黑客利用 cnPilot 路由器的零日漏洞部署 AIRASHI DDoS 僵尸网络 网络相关

威胁行为者正在利用 Cambium Networks cnPilot 路由器中未指定的零日漏洞来部署 AISURU 僵尸网络的变体(名为 AIRASHI)来实施分布式拒绝服务 (DDoS) 攻击。

据奇安信 XLab 称,自 2024 年 6 月以来,攻击就利用了这一安全漏洞。为了防止进一步滥用,有关这些缺陷的更多详细信息已被隐瞒。

分布式拒绝服务 (DDoS) 僵尸网络利用的其他一些漏洞包括CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、 CVE-2022-3573 、CVE -2022-40005、CVE-2022-44149、CVE-2023-28771,以及影响 AVTECH IP 摄像机、LILIN DVR 和深圳 TVT 设备的漏洞。

XLab 表示:“AIRASHI 的运营商一直在 Telegram 上发布他们的 DDoS 能力测试结果。从历史数据来看,AIRASHI 僵尸网络的攻击能力保持稳定在 1-3 Tbps 左右。”

大多数受感染的设备位于巴西、俄罗斯、越南和印度尼西亚,其中中国、美国、波兰和俄罗斯成为恶意攻击的主要目标。

AIRASHI 是AISURU (又名 NAKOTNE)僵尸网络的一个变种,该网络安全公司曾在 2024 年 8 月标记过该僵尸网络,该网络与针对 Steam 的 DDoS 攻击有关,当时正值游戏《黑神话:悟空》的发布。

频繁更新的僵尸网络和 AIRASHI 的部分变种也被发现包含代理软件功能,这表明威胁行为者打算扩展其服务,而不仅仅是进行 DDoS 攻击。

据称,AISURU 曾于 2024 年 9 月暂时停止了攻击活动,但一个月后又重新出现,并更新了功能(称为 kitty),并于 11 月底再次进行了第二次刷新(又名 AIRASHI)。

XLab 指出:“Kitty 样本于 2024 年 10 月初开始传播。” “与之前的 AISURU 样本相比,它简化了网络协议。到 10 月底,它开始使用 SOCKS5 代理与 C2 服务器进行通信。”

另一方面,AIRASHI 至少有两种不同的风格 -

AIRASHI-DDoS(于 10 月下旬首次发现),主要针对 DDoS 攻击,但也支持任意命令执行和反向 shell 访问
AIRASHI-Proxy(于 12 月初首次发现),是 AIRASHI-DDoS 的修改版本,具有代理功能

僵尸网络除了不断调整通过 DNS 查询获取 C2 服务器详细信息的方法外,还依赖于一种全新的网络协议,该协议涉及 HMAC-SHA256 和 CHACHA20 算法进行通信。此外,AIRASHI-DDoS 支持 13 种消息类型,而 AIRASHI-Proxy 仅支持 5 种消息类型。

调查结果显示,不法分子继续利用物联网设备中的漏洞作为初始访问媒介,并构建僵尸网络,利用这些漏洞发起强大的 DDoS 攻击。

奇安信披露了一个名为 alphatronBot 的跨平台后门,该后门针对中国政府和企业,旨在将受感染的 Windows 和 Linux 系统纳入僵尸网络。该恶意软件自 2023 年初开始活跃,采用了名为PeerChat的合法开源点对点 (P2P) 聊天应用程序与其他受感染节点进行通信。

P2P 协议的去中心化特性意味着攻击者可以通过任何受感染的节点发出命令,而无需通过单个 C2 服务器路由它们,从而使僵尸网络更能抵御攻击。

该公司表示: “后门内置的 700 多个 P2P 网络由来自 80 个国家和地区的受感染网络设备组件组成。” “这些节点涉及 MikroTik 路由器、海康威视摄像头、VPS 服务器、DLink 路由器、CPE 设备等。”

去年,XLab 还详细介绍了一种代号为 DarkCracks 的复杂而隐秘的有效载荷传送框架,该框架利用受感染的 GLPI 和 WordPress 网站充当下载器和 C2 服务器。

报告称:“其主要目标是从受感染的设备收集敏感信息,维持长期访问权限,并使用受感染的、稳定的、高性能的设备作为中继节点来控制其他设备或传递恶意负载,从而有效地掩盖攻击者的足迹。 ”

