Linux 内核漏洞CVE-2023-6200 可导致代码执行
发布时间 2024-01-301. Linux 内核漏洞CVE-2023-6200 可导致代码执行
1月28日,Linux 内核的 IPv6 实现中发现了一个新漏洞。该缺陷被识别为 CVE-2023-6200,CVSS 得分高达 7.5,暴露了 ICMPv6 数据包(IPv6协议的关键组成部分)处理过程中的关键竞争条件。ICMPv6 是 IPv4 中 ICMP 的后继者,对于错误报告和诊断至关重要。它的操作方式与 IPv4 类似,生成“目标无法到达”等错误消息以及回显请求和回复等信息消息。然而,ICMPv6 在 IPv6 中脱颖而出,它使用多播地址的邻居发现,而不是 IPv4 的带有广播地址的 ARP。当处理 ICMPv6 路由器通告数据包时,所识别的竞争条件发生在 Linux 内核中。具体来说,函数‘ndisc_router_discovery()’在收到这样的数据包时被调用。如果数据包包含具有生命周期的路由信息,“fib6_set_expires()”会将其链接到“gc_link”。当“fib6_clean_expires()”取消链接“struct fib6_info”中过期的“gc_link”时,就会出现此问题,可能会导致释放后使用 (UAF) 情况。当其他“struct fib6_info”尝试链接/取消链接到同一个“gc_link”或遍历“gc_link”时,可能会发生这种情况。
2. WhiteSnake InfoStealer 恶意软件通过 PyPI 软件包传播
1月29日,网络安全研究人员在开源 Python 包索引 (PyPI) 存储库中发现了恶意包,这些包在 Windows 系统上传播名为WhiteSnake Stealer的信息窃取恶意软件。这些包含恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。Fortinet FortiGuard 实验室在上周发布的一份分析报告中表示:“这些软件包在其 setup.py 文件中合并了 Base64 编码的 PE 源代码或其他 Python 脚本。”“根据受害者设备的操作系统,最终的恶意负载会在安装这些 Python 包时被删除并执行。”虽然 Windows 系统感染了 WhiteSnake Stealer,但受感染的 Linux 主机却收到了旨在收集信息的 Python 脚本。该活动主要针对 Windows 用户,与JFrog 和 Checkmarx 去年披露的先前活动重叠。
3. 美国国家安全局承认在没有授权的情况下购买互联网浏览数据
1月29日,美国参议员罗恩·怀登 (Ron Wyden) 上周表示,美国国家安全局 (NSA) 承认从数据经纪人那里购买互联网浏览记录,以识别美国人使用的网站和应用程序,否则需要法院命令。怀登在给国家情报总监艾薇儿·海恩斯 (Avril Haines) 的一封信中表示,“美国政府不应该资助一个黑幕行业并使其合法化,该行业公然侵犯美国人的隐私不仅是不道德的,而且是非法的。”采取措施“确保美国情报机构只购买以合法方式获得的美国人的数据”。有关用户浏览习惯的元数据可能会带来严重的隐私风险,因为这些信息可用于根据个人经常访问的网站收集个人详细信息。美国国家安全局表示,它已经制定了合规制度,并“采取措施尽量减少对美国个人信息的收集”,并“继续仅获取与任务要求相关的最有用的数据”。不过,该机构表示,未经法院命令,它不会购买和使用从美国使用的手机收集的位置数据。它还表示,它不使用从位于该国的车辆的汽车远程信息处理系统获得的位置信息。
4. ESET 深入研究 MirrorFace 使用的复杂恶意软件HiddenFace
1月28日,ESET 的恶意软件研究员 Dominik Breitenbacher透露了HiddenFace,这是一种由 MirrorFace APT 组织开发的高度复杂的后门恶意软件。该后门也称为 NOOPDOOR,是 MirrorFace 武器库中最复杂的恶意软件,其设计重点关注模块化。它旨在适应当前的操作需求,并采用各种反检测和反分析技术。HiddenFace 因其模块化系统而脱颖而出,允许集成内置函数和外部加载的 shellcode 模块。这些模块使用 AES-256-CBC 加密,并与用户特定的文件名、密钥和初始化向量绑定,使其高度安全和个性化。HiddenFace 使用域生成算法 (DGA) 和 TCP 上的自定义协议主动连接到命令和控制 (C&C) 服务器。它还拥有被动通信功能,侦听硬编码端口并重新配置 Windows 防火墙以允许通信。通信使用 AES-128-CBC 加密,进一步展示了其复杂的设计。
5. Phobos 勒索软件变种发起攻击 – FAUST
1月25日,Phobos 勒索软件系列是一组臭名昭著的恶意软件,旨在加密受害者计算机上的文件。它于 2019 年出现,此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件,并要求以加密货币支付赎金以获得解密密钥。FortiGuard Labs 捕获并报告了 Phobos 系列的多个勒索软件变体,包括EKING和8Base。最近,FortiGuard 实验室发现了一份 Office 文档,其中包含一个 VBA 脚本,旨在传播 FAUST 勒索软件(Phobos 的另一个变体)。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件,每个文件都携带恶意二进制文件。当这些文件被注入系统内存时,它们会发起文件加密攻击。FAUST 勒索软件是 Phobos 系列的变种,是一种对受害者计算机上的文件进行加密的恶意软件。它要求支付赎金以换取提供解密密钥。该勒索软件将“.faust”扩展名附加到每个加密文件,并在加密文件所在的目录中生成 info.txt 和 info.hta。这些文件是与攻击者建立联系以进行赎金谈判的一种手段。
6. 针对 JENKINS 缺陷 CVE-2024-23897 发布了多个 POC
1月28日,enkins 是最流行的开源自动化服务器,它由 CloudBees 和 Jenkins 社区维护。该自动化服务器支持开发人员构建、测试和部署他们的应用程序,它在全球拥有数十万个活跃安装,拥有超过 100 万用户。该开源平台的维护者已经解决了九个安全漏洞,其中包括一个被追踪为 CVE-2024-23897 的严重缺陷,该缺陷可能导致远程代码执行 (RCE)。Sonar的研究员 Yaniv Nizry 报告了该漏洞, 并撰写了 对该问题的详细分析。并且多个概念验证 (PoC) 已被公开。攻击者可以滥用 Jenkins 控制器进程的默认字符编码来读取控制器文件系统上的任意文件。具有“总体/读取”权限的攻击者可以读取整个文件,而没有该权限的攻击者可以根据 CLI 命令读取文件的前三行。
京公网安备11010802024551号