一、2024年4月漏洞总结
2024年4月,网络安全漏洞动态涵盖了多个领域,包括操作系统、开发工具、云服务、智能设备以及企业软件,总计涉及超过20个不同的漏洞和安全事件。以下是对这些动态的高度总结与统计:
- 关键软件漏洞披露
- Rust标准库中发现高危命令注入漏洞(CVE-2024-24576),CVSS评分为10/10,允许未经认证的远程攻击。
- Linux内核中发现新的提权漏洞(CVE-2024-1086),影响多个Linux发行版,CVSS评分为7.8。
- Junos OS存在多个漏洞,包括DoS、路径遍历和XSS,影响网络安全设备。
- Rust的xz-utils工具被发现存在恶意代码植入漏洞,工业和信息化部发布风险提示。
- 企业软件与服务漏洞
- Microsoft修复了150个漏洞,其中67个为远程代码执行漏洞,多数集中在Microsoft SQL驱动程序。
- Hugging Face平台的AI模型中发现两个关键架构缺陷,可能被用来进行恶意活动。
- Citrix UberAgent工具存在权限提升漏洞(CVE-2024-3902)。
- LG智能电视WebOS系统发现四个安全漏洞,允许未经授权的访问和控制。
- Oracle发布安全更新,修复了372个漏洞。
- 云服务与容器安全
- 微软修复了Azure Kubernetes服务中的严重漏洞,阻止了未经验证的控制。
- 思科修复了其IOS和IOS XE软件的多个漏洞,包括可能导致DoS攻击的漏洞。
- Ivanti警告其Avalanche MDM解决方案存在可被利用执行远程命令的严重漏洞。
- 浏览器与网络协议漏洞
- Google Chrome修复了一个被积极利用的关键漏洞(CVE-2024-4058)。
- HTTP/2协议中发现新的DoS攻击方式,名为“CONTINUATION Flood”。
- 物联网(IoT)与智能设备
- LG智能电视的WebOS系统被发现有多个安全漏洞,影响超过9万台设备。
- TP-Link AX21路由器的CVE-2023-1389漏洞继续被僵尸网络利用进行大规模传播。
- 零日漏洞利用
- 微软修复了两个被积极利用的零日漏洞,包括一个影响SmartScreen安全提示的功能。
- Rust标准库的高危漏洞也被视为零日漏洞,存在被利用的风险。
总体来看,4月份的网络安全动态凸显了多层面的威胁,不仅涉及传统的操作系统和企业软件,还深入到了新兴技术如AI模型、云服务和智能设备。这要求组织和个人采取积极措施,及时更新软件、增强安全监控,并对新兴技术的安全性给予足够的重视。
二、2024年4月漏洞相关信息
1、XZ实用程序中发现后门漏洞,可破坏sshd身份验证
https://www.openwall.com/lists/oss-security/2024/03/29/4
红帽公司最近发出警告,指出大多数Linux发行版中包含的XZ格式压缩实用程序XZ Utils存在一个严重漏洞(CVE-2024-3094)。这个漏洞可能允许恶意行为者破坏sshd身份验证,并远程获得对整个系统的未经授权的访问。这个漏洞是由于xz库的5.6.0和5.6.1版本中存在恶意代码,这是由PostgreSQL开发人员Andres Freund在微软发现的。红帽表示,这些版本的库中的恶意注入已被混淆,并且仅完整包含在下载包中。此外,红帽还指出,这些易受攻击的版本尚未被Linux发行版广泛集成,大部分是在预发行版本中。受影响的发行版包括Fedora 41和Fedora Rawhide,而红帽企业Linux(RHEL)的任何版本都不会受到影响。Debian表示其稳定版本未受影响,但测试、不稳定和实验发行版受到影响。CISA建议开发人员和用户将XZ Utils降级到未受影响的版本,并报告任何恶意活动。
2、新的Linux漏洞可能导致密码泄露和剪贴板劫持
研究人员发现了一个影响util-linux软件包中的“wall”命令的漏洞,编号为CVE-2024-28085,代号为WallEscape。这个漏洞可能导致用户密码泄露或剪贴板内容被更改。在满足特定条件(如mesg设置为“y”和wall设置为setgid)的情况下,攻击者可以利用未正确过滤的转义序列在用户的终端上创建虚假的sudo提示符,诱骗用户输入密码。Ubuntu 22.04和Debian Bookworm易受此攻击,而CentOS由于wall命令没有setgid权限而不易受攻击。建议用户更新到util-linux版本2.40以缓解该缺陷。
3、JetBrains 修补了 TeamCity 中的 26 个安全问题
https://www.securityweek.com/26-security-issues-patched-in-teamcity/
