Cybersecurity information flow

A RedTeam Toolkit

Searching for a quality-managed detection and response (MDR) service provider can be daunting, with dozens of vendors to choose from. However, in its 2023 Gartner® Market Guide for Managed Detection and Response Services, Gartner confronts the challenge head-on.

" 寻找一家优质的管理检测和应对（MDR）服务提供商可能是一项艰巨的任务，因为有数十个供应商可供选择。然而，在Gartner®2023年管理检测和应对服务市场指南中，Gartner正面应对这一挑战。"

This is Part 13 in my ongoing project to cover 30 cybersecurity topics in 30 weekly blog posts. The full series can be found here.

" 这是我持续进行的覆盖30个网络安全主题的系列文章中的第13部分。您可以在此处找到整个系列。"

Git RCE 漏洞分析：从蛛丝马迹的漏洞分析到RCE

影响厂商:PortSwigger Web Security 奖励: 危险等级:low
" 通过管理控制台更改管理员密码不会使其他会话失效。"

影响厂商:PortSwigger Web Security 奖励: 危险等级:low
" 具有仅[MODIFY_SETTINGS]权限的用户可以接管任何用户账户。\n\n（注：此处翻译为简洁明了的表述，如需更加雅致的表达，可以稍作调整。）"

影响厂商:b'PortSwigger Web Security'(https://hackerone.com/portswigger) 
" 一个仅具有[MODIFY_SETTINGS]权限的用户可以接管任何用户账户。"

影响厂商:b'PortSwigger Web Security'(https://hackerone.com/portswigger) 
" 通过管理员控制台更改管理员密码不会使其他会话失效。"

For the latest discoveries in cyber research for the week of 20th May, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Australian electronic prescriptions provider MediSecure suffered a significant ransomware attack, leading to widespread disruptions and data breaches. The impact of the attack has been profound, broadly affecting healthcare data broadly in the country. […]
The post 20th May – Threat Intelligence Report appeared first on Check Point Research.

" 有关5月20日一周内的网络研究最新发现，请下载我们的《威胁情报公报》。 TOP攻击和泄露事件：澳大利亚电子处方提供商MediSecure遭受了一起严重的勒索软件攻击，导致广泛的服务中断和数据泄露。此次攻击的影响深远，广泛影响了国家范围内的医疗数据 [...]\n《5月20日 – 威胁情报报告》首发于Check Point Research。"

面向开发者的 LLM 入门教程，吴恩达大模型系列课程中文版

安全内参5月20日消息，美国证券交易委员会（SEC）拟要求一些金融机构在发现安全漏洞后30天内披露相关信息。5月15日，SEC通过修正案，对管理消费者个人信息处理工作的《S-P条例》进行了修改。修正案要求，机构在发现未经授权的网络访问或客户数据使用后，必须“尽快在不超过30天”内通知受影响个人。新规将对美国证券市场的经纪交易商（包括融资门户）、投资公司、注册投资顾问和转账代理人具有约束力。 SEC主席Gary Gensler说：“在过去的24年里，数据泄露的性质、规模和影响已经发生了巨大变化。本次修正案对2000年出台的《S-P条例》进行了关键更新，有助于保护客户的金融数据隐私。基本理念是，只要相关公司出现了漏洞，就必须发出通知。这对投资者有利。” 新规详细内容 通知必须详细说明事件、受损信息以及受影响者应如何保护自己。不过修正案中有一项条款留下了回旋余地，只要相关机构能够证明，个人信息的使用没有导致，或者不太可能导致“重大伤害或不便”，就不必发出通知。 修正案将要求相关机构“制定、实施和维护书面的政策和程序”，这些政策和程序必须“设计合理，可以检测、响应未经授权的访问或未经授权的客户信息使用，并可以完成相应恢复工作”。修正案还包括以下内容： 扩展和协调保障措施和处置规则，以涵盖相关机构收集的自身客户的非公开个人信息，以及从其他金融机构收到的关于其他金融机构客户的非公开个人信息。 除融资门户外的相关机构必须制作并维护书面记录，用于记录保障规则和处置规则的要求的落实情况。 将《S-P条例》的年度隐私通知交付条款调整为符合《修复美国地面运输法案》（FAST）添加的例外条款。这些条款规定，如果满足某些条件，相关机构无需发布年度隐私通知。 扩展保障规则和处置规则的覆盖范围，囊括在委员会或其他适当监管机构注册的转账代理人。 修正案还扩大了涵盖的非公开个人信息的范围。除了公司本身收集的信息，新规还将涵盖公司从其他金融机构收到的个人信息。 针对新规的疑虑 SEC专员Hester M. Peirce表示，担心修正案可能过于严苛。她写道：“今天对《S-P条例》的更新将帮助相关机构适当提高客户信息保护的优先级。客户在其信息被泄露时将得到及时通知，以便他们采取措施保护自己，比如更改密码或密切关注信用评分。我对两方面持保留意见：规则覆盖范围可能过于广泛，也可能导致无意义的消费者通知泛滥。” 自2000年启用以来，《S-P条例》并没有进行

