专属SRC积分挑战赛 | 又来新厂商加码还有限时奖金翻倍!
厂商加码又添新厂商,奖金限时翻倍奖励!速速围观~
Aggregator
专属SRC积分挑战赛 | 又来新厂商加码还有限时奖金翻倍!
4 months 2 weeks ago
厂商加码又添新厂商,奖金限时翻倍奖励!速速围观~
专属SRC积分挑战赛 | 又来新厂商加码还有限时奖金翻倍!
4 months 2 weeks ago
厂商加码又添新厂商,奖金限时翻倍奖励!速速围观~
专属SRC积分挑战赛 | 又来新厂商加码还有限时奖金翻倍!
4 months 2 weeks ago
厂商加码又添新厂商,奖金限时翻倍奖励!速速围观~
专属SRC积分挑战赛 | 又来新厂商加码还有限时奖金翻倍!
4 months 2 weeks ago
厂商加码又添新厂商,奖金限时翻倍奖励!速速围观~
专属SRC积分挑战赛 | 又来新厂商加码还有限时奖金翻倍!
4 months 2 weeks ago
厂商加码又添新厂商,奖金限时翻倍奖励!速速围观~
RESURGE 恶意软件利用 Ivanti 漏洞,具备根kit和网页后门功能
4 months 2 weeks ago
HackerNews 编译,转载请注明出处: 美国网络安全和基础设施安全局(CISA)披露了一种名为 RESURGE 的新型恶意软件,该软件已被用于针对 Ivanti Connect Secure(ICS)设备上一个现已修复的安全漏洞的攻击活动。 CISA 表示:“RESURGE 具备 SPAWNCHIMERA 恶意软件变体的功能,包括能够抵御系统重启;然而,RESURGE 包含独特的命令,可以改变其行为。” “该文件具备根kit、投放器、后门、启动kit、代理和隧道的功能。” 与恶意软件部署相关的安全问题是 CVE-2025-0282,这是一个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的基于堆栈的缓冲区溢出漏洞,可能导致远程代码执行。 该漏洞影响以下版本: Ivanti Connect Secure 22.7R2.5 之前的版本 Ivanti Policy Secure 22.7R1.2 之前的版本 Ivanti Neurons for ZTA 网关 22.7R2.3 之前的版本 据谷歌旗下的 Mandiant 公司称,CVE-2025-0282 已被武器化,用于传播所谓的 SPAWN 恶意软件生态系统,包括 SPAWNANT、SPAWNMOL 和 SPAWNSNAIL 等多个组件。 上个月,日本计算机应急响应中心(JPCERT/CC)透露,观察到该安全缺陷被用于传播 SPAWN 的一个更新版本,称为 SPAWNCHIMERA,它将上述所有不同的模块整合为一个单一的恶意软件,同时还进行了修改,以通过 UNIX 域套接字促进进程间通信。 值得注意的是,该修订版包含一个功能,可以修补 CVE-2025-0282,以防止其他恶意行为者利用它进行自己的攻击活动。 CISA 表示,RESURGE(“libdsupgrade.so”)是 SPAWNCHIMERA 的改进版,支持三种新命令: 将自身插入“ld.so.preload”,设置网页后门,操纵完整性检查和修改文件。 启用网页后门用于凭证收集、账户创建、密码重置和权限提升。 将网页后门复制到 Ivanti 运行的启动磁盘并操纵运行中的 coreboot 映像。 CISA 还从一个未具名的关键基础设施实体的 ICS 设备中发现了另外两个工件:RESURGE 中包含的 SPAWNSLOTH 变体(“liblogblock.so”)和一个定制的 64 位 Linux ELF 二进制文件(“dsmain”)。 CISA 称:“[SPAWNSLOTH 变体] 篡改 Ivanti 设备日志。” “第三个文件是一个定制的嵌入式二进制文件,包含一个开源 shell 脚本和开源工具 BusyBox 的一部分 applets。该开源 shell 脚本允许从受损的内核映像中提取未压缩的内核映像(vmlinux)。” 值得注意的是,CVE-2025-0282 也被另一个与中国有关联的威胁组织 Silk Typhoon(前身为 Hafnium)作为零日漏洞加以利用,微软本月早些时候披露了这一消息。 最新发现表明,恶意软件背后的威胁行为者正在积极改进和调整其技术,因此组织必须立即将其 Ivanti 实例更新到最新版本。 作为进一步的缓解措施,建议重置特权和非特权账户的凭证,轮换所有域用户和所有本地账户的密码,审查访问策略以暂时撤销受影响设备的权限,重置相关账户的凭证或访问密钥,并监控账户是否有异常活动迹象。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews
