2 CVE Vulnerabilities

sy64

https://www.outflank.nl/blog/2025/02/03/secure-enclaves-for-offensive-operations-part-i/

本文介绍了基于虚拟化的安全（VBS） enclave及其在Windows系统攻击性操作中的应用。VBS enclave提供软件型可信执行环境（TEE），其内存区域相互隔离，仅 enclave 内的代码才能访问 enclave 内的数据。攻击者可利用 enclave 安全存储和处理数据，在防御者难以检测的区域嵌入恶意代码或逻辑，从而躲避EDR检测。文章详细讲解了VBS enclave 的架构、工作原理及生命周期，包括 enclave 宿主应用和 enclave DLL 的交互方式。开发和调试 enclave 需要生产签名和特殊调试标志。文章还探讨了利用现有 enclave API 和 DLL（例如SFAPE.dll）进行攻击的可能性，并提及后续文章将深入探讨高级攻击技术，包括操控已签名 enclave DLL 和利用 enclave API 实现隐蔽的防御规避和植入隐藏。

sy64

https://socradar.io/top-10-vpn-vulnerabilities-2022-h1-2024/
根据网页内容，以下是 2022 年至 2024 年上半年期间的一些具体的 VPN 漏洞 CVE 编号：

CVE-2024-24919 - Check Point Quantum Gateway/Spark Gateway/CloudGuard Network 远程访问 VPN 中的信息泄露。
CVE-2024-21762 - Fortinet FortiOS 7.4.2 及以上版本 SSL-VPN 中的越界写入。
CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect 中的命令注入。
CVE-2023-27997 - Fortinet FortiOS/FortiProxy FortiGate SSL-VPN 中的基于堆的溢出。
CVE-2022-42475 - FortiOS FortiOS SSL-VPN/FortiProxy SSL-VPN 请求中的基于堆的溢出。
CVE-2023-46805 和 CVE-2024-21887 - Ivanti Connect Secure/Policy Secure Web 中的不当身份验证和命令注入。
CVE-2023-28771 - Zyxel USG/USG FLEX/VPN/ATP 错误消息 OS 命令注入。
CVE-2023-20073 - Cisco RV340/RV340W/RV345/RV345P 中的无限制上传。
CVE-2023-46850 - OpenVPN/OpenVPN 访问服务器中的 Use After Free。
CVE-2022-43931 - Synology VPN Plus Server 远程桌面中的越界写入。

这些 CVE 编号代表了一些高风险的安全漏洞，其中包括了信息泄露、越界写入、命令注入、基于堆的溢出和 Use After Free 等问题。

sy64

https://github.com/AlrikRr/Cisco-Smart-Exploit

Cisco SmartInstall 漏洞 [CVE-2018-0171]

https://web.archive.org/web/20180404224411/https://embedi.com/blog/cisco-smart-install-remote-code-execution/

https://bond-o.medium.com/cisco-smart-install-rce-d0cb58e752c0

https://github.com/axcheron/cisco_pwdecrypt

https://github.com/hellowenying/CVE2018-0171

https://github.com/rikosintie/SmartInstall

https://github.com/frostbits-security/SIET

Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能，在TCP端口4786上运行的Cisco专用协议，若设备启用了Smart Install功能且对外开放4786端口，攻击者就可通过发送畸形Smart Install报文来利用此漏洞，使得设备缓冲区溢出，导致拒绝服务乃至远程代码执行等后果。

https://bond-o.medium.com/cisco-snmp-secrets-e4b731b19737
UDP 端口 161
使用 Hydra 使用 SecLists snmp-community-strings.txt单词表对目标执行 SNMP 暴力攻击

https://www.anquanke.com/post/id/105473

sy64

https://www.cisa.gov/sites/default/files/2024-04/CSRB_Review_of_the_Summer_2023_MEO_Intrusion_Final_508c.pdf

