- 博客(2377)
- 收藏
- 关注
RSS订阅转载 关于VMware vCenter Server存在堆溢出漏洞的安全公告
安全公告编号:CNTA-2024-00182024年10月23日,国家信息安全漏洞共享平台(CNVD)收录了VMware vCenter Server堆溢出漏洞(CNVD-2024-41447,对应CVE-2024-38812)。具有网络访问权限的攻击者可利用漏洞远程执行代码,获取服务器控制权限。官方已于10月21日发布安全公告修复该漏洞,CNVD建议受影响的单位和用户安全升级到最新版本。一、漏洞...
2024-10-24 17:29:17
412
转载 NPM恶意包利用SSH后门攻击开发人员的以太坊钱包
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员发现大量可疑包被发布在注册表中,收割以太坊密钥并通过SSH协议来获得对设备的远程访问权限。Phylum 公司的研究人员在上周发布的分析报告中提到,这些包试图“通过在根用户的 authorized_keys 文件中写入攻击者的SSH公钥,获得对受害者设备的SSH访问权限。”这些恶意包的目的是模拟合法的 ethers 包,如下:ethers...
2024-10-23 17:33:10
417
转载 软件责任机制的挣扎:非常非常非常艰难
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士距离美国国会要求由网络安全专家组成的团队重新思考美国的数字化安全方法已过去六年,基本上该团队提出的所有提案均已执行。不过有一个例外为政策制定者和提倡者带来了持续不断的麻烦:从法律上要求软件公司为因缺陷代码带来的重大损失担责。软件责任是网络空间日晷委员会 (Cyberspace Solarium Commission) 提出的一项标志性建议。该委员...
2024-10-23 17:33:10
381
转载 Bugcrowd 发布2024年《走进黑客内心》报告
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士漏洞众测平台 Bugcrowd 分析了该平台上近1300份调研问卷和采访,发布2024年度《走进黑客内心 (Inside the Mind of a Hacker)》报告,探讨剖析了所看到的黑客社区变化趋势,如对生成式AI的使用和对硬件的hacking。报告提到,“黑客”的定义已被滥用,黑帽白帽都在用。Bugcrowd 在报告中将其定义为“道德黑...
2024-10-22 17:27:03
416
转载 谷歌云漏洞奖励计划发布,最高赏金101010美元
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌云发布新的漏洞奖励计划 (VRP),如研究员能发现相关产品和服务的漏洞,则最高可获得101010美元的奖励。这项新的VRP涵盖了460多款产品和服务,研究人员将与谷歌云安全工程师直接交流,使漏洞能够更快地被诊断、复现和评估。谷歌指出,“虽然更广范围的谷歌VRP已经涵盖了谷歌云,但专门针对谷歌云的VRP能让我们更加深度投入,找到更安全的云。”感...
2024-10-22 17:27:03
399
转载 朝鲜APT被指利用IE 0day 发动供应链攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士威胁情报公司 AhnLab 和韩国国家网络安全中心 (NCSC) 指出,朝鲜黑客组织被指利用 IE 0day (CVE-2024-38178) 发动供应链攻击。该漏洞被描述为脚本引擎内存损坏漏洞,可导致远程攻击者在以IE模式下使用 Edge 的目标系统上执行任意代码。该漏洞的补丁已在8月13日发布,当时微软提到成功利用该漏洞需要用户点击一个构造的...
2024-10-21 17:50:50
427
转载 Roundcube Webmail XSS 漏洞被用于窃取登录凭据
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士未知威胁行动者们被指利用开源网络邮箱软件 Roundcube 中的一个漏洞,发动钓鱼攻击以窃取用户凭据。目前该漏洞已修复。俄罗斯网络安全公司 Positive Technologies 表示,上个月发现一份邮件被发送到位于一个独联体国家的某个政府组织机构。然而,该邮件最初已在2024年6月发送。该公司在本周早些时候发布的一份分析报告中提到,“该邮...
2024-10-21 17:50:50
415
转载 F5 BIG-IP 修复高危提权漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周三,F5发布2024年10月季度安全通知,修复了位于BIG-IP和BIG-IQ企业产品中的两个漏洞。BIG-IP 更新修复了一个高危安全漏洞CVE-2024-45844,影响设备的监控功能,可导致认证攻击者提权并更改配置。F5公司在安全公告中提到,“该漏洞可能导致具有管理者 (Manager) 角色或更高权限的认证攻击者访问配置 (Confi...