JetBrains 已修复其 TeamCity 构建管理和持续集成服务器中的 26 个安全问题,并已采取措施降低漏洞被恶意攻击的风险。
4、谷歌修复了Pixel手机中的两个零日漏洞
谷歌修复了两个被取证公司利用的Google Pixel中的零日漏洞,这些漏洞可以让取证公司无需PIN码即可解锁手机并访问存储其中的数据。CVE-2024-29745被标记为Pixel启动加载程序中的严重信息泄露漏洞,而CVE-2024-29748被描述为Pixel固件中的严重权限提升漏洞。研究人员发现取证公司积极利用了这些漏洞,这些漏洞允许公司解锁并访问Google Pixel设备的内存。
5、谷歌修复Chrome浏览器中的一个零日漏洞
https://securityaffairs.com/161445/hacking/google-chrome-zero-day-pwn2own.html
谷歌修复了Chrome浏览器中的一个零日漏洞,该漏洞为CVE-2024-3159,并在2024年3月的Pwn2Own黑客竞赛中被利用。CVE-2024-3159漏洞是V8 JavaScript引擎中的越界内存访问漏洞,攻击者可以通过诱骗受害者访问精心制作的HTML页面来利用此漏洞,从而访问超出内存缓冲区的数据,并触发堆损坏。利用此漏洞可能会导致敏感信息泄露或崩溃。
6、WP-Members 插件中的安全漏洞导致脚本注入
https://www.securityweek.com/security-flaw-in-wp-members-plugin-leads-to-script-injection/
WP-Members 会员插件中的跨站点脚本漏洞可能允许攻击者将脚本注入用户配置文件页面。
7、比特梵德修复其产品中的安全漏洞
https://cybersecuritynews.com/bitdefender-security-privilege-escalation-patch-now/
网络安全公司Bitdefender修复了一个可能导致权限提升的漏洞,该漏洞会影响其产品,包括Bitdefender Internet Security、Bitdefender Antivirus Plus、Bitdefender Total Security和Bitdefender Antivirus Free。该漏洞被标记为CVE-2023-6154,CVSS评分为7.8,可能导致权限提升,使攻击者完全控制他们所针对的系统。该漏洞已通过自动更新至27.0.25.115版本得到修复。
8、Octopus Server存在权限提升漏洞
https://cybersecuritynews.com/octopus-server-flaw/
Octopus Server是一种用于部署、操作运行手册和开发任务的流行自动化工具,其中存在一个严重的安全漏洞。该漏洞被标记为CVE-2024-2975,可能允许攻击者提升权限。该漏洞于2024年2月20日被发现,补丁程序于2024年3月21日发布。Octopus Deploy在2024年4月2日发布了一份公告,对该漏洞进行了详细介绍。
9、宜必思酒店的自助入住机存在安全漏洞
https://www.hackread.com/ibis-budget-guest-room-codes-hacker-vulnerability/
来自瑞士的安全团队在德国一家宜必思酒店的自助入住机中发现漏洞,该漏洞能够使办理入住后的房门密码直接显示在屏幕上,从而可能危及任何使用该自助入住机的用户安全。尽管安全人员仅在一家德国的酒店中确认了该漏洞,但他们认为该漏洞可能会影响更多的宜必思快捷酒店。安全团队称,他们已及时将该安全漏洞通报给雅高酒店集团。雅高酒店集团迅速做出了响应,并在一个月内推出了补丁程序,修复漏洞并防止房门密码进一步泄露。
10、100万+站点使用的WordPress插件LayerSlider存在高危漏洞
一个名为LayerSlider的高级WordPress插件被100多万个站点使用,该插件中存在高危漏洞,容易受到未经身份验证的SQL注入,网站管理员需要尽快为该插件应用安全更新。该漏洞被标记为CVE-2024-2879,CVSS评分为9.8,该漏洞会影响插件的7.9.11至7.10.0版本,可能允许攻击者从站点的数据库中提取敏感数据,例如密码哈希,使他们面临完全接管或数据泄露的风险。建议所有使用LayerSlider的用户将插件升级至7.10.1版,该版本修复了漏洞。
11、思科警告已停产的小型企业路由器存在漏洞
https://www.securityweek.com/cisco-warns-of-vulnerability-in-discontinued-small-business-routers/
思科表示,不会针对影响小型企业路由器报废的跨站点脚本漏洞发布补丁。
