182 lines
17 KiB
Markdown
182 lines
17 KiB
Markdown
---
|
||
title: Linuxcat周刊(第16期) Litespeed Cache 漏洞导致数百万 WordPress 网站暴露在攻击之下
|
||
tags:
|
||
- 通信
|
||
- 网络安全
|
||
- AI
|
||
- VPN
|
||
- 开源
|
||
- Google
|
||
categories:
|
||
- Linuxcat周刊
|
||
index_img: /img/weekly/2024/16/00123-2845327900.webp
|
||
banner_img: /img/weekly/2024/16/00123-2845327900.webp
|
||
permalink: /weekly/2024-16/index.html
|
||
date: 2024-08-27 19:00:00
|
||
---
|
||
|
||
## 乐子
|
||
### 1 中国联通两条架空光缆遭破坏
|
||
|
||
影响范围: 美国4837网络
|
||
> 评论: 4837网又被鲨鱼咬了(bushi)
|
||
|
||
### 2 开源CDN Goedge被发现鉴权漏洞,泄露了包括用户身份证件在内的大量图片
|
||
继被曝出[官方投毒](https://mmeiblog.cn/weekly/2024-12/index.html#30-GoEdge-%E7%96%91%E4%BC%BC%E8%A2%AB%E5%AE%98%E6%96%B9%E6%8A%95%E6%AF%92%E5%8A%AB%E6%8C%81%EF%BC%8C%E4%B8%BB%E5%9F%9F%E5%90%8D%E5%B7%B2%E6%9B%B4%E6%94%B9%EF%BC%8CWhois-%E8%AE%B0%E5%BD%95%E5%8F%91%E7%94%9F%E5%8F%98%E5%8C%96%E3%80%82)后,有网友经测试再次发现重大问题。Goedge用户端上传的静态资源和实名认证时上传的身份证图片全部都在 /files/file 这个路由下只要用户端地址+/files/file?fileId=1 就可以获取到上传的图片附件(主控端也一样)
|
||
```
|
||
虽然上传身份证时在数据库的 isPublic 字段确实是不公开的,但是goedge却没有判断这个字段,还是可以公开访问。
|
||
目前只有一个临时解决方案,在数据库执行这个这个命令,把证件附件的状态改一下(改了后就访问不了,审核的时候也看不到),这个bug还需要goedge那边进行修复
|
||
UPDATE edgefiles SET state = 0 WHERE type = 'user.idcard';
|
||
根据以上规则,写个脚本就可以批量拿到该系统上传的所有图片文件。
|
||
```
|
||
方能和安捷自家用的都是Goedge,随便爬一下拿到不少身份证正反面和营业执照的图片。
|
||
> 消息来源: [kunkunk](https://www.nodeloc.com/d/7455)
|
||
|
||
### 3 AI马斯克骗走82岁老人近500万积蓄
|
||
近日,外媒曝光了一种全新的数字诈骗,诈骗犯利用复杂的AI工具制作特斯拉CEO马斯克等名人的视频,并利用这些“AI名人”对各种虚假的产品或“投资”进行背书,并承诺高额投资回报。
|
||
在其中一个典型案例中,“AI马斯克”背书的一家所谓的外汇公司轻松骗走了一名82岁的退休老人超过69万美元(约495万元人民币)的毕生积蓄。
|
||
在这类骗局中,诈骗犯通常先寻找一个真实的采访马斯克的视频,再使用AI工具将他的声音替换,并利用口型同步技术编辑马斯克的口型,让视频看起来更加真实。对于普通人来说,这种以假乱真的视频可能是非常难以辨别的。
|
||
> 消息来源: [新浪科技](https://weibo.com/1642634100/OsRZ2FVLJ)
|
||
|
||
### 4 Steam平台带宽使用量超载至历史最高峰
|
||
|
||
《黑神话:悟空》开放预下载首日Steam平台带宽使用量超载至历史最高峰70Tbps(此前为《赛博朋克:2077》发售首日创下的50Tbps记录),其中仅亚洲地区带宽使用量就占59.3Tbps [参考](https://store.steampowered.com/stats/content?l=schinese)
|
||
> 消息来源: [新闻在花频道](https://t.me/zaihuanews/26837)
|
||
|
||
### 5 网易云音乐“崩了” 知情人士称机房刚刚完成迁移
|
||
网易云音乐8月19日下午出现服务器故障,网易云音乐对此回应称,因基础设施故障,导致网易云音乐各端无法正常使用,目前正在加紧修复。知情人士透露,“网易在贵州建立了机房,旗下业务分阶段搬迁。2024年Q2网易云音乐刚刚完成了贵州机房的迁移,新机房确实问题会多,据说也节省了成本。”
|
||
更新:网易云音乐发布声明称,没有删库,没有跑路,故障已陆续修复。作为补偿,8月20日0-24时,云音乐搜“畅听音乐”,用户可领取7天会员权益。
|
||
