5 CVE Vulnerabilities

DefenseOne

https://www.synacktiv.com/en/publications/cve-2025-23016-exploiting-the-fastcgi-library

摘要

这篇文章探讨了FastCGI轻量级Web服务器开发库中的一个漏洞，详细分析了FastCGI协议的工作原理以及该漏洞的利用方法，并提供了防护措施。

关键点

FastCGI是一种用于在Web服务器（如NGINX）和第三方软件之间通信的库，主要用于低计算能力的设备。
文章详细介绍了FastCGI协议的工作机制，包括FCGI_Header和FCGI_BeginRequestBody的结构。
漏洞存在于ReadParams函数中，涉及整数溢出和堆溢出的问题。
漏洞利用涉及通过控制流量大小来实现任意代码执行。
漏洞的利用演示在一个配置不当的lighttpd服务器上进行，展示了如何通过FastCGI协议进行攻击。
提供了漏洞的修复方法，包括更新到版本2.4.5及以上，并建议使用UNIX socket来限制远程访问。
强调了良好的实施实践可以在漏洞公开前保护服务器。

DefenseOne

https://www.praetorian.com/blog/agent-of-chaos-hijacking-nodejss-jenkins-agents/

摘要

本文探讨了Node.js的CI/CD流程中存在的漏洞，这些漏洞可能导致远程代码执行和供应链攻击。通过详细的调查，作者揭示了这些漏洞的性质以及如何利用它们进行攻击。Node.js迅速修复了这些问题，并提高了其CI/CD的安全性。Praetorian公司提供专业的CI/CD安全评估服务，以帮助组织识别和修复潜在的安全漏洞。

关键点

Node.js的CI/CD流程中存在漏洞，可能导致远程代码执行和供应链攻击。
外部攻击者可以利用这些漏洞进行代码执行、安装持久性、尝试从内部Node.js网络进行横向移动，并将未经审查的代码注入主分支。
作者通过研究GitHub Actions的漏洞，发现了Node.js的CI/CD流程中的安全漏洞。
Node.js的GitHub Actions工作流负责处理PR标签、运行测试、合并代码并触发Jenkins管道。
Git提交时间戳可以被伪造，从而绕过Node.js的安全检查。
作者成功利用伪造的时间戳进行攻击，获得了在内部Jenkins代理上的代码执行权限。
Node.js在内部调查中发现了更为严重的漏洞，并迅速进行了修复。
Praetorian公司提供CI/CD安全评估服务，帮助组织识别潜在的安全漏洞。

DefenseOne

https://a3sec.com/blog/evolucion-sistemas-ot

摘要

文章探讨了运营技术（OT）系统在工业环境中的网络安全演变，强调了OT系统与IT系统的融合带来的安全挑战和解决方案。文章还提供了历史上OT网络安全事件的案例，并提出了如何保护OT系统的策略。

关键点

OT系统最初是孤立的，随着IT解决方案的引入，开始类似于IT系统。
OT系统的演变催生了“智能”技术，如智能电网、智能交通等。
工业控制系统（ICS）包括SCADA和DCS，用于监控和控制工业过程。
工业网络安全需要特殊的预防措施，因为OT系统的安全事件可能对人类、财产和环境造成重大影响。
OT网络安全事件的后果包括人员安全风险、财产损失和环境破坏。
近年来的OT安全事件导致了法规和标准的出台，如NIS指令。
保护OT系统的策略包括识别资产、漏洞扫描、网络隔离、监控和恢复能力。
历史上的OT网络安全事件包括震网、夜龙、黑色能量等。

DefenseOne

https://cloud.google.com/blog/topics/threat-intelligence/2024-zero-day-trends

摘要

本文由Google威胁情报小组撰写，分析了2024年被利用的零日漏洞情况。尽管与2023年相比有所减少，但2024年的零日漏洞利用仍然高于2022年。企业技术成为攻击的主要目标，特别是安全和网络产品。间谍活动和商业监控供应商在零日漏洞利用中占据重要位置。