2023年夏季微软Exchange Online入侵事件回顾

sy64

https://samcurry.net/hacking-subaru

sy64

https://retr0.blog/blog/llama-rpc-rce

总结

网页主要介绍了如何通过利用 Llama.cpp 中的堆溢出漏洞，实现远程代码执行（RCE）的详细技术过程。

摘要

网页详细记录了 Patrick Peng 对 Llama.cpp 中 Heap Maze 的研究和探索。作者在前言中提到，他花了大约 30 小时来研究堆溢出到远程代码执行的过程，并在此之前花费了两周时间研究 Llama.cpp 的 RPC & 内存实现。作者强调，由于 Llama.cpp 拥有独特的堆管理系统，传统的 ptmalloc 堆漏洞利用方法在这里失效，需要开发新的利用策略。文章接着详细介绍了 Llama.cpp 的 RPC 功能、Tensor 和 buffer 结构体、以及过去的安全漏洞修复。作者描述了如何通过 heap-overflow 漏洞利用 Llama.cpp 的特殊功能，以及如何绕过之前实施的多层次安全检查。他还详细解释了如何通过 partial-write 技术和结构化编程来构造信息泄露，以及如何最终实现 RCE。最后，作者提供了一个实际的利用代码示例，展示了如何在实际环境中执行这个复杂的利用链。

观点

Llama.cpp 的堆管理系统与标准的 ptmalloc 系统有显著不同，这使得传统的堆漏洞利用方法在这里不再适用。
即使在实施了严格的安全检查和修复之后，Llama.cpp 的 RPC 功能仍然存在漏洞，可以通过精心设计的请求来利用。
通过对 Llama.cpp 的深入分析，作者发现了一个 heap-overflow 漏洞，该漏洞可以通过特定的方法转化为远程代码执行。
利用 Llama.cpp 的特殊内存管理特性，可以通过 partial-write 技术来构造信息泄露，从而获取到关键的内存地址信息。
通过结构化编程和精心设计的堆布局，可以绕过安全检查，实现对执行流程的控制，最终达到远程代码执行的目的。
作者通过实际的利用代码示例，证明了他的研究成果是可行的，并展示了如何在实际环境中执行这个复杂的利用链。

sy64

https://xphantom.nl/posts/Offensive-Security-Lab/

总结

本文主要介绍了如何使用 Ludus 工具搭建和管理一个专门用于进行攻防实践的安全实验室。

摘要

文章首先介绍了 Ludus 工具的优势，强调了其简化实验室搭建和管理的能力，并提供了硬件推荐。接下来，作者分享了自己使用 Debian 12 安装 Ludus 的经验，并指出了在安装过程中需要注意的点。文章详细说明了如何安装 Ludus、创建用户、获取 Proxmox 凭据以及如何访问 Proxmox 网页管理界面。

作者进一步阐述了如何使用模板来构建实验室环境，包括如何构建、监控和添加新的模板。文章特别介绍了如何使用 Game of Active Directory (GOAD) 来设置一个具有多个服务器和域控制器的活动目录环境。

在实验室设置部分，文章详细描述了如何修改配置文件以添加 Exchange 服务器、Windows 11 机器和 Kali 机器，以及如何设置 Wazuh XDR/SIEM 解决方案。作者还展示了如何使用 WireGuard 从任何地方连接到实验室，并提供了相应的配置步骤。

最后，作者总结了自己的经验，并建议根据实验室的复杂性调整硬件配置。文章还提供了一系列参考资源供读者进一步学习。

观点

Ludus 是一个简化搭建和管理安全实验室的工具，它支持模板和预建的实验室环境，使用 YAML 文件进行配置，便于定制和分享实验室环境。
在安装 Ludus 时，需要使用以太网连接，并确保安装 Debian 12 时启用了 SSH 服务器。
Ludus 提供了一系列的模板，可以用来快速部署虚拟机，并且支持添加新的模板来扩展实验室的功能。
GOAD 是一个可以快速搭建活动目录环境的工具，它支持多种环境配置，并且可以与 Ludus 集成使用。
实验室环境可以通过修改 YAML 配置文件来添加额外的服务，如 Exchange 服务器和 Wazuh XDR/SIEM 解决方案。
使用 WireGuard 可以安全地从远程位置连接到本地实验室环境，这需要在路由器上配置端口转发。
硬件资源对于运行复杂的实验室环境至关重要，建议根据实验室的需求选择合适的硬件配置。

参考资源：

Ludus 官方文档：https://docs.ludus.cloud/
Ludus 模板仓库：https://github.com/Croko-fr/ludus-templates
Ludus Ansible 角色仓库：https://github.com/ChoiSG/ludus_ansible_roles
Ludus AD 漏洞仓库：https://github.com/Primusinterp/ludus-ad-vulns
Ludus 范围仓库：https://github.com/jessefmoore/Ludus-Ranges/tree/main

sy64

https://www.assetnote.io/resources/research/why-nested-deserialization-is-harmful-magento-xxe-cve-2024-34102

https://sansec.io/research/cosmicsting

总结

网页主要介绍了 Magento 电子商务平台中的一个关键的 XML 外部实体注入漏洞（CVE-2024-34102），该漏洞允许未经身份验证的攻击者执行远程代码执行（RCE），并讨论了如何通过分析和调试来发现这一漏洞。

