安全資訊報告
Nvidia程式碼簽名證照被駭客洩露
英偉達的程式碼簽名證照是這家GPU巨頭被駭客入侵後被竊取洩露的大量檔案之一。惡意軟體樣本資料庫VirusTotal中至少有兩個不是由Nvidia開發,但在本週用被盜證照籤名的二進位制檔案,它們看起來是Nvidia程式。
入侵Nvidia的Lapsus$組織聲稱竊取了該公司許多檔案,包括憑據、原始碼和文件,該組織試圖勒索Nvidia,並從其GPU韌體中刪除加密限制。去年,Nvidia為其RTX 30系列顯示卡在其驅動程式中引入了一項名為LiteHashRate(簡稱LHR)的技術。
根據該組織的Telegram頁面,Lapsus$威脅Nvidia公開發布更多內部材料和晶片藍圖細節,除非該公司承諾移除LHR。Nvidia會屈服於這種敲詐勒索似乎完全令人難以置信。該團伙還希望Nvidia開源其適用於Mac、Linux和Windows PC的驅動程式。
根據HaveI Been Pwned的說法,洩露的資料中有“超過70,000個員工電子郵件地址和NTLM密碼雜湊,其中許多隨後被破解並在駭客社群中傳播。”
新聞來源:
https://www.theregister.com/2022/03/05/nvidia_stolen_certificate/
惡意軟體可以逃避基於人工智慧的防禦
Deep Instinct本週釋出的最新網路威脅態勢報告顯示,惡意軟體攻擊者正在投資於反人工智慧和對抗性攻擊技術,並將這些方法整合到他們更大的規避策略中。
與早期的攻擊者模式形成鮮明對比,即攻擊者希望長時間留在網路中,竊取資訊並儘可能長時間地避免從安全解決方案中檢測到。
Deep Instinct研究和深度學習副總裁Shimon Oren說:“我們看到惡意軟體和活動普遍增加,這些惡意軟體和活動專門用於規避基於AI的解決方案,無論是基於實際的對抗性學習還是其他規避方法。這些活動不僅旨在規避一般的安全解決方案,而且專門規避那些基於人工智慧或任何型別的機器學習實現的解決方案,這些解決方案是目前的大多數解決方案。”
該報告還指出零日漏洞的利用速度更快。2021年,重大漏洞在披露後的一天內就被利用和使用。威脅參與者也一直在轉向使用更新的語言,例如Python和Go,這些語言易於學習,但也不太容易被安全工具檢測到。
報告還強調了對Linux系統的威脅越來越多。現在在Linux上構建的壓力很大,這種壓力會持續下去,在許多情況下,攻擊Windows並在Windows機器和基於Windows的環境中站穩腳跟將成為橫向遷移到雲的一個跳躍點。
新聞來源:
https://betanews.com/2022/03/03/malware-is-being-geared-to-evade-ai-based-defenses/
安全漏洞威脅
Mozilla釋出了Firefox更新,修復了兩個關鍵漏洞
兩個漏洞編號為CVE-2022-26485和CVE-2022-26486。
第一個漏洞是對XSLT引數的錯誤處理,Firefox無法正確釋放記憶體,從而使攻擊者可以在目標計算機上執行任意程式碼。第二個漏洞允許繞過現有的安全機制,例如,透過瀏覽器注入惡意軟體,這是一個沙盒逃逸漏洞。
根據Mozilla的說法,這兩個漏洞已經在野外被積極利用,建議所有使用者儘快升級Firefox瀏覽器。
新聞來源:
https://tarnkappe.info/artikel/internet/firefox-wegen-zwei-kritischen-bugs-unbedingt-updaten-216773.html
新的Linux核心cgroups漏洞可能導致容器逃逸
有關Linux核心中現已修補的高嚴重性漏洞的詳細資訊已經出現,該漏洞可能被濫用以逃避容器,以便在容器主機上執行任意命令。
缺點在於稱為控制組的Linux核心功能,也稱為cgroups版本1(v1),它允許將程式組織成分層組,從而可以限制和監視CPU、記憶體等資源的使用情況、磁碟I/O和網路。