2024-10-18 18:05:51
376
转载 Kubernetes Image Builder 严重漏洞导致节点易遭root访问
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Kubernetes Image Bulder 中存在一个严重漏洞 (CVE-2024-9486),在某些情况下可被滥用于获取 root 访问权限。该漏洞已在0.1.38中修复,项目维护人员向发现并报送该漏洞的研究员 Nicolai Rybnikar 致谢。Red Hat 公司的 Joel Smith 在一份告警中提醒称,“Kubernetes ...
2024-10-18 18:05:51
345
转载 谷歌:2023年70%的已遭利用漏洞是0day
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌 Mandiant 安全分析师提醒称,威胁行动者在发现和利用软件0day漏洞方面的能力变得更强,这一趋势令人担忧。具体而言,在2023年遭活跃利用的138个漏洞中,97个(70.3%)遭利用时是0day漏洞。这意味着在受影响厂商获悉或修复漏洞前,威胁行动者们就已经将漏洞用于攻击中。谷歌提到,从2020年到2022年,nday (已修复漏洞)和...
2024-10-17 18:12:34
310
转载 VMware 修复HCX 平台上可导致RCE的高危SQLi 漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士周三,VMware 督促面向企业的 HCX 应用移动平台用户修复一个严重的远程代码执行漏洞 (CVE-2024-38814)。该漏洞的CVSS评分为8.8,可导致具有非管理员权限的攻击者在 HCX 管理器上执行远程代码。VMware 发布安全公告提到,“具有非管理员权限的恶意认证用户能够输入特殊构造的SQL查询并在HCX管理器上执行越权远程代码执...
2024-10-17 18:12:34
292
转载 GitHub Enterprise Server中存在严重漏洞,可越权访问实例
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitHub 发布Enterprise Server (GHES) 安全更新,修复了多个问题,其中一个严重漏洞CVE-2024-9487(CVSS评分9.5)可导致越权访问实例。GitHub 提到,“攻击者可利用可选加密断言特性,绕过SAML 单点登录 (SSO) 认证,导致越权用户利用 GitHub Enterprise Server 中存在的...
2024-10-16 18:12:49
455
转载 Python、npm和开源生态系统中的入口点可用于发动供应链攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员发现入口点可在多个程序生态系统,如 PyPI、npm、Ruby Gems、NuGet、Dart Pub 和 Rust Crates 中被滥用于发动软件供应链攻击。Checkmarx 公司的研究员 Yehuda Gelb 和 Elad Rapaport 在一份报告中提到,“攻击者可利用这些入口点在特定命令运行时执行恶意代码,从而为开源...
2024-10-15 17:58:26
430
转载 2016年就已存在,Jetpack 中的这个严重漏洞终于被修复了
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士WordPress 插件 Jetpack 发布重要安全更新,修复了一个2016年就已存在的严重漏洞,它可导致已登录用户访问其它访客提交的表单,影响2700万个站点。Jetpack 是由 Automattic 研发的流行 WordPress 插件。该公司专门提供用于增强网站功能、安全和性能的工具。该漏洞是在一次内部审计时发现的,影响自2016年发布...
2024-10-15 17:58:26
433
转载 ShadowLogic 技术利用AI模型图创建无代码后门,可引发供应链攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士AI安全公司 HiddenLayer 发布报告称,操纵AI模型图可在机器学习 (ML) 模型中植入无代码的可持久后门。该技术名为 ShadowLogic,凭借操作模型架构的计算图表示,在下游应用程序中触发攻击者定义行为,可能引发AI供应链攻击。传统后门旨在绕过安全控制,提供对系统的越权访问权限,而AI模型也可滥用于在系统上创建后门,或者被劫持生成...
2024-10-14 17:55:16
407
转载 Palo Alto 修复多个严重的防火墙漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周三,Palo Alto Networks 公司修复了位于 Expedition 客户迁移工具中的多个严重漏洞,并提醒称攻击者可借此接管防火墙管理员账户。这些漏洞由 Horizon3.ai 发现并记录,可导致攻击者读取 Expedition 数据库内容和任意文件,以及将任意文件写入位于 Expedition 系统中的临时存储位置。从该公司发布的...