“我们发现被入侵的系统属于不同国家的关键基础设施,包括学校网站、公共交通系统和监狱访客系统。”

标签: 漏洞

之参博客 发布于  2025-1-23 09:59 

Mirai 变种 Murdoc 僵尸网络利用 AVTECH IP 摄像机和华为路由器 网络相关


网络安全研究人员警告称,一项新的大规模活动利用 AVTECH IP 摄像机和华为 HG532 路由器的安全漏洞,将这些设备纳入被称为 Murdoc Botnet 的 Mirai 僵尸网络变种。

Qualys 安全研究员 Shilpesh Trivedi在分析中表示,正在进行的活动“展示了增强的能力,利用漏洞破坏设备并建立广泛的僵尸网络”。

据了解,该活动至少自 2024 年 7 月开始活跃,迄今为止已感染了1,370 多个系统。大多数感染位于马来西亚、墨西哥、泰国、印度尼西亚和越南。

证据表明,该僵尸网络利用 CVE-2017-17215、CVE-2024-7029 等已知安全漏洞获取物联网(IoT)设备的初始访问权限,并通过 Shell 脚本下载下一阶段的有效负载。

该脚本会获取僵尸网络恶意软件并根据 CPU 架构执行它。这些攻击的最终目标是利用僵尸网络进行分布式拒绝服务 (DDoS) 攻击。

在 Censys 曝光管理平台上搜索显示,截至撰写本文时,在线暴露的 AVTECH 摄像机超过 37,995 个,其中大部分位于台湾、越南、印度尼西亚、美国和斯里兰卡。

几周前,一个名为 gayfemboy 的 Mirai 僵尸网络变种被发现利用最近披露的安全漏洞,自 2024 年 11 月初以来影响了 Four-Faith 工业路由器。早在 2024 年中,Akamai 还透露,CVE-2024-7029 被恶意行为者滥用,将 AVTECH 设备纳入僵尸网络。

上周,有关另一起大规模 DDoS 攻击活动的详细信息浮出水面,该攻击活动自 2024 年底以来针对日本主要企业和银行,利用漏洞和弱凭证形成的 IoT 僵尸网络。其他一些目标集中在美国、巴林、波兰、西班牙、以色列和俄罗斯。

调查发现,DDoS 攻击主要针对电信、科技、托管、云计算、银行、游戏和金融服务行业。超过 55% 的受感染设备位于印度,其次是南非、巴西、孟加拉国和肯尼亚。

趋势科技表示: “僵尸网络由源自 Mirai 和BASHLITE 的恶意软件变种组成。僵尸网络的命令包括可以整合各种 DDoS 攻击方法、更新恶意软件和启用代理服务的命令。”

这些攻击涉及渗透物联网设备以部署加载器恶意软件,该恶意软件获取实际有效载荷,然后连接到命令和控制 (C2) 服务器并等待进一步的指令,以进行 DDoS 攻击和其他目的。

为了防范此类攻击,建议监控任何不受信任的二进制文件/脚本执行产生的可疑进程、事件和网络流量。还建议应用固件更新并更改默认用户名和密码。

标签: 漏洞

之参博客 发布于  2025-1-23 09:59 

不安全的隧道协议暴露了 420 万台主机,包括 VPN 和路由器 网络相关

新的研究发现多种隧道协议中存在安全漏洞,可能允许攻击者进行大范围攻击。

Top10VPN在与鲁汶大学教授兼研究员 Mathy Vanhoef 合作开展的一项研究中指出: “未经验证发送者身份而接受隧道数据包的互联网主机可能被劫持,从而发起匿名攻击并提供对其网络的访问权限。”

有多达 420 万台主机被发现易受攻击,包括 VPN 服务器、ISP 家庭路由器、核心互联网路由器、移动网络网关和内容交付网络 (CDN) 节点。中国、法国、日本、美国和巴西是受影响最严重的国家。

成功利用这些缺陷可以让对手滥用易受攻击的系统作为单向代理,以及进行拒绝服务(DoS)攻击。

CERT 协调中心 (CERT/CC) 在一份公告中表示: “攻击者可以滥用这些安全漏洞来创建单向代理并伪造源 IPv4/6 地址。易受攻击的系统还可能允许访问组织的专用网络或被滥用来执行 DDoS 攻击。”