在修复期间,网易云反复横跳多次
|
||
> 消息来源: [凤凰科技](https://ishare.ifeng.com/c/s/v006--8SdHXG7C6ZNppHsCYezh0AnC0tNDHIbTD--xDDOORBhPPFCf5Gx9GcW0jJJL9Zpd)
|
||
|
||
### 6 巴基斯坦政府称使用VPN是导致该国网速变慢的原因,反对者怀疑政府正在建墙
|
||
数周以来,巴基斯坦的互联网速度一直非常缓慢,但谁应该为此负责,这仍是一个有争议的问题。
|
||
活动人士称,国家正在建设中国式的互联网防火墙,以进一步控制网络空间。官员们对这些说法提出质疑,并将爬行速度降低的原因归咎于安全连接或 VPN (虚拟专用网络)的广泛使用。关闭互联网来压制异议是巴基斯坦和亚洲其他地区监管机构的常见做法。
|
||
自去年前总理伊姆兰汗引发骚乱以来,政府封锁了社交媒体平台,限制了网速,争取公众支持的斗争从街头蔓延到了数字空间。信息技术国务部长沙扎·法蒂玛周日表示,政府并不是近期网络放缓的原因。法蒂玛女士表示,“大量人口”一直在使用 VPN,“这给网络带来了压力,导致互联网速度变慢”。
|
||
> 消息来源: [BBC](https://www.bbc.com/news/articles/cj621kk020lo)
|
||
|
||
|
||
### 7 网信办工信部发《全国重点城市IPv6流量提升专项行动工作方案》
|
||
|
||
网信办工信部发《全国重点城市IPv6流量提升专项行动工作方案》针对8城:北京、天津、上海、深圳、杭州、合肥、无锡、烟台,在2025年6月前落实。
|
||
属地的视频、音乐、下载、云盘、社交、电商、游戏、新闻、应用商店等APP推动IPv6深度改造,使其在固定和移动网络下均优先采用v6访问。
|
||
加快替换不支持IPv6的老旧家庭光猫。利用[以旧换新政策](https://t.me/tnews365/31011),引导用户更换老旧家庭路由器。
|
||
> 消息来源: [竹新社](https://t.me/tnews365/31237)
|
||
|
||
### 8 公安部:用户不是“持证”才能“上网” 没有网号、网证也可正常上网
|
||
新华社,近期,公安部、国家网信办等研究起草的《国家网络身份认证公共服务管理办法(征求意见稿)》,向社会公开征求意见,引发广泛关注。记者梳理当前公众关心的热点问题,采访了有关权威专家。
|
||
问题:网号、网证是什么?根据征求意见稿起草说明,网号是由字母和数字组成、不含明文身份信息的网络身份符号;网证是承载网号及自然人非明文身份信息的网络身份认证凭证。
|
||
通俗地说,网号是用户在网络空间中的身份编码,同时隐去了个人身份信息;网证是一种简化版的数字证书,在网络社交、即时通讯等法定实名制领域以及其他需要验证身份的场景,作为一种可选择的身份认证方式。
|
||
公安部第一研究所研究员于锐介绍:“用户不是‘持证’才能‘上网’,而是在需要证明身份的场景中多了一种更加安全、方便的选择,不需要反复向各个平台提供明文的个人身份信息。同时,原有的身份认证方式仍可继续使用,没有网号、网证也可正常上网。”
|
||
> 消息来源: [LoopDNS资讯播报](https://t.me/DNSPODT/5105)
|
||
|
||
### 9 谷歌开放 HeAR AI 模型 API:1 亿条咳嗽声训练,辅助筛查、诊断和监测肺结核
|
||
谷歌公司于当地时间 8 月 19 日发布博文,宣布通过 Google Cloud API,目前已经向研究人员开放健康声学表征(Health Acoustic Representations,简称 HeAR)AI 模型。
|
||
谷歌表示 HeAR 在各项任务中的表现均由于其它模型,在捕捉健康相关声学数据中的有意义模式方面表现出了卓越的能力。
|
||
> 消息来源: [Google Blog](https://blog.google/technology/health/ai-model-cough-disease-detection/)
|
||
|
||
### 10 美国一市长候选人欲用 ChatGPT 治理城市,遭 OpenAI 封号
|
||
据《卫报》报道,美国怀俄明州夏延市的市长候选人维克多・米勒计划在就职后使用一个由 AI 驱动的机器人来管理当地政府,该机器人被称为 Vic(Virtual Integrated Citizen),由 OpenAI 的 ChatGPT 提供支持,号称可以处理大量数据并做出公正的决策。
|
||
OpenAI 随后关闭了米勒的账户,最终使得该机器人停止运行。根据 OpenAI 的说法,使用 AI 产品进行竞选违反了其政策。然而有报道称,米勒已经创建了另一个账户并又开发了一个定制的机器人。
|
||
> 消息来源: [卫报](https://www.theguardian.com/us-news/article/2024/aug/19/ai-mayor-candidate-victor-miller-cheyenne-wyoming)
|
||
|
||
### 11 iOS新Bug曝光:四个字符可致iPhone崩溃
|
||