2024-10-14 17:55:16
489
转载 CISA:黑客滥用F5 BIG-IP cookie 映射内部服务器
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士CISA 提醒称,威胁行动者正在滥用未加密的可持久性 F5 BIG-IP cookie 来识别和攻击位于目标网络上的内部设备。通过映射内部设备,威胁行动者们在网络安全的规划阶段,可识别网络上的易受攻击设备。CISA提醒称,“CISA 发现网络威胁行动者们利用由 F5 BIG-IP 本地流量管理器 (LTM) 模块管理的未加密可持久性 cookie...
2024-10-12 17:56:35
401
转载 OpenAI:伊朗国家黑客利用 ChatGPT 密谋 ICS 攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OpenAI 最近发布一份报告称,从今年开始,该公司已阻断超过20起网络攻击和隐秘的影响行动,包括伊朗国家黑客组织攻击活动。报告中提到了三个黑客组织滥用 ChatGPT 发动网络攻击。其中一个组织与伊斯兰革命卫队 (IRGC) 有关,它因攻击水行业而在今年频上头条。CyberAv3ngers 黑客组织这些攻击活动中并未牵涉复杂的入侵行为,而是利用...
2024-10-12 17:56:35
396
转载 GitLab:注意严重的任意分支管道执行漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 发布安全更新,修复了位于社区版 (CE) 和企业版 (EE) 中的多个漏洞,其中一个是严重的任意分支管道执行漏洞 (CVE-2024-9164)。该漏洞可导致未授权用户在仓库的任何分支上触发持续集成/持续交付 (CI/CD) 管道。CI/CD管道是执行多种任务如构建、测试和部署代码的自动化流程,通常仅向具有恰当权限的用户开放。如攻击...
2024-10-11 17:57:18
438
转载 谷歌应用商店突然下架卡巴斯基所有产品
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士最近,谷歌从应用商店中踢出卡巴斯基的安卓安全应用并禁用了该公司的开发者账户。上上周,用户报告称,卡巴斯基的产品(包括卡巴斯基Endpoint Security和VPN & Antivirus)无法从美国及世界其它地区的谷歌应用商店获取。当时卡巴斯基在其官网论坛上证实了这一情况,并推荐用户从其它应用市场如 Galaxy Store、Huaw...
2024-10-11 17:57:18
398
转载 Internet Archive 被黑,影响3100万名用户
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士一名威胁行动者攻陷 “互联网档案馆 (Internet Archive)”的“时间回溯机 (The Wayback Machine)”网站,窃取了包含3100万条唯一记录的用户认证数据库,导致该网站的数据遭泄露。本周三下午,archive.org网站访客看到由该黑客创建的一条 JavaScript 报警信息称 Internet Archive 遭...
2024-10-10 18:16:00
393
转载 Mozilla 修复已遭利用的 Firefox 0day漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞已遭利用。该漏洞由 ESET 公司的研究员 Damien Schaeffer发现,是位于 Animation 时间线中的一个释放后使用 (UAF) 漏洞。当被释放的内存仍由程序所使用时就会发生这类漏洞,可导致恶意...
2024-10-10 18:16:00
428
转载 Ivanti 中的3个0day已遭活跃利用
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Ivanti 公司提醒称影响其云服务设备 (CSA) 的三个新漏洞已遭在野活跃利用。这些0day漏洞与CSA中上个月修复的另外一个漏洞组合利用。这些漏洞遭成功利用可导致具有管理员权限的认证攻击者绕过限制、运行任意SQL语句或获得远程代码执行权限。Ivanti 公司提到,“我们发现运行CSA 4.6 补丁518及之前版本的数量有限的客户遭CVE-2...
2024-10-09 17:28:32
434
转载 Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache Avro Java SDK 中存在一个严重漏洞 (CVE-2024-47561),如被成功利用可导致攻击者在可疑实例上执行任意代码。该漏洞影响 Apahe Avro Java SDK所有1.11.4之前的版本。项目维护人员在上周发布的安全公告中提到,“在 Apache Avro 1.11.3和之前版本 Java SDK中的架构解析可...
