Pillow严重漏洞CVE-2023-50447让Python项目面临风险
发布时间 2024-01-231. Pillow严重漏洞CVE-2023-50447让Python项目面临风险
1月21日,Pillow作为许多项目的基石,作为 Python 成像库 (PIL) 的现代继承者。该库因其处理各种图像处理任务的强大功能而受到重视。然而,安全研究人员 Duarte Santos 最近发现了一个严重漏洞 CVE-2023-50447,该漏洞可能允许攻击者执行任意代码。该漏洞的 CVSS 评分为 9.0,位于 Pillow 的“PIL.ImageMath.”函数中。该函数旨在评估涉及图像的数学表达式,无意中允许控制传递给“环境”参数的密钥的攻击者执行任意代码。问题源于 Pillow 如何处理这些表达式,它依赖于 Python 的内置“”,但具有图像处理的附加功能。该利用技术围绕操纵评估上下文以包含恶意“co_names”,从而绕过预期的限制。通过巧妙地使用 Python 的 dunder(双下划线)方法,攻击者可以调用 eval 上下文中存在的对象内的任意方法,从而导致代码执行。
2. SmokeLoader恶意软件正在针对乌克兰的政府机构和公司
1月19日,AhnLab 安全情报中心 (ASEC) 发现多个 SmokeLoader 恶意软件正在分发给乌克兰政府和公司。近期针对乌克兰的袭击事件似乎有所增加。目前确认的目标包括乌克兰司法部、公共机构、保险公司、医疗机构、建筑公司和制造公司等。分发的电子邮件遵循乌克兰语格式。正文包含与发票相关的信息,提示读者执行附件。SmokeLoader是一种下载器恶意软件,它可以在连接到C&C服务器后通过接收命令来下载额外的模块或恶意软件。执行时会注入explorer.exe,并通过以下流程进行恶意活动。首先,它在 %AppData% 路径中将自身复制为“ewuabsi”,隐藏自身并授予系统文件属性。然后,它尝试连接到下面列出的 C&C 服务器,其中可以额外下载 Lockbit 勒索软件和各种其它恶意软件。
3. Tietoevry遭勒索软件Akira攻击导致瑞典企业和城市停电
1月21日,芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击,影响其位于瑞典的一个数据中心的云托管客户,据报道,此次攻击是由 Akira 勒索软件团伙发起的。Tietoevry 是一家芬兰 IT 服务公司,为企业提供托管服务和云托管。该公司在全球拥有约 24,000 名员工,2023 年收入为 31 亿美元。勒索软件攻击对该公司的虚拟化和管理服务器进行了加密,这些服务器用于托管瑞典众多企业的网站或应用程序。瑞典最大的连锁影院 Filmstaden 已确认 他们受到此次攻击的影响,因此无法通过网站或移动应用程序在线购买电影票;其他受到攻击影响的公司包括折扣零售连锁店 Rusta、原材料供应商 Moelven和农业供应商 Grangnården,后者 在 IT 服务恢复期间被迫 关闭商店;停电还影响了瑞典的众多政府机构和市政当局,包括 Statens 服务中心、 Vellinge 市、 Bjuv 市和 乌普萨拉县。
4. LockBit勒索软件团伙声称已入侵美国快餐连锁店Subway
1月21日,Subway IP LLC 是一家美国跨国快餐连锁店,主营海底三明治 (subs)、卷饼、沙拉和饮料。Lockbit 勒索软件组织将 Subway 添加到其 Tor 数据泄露网站的受害者名单中,并威胁于 2024 年 2 月 2 日 21:44:16 UTC 泄露被盗数据。该组织声称窃取了数百GB的敏感数据。该团伙表示,被盗数据包括员工工资、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。Tor 泄露网站上发布的消息:“最大的三明治连锁店假装什么都没发生。我们窃取了他们的 SUBS 内部系统,其中包括数百 GB 的数据和特许经营权的所有财务预期,包括员工工资、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。我们给他们一些时间来保护这些数据数据,如果没有,我们愿意向竞争对手出售。”
5. 研究团队发现利用CVE-2023-46604的攻击活动Godzilla
1月22日,网络安全研究人员警告说,威胁行为者的活动“显着增加”,他们积极利用 Apache ActiveMQ 中现已修补的缺陷,在受感染的主机上传递 Godzilla Web shell。该shell 隐藏在未知的二进制格式中,旨在逃避安全和基于签名的扫描程序。值得注意的是,尽管二进制文件格式未知,ActiveMQ 的 JSP 引擎仍继续编译并执行 Web shell。CVE-2023-46604(CVSS 评分:10.0)是指Apache ActiveMQ 中的一个严重漏洞,该漏洞可实现远程代码执行。自 2023 年 10 月下旬公开披露以来,它已被多个对手积极利用,以部署勒索软件、rootkit、加密货币矿工和DDoS 僵尸网络。
6. 安全研究团队发布模块化木马Zloader新变种的分析报告
1月22日,Zloader 诞生于泄露的 Zeus 源代码,于 2016 年首次出现,目标是德国银行。然而,它的活动可以追溯到 2015 年。在 2018 年之后的中断之后,它于 2019 年底以“平安夜”的名义重新崛起,对其功能带来了重大改变和增强。Zloader 从银行木马到勒索软件攻击工具的历程反映了网络威胁的适应性。其演变在 2021 年 9 月开发出 2.0.0.0 版本时达到顶峰。尽管在 2022 年 4 月进行了删除操作,Zloader 仍于 2023 年以更复杂的更新回归,展示了其弹性和对网络安全的持续威胁。Zloader 的最新版本于 2023 年 9 月开始开发,引入了先进的混淆技术、更新的域生成算法和用于网络通信的 RSA 加密。值得注意的是,该加载程序现在支持 64 位 Windows 版本,这标志着其操作能力的重大转变。此次演变包括新版本 2.1.6.0 和 2.1.7.0,突出了 Zloader 的持续发展和威胁。
京公网安备11010802024551号