Linux 再次被曝 root 提权漏洞,长达 15 年之久
在 Linux 内核的 iSCSI 子系统中发现的三个漏洞可能使具有基本用户权限的本地用户在未打补丁的 Linux 系统上获得 root 用户权限。这些漏洞只能在本地利用,这意味着潜在的攻击者将不得不利用其他漏洞或使用替代攻击媒介来访问易受攻击的设备。15 年后,GRIMM 的研究人员发现了这些漏洞。根据 GRIMM 安全研究员 Adam Nichols 的看法,这些缺陷会影响所有 Linux 发行版,但是幸运的是,默认情况下不会加载易受攻击的 scsi_transport_iscsi 内核模块。但是,根据攻击者可能针对的 Linux 发行版,可以加载该模块并利用该模块进行提权。Nichols 说:“ Linux 内核加载模块的原因是检测到新硬件,或者是因为内核功能检测到缺少模块。后一种隐式自动加载情况很可能被滥用,并且容易被攻击者触发,从而使他们能够增加内核的攻击面。”
Nichols补充说:“在 CentOS 8,RHEL 8 和 Fedora 系统上,如果安装了 rdma-core 软件包,则没有特权的用户可以自动加载所需的模块。在 Debian 和 Ubuntu 系统上,如果 RDMA 硬件可用,则 rdma-core 软件包将仅自动加载两个必需的内核模块。因此,该漏洞的范围受到更大的限制。” 攻击者可以滥用这些漏洞来绕过一些安全功能,例如内核地址空间布局随化 (KASLR),Supervisor 模式执行保护 (SMEP),Supervisor 模式访问阻止 (SMAP) 和内核页表隔离 (KPTI)。这三个漏洞可能导致本地权限提升,信息泄漏和服务拒绝:
CVE-2021-27365:堆缓冲区溢出 (本地特权提升,信息泄漏,拒绝服务)CVE-2021-27363:内核指针泄漏 (信息泄漏)CVE-2021-27364:越界读取 (信息泄漏,拒绝服务)
这三个漏洞均已从 5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260 进行了修补,并且这些修补程序已于 3 月 7 日在主线 Linux 内核中提供。对于 EOL 不支持的内核版本 (如 3.x 和 2.6.23),不会发布任何补丁程序。
发布时间:2021-03-13
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/15-year-old-linux-kernel-bugs-let-attackers-gain-root-privileges/
有网络安全研究人员已经开始调查一起有趣的电子邮件活动,该活动分发以 Nim 编程语言编写的新恶意软件。Proofpoint 研究人员将其称为 NimzaLoader。研究人员说:“恶意软件开发人员可能会选择使用一种稀有的编程语言来避免检测,因为逆向工程师可能不熟悉 Nim 的实现,或者没有专注于开发 Nim 的检测,因此工具和沙箱可能很难分析它的样本。” Proofpoint 正在使用 TA800 这个名字来跟踪该活动的运营商,他们说,从 2021 年 2 月 3 日开始分发 NimzaLoader。在最新一轮活动之前,TA800 自 2020 年 4 月起主要使用 BazaLoader。
虽然 APT28 以前有与使用基于 Nim 的加载程序来传递 Zebrocy 恶意软件相关联,但 NimzaLoader 的出现又表明攻击者正不断改进其恶意软件以避免被发现。来自 Walmart 威胁情报组织的研究人员也独立证实了 Proofpoint 的发现,该组织将恶意软件命名为 Nimar Loader。与 BazaLoader 的情况一样,在 2 月 3 日发现的活动使用了个性化的电子邮件钓鱼诱饵,其中包含指向 PDF 文档的链接,该链接将收件人重定向到 Slack 上托管的 NimzaLoader 可执行文件。该可执行文件还利用伪造的 Adobe 图标作为其社交工程技巧的一部分,诱骗用户下载恶意软件。恶意软件一旦被打开,就会为攻击者提供对受害者 Windows 系统的访问权限,并具有执行从命令和控制服务器检索的任意命令的功能,包括执行 PowerShell 命令,将 Shellcode 注入到正在运行的进程,甚至部署其他恶意软件。
发布时间:2021-03-12
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2021/03/researchers-spotted-malware-written-in.html
钓鱼网站现在正在使用 JavaScript 来检查访问者是否正在从虚拟机或 headless 设备浏览站点,目的是为了逃避检测。网络安全公司通常使用 headless 设备或虚拟机来确定一个网站是否用于网络钓鱼。为了绕过检测,网络钓鱼套件利用 JavaScript 来检查浏览器是在虚拟机下运行还是在未连接监视器的情况下运行。如果发现任何尝试分析的迹象,它将显示空白页面,而不显示网络钓鱼页面。该脚本由 MalwareHunterTeam 发现,它检查访问者屏幕的宽度和高度,并使用 WebGL API 查询浏览器使用的渲染引擎。
执行检查时,脚本将首先查看浏览器是否使用渲染器,例如 SwiftShader,LLVMpipe 或 VirtualBox。渲染器通常指示浏览器正在虚拟机中运行。脚本还会检查访问者的屏幕的色深是否小于 24 位,或者屏幕的高度和宽度是否小于 100 像素,如下所示:
