每日安全简讯(20220526)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员发现了Chaos勒索软件的新变种Yashma
研究人员披露了最新版本的Chaos勒索软件的详细信息,该新变种被称为Yashma。黑莓研究和情报团队在一份报告中说:“尽管Chaos勒索软件只活跃了一年,但Yashma声称是该恶意软件的第六个版本(v6.0)。”Chaos是一种可定制的勒索软件构建器,于2021年6月9日出现在地下论坛。它经历了五次旨在改进其功能的连续迭代:6月17日的2.0版、7月5日的3.0版、8月5日的4.0版和2022年初的5.0版。Yashma是该恶意软件的最新版本,有两个新的改进,包括能够根据受害者的位置停止执行,以及终止与防病毒软件和备份软件相关的各种进程。
https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree
2 攻击者通过劫持Python和PHP库以窃取AWS密钥
研究人员发现两个木马化的Python和PHP包,其中一个有问题的包是“ctx”,它是PyPi存储库中可用的Python模块。另一个是“phpass”,这是一个在GitHub上派生出来的PHP包,用于分发恶意更新。调查发现,攻击者似乎都接管了一段时间没有更新的软件包。威胁参与者于2022年5月14日注册了原维护者使用的过期域,以发布新的ctx版本。这些修改旨在将AWS凭证泄露到名为“anti-theft-web.herokuapp[.]com”的Heroku URL。攻击者似乎试图获取所有的环境变量,用Base64编码,然后将数据转发到犯罪者控制下的网络应用程序。
https://thehackernews.com/2022/05/pypi-package-ctx-and-php-library-phpass.html
3 严重的Argo CD漏洞可能允许攻击者获得管理员权限
Kubernetes的持续交付工具Argo CD的维护者修补了一个严重漏洞,该漏洞使攻击者能够伪造JSON Web令牌(JWT)并成为管理员。此外,攻击者可以“通过部署具有提升权限的恶意工作负载来窃取数据,从而绕过任何由 Argo CD API强制执行的敏感数据编校”。该漏洞影响版本1.4.0至2.1.14、2.2.8和2.3.3,并已在修补版本2.3.4、2.2.9和2.1.15中得到解决。
https://portswigger.net/daily-swig/critical-argo-cd-vulnerability-could-allow-attackers-admin-privileges
4 Zoom修复了可能导致远程代码执行的XMPP漏洞链
视频会议服务Zoom已经解决了四个安全漏洞,这些漏洞可被利用通过发送特制的可扩展消息和状态协议(XMPP)消息并执行恶意代码来攻击聊天中的其他用户。这四个漏洞被跟踪为:CVE-2022-22784(CVSS分数:8.1)、CVE-2022-22785(CVSS分数:5.9)、CVE-2022-22786(CVSS分数:7.5)、CVE-2022-22787(CVSS分数:5.9)。这些问题的核心是利用Zoom客户端和服务器中XML解析器之间的解析不一致,将任意的XMPP节“走私”到受害客户端。建议用户更新到最新的5.10.0版本。
https://thehackernews.com/2022/05/new-zoom-flaws-could-let-attackers-hack.html
5 Mozilla修复在Pwn2Own黑客大赛被利用的零日漏洞
Mozilla发布了多个产品的安全更新,以解决Pwn2Own Vancouver 2022黑客竞赛期间利用的零日漏洞。第一个漏洞是顶层Await实现中的原型污染(跟踪为CVE-2022-1802),攻击者可利用原型污染破坏JavaScript中Array对象的方法,从而在特权上下文中执行JavaScript代码。第二个漏洞跟踪为CVE-2022-1529,允许攻击者在原型污染注入攻击中滥用Java对象索引不正确的输入验证。这些漏洞已在Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3和Thunderbird 91.9.1中修复。
https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/
6 美国德克萨斯州交通部遭黑客攻击导致员工信息泄露
5月21日,德克萨斯州交通部(TxDOT)为承包商提供的认证工资系统门户遭到黑客攻击,黑客论坛上发布了关于TxDOT员工设置的屏幕截图,上面显示了员工的个人信息,包括SSN。该帖子还包括登录凭据和该州承包商支付系统的网址。第二篇帖子包括一个显示承包商项目清单的截图,另一个截图包含员工的屏幕设置以及个人信息。据称,实施这次攻击的黑客已经获得了7000多条个人记录,并且这些数据很快就会被出售。
https://www.databreaches.net/another-texas-state-agency-data-breach-this-time-its-the-department-of-transportation/
页:
[1]