写入错误。该消息于2024年5月9日匿名报道。越界写入错误通常可能被恶意行为者利用来破坏数据、引发崩溃或在受感染的主机上执行任意代码。
21、英特尔针对 90 多个漏洞发布 41 条安全公告
https://www.securityweek.com/intel-publishes-41-security-advisories-for-over-90-vulnerabilities/
本周二补丁,英特尔发布了 41 条新的安全公告,涵盖该公司产品中发现的总共 90 多个漏洞。
22、Adobe 修复了 Acrobat 和 Reader 中的多个严重漏洞
https://securityaffairs.com/163194/security/adobe-flaws-acrobat-reader.html
Adobe 解决了多种产品(包括 Adobe Acrobat 和 Reader)中的多个代码执行漏洞。
23、苹果修复了Pwn2Own中利用的Safari WebKit零日漏洞
https://www.bleepingcomputer.com/news/apple/apple-fixes-safari-webkit-zero-day-flaw-exploited-at-pwn2own/
Apple发布了安全更新,以修复今年Pwn2Own温哥华黑客竞赛中被利用的Safari网络浏览器中的零日漏洞。该公司通过改进的检查解决了运行macOS Monterey和macOS Ventura的系统上的安全漏洞(追踪为CVE-2024-27834)。苹果在周一的公告中解释说:“具有任意读写能力的攻击者可能能够绕过指针身份验证。”Arm64e架构上使用指针身份验证代码(PAC)来检测和防范内存中指针的意外更改,在与身份验证失败相关的内存损坏事件发生后,CPU会触发应用程序崩溃。
24、D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞已发布
https://ssd-disclosure.com/ssd-advisory-d-link-dir-x4860-security-vulnerabilities/
D-Link EXO AX4800 (DIR-X4860)路由器容易受到未经身份验证的远程命令执行的攻击,这可能导致有权访问HNAP端口的攻击者完全接管设备。D-Link DIR-X4860路由器是一款高性能Wi-Fi 6路由器,速度高达4800 Mbps,并具有OFDMA、MU-MIMO和BSS Coloring等高级功能,可提高效率并减少干扰。该设备在加拿大特别受欢迎,根据D-Link网站,它在全球市场上销售,并且仍然受到供应商的积极支持。研究人员团队宣布,他们在运行最新固件版本DIRX4860A1_FWV1.04B03的DIR-X4860设备中发现了缺陷,该缺陷允许未经身份验证的远程命令执行(RCE)。
25、新的 Wi-Fi 漏洞可通过降级攻击进行网络窃听
https://thehackernews.com/2024/05/new-wi-fi-vulnerability-enabling.html
研究人员发现了一个新的安全漏洞,该漏洞源自 IEEE 802.11 Wi-Fi 标准中的设计缺陷,该漏洞会诱骗受害者连接到安全性较低的无线网络并窃听其网络流量。SSID混淆攻击(编号为 CVE-2023-52424)会影响所有操作系统和 Wi-Fi 客户端,包括基于 WEP、WPA3、802.11X/EAP 和 AMPE 协议的家庭和网状网络。
26、研究人员发现GE HealthCare超声机的11个安全漏洞
https://www.nozominetworks.com/blog/ge-healthcare-vivid-ultrasound-vulnerabilities
安全研究人员披露了影响GE HealthCare Vivid Ultrasound产品系列的近十几个安全漏洞,恶意行为者可能会利用这些漏洞篡改患者数据,甚至在某些情况下安装勒索软件。这些缺陷造成的影响是多方面的:从在超声波机器上植入勒索软件,到访问和操纵易受攻击的设备上存储的患者数据。这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop Web应用程序,该应用程序暴露在设备的本地主机界面上,并允许用户执行管理操作。它们还会影响另一个名为EchoPAC的软件程序,该程序安装在医生的Windows工作站上,帮助他们访问多维回声、血管和腹部超声图像。
27、谷歌修复了一个被利用的Chrome零日漏洞CVE-2024-4947
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html
谷歌已经推出了修复程序,以解决其Chrome浏览器中的九个安全问题,其中包括一个已被广泛利用的新的零日漏洞。该漏洞的CVE标识符为CVE-2024-4947,与V8 JavaScript和WebAssembly引擎中的类型混淆错误有关。当程序尝试访问类型不兼容的资源时,就会出现类型混淆漏洞。它可能会产生严重影响,因为该漏洞允许威胁参与者执行越界内存访问、导致崩溃并执行任意代码。此次修复是继CVE-2024-4671和CVE-2024-4761之后,谷歌在一周内修复了第三个零日漏洞。
28、英特尔披露其人工智能模型压缩软件中的严重漏洞
https://www.anquanke.com/post/id/296632
