找回密码
 注册创意安天

每日安全简讯(20210809)

[复制链接]
发表于 2021-8-8 18:36 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 印度社交软件Koo存在严重安全漏洞易受蠕虫攻击

Koo是印度本土的类似Twitter的社交软件,最近修复了一个严重的安全漏洞,该漏洞可能被利用来对其数十万用户执行任意JavaScript代码,从而在整个平台上传播攻击。该漏洞涉及Koo的Web应用程序中存储型跨站脚本漏洞。为了实施攻击,攻击者所要做的就是通过Web应用程序登录该服务并将XSS有效载荷发布到其时间轴,该载荷会自动代表所有看到该帖子的用户执行。由于恶意JavaScript可以访问网站可以访问的所有对象,因此它可能允许攻击者窃取敏感数据和传播错误信息。Koo中的此漏洞(也称为XSS 蠕虫)的传播手段更令人担忧,因为它会自动在网站访问者之间传播恶意代码以感染其他用户,无需任何用户交互,就像连锁反应一样。
koo-app.jpg

https://thehackernews.com/2021/0 ... -service-found.html


2 Pulse Connect Secure VPN修复了一个RCE漏洞

安全公司Ivanti解决了其Pulse Connect Secure VPN设备中的一个严重漏洞,该漏洞可被利用以root权限执行任意代码。该漏洞被追踪为CVE-2021-22937,位于Pulse Connect Secure的Web管理界面中,CVSS评分为9.1,专家指出,这是绕过2021年10月发布的用于解决CVE-2020-8260漏洞的补丁的结果。成功利用此漏洞的攻击者将能够绕过Web应用程序实施的任何限制,并重新安装文件系统,从而允许他们创建持久性后门、提取和解密凭据、破坏VPN客户端或进入内部网络。
Pulse.png

https://securityaffairs.co/wordp ... ure-vpn-flaw-2.html


3 Go和Rust语言中的net库受到IP地址验证漏洞的影响

Go和Rust语言中常用的“net”库也受到混合格式IP地址验证漏洞的影响,这个漏洞与网络如何将IP地址当作十进制数处理有关。因此,依赖网络的应用程序可能容易受到不确定的服务器端请求伪造(SSRF)和远程文件包含(RFI)漏洞的攻击。此前,该漏洞影响了net库的各种实现,成千上万的应用程序依赖该库。Go和Rust不是唯一受此错误影响的语言。这个混合格式的IP地址验证loud 以前影响了Python的ipaddress库。
Rust网络模块的PoC 代码.jpg

https://www.bleepingcomputer.com ... tion-vulnerability/


4 研究人员展示了如何利用恶意USB设备入侵物理隔离网络

负责审核工业环境对USB植入的敏感性的渗透测试人员已经为他们的黑客工具箱提供了一个新的工具。安全研究员在一次黑帽军火库演讲中展示了USBsamurai,是一种注入电缆的USB-HID(人机接口设备)。USBsamurai由一条电缆、加密狗和USB无线电收发器组成,可以远程控制,甚至可以攻击物理隔离网络。USBsamurai不仅是一根电缆,它可以很容易地用作一个内部硬件植入物来武器化其他 USB设备,例如鼠标。
恶意 USB 电缆.png

https://portswigger.net/daily-sw ... orks-open-to-attack
USBsamurai_ Malicious.pdf (670.55 KB, 下载次数: 24)


5 研究人员披露了一种新的域名系统攻击方法

一种新的域名系统(DNS)攻击方法,包括用特定的名称注册一个域名,可以用于研究人员所说的“民族国家级别的间谍活动”。云基础设施安全公司Wiz的研究人员在对Amazon Route 53(一种提供给AWS用户的云DNS Web服务)进行分析时发现了这种攻击方法。调查结果于本周在拉斯维加斯举行的黑帽网络安全会议上公布。Route 53提供了大约2000个域名为ns-852.awsdns-42.net的DNS服务器。Wiz的研究人员发现,如果他们将域名与他们控制的服务器的IP地址相连接,那么用这样的名字注册一个域名并在Route 53中将它添加到DNS服务器上,就会得到一些有趣的结果。
DNS-records.png

https://www.securityweek.com/new ... domain-registration


6 肯塔基大学在渗透测试期间发现数据泄露事件

肯塔基大学表示,在6月初由第三方进行的预定安全渗透测试中,它发现了其中一个考试平台的安全漏洞。该漏洞影响了该大学的数字驾驶执照(DDL)平台,当大学进一步调查时,发现它在今年早些时候被利用,一个未知攻击者获得其内部数据库的副本,数据库包含肯塔基州、所有50个州和22个其他国家师生的姓名和电子邮件地址,总共超过35.5万人。被盗的信息只包括电子邮件和密码,不包括社会安全号码和财务细节。
Kentucky-U.jpg

https://therecord.media/universi ... scheduled-pen-test/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 07:58

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表