Aggregator

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了影响 mySCADA myPRO 的两个严重漏洞的细节，这是一种在运营技术（OT）环境中使用的数据采集与监视控制系统（SCADA）。瑞士安全公司 PRODAFT 表示，如果这些漏洞被利用，可能会使攻击者获得对工业控制网络的未授权访问，从而导致严重的运营中断和财务损失。 这两个漏洞在 CVSS v4 评分系统中均被评定为 9.3 分，具体如下： – CVE-2025-20014：一种操作系统命令注入漏洞，允许攻击者通过包含版本参数的特制 POST 请求在受影响系统上执行任意命令 – CVE-2025-20061：一种操作系统命令注入漏洞，允许攻击者通过包含电子邮件参数的特制 POST 请求在受影响系统上执行任意命令 成功利用这两个漏洞中的任何一个，都可能使攻击者能够注入系统命令并执行任意代码。这些问题已在以下版本中得到解决： – mySCADA PRO Manager 1.3 – mySCADA PRO Runtime 9.2.1 据 PRODAFT 称，这两个漏洞均源于未能对用户输入进行清理，从而为命令注入打开了大门。 “这些漏洞突显了 SCADA 系统中的持续安全风险以及加强防御的必要性，”该公司表示。“利用这些漏洞可能导致运营中断、财务损失和安全隐患。” 建议组织应用最新补丁，通过将 SCADA 系统与 IT 网络隔离来实施网络分段，强制执行强身份验证，并监控可疑活动。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

MEGR-APT MEGR-APT is a scalable APT hunting system to discover suspicious subgraphs matching an attack scenario (query graph) published in Cyber Threat Intelligence (CTI) reports. MEGR-APT hunts APTs in a twofold process: (i) memory-efficient...

The post MEGR-APT: A Memory-Efficient APT Hunting System appeared first on Penetration Testing Tools.

SessionProbe SessionProbe is a multi-threaded pentesting tool designed to assist in evaluating user privileges in web applications. It takes a user’s session token and checks for a list of URLs if access is possible,...

The post SessionProbe: assist in evaluating user privileges in web applications appeared first on Penetration Testing Tools.

SharpADWS SharpADWS is an Active Directory reconnaissance and exploitation tool for Red Teams that collects and modifies Active Directory data via the Active Directory Web Services (ADWS) protocol. Typically, enumeration or manipulation of Active...