近日，接上级网信部门通报，南昌某集团有限公司所属IP疑似被黑客远程控制，频繁与境外通联，向境外传输大量数据。 经过立案调查、现场勘验、远程勘验（采样技术分析）、笔录问询等工作，查明：1.该公司未履行数据安全保护义务，未采取相应的技术措施和其他必要措施保障数据安全，所属的服务器遭境外黑客攻击并植入可获取服务器文件管理权限和命令执行权限的木马程序，大量数据疑似泄露或被窃取，相关行为违反了《中华人民共和国数据安全法》第二十七条规定；2.该公司开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。 2024年5月15日，南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定，对南昌某集团有限公司处以警告、罚款10万元，对直接负责的主管人员处以罚款2万元的行政处罚。 涉案公司表示，已充分认识到问题的严重性及造成的不良影响，诚恳接受处罚，今后将严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法规要求，切实履行好网络安全和数据安全保护义务。 下一步，南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度，依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为，切实维护网络安全、数据安全和社会公共利益，进一步营造安全稳定的网络环境。 转自安全内参，原文链接：https://mp.weixin.qq.com/s/2OmOBQDXcyGgMrCJgxGEsg 封面来源于网络，如有侵权请联系删除

近日，研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。 IBM X-Force 表示，大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务（MaaS）模式，针对遍布中美洲和南美洲，非洲，欧洲和印太地区的 60 多个国家 1500 多家银行，发动网络攻击行动。 值得一提的是，自出道以来，Grandoreiro 背后的运营商一直将“目光”锁定在了拉丁美洲、西班牙和葡萄牙等地区，也曾在这些地区发动了多次网络攻击活动，获得很多坏“名声”，但自从巴西当局试图关闭其基础设施后，该组织便开始了战略转变，谋求大规模自主扩张。 同时，Grandoreiro  恶意软件自身也进行了重大改进。 安全研究人员 Golo Mühr 和 Melissa Frydrych 指出， 在对 Grandoreiro  恶意软件进行详细分析后，发现其对字符串解密和域生成算法（DGA）进行了重大更新，并能在受感染主机上使用微软 Outlook 客户端进一步传播钓鱼电子邮件。 在进行网络攻击时，钓鱼邮件会指示收件人点击链接查看发票或付款（具体取决于诱惑的性质和邮件中假冒的政府实体），一旦点击了链接，用户会被重定向到一个 PDF 图标图像，最终被引导着下载一个包含 Grandoreiro 载入器可执行文件的 ZIP 压缩包。 自定义加载程序被人为地膨胀到 100 MB 以上，以绕过反恶意软件扫描软件。此外，它还负责确保受感染的主机不在沙盒环境中，将基本受害者数据收集到命令和控制 （C2） 服务器，以及下载和执行主要银行木马。 值得注意的是，该验证步骤还跳过了位于俄罗斯、捷克、波兰和荷兰的系统，以及位于美国且未安装杀毒软件的 Windows 7 机器。 特洛伊木马组件通过 Windows 注册表建立持久性开始执行，然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令，Grandoreiro 支持各种命令，允许威胁攻击者远程征用系统，执行文件操作并启用特殊模式，包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。 研究人员强调，为了与本地 Outlook 客户端进行交互，Grandoreiro 使用 Outlook 安全管理器工具，通过使用本地 Out