英特尔披露了其用于人工智能模型压缩的英特尔神经压缩软件的某些版本中存在一个最严重的漏洞。该漏洞编号为CVE-2024-22476,为未经身份验证的攻击者提供了一种在运行受影响软件版本的英特尔系统上执行任意代码的方法。该漏洞是该公司本周在41 个安全公告中披露的数十个缺陷中最严重的一个。
29、严重的Git漏洞允许在克隆包含子模块的存储库时进行RCE
https://www.helpnetsecurity.com/2024/05/16/git-cve-2024-32002/
CVE-2024-32004 还允许远程代码执行,但仅限于多用户计算机:“攻击者可以准备一个本地存储库,使其看起来像缺少对象的部分克隆,这样,当克隆此存储库时,Git 将在操作期间执行任意代码,并具有执行克隆的用户的完全权限。
30、QNAP 紧急修补 NAS 设备中的代码执行漏洞
https://www.securityweek.com/qnap-rushes-patch-for-code-execution-flaw-in-nas-devices/
总部位于台湾的 QNAP Systems 周二发布了针对其网络附加存储 (NAS) 设备中多个漏洞的补丁,其中包括上周发布概念验证代码的一个漏洞。
31、主流云、科技公司使用的Fluent Bit 实用程序中发现严重漏洞
https://www.securityweek.com/vulnerability-found-in-fluent-bit-utility-used-by-major-cloud-tech-companies/
据网络安全公司 Tenable 称,Fluent Bit 是多家大公司使用的流行日志记录实用程序,受到一个严重漏洞的影响,该漏洞可能导致拒绝服务 (DoS) 攻击、信息泄露,甚至可能导致远程代码执行 (RCE)。
32、GitHub Enterprise Server 严重漏洞允许绕过身份验证
https://thehackernews.com/2024/05/critical-github-enterprise-server-flaw.html
GitHub 已推出修复程序,以解决 GitHub Enterprise Server (GHES) 中的最严重缺陷,该缺陷可能允许攻击者绕过身份验证保护。该问题被追踪为CVE-2024-4985(CVSS 评分:10.0),可能允许对实例进行未经授权的访问,而无需事先进行身份验证。
33、QNAP公司修复了NAS设备QTS和QuTS Hero中的新漏洞
https://www.qnap.com/en/security-advisory/qsa-24-23
QNAP公司已经发布了一系列中等严重性漏洞的修复补丁,这些漏洞影响了QTS和QuTS hero,其中一些可能被利用在其网络附加存储(NAS)设备上执行代码。这些问题影响QTS 5.1.x和QuTS hero h5.1.x,CVE-2024-21902:一个关键资源权限分配不当的漏洞,可能允许经过身份验证的用户通过网络读取或修改资源。CVE-2024-27127:一个双重释放漏洞,可能允许经过身份验证的用户通过网络执行任意代码。CVE-2024-27128、CVE-2024-27129和CVE-2024-27130:一组缓冲区溢出漏洞,可能允许经过身份验证的用户通过网络执行任意代码。
34、Veeam存在严重漏洞可允许攻击者身份验证绕过
https://www.veeam.com/kb4581
研究人员发现了一个关键的安全漏洞,可能允许对手绕过身份验证保护。该漏洞编号为CVE-2024-29849(CVSS评分:9.8),可能允许未经身份验证的攻击者以任何用户身份登录Veeam Backup Enterprise Manager的Web界面。该公司还披露了影响同一产品的其他三个缺陷:CVE-2024-29850(CVSS评分:8.8),允许通过NTLM中继进行账户接管。CVE-2024-29851(CVSS评分:7.2),允许特权用户窃取Veeam Backup Enterprise Manager服务账户的NTLM哈希值,如果其未配置为默认的本地系统账户运行。CVE-2024-29852(CVSS评分:2.7),允许特权用户读取备份会话日志。
35、工信部:调用安卓FileProvider组件的移动应用存在高危漏洞
https://www.secrss.com/articles/66240
工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,多个调用安卓操作系统 FileProvider 组件的移动互联网应用程序(以下简称APP)存在路径遍历高危漏洞,可被恶意利用实施网络攻击。
36、特斯拉汽车的开源数据记录器 TeslaLogger 中发现漏洞
https://cybersecuritynews.com/30-tesla-cars-hacked/
一名安全研究人员发现 TeslaLogger(用于从 Tesla 车辆收集数据的第三方软件)中存在一个漏洞,该漏洞利用不安全的默认设置,可被利用来获得对 TeslaLogger 实例的未经授权的访问。
37、llama_cpp_python Python包存在严重漏洞
https://checkmarx.com/blog/llama-drama-critical-vulnerability-cve-2024-34359-threatening-your-software-supply-chain/
