2 CVE Vulnerabilities

sy64

错失良机：VxWorks 6.9 和 7 中弱密码哈希

https://sec-consult.com/blog/detail/a-missed-opportunity-addressing-weak-password-hashing-in-vxworks/

sy64

CVE-2025-0693：AWS IAM用户枚举 https://rhinosecuritylabs.com/research/unauthenticated-username-enumeration-in-aws

sy64

利用符号链接挖掘BYOVD漏洞的新方法

https://www.zerosalarium.com/2025/01/byovd%20next%20level%20blind%20EDR%20windows%20symbolic%20link.html?m=1

sy64

https://flatt.tech/research/posts/escaping-electron-isolation-with-obsolete-feature/

总结

RyotaK 通过利用 Electron 的一个过时特性，结合 Chatwork 桌面应用中的多个漏洞，实现了远程代码执行。

摘要

RyotaK，GMO Flatt Security Inc 的安全工程师，发现并报告了在 Chatwork（一款流行的日本通讯工具）中的一个远程代码执行漏洞。该漏洞通过链接多个问题实现，具体包括：

危险方法暴露给 preload 上下文：发现了一个调用 shell.openExternal 方法的代码片段，该方法可以用来打开 URL，但如果使用 file:// 协议，则可能导致任意代码执行。由于这个方法暴露给了 preload 上下文，因此在 preload 上下文中执行任意 JavaScript 代码可以实现远程代码执行，即使禁用了 Node.js API。
错误启用的遗留特性允许访问 preload 上下文：在分析中，发现了一个 BrowserWindow 实例，其中 nodeIntegration 设置为 false，但 webviewTag 设置为 true。尽管 webview 标签是废弃的，但它允许创建一个新的渲染进程，并且可以通过 preload 属性加载脚本到 preload 上下文中。
桌面和 Web 之间的路由解析器差异：通过利用 webview 标签和路由解析差异，攻击者可以将恶意 webview 标签放置在受害者的 BrowserWindow 中。Chatwork 的后端服务器在解析请求路径时与 Electron 客户端的处理方式不同，这使得攻击者可以绕过客户端的路径限制。
结合所有问题：利用 Chatwork 的 OAuth 功能，攻击者可以将用户重定向到包含恶意 webview 标签的 URL。这样，当用户批准或拒绝 OAuth 授权时，可以执行远程代码。

最终，通过这些链条的组合，攻击者能够在 Chatwork 桌面应用中实现远程代码执行。

观点

Electron 应用的安全风险：Electron 应用可能会因为使用过时特性和不当的配置而受到攻击。开发者应该仔细阅读 Electron 的安全指南，并验证所有的安全设置。
遗留特性的危险性：即使是被废弃的功能，如果没有正确处理，也可能成为安全漏洞的来源。开发者需要确保即使是遗留特性也不会降低应用的安全性。
客户端与服务器的路由解析差异：客户端和服务器在处理 URL 时可能存在差异，这可能会被攻击者利用来绕过安全限制。
OAuth 功能的安全性：OAuth 授权流程需要严格的安全措施，因为它可能被用来重定向到恶意 URL，从而导致安全漏洞。
安全研究的重要性：通过对 Electron 应用的安全研究，可以发现和修复潜在的安全漏洞，从而提高应用的安全性。

sy64

https://www.horizon3.ai/attack-research/attack-blogs/ivanti-endpoint-manager-multiple-credential-coercion-vulnerabilities/

总结

Horizon3.ai Attack Team 在 2024 年 10 月对 Ivanti Endpoint Manager (EPM) 进行了审计，发现了四个关键的凭证诱导漏洞，这些漏洞允许未认证攻击者通过中继攻击泄露 EPM 服务器的凭证，可能导致服务器被破坏。这些漏洞在 Ivanti 2025 年 1 月的补丁更新中得到了修复。

