Linux内核漏洞CVE-2023-32233可提升至root权限
发布时间 2023-05-111、Linux内核漏洞CVE-2023-32233可提升至root权限
据媒体5月9日报道,研究人员发现了Linux内核的NetFilter框架中的新漏洞(CVE-2023-32233)。该漏洞可被本地用户用于将权限提升为root,并完全控制系统。问题的根源在于tfilter nf_tables是如何处理批处理请求的,经过身份验证的本地攻击者可通过发送特制的请求破坏Netfilter nf_tables的内部状态,从而获得更高权限。该漏洞影响多个Linux内核版本,包括当前的稳定版本v6.3.1。目前,研究人员还开发了一个PoC。
https://securityaffairs.com/145989/security/linux-netfilter-kernel-flaw.html
2、Ruckus中的漏洞CVE-2023-25717被AndoryuBot利用
据5月9日报道,Fortinet发现DDoS僵尸网络AndoryuBot利用Ruckus Wireless Admin中RCE漏洞(CVE-2023-25717)的攻击激增。恶意软件通过HTTP GET请求感染设备,然后从硬编码URL下载额外的脚本以进一步传播。变体可以针对多种系统架构,包括x86、arm、spc和m68k等。感染设备后,恶意软件使用SOCKS代理协议与C2服务器建立通信,以隐蔽和绕过防火墙,然后等待命令。该漏洞于2月8日被发现并修复,PoC已公开,建议用户尽快安装补丁。
https://securityaffairs.com/145980/cyber-crime/andoryubot-ddos-botnet.html
3、CyberArk发布新的勒索软件解密器White Phoenix
媒体5月10日称,CyberArk在对部分加密的PDF文件进行试验后开发了新的勒索软件解密器White Phoenix。Sentinel Labs称,间歇性加密在勒索软件领域越来越受欢迎。CyberArk则表示这种策略给加密带来了弱点,因为不加密部分原始文件使恢复数据变得可能。该自动数据恢复工具适用于BlackCat/ALPHV、Play ransomware、Qilin/Agenda、BianLian和DarkBit加密的文件。但即使理论上支持,White Phoenix也不会在所有情况下都产生好的结果。
https://www.bleepingcomputer.com/news/security/new-ransomware-decryptor-recovers-data-from-partially-encrypted-files/
4、食品公司Sysco遭到攻击客户和员工的个人信息泄露
媒体5月9日报道,食品分销公司Sysco遭到攻击导致部分信息泄露。攻击活动始于1月14日,攻击者未经授权访问其系统并窃取了部分数据。该公司透露,其美国和加拿大的客户和供应商数据,以及美国员工的个人信息在该事件中受到影响。但该事件并未影响其业务运营,客户服务也未中断。Sysco表示,其安全团队实施了额外的保护措施,以防止未来发生类似的违规行为。
https://www.bleepingcomputer.com/news/security/food-distribution-giant-sysco-warns-of-data-breach-after-cyberattack/
5、BlackBerry发现SideWinder攻击巴基斯坦政府机构
5月8日,BlackBerry称其发现了SideWinder针对巴基斯坦政府机构的攻击活动。活动于2022年11月下旬开始,使用巴基斯坦海军战争学院(PNWC)相关的诱饵文件分发一个基于.NET的轻量级后门(App.dll),能够从远程服务器检索和执行下一代恶意软件。此外,攻击者使用了基于服务器的多态性技术来绕过传统的基于签名的AV检测,并通过响应两个不同版本的中间RTF文件来分发额外的payload。
https://blogs.blackberry.com/en/2023/05/sidewinder-uses-server-side-polymorphism-to-target-pakistan
6、ESET发布2022年Q4至2023年Q1 APT活动的分析报告
5月9日,ESET发布了2022年Q4至2023年Q1 APT活动的分析报告。报告指出,部分攻击团伙把重点放在欧洲的组织上,Ke3chang安装了一个新的Ketrican变体,Mustang Panda利用了两个新的后门。MirrorFace针对日本,使用了新的恶意软件分发方法,而Operation ChattyGoblin则入侵了菲律宾的一家博彩公司。印度相关组织SideWinder和Donot Team仍然针对南亚的政府机构,前者针对教育行业,后者继续开发其yty框架。在南亚,研究人员还发现了大量的Zimbra邮件钓鱼攻击活动。
https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/
京公网安备11010802024551号