摘要

Magento 是互联网上最受欢迎的电子商务解决方案之一，截至 2023 年底，估计有超过 140,000 个实例在运行。Adobe 最近的 Magento 安全通知中指出了一个关键的、不需要身份验证的 XML 外部实体注入漏洞（CVE-2024-34102），评分为 CVSS 9.8。Assetnote 的安全研究团队发现，尽管漏洞的严重性很高，但当时并没有公开的利用证明。为了保护他们的攻击面管理平台客户免受潜在的利用，他们开发了一个 proof-of-concept（PoC）。该漏洞允许攻击者窃取 app/etc/env.php 文件，该文件包含用于生成 JWT 的加密密钥，进而可以操纵 Magento 的 API。此外，该漏洞可以与 PHP 过滤器链的最新研究结果（CVE-2024-2961）结合，导致远程代码执行（RCE）。XXE 漏洞的更广泛影响包括任何本地文件或远程 URL 的内容泄露。

Assetnote 讨论了漏洞的严重性，原始漏洞报告者 Sergey Temnikov 的工作，以及 SanSec 提出的紧急修复方案的多次更新。通过比较未修复和修复版本的 Magento，Assetnote 发现了该漏洞的关键线索。他们通过设置 Magento 开发环境并使用 XDebug 和 PhpStorm 进行调试，最终找到了可以利用的 SimpleXMLElement 实例化路径。他们详细描述了 Magento 的输入反序列化机制，以及如何通过构造函数和 setter 方法递归地实例化内部类。最终，他们成功地构造了一个可以控制参数的 SimpleXMLElement 实例，从而导致信息泄露。

观点

Magento XXE 漏洞（CVE-2024-34102）的严重性在于它允许攻击者窃取敏感的配置文件，并可能结合其他漏洞导致 RCE .
初始的紧急修复方案可能会被攻击者绕过，这表明在应急修复时，同行评审的重要性以及漏洞技术细节的公开至关重要 .
通过比较未修复和修复版本的 Magento，Assetnote 的研究团队发现了该漏洞的关键线索，并通过设置开发环境和调试代码来确定漏洞的利用路径 .
Magento 的输入反序列化机制，特别是其递归特性，为攻击者提供了一个巨大的攻击面，使得可以利用内部类的构造函数和 setter 方法来实现恶意操作 .
Assetnote 的研究团队最终通过构造一个包含可控参数的 SimpleXMLElement 实例来成功利用该漏洞，导致信息泄露 .

https://cside.dev/blog/new-ttps-in-stealing-pii-and-financial-information-from-magento-websites

sy64

https://xphantom.nl/posts/crypto-attack-jenkins/

总结

网页主要介绍了如何利用 CVE-2024-23897 漏洞在 Jenkins 中实现从有限的文件读取到完全访问的攻击过程。

摘要

文章首先介绍了 CVE-2024-23897 漏洞，这是一个存在于 Jenkins 中的严重漏洞，允许攻击者读取服务器上的任意文件，可能导致远程代码执行。该漏洞源于 args4j 库的问题，当参数以“@”字符开头时，该库会自动将文件内容扩展为命令参数。尽管该漏洞可能导致远程代码执行，但在线资源通常没有提供具体的技术细节和 POC。文章接着列举了实现远程代码执行的条件，包括资源根 URL、“记住我” Cookie 以及绕过 CSRF 保护等。在实际案例中，上述条件均未得到满足。文章还提到了读取二进制文件的限制，并指出即使能够访问如 $/credentials.xml 和 $/secrets/master.key 等文件，也无法单独解密凭证。攻击者需要结合 master.key、hudson.util.Secret 二进制文件和加密的凭证才能实现解密。由于 hudson.util.Secret 文件包含非打印字符，直接读取会遇到编码问题，文章提供了一种解决方法。此外，文章还分析了 UTF-8 编码中的替换字符 EF BF BD，并指出在不同编码环境下，替换字节会有所不同。最后，文章通过实例演示了如何分析加密文件、获取初始化向量 (IV) 和密文，并介绍了如何使用 Rust 代码进行暴力破解，以及如何验证破解结果的有效性。文章作者在 Macbook M1 Pro 上执行破解脚本，大约需要9到18分钟。文章最后提到了对漏洞警告的谨慎态度，强调了解决问题时要注意编码问题和潜在的误导。

