内存安全周报第155期 | GitLab敦促用户安装安全更新应对关键管道缺陷
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、GitLab敦促用户安装安全更新应对关键管道缺陷(9.19)
GitLab发布安全更新解决一个严重漏洞,该漏洞允许黑客通过预定的安全扫描政策以其他用户的身份运行管道。GitLab是一个受欢迎的、基于web的开源软件项目管理和工作跟踪平台,提供免费和商业版本。
详细情况
本次漏洞被指定为CVE-2023-5009 (CVSS v3.1得分:9.6),对GitLab社区版(CE)和企业版(EE)的版本13.12至16.2.7,以及版本16.3至16.3.4造成影响。研究人员发现一种克服实施保护的方法,并证明将漏洞的严重性等级提高到临界严重性的额外影响。
用户在不知情或未获得允许的情况下被冒用身份运行管道任务(一系列自动化任务),这可能导致黑客访问敏感信息或滥用用户权限来运行代码、修改数据或触发GitLab系统中的特定事件。考虑用户将GitLab用于代码管理,这种泄露可能会造成知识产权的损失、破坏性数据的泄露、供应链攻击等高风险场景。
GitLab的公告强调该漏洞的严重性,敦促用户及时安装可用的安全更新。针对漏洞CVE-2023-5009的新版本为GitLab社区版和企业版16.3.4和16.2.7。而16.2之前版本的用户尚未收到安全问题的修复,公告对此的缓解措施是避免同时打开“直接传输”和“安全策略”。公告警告,如果这两个功能都处于激活状态,则实例很容易受到攻击,因此建议用户一次只打开一个功能。用户可以在官方网页获取GitLab Runner包。
参考链接
二、P2PInfect僵尸网络活动随着更隐秘的恶意软件变体激增600倍(9.20)
从8月下旬开始,P2PInfect僵尸网络蠕虫经历一个活动量高度增加的时期,然后在2023年9月再次回升。
详细情况
2023年7月,P2PInfect被首次记录在册,它是一种点对点恶意软件,利用暴露在互联网的Windows和Linux系统的远程代码执行漏洞破坏Redis实例。自2023年7月下旬以来,一直跟踪僵尸网络的研究人员称P2PInfect在全球活跃,大多数违规行为对中国、美国、德国、新加坡、香港、英国和日本的系统造成影响。此外,研究人员表示,最新的P2PInfect样本功能的增加和改进,使其更有能力向目标传播,并表面恶意软件的持续发展。
研究人员认为P2PInfect的僵尸网络活动表明恶意软件已经进入一个新的代码稳定时期,使其能够加快运行。研究人员报告称,他们观察到P2PInfect在蜜罐上执行的初始访问尝试数量稳步增加,截至2023年8月24日,单个传感器发生4064次事件。2023年9月3日,初始访问事件增加两倍,但仍然相对较低。2023年9月12日至19日,P2PInfect活动激增,仅在此期间,研究人员记录3,619次访问尝试,增长600倍。研究人员对此解释:“P2PInfect流量的增加与越来越多的变体相吻合,这表明恶意软件的开发者正在以极高的开发节奏运行。”
随着活性的增加,研究人员观察到新的样本使P2PInfect成为一个更隐蔽、更可怕的威胁。首先,恶意软件的作者添加了一个基于cron的持久性机制,取代之前的“bash_logout”方法,每30分钟触发一次主有效负载。此外,P2PInfect现在使(次要)bash有效负载通过本地服务器套接字与主有效负载通信,如果主进程停止或被删除,它会从对等端检索副本并重新启动它。恶意软件现在还使用SSH密钥覆盖被破坏端点上的任何SSH authorized_keys,以防止合法用户通过SSH登录。如果恶意软件具有root访问权限,它将使用自动生成的10个字符密码对系统上任何其他用户执行密码更改以锁定他们。最后,P2PInfect现在为其客户端使用C结构配置,该配置在内存中动态更新,在此之前,它没有配置文件。
研究人员报告称,他们最近观察的P2PInfect变种试图获取矿工有效载荷,但没有在受损设备上看到实际的加密采矿活动。因此,目前尚不清楚恶意软件运营商是否仍在试验攻击的最后一步。僵尸网络的运营商可能正在增强矿机组件或寻找订阅P2PInfect的买家,因此他们使用矿机作为虚拟人进行演示。鉴于当前僵尸网络的规模、传播范围、自我更新功能以及本月的快速扩张,P2PInfect是一个值得关注的重大威胁。
参考链接
