严重的 TeamCity 漏洞披露后立即开始利用
在补丁发布后,威胁行为者几乎立即开始针对关键的 TeamCity 漏洞,并且由于负责任的披露过程中沟通不畅,其详细信息也被公开。 3月4日, JetBrains 宣布补丁 两个身份验证绕过漏洞影响其 TeamCity 构建管理和持续集成服务器。 其中一个缺陷(编号为 CVE-2024-27198)被评为“严重程度”,而另一个缺陷(CVE-2024-27199)被评为“严重程度”。 该严重缺陷允许未经身份验证的远程攻击者通过创建新的管理员用户帐户或生成管理员访问令牌来完全控制易受攻击的 TeamCity 服务器。 Rapid7 的研究人员发现了这些缺陷,他解释说:“攻击 TeamCity 服务器可以让攻击者完全控制所有 TeamCity 项目、构建、代理和工件,因此这是攻击者执行供应链攻击的合适载体。” 由于 Rapid7 和 JetBrains 之间沟通不畅,漏洞的技术细节和补丁的可用性于同一天公布。 Rapid7 不希望 JetBrains 进行其评估为静默修补的行为(该安全公司强烈反对),并发表了一篇博文 详细说明其发现 JetBrains 宣布修复后不久。 捷脑公司另一方面,Rapid7 表示希望确保客户在细节公开之前有机会安装补丁,因此它对 Rapid7 的计划一无所知。 两家公司都描述了各自的漏洞披露流程,但进展似乎并不顺利,导致 Rapid7 提前披露了漏洞。 广告。 滚动以继续阅读。 第一次利用尝试 针对 CVE-2024-27198 3 月 4 日,即 TeamCity 漏洞披露的当天。 3 月 5 日,非营利网络安全组织 Shadowserver […]
网站通过 Bricks Builder WordPress 插件中的漏洞遭到黑客攻击
WordPress 安全公司 Patchstack 报告称,攻击者正在利用 WordPress Bricks Builder 插件中最近修补的漏洞来攻击网站并部署恶意软件。 该问题编号为 CVE-2024-25600,被描述为远程代码执行 (RCE) 缺陷,无需身份验证即可利用该缺陷在受影响的 WordPress 网站上执行任意 PHP 代码。 该错误是在 ‘从设置中准备查询变量‘ 函数,该函数从代码中的不同进程调用,包括 BricksQuery 类,该类管理 WordPress post 查询的渲染,并使用 PHP 的 eval 函数,安全研究员 Calvin Alkan 解释。 对流程调用的分析表明,当涉及处理 REST API 端点的函数时,没有应用适当的权限或角色检查。 由于该函数仅检查随机数值,并且 Bricks 在 WordPress 站点的前端输出有效的随机数,因此即使对于未经身份验证的用户,攻击者也可以轻松检索随机数并触发 RCE。 周一,安全研究人员发布了该漏洞的概念验证 (PoC) 代码。 Patchstack 指出:“请注意,未经身份验证的用户可以使用主题的默认安装配置来重现此漏洞。” 据该安全公司称,威胁行为者已经在利用该漏洞,并且在某些情况下,他们部署专门用于禁用安全插件的恶意软件。 砖块 宣布 2月13日Bricks Builder 1.9.6.1版本发布时针对该漏洞进行了补丁,敦促用户尽快更新。 广告。 滚动以继续阅读。 “截至本新闻稿发布时,没有证据表明该漏洞已被利用。 […]
黑客在披露后几天就瞄准了关键的 Atlassian Confluence 漏洞
在漏洞曝光几天后,就开始尝试利用被追踪为 CVE-2023-22527 的关键 Atlassian Confluence 漏洞。 Atlassian 于 1 月 16 日发布的公告通知客户,过时版本的 Confluence Data Center 和 Server 受到 关键安全漏洞 这允许未经身份验证的攻击者实现远程代码执行。 该公司指出,2023 年 12 月 5 日之前发布的 Confluence Data Center 和 Server 8 版本以及不再接收向后移植补丁的 8.4.5 版本都会受到影响。 1 月 22 日星期一,非营利网络安全组织 Shadowserver 基金会报告称,有人试图 利用 CVE-2023-22527。 Shadowserver 已发现来自大约 600 个唯一 IP 地址的近 40,000 次利用尝试。 该活动主要是“测试回调尝试和‘whoami’执行”,这表明恶意行为者正在寻找易受攻击的服务器,他们可以破坏和滥用这些服务器来访问受害者的网络。 该组织指出,目前有11,000个Confluence实例 暴露在互联网上,但尚不清楚其中有多少实际上容易受到利用 CVE-2023-22527 […]
VMware vCenter Server 漏洞被广泛利用
VMware 警告客户,CVE-2023-34048(2023 年 10 月修补的一个关键 vCenter Server 漏洞)正在被广泛利用。 CVE-2023-34048 被描述为与 DCERPC 协议实施相关的越界写入问题。 它可以允许具有 vCenter Server 网络访问权限的攻击者远程执行任意代码。 该问题是由趋势科技零日计划的 Grigory Dorodnov 发现的 被认为如此关键 VMware 决定在 10 月份发布补丁,即使该产品的版本已达到生命周期结束 (EoL) 状态。 VMware 现已更新其初始安全公告,通知客户其已确认 CVE-2023-34048 已被利用。 截至撰写本文时,似乎还没有关于利用 vCenter Server 漏洞进行攻击的信息。 公开的 PoC 漏洞似乎并不存在,但是 技术细节 自 12 月初以来已上市。 根据 数据 根据 Shadowserver 基金会的报告,目前有数百个暴露于互联网的 VMware vCenter Server 实例存在潜在漏洞。 VMware 产品成为恶意攻击者攻击目标的情况并不少见。 美国安全机构 CISA […]