12、Ivanti产品中存在远程代码执行漏洞
CVE-2024-21894,是Ivanti Connect Secure9.x和22.x的IPSec组件中的高危堆溢出漏洞,可能允许未经身份验证的攻击者通过发送特制请求来导致拒绝服务(DoS)或实现远程代码执行。Ivanti表示,目前没有看到客户被该漏洞攻击的迹象,但该公司敦促系统管理员尽快应用更新。
13、电子商务平台Magento中存在安全漏洞
https://cybersecuritynews.com/magento-backdoor-injection/
Magento电子商务平台中的一个安全漏洞已被揭露,该漏洞被识别为CVE-2024-20720,允许攻击者将持久的后门注入Magento服务器,从而危及电子商务网站的安全性。已发现攻击者将恶意XML代码插入layout_update数据库表中,然后在客户每次访问结账购物车时执行该表。执行的特定命令用于向CMS控制器添加后门,确保即使在手动修复或系统重新编译后也能重新注入恶意软件。
14、Vmware修复VMware SD-WAN中的多个安全漏洞
https://cybersecuritynews.com/vmware-sd-wan-vulnerabilities/
VMware修复了影响VMware SD-WAN的多个安全漏洞,这些漏洞允许攻击者在目标系统上执行任意命令。相关漏洞被标记为CVE-2024-22246、CVE-2024-22247和CVE-2024-22248。VMware已针对这些漏洞进行修复,因此,VMware强烈建议使用VMware SD-WAN的用户立即使用可用的修复程序进行安全修复。
15、GitLab发布安全更新以修复漏洞
https://cybersecuritynews.com/gitlab-account-takeover-flaw
GitLab发布了适用于社区版和企业版的安全补丁,建议用户进行升级以修复漏洞。16.9.6、16.10.4和16.11.1之前的版本存在两个安全漏洞:一个是路径遍历漏洞(CVE-2024-2434,CVSS: 8.5),允许未经身份验证的攻击者读取受限制的文件并使应用程序崩溃(DoS);另一个是存在于项目文件搜索中漏洞(CVE-2024-2829,CVSS:7.5),其中特制的通配符筛选器可触发拒绝服务攻击。16.9.6之前的版本和某些更高版本中包含两个漏洞:第一个漏洞(CVE-2024-4006)是由于GraphQL订阅未正确强制实施个人访问令牌范围,可能允许用户访问未经授权的数据;在第二个漏洞(CVE-2024-1347)中,一个特制的电子邮件地址可以绕过对组或实例的基于域的限制,这些限制现已在最新的GitLab版本中修补。
16、 Keras模型的Lambda层中存在安全漏洞
https://cybersecuritynews.com/lambda-layers-code-execution-supply-chain-ai-ml
在基于TensorFlow的Keras模型的Lambda层中存在一个新的供应链漏洞。此漏洞可能允许攻击者将任意代码注入任何AI/ML应用程序。在Keras 2.13版本之前构建的Lambda层都容易受到此类供应链攻击。攻击者可以向AI/ML开发人员创建和分发受木马攻击的流行模型。如果攻击成功,攻击者可以使用与正在运行的应用程序相同的权限在易受攻击的环境中执行不受信任的任意代码。
17、WordPress插件WP Datepicker中存在安全漏洞
https://cybersecuritynews.com/wordpress-plugin-flaw/
WordPress插件WP Datepicker中存在一个安全漏洞,影响了超过10000个使用该插件的网站。该漏洞被标记为CVE-2024-3895,CVSS评分为8.8。具有订阅者级及以上访问权限的经过身份验证的攻击者可利用该漏洞更新任意选项,并利用这些选项进行权限提升。此类攻击可能允许攻击者创建管理员帐户,从而对受影响的网站构成重大风险。该漏洞是在WP Datepicker插件中发现的,该插件是一种广泛使用的工具,用于管理WordPress表单中的日期和时间输入。该漏洞存在于2.1.0及更早版本中,已在2.1.1版本中得到修复。
18、IBM QRadar套件中存在安全漏洞
https://cybersecuritynews.com/ibm-qradar-xss-flaw/
