内存安全周报第134期 | 新的代理劫持攻击利用Log4j进行初始访问 行业热点 23年4月13日 喜欢 浏览 安芯网盾 取消关注 关注 私信 释放双眼,带上耳机,听听看~! 一、新的代理劫持攻击利用Log4j进行初始访问(4.6) 随着研究人员发现一种被称为代理劫持的新攻击形式,臭名昭著的Log4j漏洞再次成为头条新闻。 详细情况 据发现,黑客利用该漏洞在未经受害者授权的情况下窃取受害者的IP地址。 出于犯罪目的接管IP地址的想法并不新鲜,以前曾被用于不同的广告软件攻击。 代理劫持有什么新功能? Sysdig的研究人员强调,新的代理劫持攻击很像加密劫持,会给受害者带来经济损失。 · 研究人员指出,在更广泛的范围内,只窃取100个IP就可以使攻击者每月获利近1000美元。 · 这是一种利润丰厚且更容易的方式,可以窃取受害者的IP地址并赚取利润,因为代理劫持使用的计算能力和能源更少。 操作细节 · 该攻击利用Log4j漏洞获得对受害者系统的初始访问权限。 · 攻击者不使用后门,而是安装一个代理程序,将被窃取的帐户变成代理服务器。 · 这使他们能够窃取设备的IP信息并将其出售给代理软件服务。 · 在这种情况下,正如Sysdig指出的那样,黑客利用未打补丁的Apache Solr服务来控制Kubernetes基础设施。 由于Log4j漏洞,数百万人仍处于危险之中 尽管发布了安全补丁,但Log4j漏洞仍然是全球范围内的重大威胁。根据Tenable的一份报告,截至2022年10月,72%的组织被发现容易受到Log4Shell漏洞的攻击。 结论 代理劫持对威胁行为者来说是一种低成本、高回报的攻击,这表明它在野外可能会产生深远的影响。目前,这种攻击使用了一小部分代理软件服务,但随着攻击者找到窃取受害者IP地址的新方法,这种攻击预计将会增长。同时,建议具有强大的威胁检测功能,以便在网络上安装代理软件服务之前接收关于任何初始访问和有效负载活动的警报。 参考链接 https://cyware.com/news/new-proxyjacking-attack-exploits-log4j-for-initial-access-dd6e5d8e 二、漏洞聚焦:流行的日语文字处理软件中的漏洞可能导致任意代码执行和其他问题 思科Talos最近在日本JustSystems公司生产的一款流行文字处理软件Ichitaro中发现了四个漏洞,这些漏洞可能导致任意代码执行。 详细情况 思科Talos最近在日本JustSystems公司生产的一款流行文字处理软件Ichitaro中发现了四个漏洞,这些漏洞可能导致任意代码执行。 Ichitaro使用ATOK输入法(IME),并使用专有的.jtd文件扩展名。它是日本第二流行的文字处理系统,仅次于微软的文字处理。 Talos发现了四个漏洞,攻击者可以通过这些漏洞在目标机器上执行任意代码。TALOS-2022-1673(CVE-2022-43664)可能会触发攻击者重新使用已被释放的内存,这可能会导致内存进一步破坏,并可能导致目标打开攻击者创建的恶意文件后执行任意代码。TALOS-2023-1722(CVE-2023-22660)也有类似的效果,尽管在这种情况下,它是由缓冲区溢出情况引起的。 如果目标打开特制的恶意文档,还可能触发另外两个内存破坏漏洞-TALOS-2022-1687(CVE-2023-22291)和TALOS-2722-1684(CVE–202-45115),这两个漏洞也可能导致代码执行。 思科Talos与JustSystems合作,确保这些漏洞得到解决,并为受影响的客户提供更新,所有这些都符合思科的漏洞披露政策。 鼓励用户尽快更新这些受影响的产品:Ichitaro 2022,版本1.0.1.57600。Talos测试并确认该版本的文字处理器可能会被这些漏洞所利用。 以下Snort规则将检测针对此漏洞的利用尝试: http://61011、61012、61091、61092、61163、61164、61393和61394。未来可能会发布其他规则,目前的规则可能会发生变化,等待额外的漏洞信息。有关最新的规则信息,请参考您的思科安全防火墙管理中心或Snort.org。 参考链接 https://blog.talosintelligence.com/vuln-spotlight-justsystems-ichitaro/?&web_view=true 给TA买糖 共{{data.count}}人 人已赞赏