研究人员在llama_cpp_python Python包中披露了一个关键的安全漏洞,可能被威胁行为者利用来实现任意代码执行。该漏洞编号为CVE-2024-34359(CVSS评分:9.7),由软件供应链安全公司Checkmarx命名为Llama Drama。如果被利用,它可能允许攻击者在您的系统上执行任意代码,从而破坏数据和操作。llama_cpp_python是llama.cpp库的Python绑定包,是一个流行的包,迄今已有超过300万次下载,使开发人员能够将AI模型与Python集成。
38、严重 SQL 注入漏洞影响 Ivanti Endpoint Manager
https://securityaffairs.com/163587/security/ivanti-endpoint-manager-critical-sql-injection.html
Ivanti 修复了 Endpoint Manager (EPM) 中的多个漏洞,包括远程代码执行漏洞。Ivanti 本周推出了安全补丁,以修复多个严重漏洞。
39、CISA 警告 Apache Flink 安全漏洞可能被利用
https://thehackernews.com/2024/05/cisa-warns-of-actively-exploited-apache.html
美国网络安全和基础设施安全局 (CISA) 周四将影响开源统一流处理和批处理框架 Apache Flink 的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中,并指出有证据表明该漏洞被主动利用。
40、谷歌针对Chrome浏览器的零日漏洞推出了修复程序
https://thehackernews.com/2024/05/google-detects-4th-chrome-zero-day-in.html
谷歌在周四推出了修复程序,以解决其Chrome浏览器中的一个高严重性安全漏洞,该漏洞已在野外被利用。该漏洞被分配了CVE标识符CVE-2024-5274,涉及V8 JavaScript和WebAssembly引擎中的类型混淆错误。该漏洞于2024年5月20日报告。类型混淆漏洞发生在程序试图以不兼容的类型访问资源时。这可能会导致严重后果,因为它允许威胁行为者执行越界内存访问、引发崩溃以及执行任意代码。这是自本月初以来谷歌修补的第四个零日漏洞,此前的漏洞为CVE-2024-4671、CVE-2024-4761和CVE-2024-4947。这家科技巨头没有披露关于该漏洞的更多技术细节,但承认“意识到CVE-2024-5274在野外存在漏洞利用。”目前尚不清楚这一缺陷是否是CVE-2024-4947的修补绕过,后者也是V8中的类型混淆错误。
41、思科 FIREPOWER 管理中心存在高危漏洞
https://securityaffairs.com/163718/security/a-high-severity-vulnerability-affects-cisco-firepower-management-center.html
思科解决了 Firepower 管理中心 (FMC) 软件基于 Web 的管理界面中的 SQL 注入漏洞。
42、Ivanti修补了Endpoint Manager中的关键远程代码执行漏洞
https://thehackernews.com/2024/05/ivanti-patches-critical-remote-code.html
Ivanti在周二推出了多项修复,以解决Endpoint Manager (EPM)中可能在特定情况下被利用实现远程代码执行的多个关键安全漏洞。在这10个漏洞中,有6个漏洞(CVE-2024-29822至CVE-2024-29827,CVSS评分:9.6)涉及SQL注入漏洞,允许同一网络中的未经身份验证的攻击者执行任意代码。剩余的4个漏洞(CVE-2024-29828、CVE-2024-29829、CVE-2024-29830和CVE-2024-29846,CVSS评分:8.4)也属于同一类别,但区别在于它们要求攻击者已通过身份验证。这些缺陷影响Ivanti EPM 2022 SU5及之前版本的核心服务器。公司还修复了Avalanche版本6.4.3.602中的一个高严重性安全漏洞(CVE-2024-29848,CVSS评分:7.2),该漏洞可能允许攻击者通过上传特制文件实现远程代码执行。此外,还发布了其他五个高严重性漏洞的修复补丁:Neurons for ITSM中的SQL注入(CVE-2024-22059)和不受限制的文件上传漏洞(CVE-2024-22060),Connect Secure中的CRLF注入漏洞(CVE-2023-38551),以及Secure Access客户端中的两个本地权限提升问题,分别在Windows(CVE-2023-38042)和Linux(CVE-2023-46810)平台上。
43、TP-Link 游戏路由器漏洞使用户面临远程代码攻击
https://thehackernews.com/2024/05/tp-link-gaming-router-vulnerability.html
TP-Link Archer C5400X 游戏路由器被披露存在一个最高严重性安全漏洞,该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。该漏洞被标记为CVE-2024-5035,CVSS 评分为 10.0。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本。该漏洞已在2024 年 5 月 24 日发布的1_1.1.7 版本中得到修补。
