7月 17 日,美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加Magento Open Source XML外部实体注入漏洞(CVE-2024-34102),Adobe Commerce 和 Magento Open Source 的受影响版本存在 XML 外部实体引用的不当限制漏洞,这可能导致任意代码执行。攻击者可以通过发送一个引用外部实体的精心构造的XML文档来利用这个漏洞,造成敏感信息泄露或远程代码执行。
影响 Adobe Commerce 和 Magento 网站的“CosmicSting”漏洞在安全更新发布九天后仍未得到修补,导致数百万个网站面临灾难性攻击。根据 Sansec 的统计,使用受影响电子商务平台的网站中大约四分之三尚未修补 CosmicSting,这使它们面临 XML 外部实体注入 (XXE) 和远程代码执行 (RCE) 的风险。
Sansec 表示:“CosmicSting(又名 CVE-2024-34102)是两年来 Magento 和 Adobe Commerce 遭遇的最严重的漏洞” 。
Sansec 表示,尽管 Adobe 在其公告中省略了技术细节以避免引发主动攻击,但可以从补丁代码中轻松推断出有效的攻击方法,其分析师使用该补丁代码重现了此次攻击。
供应商发布了针对CVE-2024-34102的修复程序,建议电商平台管理员尽快应用最新版本。
参考链接:
https://www.bleepingcomputer.com/news/security/cosmicsting-flaw-impacts-75-percent-of-adobe-commerce-magento-sites/
2.SolarWinds Serv-U 目录遍历漏洞(CVE-2024-28995)
7月 17 日,美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加SolarWinds Serv-U 目录遍历漏洞(CVE-2024-28995),SolarWinds Serv-U 容易受到目录横向漏洞的影响,未经身份认证的远程攻击者通过构造特殊的请求可以下载读取远程目标系统上的任意文件,对机密性造成很高的影响。
威胁行为者目前正在利用 SolarWinds Serv-U 中的关键路径遍历漏洞CVE-2024-28995。攻击者利用公开的概念验证 (PoC) 漏洞,利用此漏洞获得未经授权的访问权限,从而无需身份验证即可读取目标服务器上的敏感文件。这些不断增加的攻击对全球用户构成了重大而直接的威胁。
GreyNoise Intelligence 部署了一个高级蜜罐来收集漏洞利用尝试的数据。蜜罐与易受攻击的 Serv-U 应用程序非常相似,并像真正的系统一样做出响应。几天之内,GreyNoise 捕获了几次漏洞利用尝试,包括动手操作键盘的活动。GreyNoise 的蜜罐揭示了各种针对关键文件(如 /etc/passwd 和 Serv-U 启动日志)的有效载荷。数据显示,其中既有常用的有效载荷,也有自定义的有效载荷,表明攻击者的复杂程度各不相同。
SolarWinds 建议所有用户更新到 Serv-U 15.4.2 HF 2 或更高版本以缓解漏洞。
参考链接:
https://www.labs.greynoise.io/grimoire/2024-06-solarwinds-serv-u/
3.
VMware vCenter Server信息泄露漏洞(CVE-2022-22948)
7月 17 日,美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加VMware vCenter Server信息泄露漏洞(CVE-2022-22948),VMware vCenter Server 存在信息泄露漏洞,具有非管理访问权限的攻击者可利用该漏洞来获取对敏感信息的访问权限。
