国内外要闻
7 - Zip存在高危漏洞,请立刻更新
2024 年 11 月 24 日,do son 报道了 7 - Zip 中存在的一个高严重性漏洞 CVE - 2024 - 11477。7 - Zip 是一款广受欢迎的文件压缩软件,而这个漏洞可能会让攻击者在存在漏洞的系统中执行恶意代码。
该漏洞由趋势科技安全研究人员 Nicholas Zubrisky 发现,问题出在 7 - Zip 程序的 Zstandard 减压功能上。由于对用户提供的数据验证不充分,会产生整数下溢的情况,这就为攻击者在受影响的进程中执行任意代码提供了机会。
此漏洞的 CVSS 评分为 7.8,意味着风险相当大。攻击者能够通过诱骗用户打开特别制作的存档文件来利用这个漏洞。一旦漏洞被成功利用,后果不堪设想,从数据被盗取到整个系统被完全控制都有可能发生。安全公告中提到,“要利用这个漏洞需要与该库进行交互,但攻击向量可能因具体实现方式的不同而有所变化”。
为了防止受到攻击,用户被强烈要求立即更新到 7 - Zip 24.07 或更高版本,因为最新版本已经解决了这个漏洞和整数下溢的缺陷。
WordPress 关键反垃圾插件漏洞使 20 万 + 网站面临远程攻击风险
2024年11月26日,Ravie Lakshmanan报道了一则令人担忧的消息:WordPress的反垃圾插件存在两个关键安全漏洞,分别为CVE - 2024 - 10542和CVE - 2024 - 10781,这些漏洞对网站安全构成严重威胁。该反垃圾、防火墙插件被宣传为能阻止垃圾评论、注册等的“通用反垃圾插件”,安装量超过20万个WordPress站点。
这两个漏洞非常严重,CVSS评分高达9.8。它们都涉及授权绕过问题,CVE - 2024 - 10781是由于在6.44及之前版本的“perform”函数中没有对“api_key”值进行空值检查,导致攻击者能够进行未经授权的任意插件安装。而CVE - 2024 - 10542则是通过checkWithoutToken()函数上的反向DNS欺骗实现授权绕过。无论通过哪种方式绕过授权,攻击者一旦成功利用漏洞,就可以在受影响的网站上随意安装、激活、停用甚至卸载插件,更可怕的是,攻击者可能会通过安装恶意插件来实现远程代码执行。
在本月发布的6.44和6.45版本中,这些漏洞已得到修复。因此,插件用户务必将站点更新到最新版本,防止潜在的威胁。此外,Sucuri也发出警告,目前存在多个利用被入侵的WordPress网站进行恶意操作的活动,比如注入恶意代码,这些代码会通过虚假广告重定向网站访客,窃取登录凭证,投放捕获管理员密码的恶意软件,将用户重定向到VexTrio Viper诈骗网站,甚至在服务器上执行任意PHP代码,网站安全形势严峻。
Intruder 发布 Intel:一个助力领先最新威胁的免费漏洞情报平台
2024年11月26日,The Hacker News报道了Intruder发布的Intel——一个免费的漏洞情报平台,旨在帮助用户领先于最新威胁。
在网络安全领域,当漏洞(CVEs)广泛传播时,从众多信息中甄别出关键漏洞对保护组织安全至关重要。Intruder作为攻击面管理的领先者,构建了Intel平台。这个平台的诞生是为了填补追踪新兴漏洞资源方面的空白。去年,Intruder的一个常用工具关闭后,他们便着手打造这样一个不仅能满足自身需求,还能造福整个信息安全社区的解决方案。
Intel会追踪过去24小时内最热门的漏洞(CVEs),并给每个漏洞赋予一个“热度评分”(满分100),该评分以年内最高热度为基准。除了提供实时洞察外,Intel还有Intruder安全团队的专家评论,并整合了来自美国国家标准与技术研究院(NVD)和美国网络安全与基础设施安全局(CISA)等可靠来源的最新信息,将所有信息汇集一处。
Intel在五个方面帮助用户保持领先:一是能够让用户紧跟趋势,即时了解哪些漏洞在社交媒体上受到关注,确保用户知晓潜在高风险的CVEs;二是帮助用户理解漏洞热度,热度评分能让用户快速衡量和判断一个CVE所受到的关注程度;三是有专家提供背景分析,通过Intruder安全团队的分析,用户能更好地理解关键CVEs的实际影响,评估自身环境是否面临风险;四是提供集中的CVE洞察,Intel通过在一处提供最新信息(包括风险评分、已知漏洞利用等)来简化用户的研究;五是提供实时更新,通过Intel的RSS订阅源,每小时直接向用户的控制面板推送更新,确保用户不会错过热门CVE。用户可以从今天开始使用Intel,拨开迷雾,专注于最重要的威胁。
RomCom 利用火狐与 Windows 零日漏洞发动复杂网络攻击
2024年11月26日消息,与俄罗斯有关联的威胁行为体RomCom利用火狐和Windows的零日漏洞发动复杂网络攻击。