摘要

Horizon3.ai Attack Team 在 2024 年 10 月对 Ivanti Endpoint Manager (EPM) 进行了审计，发现了四个关键的凭证诱导漏洞。这些漏洞分别是 CVE-2024-10811、CVE-2024-13161、CVE-2024-13160 和 CVE-2024-13159。这些漏洞存在于 C:\Program Files\LANDesk\ManagementSuite\WSVulnerabilityCore.dll 中，属于 LANDesk.ManamgementSuite.WSVulnerabilityCore 命名空间下的 VulCore 类提供的 API 中。这些 API 涉及端点管理的漏洞管理功能。攻击者可以通过构造特定的输入参数，使 EPM 服务器连接到远程 UNC 路径，从而实现凭证中继攻击，可能导致服务器被破坏。这些漏洞的修复补丁在 Ivanti 2025 年 1 月的补丁更新中发布。Horizon3.ai 提供了一个 GitHub 上的证明概念 (PoC) 利用代码，以及使用 ntlmrelayx.py 工具进行凭证中继的攻击场景示例。Horizon3.ai 还提供了 NodeZero 服务，帮助客户检查这些漏洞的影响和可利用性。Horizon3.ai 鼓励客户和试用用户运行 NodeZero 操作，以确保他们的系统不容易受到攻击。披露时间线显示，Horizon3.ai 于 2024 年 10 月 15 日向 Ivanti 报告了这些漏洞，Ivanti 于次日确认收到，并于 2025 年 1 月 13 日发布了修复补丁，最终在 2025 年 2 月 19 日公开披露了这些漏洞 -citation-2] .

观点

Ivanti Endpoint Manager (EPM) 存在四个严重的凭证诱导漏洞，允许未认证攻击者通过中继攻击利用这些漏洞，可能导致服务器被破坏。
这些漏洞的根源在于 C:\Program Files\LANDesk\ManagementSuite\WSVulnerabilityCore.dll 文件中的 LANDesk.ManamgementSuite.WSVulnerabilityCore 命名空间下的 VulCore 类提供的 API。
攻击者可以通过构造特定的输入参数，使 EPM 服务器连接到远程 UNC 路径，进而实现凭证中继攻击。
Ivanti 于 2025 年 1 月发布了修复这些漏洞的补丁更新。
Horizon3.ai Attack Team 提供了一个 GitHub 上的 PoC 利用代码，展示了如何利用这些漏洞。
通过 ntlmrelayx.py 工具的示例，Horizon3.ai 展示了攻击者如何通过中继技术来添加机器账户或获取委派管理员访问权限。
Horizon3.ai 的 NodeZero 服务可以帮助客户检查他们的系统是否容易受到这些漏洞的攻击，并提供了免费试用以验证系统的安全性。
披露时间线显示了从发现漏洞到公开披露的整个过程，展示了负责任的披露实践。

总结

网页主要介绍了CVE-2024-12356，一种严重的远程代码执行漏洞，该漏洞影响BeyondTrust的Privileged Remote Access（PRA）和Remote Support（RS）产品，攻击者可以利用该漏洞在不需要认证的情况下执行任意代码，该漏洞已被用于攻击，并被列入了CISA的已知利用漏洞目录。

摘要

CVE-2024-12356是一种在2024年12月17日被发现并公开的严重漏洞，影响BeyondTrust的PRA和RS产品。该漏洞被评定为攻击者价值非常高，易于利用，且不需要用户交互即可在网络范围内执行代码。该漏洞允许攻击者通过注入命令来执行任意代码，这可能导致攻击者获得企业网络中的特权位置，进而进行横向移动。该漏洞已被用于攻击，包括针对美国财政部的高级持续性威胁（APT）活动，该活动被认为是由中国国家支持的攻击者进行的。

Rapid7对该漏洞进行了深入分析，并发现了一个新的PostgreSQL漏洞（CVE-2025-1094），该漏洞允许SQL语句中的不受信任的输入生成SQL注入。Rapid7还开发了一个Metasploit模块，用于检测和利用该漏洞。BeyondTrust已经发布了修复程序，鼓励客户尽快应用该补丁。

观点

CVE-2024-12356是一种严重的远程代码执行漏洞，对BeyondTrust的PRA和RS产品构成威胁。
该漏洞的攻击者价值非常高，因为它允许攻击者在不需要认证的情况下执行任意代码。
漏洞利用不需要用户交互，且攻击范围为网络，这使得该漏洞特别危险。
该漏洞已被用于针对美国财政部的攻击，这表明该漏洞已被用于高级威胁活动。
Rapid7的分析揭示了一个新的PostgreSQL漏洞（CVE-2025-1094），该漏洞与CVE-2024-12356相关联，并且可以单独利用。
已经为CVE-2024-12356和CVE-2025-1094开发了Metasploit模块，以便检测和利用这些漏洞。
BeyondTrust提供了修复程序来防止该漏洞的利用，客户应立即应用这些补丁。

sy64

https://www.mannulinux.org/2025/02/Curious-case-of-AD-CS-ESC15-vulnerable-instance-and-its-manual-exploitation.html