网络安全研究员Konstantin 发现,一个新的字符漏洞可导致 iPhone 和 iPad 崩溃。在滑动到 App 库后,在搜索框中输入 "":: 四个字符,将导致Springboard 重置,iPhone 会返回到锁屏界面。重置并非完全重启,iPhone 只需几秒钟即可恢复正常。
|
||
测试发现,只需要输入 "": 和任何其他字符即可触发崩溃;重置问题似乎仅出现在运行 iOS 17 的设备上,iOS 18 设备上如此操作不会导致重置,但会出现一些奇怪的问题,例如字符消失和设置应用崩溃。
|
||
> 消息来源: [新浪科技](https://weibo.com/1642634100/OtpiTzEZX)
|
||
|
||
### 12 贝锐向日葵发布自研操作系统OrayOS,免费供路由器和IoT网关使用
|
||
贝锐发布了自研的嵌入式操作系统OrayOS,该系统专为路由器和IoT网关等设备设计,支持多种功能如路由器网关、SD-WAN网关、存储服务器及IoT网关等。OrayOS兼容x86、ARM、MIPS、RISC-V等多种架构平台,并提供VM版本以支持PC、服务器或软路由设备上的部署。
|
||
OrayOS具备基础的路由与网络管理功能,例如多WAN口设置、流量分析、行为管理和安全控制。安装此系统的设备能够实现异地组网,并支持旁路组网。此外,OrayOS还能应用于工控设备的远程监控与运维,支持通过SMB/FTP进行文件共享,并计划后续增加容器虚拟化和云应用商店等功能。
|
||
> 消息来源: [OrayOS](https://os.oray.com/)
|
||
|
||
### 13 中国已成 CNCF 全球第二大开源贡献国,GitHub 用户活跃率全球第一
|
||
8 月 21 日,KubeCon + CloudNativeCon + Open Source Summit + AI_dev China 2024 在香港拉开帷幕。CNCF 首席技术官 Chris Aniszczyk 表示,中国在 CNCF 托管的开源项目中贡献了近 100 万代码,稳居全球第二大开源贡献国之位。
|
||
GitHub 社区副总裁 Stormy Peters 在演讲中指出,中国的 1100 万开发者在全球开源和 AI 领域占据了重要位置。根据《2024 中国开源发展现状》报告,中国开发者不仅数量位居全球第三,活跃度更是全球第一,展现出极强的技术影响力。
|
||
> 消息来源: [IT之家](https://www.ithome.com/0/790/431.htm)
|
||
|
||
> 评论: [我以前看到过一个笑话:有个外国人说, 中国的程序员都很注重隐私,他们都不会用自己的真实IP访问](https://t.me/zaihua/26920?comment=6098335)
|
||
|
||
### 14 OneInStack 疑似供应链投毒 Nginx
|
||
该工具在安装过程中,从恶意的镜像节点下载了被恶意篡改的 nginx 源码包。之后 nginx 被编译安装和运行,导致服务器被植入后门。
|
||
根据后门样本硬编码字符串特征,确认本次入侵攻击者使用的后门家族为 Noodle RAT。根据趋势科技发布的安全报告,使用该恶意软件的攻击组织主要活动在亚太地区,以间谍活动或经济利益为目的开展入侵活动。
|
||
> 消息来源: [Desync InfoSec的报告](https://mp.weixin.qq.com/s/c5O6EtpWWj1N8whVdiek8Q) | [持安科技的报告](https://m.sohu.com/a/782760876_121304381/?pvid=000115_3w_a)
|
||
|
||
### 15 后门通过 DNS 流量与 CC 服务器通信
|
||
赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C(指令控制)服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器(ctl.msedeapi[.]net))域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句,后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的,漏洞的危险评分 9.8/10,影响 Windows 系统上安装的所有版本的 PHP,成功利用漏洞允许远程执行代码。
|
||
> 消息来源: [Solidot](https://www.solidot.org/story?sid=79075)
|
||
|
||
### 16 微软macOS应用存在危险漏洞 但微软不这么看
|
||
思科 Talos 表示,微软 macOS 应用中的八个漏洞可能被恶意人员滥用,从用户设备录制视频和声音、访问敏感数据、记录用户输入以及提升权限。这些漏洞存在于 Excel、OneNote、Outlook、PowerPoint、Teams 和 Word 中,但微软告诉 Talos 不会修复这些漏洞。所有八个漏洞如下所示:
|
||
```
|
||
CVE-2024-42220 (Outlook)
|
||
CVE-2024-42004 (Teams – work or school) (main app)
|
||
CVE-2024-39804 (PowerPoint)
