Linux 内核误差CVE-2023-6200 可导致代码执行

首页 > 清静研究 > 清静转达 > 清静简讯

Linux 内核误差CVE-2023-6200 可导致代码执行

宣布时间 2024-01-30

1. Linux 内核误差CVE-2023-6200 可导致代码执行

1月28日，Linux 内核的 IPv6 实现中发明了一个新误差。该缺陷被识别为 CVE-2023-6200，CVSS 得分高达 7.5，袒露了 ICMPv6 数据包（IPv6协议的要害组成部分）处置惩罚历程中的要害竞争条件。ICMPv6 是 IPv4 中 ICMP 的后继者，关于过失报告和诊断至关主要。它的操作方法与 IPv4 类似，天生“目的无法抵达”等过失新闻以及回显请求和回复等信息新闻。然而，ICMPv6 在 IPv6 中脱颖而出，它使用多播地点的邻人发明，而不是 IPv4 的带有广播地点的 ARP。当处置惩罚 ICMPv6 路由器通告数据包时，所识别的竞争条件爆发在 Linux 内核中。详细来说，函数‘ndisc_router_discovery()’在收到这样的数据包时被挪用。若是数据包包括具有生命周期的路由信息，“fib6_set_expires()”会将其链接到“gc_link”。当“fib6_clean_expires()”作废链接“struct fib6_info”中逾期的“gc_link”时，就会泛起此问题，可能会导致释放后使用 (UAF) 情形。当其他“struct fib6_info”实验链接/作废链接到统一个“gc_link”或遍历“gc_link”时，可能会爆发这种情形。

2. WhiteSnake InfoStealer 恶意软件通过 PyPI 软件包撒播

1月29日，网络清静研究职员在开源 Python 包索引 (PyPI) 存储库中发明了恶意包，这些包在 Windows 系统上撒播名为WhiteSnake Stealer的信息窃取恶意软件。这些包括恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。Fortinet FortiGuard 实验室在上周宣布的一份剖析报告中体现：“这些软件包在其 setup.py 文件中合并了 Base64 编码的 PE 源代码或其他 Python 剧本。”“凭证受害者装备的操作系统，最终的恶意负载会在装置这些 Python 包时被删除并执行。”虽然 Windows 系统熏染了 WhiteSnake Stealer，但受熏染的 Linux 主机却收到了旨在网络信息的 Python 剧本。该运动主要针对 Windows 用户，与JFrog 和 Checkmarx 去年披露的先前运动重叠。

3. 美国国家清静局认可在没有授权的情形下购置互联网浏览数据

1月29日，美国参议员罗恩·怀登 (Ron Wyden) 上周体现，美国国家清静局 (NSA) 认可从数据经纪人那里购置互联网浏览纪录，以识别美国人使用的网站和应用程序，不然需要法院下令�；车窃诟仪楸ㄗ芗喟倍ず６魉� (Avril Haines) 的一封信中体现，“美国政府不应该资助一个内幕行业并使其正当化，该行业果真侵占美国人的隐私不但是不品德的，并且是不法的。”接纳步伐“确保美国情报机构只购置以正当方法获得的美国人的数据”。有关用户浏览习惯的元数据可能会带来严重的隐私危害，由于这些信息可用于凭证小我私家经常会见的网站网络小我私家详细信息。美国国家清静局体现，它已经制订了合规制度，并“接纳步伐只管镌汰对美国小我私家信息的网络”，并“继续仅获取与使命要求相关的最有用的数据”。不过，该机构体现，未经法院下令，它不会购置和使用从美国使用的手机网络的位置数据。它还体现，它不使用从位于该国的车辆的汽车远程信息处置惩罚系统获得的位置信息。

4. ESET 深入研究 MirrorFace 使用的重大恶意软件HiddenFace

1月28日，ESET 的恶意软件研究员 Dominik Breitenbacher透露了HiddenFace，这是一种由 MirrorFace APT 组织开发的高度重大的后门恶意软件。该后门也称为 NOOPDOOR，是 MirrorFace 武器库中最重大的恶意软件，其设计重点关注�？榛�。它旨在顺应目今的操作需求，并接纳种种反检测和反剖析手艺。HiddenFace 因其�？榛低扯延倍�，允许集成内置函数和外部加载的 shellcode �？�。这些�？槭褂� AES-256-CBC 加密，并与用户特定的文件名、密钥和初始化向量绑定，使其高度清静和个性化。HiddenFace 使用域天生算法 (DGA) 和 TCP 上的自界说协议自动毗连到下令和控制 (C&C) 服务器。它还拥有被动通讯功效，侦听硬编码端口并重新设置 Windows 防火墙以允许通讯。通讯使用 AES-128-CBC 加密，进一步展示了其重大的设计。

5. Phobos 勒索软件变种提倡攻击 – FAUST

1月25日，Phobos 勒索软件系列是一组污名昭著的恶意软件，旨在加密受害者盘算机上的文件。它于 2019 年泛起，以后加入了多次网络攻击。这种勒索软件通�；岣郊哟形ㄒ焕┱姑募用芪募�，并要求以加密钱币支付赎金以获得解密密钥。FortiGuard Labs 捕获并报告了 Phobos 系列的多个勒索软件变体，包括EKING和8Base。最近，FortiGuard 实验室发明了一份 Office 文档，其中包括一个 VBA 剧本，旨在撒播 FAUST 勒索软件（Phobos 的另一个变体）。攻击者使用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。当这些文件被注入系统内存时，它们会提倡文件加密攻击。FAUST 勒索软件是 Phobos 系列的变种，是一种对受害者盘算机上的文件举行加密的恶意软件。它要求支付赎金以换取提供解密密钥。该勒索软件将“.faust”扩展名附加到每个加密文件，并在加密文件所在的目录中天生 info.txt 和 info.hta。这些文件是与攻击者建设联系以举行赎金谈判的一种手段。

6. 针对 JENKINS 缺陷 CVE-2024-23897 宣布了多个 POC

1月28日，enkins 是最盛行的开源自动化服务器，它由 CloudBees 和 Jenkins 社区维护。该自动化服务器支持开发职员构建、测试和安排他们的应用程序，它在全球拥有数十万个活跃装置，拥有凌驾 100 万用户。该开源平台的维护者已经解决了九个清静误差，其中包括一个被追踪为 CVE-2024-23897 的严重缺陷，该缺陷可能导致远程代码执行 (RCE)。Sonar的研究员 Yaniv Nizry 报告了该误差，并撰写了对该问题的详细剖析。并且多个看法验证 (PoC) 已被果真。攻击者可以滥用 Jenkins 控制器历程的默认字符编码来读取控制器文件系统上的恣意文件。具有“总体/读取”权限的攻击者可以读取整个文件，而没有该权限的攻击者可以凭证 CLI 下令读取文件的前三行。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究