总结

网页主要介绍了如何手动利用 AD CS ESC15 漏洞，即在域用户拥有 Web 服务器模板注册权限的情况下，通过 Windows 证书注册向导手动创建和提交证书请求，并最终获取证书。

摘要

文章首先提到了作者在与 Dominic 先生交谈时了解到 TrustedSec 团队发现的 AD CS ESC15 漏洞。在进行内部基础设施渗透测试时，作者遇到了几个挑战：域用户组（而非域计算机组）拥有 Web 服务器证书模板的注册权限，AD CS RPC 端点与顾问机器之间存在防火墙隔离，以及 AD CS Web 注册界面未启用。为了利用这一漏洞，作者决定使用 Windows certreq 二进制文件和 INF 文件来创建并提交证书请求。具体步骤包括生成证书签名请求 (CSR)、提交 CSR 到 AD 证书颁发机构 (CA)、安装并提取证书，以及最终以 PFX 格式导出证书及其私钥。文章还提到了使用 CertiPy 或 PasstheCert 工具进一步利用证书。最后，作者感谢了参与讨论和支持的同事和团队成员。

观点

AD CS ESC15 漏洞可以在域用户拥有相应注册权限时被利用，这一点在文部基础设施渗透测试中得到了验证。
利用漏洞面临的挑战包括域用户组的权限问题、防火墙限制以及 Web 注册界面未启用的情况。
通过使用 Windows certreq 二进制文件和 INF 文件，可以手动创建并提交证书请求，即使在 Web 服务器模板不可见的情况下。
证书颁发机构的地址可以通过 certutil 命令查找，然后将 CSR 文件提交给 CA。
成功提交 CSR 并从 CA 获取证书后，可以通过 certutil 命令提取证书指纹并以 PFX 格式导出证书及其私钥。
所请求的证书的详细信息，如主体备用名称和应用程序策略扩展的属性，可以通过 certutil 命令进行验证。
作者特别感谢了 Dominic 先生、Matt Johnson、Alessendro、Konsta bhai ji 等人的指导和支持，以及 MDSec 团队和其他同事的帮助。

sy64

https://www.praetorian.com/blog/leveraging-microsoft-text-services-framework-tsf-for-red-team-operations

总结

Praetorian Labs 团队发现了利用 Microsoft Text Services Framework (TSF) 实现红队操作中的新型持久化机制。

摘要

Praetorian Labs 团队在寻找用于红队行动的新型和未记录的持久化机制时，专注于通过 HKCU 修改实现用户级别、无需管理员权限的隐蔽持久化技术。尽管他们发现了一个有趣的持久化技术，但该方法需要管理员权限来注册新的 TSF 插件。TSF 插件通过 COM 对象注册，可以在使用文本输入时执行，从而实现隐蔽的持久化。TSF 是 Windows 文本输入处理的核心部分，支持输入法、手写识别和语音识别等功能。攻击者可以通过修改注册表项来注册一个恶意的 TSF 文本服务，实现在任何使用 TSF 的进程中注入代码的持久化。这种技术可以针对如 msedge.exe、chrome.exe、firefox.exe 等高价值目标进程进行有效的持久化攻击。攻击者可以通过将恶意 DLL 放置在合适的目录、模仿合法服务、代码注入和混淆等手段来实现代码执行和逃避检测。这种利用 TSF 的持久化方法为红队提供了一种低调、难以检测的维持对目标系统的访问权限的方法。

观点

TSF 是 Windows 文本输入处理的核心部分，支持输入法、手写识别和语音识别等功能，因此具有高权限，非常适合用于持久化机制。
通过注册恶意的 TSF 文本服务，可以在任何使用 TSF 的进程中注入代码，实现持久化。
TSF 插件需要通过管理员权限来注册，这限制了该持久化技术的使用。
TSF 持久化技术可以针对高价值目标进程进行攻击，尤其是那些频繁与 TSF 交互的进程，如浏览器和任务管理器等。
攻击者可以通过将恶意 DLL 放置在 System32、SysWOW64 或用户的 AppData 目录等合适的位置来确保执行和逃避检测。
为了逃避安全工具的检测，攻击者可以采取模仿合法服务、代码注入和混淆、签名恶意 DLL 文件等措施。
利用 TSF 进行持久化的方法为红队提供了一种低调且难以检测的维持对目标系统的访问权限的方法，同时也为防御者提供了洞察力，帮助他们加固检测策略。