跟蹤為CVE-2022-0492(CVSS評分:7.0),該問題涉及cgroupsv1release_agent功能中的特權升級案例,該指令碼在cgroup中的任何程式終止後執行。
“這個問題是最近發現的最簡單的Linux特權升級之一:Linux核心錯誤地將特權操作暴露給非特權使用者,”Unit42研究員Yuval Avrahami在本週釋出的一份報告中說。
Palo Alto Networks威脅情報團隊指出,該漏洞是由於缺少驗證來檢查設定release_agent檔案的程式是否具有管理許可權,從而使其成熟,可以利用。
換句話說,如果這個release_agent檔案被攻擊者覆蓋,核心可以被強制呼叫在釋出代理中配置的具有最高許可權的任意二進位制檔案——這種情況可以有效地完全接管系統。
新聞來源:
https://thehackernews.com/2022/03/new-linux-kernel-cgroups-vulnerability.html
CISA在其必修漏洞清單中增加了95個漏洞
美國網路安全和基礎設施安全域性(CISA)剛剛在其已知已利用漏洞目錄中新增了多達95個新漏洞,包括多個關鍵的Cisco路由器漏洞、新舊Windows漏洞以及Adobe Flash Player中的漏洞等。
CISA在其已知利用漏洞目錄中新增了95個新漏洞,這些漏洞是惡意攻擊參與者的常見攻擊媒介。
加入CISA列表的Windows漏洞CVE-2021-41379在11月被用於攻擊客戶。思科的Talos研究人員發現了針對影響Windows 11及更早版本的特權提升漏洞的惡意軟體。
思科路由器的多個漏洞嚴重性等級為10分(滿分10分),思科在2月釋出了韌體更新,以解決其RV系列路由器中的多個嚴重缺陷。
這些漏洞允許攻擊者執行惡意程式碼、提升許可權、執行隨機命令、使裝置離線、繞過身份驗證等。它們影響了思科小型企業RV160、RV260、RV340和RV345系列路由器。
根據具有約束力的操作指令(BOD)22-01,官員有義務在截止日期內對CISA的漏洞警報採取行動。在這種情況下,從供應商處應用這些更新的截止日期是3月,這表明CISA認為各機構快速響應的重要性。CISA已敦促所有其他組織應用更新以減少其遭受網路攻擊的風險。
新聞來源:
https://www.zdnet.com/article/get-patching-now-cisa-adds-another-95-flaws-to-its-known-exploited-vulnerabilities-list/
新的安全漏洞影響數千個自我管理的GitLab
研究人員披露了開源DevOps軟體GitLab中的一個新安全漏洞的詳細資訊,該漏洞可能允許遠端、未經身份驗證的攻擊者恢復與使用者相關的資訊。
跟蹤為CVE-2021-4191(CVSS分數:5.3),中等嚴重性漏洞影響從13.0開始的GitLab社群版和企業版的所有版本以及從14.4開始和14.8之前的所有版本。
Rapid7的高階安全研究員Jake Baines發現並報告了該漏洞。在2021年11月18日負責任的披露之後,作為2022年2月25日釋出的GitLab關鍵安全版本14.8.2、14.7.4和14.6.5的一部分,為自我管理的伺服器釋出了補丁。
“該漏洞是在執行某些GitLab GraphQL API查詢時缺少身份驗證檢查的結果,”貝恩斯在週四釋出的一份報告中說。“未經身份驗證的遠端攻擊者可以利用此漏洞收集已註冊的GitLab使用者名稱、姓名和電子郵件地址。”
成功利用API資訊洩漏可以允許惡意行為者列舉和編譯屬於目標的合法使用者名稱列表,然後可以將其用作進行暴力攻擊的墊腳石,包括密碼猜測、密碼噴灑和憑證填充。
新聞來源:
https://thehackernews.com/2022/03/new-security-vulnerability-affects.html