英伟达证书泄漏、CISA增加95个必修漏洞｜3月7日全球网络安全热点

安全资讯报告

Nvidia代码签名证书被黑客泄露

英伟达的代码签名证书是这家GPU巨头被黑客入侵后被窃取泄露的大量文件之一。恶意软件样本数据库VirusTotal中至少有两个不是由Nvidia开发，但在本周用被盗证书签名的二进制文件，它们看起来是Nvidia程序。

入侵Nvidia的Lapsus$组织声称窃取了该公司许多文件，包括凭据、源代码和文档，该组织试图勒索Nvidia，并从其GPU固件中删除加密限制。去年，Nvidia为其RTX 30系列显卡在其驱动程序中引入了一项名为LiteHashRate（简称LHR）的技术。

根据该组织的Telegram页面，Lapsus$威胁Nvidia公开发布更多内部材料和芯片蓝图细节，除非该公司承诺移除LHR。Nvidia会屈服于这种敲诈勒索似乎完全令人难以置信。该团伙还希望Nvidia开源其适用于Mac、Linux和Windows PC的驱动程序。

根据HaveI Been Pwned的说法，泄露的数据中有“超过70,000个员工电子邮件地址和NTLM密码哈希，其中许多随后被破解并在黑客社区中传播。”

新闻来源：
https://www.theregister.com/2022/03/05/nvidia_stolen_certificate/

恶意软件可以逃避基于人工智能的防御

Deep Instinct本周发布的最新网络威胁态势报告显示，恶意软件攻击者正在投资于反人工智能和对抗性攻击技术，并将这些方法整合到他们更大的规避策略中。

与早期的攻击者模式形成鲜明对比，即攻击者希望长时间留在网络中，窃取信息并尽可能长时间地避免从安全解决方案中检测到。

Deep Instinct研究和深度学习副总裁Shimon Oren说：“我们看到恶意软件和活动普遍增加，这些恶意软件和活动专门用于规避基于AI的解决方案，无论是基于实际的对抗性学习还是其他规避方法。这些活动不仅旨在规避一般的安全解决方案，而且专门规避那些基于人工智能或任何类型的机器学习实现的解决方案，这些解决方案是目前的大多数解决方案。”

该报告还指出零日漏洞的利用速度更快。2021年，重大漏洞在披露后的一天内就被利用和使用。威胁参与者也一直在转向使用更新的语言，例如Python和Go，这些语言易于学习，但也不太容易被安全工具检测到。

报告还强调了对Linux系统的威胁越来越多。现在在Linux上构建的压力很大，这种压力会持续下去，在许多情况下，攻击Windows并在Windows机器和基于Windows的环境中站稳脚跟将成为横向迁移到云的一个跳跃点。

新闻来源：
https://betanews.com/2022/03/03/malware-is-being-geared-to-evade-ai-based-defenses/

安全漏洞威胁

Mozilla发布了Firefox更新，修复了两个关键漏洞

两个漏洞编号为CVE-2022-26485和CVE-2022-26486。

第一个漏洞是对XSLT参数的错误处理，Firefox无法正确释放内存，从而使攻击者可以在目标计算机上运行任意代码。第二个漏洞允许绕过现有的安全机制，例如，通过浏览器注入恶意软件，这是一个沙盒逃逸漏洞。

根据Mozilla的说法，这两个漏洞已经在野外被积极利用，建议所有用户尽快升级Firefox浏览器。

新闻来源：
https://tarnkappe.info/artikel/internet/firefox-wegen-zwei-kritischen-bugs-unbedingt-updaten-216773.html

新的Linux内核cgroups漏洞可能导致容器逃逸

有关Linux内核中现已修补的高严重性漏洞的详细信息已经出现，该漏洞可能被滥用以逃避容器，以便在容器主机上执行任意命令。

缺点在于称为控制组的Linux内核功能，也称为cgroups版本1(v1)，它允许将进程组织成分层组，从而可以限制和监视CPU、内存等资源的使用情况、磁盘I/O和网络。

跟踪为CVE-2022-0492（CVSS评分：7.0），该问题涉及cgroupsv1release_agent功能中的特权升级案例，该脚本在cgroup中的任何进程终止后执行。

“这个问题是最近发现的最简单的Linux特权升级之一：Linux内核错误地将特权操作暴露给非特权用户，”Unit42研究员Yuval Avrahami在本周发布的一份报告中说。

Palo Alto Networks威胁情报团队指出，该漏洞是由于缺少验证来检查设置release_agent文件的进程是否具有管理权限，从而使其成熟，可以利用。

换句话说，如果这个release_agent文件被攻击者覆盖，内核可以被强制调用在发布代理中配置的具有最高权限的任意二进制文件——这种情况可以有效地完全接管系统。

新闻来源：
https://thehackernews.com/2022/03/new-linux-kernel-cgroups-vulnerability.html

CISA在其必修漏洞清单中增加了95个漏洞

美国网络安全和基础设施安全局(CISA)刚刚在其已知已利用漏洞目录中添加了多达95个新漏洞，包括多个关键的Cisco路由器漏洞、新旧Windows漏洞以及Adobe Flash Player中的漏洞等。

CISA在其已知利用漏洞目录中添加了95个新漏洞，这些漏洞是恶意攻击参与者的常见攻击媒介。

加入CISA列表的Windows漏洞CVE-2021-41379在11月被用于攻击客户。思科的Talos研究人员发现了针对影响Windows 11及更早版本的特权提升漏洞的恶意软件。

思科路由器的多个漏洞严重性等级为10分（满分10分），思科在2月发布了固件更新，以解决其RV系列路由器中的多个严重缺陷。

这些漏洞允许攻击者执行恶意代码、提升权限、运行随机命令、使设备脱机、绕过身份验证等。它们影响了思科小型企业RV160、RV260、RV340和RV345系列路由器。

根据具有约束力的操作指令(BOD)22-01，官员有义务在截止日期内对CISA的漏洞警报采取行动。在这种情况下，从供应商处应用这些更新的截止日期是3月，这表明CISA认为各机构快速响应的重要性。CISA已敦促所有其他组织应用更新以减少其遭受网络攻击的风险。

新闻来源：
https://www.zdnet.com/article/get-patching-now-cisa-adds-another-95-flaws-to-its-known-exploited-vulnerabilities-list/

新的安全漏洞影响数千个自我管理的GitLab

研究人员披露了开源DevOps软件GitLab中的一个新安全漏洞的详细信息，该漏洞可能允许远程、未经身份验证的攻击者恢复与用户相关的信息。

跟踪为CVE-2021-4191（CVSS分数：5.3），中等严重性漏洞影响从13.0开始的GitLab社区版和企业版的所有版本以及从14.4开始和14.8之前的所有版本。

Rapid7的高级安全研究员Jake Baines发现并报告了该漏洞。在2021年11月18日负责任的披露之后，作为2022年2月25日发布的GitLab关键安全版本14.8.2、14.7.4和14.6.5的一部分，为自我管理的服务器发布了补丁。

“该漏洞是在执行某些GitLab GraphQL API查询时缺少身份验证检查的结果，”贝恩斯在周四发布的一份报告中说。“未经身份验证的远程攻击者可以利用此漏洞收集已注册的GitLab用户名、姓名和电子邮件地址。”

成功利用API信息泄漏可以允许恶意行为者枚举和编译属于目标的合法用户名列表，然后可以将其用作进行暴力攻击的垫脚石，包括密码猜测、密码喷洒和凭证填充。

新闻来源：
https://thehackernews.com/2022/03/new-security-vulnerability-affects.html