44、SingCERT 警告称,多个 WordPress 插件中发现严重漏洞
https://thecyberexpress.com/wordpress-plugin-vulnerabilities/
SingCERT 报告了 9 个严重的 WordPress 插件漏洞,并分享了缓解策略以避免被威胁行为者利用。
45、CISA 提醒联邦机构修补被利用的 Linux 内核漏洞
https://thehackernews.com/2024/05/cisa-alerts-federal-agencies-to-patch.html
美国网络安全和基础设施安全局 (CISA) 周四将影响 Linux 内核的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中,并指出有证据显示该漏洞存在主动利用。该高严重性问题被标记为CVE-2024-1086(CVSS 评分:7.8),与 netfilter 组件中的释放后使用错误有关,该错误允许本地攻击者将权限从普通用户提升到 root 并可能执行任意代码。
46、Android 更新修补了严重漏洞
https://www.securityweek.com/android-update-patches-critical-vulnerability/
Android 2024 年 5 月的安全更新修复了 38 个漏洞,其中包括系统组件中的一个严重错误。
47、攻击者利用MS Exchange Server漏洞部署恶意键盘记录器
https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/positive-technologies-detects-a-series-of-attacks-via-microsoft-exchange-server/
一个未知的威胁行为者正在利用Microsoft Exchange Server中的已知安全漏洞,部署键盘记录器恶意软件,攻击目标是非洲和中东的实体。研究人员已经发现了超过30个受害者,涵盖政府机构、银行、IT公司和教育机构。首次入侵可追溯到2021年。该键盘记录器将账户凭证收集到一个可以通过互联网特殊路径访问的文件中。被攻击的国家包括俄罗斯、阿联酋、科威特、阿曼、尼日尔、尼日利亚、埃塞俄比亚、毛里求斯、约旦和黎巴嫩。攻击链始于对ProxyShell漏洞(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)的利用,这些漏洞最初由微软在2021年5月修补。
48、严重GitHub Enterprise Server身份验证绕过漏洞已被修复
https://www.securityweek.com/critical-authentication-bypass-resolved-in-github-enterprise-server/
GitHub Enterprise Server 中的严重漏洞允许未经身份验证的攻击者获取管理权限。
49、30% 的 CVE 漏洞利用事件再次发现 Log4Shell
https://www.helpnetsecurity.com/2024/05/14/log4j-wan-insecure-protocols/
虽然零日安全漏洞在业内备受关注,但研究人员发现,威胁攻击者往往不会使用新漏洞,反而喜欢针对未打补丁的系统(有很多带有漏洞的系统,不进行补丁修复安全漏洞),开展网络攻击行动。
50、微软修复了QakBot恶意软件攻击中利用的Windows零日漏洞
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-exploited-in-qakbot-malware-attacks/
微软修复了一个零日漏洞,该漏洞被利用来在易受攻击的Windows系统上传播QakBot和其他恶意软件负载。此权限提升错误被追踪为CVE-2024-30051,是由DWM(桌面窗口管理器)核心库中基于堆的缓冲区溢出引起的。成功利用该漏洞后,攻击者可以获得系统权限。桌面窗口管理器是Windows Vista中引入的一项Windows服务,允许操作系统在渲染玻璃窗框架和3D过渡动画等图形用户界面元素时使用硬件加速。研究人员在调查另一个Windows DWM核心库权限升级漏洞(编号为CVE-2023-36033)时发现了该漏洞,该漏洞也被用作攻击中的零日漏洞。
51、CISA警告D-Link路由器漏洞被积极利用应当立刻修补
https://www.cisa.gov/news-events/alerts/2024/05/16/cisa-adds-three-known-exploited-vulnerabilities-catalog
美国网络安全和基础设施安全局(CISA)周四根据活跃利用的证据,将两个影响D-Link路由器的安全漏洞添加到其已知被利用的漏洞(KEV)目录中。CVE-2014-100005:影响D-Link DIR-600路由器的跨站点请求伪造(CSRF)漏洞,允许攻击者通过劫持现有管理员会话来更改路由器配置。CVE-2021-40655:影响D-Link DIR-605路由器的信息泄露漏洞,允许攻击者通过伪造对/getcfg.php页面的HTTP POST请求来获取用户名和密码。