|
||
CVE-2024-41159 (OneNote)
|
||
CVE-2024-43106 (Excel)
|
||
CVE-2024-41165 (Word)
|
||
CVE-2024-41145 (Teams – work or school) (WebView.app helper app)
|
||
CVE-2024-41138 (Teams – work or school) (com.microsoft.teams2.modulehost.app)
|
||
```
|
||
Talos 高级安全研究工程师弗朗西斯科·本韦努托表示:“微软认为这些问题风险较低,他们声称他们的一些应用需要允许加载未签名的库来支持插件,因此拒绝修复这些问题。”
|
||
但苹果的安全模型是基于权限的。例如,黑客可以利用 Word,并将一些代码注入 Word 的进程,他们就能够访问受保护的资源。
|
||
> 消息来源: [The Register](https://www.theregister.com/2024/08/19/cisco_talos_microsoft_macos/)
|
||
|
||
### 17 Litespeed Cache 漏洞导致数百万 WordPress 网站暴露在攻击之下
|
||
LiteSpeed Cache WordPress 插件中存在一个严重漏洞,攻击者可以通过创建恶意管理员帐户来控制数百万个网站。
|
||
该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 (https://nvd.nist.gov/vuln/detail/CVE-2024-28000) ),是由 LiteSpeed Cache 6.3.0.1 及更高版本中的弱哈希校验引起的。安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁,并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。
|
||
```
|
||
安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁,并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。
|
||
|
||
成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限,通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、向访问者分发恶意软件或窃取用户数据,可以完全接管运行易受攻击的 LiteSpeed Cache 版本的网站。
|
||
|
||
Patchstack 安全研究员 Rafie Muhammad 周三解释说:“我们能够确定,暴力攻击会迭代安全哈希的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中 - 即使以每秒 3 个请求的相对较低速度运行 - 也能够在几小时到一个星期内以任何给定的用户 ID 访问该网站。 ”
|
||
|
||
“唯一的先决条件是知道管理员级别用户的 ID 并将其传递到 litespeed_role cookie 中。确定此类用户的难度完全取决于目标站点,并且在许多情况下,使用用户 ID 1 即可成功。”
|
||
|
||
虽然开发团队已于上周二发布了修复此严重安全漏洞的版本,但WordPress 官方插件库的下载统计数据显示,该插件的下载次数仅为 250 多万次,这意味着超过一半使用该插件的网站可能面临攻击。
|
||
```
|
||
> 消息来源: [Bleeping Computer](https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-millions-of-wordpress-sites-to-takeover-attacks/)
|
||
|
||
|
||
### 18 中国联通拒收电信CN2的国际路由
|
||
据 DMIT (https://t.me/DMIT_INC/1041) 援引中国电信集团北京公司的消息,中国联通现已确认拒绝接收任何来自中国电信CN2的国际路由。
|
||
据了解,该变化影响中国联通用户接入CN2网络的能力,原先通过CN2 GIA的去程发生改变,回程目前未受影响。中国电信计划通过海外与中国联通进行互联以解决此问题。
|
||
DMIT 称,已注意到 AS4809(CN2)、AS23764(CTG) 与 AS10099(联通国际) 之间的对等网络出现拥塞,将接入香港、东京和洛杉矶的中国联通线路,以提高中国联通客户的网络质量。该运营商还重申了对 Pro 和 EB 系列产品网络质量的保证。
|
||
> 消息来源: [VPS信号旗播报](https://t.me/vps_xhq/640)
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
(下暴雨军训停了出来摸鱼,教室都成水帘洞了)
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|