IBM QRadar Suite Software和Cloud Pak for Security中存在安全漏洞,允许攻击者执行任意JavaScript代码。攻击者可以通过存储的跨站点脚本将恶意的可执行脚本插入到网站的代码中,从而对受影响的产品造成影响。该漏洞被标记为CVE-2023-47731,CVSS评分为5.4,是一种中危XSS漏洞。该漏洞影响IBM Cloud Pak for Security的1.10.0.0至1.10.11.0版本以及IBM QRadar Suite Software 1.10.12.0至1.10.19.0版本。为解决该漏洞,建议用户尽快应用安全更新。
19、Progress Flowmon中存在安全漏洞
Progress Flowmon具备性能跟踪、诊断以及网络检测和响应功能,被全球1500多家公司使用。该产品中存在一个安全漏洞,被标记为CVE-2024-2389,CVSS评分为10/10。攻击者可利用该漏洞使用特制的API请求,获得对Flowmon Web界面的未经身份验证的远程访问并执行任意系统命令。Progress Software已就该漏洞发出警报,警告它会影响产品v12.x和v11.x版本。该公司敦促系统管理员将产品升级至最新版本v12.3.4和11.1.14。该安全更新已通过“自动软件包下载”自动发布给所有Flowmon客户。
20、Brocade SANnav中存在多个安全漏洞
https://www.securityweek.com/vulnerabilities-expose-brocade-san-appliances-switches-to-hacking
研究人员称,Brocade SANnav存储区域网络(SAN)管理应用程序中的多个漏洞可能被利用来破坏设备和光纤通道交换机。研究人员在该设备中总共发现了18个安全漏洞,包括未经身份验证的漏洞,允许远程攻击者以root身份登录易受攻击的设备。其中,有9个漏洞被分配了CVE标识符:CVE-2024-2859和CVE-2024-29960到CVE-2024-29967。研究人员称,其中三个问题可能允许攻击者发送恶意数据并拦截以明文形式发送的凭据,从而可能危及整个光纤通道基础设施。
21、谷歌推出Chrome 124以修复多个安全漏洞
https://cybersecuritynews.com/chrome-critical-security-update
谷歌宣布发布Chrome 124,在该版本中修复了四个漏洞,包括一个允许攻击者执行任意代码的关键安全问题。一个严重的安全漏洞是CVE-2024-4058,涉及ANGLE图形层引擎中的类型混淆。该漏洞可用于远程执行任意代码或执行有限的用户交互沙盒逃逸。此外,Chrome还修复了CVE-2024-4059、CVE-2024-4060高严重性漏洞。谷歌建议用户尽快将Chrome更新到最新版本,以降低安全风险。
22、输入法重大漏洞曝光,仅华为幸免,近10亿用户受影响
https://www.freebuf.com/news/399237.html
近日,Citizenlab研究人员调查了多家厂商的输入法应用安全漏洞并报告称:除华为以外,百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中有八款均存在安全漏洞。
23、WordPress响应式主题中存在安全漏洞
WordPress响应式主题中存在一个安全漏洞,允许攻击者将任意HTML内容注入至网站。该漏洞被标记为CVE-2024-2848,对网站完整性和用户安全构成严重风险。该漏洞是在响应式主题的页脚部分发现的,这个安全漏洞是由于save_footer_text_callback功能中缺少功能检查,攻击者可以在未经授权的情况下修改页脚文本而无需身份验证。响应式主题的开发人员已在最新更新中解决该漏洞。建议网站管理员尽快更新到5.0.3或更高版本。
24、谷歌修复了严重的 Chrome 漏洞
https://www.securityweek.com/google-patches-critical-chrome-vulnerability/
Google 修补了 CVE-2024-4058,这是一个关键的 Chrome 漏洞,研究人员因此获得了 16,000 美元的奖励。
25、Citrix UberAgent工具中存在安全漏洞
https://cybersecuritynews.com/citrix-uberagent-privilege-escalation
Citrix的uberAgent是一种监控工具,用于增强Citrix平台的性能和安全性,已被确定存在安全漏洞。该漏洞被标记为CVE-2024-3902,可能允许攻击者提升权限,从而对使用受影响软件版本的组织构成重大威胁。该漏洞影响Citrix uberAgent 7.1.2之前的版本。Citrix已向所有受影响的uberAgent版本的客户发出紧急公告,要求他们立即将其软件更新到版本7.1.2或更高版本。
26、西门子工业产品受到PaloAlto防火墙漏洞的影响
