Pillow严重漏洞CVE-2023-50447让Python项目面临风险

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Pillow严重漏洞CVE-2023-50447让Python项目面临风险

宣布时间 2024-01-23

1. Pillow严重漏洞CVE-2023-50447让Python项目面临风险

1月21日，Pillow作为许多项目的基石，作为 Python 成像库 (PIL) 的现代继承者。该库因其处置种种图像处置任务的强大功效而受到重视。然而，宁静研究人员 Duarte Santos 最近发现了一个严重漏洞 CVE-2023-50447，该漏洞可能允许攻击者执行任意代码。该漏洞的 CVSS 评分为 9.0，位于 Pillow 的“PIL.ImageMath.”函数中。该函数旨在评估涉及图像的数学表达式，无意中允许控制通报给“环境”参数的密钥的攻击者执行任意代码。问题源于 Pillow 如何处置这些表达式，它依赖于 Python 的内置“”，但具有图像处置的附加功效。该利用技术围绕利用评估上下文以包罗恶意“co_names”，从而绕过预期的限制。通过巧妙地使用 Python 的 dunder（双下划线）要领，攻击者可以调用 eval 上下文中存在的工具内的任意要领，从而导致代码执行。

2. SmokeLoader恶意软件正在针对乌克兰的政府机构和公司

1月19日，AhnLab 宁静情报中心 (ASEC) 发现多个 SmokeLoader 恶意软件正在分发给乌克兰政府和公司。近期针对乌克兰的袭击事件似乎有所增加。目前确认的目标包罗乌克兰司法部、公共机构、保险公司、医疗机构、建筑公司和制造公司等。分发的电子邮件遵循乌克兰语格式。正文包罗与发票相关的信息，提示读者执行附件。SmokeLoader是一种下载器恶意软件，它可以在连接到C&C服务器后通过接收命令来下载特别的�？榛蚨褚馊砑�。执行时会注入explorer.exe，并通过以下流程进行恶意活动。首先，它在 %AppData% 路径中将自身复制为“ewuabsi”，隐藏自身并授予系统文件属性。然后，它实验连接到下面列出的 C&C 服务器，其中可以特别下载 Lockbit 勒索软件和种种其它恶意软件。

3. Tietoevry遭勒索软件Akira攻击导致瑞典企业和都市停电

1月21日，芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击，影响其位于瑞典的一个数据中心的云托管客户，据报道，此次攻击是由 Akira 勒索软件团伙提倡的。Tietoevry 是一家芬兰 IT 服务公司，为企业提供托管服务和云托管。该公司在全球拥有约 24,000 名员工，2023 年收入为 31 亿美元。勒索软件攻击对该公司的虚拟化和管理服务器进行了加密，这些服务器用于托管瑞典众多企业的网站或应用法式。瑞典最大的连锁影院 Filmstaden 已确认他们受到此次攻击的影响，因此无法通过网站或移动应用法式在线购置影戏票；其他受到攻击影响的公司包罗折扣零售连锁店 Rusta、原质料供应商 Moelven和农业供应商 Grangn?rden，后者在 IT 服务恢复期间被迫关闭商店；停电还影响了瑞典的众多政府机构和市政政府，包罗 Statens 服务中心、 Vellinge 市、 Bjuv 市和乌普萨拉县。

4. LockBit勒索软件团伙声称已入侵美国快餐连锁店Subway

1月21日，Subway IP LLC 是一家美国跨国快餐连锁店，主营海底三明治 (subs)、卷饼、沙拉和饮料。Lockbit 勒索软件组织将 Subway 添加到其 Tor 数据泄露网站的受害者名单中，并威胁于 2024 年 2 月 2 日 21:44:16 UTC 泄露被盗数据。该组织声称窃取了数百GB的敏感数据。该团伙体现，被盗数据包罗员工人为、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。Tor 泄露网站上宣布的消息：“最大的三明治连锁店假装什么都没发生。我们窃取了他们的 SUBS 内部系统，其中包罗数百 GB 的数据和特许经营权的所有财政预期，包罗员工人为、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。我们给他们一些时间来�；ふ庑┦菔�，如果没有，我们愿意向竞争对手出售。”

5. 研究团队发现利用CVE-2023-46604的攻击活动Godzilla

1月22日，网络宁静研究人员警告说，威胁行为者的活动“显着增加”，他们积极利用 Apache ActiveMQ 中现已修补的缺陷，在受熏染的主机上通报 Godzilla Web shell。该shell 隐藏在未知的二进制格式中，旨在逃避宁静和基于签名的扫描法式。值得注意的是，尽管二进制文件格式未知，ActiveMQ 的 JSP 引擎仍继续编译并执行 Web shell。CVE-2023-46604（CVSS 评分：10.0）是指Apache ActiveMQ 中的一个严重漏洞，该漏洞可实现远程代码执行。自 2023 年 10 月下旬果然披露以来，它已被多个对手积极利用，以部署勒索软件、rootkit、加密货币矿工和DDoS 僵尸网络。

6. 宁静研究团队宣布�？榛韭鞿loader新变种的分析陈诉

1月22日，Zloader 诞生于泄露的 Zeus 源代码，于 2016 年首次泛起，目标是德国银行。然而，它的活动可以追溯到 2015 年。在 2018 年之后的中断之后，它于 2019 年底以“平安夜”的名义重新崛起，对其功效带来了重大改变和增强。Zloader 从银行木马到勒索软件攻击工具的历程反映了网络威胁的适应性。其演变在 2021 年 9 月开发出 2.0.0.0 版本时到达巅峰。尽管在 2022 年 4 月进行了删除操作，Zloader 仍于 2023 年以更庞大的更新回归，展示了其弹性和对网络宁静的连续威胁。Zloader 的最新版本于 2023 年 9 月开始开发，引入了先进的混淆技术、更新的域生成算法和用于网络通信的 RSA 加密。值得注意的是，该加载法式现在支持 64 位 Windows 版本，这标志着其操作能力的重大转变。此次演变包罗新版本 2.1.6.0 和 2.1.7.0，突出了 Zloader 的连续生长和威胁。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究