来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击,该攻击针对条件 DNS (CDNS) 解析器,可以危害整个 TLD 顶级域。DNS(域名系统)是一种针对互联网资源和网络的分层分布式命名系统,有助于将人类可读的域名解析为数字 IP 地址,以便建立网络连接。由于不同 DNS 软件和服务器模式(递归解析器和转发器)实施安全检查的不一致,导致攻击成为可能,导致大约三分之一的 CDNS 服务器容易受到攻击。
https://papers.mathyvanhoef.com/usenix2023-tunnelcrack.pdf
TunnelCrack 是 VPN 中两个广泛存在的安全漏洞的组合。攻击者可以利用这些漏洞将流量泄露到 VPN 隧道之外。研究人员测试表明,每个 VPN 产品至少在一台设备上容易受到攻击。研究人员发现,iPhone、iPad、MacBook 和 macOS 上的 VPN 极有可能容易受到攻击,Windows 和 Linux 上的大多数 VPN 都容易受到攻击,Android 是最安全的,大约有四分之一的 VPN 应用程序容易受到攻击。无论 VPN 使用何种安全协议,所发现的漏洞都可能被滥用。
https://www.wired.com/story/apple-mac-background-task-management-flaw/
研究人员发现 Apple macOS 后台任务管理机制存在漏洞,该机制可能被利用来绕过该公司最近添加的监控工具。Apple 的后台任务管理工具专注于监视软件“持久性”。恶意软件可以设计为短暂的,仅在设备上短暂运行或直到计算机重新启动为止。但它也可以被构建为更深入地建立自身并“坚持”目标,即使计算机关闭并重新启动也是如此。当某些东西持续自行安装时,可能导致任何复杂的恶意软件都可以轻松绕过监控。
https://unit42.paloaltonetworks.com/sugarcrm-cloud-incident-black-hat/
SugarCRM(CVE-2023-22952)零日身份验证绕过和远程代码执行漏洞是一个典型的漏洞,实际上,防御者需要注意更多内容。由于它是一个 Web 应用程序,如果未正确配置或保护,幕后的基础设施可能会让攻击者扩大其影响。当攻击者了解云服务提供商使用的底层技术时,如果他们能够访问具有正确权限的凭据,攻击者就可以入侵更多的基础设施。
https://securityaffairs.com/149478/security/cyberpower-dcim-pdu-flaws.html
CyberPower PowerPanel Enterprise DCIM 平台和 Dataprobe PDU 中的多个漏洞可能会使数据中心遭受黑客攻击。
https://securityaffairs.com/149447/hacking/python-url-severe-vulnerability.html
Python URL解析功能中存在严重漏洞,可被利用实现任意文件读取和命令执行。该问题影响 3.11 之前的所有 python 版本。
https://securityaffairs.com/149487/hacking/zooms-zero-touch-provisioning-flaws.html
奥科桌面电话和 Zoom 的零接触配置 (ZTP) 中存在多个缺陷,可能会遭受多种攻击。
https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/
法国公司 Iagona 制造的 ScrutisWeb ATM 机群监控软件中发现的多个漏洞可被用来远程攻击 ATM。 这些安全漏洞是由 Synack Red Team 成员发现的,供应商于 2023 年 7 月发布了 ScrutisWeb 版本 2.1.38,对其进行了修补。 ScrutisWeb 允许组织通过网络浏览器监控银行或零售 ATM 机群,使他们能够快速响应问题。
https://securityaffairs.com/149498/data-breach/colorado-hcpf-department-data-breach.html
科罗拉多州医疗保健政策和融资部 (HCPF) 披露了 IBM MOVEit 攻击后发生的数据泄露事件。影响超过 400 万人。
https://thecyberexpress.com/wolfgpt-wormgpt-evil-gpt-surface-hacker-forum/
一位用户正在推广“Evil-GPT”的销售,这是一种为恶意使用而制作的生成AI聊天机器人,将其定位为WormGPT的最终替代品。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。