Palo Alto Networks 防火墙漏洞 CVE-2024-3400 作为零日漏洞被利用,影响西门子工业产品。
27、研究人员在Chirp Systems的应用中发现安全漏洞
https://www.securitylab.ru/news/547516.php
研究人员在由Chirp Systems软件控制的智能锁中发现安全漏洞。攻击者可以利用该漏洞进行远程解锁。该漏洞是由于Chirp安卓应用程序中具有硬编码的密码和私钥,这些数据可用于访问智能锁的API,从而对智能锁进行远程管理。目前该漏洞已经被标识为CVE-2024-2197,CVSS评分为9.1/10。美国网络安全和基础设施保护局(CISA)也就该漏洞发出警告,指出Chirp尚未采取必要措施来解决该漏洞。
28、Junos OS中存在多个安全漏洞
https://cybersecuritynews.com/juniper-networks-flaws/
Junos OS中存在多个与拒绝服务(DoS)、路径遍历和跨站点脚本(XSS) 相关的安全漏洞。这些漏洞分别是CVE-2024-30409、CVE-2020-1606 和 CVE-2020-1607。这些漏洞的严重性介于5.3(中)到 7.5(高)之间。瞻博网络已经对这些漏洞进行了修复,并发布了相关的安全更新来解决这些问题。建议使用Junos OS和Junos OS演进产品的用户升级到最新版本,以防止攻击者利用这些漏洞。
29、CrushFTP更新修复了一个被利用的零日漏洞
CrushFTP在发布的新版本中修复了一个被积极利用的零日漏洞,并敦促使用该产品的用户立即更新。该零日漏洞能使未经身份验证的攻击者逃脱用户的虚拟文件系统(VFS)并下载系统文件。该公司警告服务器仍在运行CrushFTP v9的客户立即升级到v11或通过仪表板进行更新。安全研究团队已经看到CrushFTP零日漏洞被用于有针对性的攻击。攻击者的目标是多个美国组织的CrushFTP服务器,有证据表明这是一场情报收集活动,可能出于政治动机。
30、HTTP/2协议漏洞可导致拒绝服务攻击
名为“CONTINUATION Flood”的HTTP/2协议漏洞可导致拒绝服务(DoS) 攻击,在某些实现中使具有单个TCP连接的Web服务器崩溃。研究人员称,该漏洞与HTTP/2 CONTINUATION帧的使用有关,这些帧在协议的许多实现中都没有得到适当的限制或检查。研究人员称,在某些实现中,内存不足的情况可能会导致使用单个HTTP/2 TCP连接的服务器崩溃。
31、僵尸网络利用TP-LINK AX21漏洞CVE-2023-1389进行大规模传播
2023年,研究人员披露了一个命令注入漏洞CVE-2023-1389,并为TP-Link Archer AX21(AX1800)的 Web管理界面开发了修复程序。最近,研究人员观察到针对该漏洞的多次攻击活动,主要涉及Moobot、Miori、基于Golang的代理“AGoent”和Gafgyt Variant等僵尸网络。尽管漏洞CVE-2023-1389已在去年被披露,但许多攻击活动仍在利用该漏洞显著峰值。用户应警惕僵尸网络,及时应用补丁以保护网络环境免受感染。
32、Oracle发布2024年4月安全更新解决了372个漏洞
https://cybersecuritynews.com/alert-oracle-releases-critical-patch-update-2024
Oracle发布了2024年4月的安全更新,解决了多个产品中的372个漏洞。关键补丁更新修复了Oracle产品中的安全漏洞,包括数据库服务器、融合中间件、企业管理器、电子商务套件、供应链产品套件、Siebel CRM、Oracle Sun产品、Java SE等。此次更新包括对几个关键安全漏洞的修复,这些漏洞可能允许攻击者远程执行代码、操作数据或未经授权访问系统。修复的漏洞跨越多个严重级别,其中34个被归类为“Critical”,这意味着攻击者可以利用它们来获得未经授权的访问、执行任意代码或中断系统操作。此更新还修复了159个严重性等级为“Important”的漏洞,这些漏洞可被远程利用来访问敏感数据。其余问题被分类为中危或低危。
33、Chirp Systems软件控制的智能锁被发现严重的安全漏洞
https://www.securitylab.ru/news/547516.php
该漏洞是由于密码和私钥被硬编码在
34、VPN软件Libreswan存在安全漏洞,影响数百万用户
https://cybersecuritynews.com/popular-vpn-software-flaw/