这些漏洞的根源在于,IP6IP6、GRE6、4in6 和 6in4 等隧道协议主要用于促进两个断开连接的网络之间的数据传输,如果没有像 Internet 协议安全 ( IPsec ) 这样的足够的安全协议,它们就不会对流量进行身份验证和加密。

由于缺乏额外的安全防护,攻击者可以将恶意流量注入隧道,这是2020 年曾被标记的漏洞 ( CVE-2020-10136 ) 的变体。

针对相关协议,他们被分配了以下 CVE 标识符 -

CVE-2024-7595(GRE 和 GRE6)
CVE-2024-7596(通用 UDP 封装)
CVE-2025-23018(IPv4-in-IPv6 和 IPv6-in-IPv6)
CVE-2025-23019(IPv6 转 IPv4)
Top10VPN 的 Simon Migliano 解释说:“攻击者只需发送使用受影响的协议之一封装的带有两个 IP 标头的数据包即可。”

“外部标头包含攻击者的源 IP,以易受攻击的主机的 IP 作为目标。内部标头的源 IP 是易受攻击的主机 IP,而不是攻击者的 IP。目标 IP 是匿名攻击的目标 IP。”

因此,当易受攻击的主机收到恶意数据包时,它会自动剥离外部 IP 地址标头并将内部数据包转发到其目的地。鉴于内部数据包上的源 IP 地址是易受攻击但受信任的主机的 IP 地址,它能够绕过网络过滤器。

作为防御措施,建议使用 IPSec 或 WireGuard 提供身份验证和加密,并且只接受来自可信来源的隧道数据包。在网络层面,还建议在路由器和中间盒上实施流量过滤,执行深度数据包检测 (DPI),并阻止所有未加密的隧道数据包。

Migliano 表示:“这些 DoS 攻击对受害者的影响包括网络拥塞、服务中断(因为流量过载会消耗资源)以及超载网络设备崩溃。它还为进一步的攻击提供了机会,例如中间人攻击和数据拦截。”

标签: 漏洞

之参博客 发布于  2025-1-21 20:33 

研究人员发现尽管存在 Active Directory 限制,漏洞仍允许 NTLMv1 网络相关

网络安全研究人员发现,旨在禁用 NT LAN 管理器 (NTLM) v1 的 Microsoft Active Directory 组策略可以通过错误配置轻易绕过。

Silverfort 研究员 Dor Segal在与 The Hacker News 分享的一份报告中表示: “内部应用程序中的简单配置错误可以覆盖组策略,从而有效地否定旨在阻止 NTLMv1 身份验证的组策略。”

NTLM 仍是一种广泛使用的机制,尤其是在 Windows 环境中,用于通过网络对用户进行身份验证。旧版协议虽然不会因向后兼容性要求而被删除,但自 2024 年中期起已被弃用。

去年年底,微软从 Windows 11 版本 24H2 和 Windows Server 2025 开始正式删除了NTLMv1。虽然 NTLMv2 引入了新的缓解措施,使执行中继攻击变得更加困难,但该技术受到多个安全漏洞的困扰,威胁行为者积极 利用这些漏洞来访问敏感数据。

利用这些缺陷的目的是强迫受害者向任意端点进行身份验证,或将身份验证信息转发到易受攻击的目标并代表受害者执行恶意操作。

“组策略机制是微软在网络上禁用 NTLMv1 的解决方案,”Segal 解释道。“LMCompatibilityLevel 注册表项会阻止域控制器评估 NTLMv1 消息,并在使用 NTLMv1 进行身份验证时返回错误密码错误 (0xC000006A)。

然而,Silverfort 的调查发现,可以利用 Netlogon 远程协议 ( MS-NRPC ) 中的设置来绕过组策略并仍然使用 NTLMv1 身份验证。

具体来说,它利用一个名为NETLOGON_LOGON_IDENTITY_INFO的数据结构,其中包含一个名为 ParameterControl 的字段,而该字段又具有“当仅允许 NTLMv2(NTLM)时允许 NTLMv1 身份验证(MS-NLMP)”的配置。

Segal 说:“这项研究表明,可以配置内部部署应用程序以启用 NTLMv1,从而否定 Active Directory 中设置的组策略 LAN 管理器身份验证级别的最高级别。”

“这意味着,组织认为设置这个组策略是正确的事情,但它仍然被配置错误的应用程序绕过。”