如果检测到以上任何一种情况,网络钓鱼页面将在浏览器的开发人员控制台中显示一条消息,并向访问者显示一个空白页面。但是,如果浏览器使用常规的硬件渲染引擎和标准的屏幕大小,则脚本将显示网络钓鱼登录页面。攻击者使用的代码似乎取自 2019 年的一篇文章,该文章描述了如何使用 JavaScript 来检测虚拟机。
发布时间:2021-03-15
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/phishing-sites-now-detect-virtual-machines-to-bypass-detection/
在野出现新的 Mirai 变种和 ZHtrap 僵尸网络恶意软件
网络安全研究人员周一透露,有一波新的持续攻击正利用各种漏洞在联网设备上部署新的 Mirai 变种。Palo Alto Networks 的 Unit 42 威胁情报小组在一份报告中说:“在成功利用后,攻击者试图下载恶意的 shell 脚本,其中包含进一步的感染行为,例如下载和执行 Mirai 变种和暴力破解程序。” 被利用的漏洞包括:
-
VisualDoor:一个 SonicWall SSL-VPN 远程命令注入漏洞,该漏洞于今年 1 月初公开
-
CVE-2020-25506:D-Link DNS-320 防火墙远程执行代码 (RCE) 漏洞
-
CVE-2021-27561 和 CVE-2021-27562:Yealink 设备管理中的两个漏洞,允许未经身份验证的攻击者以 root 特权在服务器上运行任意命令
-
CVE-2021-22502:Micro Focus Operation Bridge Reporter (OBR) 中的 RCE 缺陷,影响版本 10.40
-
CVE-2019-19356:Netis WF2419 无线路由器 RCE 漏洞利用
-
CVE-2020-26919:Netgear ProSAFE Plus RCE 漏洞
SonicWall 在给 The Hacker News 的一份声明中说:“有问题的 VisualDoor 攻击针对的是一个旧的 SSL-VPN 固件漏洞,该漏洞已在 2015 年用 7.5.1.4-43sv 和 8.0.0.4-25sv 版本修补在旧产品上。对于 SonicWall 设备,它是不可行的。” 研究人员还发现,该混合攻击还包括针对未知目标部署的三个以前未公开的命令注入漏洞,据研究人员发现,其中一个是与一个单独的僵尸网络 (称为 MooBot) 结合使用的。据说从 2 月 16 日到最近的 3 月 13 日,长达一个月的时间里发现了这些攻击。无论成功利用漏洞有多少,攻击链都涉及使用 wget 下载 shell 程序脚本,然后将其用于获取 Mirai 二进制文件,恶意软件将运行 Linux 的联网 IoT 设备变成远程控制的机器人。可以在大规模网络攻击中用作僵尸网络的一部分。除了下载 Mirai 之外,还发现了其他 shell 程序脚本,它们检索可执行文件,以弱密码暴力破解易受攻击的设备。研究人员说:“物联网领域仍然是攻击者的目标。许多漏洞非常容易利用,在某些情况下可能会带来灾难性的后果。”
发布时间:2021-03-16
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2021/03/new-mirai-variant-and-zhtrap-botnet.html
CISA 发布了新的 SolarWinds 恶意活动检测工具
美国网络安全和基础设施安全局 (CISA) 发布了一种新工具,用于检测与本地企业环境中的 SolarWinds 黑客相关的入侵后恶意活动。新的取证收集工具-搜寻和事件响应程序 (CHIRP) 是基于 Python 的工具,可帮助检测 Windows 操作系统上的 SolarWinds 恶意活动 IOC。CISA 解释说:“类似于 Sparrow (在 M365 或 Azure 环境中扫描 APT 破坏迹象),CHIRP 在本地环境中扫描 APT 破坏迹象。在此版本中,CHIRP 默认情况下会搜索与 AA20-352A 和 AA21-008A 中详细描述的恶意活动相关的 IOC,这些 IOC 已泄漏到本地企业环境中。” 这两个表明,SolarWinds 黑客利用 SolarWinds Orion 产品和 Microsoft 365 (M365)/Azure 环境作为最初的访问媒介。执行扫描时,CHIRP 将输出 JSON 格式的数据,以便在 SIEM 或类似工具中进行进一步分析。CISA 建议组织在需要以下情况时使用 CHIRP 来分析其环境:
-
TEARDROP 和 RAINDROP 恶意软件
-
凭证转储凭证拉取
-
某些与该活动有关的持久性机制
-
系统,网络和 M365
-
已知可观察到的横向运动指标
关键词:SolarWinds
发布时间:2021-03-18
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/cisa-releases-new-solarwinds-malicious-activity-detection-tool/
- End -