2024-10-08 17:31:19
502
转载 高通修复已遭利用的高危0day漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士高通修复了位于 Digital Signal Processor (DSP) 服务中的一个高危 0day 漏洞 (CVE-2024-43047),它影响数十个芯片集。该漏洞由谷歌 Project Zero 团队的研究员 Seth Jenkins 和 Amnesty International Security Lab 公司的研究员 Conghui...
2024-10-08 17:31:19
717
转载 超过三分之一的员工与AI共享工作机密
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士CybSafe 公司及国家网络安全联盟 (NCA) 调查发现,超过三分之一(38%)的员工会在未经过雇主授权的情况下与AI工具分享敏感的工作信息。报告提到,这种行为在更年轻一代的员工中尤为突出。在受访者中,大约一半 (46%) 的Z世代和43%的千禧一代承认在雇主不知情的情况下与AI工具共享敏感的工作信息。CybSafe 公司调查的受访人员超过7...
2024-09-30 17:14:30
428
转载 PHP中存在多个漏洞,速修复
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士最近,PHP 项目发布安全公告,修复了影响PHP多个版本的多个漏洞。这些漏洞包括潜在的日志篡改、任意文件包含、破坏数据完整性等。强烈建议所有的PHP用户立即将系统更新至最新的修复版本。主要漏洞及其影响CVE-2024-9026是位于PHP-FPM 中的日志篡改漏洞,可导致PHP-FPM 中的日志遭操纵,从而导致攻击者插入过多字符或者从日志条目中删...
2024-09-30 17:14:30
476
转载 Progress:尽快修复 WhatsUp Gold 中的多个严重漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Progress Software 公司提醒客户,尽快修复 WhatsUp Gold 网络监控工具中的多个严重和高危漏洞。然而,尽管 Progess 公司已发布 WhatsUp Gold 24.0.1,在上周五修复了这些问题并在上周二发布安全公告,但尚未发布任何漏洞详情。该公司提醒客户称,“WhatsUp Gold 团队在24.0.1以下版本中发...
2024-09-29 17:54:12
412
转载 英伟达容器工具集中存在严重漏洞,攻击者可获得完全的主机权限
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士英伟达容器工具集 (NVIDIA Container Toolkit) 中存在一个严重漏洞,如遭成功利用可导致攻击者突破容器限制并获得对底层主机的完全访问权限。该漏洞的编号是CVE-2024-0132,CVSS评分为9.0,已在 NVIDIA Container Toolkit v1.16.2和NVIDIA GPU Operator 24.6.2...
2024-09-29 17:54:12
439
转载 CUPS 缺陷可被用于在 Linux 系统上执行远程代码
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士在某些条件下,攻击者可组合利用位于开源打印系统 CUPS 多个组件中的一系列漏洞,在易受攻击机器上远程执行任意代码。这些漏洞的编号是CVE-2024-47076 (libcupsfilters)、CVE-2024-47175 (libppd)、CVE-2024-47176 (cups-browsed) 和 CVE-2024-47177 (cups...
2024-09-27 17:44:57
950
转载 仅凭车牌就能远程控制起亚汽车,漏洞已修复
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员披露了位于 Kia(“起亚”)汽车中的多个漏洞,如遭利用,可导致攻击者仅凭一个车牌就远程控制车辆的关键功能。目前漏洞已修复。研究人员 Neiko Rivera、Sam Curry、Justin Rhinehart 和 Ian Carroll 表示,“这些攻击可在大约30秒内,在任何配备硬件的汽车上远程执行,不管机主是否订阅了 Kia...
2024-09-27 17:44:57
713
转载 2025 Pwn2Own东京汽车大赛公布目标和奖金
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士ZDI公布了2025年东京Pwn2Own 汽车大赛的目标和赏金。大赛将是ZDI举办的第二届汽车大赛,将于2025年1月22-24日举办。在今年年初举办的第一届汽车大赛上,ZDI共为49个唯一0day漏洞颁发1323750美元的奖金。ZDI提到,大赛将仍然与全球车用安全厂商VicOne合作举办,特斯拉仍然是赞助商。本次大会的现金和奖金池超过100万...