涉及的两个漏洞分别为:CVE - 2024 - 9680,是Firefox动画组件中的释放后使用漏洞,CVSS评分9.8,Mozilla于2024年10月修复;CVE - 2024 - 49039,为Windows任务计划程序中的权限提升漏洞,CVSS评分8.8,微软在2024年11月修复。
RomCom,又名多个别称,自2023年起就有网络犯罪和间谍活动记录。其攻击中会部署RomCom RAT恶意软件,能在受害者机器执行命令、下载模块。攻击链是利用虚假网站(economistjournal[.]cloud)将受害者重定向到托管恶意载荷的服务器(redjournal[.]cloud),借此串联两个漏洞实现代码执行并植入RomCom RAT。
关于攻击过程,虽不清楚虚假网站链接分发方式,但从易受攻击的Firefox版本访问该网站就会触发漏洞。访问相关网页时,外壳代码在内容进程执行,由两部分组成,最终实现Firefox沙箱逃逸,借助嵌入式库“PocLowIL”利用Windows任务计划程序漏洞获提升权限,得以在受感染系统下载执行RomCom RAT。ESET遥测数据显示,多数受害者位于欧洲和北美。
此外,CVE - 2024 - 49039由谷歌威胁分析小组发现并报告给微软,可能有多威胁行为体利用。这也是RomCom第二次利用零日漏洞,此前2023年6月曾通过Microsoft Word滥用过其他漏洞,此次利用凸显其获取隐蔽能力的手段和意愿。
CISA 督促各机构在遭受攻击期间修补 Array Networks 关键漏洞
近年2024年11月26日消息,美国网络安全与基础设施安全局(CISA)因有报告显示相关漏洞在野外被积极利用,将影响Array Networks AG和vxAG安全访问网关的关键安全漏洞(CVE-2023-28461,CVSS评分9.8)添加到已知被利用漏洞(KEV)目录。
此漏洞存在缺失认证问题,可被利用实现远程任意代码执行。Array Networks早在2023年3月就发布了修复版本(9.4.0.484)。其原理是攻击者能利用HTTP头中的flags属性,在无需认证的情况下于SSL VPN网关上浏览文件系统或执行远程代码,通过易受攻击的URL便可实施利用。
此前,趋势科技透露与中国有关联的网络间谍组织Earth Kasha(又名MirrorFace),一直在利用包括Array AG此漏洞在内的多款面向公众企业产品的安全漏洞获取初始访问权限。Earth Kasha常以日本实体为主要目标,近年也攻击过台湾、印度和欧洲等地。
本月早些时候,ESET还披露Earth Kasha针对欧盟某外交实体的活动,利用2025年大阪世界博览会作诱饵投放名为ANEL的后门。 鉴于该漏洞正遭积极利用,联邦民用行政部门(FCEB)机构被建议在2024年12月16日前应用补丁保障网络安全。
同时,据VulnCheck报告,在60个被点名的威胁行为体中,有15个中国黑客组织与2023年最常被利用的15个漏洞中至少一个漏洞的滥用有关,且已确定超440,000个暴露于互联网且可能易受攻击的主机。
相关人士建议组织评估自身对相关技术的暴露情况,强化风险监控,利用威胁情报,做好补丁管理并实施缓解控制措施以减少设备互联网暴露。
知识分享
识别网络钓鱼诈骗的方法可疑的发件人(Suspicious Sender)
通用问候语(Generic Greetings)
制造紧迫感(Sense of Urgency)
不寻常的请求(Unusual Requests)
链接和附件(Links and Attachments)
OSI Model VS TCP/IP Model
OSI 模型分为 7 层,每层都有特定的功能。物理层规定了介质的物理特性,涉及电气连接和无线传输,硬件包括电线、光纤等。数据链路层负责节点间通信和数据传输,并附加物理地址,相关硬件是网络接口卡,协议有 ARP 和 Ethernet。网络层连接不同网络的主机,处理逻辑寻址,硬件是路由器,协议为 IP。传输层确保数据无丢失和进行流量控制,相关协议有 TCP 和 UDP。会话层控制主机间通信会话。表示层格式化数据,并能加密和解密数据,协议包括 SSL 和 TLS。应用层最接近用户,是用户与网络的接口,协议有 HTTP 和 FTP。
TCP/IP 模型分为 4 层。网络接口层结合了 OSI 模型物理层和数据链路层的功能,硬件包括网络接口卡、蓝牙、ISDN 等,协议有 Ethernet 和 L2TP。互联网层类似 OSI 模型的网络层,处理 IP 地址和路由,硬件为路由器,协议有 IP 和 ICMP。传输层与 OSI 模型的传输层功能相同,确保数据无丢失。应用层合并了 OSI 模型的会话层、表示层和应用层的功能,协议有 HTTP、FTP 和 SMTP 等。