流行的虚拟专用网络(VPN)软件Libreswan中存在一个严重漏洞,使数百万用户处于危险之中。该漏洞被标记为CVE-2024-3652,可能允许攻击者使受影响的系统崩溃,从而可能中断关键服务并泄露敏感数据。该漏洞影响Libreswan的3.22至4.14版本,该问题已在该软件的高版本中得到解决,Libreswan 3.0 – 3.21、4.15及更高版本以及5.0及更高版本不受该漏洞的影响。
35、Chrome 124、Firefox 125 修补高严重性漏洞
https://www.securityweek.com/chrome-124-firefox-125-patch-high-severity-vulnerabilities/
Chrome 和 Firefox 安全更新解决了超过 35 个漏洞,其中包括十几个高严重性错误。
36、Debian 修复了多个 GTKWave 漏洞
https://tuxcare.com/blog/several-gtkwave-vulnerabilities-fixed-in-debian/
最近,Debian 安全团队修复了 GTKWave(VCD 文件的开源波形查看器)中的几个问题。这些漏洞如果被利用,可能会导致执行任意代码,给用户带来重大风险。
37、开源流处理平台Apache Kafka存在安全漏洞
https://cybersecuritynews.com/apache-kafka-security-flaw
Apache Kafka是一个开源流处理平台,提供高性能的流式处理分析、数据集成和其他用途。研究人员在Apache Kafka中发现了一个新的不正确的访问控制漏洞,该漏洞可能允许攻击者破坏受影响资源上的CIA(机密性、完整性和可用性)。该漏洞被标记为CVE-2024-27309。受此漏洞影响的产品包括Apache Kafka版本3.5.0、3.5.1、3.5.2、3.6.0和3.6.1。建议使用Apache Kafka的用户升级到最新版本,以防止攻击者利用此漏洞。
38、严重的 PuTTY 漏洞允许密钥恢复
https://www.securityweek.com/critical-putty-vulnerability-allows-secret-key-recovery/
PuTTY 的开发人员发布了一个更新来修补一个可用于恢复密钥的严重漏洞。 PuTTY 是一个适用于 SSH、Telnet 和其他网络协议的开源客户端程序,支持与远程服务器的连接和文件传输。 德国波鸿鲁尔大学的两名研究人员发现,客户端和相关组件“在NIST P-521的情况下生成严重偏差的 ECDSA 随机数”,从而实现完全密钥恢复。该漏洞被追踪为CVE-2024-31497。
39、比特梵德修复其GravityZone安全平台中的安全漏洞
https://cybersecuritynews.com/bitdefender-vulnerabilities-attack-control
比特梵德的GravityZone安全平台存在一个安全漏洞,CVSS评分为8.1,该漏洞可能允许攻击者远程访问并以低权限攻击服务器。该漏洞可使攻击者完全控制服务器的机密性、完整性和可用性。另一个漏洞与不正确的正则表达式相关,攻击者可以伪造服务器端请求并操纵更新中继配置。比特梵德发布了安全更新,以修复GravityZone中的这两个漏洞,即CVE-2024-2223和 CVE-2024-2224。
40、Node.js中的高危漏洞,影响Windows平台中的多个版本
https://cybersecuritynews.com/node-js-flaw-malicious-code
Node.js项目披露了一个高危安全漏洞,该漏洞影响了其在Windows平台中的多个发布版本。该漏洞被标识为CVE-2024-27980,攻击者能够利用该漏洞在受影响的系统上执行任意命令,对基于Node.js构建的应用程序和服务构成严重风险。鉴于该漏洞较为严重,建议Node.js用户立即更新至最新版本。
41、Juniper发布数十个安全公告修补多个产品漏洞
https://www.securityweek.com/juniper-networks-publishes-dozens-of-new-security-advisories/
瞻博网络上周发布了数十份公告,详细介绍了
42、英特尔和联想 BMC 存在未修补的 Lighttpd 漏洞
https://thehackernews.com/2024/04/intel-and-lenovo-bmcs-contain-unpatched.html
Binarly 的新发现显示,英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。
43、思科NX-OS网络管理平台存在安全漏洞
https://cybersecuritynews.com/cisco-nexus-dashboard-vulnerability/