据美国司法部新闻稿，一对二十多岁的黑客兄弟利用以太坊区块链漏洞，在大约12秒内窃取了价值2500万美元的加密货币。指控文件中称，这对兄弟曾在美国最负盛名的大学学习数学和计算机科学。麻省理工学院注册处证实，这两名犯罪嫌疑人中24岁的弟弟Anton Peraire-Bueno于2024年2月获得计算机科 ...

Introduction Since October 2023, Check Point Research (CPR) has actively monitored and hunted state-sponsored threats targeting Israeli organizations with destructive attacks using wipers and ransomware. Among these threats, Void Manticore (aka Storm-842) stands out as an Iranian threat actor known for conducting destructive attacks and leaking information through the online persona ’Karma’ (sometime written as KarMa). […]
The post Bad Karma, No Justice: Void Manticore Destructive Activities in Israel appeared first on Check Point Research.

" 简介：自2023年10月以来，Check Point Research（CPR）积极监控并追踪针对以色列组织的由国家支持的威胁，这些威胁使用擦除器和勒索软件实施破坏性攻击。在这些威胁中，Void Manticore（又名Storm-842）作为一个伊朗威胁行为体，以其实施破坏性攻击并通过在线人格“Karma”（有时写作KarMa）泄露信息而闻名 […]\n文章《Bad Karma，No Justice：Void Manticore在以色列的破坏活动》首发于Check Point Research。"

有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: wifi: ath11k: decrease MHI channel buffer length to 8KB Currently buf_len field of ath11k_mhi_config_qca6390 is assigned with 0, making MHI use a default size, 64KB, to allocate channel buffers. This is likely to fail in some scenarios where system memory is highly fragmented and memory compaction or reclaim is not allowed. There is a fail report which is caused by it: kworker/u32:45: page allocation failure: order:4, mode:0x40c00(GFP_NOIO|__GFP_COMP), nodemask=(null),cpuset=/,mems_allowed=0 CPU: 0 PID: 19318 Comm: kworker/u32:45 Not tainted 6.8.0-rc3-1.gae4495f-default #1 openSUSE Tumbleweed (unreleased) 493b6d5b382c603654d7a81fc3c144d59a1dfceb Workqueue: events_unbound async_run_entry_fn Call Trace: <TASK> dump_stack_lvl+0x47/0x60 warn_alloc+0x13a/0x1b0 ? srso_alias_return_thunk+0x5/0xfbef5 ? __alloc_pages_direct_compact+0xab/0x210 __alloc_pages_slowpath.constprop.0+0xd3e/0xda0 __alloc_pages+0x32d/0x350 ? mhi_prepare_cha

有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Skip do PCI error slot reset during RAS recovery Why: The PCI error slot reset maybe triggered after inject ue to UMC multi times, this caused system hang. [ 557.371857] amdgpu 0000:af:00.0: amdgpu: GPU reset succeeded, trying to resume [ 557.373718] [drm] PCIE GART of 512M enabled. [ 557.373722] [drm] PTB located at 0x0000031FED700000 [ 557.373788] [drm] VRAM is lost due to GPU reset! [ 557.373789] [drm] PSP is resuming... [ 557.547012] mlx5_core 0000:55:00.0: mlx5_pci_err_detected Device state = 1 pci_status: 0. Exit, result = 3, need reset [ 557.547067] [drm] PCI error: detected callback, state(1)!! [ 557.547069] [drm] No support for XGMI hive yet... [ 557.548125] mlx5_core 0000:55:00.0: mlx5_pci_slot_reset Device state = 1 pci_status: 0. Enter [ 557.607763] mlx5_core 0000:55:00.0: wait vital counter value 0x16b5b after 1 iterations [ 557.607777] mlx5_core 0000:55:00.0: mlx5_pci_slot_reset Device state = 1 p

