Linux 内核缝隙CVE-2023-6200 可导致代码执行

首页 > 安全钻研 > 安全传递 > 安全简讯

Linux 内核缝隙CVE-2023-6200 可导致代码执行

颁布功夫 2024-01-30

1. Linux 内核缝隙CVE-2023-6200 可导致代码执行

1月28日，Linux 内核的 IPv6 实现中发现了一个新缝隙。该缺点被鉴别为 CVE-2023-6200，CVSS 得分高达 7.5，露出了 ICMPv6 数据包（IPv6和谈的关键组成部门）处置过程中的关键竞争前提。ICMPv6 是 IPv4 中 ICMP 的后继者，对于谬误汇报和诊断至关沉要。它的操作方式与 IPv4 类似，天生“指标无法达到”等谬误新闻以及回显要求和回复等信息新闻。然而，ICMPv6 在 IPv6 中脱颖而出，它使用多播地址的邻居发现，而不是 IPv4 的带有广播地址的 ARP。当处置 ICMPv6 路由器公告数据包时，所识此外竞争前提产生在 Linux 内核中。具体来说，函数‘ndisc_router_discovery()’在收到这样的数据包时被挪用。若是数据包蕴含拥有性命周期的路由信息，“fib6_set_expires()”会将其链接到“gc_link”。当“fib6_clean_expires()”取缔链接“struct fib6_info”中过期的“gc_link”时，就会出现此问题，可能会导致开释后使用 (UAF) 情况。当其他“struct fib6_info”尝试链接/取缔链接到统一个“gc_link”或遍历“gc_link”时，可能会产生这种情况。

2. WhiteSnake InfoStealer 恶意软件通过 PyPI 软件包传布

1月29日，网络安全钻研人员在开源 Python 包索引 (PyPI) 存储库中发现了恶意包，这些包在 Windows 系统上传布名为WhiteSnake Stealer的信息窃取恶意软件。这些蕴含恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。Fortinet FortiGuard 尝试室在上周颁布的一份分析汇报中暗示：“这些软件包在其 setup.py 文件中归并了 Base64 编码的 PE 源代码或其他 Python 剧本。”“凭据受害者设备的操作系统，最终的恶意负载会在装置这些 Python 包时被删除并执行。”固然 Windows 系统习染了 WhiteSnake Stealer，但受习染的 Linux 主机却收到了旨在网络信息的 Python 剧本。该活动重要针对 Windows 用户，与JFrog 和 Checkmarx 去年披露的先前活动沉叠。

3. 美国国度安全局认可在没有授权的情况下采办互联网浏览数据

1月29日，美国参议员罗恩·怀登 (Ron Wyden) 上周暗示，美国国度安全局 (NSA) 认可从数据经纪人那里采办互联网浏览纪录，以鉴别美国人使用的网站和利用法式，不然必要法院号令�；车窃诟鹊ㄗ芗喟倍ず６魉� (Avril Haines) 的一封信中暗示，“美国当局不应该赞助一个黑幕行业并使其合法化，该行业公开加害美国人的隐衷不仅是不路德的，并且长短法的。”采取措施“确保美国谍报机构只采办以合法方式获得的美国人的数据”。有关用户浏览习惯的元数据可能会带来严沉的隐衷风险，由于这些信息可用于凭据幼我时时接见的网站网络幼我具体信息。美国国度安全局暗示，它已经造订了合规造度，并“采取措施尽量削减对美国幼我信息的网络”，并“持续仅获取与工作要求有关的最有效的数据”。不外，该机构暗示，未经法院号令，它不会采办和使用从美国使用的手机网络的地位数据。它还暗示，它不使用从位于该国的车辆的汽车远程信息处置系统获得的位相信息。

4. ESET 深刻钻研 MirrorFace 使用的复杂恶意软件HiddenFace

1月28日，ESET 的恶意软件钻研员 Dominik Breitenbacher泄漏了HiddenFace，这是一种由 MirrorFace APT 组织开发的高度复杂的后门恶意软件。该后门也称为 NOOPDOOR，是 MirrorFace 兵器库中最复杂的恶意软件，其设计沉点关注�？榛�。它旨在适该当前的操作需要，并选取各类反检测和反分析技术。HiddenFace 因其�？榛低扯延倍�，允许集成内置函数和表部加载的 shellcode �？�。这些�？槭褂� AES-256-CBC 加密，并与用户特定的文件名、密钥和初始化向量绑定，使其高度安全和个性化。HiddenFace 使用域天生算法 (DGA) 和 TCP 上的自界说和谈自动衔接到号令和节造 (C&C) 服务器。它还占有被动通讯职能，侦听硬编码端口并沉新配置 Windows 防火墙以允许通讯。通讯使用 AES-128-CBC 加密，进一步展示了其复杂的设计。

5. Phobos 勒索软件变种提议攻击 – FAUST

1月25日，Phobos 勒索软件系列是一组臭名远扬的恶意软件，旨在加密受害者推算机上的文件。它于 2019 年出现，尔后参加了屡次网络攻击。这种勒索软件通�；岣郊哟形ㄒ焕┐竺募用芪募�，并要求以加密钱币支付赎金以获得解密密钥。FortiGuard Labs 捕获并汇报了 Phobos 系列的多个勒索软件变体，蕴含EKING和8Base。最近，FortiGuard 尝试室发现了一份 Office 文档，其中蕴含一个 VBA 剧本，旨在传布 FAUST 勒索软件（Phobos 的另一个变体）。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进造文件。倒剽些文件被注入系统内存时，它们会提议文件加密攻击。FAUST 勒索软件是 Phobos 系列的变种，是一种对受害者推算机上的文件进行加密的恶意软件。它要求支付赎金以换取提供解密密钥。该勒索软件将“.faust”扩大名附加到每个加密文件，并在加密文件地点的目录中天生 info.txt 和 info.hta。这些文件是与攻击者成立联系以进行赎金交涉的一种伎俩。

6. 针对 JENKINS 缺点 CVE-2024-23897 颁布了多个 POC

1月28日，enkins 是最盛行的开源自动化服务器，它由 CloudBees 和 Jenkins 社区守护。该自动化服务器支持开发人员构建、测试和部署他们的利用法式，它在全球拥罕见十万个活跃装置，占有超过 100 万用户。该开源平台的守护者已经解决了九个安全缝隙，其中蕴含一个被追踪为 CVE-2024-23897 的严沉缺点，该缺点可能导致远程代码执行 (RCE)。Sonar的钻研员 Yaniv Nizry 汇报了该缝隙，并撰写了对该问题的具体分析。并且多个概想验证 (PoC) 已被公开。攻击者能够滥用 Jenkins 节造器过程的默认字符编码来读取节造器文件系统上的肆意文件。具佑装总体/读取”权限的攻击者能够读取整个文件，而没有该权限的攻击者能够凭据 CLI 号令读取文件的前三行。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研