关键点

2024年发现并追踪到75个在野外被利用的零日漏洞，较2023年的98个有所减少，但高于2022年的63个。
零日漏洞利用主要集中在终端用户平台和企业技术上，尤其是安全和网络产品。
攻击者对企业技术的关注增加，2024年44%的零日漏洞针对企业产品。
商业监控供应商（CSVs）提高了操作安全性，导致归因和检测难度增加。
中国和朝鲜的国家支持团体在2024年利用了多个零日漏洞。
2024年，微软、谷歌和Ivanti成为被利用最多的供应商。
零日漏洞主要用于远程代码执行和权限提升。
攻击者继续利用软件开发错误，如“释放后使用”漏洞和命令注入。
金融动机的非国家团体也参与了零日漏洞的利用。
安全和网络产品的漏洞利用可能导致广泛的系统和网络妥协。

DefenseOne

https://cloud.google.com/blog/topics/threat-intelligence/windows-rogue-remote-desktop-protocol

摘要

本文介绍了一项针对欧洲政府和军事组织的新型网络钓鱼攻击活动，该活动利用远程桌面协议（RDP）的资源重定向和RemoteApps功能进行间谍活动和文件窃取。攻击者通过签名的.rdp文件建立连接，可能使用PyRDP等工具实现自动化恶意活动。文章强调了RDP功能的安全风险及防御措施。

关键点

谷歌威胁情报小组观察到一场针对欧洲政府和军事组织的网络钓鱼攻击活动。攻击活动被归咎于一个疑似与俄罗斯有关联的间谍组织UNC5837。
攻击者利用签名的.rdp文件附件与受害者计算机建立远程桌面协议连接，使用资源重定向和RemoteApps功能进行间谍活动。
PyRDP等RDP代理工具可能被用于自动执行文件泄露和剪贴板捕获等恶意活动。
攻击者的主要目标似乎是间谍活动和文件窃取，强调了隐蔽的RDP功能可能带来的安全风险。
远程桌面协议支持资源重定向和RemoteApps功能，可能被用于非常规攻击技术。
PyRDP提供了自动化功能，包括凭据窃取、命令执行、剪贴板捕获等。
建议通过系统强化和检测策略来抵御RDP攻击技术。

DefenseOne

https://denniskniep.github.io/posts/09-device-code-phishing/

文章总结

关键点

文章介绍了一种利用设备代码流（Device Code Flow）的新型网络钓鱼技术，该技术可以绕过FIDO认证的防钓鱼保护。攻击者使用无头浏览器自动输入生成的设备代码，从而提高攻击效率。
设备代码流的特性使得即便是使用FIDO作为唯一认证方法，也无法抵御这种类型的钓鱼攻击，因为认证是在不同设备上进行的。
Azure Entra被用作具体示例，说明即便配置了FIDO认证，攻击者仍可通过设备代码流钓取令牌，绕过防钓鱼机制。
新的攻击模型通过自动化流程消除了旧模型的时间限制，进一步降低了被受害者察觉的可能性。
该攻击比中间人（AitM）钓鱼更危险，因为受害者是在期望的原始网站上进行操作，难以察觉攻击。
文章提供了一个概念验证工具，并建议禁用设备代码流作为唯一的缓解措施。

DefenseOne

https://doar-e.github.io/blog/2022/06/11/pwn2own-2021-canon-imageclass-mf644cdw-writeup/

摘要

本文详细介绍了在 Pwn2Own 2021 比赛中对佳能 ImageCLASS MF644Cdw 打印机进行漏洞利用的过程。团队通过分析固件、逆向工程、调试硬件和软件，最终成功在打印机上远程显示自定义图像，并获得了比赛积分。

关键点

Pwn2Own 2021 引入了打印机类别，团队选择佳能 ImageCLASS MF644Cdw 进行测试。
固件提取和分析是研究的关键步骤，团队通过多种方法下载和解密固件。
固件加密很弱，团队使用程序综合方法成功解密固件。
通过串口和服务模式，团队获取了调试信息并进行漏洞利用。
发现并利用了 X-Privet-Token 处理中的缓冲区溢出漏洞。
使用 BJNP 协议存储和执行漏洞利用代码。
成功在打印机 LCD 屏幕上显示自定义图像，并赢得比赛积分。

DefenseOne

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

摘要

ESET 研究人员发现了影响 Windows 版 WPS Office 的两个任意代码执行漏洞（CVE-2024-7262 和 CVE-2024-7263），这些漏洞被与韩国相关的网络间谍组织 APT-C-60 利用。文章详细分析了漏洞的根本原因、武器化过程以及补丁验证过程的重要性。