有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: media: mediatek: vcodec: Fix oops when HEVC init fails The stateless HEVC decoder saves the instance pointer in the context regardless if the initialization worked or not. This caused a use after free, when the pointer is freed in case of a failure in the deinit function. Only store the instance pointer when the initialization was successful, to solve this issue. Hardware name: Acer Tomato (rev3 - 4) board (DT) pstate: 80400009 (Nzcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : vcodec_vpu_send_msg+0x4c/0x190 [mtk_vcodec_dec] lr : vcodec_send_ap_ipi+0x78/0x170 [mtk_vcodec_dec] sp : ffff80008750bc20 x29: ffff80008750bc20 x28: ffff1299f6d70000 x27: 0000000000000000 x26: 0000000000000000 x25: 0000000000000000 x24: 0000000000000000 x23: ffff80008750bc98 x22: 000000000000a003 x21: ffffd45c4cfae000 x20: 0000000000000010 x19: ffff1299fd668310 x18: 000000000000001a x17: 000000040044ffff x16: ffffd45cb15dc648 x15: 0000000000000000 

有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: mlxbf_gige: call request_irq() after NAPI initialized The mlxbf_gige driver encounters a NULL pointer exception in mlxbf_gige_open() when kdump is enabled. The sequence to reproduce the exception is as follows: a) enable kdump b) trigger kdump via "echo c > /proc/sysrq-trigger" c) kdump kernel executes d) kdump kernel loads mlxbf_gige module e) the mlxbf_gige module runs its open() as the the "oob_net0" interface is brought up f) mlxbf_gige module will experience an exception during its open(), something like: Unable to handle kernel NULL pointer dereference at virtual address 0000000000000000 Mem abort info: ESR = 0x0000000086000004 EC = 0x21: IABT (current EL), IL = 32 bits SET = 0, FnV = 0 EA = 0, S1PTW = 0 FSC = 0x04: level 0 translation fault user pgtable: 4k pages, 48-bit VAs, pgdp=00000000e29a4000 [0000000000000000] pgd=0000000000000000, p4d=0000000000000000 Internal error: Oops: 0000000086000004 [#1] SMP CPU: 0 PID

有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_tables: flush pending destroy work before exit_net release Similar to 2c9f0293280e ("netfilter: nf_tables: flush pending destroy work before netlink notifier") to address a race between exit_net and the destroy workqueue. The trace below shows an element to be released via destroy workqueue while exit_net path (triggered via module removal) has already released the set that is used in such transaction. [ 1360.547789] BUG: KASAN: slab-use-after-free in nf_tables_trans_destroy_work+0x3f5/0x590 [nf_tables] [ 1360.547861] Read of size 8 at addr ffff888140500cc0 by task kworker/4:1/152465 [ 1360.547870] CPU: 4 PID: 152465 Comm: kworker/4:1 Not tainted 6.8.0+ #359 [ 1360.547882] Workqueue: events nf_tables_trans_destroy_work [nf_tables] [ 1360.547984] Call Trace: [ 1360.547991] <TASK> [ 1360.547998] dump_stack_lvl+0x53/0x70 [ 1360.548014] print_report+0xc4/0x610 [ 1360.548026] ? __virt_addr_valid+0xba/0x160 [ 1360.

有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: net/sched: fix lockdep splat in qdisc_tree_reduce_backlog() qdisc_tree_reduce_backlog() is called with the qdisc lock held, not RTNL. We must use qdisc_lookup_rcu() instead of qdisc_lookup() syzbot reported: WARNING: suspicious RCU usage 6.1.74-syzkaller #0 Not tainted ----------------------------- net/sched/sch_api.c:305 suspicious rcu_dereference_protected() usage! other info that might help us debug this: rcu_scheduler_active = 2, debug_locks = 1 3 locks held by udevd/1142: #0: ffffffff87c729a0 (rcu_read_lock){....}-{1:2}, at: rcu_lock_acquire include/linux/rcupdate.h:306 [inline] #0: ffffffff87c729a0 (rcu_read_lock){....}-{1:2}, at: rcu_read_lock include/linux/rcupdate.h:747 [inline] #0: ffffffff87c729a0 (rcu_read_lock){....}-{1:2}, at: net_tx_action+0x64a/0x970 net/core/dev.c:5282 #1: ffff888171861108 (&sch->q.lock){+.-.}-{2:2}, at: spin_lock include/linux/spinlock.h:350 [inline] #1: ffff888171861108 (&sch->q.lock){+.

