Linux 内核漏洞CVE-2023-6200 可导致代码执行

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Linux 内核漏洞CVE-2023-6200 可导致代码执行

宣布时间 2024-01-30

1. Linux 内核漏洞CVE-2023-6200 可导致代码执行

1月28日，Linux 内核的 IPv6 实现中发现了一个新漏洞。该缺陷被识别为 CVE-2023-6200，CVSS 得分高达 7.5，袒露了 ICMPv6 数据包（IPv6协议的要害组成部门）处置过程中的要害竞争条件。ICMPv6 是 IPv4 中 ICMP 的后继者，对于错误陈诉和诊断至关重要。它的操作方式与 IPv4 类似，生成“目标无法到达”等错误消息以及回显请求和回复等信息消息。然而，ICMPv6 在 IPv6 中脱颖而出，它使用多播地址的邻居发现，而不是 IPv4 的带有广播地址的 ARP。当处置 ICMPv6 路由器通告数据包时，所识此外竞争条件发生在 Linux 内核中。具体来说，函数‘ndisc_router_discovery()’在收到这样的数据包时被调用。如果数据包包罗具有生命周期的路由信息，“fib6_set_expires()”会将其链接到“gc_link”。当“fib6_clean_expires()”取消链接“struct fib6_info”中过期的“gc_link”时，就会泛起此问题，可能会导致释放后使用 (UAF) 情况。当其他“struct fib6_info”实验链接/取消链接到同一个“gc_link”或遍历“gc_link”时，可能会发生这种情况。

2. WhiteSnake InfoStealer 恶意软件通过 PyPI 软件包流传

1月29日，网络宁静研究人员在开源 Python 包索引 (PyPI) 存储库中发现了恶意包，这些包在 Windows 系统上流传名为WhiteSnake Stealer的信息窃取恶意软件。这些包罗恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。Fortinet FortiGuard 实验室在上周宣布的一份分析陈诉中体现：“这些软件包在其 setup.py 文件中合并了 Base64 编码的 PE 源代码或其他 Python 脚本。”“凭据受害者设备的操作系统，最终的恶意负载会在安装这些 Python 包时被删除并执行。”虽然 Windows 系统熏染了 WhiteSnake Stealer，但受熏染的 Linux 主机却收到了旨在收集信息的 Python 脚本。该活动主要针对 Windows 用户，与JFrog 和 Checkmarx 去年披露的先前活动重叠。

3. 美国国家宁静局认可在没有授权的情况下购置互联网浏览数据

1月29日，美国参议员罗恩·怀登 (Ron Wyden) 上周体现，美国国家宁静局 (NSA) 认可从数据经纪人那里购置互联网浏览记录，以识别美国人使用的网站和应用法式，否则需要法院命令�；车窃诟仪楸ㄗ芗喟倍ず６魉� (Avril Haines) 的一封信中体现，“美国政府不应该资助一个黑幕行业并使其合法化，该行业果然侵犯美国人的隐私不仅是不道德的，而且是非法的。”接纳措施“确保美国情报机构只购置以合法方式获得的美国人的数据”。有关用户浏览习惯的元数据可能会带来严重的隐私风险，因为这些信息可用于凭据个人经常访问的网站收集个人详细信息。美国国家宁静局体现，它已经制定了合规制度，并“接纳措施尽量减少对美国个人信息的收集”，并“继续仅获取与任务要求相关的最有用的数据”。不外，该机构体现，未经法院命令，它不会购置和使用从美国使用的手机收集的位置数据。它还体现，它不使用从位于该国的车辆的汽车远程信息处置系统获得的位置信息。

4. ESET 深入研究 MirrorFace 使用的庞大恶意软件HiddenFace

1月28日，ESET 的恶意软件研究员 Dominik Breitenbacher透露了HiddenFace，这是一种由 MirrorFace APT 组织开发的高度庞大的后门恶意软件。该后门也称为 NOOPDOOR，是 MirrorFace 武器库中最庞大的恶意软件，其设计重点关注�？榛�。它旨在适应当前的操作需求，并接纳种种反检测和反分析技术。HiddenFace 因其�？榛低扯延倍�，允许集成内置函数和外部加载的 shellcode �？�。这些�？槭褂� AES-256-CBC 加密，并与用户特定的文件名、密钥和初始化向量绑定，使其高度宁静和个性化。HiddenFace 使用域生成算法 (DGA) 和 TCP 上的自界说协议主动连接到命令和控制 (C&C) 服务器。它还拥有被动通信功效，侦听硬编码端口并重新配置 Windows 防火墙以允许通信。通信使用 AES-128-CBC 加密，进一步展示了其庞大的设计。

5. Phobos 勒索软件变种提倡攻击 – FAUST

1月25日，Phobos 勒索软件系列是一组污名昭著的恶意软件，旨在加密受害者计算机上的文件。它于 2019 年泛起，今后加入了多次网络攻击。这种勒索软件通�；岣郊哟形ㄒ焕┱姑募用芪募�，并要求以加密货币支付赎金以获得解密密钥。FortiGuard Labs 捕捉并陈诉了 Phobos 系列的多个勒索软件变体，包罗EKING和8Base。最近，FortiGuard 实验室发现了一份 Office 文档，其中包罗一个 VBA 脚本，旨在流传 FAUST 勒索软件（Phobos 的另一个变体）。攻击者利用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。当这些文件被注入系统内存时，它们会提倡文件加密攻击。FAUST 勒索软件是 Phobos 系列的变种，是一种对受害者计算机上的文件进行加密的恶意软件。它要求支付赎金以换取提供解密密钥。该勒索软件将“.faust”扩展名附加到每个加密文件，并在加密文件所在的目录中生成 info.txt 和 info.hta。这些文件是与攻击者建立联系以进行赎金谈判的一种手段。

6. 针对 JENKINS 缺陷 CVE-2024-23897 宣布了多个 POC

1月28日，enkins 是最流行的开源自动化服务器，它由 CloudBees 和 Jenkins 社区维护。该自动化服务器支持开发人员构建、测试和部署他们的应用法式，它在全球拥有数十万个活跃安装，拥有凌驾 100 万用户。该开源平台的维护者已经解决了九个宁静漏洞，其中包罗一个被追踪为 CVE-2024-23897 的严重缺陷，该缺陷可能导致远程代码执行 (RCE)。Sonar的研究员 Yaniv Nizry 陈诉了该漏洞，并撰写了对该问题的详细分析。而且多个看法验证 (PoC) 已被果然。攻击者可以滥用 Jenkins 控制器进程的默认字符编码来读取控制器文件系统上的任意文件。具有“总体/读取”权限的攻击者可以读取整个文件，而没有该权限的攻击者可以凭据 CLI 命令读取文件的前三行。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究