The post SharpADWS: Active Directory reconnaissance and exploitation for Red Teams appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： ClearFake 活动背后的威胁者利用虚假的 reCAPTCHA 或 Cloudflare Turnstile 验证作为诱饵，诱骗用户下载 Lumma Stealer 和 Vidar Stealer 等恶意软件。 ClearFake 最早于 2023 年 7 月被曝光，是一种利用受感染的 WordPress 网站上的虚假网络浏览器更新诱饵作为恶意软件分发手段的威胁活动集群。 该活动还以依赖一种称为 EtherHiding 的技术而闻名，该技术通过利用币安智能链（BSC）合约来获取下一阶段的有效载荷，从而使攻击链更具弹性。这些感染链的最终目标是交付能够针对 Windows 和 macOS 系统的信息窃取恶意软件。 截至 2024 年 5 月，ClearFake 攻击采用了现在被称为 ClickFix 的社会工程手段，该手段涉及欺骗用户在解决不存在的技术问题的幌子下运行恶意的 PowerShell 代码。 “尽管这种新的 ClearFake 变种继续依赖 EtherHiding 技术和 ClickFix 手段，但它引入了与币安智能链的额外交互，”Sekoia 在新的分析中表示。 “通过使用智能合约的应用程序二进制接口，这些交互涉及加载多个 JavaScript 代码和额外资源，这些资源会识别受害者的系统，以及下载、解密和显示 ClickFix 诱饵。” ClearFake 框架的最新迭代标志着一个重大演变，采用了 Web3 能力来抵抗分析并加密了与 ClickFix 相关的 HTML 代码。 其结果是一个更新的多阶段攻击序列，当受害者访问受感染的网站时开始，这将导致从 BSC 获取中间 JavaScript 代码。加载的 JavaScript 随后负责识别系统并获取托管在 Cloudflare Pages 上的加密 ClickFix 代码。 如果受害者继续执行并运行恶意的 PowerShell 命令，将导致部署 Emmenhtal Loader（又名 PEAKLIGHT），随后释放 Lumma Stealer。 Sekoia 表示，2025 年 1 月下旬观察到另一种 ClearFake 攻击链，该攻击链提供了一个负责安装 Vidar Stealer 的 PowerShell 加载程序。截至上个月，至少有 9300 个网站被 ClearFake 感染。 “该运营商一直在每天更新框架代码、诱饵和分发的有效载荷，”它补充道。“ClearFake 的执行现在依赖于存储在币安智能链中的多条数据，包括 JavaScript 代码、AES 密钥、托管诱饵 HTML 文件的 URL 以及 ClickFix PowerShell 命令。” “被 ClearFake 攻击的网站数量表明，这一威胁仍然广泛存在，并影响全球许多用户。在 2024 年 7 月，……大约有 20 万名唯一用户可能接触到 ClearFake 诱饵，这些诱饵鼓励他们下载恶意软件。” 这一发现与超过 100 个汽车经销商网站被发现被 ClickFix 诱饵感染的情况同时出现，这些感染导致了 SectopRAT 恶意软件的部署。 “这种汽车经销商感染发生的地方不是经销商自己的网站，而是一个第三方视频服务，”安全研究员 Randy McEoin 说，他在 2023 年详细描述了一些最早的 ClearFake 活动，将此次事件描述为供应链攻击的一个实例。 所涉及的视频服务是 LES Automotive（“idostream[.]com”），该网站已从其网站上移除了恶意的 JavaScript 注入。 这些发现还与发现的几个网络钓鱼活动同时出现，这些活动旨在推送各种恶意软件家族并进行凭证收割—— 使用嵌入在电子邮件消息的存档文件附件中的虚拟硬盘（VHD）文件，通过 Windows 批处理脚本来分发 Venom RAT 使用 Microsoft Excel 文件附件，利用已知的安全漏洞（CVE-2017-0199）下载 HTML 应用程序（HTA），然后使用 Visual Basic 脚本（VBS）获取图像，该图像包含另一个负责解码和启动 AsyncRAT 和 Remcos RAT 的有效载荷 利用 Microsoft 365 基础设施中的错误配置来控制租户，创建新的管理员帐户，并提供能够绕过电子邮件安全保护的网络钓鱼内容，最终促进凭证收割和帐户接管（ATO） 随着社会工程活动不断变得越来越复杂，组织和企业必须走在前列，实施强大的身份验证和访问控制机制，以抵御中间人攻击（AitM）和浏览器中间人攻击（BitM）技术，这些技术允许攻击者劫持帐户。 “使用 BitM 框架的一个关键好处在于其快速瞄准能力，能够在几秒钟内到达网络上的任何网站，并且配置最少，”谷歌旗下的 Mandiant 在本周发布的一份报告中表示。 “一旦通过 BitM 工具或框架瞄准应用程序，合法网站将通过攻击者控制的浏览器提供服务。这使得受害者很难区分合法网站和虚假网站。从攻击者的角度来看，BitM 提供了一种简单而有效的手段，用于窃取受多因素认证（MFA）保护的会话。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Microsoft SQL Server and classified as critical. This issue affects some unknown processing of the component Native Client OLE DB Provider. The manipulation leads to heap-based buffer overflow. The identification of this vulnerability is CVE-2024-37330. The attack may be initiated remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability was found in Microsoft SQL Server. It has been classified as critical. Affected is an unknown function of the component Native Client OLE DB Provider. The manipulation leads to heap-based buffer overflow. This vulnerability is traded as CVE-2024-37331. It is possible to launch the attack remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability was found in Microsoft SQL Server. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Native Client OLE DB Provider. The manipulation leads to heap-based buffer overflow. This vulnerability is known as CVE-2024-37332. The attack can be launched remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability was found in Microsoft SQL Server. It has been rated as critical. Affected by this issue is some unknown functionality of the component Native Client OLE DB Provider. The manipulation leads to heap-based buffer overflow. This vulnerability is handled as CVE-2024-37333. The attack may be launched remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability classified as critical has been found in Microsoft SQL Server. This affects an unknown part of the component OLE DB Driver. The manipulation leads to heap-based buffer overflow. This vulnerability is uniquely identified as CVE-2024-37334. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability classified as critical was found in Microsoft SQL Server. This vulnerability affects unknown code of the component Native Client OLE DB Provider. The manipulation leads to integer overflow. This vulnerability was named CVE-2024-37336. The attack can be initiated remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

