Tencent Security Xuanwu Lab Daily News
• Generic bpftrace-based RCE/webshell prevention technique for critical Linux network services:
https://www.defensive-security.com/resources/generic-bpftrace-based-rcewebshell-prevention-technique-for-critical-linux-network-services
・ 本文介绍了一种基于bpftrace的创新技术,用于防止关键Linux网络服务中的远程代码执行(RCE)和webshell攻击。通过监控并阻止特定进程调用execve系统调用来启动新程序,该方法为临时‘虚拟修补’提供了一个强大的解决方案,在CTF竞赛或无法持久运行防护措施的情况下尤其有用。
– SecTodayBot
• Why Code Security Matters – Even in Hardened Environments:
https://www.sonarsource.com/blog/why-code-security-matters-even-in-hardened-environments/
・ 本文揭示了一种新颖的攻击方法,即在只读文件系统中利用任意文件写入漏洞实现远程代码执行。通过巧妙地使用暴露的管道文件描述符绕过加固环境限制,该技术对网络安全领域提出了新的挑战。
– SecTodayBot
• SecToday Next:
https://sectoday.tencent.com/event/YPH1a5IBsusscDXmOTsa
・ CVE-2024-45409是一种严重缺陷,涉及Ruby-SAML和OmniAuth-SAML库对SAML响应的处理方式。它允许恶意实体通过篡改SAML响应内的数字签名检查,成功地绕过了必要的安全性措施,特别是在GitLab环境中,导致未经授权的访问。此次事件突显出软件开发过程中对于第三方组件依赖管理的重要性。
– SecTodayBot
• EKUwu: Not just another AD CS ESC:
https://trustedsec.com/blog/ekuwu-not-just-another-ad-cs-esc
・ 本文揭示了在Active Directory证书服务中利用内置默认版本1证书模板的一个新颖且危险的漏洞,名为EKUwu。攻击者仅需具备注册权限即可通过精心构造的CSR包含优先于模板配置的应用策略,从而生成用于客户端认证、证书请求代理和代码签名等场景下的证书。这一发现不仅扩展了先前已知的ESCAPE技术系列(ESC1至ESC14),而且展示了更深层次的安全隐患。
– SecTodayBot
• 电力行业MMS协议安全研究与漏洞披露:
https://sectoday.tencent.com/api/article/qPFXb5IBsusscDXmfvhf/link
・ 本文深入研究了电力行业广泛使用的MMS协议,揭示并公开了五个关键漏洞,这些漏洞可能使攻击者能够远程控制或破坏工业设备。此外,文章还提供了一个名为’MMS Stack Detector’的工具,用于识别特定的MMS实现,对于提高电网安全具有重要价值。
– SecTodayBot
• SecToday Next:
https://sectoday.tencent.com/event/c0MYa5IBcIs5GCTMbodx
・ 近日,Zimbra协作套件中的重大安全漏洞CVE-2024-45519被确认遭遇大规模恶意利用。此漏洞出现在Zimbra的postjournal服务内,它允许未经过身份验证的第三方远程执行代码,从而获得对服务器的全面控制权。从2024年9月起,攻击者便开始积极地利用这个弱点,通过向特定邮箱发送特制信息来触发漏洞,进而获取敏感数据、控制系统以及实施进一步的网络渗透行动。
– SecTodayBot
• 钓鱼攻击与蜜罐思路:
https://sectoday.tencent.com/api/article/YKL3bpIBMw8bedWYQVPv/link
・ 本篇文章详细探讨了一种新颖的SQL注入攻击手法,即通过构造恶意的.sql文件植入DLL以实现远程代码执行(RCE)。作者巧妙地解决了动态路径、权限及兼容性等问题,展示了高级的技术细节和创新思维,在当前网络安全领域具有较高的学术价值和技术前瞻性。
– SecTodayBot
• SecToday Next:
https://sectoday.tencent.com/event/YvB0apIBsusscDXms9zw
・ 在Apache Avro的Java软件开发工具包(SDK)中发现了严重的远程代码执行漏洞(CVE-2024-47561),该漏洞使得攻击者能在受影响的应用程序环境中运行任意代码。此缺陷影响所有早期版本直到1.11.4前的全部发行版。详细的描述指出,SDK处理Avro数据的方式包含隐患,这可能会让不法分子有机可乘,进而造成系统控制权丧失、敏感信息泄漏或是拒绝服务等问题。
– SecTodayBot
• SecToday Next:
https://sectoday.tencent.com/event/cPHQbJIBsusscDXmCW3n
・ 近日发现的苹果iOS系统存在两项重要安全漏洞:其中一项是由于VoiceOver辅助功能的设计缺陷,使得它能够将用户的敏感信息如密码朗读出来;另一项则是部分新款iPhone上的麦克风会在未明确提示用户时开始录音,这两大隐患均对用户隐私构成严重威胁。苹果公司已经迅速响应,发布了iOS 18.0.1和iPadOS 18.0.1的安全补丁来修补这些漏洞。
– SecTodayBot
• PHP-Nuke Top Module SQL Injection:
https://packetstormsecurity.com/files/182093
・ 本文揭示了PHP-Nuke版本6.x至低于7.6的模块中存在远程SQL注入漏洞,采用新颖的概念编写利用代码,并能绕过CMS保护机制。这是对网络安全社区的重要贡献,展示了攻击者如何针对旧版软件实施精确打击。
– SecTodayBot
• SecToday Next:
https://sectoday.tencent.com/event/AaKqapIBMw8bedWYkxwk
・ 近期研究表明,广泛使用的DrayTek Vigor路由器在全球范围内暴露出多达14项安全隐患,涵盖了从高危至中度级别的多种类型。其中,两个特别危险的漏洞——CVE-2024-41592及CVE-2024-41585,前者可导致远程代码执行通过缓存区溢出的方式,后者则使命令注入成为可能。逾70万台设备直面互联网上的潜在威胁,在台湾、越南等地尤为突出。
– SecTodayBot
• HackerOne:
https://hackerone.com/reports/1935628
・ 本文揭示了在使用软邮件确认设置的GitLab实例中,攻击者如何通过注入HTML代码到未验证的电子邮件地址来利用管理员的手动确认过程。这一发现强调了安全配置和用户输入过滤的重要性。
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(10-9)