关键点

APT-C-60 利用 Windows 版 WPS Office 中的代码执行漏洞 (CVE-2024-7262) 来针对东亚国家进行攻击。
ESET 研究人员发现了利用该漏洞 (CVE-2024-7263) 的替代途径。
APT-C-60 组织利用 Windows 版 WPS Office 中的一个代码执行漏洞，针对东亚国家/地区发动攻击。
恶意文档以常用 XLS 电子表格格式的 MHTML 导出形式呈现，包含特制的隐藏超链接。
MHTML 文件格式允许在打开文档后立即下载文件，从而实现远程代码执行。
Kingsoft 发布了更新，悄然修补了 CVE-2024-7672 漏洞。
CVE-2024-7262 漏洞源于攻击者提供的文件路径缺乏验证。
APT-C-60 利用 WPS Office 插件组件 promecefpluginhost.exe 的控制流劫持进行代码执行。
恶意链接利用 ksoqing 协议加载远程文件路径的库。
MHTML 格式用于下载远程文件并存储在系统上。
下载的文件存储在 %localappdata%\Temp\wps\INetCache\ 下，文件名为 URL 的 MD5 哈希。
CVE-2024-7263 漏洞通过劫持 WPS Office 插件组件的控制流实现代码执行。
APT-C-60 展示了其对东亚国家目标的攻击决心。
强烈建议 WPS Office 用户更新软件至最新版本。

DefenseOne

https://www.welivesecurity.com/en/eset-research/thewizards-apt-group-slaac-spoofing-adversary-in-the-middle-attacks/

摘要

本文介绍了由ESET研究人员分析的一个名为Spellbinder的工具，该工具被一个与中国结盟的APT组织TheWizards用于中间人攻击。Spellbinder通过IPv6 SLAAC欺骗技术实现攻击，重定向合法软件的更新流量至恶意服务器，并部署后门WizardNet。文章还揭示了TheWizards与中国公司四川电科网络安全技术有限公司（UPSEC）的联系。

关键点

Spellbinder是一种用于执行中间人攻击的工具，利用IPv6 SLAAC欺骗技术。
Spellbinder拦截数据包并将合法软件的流量重定向至攻击者控制的服务器，以提供恶意更新。
该组织使用的后门被命名为WizardNet，是一种模块化植入程序。
TheWizards与中国公司UPSEC有联系，并使用Spellbinder和WizardNet进行攻击。
Spellbinder通过WinPcap库捕获和回复数据包，利用ICMPv6路由器广告包进行攻击。
攻击者使用Spellbinder劫持腾讯QQ软件的更新，重定向至恶意服务器下载恶意组件。
WizardNet后门通过TCP或UDP与C&C服务器通信，支持多种命令以扩展功能。
ESET继续跟踪TheWizards，并提供关于APT攻击的情报报告。

DefenseOne

https://atticsecurity.com/blog/aitm-for-whfb-persistence/

该文章探讨了如何通过设备代码钓鱼来注册Windows Hello For Business (WHFB)，并确保多因素认证（MFA）在整个流程中被强制执行。作者介绍了如何使用amr_values参数来迫使用户进行MFA认证，以及如何利用这些认证来获取访问和刷新令牌。文章还讨论了相关的攻击预防措施和检测困难。

关键点

文章介绍了通过设备代码钓鱼来注册WHFB的方法，并确保MFA在整个流程中被强制执行。
使用amr_values参数迫使用户进行MFA认证，以获取访问和刷新令牌。
注册WHFB的详细步骤，包括添加设备、请求PRT、注册WHFB密钥等。
提出了几种防止此类攻击的方法，如实施抗钓鱼MFA、禁止设备注册等。
文章指出检测此类攻击的困难，并寻求更好的检测方法。

DefenseOne

https://frycos.github.io/vulns4free/2025/04/28/mailessentials.html

摘要

这篇文章详细分析了GFI MailEssentials软件的安全性，重点是通过.NET Remoting和反序列化漏洞实现本地权限提升和远程代码执行（RCE）。文章还探讨了XML外部实体（XXE）漏洞的可能性，并描述了如何利用这些漏洞进行攻击。作者还提供了修复措施的概述。