2024-09-26 17:34:14
648
转载 10个严重漏洞导致数千燃油储罐易受攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士信息安全研究人员表示,由于多家厂商的自动液位计 (Automatic Tank Gauge, ATGs) 系统中存在漏洞,导致位于关键基础设施中的数万个燃油储罐易受 0day 攻击。ATGs 用于监控存储罐中的燃油量并确保存储罐不会泄露。今天披露的这十个CVE漏洞位于多家不同厂商的产品中:多佛燃料解决方案公司 (DFS)、OPW 燃油管理系统(归...
2024-09-25 17:28:03
551
转载 CISA:这个严重的 Ivanti vTM 漏洞已遭利用
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施局 (CISA) 周二将影响 Ivanti Virtual Traffic Manager (vTM) 的一个严重漏洞纳入必修清单 (KEV)。该漏洞是CVE-2024-7593,CVSS评分9.8,可被远程未认证攻击者绕过管理面板认证并创建恶意管理员用户。CISA提到,“Ivanti Virtual Traffic Man...
2024-09-25 17:28:03
544
转载 CISA:不安全软件的生产者就是恶棍的帮凶
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施安全局局长 Jen Easterly 指出,交付有漏洞的不安全代码的软件供应商是网络犯罪中真正的坏人。Easterly 在本周三 Mandiant 公司举行的 mWise 大会上发布主旨演讲时提到,“真相是:技术厂商就是”在自身产品中“构造问题”,“为恶棍攻击受害者敞开大门”。她还呼吁观众停止用花哨诗意的名称“美化”犯罪团伙...
2024-09-24 17:52:30
569
转载 无提前通知,卡巴斯基自动删除并替换为 UltraAV
得了聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士从本周四开始,俄罗斯网络安全公司卡巴斯基就从美国所有的客户计算机中删除了其杀毒软件,并替换为 UltraAV 的杀毒解决方案。今年6月份美国政府将卡巴斯基列入实体清单后,卡巴斯基决定关闭美国运营中心并裁撤位于美国的员工。6月20日,拜登政府还宣布因国家安全风险问题,从2024年9月29日开始禁止出售和卡巴斯基杀毒软件进行软件更新。为此,7月份...
2024-09-24 17:52:30
595
转载 CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施局 (CISA) 将五个缺陷纳入必修清单,其中一个是影响 Apache HugeGraph-Server 的远程代码执行 (RCE) 漏洞CVE-2024-27348。该漏洞是严重等级(CVSS v3.1 评分9.8)的访问控制不当漏洞,影响 HugeGraph-Server 1.0.0至1.3.0(不包括)版本。Apach...
2024-09-23 18:15:57
525
转载 速修复!FreeBSD 中存在严重漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士FreeBSD 发布安全公告称,bhyve 管理程序的USB仿真功能中存在严重漏洞CVE-2024-41721,CVSS评分为9.8。具体而言,当该USB仿真功能配置为仿真虚拟USB控制器 (XHCI) 上的设备时,就会触发该漏洞。它可导致恶意代码执行后果,从而对运行易受攻击 FreeBSD版本的系统造成严重威胁。Bhyve 是一款管理程序,旨在...
2024-09-23 18:15:57
503
转载 微软SQL服务器漏洞被用于攻击承包商软件
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Huntress 公司的安全研究人员提到,威胁行动者们正在利用管路系统、HVAC、混凝土子行业中的活跃利用,攻击建筑行业一般承包商常用的Foundation会计软件。研究人员最初在9月14日追踪活动时发现该威胁,他们提到,“引起我们注意的是来自 sqlservr.exe 一个父进程中的主机/域名枚举命令。”该应用使用的软件包括用于处理其数据库操作...
2024-09-20 18:06:01
512
转载 CISA、FBI督促消除XSS漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全局CISA和FBI针对普遍存在的XSS漏洞发布“设计即安全”的警告,督促组织机构消除产品中的XSS漏洞。XSS漏洞即跨站点脚本漏洞,CISA和FBI指出,这些漏洞存在的原因是未对用户输入进行正确验证、清理或逃逸,因此导致威胁行动者将恶意脚本注入 web 应用中,从而导致数据操纵、盗取或滥用。CISA和FBI指出,“尽管一些开发人员使用...
2024-09-19 18:09:53
597
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人