首頁 > 安全研究 > 安全通報 > 安全簡訊

Pillow嚴重漏洞CVE-2023-50447讓Python項目面臨風險

發布時間 2024-01-23

1. Pillow嚴重漏洞CVE-2023-50447讓Python項目面臨風險


1月21日,Pillow作為許多項目的基石,作為 Python 成像庫 (PIL) 的現代繼承者。該庫因其處理各種圖像處理任務的強大功能而受到重視。然而,安全研究人員 Duarte Santos 最近發現了一個嚴重漏洞 CVE-2023-50447,該漏洞可能允許攻擊者執行任意代碼。該漏洞的 CVSS 評分為 9.0,位于 Pillow 的“PIL.ImageMath.”函數中。該函數旨在評估涉及圖像的數學表達式,無意中允許控制傳遞給“環境”參數的密鑰的攻擊者執行任意代碼。問題源于 Pillow 如何處理這些表達式,它依賴于 Python 的內置“”,但具有圖像處理的附加功能。該利用技術圍繞操縱評估上下文以包含惡意“co_names”,從而繞過預期的限制。通過巧妙地使用 Python 的 dunder(雙下劃線)方法,攻擊者可以調用 eval 上下文中存在的對象內的任意方法,從而導致代碼執行。


2. SmokeLoader惡意軟件正在針對烏克蘭的政府機構和公司


1月19日,AhnLab 安全情報中心 (ASEC) 發現多個 SmokeLoader 惡意軟件正在分發給烏克蘭政府和公司。近期針對烏克蘭的襲擊事件似乎有所增加。目前確認的目標包括烏克蘭司法部、公共機構、保險公司、醫療機構、建筑公司和制造公司等。分發的電子郵件遵循烏克蘭語格式。正文包含與發票相關的信息,提示讀者執行附件。SmokeLoader是一種下載器惡意軟件,它可以在連接到C&C服務器后通過接收命令來下載額外的模塊或惡意軟件。執行時會注入explorer.exe,并通過以下流程進行惡意活動。首先,它在 %AppData% 路徑中將自身復制為“ewuabsi”,隱藏自身并授予系統文件屬性。然后,它嘗試連接到下面列出的 C&C 服務器,其中可以額外下載 Lockbit 勒索軟件和各種其它惡意軟件。


3. Tietoevry遭勒索軟件Akira攻擊導致瑞典企業和城市停電


1月21日,芬蘭 IT 服務和企業云托管提供商 Tietoevry 遭受勒索軟件攻擊,影響其位于瑞典的一個數據中心的云托管客戶,據報道,此次攻擊是由 Akira 勒索軟件團伙發起的。Tietoevry 是一家芬蘭 IT 服務公司,為企業提供托管服務和云托管。該公司在全球擁有約 24,000 名員工,2023 年收入為 31 億美元。勒索軟件攻擊對該公司的虛擬化和管理服務器進行了加密,這些服務器用于托管瑞典眾多企業的網站或應用程序。瑞典最大的連鎖影院 Filmstaden 已確認 他們受到此次攻擊的影響,因此無法通過網站或移動應用程序在線購買電影票;其他受到攻擊影響的公司包括折扣零售連鎖店 Rusta、原材料供應商 Moelven和農業供應商 Grangn?rden,后者 在 IT 服務恢復期間被迫 關閉商店;停電還影響了瑞典的眾多政府機構和市政當局,包括 Statens 服務中心、  Vellinge 市、  Bjuv 市和 烏普薩拉縣。


4. LockBit勒索軟件團伙聲稱已入侵美國快餐連鎖店Subway


1月21日,Subway IP LLC 是一家美國跨國快餐連鎖店,主營海底三明治 (subs)、卷餅、沙拉和飲料。Lockbit 勒索軟件組織將 Subway 添加到其 Tor 數據泄露網站的受害者名單中,并威脅于 2024 年 2 月 2 日 21:44:16 UTC 泄露被盜數據。該組織聲稱竊取了數百GB的敏感數據。該團伙表示,被盜數據包括員工工資、特許經營權使用費、主特許經營傭金支付、餐廳營業額等。Tor 泄露網站上發布的消息:“最大的三明治連鎖店假裝什么都沒發生。我們竊取了他們的 SUBS 內部系統,其中包括數百 GB 的數據和特許經營權的所有財務預期,包括員工工資、特許經營權使用費、主特許經營傭金支付、餐廳營業額等。我們給他們一些時間來保護這些數據數據,如果沒有,我們愿意向競爭對手出售?!?nbsp;


5. 研究團隊發現利用CVE-2023-46604的攻擊活動Godzilla


1月22日,網絡安全研究人員警告說,威脅行為者的活動“顯著增加”,他們積極利用 Apache ActiveMQ 中現已修補的缺陷,在受感染的主機上傳遞 Godzilla Web shell。該shell 隱藏在未知的二進制格式中,旨在逃避安全和基于簽名的掃描程序。值得注意的是,盡管二進制文件格式未知,ActiveMQ 的 JSP 引擎仍繼續編譯并執行 Web shell。CVE-2023-46604(CVSS 評分:10.0)是指Apache ActiveMQ 中的一個嚴重漏洞,該漏洞可實現遠程代碼執行。自 2023 年 10 月下旬公開披露以來,它已被多個對手積極利用,以部署勒索軟件、rootkit、加密貨幣礦工和DDoS 僵尸網絡。


6. 安全研究團隊發布模塊化木馬Zloader新變種的分析報告


1月22日,Zloader 誕生于泄露的 Zeus 源代碼,于 2016 年首次出現,目標是德國銀行。然而,它的活動可以追溯到 2015 年。在 2018 年之后的中斷之后,它于 2019 年底以“平安夜”的名義重新崛起,對其功能帶來了重大改變和增強。Zloader 從銀行木馬到勒索軟件攻擊工具的歷程反映了網絡威脅的適應性。其演變在 2021 年 9 月開發出 2.0.0.0 版本時達到頂峰。盡管在 2022 年 4 月進行了刪除操作,Zloader 仍于 2023 年以更復雜的更新回歸,展示了其彈性和對網絡安全的持續威脅。Zloader 的最新版本于 2023 年 9 月開始開發,引入了先進的混淆技術、更新的域生成算法和用于網絡通信的 RSA 加密。值得注意的是,該加載程序現在支持 64 位 Windows 版本,這標志著其操作能力的重大轉變。此次演變包括新版本 2.1.6.0 和 2.1.7.0,突出了 Zloader 的持續發展和威脅。

上一篇 下一篇