为了减轻 NTLMv1 带来的风险,必须为域中的所有 NTLM 身份验证启用审计日志,并留意要求客户端使用 NTLMv1 消息的易受攻击的应用程序。不言而喻,建议组织保持其系统为最新版本。

最新发现源于安全研究员 Haifei Li 的一份报告,报告称在野外发现的 PDF 工件存在“零日行为”,在某些条件下使用 Adob​​e Reader 或 Foxit PDF Reader 打开时,可能会泄露本地网络 NTLM 信息。Foxit Software 已在 Windows 版本 2024.4 中解决了该问题。

HN 安全研究员 Alessandro Iandoli 还详细介绍了如何绕过 Windows 11(24H2 之前的版本)中的各种安全功能,以实现内核级的任意代码执行。

标签: NTLMv1

之参博客 发布于  2025-1-17 19:49 

新的 UEFI 安全启动漏洞可能允许攻击者加载恶意 Bootkit 网络相关


有关现已修补的安全漏洞的详细信息已经浮出水面,该漏洞可能允许绕过统一可扩展固件接口 (UEFI) 系统中的安全启动机制。

根据ESET 与 The Hacker News 分享的新报告,该漏洞的 CVE 标识符为CVE-2024-7344(CVSS 分数:6.7),位于由微软“Microsoft Corporation UEFI CA 2011”第三方 UEFI 证书签名的 UEFI 应用程序中。

成功利用该漏洞可导致系统启动期间执行不受信任的代码,从而使攻击者能够在启用安全启动的机器上部署恶意 UEFI 启动套件,而不管所安装的操作系统是什么。

安全启动是一种固件安全标准,可确保设备仅使用原始设备制造商 (OEM) 信任的软件进行启动,从而防止计算机启动时加载恶意软件。该功能利用数字签名来验证加载代码的真实性、来源和完整性。

受影响的 UEFI 应用程序是 Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc. 和 Signal Computer GmbH 开发的几款实时系统恢复软件套件的一部分 -

Howyar SysReturn 10.2.023_20240919 之前的版本
Greenware GreenGuard 10.2.023-20240927 之前的版本
Radix SmartRecovery 11.2.023-20240927 之前的版本
三峰EZ-back系统10.3.024-20241127之前版本
WASAY eRecoveryRX 8.4.022-20241127 之前的版本
CES NeoImpact 10.1.024-20241127 之前版本
SignalComputer HDD King 10.3.021-20241127 之前版本

ESET 研究员 Martin Smolár 表示: “该漏洞是由于使用自定义 PE 加载程序而不是使用标准且安全的 UEFI 函数LoadImage和StartImage而导致的。因此,无论 UEFI 安全启动状态如何,该应用程序都允许在系统启动期间从名为 cloak.dat 的特制文件加载任何 UEFI 二进制文件(甚至是未签名的二进制文件)。”

因此,利用 CVE-2024-7344 的攻击者可以绕过 UEFI 安全启动保护,并在操作系统加载之前在 UEFI 上下文中的启动过程中执行未签名的代码,从而授予他们对主机的隐蔽、持久的访问权限。

CERT 协调中心 (CERT/CC)表示:“在此早期启动阶段执行的代码可以保留在系统中,可能会加载恶意内核扩展,这些扩展在重新启动和操作系统重新安装后仍会存在。此外,它可能会逃避基于操作系统和端点检测和响应 (EDR) 安全措施的检测。”

恶意攻击者可以通过将自己的易受攻击的“reloader.efi”二进制文件副本带到任何已注册 Microsoft 第三方 UEFI 证书的 UEFI 系统,进一步扩大利用范围。但是,需要提升权限才能将易受攻击的恶意文件部署到 EFI 系统分区:Windows 上的本地管理员和 Linux 上的 root。

这家斯洛伐克网络安全公司表示,它于 2024 年 6 月负责任地向 CERT/CC 披露了调查结果,随后 Howyar Technologies 及其合作伙伴在相关产品中解决了该问题。2025 年 1 月 14 日,微软在其补丁星期二更新中撤销了旧的易受攻击的二进制文件。

除了应用 UEFI 撤销之外,管理对位于 EFI 系统分区上的文件的访问、安全启动定制以及使用可信平台模块 ( TPM ) 进行远程证明是防止利用未知的易受攻击的签名 UEFI 引导加载程序和部署 UEFI 引导套件的其他一些方法。