关键点

GFI MailEssentials安装过程简单，但涉及到Microsoft Exchange服务器和IIS SMTP服务的设置。
文章详细介绍了GFI MailEssentials的技术栈，包括应用程序池和web.config文件的配置。
发现.NET Remoting技术用于进程间通信，并指出其安全性问题。
通过分析配置文件，利用现有的.NET Remoting知识和工具发现本地提权漏洞。
文章详细描述了如何利用反序列化漏洞进行攻击，包括使用dnSpy工具进行分析。
通过SOAP消息安全性和WSDL文件的分析，发现了可能的攻击路径。
文章提供了一个通过修改客户端代码实现RCE的示例。
讨论了XML外部实体（XXE）漏洞，并详细描述了漏洞利用的过程。
提到GFI发布了新版本以修复部分漏洞，并对修复措施进行了评价。

DefenseOne

https://www.aquasec.com/blog/shadow-roles-aws-defaults-lead-to-service-takeover/

摘要

AWS默认服务角色可能存在安全风险，尤其是当这些角色被赋予过于宽泛的权限时，如AmazonS3FullAccess。这种配置可能导致权限升级、跨服务访问，甚至可能导致账户被完全接管。本文讨论了这些风险，并提供了一些缓解措施建议。

关键点

AWS默认服务角色可能会自动创建或在设置期间推荐，但它们通常授予过于宽泛的权限，例如完全的S3访问权限。
这些默认角色可能被滥用以执行管理操作并打破服务之间的隔离边界。
AWS IAM控制谁可以访问AWS资源及其可以执行的操作，默认角色通常在首次访问服务时被推荐或自动创建。
许多默认角色被授予过于宽泛的访问权限，例如AmazonS3FullAccess，这可能导致严重的安全风险。
获得S3的完全访问权限使攻击者可以操纵其他AWS服务的内部行为。
研究发现多种AWS服务的默认角色存在过于宽泛的权限问题。
攻击者可以利用默认AWS角色进行权限升级和横向移动。
通过修改AWS Glue作业，攻击者可以利用默认角色进行权限升级。
许多开源项目在AWS环境中部署资源时也受到此类攻击向量的影响。
AWS已采取措施限制默认角色的权限，并通知用户采取行动。

DefenseOne

https://www.oligo.security/blog/airborne

摘要

Oligo Security 研究团队发现了苹果 AirPlay 协议中的一组新漏洞，这些漏洞可能使苹果及物联网设备面临 Wormable 零点击远程代码执行（RCE）的风险。这些漏洞被称为“AirBorne”，可通过无线网络或点对点连接传播，允许攻击者完全控制设备，并将其用作进一步攻击的跳板。苹果与 Oligo 合作修复了这些漏洞，并发布了最新的软件版本以保护终端用户。

关键点

Oligo Security 研究发现了苹果 AirPlay 协议和 SDK 中的新漏洞，可能导致零点击和一点击 RCE、ACL 和用户交互绕过、本地任意文件读取、敏感信息泄露、中间人攻击（MITM）和拒绝服务（DoS）。
这些漏洞被称为“AirBorne”，可通过无线网络或点对点连接传播，允许攻击者完全控制设备。
两个关键漏洞（CVE-2025-24252 和 CVE-2025-24132）允许攻击者利用 wormable 零点击 RCE 漏洞。
AirPlay 在苹果设备和第三方设备中广泛使用，全球有 23.5 亿活跃苹果设备，其中许多可能受到影响。
苹果和 Oligo 合作修复了这些漏洞，共发布了 17 个 CVE。
研究团队重点关注了 MacOS、AirPlay SDK 和 CarPlay 设备上的 RCE 攻击。
CVE-2025-24252 是一个使用后释放（UAF）漏洞，可用于在 MacOS 设备上实现零点击 RCE。
CVE-2025-24132 是一个基于堆栈的缓冲区溢出漏洞，允许在扬声器和接收器上实现零点击 RCE。
CarPlay 设备也受到影响，攻击者可利用 WiFi、蓝牙和 USB 条件进行 RCE 攻击。
其他攻击包括 ACL 和用户交互绕过、本地任意文件读取、敏感信息泄露等。
研究团队提供了一些建议措施，包括更新设备软件、禁用未使用的 AirPlay 接收器、限制 AirPlay 访问等。

