安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 火狐浏览器中两个零日漏洞正在遭到攻击（3.6）

Mozilla已经对其火狐(Firefox)网络浏览器进行了带外软件更新，其中包含了两个影响很大的零日漏洞，并表示这两个漏洞正在被广泛利用。

详细情况

这两个零日漏洞编号为CVE-2022-26485和CVE-2022-26486，为影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架的释放后使用问题。

XSLT是一种基于XML的语言，用于将XML文档转换成网页或PDF文档，而WebGPU是一种新兴的web标准，被认为是当前WebGL JavaScript图形库的继承者。

两个漏洞的具体情况如下：

CVE-2022-26485 ——在处理过程中删除XSLT参数可能会导致可利用的“释放后使用”；

CVE-2022-26486 ——WebGPU IPC框架中一个预期外的消息可能会导致释放后使用和可利用的沙箱躲避。

“释放后使用”错误——这类错误可能被用来破坏有效的数据，并在受损的系统上执行任意代码——错误主要源于“不清楚程序的哪一部分负责释放内存”。

鉴于这些漏洞被广泛利用，Mozilla建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2。

目前，美国网络安全和基础设施安全局(CISA)周一将Firefox的两个零日漏洞以及其他9个漏洞添加到其已知被利用漏洞目录中，要求联邦机构在2022年3月21日之前实施修复。

参考链接

https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html

2. PROPHET SPIDER利用Citrix ShareFile远程代码执行漏洞部署Webshell（3.7）

一个影响Citrix ShareFile储存空间管理器的远程代码执行漏洞（CVE-2021-22941）对微软Internet信息服务(IIS) web服务器发起攻击，攻击者利用该漏洞部署了一个允许下载其他工具的Webshell。

详细情况

2022年初，CrowdStrike Intelligence和CrowdStrike Services调查了一起PROPHET SPIDER利用一个影响Citrix ShareFile储存空间管理器的远程代码执行漏洞（CVE-2021-22941）攻击微软Internet信息服务(IIS) web服务器的事件。攻击者利用该漏洞部署了一个允许下载其他工具的Webshell。

背景 ：

PROPHET SPIDER

PROPHET SPIDER是一个犯罪行为参与者，2017年5月开始活跃，主要通过破坏易受攻击的web服务器来访问受害者，这通常涉及利用各种公开披露的漏洞。在多个实例中，他们可能发挥了访问代理的作用——将访问权交给第三方部署勒索软件。

CVE-2021-22941

2021年9月，Citrix在ShareFile 储存空间管理器中披露了一个相对路径遍历漏洞，该漏洞编码为CVE-2021-22941。此后不久，安全研究人员为该漏洞演示了一个概念验证(POC)漏洞。根据已知的技术细节，其他人能够重现自2021年10月中旬以来扩散的CVE-2021-22941的完全武器化利用。该漏洞允许对手通过在HTTP GET请求中传递的uploadid参数覆盖目标服务器上的现有文件。

参考链接

https://www.crowdstrike.com/blog/prophet-spider-exploits-citrix-sharefile/?&web_view=true