Smolár 表示:“近年来发现的 UEFI 漏洞数量,以及在合理时间范围内修补这些漏洞或撤销易受攻击的二进制文件的失败表明,即使是像 UEFI 安全启动这样重要的功能也不应被视为坚不可摧的屏障。”

“然而,关于这个漏洞,我们最担心的不是修复和撤销二进制文件所花的时间,与类似情况相比,这个时间已经很不错了,但事实是,这并不是第一次发现这种明显不安全的签名 UEFI 二进制文件。这引发了这样的疑问:第三方 UEFI 软件供应商使用这种不安全技术有多普遍,以及可能还有多少其他类似的晦涩难懂但签名的引导加载程序。”

标签: UEFI Bootkit

之参博客 发布于  2025-1-17 19:48 

Mirai 僵尸网络变种利用 Four-Faith 路由器漏洞发起 DDoS 攻击 网络相关

自 2024 年 11 月初以来,Mirai 僵尸网络变种被发现利用新披露的安全漏洞影响 Four-Faith 工业路由器,目的是发动分布式拒绝服务 (DDoS) 攻击。

该僵尸网络每天维持着大约 15,000 个活跃 IP 地址,感染主要分散在中国、伊朗、俄罗斯、土耳其和美国。

该恶意软件利用了超过 20 个已知安全漏洞和弱的 Telnet 凭据进行初始访问,已知自 2024 年 2 月以来一直活跃。该僵尸网络被称为“gayfemboy”,指的是源代码中存在的攻击性术语。

奇安信 XLab表示,其观察到该恶意软件利用中国四信生产的工业路由器中的零日漏洞,最早在 2024 年 11 月 9 日传播这些文件。

该漏洞为 CVE-2024-12856(CVSS 评分:7.2),它指的是影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞,该漏洞利用未更改的默认凭据。

上个月底,VulnCheck向 The Hacker News透露,该漏洞已被广泛利用,在受感染的设备上投放反向 shell 和类似 Mirai 的有效载荷。

僵尸网络利用的其他一些安全漏洞包括 CVE-2013-3307、CVE-2013-7471、CVE-2014-8361、CVE-2016-20016、CVE-2017-17215、CVE-2017-5259、CVE-2020-25499、CVE-2020-9054、CVE-2021-35394、CVE-2023-26801、CVE-2024-8956 和 CVE-2024-8957。

一旦启动,该恶意软件就会试图隐藏恶意进程并实现基于 Mirai 的命令格式来扫描易受攻击的设备、自我更新并对感兴趣的目标发起 DDoS 攻击。

利用僵尸网络的 DDoS 攻击每天都会针对数百个不同的实体,攻击活动在 2024 年 10 月和 11 月达到新的高峰。攻击持续时间为 10 到 30 秒,产生的流量约为 100 Gbps。

几周前,瞻博网络曾警告称,恶意攻击者正利用默认密码的会话智能路由器 (SSR) 产品植入 Mirai 僵尸网络恶意软件。Akamai 还披露,Mirai 恶意软件感染可利用 DigiEver DVR 中的远程代码执行漏洞。

XLab 研究人员表示:“DDoS 已经成为最常见、破坏力最强的网络攻击形式之一。其攻击方式多样,攻击路径隐蔽性强,可以采用不断演进的策略和技术对各个行业和系统进行精准打击,对企业、政府组织和个人用户构成重大威胁。”

与此同时,威胁行为者正在利用易受攻击和配置错误的 PHP 服务器(例如CVE-2024-4577)来部署名为 PacketCrypt 的加密货币矿工。


之参博客 发布于  2025-1-9 10:41 

Moxa 提醒用户注意蜂窝路由器和安全路由器中的高危漏洞 网络相关

总部位于台湾的 Moxa警告称,其蜂窝路由器、安全路由器和网络安全设备存在两个安全漏洞,可能导致权限提升和命令执行。

漏洞列表如下:

CVE-2024-9138(CVSS 4.0 评分:8.6) - 一种硬编码凭证漏洞,可能允许经过身份验证的用户提升权限并获得系统的根级访问权限,从而导致系统入侵、未经授权的修改、数据泄露或服务中断
CVE-2024-9140(CVSS 4.0 评分:9.3) - 该漏洞允许攻击者利用特殊字符绕过输入限制,从而可能导致未经授权的命令执行
安全研究员 Lars Haulin 报告称,这些缺陷影响以下产品和固件版本 -