A message posted on Monday to the homepage of the U.S. Cybersecurity & Infrastructure Security Agency (CISA) is the latest exhibit in the Trump administration's continued disregard for basic cybersecurity protections. The message instructed recently-fired CISA employees to get in touch so they can be rehired and then immediately placed on leave, asking employees to send their Social Security number or date of birth in a password-protected email attachment -- presumably with the password needed to view the file included in the body of the email.

freki Freki is a free and open-source malware analysis platform. Goals Facilitate malware analysis and reverse engineering; Provide an easy-to-use REST API for different projects; Easy deployment (via Docker); Allow the addition of new...

The post freki: Malware analysis platform appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 威胁行为者正在利用 PHP 中的一个严重安全漏洞来投放加密货币挖矿程序和远程访问木马（RAT），例如 Quasar RAT。 该漏洞被指派了 CVE 标识符 CVE-2024-4577，是指影响运行在 CGI 模式的 Windows 系统上的 PHP 的参数注入漏洞，可能允许远程攻击者运行任意代码。 网络安全公司 Bitdefender 表示，自去年年底以来，观察到针对 CVE-2024-4577 的利用尝试激增，其中中国台湾地区（54.65%）、中国香港地区（27.06%）、巴西（16.39%）、日本（1.57%）和印度（0.33%）的集中度较高。 大约 15% 的检测到的利用尝试涉及使用“whoami”和“echo <test_string>”等命令进行基本漏洞检查。另外 15% 围绕用于系统侦察的命令，例如进程枚举、网络发现、用户和域信息以及系统元数据收集。 Bitdefender 技术解决方案总监 Martin Zugec 指出，检测到的攻击中大约有 5% 最终部署了 XMRig 加密货币挖矿程序。 “另一个较小的活动涉及部署 Nicehash 挖矿程序，这是一个允许用户出售计算能力以换取加密货币的平台，”Zugec 补充道。“挖矿进程伪装成合法应用程序，例如 javawindows.exe，以逃避检测。” PHP 漏洞用于部署 Quasar 远程访问木马 其他攻击被发现利用该漏洞交付开源的 Quasar RAT 等远程访问工具，以及使用 cmd.exe 执行托管在远程服务器上的恶意 Windows 安装程序（MSI）文件。 在某种程度上是一个有趣的变化，这家罗马尼亚公司还观察到试图修改易受攻击服务器上的防火墙配置，目的是阻止访问与漏洞利用相关的已知恶意 IP 地址。 这种不寻常的行为引发了竞争对手加密劫持集团为争夺易受攻击资源的控制权，并阻止他们再次针对自己控制的目标的可能性。这也与关于加密劫持攻击的历史观察结果一致，即在部署自己的有效载荷之前终止竞争对手的挖矿进程。 这一发展紧随思科 Talos 公布自今年年初以来针对日本组织的攻击中利用 PHP 漏洞的活动细节之后。 建议用户更新其 PHP 安装到最新版本以防范潜在威胁。 “由于大多数活动一直在使用 LOLBAS 工具，组织应考虑将 PowerShell 等工具的使用限制在环境中的特权用户（如管理员）内。”Zugec 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in openvswitch and classified as problematic. Affected by this issue is some unknown functionality of the component LLDP Packet Handler. The manipulation leads to resource consumption. This vulnerability is handled as CVE-2020-27827. The attack can only be initiated within the local network. There is no exploit available.

A vulnerability was found in lldpd up to 1.0.12. It has been classified as problematic. Affected is the function sonmp_decode of the component SONMP Packet Decoder. The manipulation leads to out-of-bounds read. This vulnerability is traded as CVE-2021-43612. Access to the local network is required for this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic has been found in lldpd up to 1.0.16. Affected is an unknown function of the file daemon/protocols/cdp.c of the component CDP PDU Packet Handler. The manipulation leads to out-of-bounds read. This vulnerability is traded as CVE-2023-41910. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Intel 82599 Ethernet Controller. Affected is an unknown function of the component Control Flow Management. The manipulation leads to denial of service. This vulnerability is traded as CVE-2021-33061. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability classified as critical has been found in Linux Kernel up to 5.18.12. This affects the function cgroup_migrate_add_src. The manipulation leads to use after free. This vulnerability is uniquely identified as CVE-2022-49647. The attack can only be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.