Cisco Nexus Dashboard Fabric Controller是适用于所有支持NX-OS的网络管理平台。研究人员在Cisco Nexus Dashboard交换矩阵控制器中发现一个新漏洞,该漏洞与带外(OOB)即插即用(PnP)功能相关。该漏洞允许未经身份验证的远程攻击者读取受影响设备上的任意文件。思科已经对该漏洞进行了修复,并发布了相关安全公告。该漏洞的CVE编号为CVE-2024-20348,评分为7.5。
44、Fortinet修复了其产品中的安全漏洞
https://securityaffairs.com/161674/security/forticlientlinux-rce.html
Fortinet解决了FortiOS和其他产品中的多个漏洞,包括FortiClientLinux中的一个关键远程代码执行漏洞。该漏洞被标记为CVE-2023-45590,CVSS评分为9.4。该漏洞是FortiClientLinux中存在的代码生成控制不当(“代码注入”)问题。未经身份验证的攻击者可诱导FortiClientLinux用户访问特制网站,从而触发该漏洞以执行任意代码。
45、Palo Alto 称其防火墙中的漏洞被恶意利用
Palo Alto Networks警告称,其PAN-OS防火墙中未修补的关键命令注入漏洞正在被攻击者恶意利用。该漏洞被标记为CVE-2024-3400,是一个命令注入漏洞,其CVSS评分为10.0,因为它不需要特殊权限或用户交互即可利用。研究人员称,目前有82000台暴露的在线设备可能容易受到CVE-2024-34000的攻击。
46、微软修复了两个被积极利用的安全漏洞
https://securityaffairs.com/161692/security/two-zero-day-malware-attacks.html
微软修复了两个零日漏洞,分别被标记为CVE-2024-29988和CVE-2024-26234,攻击者正在利用这些漏洞来传播恶意软件。CVE-2024-29988是SmartScreen安全提示功能绕过漏洞,该漏洞在野外被积极利用,但微软尚未在公告中证实。CVE-2024-26234是一种代理驱动程序欺骗漏洞,恶意的驱动程序将会使用有效的微软硬件发布者证书签名,以部署后门程序。
47、研究人员披露Spectre V2漏洞,影响英特尔CPU+Linux组合
研究人员已经证明了Spectre V2漏洞,该漏洞是一种新的推测执行侧信道漏洞,该漏洞会影响在许多Intel CPU上运行的Linux系统。推测执行是一种性能优化技术,现代处理器可以猜测接下来将执行哪些指令,并在知道需要它们之前开始实现它们。虽然此功能提高了性能,但它也会在CPU缓存中留下特权数据的痕迹,从而引入安全风险,包括帐户密码、加密密钥、敏感的个人或公司信息、软件代码等。两种攻击方法是分支目标注入(BTI)和分支历史注入(BHI),前者涉及操纵CPU的分支预测以执行未经授权的代码,后者操纵分支历史记录以导致所选工具(代码路径)的推测执行,从而导致数据泄露。英特尔已经将CVE-2022-0001和CVE-2022-0002分别分配给BTI和BHI,而CVE-2024-2201涉及针对Linux内核的新Spectre V2漏洞。
48、Crowdfense扩大零日漏洞收购规模,预算高达3000万美元
https://www.secrss.com/articles/65139
零日漏洞经纪公司Crowdfense近日宣布更新其漏洞收购计划,报价高达3000万美元(约合人民币2.17亿元)。
49、Fortinet 推出针对FortiClientLinux漏洞的安全补丁
https://thehackernews.com/2024/04/fortinet-has-released-patches-to.html
Fortinet 已发布补丁来解决影响 FortiClientLinux 的关键安全漏洞,该漏洞可被利用来实现任意代码执行。该漏洞的编号为 CVE-2023-45590,CVSS 评分为 9.4 分(满分 10 分)。
50、研究人员在SharePoint中发现安全漏洞
Microsoft SharePoint是一个基于Web的协作平台,与Microsoft Office和365集成,主要作为文档管理和数据存储系统。研究人员发现了两种技术,可以使用户能够绕过审计日志或通过以某种方式下载数据或将其伪装成数据同步操作来生成不太敏感的事件。统计人员在2023年11月披露了这些漏洞,但是,这些问题被评估为中等严重性,因此不会立即得到修复。
51、Rust标准库中存在高危漏洞
