我要评论
新闻1:60 个恶意软件包“入侵”nuget 供应链,你的软件还安全吗?
自2023年8月开始的持续活动中,威胁行为者被发现向nuget包管理器发布了一系列新的恶意软件包,同时还增加了一个新的隐蔽层以逃避检测。
软件供应链安全公司reversinglabs表示,新发现的软件包约有60个,涵盖290个版本,与2023年10月曝光的前一批软件包相比,这些软件包展示了更为精细的手法。
安全研究员karlo zanki表示,攻击者从使用nuget的msbuild集成转向了“一种策略,该策略使用简单的、经过混淆的下载器,这些下载器使用中间语言(il)编织技术插入到合法的pe二进制文件中,这是一种在编译后修改应用程序代码的.net编程技术。”
新旧假冒软件包的最终目标都是交付一个现成的远程访问木马,名为seroxen rat。所有已确定的软件包都已被删除。
最新一批软件包的特点是使用了一种称为il编织的新技术,该技术可以将恶意功能注入到从合法nuget软件包中获取的合法可移植执行文件(pe).net二进制文件中。
这包括采用流行的开源软件包,如guna.ui2.winforms,并使用上述方法对其进行修补,以创建一个名为“gս翅a.ui3.wіnfօrms”的假冒软件包,其中使用同形文字将字母“u”、“n”、“i”和“o”替换为等效的“ս”(\u057d)、“翅”(\u0578)、“і”(\u0456)和“օ”(\u0585)。
技术关键词:nuget供应链攻击、恶意软件包、msbuild集成、中间语言(il)编织技术、.net编程技术、远程访问木马(rat)、同形文字
新闻2:gitlab 关键漏洞曝光!攻击者竟能这样执行管道作业?
gitlab已经发布了另一轮更新,以解决其软件开发平台中的安全漏洞,包括一个允许攻击者以任意用户身份运行管道作业的关键漏洞。
该漏洞编号为cve-2024-6385,其cvss评分为9.6(满分为10.0)。
该公司在周三的一份咨询报告中表示:“在gitlab ce/ee中发现了一个问题,该问题影响15.8之前至16.11.6、17.0之前至17.0.4以及17.1之前至17.1.2的版本,该问题在某些情况下允许攻击者以另一个用户的身份触发管道。”
值得注意的是,该公司上个月底修补了一个类似的漏洞(cve-2024-5655,cvss评分:9.6),该漏洞也可能被利用来以其他用户的身份运行管道。
主要技术关键词:gitlab、安全漏洞、管道作业、cvss评分、cve-2024-6385、cve-2024-5655
新闻3:警惕!php 漏洞被利用,恶意软件、ddos 攻击泛滥成灾!
据观察,多个威胁行为者正在利用最近披露的php安全漏洞来传播远程访问木马、加密货币挖矿程序和分布式拒绝服务(ddos)僵尸网络。
所涉及的漏洞是cve-2024-4577(cvss评分:9.8),它允许攻击者在使用中文和日语语言环境的windows系统上远程执行恶意命令。该漏洞于2024年6月初被公开披露。
akamai的研究人员kyle lefton、allen west和sam tinklenberg在周三的分析中说:“cve-2024-4577是一个允许攻击者逃避命令行并将参数直接传递给php进行解释的漏洞。该漏洞本身在于如何将unicode字符转换为ascii。”
主要技术关键词:php、安全漏洞、远程访问木马、加密货币挖矿程序、分布式拒绝服务(ddos)僵尸网络、cve-2024-4577、cvss评分、unicode字符、ascii
新闻4:小心!radius 协议漏洞让网络陷入中间人攻击危机!
网络安全研究人员发现,radius网络认证协议中存在一个名为blastradius的安全漏洞,攻击者可利用该漏洞在某些情况下发动中间人(mitm)攻击并绕过完整性检查。
“radius协议允许某些访问请求消息不进行完整性或身份验证检查,”freeradius项目的创始人、inkbridge networks首席执行官alan dekok在一份声明中表示。
“因此,攻击者可以在不被发现的情况下修改这些数据包。攻击者将能够迫使任何用户进行身份验证,并向该用户提供任何授权(vlan等)。”
radius是远程身份验证拨入用户服务的缩写,它是一种客户端/服务器协议,为连接和使用网络服务的用户提供集中的身份验证、授权和计费(aaa)管理。
在面对这样严峻的安全威胁时,模糊测试工具成为了检测和防范此类漏洞的有力武器。模糊测试工具可以通过向 radius 协议发送大量的随机和异常数据,来快速探测协议在处理各种复杂和异常情况时的稳定性和安全性。它能够有效地模拟攻击者可能使用的各种恶意数据输入,从而快速检测出潜在的漏洞和薄弱环节,包括像 blastradius 这样的安全漏洞。
利用模糊测试工具对 radius 协议进行检测,可以在短时间内对协议的各个方面进行全面的压力测试。其高效的测试速度和全面的覆盖范围,能够大大提高发现漏洞的概率和效率。相比传统的检测方法,模糊测试工具更加主动和积极,能够在攻击者有机会利用漏洞之前,帮助网络安全人员提前发现并修复问题,为 radius 协议的安全性提供了有力的保障。
主要技术关键词:radius、网络认证协议、blastradius、安全漏洞、mitm攻击、完整性检查、访问请求消息、身份验证、freeradius项目
新闻5:npm、github 和 jsdelivr 惊现被木马化的 jquery 包,你的网站危险了!
在看似“复杂且持久”的供应链攻击事件中,身份不明的威胁行为者被发现在npm、github和jsdelivr上传播被木马化的jquery版本。
“这次攻击之所以引人注目,是因为各个包之间存在高度差异性,”phylum在上周发布的一份分析中表示。
“攻击者巧妙地将恶意软件隐藏在jquery中很少使用的’end’函数中,该函数由更受欢迎的动画实用程序中的’fadeto’函数内部调用。”
多达68个包与该活动有关。它们从2024年5月26日至6月23日发布到npm注册表,使用了诸如cdnjquery、footersicons、jquertyi、jqueryxxx、logoo和sytlesheets等名称。
有证据表明,由于各种账户发布的大量包、命名规范的差异、包含个人文件以及上传时间跨度长,每个虚假包都是手动组装和发布的。
这与攻击者通常遵循的预定模式不同,该模式强调了创建和发布包时涉及的自动化元素。
据phylum称,恶意更改已引入名为“end”的函数中,允许威胁行为者将网站表单数据泄露到远程url。
进一步调查发现,被木马化的jquery文件托管在与名为“indexsc”的账户关联的github存储库中。同一存储库中还存在包含指向修改后的库版本的脚本的javascript文件。
主要技术关键词:jquery、npm、github、jsdelivr、供应链攻击、木马化、包、end函数、fadeto函数、自动化
发表评论