安全热点周报：Google Chrome 和 Apache OFBiz 漏洞被黑客利用，紧急修复措施...

奇安信 CERT · 公众号 · · 2024-09-02 17:20

正文

请到「今天看啥」查看全文

8月 28 日，美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加Google Chrome 缓冲区溢出漏洞(CVE-2024-7965)，谷歌透露，上周推出的 Chrome 浏览器软件更新中修补的一个安全漏洞已被广泛利用。该漏洞被编号为CVE-2024-7965，被描述为 V8 JavaScript 和 WebAssembly 引擎中的一个不适当的实现错误。

根据国家漏洞数据库 (NVD) 中对该漏洞的描述，“128.0.6613.84 之前的 Google Chrome 中 V8 的不适当实现允许远程攻击者通过精心设计的 HTML 页面利用堆损坏漏洞。”

一位网络化名为 TheDog 的安全研究员于 2024 年 7 月 30 日发现并报告了该漏洞，并因此获得了 11,000 美元的漏洞赏金。

关于利用该漏洞的攻击性质或可能利用该漏洞的威胁者身份的更多细节尚未公布。不过，这家科技巨头承认，它知道漏洞 CVE-2024-7965 的存在。

谷歌表示：“在大多数用户更新修复程序之前，对错误详细信息和链接的访问可能会受到限制。”“如果其他项目同样依赖但尚未修复的第三方库中也存在该错误，我们也将保留限制。”

强烈建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本，将 Linux 版升级到 128.0.6613.84 版本，以减轻潜在威胁。

参考链接：

https://thehackernews.com/2024/08/google-warns-of-cve-2024-7965-chrome.html

2.Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)

8月 27 日，美国网络安全和基础设施安全局 (CISA) 已发出紧急警告，称流行的开源企业资源规划 (ERP) 系统 Apache OFBiz 中存在一个被积极利用的安全漏洞。该漏洞被追踪为 CVE-2024-38856，已被添加到 CISA 的已知被利用漏洞 (KEV) 目录中，凸显了该威胁的严重性。

CVE-2024-38856 是一个授权不当致远程代码执行漏洞。该漏洞影响 18.12.15 之前的 Apache OFBiz 版本，对任何使用旧版本软件的组织都构成重大风险。

CVE-2024-38856 的根本原因在于 Apache OFBiz 的身份验证机制中的一个缺陷。具体来说，这个缺陷允许未经身份验证的用户访问通常仅限于登录用户使用的功能。一旦进入系统，攻击者可以利用此访问权限在受感染的系统上执行任意代码，从而可能导致整个系统被入侵。

发现并报告 CVE-2024-38856 的安全公司 SonicWall 强调，该漏洞存在于 Apache OFBiz 的覆盖视图功能中。这一严重漏洞将重要端点暴露给未经身份验证的攻击者，攻击者可以通过发送特制请求来利用该漏洞。

更为紧迫的是，SecureLayer7 的网络安全研究人员 Zeyad Azima 和 Youssef Muhammad 发布了针对 CVE-2024-38856 的概念验证 (PoC) 漏洞代码。此 PoC 在 GitHub 上具体展示了如何利用该漏洞，这使得黑客更容易发动攻击。

鉴于 CVE-2024-38856 的高严重性和活跃利用，CISA 强烈建议所有使用 Apache OFBiz 的机构和组织在 2024 年 9 月 17 日之前将其安装更新至 18.12.15 或更高版本。未能应用这些更新可能会导致系统容易受到攻击，从而导致数据泄露、服务中断和其他严重后果。

参考链接：

https://securityonline.info/cisa-warns-of-actively-exploited-apache-ofbiz-cve-2024-38856-vulnerability-poc-available/

3. Google Chrome V8 类型混淆漏洞(CVE-2024-7971)

8月 26 日，美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加 Google Chrome V8 类型混淆漏洞(CVE-2024-7971)，朝鲜黑客利用最近修补的 Google Chrome 零日漏洞 (CVE-2024-7971)，在利用 Windows 内核漏洞获取系统权限后部署 FudModule 根工具包。

微软周五表示：“我们高度确信，观察到的对 CVE-2024-7971 的利用可以归因于朝鲜黑客，他们针对加密货币领域以此获取经济利益”，并将这些攻击归咎于 Citrine Sleet（之前被追踪为DEV-0139）。

其他网络安全供应商将该朝鲜威胁组织追踪为 AppleJeus、Labyrinth Chollima 和 UNC4736，而美国政府则将朝鲜政府资助的黑客统称为 Hidden Cobra。

谷歌上周修补了 CVE-2024-7971 零日漏洞，称其为 Chrome V8 JavaScript 引擎中的类型混淆漏洞。此漏洞使黑客能够在重定向到攻击者控制的网站 voyagorclub[.]space 的目标的沙盒 Chromium 渲染器进程中获得远程代码执行。逃离沙盒后，他们使用受感染的 Web 浏览器下载了针对 Windows 内核中的 CVE-2024-38106 漏洞，这使他们获得了 SYSTEM 权限。

黑客还下载并加载了 FudModule 根工具包到内存中，用于内核篡改和直接内核对象操作 (DKOM)，并允许他们绕过内核安全机制。

雷德蒙德补充道，利用 CVE-2024-7971 Chrome 零日漏洞进行攻击的目标组织之一此前也曾被另一个朝鲜威胁组织 BlueNoroff（或 Sapphire Sleet）瞄准。

建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本，将 Linux 版升级到 128.0.6613.84 版本，以减轻潜在威胁。还建议基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在修复程序可用时立即应用。

参考链接：

https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-chrome-zero-day-to-deploy-rootkit/

PART 0 3

安全事件