观点

CVE-2024-23897 漏洞允许攻击者读取 Jenkins 服务器上的任意文件，可能导致远程代码执行，但在线资源通常没有提供具体的技术细节和 POC。
实现远程代码执行需要满足特定的条件，如资源根 URL、“记住我” Cookie 和绕过 CSRF 保护，但在文章中提到的案例中，这些条件均未满足。
即使能够访问 $/credentials.xml 和 $/secrets/master.key 等文件，也无法单独解密凭证，需要结合 master.key、hudson.util.Secret 和加密的凭证。
hudson.util.Secret 文件包含非打印字符，直接读取会遇到编码问题，需要使用特定的方法处理。
UTF-8 编码中的替换字符 EF BF BD 在不同编码环境下，替换字节会有所不同，这对于破解过程中的字节解析至关重要。
分析加密文件、获取初始化向量 (IV) 和密文是破解过程中的关键步骤。
使用 Rust 代码进行暴力破解时，可以通过检查解密后的文本是否以 ----- 开头来验证私钥的正确性。
在 Macbook M1 Pro 上执行破解脚本，大约需要9到18分钟，这表明破解过程是可行的，但也反映了破解的复杂性和时间成本。
对漏洞警告要谨慎，解决问题时要注意编码问题和潜在的误导。

sy64

https://research.checkpoint.com/2025/large-scale-exploitation-of-legacy-driver/

总结

Check Point Research 揭露了一场大规模的网络攻击活动，攻击者利用已知的、但未被Microsoft易受攻击驱动程序阻止列表识别的旧版 Truesight 驱动程序（版本 2.0.2）漏洞，来部署 EDR/AV 杀手模块，目的是绕过安全措施并在受害者系统上传播最终阶段的有效载荷，如 Gh0st RAT 变体。这一活动主要影响了中国地区的用户，其中约 75% 的受害者位于中国。

摘要

Check Point Research（CPR）发现了一场大规模的网络攻击活动，该活动利用了旧版 Truesight 驱动程序（版本 2.0.2）的漏洞。攻击者通过修改特定的 PE 部分，生成了 2,500 多个变体，这些变体虽然具有不同的哈希值，但仍保持有效的数字签名。这种攻击手法允许攻击者绕过 Windows 策略漏洞，该漏洞允许在最新版本的 Windows 操作系统上加载未被 Microsoft 易受攻击驱动程序阻止列表和常见检测机制识别的驱动程序。攻击者使用公共云中国区域的基础设施来托管有效载荷并操作其 C2 服务器。初始阶段的恶意样本充当下载器/加载器，通常伪装成知名应用程序，通过网络钓鱼方法分发，并与 EDR/AV 杀手模块一起，旨在让受感染的机器准备好传递最终阶段的有效载荷。CPR 将此问题报告给了 MSRC，导致了 Microsoft 易受攻击驱动程序阻止列表的更新，有效阻止了此次活动中利用的旧式驱动程序的所有变体。此外，CPR 还分享了关于攻击者如何利用旧版 Truesight 驱动程序绕过高级安全措施的技术细节，以及如何进一步逃避检测，包括操作系统中的文件哈希值变更和驱动程序的多个变体生成等。

观点

利用旧版驱动程序的漏洞：攻击者利用了 Truesight 驱动程序的已知漏洞，特别是版本 2.0.2，因为它未被 Microsoft 易受攻击驱动程序阻止列表识别，同时也绕过了 LOLDrivers 项目引常见检测机制。
逃避检测的技巧：攻击者通过修改 PE 文件的特定部分，生成了多个变体，同时保持签名有效，以逃避检测。
基础设施与受害者地域：攻击者使用公共云中国区域的基础设施，大约 75% 的受害者位于中国，其余的主要来自亚洲其他地区。
初始阶段样本的分发：初始阶段的恶意样本通过网络钓鱼方法分发，伪装成知名应用程序，如哄骗网站和消息应用程序中的网络钓鱼渠道。
EDR/AV 杀手模块：这些样本部署了 EDR/AV 杀手模块，用于关闭或绕过受害者系统上的安全解决方案，为最终有效载荷的传播做好准备。
Gh0st RAT 最终有效载荷：最终阶段的有效载荷通常是 Gh0st RAT 变体，这是一种知名的远程控制木马，能够远程控制受害者的计算机。
微软的应对措施：CPR 报告给 MSRC 后，Microsoft 更新了其易受攻击驱动程序阻止列表，阻止了旧版 Truesight 驱动程序的所有变体。
未来导向的检测规则：研究者强调，未来导向的检测规则对于发现尚未被广泛识别的攻击活动至关重要，这一点得到了在此次活动中的证实。
**