请注意，由于原文中的 data-citation 属性在提供的内容中并未包含具体的索引号码，因此在引用源时，我无法提供具体的。如果需要具体的引用源，请提供包含 data-citation 属性的完整内容。

sy64

https://deepstrike.io/blog/what-is-http-request-smuggling

总结

网页主要介绍了 HTTP 请求走私的概念、工作原理、风险、检测、预防和缓解策略，并详细说明了不同类型的请求走私攻击以及攻击者如何利用这些攻击。

摘要

HTTP 请求走私是一种 Web 攻击，它利用了前端和后端服务器对 HTTP 请求长度解释不一致的差异。文章首先介绍了前端服务器的概念，包括负载均衡器、反向代理服务器、内容分发网络 (CDN) 和 Web 应用程序防火墙 (WAF) 等关键组件。接着详细解释了 HTTP/1.1 中处理请求长度的两种方式：Content-Length 标头和 Transfer-Encoding 标头。文章指出，这两个标头的误用可能导致 HTTP 请求走私。

HTTP 请求走私的类型包括 CL.TE、TE.CL、TE.TE 和 CL.0/TE.0，每种类型都代表了前端和后端服务器处理请求长度的不同方式。攻击者通过在单个 HTTP 请求中添加这两种标头，导致前端和后端服务器之间的不同步，从而实现攻击。

攻击者可以通过请求走私攻击实现多种利用方式，包括打开重定向、绕过前端控制、升级自身/反射型 XSS、窃取用户请求和响应队列中毒。这些攻击可能导致未经授权的访问、请求中毒，甚至服务器端请求伪造。

最后，文章提供了一些缓解请求走私攻击的建议，包括规范化传入请求、阻止模糊标头和使用单一 HTTP 解析标准，以确保基础设施的安全性。

观点

HTTP 请求走私是一种利用前端和后端服务器对 HTTP 请求长度解释不一致的攻击方式。
前端服务器的关键组件，如负载均衡器、反向代理服务器、CDN 和 WAF，在保护 Web 应用程序免受攻击时发挥着重要作用。
Content-Length 和 Transfer-Encoding 标头的不当使用是导致 HTTP 请求走私的主要原因。
HTTP 请求走私的类型（如 CL.TE、TE.CL、TE.TE 和 CL.0/TE.0）反映了不同的服务器解析策略和潜在的攻击向量。
请求走私攻击可以被用于打开重定向、绕过前端控制、升级 XSS 攻击、窃取用户请求和响应队列中毒等多种方式。
为了缓解请求走私攻击，需要采取一致的 HTTP 解析标准，并对传入请求进行规范化处理，以及阻止含有模糊标头的请求。

sy64

https://zolder.io/blog/phishing-for-refresh-tokens/

总结

网页主要介绍了如何通过AiTM（Adversary-in-the-Middle）攻击手段，利用修改过的EvilGinx phislet来直接捕获OAuth 2.0授权码流程中的访问令牌和刷新令牌，并提供了检测这种攻击的方法。

摘要

网页详细说明了OAuth 2.0授权码流程在Azure AD环境下的应用，以及如何通过AiTM攻击来获取访问令牌和刷新令牌。作者Dirk-jan在“Offensive Entra ID (Azure AD) and hybrid AD security”培训中演示了使用修改的EvilGinx phislet进行直接AiTM攻击，获取访问和刷新令牌的方法。Wesley发布的“Building an AITM attack tool in Cloudflare Workers (174 LOC)”为攻击工具的构建提供了基础。攻击者通过模拟OAuth 2.0授权码流程的前三步，在用户获得授权码后窃取该码，并利用它从“/oauth2/token”端点交换访问和刷新令牌。攻击者将用户重定向到portal.office.com，而用户通常不会察觉到攻击。此外，攻击者可以使用roadtx工具更换客户端和资源，例如从Microsoft Teams客户端切换到Microsoft Azur Powershell和DevOps资源。最后，网页提供了检测AiTMWorker的方法，包括监控来自Cloudflare IP地址的登录尝试和异常的用户代理字符串。

