美国积极利用EPMM漏洞；TensorFlow易受投毒攻击；伊朗黑客伪装刺探；GitHub在暴露高危漏洞| 安全周报 0119

美国网络安全和基础设施安全局（CISA）周四在其已知漏洞（KEV）目录中添加了一个现已修补的关键漏洞，该漏洞影响 Ivanti Endpoint Manager Mobile（EPMM）和 MobileIron Core，并表示该漏洞正在被积极利用。

所讨论的漏洞是CVE-2023-35082（CVSS评分：9.8），这是一种身份验证绕过，是针对同一解决方案中另一个漏洞的补丁绕过，该漏洞被跟踪为CVE-2023-35078（CVSS评分：10.0）。

Ivanti 在2023年8月指出："如果被利用，该漏洞使未经授权的远程（面向互联网）行为者能够潜在地访问用户的个人身份信息，并对服务器进行有限的更改。"

来源：https://thehackernews.com/2024/01/us-cybersecurity-agency-warns-of.html

一个新型攻击活动将易受攻击的Docker服务作为目标，在该活动中，威胁行为者正在部署XMRig加密货币矿工和9Hits Viewer软件，作为多管齐下的货币化战略的一部分。

云安全公司Cado表示："这是首次记录到恶意软件将9Hits应用程序作为有效载荷部署的案例。"他补充说，这一发展表明，对手一直在寻找多样化的策略，以从受损的主机中获利。

9Hits自称是"独特的网络流量解决方案"和"自动流量交换"，允许服务成员为他们的网站带来流量，以换取购买信用。

来源：https://thehackernews.com/2024/01/new-docker-malware-steals-cpu-for.html

在开源 TensorFlow 机器学习框架中发现的持续集成和持续交付（CI/CD）错误配置可能被利用来策划供应链攻击。

本周发表的一份报告中，Praetorian的研究人员Adnan Khan和John Stawinski表示，攻击者可能会滥用这些错误配置，通过恶意拉取请求损害TensorFlow的构建代理，从而"对GitHub和PyPi上的TensorFlow版本进行供应链妥协"。

成功利用这些问题，外部攻击者可以将恶意版本上传到 GitHub 存储库，在自托管 GitHub 运行器上获得远程代码执行，甚至为 TensorFlow-Jenkins 用户检索 GitHub 个人访问令牌 (PAT)。

TensorFlow使用GitHub Actions来自动化软件构建、测试和部署管道。Runners指的是在GitHub Actions工作流中执行作业的机器，可以是自托管的，也可以由GitHub托管。

来源：https://thehackernews.com/2024/01/tensorflow-cicd-flaw-exposed-supply.html

自2023年11月以来，在比利时、法国、加沙、以色列、英国和美国的大学和研究机构从事中东事务的高收入人士一直是伊朗网络间谍组织Mint Sandstorm的目标。

微软威胁情报团队在周三的一份分析中表示，威胁行为者"使用定制的网络钓鱼诱饵，试图通过社交工程诱使目标下载恶意文件"，并将其描述为"Mint Sandstorm在技术和操作上成熟的子群"。

在特定情况下，这些攻击涉及使用以前未记录的后门程序，称为MediaPl，表明伊朗威胁行为者正在努力改进其入侵后的谍报技术。

Mint Sandstorm，也被称为 APT35、Charming Kitten、TA453 和 Yellow Garuda，以其娴熟的社会工程活动而闻名，甚至会利用合法但已被入侵的账户向潜在目标发送定制的网络钓鱼电子邮件。据评估，它与伊朗伊斯兰革命卫队（IRGC）有关联。

来源：https://thehackernews.com/2024/01/iranian-hackers-masquerades-as.html

GitHub 透露，它已经轮换了部分密钥，以应对一个安全漏洞，该漏洞可能被利用来获取生产容器内的凭据。

这家微软旗下的子公司表示，他们于2023年12月26日意识到这个问题，并于当天解决了这个问题，此外，出于谨慎考虑，他们还轮换了所有可能暴露的凭证。

这些转录的密钥包括 GitHub 提交签名密钥以及 GitHub Actions、GitHub Codespaces 和 Dependabot 客户加密密钥，需要依赖这些密钥的用户导入新的密钥。

来源：https://thehackernews.com/2024/01/github-rotates-keys-after-high-severity.html