sy64

https://schoenbaum.medium.com/inside-the-breach-of-british-airways-how-22-lines-of-code-claimed-380-000-victims-8ce1582801a0

sy64

https://sansec.io/research/cosmicsting

摘要

CosmicSting漏洞（CVE-2024-34102）是近年来影响Magento和Adobe Commerce商店最严重的安全问题，攻击者利用该漏洞窃取加密密钥并注入恶意脚本，从而窃取客户数据并可能远程执行代码。文章详述了攻击的影响、受影响的版本、攻击阶段、时间线、防御措施以及多个攻击团伙的行动模式。

关键点

CosmicSting漏洞是近年来最严重的Magento和Adobe Commerce漏洞，影响范围大，攻击频率高达每小时5至30次。
攻击者通过窃取app/etc/env.php文件中的加密密钥，利用Magento API修改CMS块，注入恶意JavaScript以窃取客户数据。
漏洞的CVSS评分为9.8（满分10），Adobe建议立即修补漏洞。
受影响的版本包括Magento和Adobe Commerce 2.4.7及更早版本。
攻击分阶段进行，包括读取加密密钥、生成JSON Web Token（JWT）以访问API并注入恶意脚本。
时间线显示从漏洞修复发布到大规模攻击仅用了15天，多个攻击波次导致大规模数据泄露。
防御措施包括升级到最新版本、更换加密密钥并禁用旧密钥，或应用Adobe提供的独立补丁。
临时解决方案包括阻止对CMS块API的请求，但无法完全防止攻击。
多个攻击团伙参与，包括Ondatry、Polyovki、Bobry、Surki、Khomyaki等，每个团伙使用不同的技术和目标。
攻击者利用伪造的支付表单、隐藏恶意代码、WebSocket通信等多种方式窃取数据。
攻击者使用多个恶意域名和IP地址进行数据外泄和攻击。
文章列出了详细的攻击指标，包括恶意域名、IP地址和恶意脚本特征。
根据文章内容，攻击团伙使用了以下技术手段：

一、数据窃取与密钥利用

XXE漏洞利用
- 通过构造恶意XML请求读取app/etc/env.php文件，窃取加密密钥（encryption_key）
- 典型攻击日志示例：
  157.230.230.193 - "POST /rest/V1/guest-carts/123456/estimate-shipping-methods HTTP/1.1" 404 148
API滥用
- 使用被盗密钥生成JWT令牌，通过Magento API修改CMS块（如PUT /V1/cmsBlock/{id}）

二、恶意脚本注入技术

隐藏编码技术
- Group Bobry：利用空白Unicode字符（如\u2003、\u2006）将二进制代码嵌入HTML
- Group Laski：通过动态偏移量解码（String.fromCharCode(code - [动态数值])）绕过静态分析
伪装技术
- Group Polyovki：注入<script src="https://cdnstatics.net/lib.js">直接加载恶意库
- Group Surki：通过SVG图像onload事件触发恶意代码（示例代码：
  <svg onload="!function(e){...}(atob('...'))">）
CSP绕过
- Group Surki：通过Google翻译服务代理加载恶意脚本（如https://translate.google.co.in/translate?hl=gu&sl=en&u=恶意URL）

三、持久化与远程控制

WebSocket通信
- Group Surki：使用WebSocket（如wss://accept.bar/common）动态下发攻击指令
- Group Burunduki：通过自定义端口WebSocket（wss://jgueurystatic.xyz:8101）实时更新恶意逻辑
远程代码执行（RCE）
- Group Belki：结合CNEXT漏洞（CVE-2024-2961）在服务器植入后门进程（如[raid5wq]、[kswapd0]）

四、数据外泄技术

加密与混淆
- Group Ondatry：使用自定义混淆算法（如变量名d57841、v69451动态拼接恶意代码）
- Group Khomyaki：使用JSEncrypt库加密数据后外传
隐蔽通道
- Group Peschanki：通过__ffsj Cookie存储数据，利用阿里云IP（https://106.14.40.200）外泄
- Group Bobry：将数据伪装成图片请求（如https://statspots.com/get/?s=加密数据）