观点

OAuth 2.0授权码流程常用于需要访问Microsoft资源（如MSGraph、OneDrive）的后端服务的同意过程，同时也适用于M365原生应用。
通过AiTM攻击，攻击者可以直接窃取授权码，并将其交换为访问和刷新令牌，而不是之前的方法，即窃取ESTS cookies并稍后进行替换。
攻击者可以利用Microsoft Teams客户端的client id来访问多达64个不同的资源，包括MSGraph、OneDrive、Exchange和Teams，从而实现对其他客户端和资源的跳转。
提供了一个简短的演示视频，展示了Cloudflare Workers中的AiTM攻击工具的运作方式。
源代码已添加到原始AiTMWorker存储库的另一个版本中，专注于此方法，但它绝非生产就绪，仅作为概念验证（POC）。
检测AiTMWorker的方法包括监控Cloudflare IP地址范围内的登录尝试，以及检测移动应用或桌面客户端显示的浏览器样式用户代理字符串。

sy64

https://zolder.io/blog/devops-access-is-closer-than-you-assume/

总结

网页主要介绍了如何利用 Azure DevOps 中的多个第一方客户端 ID 来访问存储库，揭示了即使在配置了条件访问策略的情况下，攻击者仍然可以通过窃取开发人员的会话或 cookie 来获取对 DevOps 资源的未授权访问权限。

摘要

网页详细描述了 Zolder 在进行 Azure 评估时，对于如何通过 Azure DevOps 进行攻击的发现。作者首先提到了 Attic 解决方案的安全性，并指出通过 Azure DevOps 进行攻击比其他方法更为容易，同时可以绕过监控规则和蜜罐。随后，作者通过参加 Outsider Security 的培训，了解到可以通过客户端 ID 系列 (FOCI) 在客户端之间切换，这为访问 Azure DevOps 提供了可能性。

接下来，文章介绍了如何使用 Python 脚本自动识别有权访问 Azure DevOps 的 Azure AD 客户端，并列出了一些可以访问 Azure DevOPS 的 Foci 客户端，如微软 Azure CLI、微软 Azure PowerShell 等。作者还演示了如何通过 MS Authenticator 进行设备代码钓鱼，以及如何使用获取的访问令牌创建 PAT 令牌，从而访问存储库而不受条件访问的限制。

最后，文章提供了一些减轻风险的建议，如实施带有 IP 过滤器的条件访问规则，并强调了 DevOps 环境的安全性对于组织来说的重要性。此外，作者还分享了一些在不知道组织名称的情况下检索 DevOps API 调用所需信息的技巧。

观点

Azure DevOps 的安全性可能被低估，因为攻击者可以通过合法的客户端 ID 来访问存储库，这比直接攻击后端 API 更为容易，并且可以绕过监控和安全措施。
通过 FOCI 客户端 ID 系列，攻击者可以在客户端之间切换，从而可能获得对 DevOps 资源的访问权限。
利用 Python 脚本，可以自动识别哪些 Azure AD 客户端有权访问 Azure DevOps，这为攻击者提供了一种方便的手段来识别可以利用的客户端。
攻击者可以通过网络钓鱼或窃取 cookie 来获取对 DevOps 的访问权限，并且可以创建 PAT 令牌来进一步访问存储库，而不受条件访问的限制。
组织应该采取措施来防范设备代码钓鱼攻击，并为 DevOps 实施更严格的条件访问规则，特别是使用 IP 过滤器，以防止未授权的访问。
DevOps 环境的安全性至关重要，因为它可能成为攻击者获取身份并进一步攻击生产系统的跳板。
即使在没有组织名称的情况下，攻击者也可以通过 DevOps API 调用来检索用户的组织名称和相关存储库信息。

sy64

https://cellularsecurity.org/ransacked

总结

佛罗里达网络安全研究所在 LTE/5G 核心基础设施中发现了 119 个漏洞，这些漏洞可能导致大规模城市蜂窝服务中断，并且部分漏洞允许远程入侵和访问蜂窝核心。

摘要

佛罗里达网络安全研究所在七种 LTE 实现和三种 5G 实现中发现了 119 个漏洞，这些漏洞存在于开源和商业环境中的维护良好的软件中。这些漏洞的发现影响了蜂窝服务的可用性和可靠性，可能导致整个城市地区或城市的蜂窝服务持续被拒绝，并且可以被用于远程入侵和访问蜂窝核心。研究涵盖了影响、威胁模型、漏洞分析、以及漏洞披露流程。其中，漏洞分析部分详细描述了每个漏洞的原因，并提供了精确位置和条件的代码列表。受影响的实现包括 Open5GS、Magma、OpenAirInterface、Athonet、SD-Core、NextEPC 和 srsRAN。研究人员已经联系了每个受影响的蜂窝核心的维护者，并遵循最佳实践，在披露之前至少留出 90 天的时间进行内部修补。

