Linux内核漏洞CVE-2023-32233可提升至root权限

宣布时间 2023-05-11

1、Linux内核漏洞CVE-2023-32233可提升至root权限


据媒体5月9日报道,研究人员发现了Linux内核的NetFilter框架中的新漏洞(CVE-2023-32233)  。该漏洞可被当地用户用于将权限提升为root,并完全控制系统  。问题的泉源在于tfilter nf_tables是如何处置批处置请求的,经过身份验证的当地攻击者可通过发送特制的请求破坏Netfilter nf_tables的内部状态,从而获得更高权限  。该漏洞影响多个Linux内核版本,包罗当前的稳定版本v6.3.1  。目前,研究人员还开发了一个PoC  。


https://securityaffairs.com/145989/security/linux-netfilter-kernel-flaw.html


2、Ruckus中的漏洞CVE-2023-25717被AndoryuBot利用


据5月9日报道,Fortinet发现DDoS僵尸网络AndoryuBot利用Ruckus Wireless Admin中RCE漏洞(CVE-2023-25717)的攻击激增  。恶意软件通过HTTP GET请求熏染设备,然后从硬编码URL下载特别的脚本以进一步流传  。变体可以针对多种系统架构,包罗x86、arm、spc和m68k等  。熏染设备后,恶意软件使用SOCKS署理协议与C2服务器建立通信,以隐蔽和绕过防火墙,然后期待命令  。该漏洞于2月8日被发现并修复,PoC已果然,建议用户尽快安装补丁  。


https://securityaffairs.com/145980/cyber-crime/andoryubot-ddos-botnet.html


3、CyberArk宣布新的勒索软件解密器White Phoenix


媒体5月10日称,CyberArk在对部门加密的PDF文件进行试验后开发了新的勒索软件解密器White Phoenix  。Sentinel Labs称,间歇性加密在勒索软件领域越来越受欢迎  。CyberArk则体现这种计谋给加密带来了弱点,因为不加密部门原始文件使恢复数据变得可能  。该自动数据恢复工具适用于BlackCat/ALPHV、Play ransomware、Qilin/Agenda、BianLian和DarkBit加密的文件  。但即使理论上支持,White Phoenix也不会在所有情况下都发生好的结果  。


https://www.bleepingcomputer.com/news/security/new-ransomware-decryptor-recovers-data-from-partially-encrypted-files/


4、食品公司Sysco遭到攻击客户和员工的个人信息泄露


媒体5月9日报道,食品分销公司Sysco遭到攻击导致部门信息泄露  。攻击活动始于1月14日,攻击者未经授权访问其系统并窃取了部门数据  。该公司透露,其美国和加拿大的客户和供应商数据,以及美国员工的个人信息在该事件中受到影响  。但该事件并未影响其业务运营,客户服务也未中断  。Sysco体现,其宁静团队实施了特别的掩护措施,以防止未来发生类似的违规行为  。


https://www.bleepingcomputer.com/news/security/food-distribution-giant-sysco-warns-of-data-breach-after-cyberattack/


5、BlackBerry发现SideWinder攻击巴基斯坦政府机构


5月8日,BlackBerry称其发现了SideWinder针对巴基斯坦政府机构的攻击活动  。活动于2022年11月下旬开始,使用巴基斯坦海军战争学院(PNWC)相关的诱饵文件分发一个基于.NET的轻量级后门(App.dll),能够从远程服务器检索和执行下一代恶意软件  。此外,攻击者使用了基于服务器的多态性技术来绕过传统的基于签名的AV检测,并通过响应两个差异版本的中间RTF文件来分发特别的payload  。


https://blogs.blackberry.com/en/2023/05/sidewinder-uses-server-side-polymorphism-to-target-pakistan


6、ESET宣布2022年Q4至2023年Q1 APT活动的分析陈诉


5月9日,ESET宣布了2022年Q4至2023年Q1 APT活动的分析陈诉  。陈诉指出,部门攻击团伙把重点放在欧洲的组织上,Ke3chang安装了一个新的Ketrican变体,Mustang Panda利用了两个新的后门  。MirrorFace针对日本,使用了新的恶意软件分发要领,而Operation ChattyGoblin则入侵了菲律宾的一家博彩公司  。印度相关组织SideWinder和Donot Team仍然针对南亚的政府机构,前者针对教育行业,后者继续开发其yty框架  。在南亚,研究人员还发现了大量的Zimbra邮件钓鱼攻击活动  。


https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/