五、基础设施特征

| 团伙名称 | 恶意域名示例 | 服务器IP（示例） | 注册商/托管商 |
|----------------|---------------------------------------|-----------------------|---------------------|
| Group Polyovki | cdnstatics.net | 185.175.225.116 | Cloudflare |
| Group Khomyaki | jgueurystatic.xyz | 82.202.165.xx（俄罗斯JSC网络） | Hostinger |
| Group Laski | markettz.com、statepulseapp.com | 142.252.84.169 | Namecheap |

六、攻击链整合示例

graph TD
  A[扫描暴露的Magento实例] --> B[利用CVE-2024-34102读取env.php]
  B --> C{是否获取有效密钥?}
  C -->|是| D[生成JWT接管API]
  C -->|否| A
  D --> E[修改CMS块注入恶意JS]
  E --> F[劫持支付表单]
  F --> G[通过WebSocket/C2服务器外传数据]

sy64

https://github.com/OscarBataille/CVE-2025-26794

⚠️⚠️ CVE-2025-26794 Exim邮件传输代理易受远程SQL注入攻击，已发布PoC

sy64

https://www.akamai.com/blog/security-research/2025-february-fortinet-critical-vulnerabilities

https://www.akamai.com/blog/security-research/2024-august-vpn-post-exploitation-techniques-black-hat

总结

网页主要介绍了Akamai研究人员Ben Barnea对Fortinet的VPN解决方案进行的安全研究，包括获取固件、设置调试环境、解密以及发现和分析多个漏洞，这些漏洞可能导致拒绝服务（DoS）和远程代码执行（RCE）。

摘要

Akamai的Ben Barnea研究人员对Fortinet的VPN解决方案进行了深入的安全研究。首先，他介绍了如何获取Fortinet提供的虚拟机固件，并详细描述了如何创建一个调试环境，包括解密文件系统、设置GDB调试器以及创建一个完整的shell环境。研究人员在这个过程中遇到了许多挑战，包括绕过VMware的调试特性问题、解决QEMU运行VM的问题，以及克服许可证限制。随着Fortinet发布了新版本的VPN固件，Ben Barnea又面临了新的加密算法，他详细描述了新旧加密算法的差异，并最终成功解密了新版本的固件。

在研究过程中，Ben Barnea发现了多个漏洞，包括一个OOB写入NULL字节的漏洞、野指针拷贝漏洞、设备DoS漏洞、Web服务器DoS漏洞和OOB读取漏洞。他些漏洞存在于VPN设备的管理Web服务器中，部分漏洞可以被未认证的攻击者利用。研究人员对这些漏洞进行了详细的分析和尝试性的利用，虽然并未发现可以直接导致远程代码执行的关键漏洞，但这些发现表明VPN设备仍然存在安全风险，需要持续的研究和保护。

最后，Ben Barnea强调了VPN设备作为攻击目标的重要性，并鼓励其他安全研究人员继续寻找和分析VPN漏洞，以提高整体的网络安全性。

观点

VPN设备是攻击者入侵组织网络的关键目标，因为它们通常暴露在互联网上。
安全研究人员在分析Fortinet的VPN解决方案时，需要克服多个技术挑战，包括获取固件、解密文件系统、设置调试环境以及绕过许可证限制。
Fortinet在新版本的VPN固件中使用了新的加密算法，这增加了安全研究的难度，但研究人员最终成功解密了固件。
研究人员发现了多个漏洞，包括OOB写入、野指针拷贝、设备DoS、Web服务器DoS和OOB读取漏洞，这些漏洞可能被未认证的攻击者利用。
尽管并未发现可以直接导致远程代码执行的关键漏洞，但这些发现表明VPN设备仍然存在安全风险，需要持续的研究和保护。
安全研究人员应该继续寻找和分析VPN漏洞，以提高整体的网络安全性。

sy64

https://blog.sekoia.io/polaredge-unveiling-an-uncovered-iot-botnet/

总结

网页主要分析了 PolarEdge 僵尸网络，这是一种针对边缘设备的高级 TLS 后门，揭示了攻击者的基础设施和恶意软件的payload分析，并提供了针对该僵尸网络的指标（IoCs）。