Rust标准库中存在高危漏洞,攻击者可以利用Rust标准库中的安全漏洞,以Windows系统为目标进行命令注入攻击。该漏洞被标记为CVE-2024-24576,是由于操作系统命令和参数注入漏洞造成的,这些漏洞可能让攻击者在操作系统上执行恶意命令。GitHub将此漏洞评估为高危,CVSS评分为10/10。未经身份验证的攻击者可以在低复杂度攻击中远程利用它,而无需用户交互。
52、LG智能电视WebOS系统存在安全漏洞
安全研究人员发现了四个漏洞,这些漏洞影响了LG智能电视WebOS系统的多个版本。这些漏洞允许对受影响的模型进行不同程度的未经授权的访问和控制,包括绕过授权、权限提升和命令注入。这些安全漏洞被标记为:CVE-2023-6317 、CVE-2023-6318、CVE-2023-6319、CVE-2023-6320。
53、微软于4月份周二补丁日修复多个安全漏洞
微软于2024年4月周二补丁日修复多个安全漏洞,涉及针对150个漏洞和67个远程代码执行漏洞的安全更新。在本次的周二补丁日中,只有3个关键漏洞被修复,但有超过67个远程代码执行(RCE)漏洞。超过一半的RCE漏洞是在Microsoft SQL驱动程序中发现的。
54、研究人员在Hugging Face中发现安全漏洞
https://www.infosecurity-magazine.com/news/wiz-discovers-flaws-generative-ai
Hugging Face是共享AI模型和应用程序的中心,研究人员在上传到Hugging Face的生成式AI模型中发现了两个关键的架构缺陷。在分析了上传到Hugging Face上的几个AI模型后,研究人员发现,其中一些模型正在共享推理基础设施。研究人员表示,推理基础设施经常运行不受信任的、潜在的恶意模型。研究人员还描述了攻击者可以采取一些方法来利用这两种风险,包括:使用导致模型产生错误预测的输入、使用输入生成在应用程序中不安全使用的正确预测、使用特制的pickle序列化恶意模型执行未经授权的活动,例如远程代码执行(RCE)。
55、微软修补了Azure Kubernetes服务容器中的漏洞
星期二补丁:微软警告未经身份验证的黑客可以完全控制
56、工信部发布关于防范利用xz-utils植入漏洞风险提示
https://www.secrss.com/articles/65023
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,Linux压缩工具xz-utils存在恶意代码植入漏洞,可被恶意利用实施网络攻击。
57、研究人员披露新的Linux提权漏洞
https://www.theregister.com/2024/03/29/linux_kernel_flaw
安全研究人员近期发现一个新的Linux提权漏洞,影响了Linux 5.14至6.6.14之间的内核版本。该漏洞影响Debian、Ubuntu、Red Hat、Fedora等Linux发行版。研究人员本周发布了关于该漏洞的详细技术报告,并表示他们提供的漏洞利用程序在内核6.4.16上的成功率为99.4%。该漏洞被标记为CVE-2024-1086,CVSS评分为7.8(满分 10)。漏洞已于1月底修复,相关安全补丁正在陆续发布。
58、思科修复其IOS和IOS XE中的多个安全漏洞
https://securityaffairs.com/161181/security/cisco-ios-and-ios-xe-software-flaws.html
思科本周发布了安全补丁,用于修复多个IOS和IOS XE软件漏洞。未经身份验证的攻击者可以利用这些漏洞进行拒绝服务 (DoS) 攻击。严重的安全漏洞包括CVE-2024-20311(CVSS评分8.6)、CVE-2024-20314(CVSS评分8.6)、CVE-2024-20307 - CVE-2024-20308(CVSS评分8.6) 、CVE-2024-20259(CVSS评分8.6)、CVE-2024-20303(CVSS评分7.4)。除此之外,思科还修复了其他高危及中危漏洞。
59、Ivanti警告其Avalanche MDM中存在安全缺陷
Ivanti近期发布了安全更新,以修复其Avalanche移动设备管理(MDM)解决方案中的27个漏洞,其中2个安全漏洞可被用于进行远程命令执行。这两个关键的安全漏洞分别是CVE-2024-24996和CVE-2024-29204。它们都是由基于堆的缓冲区溢出引起的,这些漏洞可让未经身份验证的远程攻击者在不需要用户交互的低复杂度攻击中对易受攻击的系统执行任意命令。Ivanti还修补了25个中高危漏洞,远程攻击者可以利用这些漏洞来触发拒绝服务攻击、以SYSTEM身份执行任意命令、从内存中读取敏感信息以及远程代码执行攻击。