观点

在 LTE/5G 核心基础设施中存在多个安全漏洞，这些漏洞可能导致蜂窝服务的拒绝服务攻击，甚至允许远程入侵。
这些漏洞分布在多个实现中，包括开源和商业软件，表明无论是开源社区还是商业软件厂商都需要加强安全审查。
研究人员采取了谨慎的披露流程，确保在公开漏洞之前，维护者有足够的时间进行修补，这有助于减轻漏洞对网络安全的影响。
漏洞的存在不仅影响到单个网络运营商，而是可能对整个城市的通信稳定性造成威胁，这强调了在部署新技术时进行全面安全评估的重要性。
通过分析具体的漏洞实例，如 OpenAirInterface 中的 NGAP 协议漏洞和 Magma/OpenAir 接口中的 NAS 协议漏洞，可以看到漏洞可能以不同的方式影响网络安全，包括缓冲区溢出、未初始化的内存访问和断言失败等。,
研究还揭示了不同协议（如 NAS、NGAP 和 GTP）中的漏洞，这表明在移动通信网络中，多个层次和协议都需要进行安全性分析和测试。

sy64

https://www.onewayhandshake.com/seeing-red/

总结

网页主要介绍了渗透测试和红队在网络安全中的重要性，以及通过OSCP、CRTO、ODPC和CRTO 2等认证来提升专业技能的途径和考虑因素。

摘要

网页详细介绍了四种网络安全认证的课程和考试，以及它们的优缺点。OSCP认证专注于基础的渗透测试技能，强调实践和自我学习。CRTO课程则更侧重于基于Windows环境的红队技能，特别是对手模拟和红队训练。ODPC认证进一步专注于进攻性开发，教授学生如何构建自定义工具和有效载荷。CRTO 2是CRTO的进阶课程，涉及更高级的红队战术和绕过方法。此外，网页还强调了技术写作技能的重要性，以及随着云服务的普及，对云环境安全知识的需求增加。最后，提到了Xintra的“攻击和防御Azure/M365”课程，旨在教授如何保护和破坏Microsoft云生态系统。

观点

OSCP认证被认为是有抱负的渗透测试人员的基础认证，强调实践和自我学习。
CRTO课程专注于基于Windows的对手模拟，提供实用的攻击方法和实能，适用于现代Windows安全措施。
ODPC认证强调攻击工具的开发，要求学生具备编码能力，以适应现代企业环境的高级防御措施。
CRTO 2课程是对CRTO的进一步深化，教授更复杂、隐蔽的红队战术，以应对防御严密的Windows基础设施。
随着云服务的普及，对于云环境安全知识的需求增加，特别是对Azure AD和Microsoft 365的攻击和防御技能。
技术写作技能对于网络安全从业者来说至关重要，能够影响个人在行业中的表现。
-

sy64

https://blog.talosintelligence.com/salt-typhoon-analysis/

威胁行为者通过窃取合法的登录凭证来获取初始访问权限，并能够在多个设备供应商的网络设备上长期持续存在。威胁行为者使用了 living-off-the-land (LOTL) 技术，主要针对电信行业，但建议所有基础设施防御者也应考虑其中的建议。在这次活动中，并未发现新的 Cisco 漏洞，但威胁行为者尝试利用已知的 Cisco 漏洞，强调了修补这些漏洞的重要性。

威胁行为者使用合法凭证进行了广泛的活动，包括获取网络设备配置、破解弱密码、捕获 SNMP、TACACS 和 RADIUS 流量，以及修改设备配置和 Shell 访问。他们还进行了数据包捕获，使用了如 Tcpdump、Tpacap 和嵌入式数据包捕获 (EPC) 等工具。威胁行为者还使用了一种名为 JumbledPath 的自定义工具来执行数据包捕获，并试图通过清除日志和破坏日志记录来隐藏其活动。

sy64

https://threatresearch.ext.hp.com/reviewing-zero-day-vulnerabilities-exploited-in-malware-campaigns-in-2024/

总结

2024年，零日漏洞的利用在恶意软件活动中占据了重要地位，攻击者通过利用流行软件和操作系统中的漏洞，特别是Windows操作系统和Web浏览器如Google Chrome和Mozilla Firefox，来感染端点。