有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: Revert "drm/amd/display: Send DTBCLK disable message on first commit" This reverts commit f341055b10bd8be55c3c995dff5f770b236b8ca9. System hang observed, this commit is thought to be the regression point.

Exploit PoC for CVE-2024-32002

A vulnerability in the web-based management interface of Cisco Integrated Management Controller (IMC) could allow an authenticated, remote attacker with Administrator-level privileges to perform command injection attacks on an affected system and elevate their privileges to root. This vulnerability is due to insufficient user input validation. An attacker could exploit this vulnerability by sending crafted commands to the web-based management interface of the affected software. A successful exploit could allow the attacker to elevate their privileges to root.
[GitHub]A oxidized version of https://github.com/nettitude/CVE-2024-20356/blob/main/CVE-2024-20356.py

" 思科集成管理控制器（IMC）的基于Web的管理界面存在一个漏洞， authenticated远程攻击者可以利用该漏洞对受影响系统进行命令注入攻击，并将自己的权限提升至root。这个漏洞是由于用户输入验证不足导致的。攻击者可以通过向受影响软件的基于Web的管理界面发送精心设计的命令来利用这个漏洞。成功的攻击可能导致攻击者将自己的权限提升至root。\n\n[GitHub]：这是一个氧化版本的 https://github.com/nettitude/CVE-2024-20356/blob/main/CVE-2024-20356.py。"

The WPS Hide Login WordPress plugin before 1.9.1 has a bug which allows to get the secret login page by setting a random referer string and making a request to /wp-admin/options.php as an unauthenticated user.
[GitHub]WordPress WPS Hide Login <1.9.1 - Information Disclosure

" WPS Hide Login WordPress插件在1.9.1版本之前存在一个漏洞，通过设置一个随机的referrer字符串并以未认证的用户身份请求/wp-admin/options.php，可以获取到秘密登录页面。\n[GitHub] WordPress WPS Hide Login <1.9.1 - 信息泄露"

Git is a revision control system. Prior to versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4, repositories with submodules can be crafted in a way that exploits a bug in Git whereby it can be fooled into writing files not into the submodule's worktree but into a `.git/` directory. This allows writing a hook that will be executed while the clone operation is still running, giving the user no opportunity to inspect the code that is being executed. The problem has been patched in versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4. If symbolic link support is disabled in Git (e.g. via `git config --global core.symlinks false`), the described attack won't work. As always, it is best to avoid cloning repositories from untrusted sources.
[GitHub]CVE-2024-32002-hook

" Git 是一种版本控制系统。在 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 和 2.39.4 版本之前，带有子模块的仓库可以以一种利用 Git 中的漏洞的方式构建，这种方式可以让 Git 被愚弄，将文件写入 \".git/\" 目录，而不是子模块的工作树。这允许在克隆操作仍在运行时编写一个钩子，使用户没有机会检查正在执行的代码。该问题已在 2.45.1、2.44.1、2.43.4、2.42.

Zabbix server can perform command execution for configured scripts. After command is executed, audit entry is added to "Audit Log". Due to "clientip" field is not sanitized, it is possible to injection SQL into "clientip" and exploit time based blind SQL injection.
[GitHub]Time Based SQL Injection in Zabbix Server Audit Log --> RCE

" Zabbix服务器可以对配置的脚本执行命令。命令执行后，将在“审计日志”中添加审计条目。由于“clientip”字段未进行消毒，可能在“clientip”中注入SQL并利用基于时间的盲注SQL漏洞。\n[GitHub] Zabbix服务器审计日志中的基于时间SQL注入 --> 远程代码执行"

Create a good-looking DMG for your macOS app in seconds