52、研究人员发布了高危Fortinet RCE的漏洞利用代码
https://www.fortiguard.com/psirt/FG-IR-23-130
安全研究人员已发布了Fortinet安全信息和事件管理(SIEM)解决方案的最高严重性漏洞的概念验证(PoC)利用代码,该漏洞已于今年二月修补。追踪编号为CVE-2024-23108,允许无需身份验证的远程命令执行并以root权限运行。“FortiSIEM主管中的多个操作系统命令中特殊元素中和不当漏洞[CWE-78]可能允许远程未经身份验证的攻击者通过精心构造的API请求执行未经授权的命令,”Fortinet表示。CVE-2024-23108影响FortiClient FortiSIEM 6.4.0及更高版本,并于今年2月8日与另一个10/10严重性评分的RCE漏洞(CVE-2024-23109)一起修补。在最初否认这两个CVE漏洞的真实性并声称它们实际上是十月份修复的类似漏洞(CVE-2023-34992)的重复漏洞后,Fortinet还表示,这些CVE的披露是“系统级错误”,因为它们由于API问题而被错误生成。
53、Check Point发布VPN零日漏洞的紧急修复
https://support.checkpoint.com/results/sk/sk182336
Check Point已发布针对此前在攻击中利用的VPN零日漏洞的热修复程序,该漏洞被用来远程访问防火墙并试图入侵企业网络。周一,该公司首次警告VPN设备攻击激增,并分享了管理员如何保护其设备的建议。后来发现问题的根源是一个零日漏洞,黑客利用该漏洞对其客户进行攻击。该漏洞编号为CVE-2024-24919,是一个高严重性的信息泄露漏洞,使攻击者能够读取在暴露于互联网的Check Point安全网关上启用了远程访问VPN的某些信息。"该漏洞可能允许攻击者读取在互联网连接的网关上启用了远程访问VPN或移动访问功能的某些信息,"Check Point在其之前的公告更新中提到。
54、Eclipse ThreadX 中的漏洞可能导致代码执行
https://www.securityweek.com/vulnerabilities-in-eclipse-threadx-could-lead-to-code-execution/
Humanativa Group 发布了有关 Eclipse ThreadX(一种用于物联网设备的实时操作系统)中发现的多个漏洞的信息。
55、RSAC:CISA 启动漏洞强化计划以应对 NVD 挑战
https://www.infosecurity-magazine.com/news/cisa-launches-vulnrichment-program/
CISA 的 “Vulnrichment ”计划将重点为 CVE 添加元数据,包括通用平台枚举(CPE)编号、通用漏洞评分系统(CVSS)分数、通用弱点枚举(CWE)名称标签和已知漏洞利用(KEV)条目。
56、逾 20 万个Confluence 数据中心实例面临远程代码执行风险
https://www.freebuf.com/news/401663.html
近日,数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山,威胁攻击者能够在这些实例上远程运行任意代码。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683( CVSS 得分为 8.3),经过仔细分析得出,威胁攻击者可以对受影响的系统实施远程代码执行 (RCE) 攻击。
57、CISA警告Apache Flink安全漏洞正在被积极利用
https://www.cisa.gov/news-events/alerts/2024/05/23/cisa-adds-one-known-exploited-vulnerability-catalog
美国网络安全和基础设施安全局(CISA)周四将影响Apache Flink的安全漏洞添加到其已知被利用漏洞(KEV)目录中,引用了活跃利用的证据。该漏洞被追踪为CVE-2020-17519,涉及不当访问控制,可能允许攻击者通过JobManager的REST接口读取本地文件系统上的任何文件。这也意味着远程未经身份验证的攻击者可以发送精心构造的目录遍历请求,从而允许未经授权访问敏感信息。该漏洞影响Flink 1.11.0、1.11.1和1.11.2版本,并在2021年1月的1.11.3或1.12.0版本中得到修复。
58、GhostEngine挖矿利用漏洞驱动程序关闭EDR安全功能
https://thehackernews.com/2024/05/ghostengine-exploits-vulnerable-drivers.html
恶意加密挖矿活动代号'REF4578',部署名为GhostEngine的恶意负载,利用漏洞驱动程序关闭安全产品并部署XMRig矿工。安天的研究人员和国外厂商在分别发布的报告中指出了这些加密挖矿攻击的非同寻常的复杂性,并分享了检测规则以帮助防御者识别和阻止这些攻击。两份报告均未将该活动归因于已知的威胁行为者,也未分享有关目标或受害者的详细信息,因此该活动的来源和范围仍不明。
原文始发于微信公众号(小兵搞安全):2024年安全漏洞动态信息汇总
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论