摘要

Sekoia.io 的威胁检测与研究（TDR）团队发现并分析了 PolarEdge 僵尸网络，该网络至少自 2023 年末以来活跃，并已感染全球超过 2000 个资产。PolarEdge 利用了 CVE-2023-20118 漏洞，通过远程代码执行（RCE）部署 webshell 或 TLS 后门。分析揭示了攻击者的基础设施，包括分发和报告服务器，以及与 PolarSSL（现在称为 Mbed TLS）相关的多个证书。此外，还发现了针对 Asus、QNAP 和 Synology 设备的其他 payload。攻击者使用的 IP 地址和域名通常与 Huawei Cloud 和 Green Floid LLC 等服务提供商有关。Sekoia.io 继续监测该威胁，并提供了相关的指标供检测和防御使用。

观点

PolarEdge 僵尸网络的复杂性和操作者的技术水平表明这是一种重大的网络威胁。该僵尸网络的 payload 复杂，能够针对多种设备进行操作，并且具有自我销毁和持久化的能力。
攻击者利用了边缘设备的易感性，这些设备通常是可接入互联网的路由器和存储设备。这些设备的易感性使得它们成为攻击者入侵和建立僵尸网络的理想目标。
PolarEdge 僵尸网络的目的尚不明确，但有理由推测它可能用于将受感染的边缘设备转变为操作中继盒（ORB），以促进进一步的网络攻击活动。
攻击者的基础设施包括分发和报告服务器，这些服务器通常位于特定的云服务提供商，如 Huawei Cloud，并使用特定的证书和域名。这些基础设施的发现对于追踪和分析攻击者的行为至关重要。
Sekoia.io 提供了一系列的指标（IoCs），这些指标可以帮助组织检测和防御 PolarEdge 僵尸网络的威胁。这些指标包括恶意软件的 SHA256 哈希值、与分发和报告基础设施相关的 IP 地址和域名。
分析表明，PolarEdge 僵尸网络可能与 Stark Industries Solutions 和 Green Floid LLC 等与 Proxyline 相关的组织有关，这些组织可能与俄罗斯的虚拟私人网络（VPN）和代理服务有关。

sy64

https://research.checkpoint.com/2025/modern-approach-to-attributing-hacktivist-groups/

总结

这篇文章探讨了一种现代化的方法来识别和分析黑客活动主义者群体的行为和动机，通过结合话题建模和文风分析来提高对这些群体的归属性。

摘要

文章首先介绍了黑客活动主义的历史背景和发展，从最初的网站恶意披露和分布式拒绝服务攻击，发展到目前由国家支持的大规模网络和影响力操作。这些操作往往使用多个群体名称和草根化的形象来保持匿名性，减少国际上的反弹。研究人员通过分析来自35个可能由国家支持的黑客活动主义者群体的社交媒体账号的大量公开信息，结合传统的网络威胁情报方法和现代机器学习技术，旨在揭示这些群体讨论的关键话题、理解他们随时间变化的动机、将一些群体联系起来，并改进对黑客活动主义者的归属性。

研究方法包括话题建模和文风分析。话题建模使用了BERTopic框架来识别文本数据中的主题，并通过聚类和维度降低等技术，将信息分组并提取关键词，以便理解这些群体的战略目标。文风分析则侧重于提取和比较不同群体的写作风格特征，如词汇选择、句子结构等，以找到可能表明共同作者或合作的文本指纹。

研究结果显示，通过话题建模，可以识别出各种黑客活动主义者群体讨论的主要主题，这些主题与全球政治事件紧密相关，如俄罗斯入侵乌克兰和以色列与哈马斯的冲突。而文风分析则揭示了不同群体之间的潜在联系，如某些群体的写作风格高度相似，暗示着相同的运营者或协调的行动。

最后，文章讨论了研究的局限性和未来的研究方向，强调了持续监控和分析黑客活动主义者的重要性，以及需要不断创新和协作以应对不断变化的网络威胁。

观点

黑客活动主义的演变：黑客活动主义已经从简单的网站恶意披露和DDoS攻击发展成为由国家支持的大规模网络和影响力操作，这些操作通常旨在影响公众意见和政治局势，同时保持可否认性。
传统与现代方法的结合：为了更准确地分析和归属黑客活动主义者群体，研究人员将传统的网络威胁情报方法与现代的机器学习技术相结合，这种方法的创新之处在于它能够处理和分析大量的文本数据。
话题建模的应用：通过话题建模，研究人员能够识别和追踪黑客活动主义者群体随时间变化的关键话题和战略目标，特别是在全球政治事件发生时期。
文风分析的重要性：文风分析提供了一种识别不同黑客活动主义者群体之间潜在联系的方法，这有助于揭示共同的作者或合作关系，从而提高对这些群体的归属性。
研究的局限性：数据收集和模型的局限性可能会影响对黑客活动主义者群体的分析结果，例如，社交媒体账号的频繁更换和模型可能忽视小众主题的问题。
未来研究方向：未来的研究应该扩展到更多的黑客活动主义者账号，并且应该自动化监控和分析过程，以便实时获取洞察并更全面地理解黑客活动主义者的活动。

sy64

https://github.com/errbody/DPRK-Research/tree/main/Kimsuky_APT43/VServer%20(FileManager)

