每日安全简讯(20240812)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新恶意软件通过伪装的Chrome和Edge扩展程序感染30万用户

研究人员发现了一场正在进行的大规模恶意软件活动，通过伪装成流行软件的假网站安装恶意的Google Chrome和Microsoft Edge扩展。这些恶意软件和扩展已影响至少30万用户。研究人员在分析中指出，这种特洛伊木马自2021年以来存在，起源于仿冒下载网站，提供在线游戏和视频的附加组件。恶意软件包含从简单的广告软件扩展（劫持搜索）到更复杂的恶意脚本（窃取私人数据和执行各种命令）的不同可执行文件。该活动的核心是利用恶意广告（malvertising）推动类似网站，推广如Roblox FPS Unlocker、YouTube、VLC媒体播放器、Steam或KeePass等知名软件，欺骗用户下载特洛伊木马，该木马作为安装浏览器扩展的渠道。

https://reasonlabs.com/research/new-widespread-extension-trojan-malware-campaign

---

2 Sonos智能音箱缺陷可让远程黑客窃听用户

研究人员发现Sonos智能音箱存在漏洞，可能被恶意行为者利用来偷偷窃听用户。研究人员表示，这些漏洞导致Sonos设备的安全启动过程完全失效，并可通过空中攻击远程攻破多个设备。这些漏洞影响所有Sonos S2 15.9版和Sonos S1 11.12版之前的版本，这些版本分别在2023年10月和11月发布。成功利用其中一个漏洞，攻击者可以通过空中攻击获得Sonos设备的隐蔽音频捕捉权限。研究结果在2024年Black Hat USA大会上展示。研究人员在CVE-2024-20018的公告中表示：“在wlan驱动程序中，由于输入验证不当，可能存在越界写入。这可能导致本地权限升级，不需要额外的执行权限，也不需要用户交互。”另一个漏洞CVE-2023-50810涉及在Era-100设备的安全启动过程中发现的漏洞链，使得绕过安全控制以在内核上下文中执行未签名代码成为可能。这可以结合一个N天权限提升漏洞，促进ARM EL3级别代码执行并提取硬件支持的加密密钥。

https://www.nccgroup.com/us/research-blog/blackhat-usa-2024-listen-up-sonos-over-the-air-remote-kernel-exploitation-and-covert-wiretap/

---

3 研究人员称Ecovacs家用机器人可被黑客入侵以监视用户

研究人员发现，恶意黑客可以控制Ecovacs制造的吸尘和割草机器人，通过设备的摄像头和麦克风监视用户。这些研究结果将在Def Con黑客大会上详细介绍。研究人员分析了多款Ecovacs产品，发现存在多个漏洞，可通过蓝牙远程控制机器人并悄悄开启麦克风和摄像头。研究人员表示，他们已向Ecovacs报告这些漏洞，但未收到回应，漏洞可能仍未修复。主要问题是，任何人都可以使用手机通过蓝牙在最远450英尺（约130米）的距离内连接并控制Ecovacs机器人。一旦黑客控制设备，他们可以通过Wi-Fi远程连接机器人，读取Wi-Fi凭证、保存的房间地图，并访问摄像头和麦克风。除了黑客风险，研究人员还发现其他问题，包括用户账户删除后机器人上的数据仍存储在Ecovacs的云服务器上，身份验证令牌也保留在云端，使得二手购买者可能被前用户监视。

https://reurl.cc/myvdgl

---

4 特朗普竞选团队指责伊朗黑客泄露副总统候选人资料

特朗普竞选团队指责伊朗黑客窃取并泄露了有关副总统候选人的敏感文件。竞选团队发言人称，这些文件是通过非法手段从外国敌对势力那里获取的，目的是干预2024年美国大选并制造混乱。微软的一份报告支持了这一说法，称伊朗黑客组织在6月通过鱼叉式网络钓鱼攻击，试图侵入某总统竞选高级官员的账户。研究人员报道，匿名消息源“罗伯特”在过去几周内向其提供了这些内部文件，包括有关候选人JD·万斯和马可·卢比奥的详细调研档案。尽管特朗普团队呼吁媒体不要发布这些被盗信息，但POLITICO尚未决定是否公开这些文件。这些泄露事件引发了对于媒体在选举干预中的角色的质疑。国家安全委员会发言人表示，拜登-哈里斯政府强烈谴责任何试图干预美国选举或破坏民主制度的外国势力。

https://www.politico.com/news/2024/08/10/trump-campaign-hack-00173503

---

5 Cisco发布漏洞补丁修复SSM漏洞防止管理密码被篡改

Cisco警告称，现已公开的漏洞利用代码可能会被攻击者用来更改未修补的Cisco Smart Software Manager On-Prem（Cisco SSM On-Prem）许可证服务器的任何用户密码，包括管理员密码。该漏洞被追踪为CVE-2024-20419，是由于SSM On-Prem认证系统中的密码更改过程未被验证所致。攻击者可以通过发送特制的HTTP请求远程更改用户密码，而无需知道原始凭证。Cisco在7月份发布了安全更新以修复此漏洞，但目前尚未发现该漏洞在野外被利用的证据。由于没有可行的解决方法，Cisco敦促所有管理员升级至修复版本以保护其SSM On-Prem服务器。该漏洞的危害在于成功利用后，攻击者可以以被篡改用户的权限访问Web UI或API。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy

---

6 专家发现AWS严重漏洞可导致远程代码执行和数据窃取

研究人员揭示了多个亚马逊网络服务（AWS）中的严重缺陷，这些漏洞若被成功利用，可能导致远程代码执行（RCE）、全服务用户接管、AI模块操控、敏感数据暴露、数据外泄和拒绝服务（DoS）等严重后果。据研究人员称，当使用CloudFormation、Glue、EMR、SageMaker、ServiceCatalog和CodeStar等服务时，AWS S3桶会自动创建，且名称独特并遵循预定义命名规则（例如“cf-templates-{Hash}-{Region}”）。攻击者可以利用这一行为在未使用的AWS区域设置桶，并等待合法用户使用这些服务，从而秘密访问S3桶内容。根据攻击者控制的S3桶的权限，这种方法可以用于触发DoS状态、执行代码、操控或窃取数据，甚至在用户不知情的情况下完全掌控受害者账户。攻击者可以提前在所有可用区域创建未认领的桶并存储恶意代码，当目标组织首次在新区域启用这些易受攻击的服务时，恶意代码将被执行，可能创建一个管理员用户，赋予攻击者控制权。

https://www.blackhat.com/us-24/briefings/schedule/#breaching-aws-accounts-through-shadow-resources-39706

---