DefenseOne

https://grafana.com/blog/2025/04/27/grafana-security-update-no-customer-impact-from-github-workflow-vulnerability/

Grafana Labs 近期检测到 GitHub 工作流中的安全漏洞，导致未经授权的用户能够访问部分令牌。尽管攻击者成功提取了这些令牌，但没有证据表明生产系统、客户数据或个人信息受到影响。Grafana Labs 已采取措施消除漏洞，包括禁用相关 GitHub Action、旋转暴露的令牌以及审核内部工作流。

关键点

Grafana Labs 的安全团队检测到 GitHub 工作流中的安全漏洞，导致部分令牌被提取。攻击者通过分叉仓库并运行恶意代码来实现这一目标。
Grafana Labs 采取了多项措施来应对漏洞，包括禁用 GitHub Action、旋转暴露的令牌以及审核内部工作流。
Grafana Labs 正在进行全面的日志访问审核，并计划加强 CI/CD 安全措施。调查仍在进行中。
Grafana Labs 提供了报告安全问题的途径，并要求在漏洞修复和公告之前不要披露漏洞。

DefenseOne

https://thedfirreport.com/2025/04/28/navigating-through-the-fog/

网页主要介绍了一个在2024年12月发现的、与Fog勒索软件关联的开放目录，该目录包含了用于侦察、入侵、潜在移动和维持持续性的工具和脚本。

该目录显示了如何利用SonicWall VPN凭证、恶意软件、Sliver C2可执行文件、代理链和Powercat等工具进行攻击，影响多个行业，包括技术、教育和物流，跨越欧洲、北美洲和南美洲。

DefenseOne

https://tierzerosecurity.co.nz/2025/04/29/mcp-llm.html

摘要

本文介绍了如何使用模型上下文协议（MCP）增强大型语言模型（LLM）进行威胁狩猎。作者详细描述了MCP的背景、设计考虑以及实施过程，并展示了如何将其与Elasticsearch结合以识别潜在威胁。

关键点

MCP是一个开放标准，简化了AI模型与外部工具和数据源的集成。
MCP服务器提供资源、工具和提示功能，帮助用户完成特定任务。
在开发AI工作流时，安全性必须从一开始就被纳入设计中，以防止新的攻击向量。
了解MCP服务器的用途和风险是确保安全实施的重要步骤。
使用OAuth或API令牌进行身份验证和授权，以确保安全的访问管理。
MCP服务器的安全措施包括工具暴露和访问管理、服务器端风险防范等。
本文实现了一个增强型LLM，用于日志分析和威胁识别，利用MCP与Elasticsearch交互。
实验环境包括Sysmon日志、ELK堆栈、Claude Desktop和威胁情报服务器。
通过实验场景展示了MCP工具如何帮助识别凭证转储和恶意文件。
MCP工具的使用需要考虑其可扩展性和LLM的使用限制。

DefenseOne

https://www.huntress.com/blog/most-common-cyberattacks

摘要

这篇文章详细介绍了2025年最常见的36种网络攻击类型及其防护措施。文章从恶意软件、网络钓鱼、网络攻击、漏洞利用等多个角度分析了威胁行为者的攻击方式，并提供了预防未来攻击的建议。

关键点

网络攻击是指任何试图破坏、损坏或未经授权访问计算机系统、网络或设备的恶意行为。
恶意软件攻击包括病毒、勒索软件、特洛伊木马、间谍软件、广告软件、信息窃取程序、僵尸程序、蠕虫、键盘记录器和Rootkit。
网络钓鱼和社会工程攻击包括钓鱼、鱼叉式钓鱼、捕鲸、诱饵攻击、借口攻击等。
网络攻击如拒绝服务（DoS）攻击、分布式拒绝服务（DDoS）攻击、中间人攻击、IP欺骗、ARP欺骗和DNS欺骗。
漏洞利用攻击包括SQL注入、跨站脚本（XSS）、跨站请求伪造（CSRF）、点击劫持、会话劫持和零日漏洞利用。
其他类型的网络攻击包括暴力破解、密码喷洒、凭证填充、后门攻击、网络间谍和内部威胁。
数据泄露、饮水洞攻击和供应链攻击是其他常见的网络攻击形式。
预防措施包括员工培训、强密码策略、多因素认证（MFA）、定期软件更新、防火墙、数据备份和恢复、终端保护和网络保险。

