1、研究人员披露Apache OfBiz ERP系统中漏洞的利用方法

https://vulncheck.com/blog/ofbiz-cve-2023-51467

网络安全研究人员开发了一种概念验证 (PoC) 代码，该代码利用Apache OfBiz 开源企业资源规划 (ERP) 系统中最近披露的一个关键缺陷来执行内存驻留有效负载。该漏洞为CVE-2023-51467（CVSS 评分：9.8），它绕过了同一软件中的另一个严重缺陷（CVE-2023-49070，CVSS 评分：9.8），可被武器化以绕过身份验证并远程执行任意命令代码。虽然该问题已在上个月发布的Apache OFbiz 版本 18.12.11中得到修复，但据观察，威胁行为者试图利用该缺陷，针对易受攻击的实例。CVE-2023-51467 可被利用直接从内存执行有效负载，几乎不留下任何恶意活动痕迹。

2、攻击者恶意滥用GitHub资源的行为呈现上升趋势

https://www.recordedfuture.com/flying-under-the-radar-abusing-gitHub-malicious-infrastructure

GitHub 在信息技术 (IT) 环境中的普遍存在，使其成为威胁行为者托管和传递恶意负载并充当死点解析器、命令和控制以及数据渗漏点的有利可图的选择。将 GitHub 服务用于恶意基础设施可以让对手融入合法的网络流量，通常会绕过传统的安全防御，并使上游基础设施跟踪和攻击者归因变得更加困难。网络安全公司将这种方法描述为“离地受信任站点”(LOTS)，这是威胁行为者经常采用的离地生活 (LotL) 技术的延伸，用于隐藏流氓活动并在雷达下飞行。GitHub 被滥用的 最突出的方法与有效负载传递有关，一些攻击者利用其功能进行命令和控制 (C2) 混淆。

3、Adobe修复Substance 3D Stager产品中的代码执行漏洞

https://www.securityweek.com/adobe-patches-code-execution-flaws-in-substance-3d-stager/

软件制造商 Adobe 发布了针对 Substance 3D Stager 产品中六个安全缺陷的补丁，并警告称，黑客可以针对这些漏洞发起代码执行攻击。Adobe 将这些漏洞标记为“重要严重性”等级，并敦促 macOS 和 Windows 平台上的用户立即应用更新。在 2004 年的第一个周二补丁更新中，Adobe记录了面向企业的 3D 渲染软件中至少有 6 个漏洞，并表示成功利用可能会导致内存泄漏和在当前用户的上下文中执行任意代码。Adobe 建议用户升级到 Substance 3D Stager 版本 2.1.4 以缓解内存安全问题。该公司表示，不知道有任何对已记录的软件缺陷的野外利用。

4、开源密码管理器Bitwarden添加密钥支持以登录Web密码库

https://www.bleepingcomputer.com/news/security/bitwarden-adds-passkey-support-to-log-into-web-password-vaults/

开源 Bitwarden 密码管理器宣布所有用户现在都可以使用密钥而不是标准用户名和密码对登录其网络保管库。密钥是大多数人设置的密码的更安全的替代方案，并且可以抵御网络钓鱼。就 Bitwarden 而言，他们允许用户解密其保管库，而无需主密码、电子邮件地址或双因素身份验证 (2FA)。Bitwarden 的密钥实现目前处于测试阶段，依赖 PRF WebAuthn 扩展来验证用户身份并获取加密密钥并解密保管库中的数据。Bitwarden 等端到端加密应用程序需要对用户进行身份验证并安全地加密和解密数据。加密过程需要静态密钥，该密钥可以从密码派生。不与应用程序共享的密钥将为每次身份验证生成不同的值。

5、Akira勒索软件可擦除NAS和磁带备份设备的数据

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/suomalaiset-organisaatiot-akira-kiristyshaittaohjelmien-kohteena

芬兰国家网络安全中心 (NCSC-FI) 通报 Akira 勒索软件活动在 12 月份有所增加，该活动针对该国的公司并擦除备份。该机构表示，上个月报告的 7 起勒索软件事件中，有 6 起是由威胁行为者发起的。擦除备份会放大攻击的损害，并允许威胁行为者向受害者施加更大的压力，因为他们消除了无需支付赎金即可恢复数据的选项。小型组织经常使用网络附加存储 (NAS) 设备来实现此目的，但芬兰机构强调，这些系统也未能幸免于 Akira 勒索软件攻击。攻击者还针对磁带备份设备，这些设备通常用作存储数据数字副本的辅助系统。

6、超过15万个WordPress网站因易受攻击的插件可能遭受攻击

https://www.wordfence.com/blog/2024/01/type-juggling-leads-to-two-vulnerabilities-in-post-smtp-mailer-wordpress-plugin/

影响 POST SMTP Mailer WordPress 插件（300000 个网站使用的电子邮件传送工具）的两个漏洞可能会帮助攻击者完全控制站点身份验证。上个月，研究人员发现了该插件中的两个漏洞，并将其报告给供应商。第一个被追踪为CVE-2023-6875，是一个严重的授权绕过缺陷，由 connect-app REST 端点上的“类型杂耍”问题引起。该问题影响 2.8.7 及之前的所有版本插件。未经身份验证的攻击者可以利用它来重置 API 密钥并查看敏感日志信息，包括密码重置电子邮件。具体来说，攻击者可以利用与移动应用程序相关的功能，通过请求为身份验证密钥设置一个零值的有效令牌。

7、Atomic窃取器通过加密载荷针对Mac用户发起攻击

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version

网络安全研究人员发现了名为Atomic（或 AMOS）的 macOS 信息窃取程序的更新版本，这表明该恶意软件背后的威胁行为者正在积极增强其功能。Atomic Stealer 似乎在 2023 年 12 月中下旬左右进行了更新，其开发人员引入了有效负载加密，以绕过检测规则。Atomic Stealer首次出现于 2023 年 4 月，每月订阅费为 1000 美元。它能够通过虚假提示从受感染的主机获取敏感信息，包括钥匙串密码、会话 cookie、文件、加密钱包、系统元数据和机器密码。

8、新型 CI/CD 攻击可能导致 PyTorch 供应链受损

https://www.securityweek.com/new-class-of-ci-cd-attacks-could-have-led-to-pytorch-supply-chain-compromise/

Praetorian 安全研究员 John Stawinski 表示，新披露的一类 CI/CD 攻击可能允许攻击者将恶意代码注入 PyTorch 存储库，从而导致大规模供应链受损。

9、苹果修复妙控键盘中的击键注入漏洞

https://www.securityweek.com/apple-patches-keystroke-injection-vulnerability-in-magic-keyboard/

苹果本周宣布了妙控键盘固件更新，修复了一个可能允许攻击者通过蓝牙注入击键的漏洞。

10、Juniper SRX 防火墙和 EX 交换机中发现严重 RCE 漏洞

https://thehackernews.com/2024/01/critical-rce-vulnerability-uncovered-in.html

Juniper Networks 已发布更新以修复其 SRX 系列防火墙和 EX 系列交换机中的关键远程代码执行 (RCE) 漏洞。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。