CVE-2024-9138 - EDR-810 系列(固件版本 5.12.37 及更早版本)、EDR-8010 系列(固件版本 3.13.1 及更早版本)、EDR-G902 系列(固件版本 5.7.25 及更早版本)、EDR-G902 系列(固件版本 5.7.25 及更早版本)、EDR-G9004 系列(固件版本 3.13.1 及更早版本)、EDR-G9010 系列(固件版本 3.13.1 及更早版本)、EDF-G1002-BP 系列(固件版本 3.13.1 及更早版本)、NAT-102 系列(固件版本 1.0.5 及更早版本)、OnCell G4302-LTE4 系列(固件版本 3.13 及更早版本)以及 TN-4900 系列(固件版本 3.13 及更早版本)更早)
CVE-2024-9140 - EDR-8010 系列(固件版本 3.13.1 及更早版本)、EDR-G9004 系列(固件版本 3.13.1 及更早版本)、EDR-G9010 系列(固件版本 3.13.1 及更早版本)、EDF-G1002-BP 系列(固件版本 3.13.1 及更早版本)、NAT-102 系列(固件版本 1.0.5 及更早版本)、OnCell G4302-LTE4 系列(固件版本 3.13 及更早版本)和 TN-4900 系列(固件版本 3.13 及更早版本)

已为以下版本提供补丁 -

EDR-810 系列(升级至固件版本 3.14 或更高版本)
EDR-8010 系列(升级至固件版本 3.14 或更高版本)
EDR-G902 系列(升级至固件版本 3.14 或更高版本)
EDR-G903 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9004 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9010 系列 (升级至固件版本 3.14 或更高版本)
EDF-G1002-BP系列(升级至固件版本3.14或更高版本)
NAT-102 系列(无官方补丁可用)
OnCell G4302-LTE4 系列(请联系 Moxa 技术支持)
TN-4900 系列(请联系 Moxa 技术支持)
作为缓解措施,建议确保设备不暴露在互联网上,使用防火墙规则或 TCP 包装器限制对受信任的 IP 地址和网络的 SSH 访问,并采取措施检测和防止利用尝试。

标签: 路由器

之参博客 发布于  2025-1-8 16:05 

研究人员发现可绕过签名和执行代码的 Nuclei 漏洞 网络相关


ProjectDiscovery 的广泛使用的开源漏洞扫描程序Nuclei被披露存在一个高严重性安全漏洞,如果成功利用,攻击者可以绕过签名检查并可能执行恶意代码。

该漏洞的编号为CVE-2024-43405,CVSS 评分为 7.4(满分 10.0)。该漏洞影响 Nuclei 3.0.0 之后的所有版本。

根据漏洞描述: “该漏洞源于签名验证过程和 YAML 解析器处理换行符的方式之间的差异,以及处理多个签名的方式。”

“这使得攻击者可以将恶意内容注入模板,同时保留模板良性部分的有效签名。”

Nuclei 是一款漏洞扫描器,旨在探测现代应用程序、基础设施、云平台和网络以识别安全漏洞。扫描引擎利用模板(即 YAML 文件)发送特定请求以确定是否存在漏洞。

此外,它可以使用代码协议在主机操作系统上执行外部代码,从而为研究人员提供更灵活的安全测试工作流程。

发现 CVE-2024-43405 的云安全公司 Wiz 表示,该漏洞根源于模板签名验证过程,该过程用于确保官方模板库中提供的模板的完整性。

成功利用此漏洞可以绕过这一关键的验证步骤,允许攻击者制作可执行任意代码并访问主机敏感数据的恶意模板。

Wiz 研究员 Guy Goldenberg在周五的分析中表示: “由于此签名验证是目前验证 Nuclei 模板的唯一方法,因此它代表着一个潜在的单点故障。”

从本质上讲,该问题源于使用正则表达式 (又名 regex) 进行签名验证,以及由于同时使用正则表达式和 YAML 解析器而产生的解析冲突,从而为攻击者引入“\r”字符打开了大门,这样它就可以绕过基于正则表达式的签名验证,并被 YAML 解析器解释为换行符。