摘要

2024年，美国网络安全和基础设施安全局（CISA）发现了来自43家供应商的116个新的被广泛利用的漏洞，其中包括28个针对Microsoft Windows操作系统的漏洞。攻击者利用恶意制作的Internet快捷方式文件（.URL）和Windows中的MSHTML组件漏洞（CVE-2024-38112）传播信息窃取恶意软件。同年，Google Chrome中的7个零日漏洞被积极利用，其中CVE-2024-4947是一个被利用的漏洞，攻击者通过诱骗用户访问恶意网站来感染端点。此外，攻击者还将Mozilla Firefox中的一个零日漏洞（CVE-2024-9680）与Windows沙盒逃逸漏洞（CVE-2024-49039）结合使用，以在端点上安装持久性恶意软件。这些漏洞的利用通常几乎不需要用户交互，因此对攻击者来说是一种有吸引力的感染方法。为了应对这些威胁，组织需要减少攻击面，并通过隔离策略来限制攻击者访问敏感数据和应用程序的能力。HP Wolf Security提供了基于HP Sure Click Enterprise和HP Wolf Pro Security的威胁遏制解决方案，以通过强隔离来保护端点免受零日漏洞和恶意软件的感染。-

观点

零日漏洞的利用是2024年恶意软件活动中的一个重要趋势。攻击者通过利用这些漏洞来攻击端点，这些漏洞存在于广泛使用的软件和操作系统中，尤其是Windows操作系统和Web浏览器。
Windows操作系统是攻击者的主要目标。由于其在桌面操作系统市场上的高占有率，Windows生态系统成为了攻击者的诱人目标。
Web浏览器的漏洞被用于传播恶意软件。通过诱骗用户访问恶意网站或利用浏览器漏洞，攻击者能够在受害者的设备上运行代码来传播恶意软件。
零日漏洞利用通常几乎不需要用户交互，这使得这些漏洞对攻击者来说特别有吸引力。
为了应对零日漏洞的威胁，组织需要采取减少攻击面和隔离策略的措施。这包括将不受信任的内容隔离在微型虚拟机容器内，以防止漏洞和恶意软件感染主机系统。

sy64

https://www.rapid7.com/blog/post/2025/02/14/xerox-versalink-c7025-multifunction-printer-pass-back-attack-vulnerabilities-fixed/

总结

Rapid7 发现并报告了 Xerox Versalink C7025 多功能打印机中的回传攻击漏洞，并提供了修复建议和披露时间表。

摘要

Rapid7 首席物联网研究员 Deral Heiland 在安全测试期间发现了 Xerox Versalink C7025 多功能打印机 (MFP) 容易受到的回传攻击漏洞。这些漏洞包括 LDAP 回传漏洞 (CVE-2024-12510) 和 SMB/FTP 回传漏洞 (CVE-2024-12511)，影响的产品包括施乐 Versalink MFP，固件版本为 57.69.91 及更早版本。攻击者可以通过这些漏洞更改 MFP 配置，导致 MFP 设备将身份验证凭据发送回攻击者控制的系统。Rapid7 提供了详细的漏洞利用和修复指南，强调升级到最新修补版本的固件以解决此问题。如果无法立即修补，建议设置复杂密码并避免使用提升权限的 Windows 身份验证帐户。漏洞的披露是在与供应商的协调下进行的，涉及多个月的交流和测试，最终在 2025 年 2 月 14 日公开。

观点

Xerox Versalink C7025 多功能打印机存在两个严重的回传攻击漏洞，分别是 LDAP 回传漏洞和 SMB/FTP 回传漏洞。这些漏洞可能导致攻击者窃取 Windows Active Directory 的凭据，并在组织环境中进行横向移动，破坏关键的 Windows 服务器和文件系统。, ,
Rapid7 提供了详细的漏洞利用和修复指南，包括如何通过更改 LDAP 服务的 IP 地址和修改用户地址簿配置来利用这些漏洞，以及如何通过升级固件版本来修复。, , ,
漏洞的披露是在与供应商的紧密协作下进行的，从 2024 年 3 月开始，经过多轮沟通和补丁测试，最终在 2025 年 2 月 14 日公开披露。
如果无法立即修补，建议采取一系列缓解措施，如为管理员帐户设置复杂密码，避免使用具有提升权限的 Windows 身份验证帐户，以及避免为未经身份验证的用户启用远程控制台。