#Kimsuky #APT
VServer 工具

sy64

https://www.hacefresko.com/posts/rce-on-solr-server-via-replication

总结

这篇文章详细介绍了作者通过利用 Solr 服务器的索引复制功能，最终在目标服务器上实现远程代码执行（RCE）的一种复杂且独特的方法。

摘要

文章开头提到，作者在参与与上一篇文章相同的漏洞赏金计划时，发现了这一漏洞，并指出尽管他是唯一成功实现 RCE 的人，这一漏洞被错误地归类为“重复”。该漏洞存在于一个视频游戏公司的 Solr 服务器中，该公司与黑客和其他安全研究人员的关系不佳。作者在这篇文章中省略了一些复杂的细节和兔子洞，以使文章更加简洁。

之后，作者回顾了发现该漏洞的过程。在前文中，他发现了几个 Solr 服务器漏洞，包括一个盲 SSRF（CVE-2021-27905）。几个月后，他决定深入研究这些漏洞，并重新审查了他之前发现的一个高危漏洞和一个严重漏洞。

作者详细分析了 SSRF 的工作原理，并通过阅读 Solr 的文档了解到索引复制的概念。他利用“fetchindex”命令在一个 Solr 服务器实例上触发了一次性复制。经过一系列测试和调整，他成功地从目标服务器复制了数据集。

接下来，作者尝试添加一个条目以验证他可以修改数据集，并在本地创建了一个 Solr 实例以进一步测试复制功能。他遇到了一些问题，但最终通过使用-Dsolr.disable.allowUrls=true标志解决了它们。

之后，作者将注意力转向了如何将自定义配置文件传送到目标服务器。通过修改配置文件并使用“confFiles”参数，他成功地在目标服务器上修改了配置文件，进而实现了对目标服务器配置的控制。

作者在尝试多种方法后，最终使用 Velocity 模板和重新编译的 Velocity .jar 文件成功在目标服务器上实现了 RCE。他通过复制修改后的数据集和配置文件，最终在目标服务器上执行了任意代码。

尽管作者向漏洞赏金计划报告了这个漏洞，但它被视为重复报告，只者只获得了部分奖励。作者对此感到失望，但他选择与社区分享这个复杂且独特的发现，并提醒大家不要破解劣质程序。

观点

通过详细的漏洞挖掘和利用，作者表明即使在认为安全的系统中，也可能存在未知的漏洞和安全风险。
文章强调了深入研究和理解漏洞的重要性，以及创造性思维在信息安全领域中的应用。
作者提出了对于漏洞赏金计划的批评，认为不应该将发现的漏洞轻易归类为“重复”，而应该公正地评估和奖励贡献。
文章提醒了安全研究人员和黑客，要意识到自己的价值，在提交发现的漏洞之前要仔细考虑。

sy64

https://slashnext.com/blog/astaroth-a-new-2fa-phishing-kit-targeting-gmail-yahoo-aol-o365-and-3rd-party-logins/

新型钓鱼工具包Astaroth可绕过Gmail、Yahoo、Office 365等平台的双因素认证（2FA）。它利用反向代理技术实时拦截用户凭证和2FA验证码，并能窃取会话cookie，实现完全账户接管。该工具包售价2000美元，提供实时数据抓取、SSL证书伪造、防弹托管等功能，对个人和组织构成严重威胁。加强网络安全措施和用户安全意识至关重要。

Astaroth 的独特之处在于，它不仅能拦截登录凭据，还能在生成 2FA 身份验证令牌和会话 cookie 时快速捕获它们。这种实时拦截由反向代理机制实现，可让攻击者以惊人的速度和精度绕过 2FA 防御。

sy64

CVE-2025-20029：F5 BIG-IP 中 TMSH CLI 的命令注入漏洞，受限 CLI 允许经过身份验证的攻击者利用低权限用户可访问的命令来绕过限制。

https://github.com/mbadanoiu/CVE-2025-20029