换句话说,这些解析不一致可以链接起来以创建一个 Nuclei 模板,该模板使用“\r”来包含第二个“#digest:”行,以逃避签名验证过程,但由 YAML 解释器解析和执行。

Goldenberg 解释说:“Go 基于正则表达式的签名验证将 \r 视为同一行的一部分,而 YAML 解析器将其解释为换行符。这种不匹配允许攻击者注入绕过验证但由 YAML 解析器执行的内容。”

“验证逻辑仅验证第一个 #digest: 行。其他 #digest: 行在验证期间将被忽略,但仍保留在要由 YAML 解析和执行的内容中。”

此外,验证过程包括从模板内容中排除签名行的步骤,但只验证第一行,而后续行未经验证但可执行。

经过负责任的披露,ProjectDiscovery 于 2024 年 9 月 4 日解决了这个问题,版本为 3.3.2。Nuclei 的当前版本是 3.3.7。

Goldenberg 说:“攻击者可以制作包含操纵的#摘要行或精心放置的\r换行符的恶意模板,以绕过 Nuclei 的签名验证。”

“当组织运行不受信任或社区贡献的模板而没有进行适当的验证或隔离时,就会出现此漏洞的攻击媒介。攻击者可以利用此功能注入恶意模板,导致任意命令执行、数据泄露或系统入侵。”

标签: 漏洞 Nuclei

之参博客 发布于  2025-1-6 14:06 

Microsoft Dynamics 365 和 Power Apps Web API 中存在严重安全漏洞 v2ray节点购买地址


有关 Dynamics 365 和 Power Apps Web API 中三个现已修补的安全漏洞的详细信息已经浮出水面,这些漏洞可能会导致数据泄露。

这些漏洞由位于墨尔本的网络安全公司 Stratus Security发现,并已于 2024 年 5 月得到解决。三个缺陷中的两个存在于 Power Platform 的OData Web API Filter中,而第三个漏洞则源于FetchXML API。

第一个漏洞的根本原因是 OData Web API Filter 缺乏访问控制,从而允许访问包含敏感信息(例如全名、电话号码、地址、财务数据和密码哈希)的联系人表。

然后,威胁行为者可以利用该漏洞进行基于布尔的搜索,通过依次猜测哈希中的每个字符直到找到正确的值来提取完整​​的哈希。

Stratus Security 表示: “例如,我们首先发送 startswith(adx_identity_passwordhash,'a'),然后发送 startswith( adx_identity_passwordhash,'aa'),然后发送 startswith(adx_identity_passwordhash,'ab') 等等,直到返回以 ab 开头的结果。”

“我们继续这个过程,直到查询返回以‘ab’开头的结果。最终,当没有其他字符返回有效结果时,我们就知道我们已经获得了完整的值。”

另一方面,第二个漏洞在于使用同一 API 中的 orderby 子句从必要的数据库表列中获取数据(例如,EMailAddress1,它指的是联系人的主要电子邮件地址)。

最后,Stratus Security 还发现,可以结合 FetchXML API 与联系人表利用 orderby 查询来访问受限列。

“利用 FetchXML API 时,攻击者可以对任意列进行 orderby 查询,完全绕过现有的访问控制,”报告称。“与之前的漏洞不同,这种方法不需要 orderby 降序排列,从而为攻击增加了一层灵活性。”

因此,利用这些漏洞的攻击者可以编制密码哈希和电子邮件列表,然后破解密码或出售数据。

Stratus Security 表示:“Dynamics 365 和 Power Apps API 中发现的漏洞强调了一个重要的提醒:网络安全需要时刻保持警惕,特别是对于像微软这样掌握大量数据的大公司而言。”


之参博客 发布于  2025-1-3 11:50 

Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评级为 9.9 — 立即修补 网络相关

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞,如果成功利用该漏洞,攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。

该 SQL 注入漏洞的编号为CVE-2024-45387,在 CVSS 评分系统中的评分为 9.9 分(满分 10.0 分)。

项目维护人员在一份公告中表示:“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞,允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ”

Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。

腾讯云顶安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。

此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。

它还发布了针对 Apache Tomcat(CVE-2024-56337)中一个重要漏洞的补丁,该漏洞可能在某些条件下导致远程代码执行(RCE)。

建议用户将其实例更新到软件的最新版本,以防范潜在威胁。


之参博客 发布于  2024-12-30 10:14