通过隧道协议中的漏洞,420万个互联网主机被劫持。攻击者通过针对VPN服务器、家庭和企业路由器获得网络访问权限。
https://www.top10vpn.com/research/tunneling-protocol-vulnerability/
https://blog.sekoia.io/sneaky-2fa-exposing-a-new-aitm-phishing-as-a-service/
狡猾的 2FA:揭露新的 AiTM 网络钓鱼即服务
它的主要目的是收集 Microsoft 365 会话 cookie,以在后续身份验证期间绕过 MFA 过程。
https://github.com/C411e/CVE-2024-53691
DFIR LABS - 一系列挑战,旨在为以下主题提供从简单到高级的概念实践:数字取证、事件响应、恶意软件分析和威胁搜寻。
https://github.com/Azr43lKn1ght/DFIR-LABS
https://goodworkaround.com/2025/01/17/accessing-resources-cross-tenant-using-managed-service-identities/
通过托管服务身份跨租户访问资源的方法已被引入。用户需要在租户A创建一个多租户应用注册,并在租户B进行授权。此过程不再需要客户端密钥或证书。用户分配的身份作为联邦凭证,允许在租户B访问Microsoft Graph的用户信息。创建自动化账户时指定用户分配的身份,随后通过PowerShell脚本获取访问令牌并调用API,从而实现跨租户资源访问。
https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/
它使用伪造的发件人域通过垃圾邮件活动传播恶意软件。这与我们最近在《混乱的恶意垃圾邮件:恶意垃圾邮件中使用伪造域》中报道的电子邮件欺骗不同,这些欺骗利用了配置错误的 DNS 记录来绕过电子邮件保护技术。僵尸网络是由行为者控制的受感染设备构建的,极难破坏,是网络环境中的持续威胁。该僵尸网络使用 Mikrotik 路由器的全球网络发送恶意电子邮件,这些恶意电子邮件被设计成来自合法域。我们观察到的垃圾邮件传播了木马恶意软件,但该僵尸网络很可能用于各种恶意活动。我们将继续通过 DNS 跟踪这个僵尸网络。
攻击者针对Aviatrix CVE-2024-50603漏洞进行攻击。该漏洞是Aviatrix Controller云网络平台中的一个关键的未经认证的远程代码执行漏洞,影响所有支持的版本。CISA已将此漏洞添加到已知利用漏洞目录中。Aviatrix于1月7日披露了该漏洞并发布了补丁,但补丁在某些情况下并不持久。研究人员发现多个攻击者正在尝试利用该漏洞,建议用户立即采取措施进行修补。
https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-supply-chain-korean-vpn-service/
https://gist.github.com/hackermondev/45a3cdfa52246f1d1201c1e8cdef6117
https://cellularsecurity.org/ransacked
“我们在 LTE/5G 核心基础设施中发现了 119 个漏洞......其中一些漏洞可用于远程破坏和访问蜂窝核心......”
https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
Zyxel NAS 设备中发现五个新漏洞(包括代码执行和权限提升)
https://eclypsium.com/blog/pandoras-box-vulns-in-security-appliances/
对Palo Alto Networks三种防火墙模型的评估揭示了多个已知安全漏洞和配置错误,强调了即使是网络安全设备,如果未妥善维护,也可能成为攻击目标。
https://blog.lumen.com/the-j-magic-show-magic-packets-and-where-to-find-them/
Lumen Technologies 的 Black Lotus Labs 团队一直在追踪针对企业级 Juniper 路由器的后门攻击的使用情况。此后门由被动代理打开,该代理会持续监视攻击者在 TCP 流量中发送的“魔术包”。我们将此活动称为 J-magic,这是最近的一次行动,最早的样本于 2023 年 9 月上传到 VirusTotal。目前,我们无法确定初始访问方法,但是一旦安装到位,它就会安装代理(cd00r 的变体),它会在激活之前被动扫描五个不同的预定义参数。如果收到任何这些参数或“魔术包”,代理就会发回二次质询。质询完成后,J-magic 会在本地文件系统上建立一个反向 shell,允许操作员控制设备、窃取数据或部署恶意软件。
https://www.mobile-hacker.com/2025/01/24/usb-army-knife-the-ultimate-close-access-penetest-tool/
@therealshodan开发的 USB Army Knife是一款多功能固件,它将多种攻击媒介组合成一个紧凑型工具,并配有彩色 LCD 屏幕显示。根据运行的设备,它可以支持 USB HID 攻击,允许通过 Wi-Fi 按键注入、大容量存储模拟、网络设备模拟、USB 以太网适配器、通过部署 VNC 服务器捕获屏幕并通过 Web 界面查看、断开用户与 WiFi 网络的连接,包括其他 WiFi 和蓝牙攻击功能(这要归功于它与 ESP32 Marauder 的集成) 。这使其成为希望利用物理访问漏洞的渗透测试人员不可或缺的资产。
https://binarysecurity.no/posts/2025/01/finding-ssrfs-in-devops
Azure DevOps 中发现了三个 SSRF 漏洞
https://zhero-web-sec.github.io/research-and-things/nextjs-cache-and-chains-the-stale-elixir
Next.js、缓存和缓存链:过时的灵丹妙药
https://github.com/c0dejump/HExHTTP
Header Exploitation HTTP