DefenseOne

https://labs.watchtowr.com/sonicboom-from-stolen-tokens-to-remote-shells-sonicwall-sma100-cve-2023-44221-cve-2024-38475/

摘要

这篇文章详细介绍了针对SonicWall SMA设备的两种漏洞的分析和利用：CVE-2024-38475（Apache HTTP预身份验证任意文件读取）和CVE-2023-44221（后身份验证命令注入）。文章解释了这些漏洞的技术细节及其在野外的利用方式，并展示了如何利用这些漏洞获取管理员权限和执行命令。此外，文章介绍了watchTowr平台如何帮助客户识别和应对这些威胁。

关键点

文章分析了SonicWall SMA设备的两个漏洞：CVE-2024-38475和CVE-2023-44221。
CVE-2024-38475是一个Apache HTTP服务器的漏洞，允许攻击者读取任意文件。
通过利用Apache的mod_rewrite模块中的文件名混淆漏洞，攻击者可以访问文件系统中的任何文件。
CVE-2023-44221是一个命令注入漏洞，允许攻击者在经过身份验证的情况下执行命令。
文章详细描述了如何利用这些漏洞获取SonicWall设备的管理员会话ID。
watchTowr平台提供了检测工具，帮助组织识别是否受到这些漏洞的影响。

DefenseOne

https://www.kandji.io/blog/vulnerabilities-year-review

Kandji的安全研究人员在macOS上发现并报告了多个漏洞，以防止恶意行为者利用这些漏洞。该公司通过其产品检测和保护客户免受这些漏洞的影响，同时等待官方补丁。研究揭示了与diskarbitrationd和storagekitd相关的漏洞，以及macOS安装包和隐私问题。Kandji提供了先进的检测和漏洞管理功能，以确保客户在漏洞公开之前得到保护。

关键点

Kandji的安全研究人员发现并报告了macOS漏洞，以保护整个Apple生态系统。
研究重点包括diskarbitrationd和storagekitd的漏洞，可能导致沙箱逃逸和权限提升。
macOS安装包分析揭示了SIP绕过漏洞，影响系统保护。
隐私漏洞允许访问用户私人数据，尽管是只读访问。
Kandji提供了检测和行为识别功能，以在漏洞公开前保护客户。
Kandji的漏洞管理确保及时更新软件以防止已知漏洞被利用。

DefenseOne

https://www.microsoft.com/en-us/security/blog/2025/05/01/analyzing-cve-2025-31191-a-macos-security-scoped-bookmarks-based-sandbox-escape/

摘要

本文详细分析了一个被称为CVE-2025-31191的macOS安全漏洞，该漏洞允许攻击者通过安全范围书签机制绕过应用程序沙盒限制，从而在系统上运行不受限制的代码。微软在研究Office宏如何在macOS上运行和检测恶意代码时发现了这一漏洞，并通过协调漏洞披露与苹果分享了这一发现。苹果已在2025年3月31日发布的安全更新中修复了此漏洞。

关键点

微软在macOS中发现了一个漏洞，允许攻击者绕过App Sandbox运行不受限制的代码。攻击者可以利用安全范围书签机制进行攻击。
该漏洞是通过研究如何在macOS上运行和检测恶意宏时发现的，并通过协调漏洞披露与苹果分享。
苹果在2025年3月31日发布的安全更新中修复了此漏洞，建议macOS用户尽快应用安全更新。
macOS App Sandbox是一种安全机制，强制执行应用程序的操作规则。
微软Office在macOS上被严重沙盒化，虽然影响较小，但仍需进行威胁分析。
GrantAccessToMultipleFiles API允许通过宏访问沙盒外的文件，这可能会被攻击者利用。
攻击者可以通过修改Containers文件夹中的PLIST文件来绕过沙盒限制。
安全范围书签通过ScopedBookmarkAgent进行验证，允许持久的文件访问。
攻击者可以删除旧的密钥链条目并添加新的已知密钥，从而伪造新的书签条目。
CVE-2025-31191漏洞强调了安全解决方案的重要性，如Microsoft Defender Vulnerability Management。
负责任的披露和安全社区的合作对于防御跨平台的威胁至关重要。