sy64

https://www.landh.tech/blog/20250211-hack-supply-chain-for-50k/

总结

Roni Carta 和 Snorlhax 通过对软件供应链的攻击，成功利用 Docker 镜像中的漏洞，获取了价值 50,500 美元的漏洞赏金。

摘要

Roni Carta 和 Snorlhax 是一对 Bug Bounty Hunting 的合作伙伴，他们通过对一个大型公司新收购子公司的软件供应链进行侦察和攻击，发现了一个严重的漏洞。他们的策略是利用收购时常见的安全不足，特别是在新收购的子公司中寻找漏洞。通过分析子公司的前端应用程序、GitHub 搜索、DockerHub 组织和 Docker 镜像，他们找到了后端源代码和敏感信息，包括一个有效的 GitHub Actions 令牌 (GHS)。这个令牌允许他们操纵管道、注入恶意代码或篡改工件。他们还发现了一个私有 npm 令牌，这意味着他们可以控制私有软件包的发布，从而影响整个软件供应链，包括本地开发、CI/CD 流程和生产服务器。最终，他们向公司的安全团队展示了这一漏洞的严重影响，并获得了 50,500 美元的赏金。

观点

了解目标的业务攻击面至关重要。 收购的子公司往往成为安全漏洞的来源，因为它们可能没有遵循与母公司相同的安全标准。
软件供应链攻击可能比直接攻击公开内容更有效。 通过攻击供应链中的资产和服务，如代码库、管道、依赖项和注册表，可以在代码投入生产之前就对其进行破坏。
合作可以提高漏洞发现的效率和效果。 Roni Carta 和 Snorlhax 通过合作，共同识别了目标上的各种错误类别，这种合作持续了数年。
Docker 镜像可能包含敏感信息，如源代码和授权令牌。 Dockerfile 和 CI/CD 工作流紧密交织，可能导致.git/文件夹或敏感的环境变量被不小心包含在 Docker 镜像中。
GitHub Actions 令牌的泄露可能导致严重的安全风险。 如果攻击者在工作流结束之前获取了这些令牌，他们可以利用它们来修改代码、篡改发布或访问其他私有存储库。
私有 npm 令牌的泄露可以允许攻击者对私有软件包进行后门攻击。 这可能会影响整个软件供应链，包括开发人员的本地环境、CI/CD 管道和生产环境。
监控和日志记录对于捕获供应链攻击至关重要。 由于缺乏适当的监控，攻击者可能会在不被检测到的情况下渗透到 npm 级别，从而影响整个基础设施。
软件供应链的安全性需要从根本上保护每一层。 不仅要保护发布的代码，还要保护构建过程的每一层以及开发人员从外部来源获取的每个工件。

sy64

https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger

总结

Google 威胁情报小组发现，与俄罗斯政府结盟的威胁行为者正试图利用 Signal Messenger 的“链接设备”功能，通过网络钓鱼和近距离访问等手段，窃取俄罗斯情报部门感兴趣的个人的消息数据。

摘要

Google 威胁情报小组（GTIG）在2025年2月19日的报告中指出，多个与俄罗斯联盟的威胁行为者，如APT44（又称Sandworm或Seashell Blizzard）、UNC5792和UNC4221，正积极针对Signal Messenger进行攻击。这些攻击包括滥用Signal的“链接设备”功能，通过恶意QR码和虚假群组邀请等手段，将目标的Signal账户与攻击者控制的设备链接，以实时窃听受害者的消息。此外，还发现了针对Signal的网络钓鱼工具包，如模仿乌克兰军事应用的钓鱼页面，以及用于窃取Signal数据库的Windows批处理脚本和Android恶意软件。Google警告这些策略和方法可能会扩展到其他威胁行为者和地区，并提醒用户更新到最新版本的Signal，以及采取一系列安全措施来保护个人设备免受入侵。

观点

威胁行为者利用Signal Messenger的安全性特性进行网络钓鱼和近距离访问操作，以窃取敏感信息。
这些攻击手段不仅限于Signal，还可能扩展到其他消息应用程序，如WhatsApp和Telegram。
Google呼吁公众提高警惕，采取包括使用复杂密码、启用屏幕锁定、及时安装操作系统和应用更新等安全措施来保护自己。
针对Signal的攻击可能与俄罗斯对乌克兰的军事行动有关，目标包括军事人员、政客、记者和活动家等高危群体。
Google威胁情报小组通过发布攻击指标（IOC）和分享威胁情报，帮助组织和个人识别和防御这些网络威胁。