首頁 > 安全研究 > 安全通報 > 安全簡訊

Linux 內核漏洞CVE-2023-6200 可導致代碼執行

發布時間 2024-01-30

1. Linux 內核漏洞CVE-2023-6200 可導致代碼執行 


1月28日,Linux 內核的 IPv6 實現中發現了一個新漏洞。該缺陷被識別為 CVE-2023-6200,CVSS 得分高達 7.5,暴露了 ICMPv6 數據包(IPv6協議的關鍵組成部分)處理過程中的關鍵競爭條件。ICMPv6 是 IPv4 中 ICMP 的后繼者,對于錯誤報告和診斷至關重要。它的操作方式與 IPv4 類似,生成“目標無法到達”等錯誤消息以及回顯請求和回復等信息消息。然而,ICMPv6 在 IPv6 中脫穎而出,它使用多播地址的鄰居發現,而不是 IPv4 的帶有廣播地址的 ARP。當處理 ICMPv6 路由器通告數據包時,所識別的競爭條件發生在 Linux 內核中。具體來說,函數‘ndisc_router_discovery()’在收到這樣的數據包時被調用。如果數據包包含具有生命周期的路由信息,“fib6_set_expires()”會將其鏈接到“gc_link”。當“fib6_clean_expires()”取消鏈接“struct fib6_info”中過期的“gc_link”時,就會出現此問題,可能會導致釋放后使用 (UAF) 情況。當其他“struct fib6_info”嘗試鏈接/取消鏈接到同一個“gc_link”或遍歷“gc_link”時,可能會發生這種情況。


2. WhiteSnake InfoStealer 惡意軟件通過 PyPI 軟件包傳播 


1月29日,網絡安全研究人員在開源 Python 包索引 (PyPI) 存儲庫中發現了惡意包,這些包在 Windows 系統上傳播名為WhiteSnake Stealer的信息竊取惡意軟件。這些包含惡意軟件的軟件包名為 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它們是由名為“WS”的威脅行為者上傳的。Fortinet FortiGuard 實驗室在上周發布的一份分析報告中表示:“這些軟件包在其 setup.py 文件中合并了 Base64 編碼的 PE 源代碼或其他 Python 腳本?!薄案鶕芎φ咴O備的操作系統,最終的惡意負載會在安裝這些 Python 包時被刪除并執行?!彪m然 Windows 系統感染了 WhiteSnake Stealer,但受感染的 Linux 主機卻收到了旨在收集信息的 Python 腳本。該活動主要針對 Windows 用戶,與JFrog 和 Checkmarx 去年披露的先前活動重疊。


3. 美國國家安全局承認在沒有授權的情況下購買互聯網瀏覽數據 


1月29日,美國參議員羅恩·懷登 (Ron Wyden) 上周表示,美國國家安全局 (NSA) 承認從數據經紀人那里購買互聯網瀏覽記錄,以識別美國人使用的網站和應用程序,否則需要法院命令。懷登在給國家情報總監艾薇兒·海恩斯 (Avril Haines) 的一封信中表示,“美國政府不應該資助一個黑幕行業并使其合法化,該行業公然侵犯美國人的隱私不僅是不道德的,而且是非法的?!辈扇〈胧按_保美國情報機構只購買以合法方式獲得的美國人的數據”。有關用戶瀏覽習慣的元數據可能會帶來嚴重的隱私風險,因為這些信息可用于根據個人經常訪問的網站收集個人詳細信息。美國國家安全局表示,它已經制定了合規制度,并“采取措施盡量減少對美國個人信息的收集”,并“繼續僅獲取與任務要求相關的最有用的數據”。不過,該機構表示,未經法院命令,它不會購買和使用從美國使用的手機收集的位置數據。它還表示,它不使用從位于該國的車輛的汽車遠程信息處理系統獲得的位置信息。


4. ESET 深入研究 MirrorFace 使用的復雜惡意軟件HiddenFace


1月28日,ESET 的惡意軟件研究員 Dominik Breitenbacher透露了HiddenFace,這是一種由 MirrorFace APT 組織開發的高度復雜的后門惡意軟件。該后門也稱為 NOOPDOOR,是 MirrorFace 武器庫中最復雜的惡意軟件,其設計重點關注模塊化。它旨在適應當前的操作需求,并采用各種反檢測和反分析技術。HiddenFace 因其模塊化系統而脫穎而出,允許集成內置函數和外部加載的 shellcode 模塊。這些模塊使用 AES-256-CBC 加密,并與用戶特定的文件名、密鑰和初始化向量綁定,使其高度安全和個性化。HiddenFace 使用域生成算法 (DGA) 和 TCP 上的自定義協議主動連接到命令和控制 (C&C) 服務器。它還擁有被動通信功能,偵聽硬編碼端口并重新配置 Windows 防火墻以允許通信。通信使用 AES-128-CBC 加密,進一步展示了其復雜的設計。


5. Phobos 勒索軟件變種發起攻擊 – FAUST


1月25日,Phobos 勒索軟件系列是一組臭名昭著的惡意軟件,旨在加密受害者計算機上的文件。它于 2019 年出現,此后參與了多次網絡攻擊。這種勒索軟件通常會附加帶有唯一擴展名的加密文件,并要求以加密貨幣支付贖金以獲得解密密鑰。FortiGuard Labs 捕獲并報告了 Phobos 系列的多個勒索軟件變體,包括EKING和8Base。最近,FortiGuard 實驗室發現了一份 Office 文檔,其中包含一個 VBA 腳本,旨在傳播 FAUST 勒索軟件(Phobos 的另一個變體)。攻擊者利用 Gitea 服務存儲多個以 Base64 編碼的文件,每個文件都攜帶惡意二進制文件。當這些文件被注入系統內存時,它們會發起文件加密攻擊。FAUST 勒索軟件是 Phobos 系列的變種,是一種對受害者計算機上的文件進行加密的惡意軟件。它要求支付贖金以換取提供解密密鑰。該勒索軟件將“.faust”擴展名附加到每個加密文件,并在加密文件所在的目錄中生成 info.txt 和 info.hta。這些文件是與攻擊者建立聯系以進行贖金談判的一種手段。


6. 針對 JENKINS 缺陷 CVE-2024-23897 發布了多個 POC


1月28日,enkins 是最流行的開源自動化服務器,它由 CloudBees 和 Jenkins 社區維護。該自動化服務器支持開發人員構建、測試和部署他們的應用程序,它在全球擁有數十萬個活躍安裝,擁有超過 100 萬用戶。該開源平臺的維護者已經解決了九個安全漏洞,其中包括一個被追蹤為 CVE-2024-23897 的嚴重缺陷,該缺陷可能導致遠程代碼執行 (RCE)。Sonar的研究員 Yaniv Nizry 報告了該漏洞,  并撰寫了  對該問題的詳細分析。并且多個概念驗證 (PoC) 已被公開。攻擊者可以濫用 Jenkins 控制器進程的默認字符編碼來讀取控制器文件系統上的任意文件。具有“總體/讀取”權限的攻擊者可以讀取整個文件,而沒有該權限的攻擊者可以根據 CLI 命令讀取文件的前三行。

上一篇 下一篇