黑客利用 WordPress mu-Plugins 注入垃圾信息并劫持网站图片
4 months 2 weeks ago
HackerNews 编译,转载请注明出处: 黑客正在利用 WordPress 网站中的“mu-plugins”目录隐藏恶意代码,以维持远程访问权限,并将访客重定向至虚假网站。 mu-plugins(Must-Use 插件的简称)是指位于“wp-content/mu-plugins”目录中的插件,这些插件无需通过管理员后台显式启用即可自动运行。这也使得该目录成为部署恶意软件的理想位置。 “这种方法反映了令人担忧的趋势,因为 mu-plugins 不会在标准的 WordPress 插件界面中列出,这使得它们在常规安全检查中容易被忽略,”Sucuri 研究员 Puja Srivastava 在分析中表示。 在网站安全公司分析的事件中,发现该目录中存在三种不同的恶意 PHP 代码: “wp-content/mu-plugins/redirect.php”:将访客重定向至外部恶意网站。 “wp-content/mu-plugins/index.php”:提供类似网页后门的功能,允许攻击者通过从 GitHub 下载远程 PHP 脚本执行任意代码。 “wp-content/mu-plugins/custom-js-loader.php”:向受感染网站注入垃圾信息,可能用于推广骗局或操纵搜索引擎排名。该脚本通过替换网站上的所有图片为露骨内容,并劫持外部链接至恶意网站。 Sucuri 表示,“redirect.php”伪装成浏览器更新,诱骗受害者安装可以窃取数据或投放额外恶意软件的程序。 Srivastava 解释称:“该脚本包含一个功能,可以识别当前访客是否为机器人。这使得脚本能够排除搜索引擎爬虫,防止其检测到重定向行为。” 与此同时,攻击者继续利用受感染的 WordPress 网站作为跳板,通过伪装成 Google reCAPTCHA 或 Cloudflare CAPTCHA 验证的方式,诱骗访客在 Windows 电脑上运行恶意 PowerShell 命令——这是一种名为 ClickFix 的常见策略,并用于传播 Lumma Stealer 恶意软件。 受攻击的 WordPress 网站还被用于部署恶意 JavaScript,这些脚本可以将访客重定向至不受欢迎的第三方域名,或作为支付页面上的信息窃取工具,窃取用户输入的财务信息。 目前尚不清楚这些网站是如何被攻破的,但常见的原因包括易受攻击的插件或主题、泄露的管理员凭据以及服务器配置错误。 根据 Patchstack 的最新报告,自今年年初以来,攻击者频繁利用 WordPress 插件中的四个不同安全漏洞: CVE-2024-27956(CVSS 评分:9.9):WordPress Automatic 插件(AI 内容生成和自动发布插件)中的未授权任意 SQL 执行漏洞。 CVE-2024-25600(CVSS 评分:10.0):Bricks 主题中的未授权远程代码执行漏洞。 CVE-2024-8353(CVSS 评分:10.0):GiveWP 插件中的未授权 PHP 对象注入至远程代码执行漏洞。 CVE-2024-4345(CVSS 评分:10.0):Startklar Elementor Addons for WordPress 中的未授权任意文件上传漏洞。 为降低这些威胁带来的风险,WordPress 网站管理员应确保插件和主题保持最新版本,定期检查代码中的恶意软件,强制使用强密码,并部署网页应用防火墙以拦截恶意请求并防止代码注入。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews
JSAC2025 -Day 2-
4 months 2 weeks ago
Continuing from the previous blog article, this entry introduces the presentations on the 2nd day of JSAC2025. Observation of phishing criminal groups related to illegal money transfers and Mizuho Bank’s countermeasures -Fighting against phishing site malware ‘KeepSpy’- Speaker: Tsukasa Takeuchi,...
JPCERT/CC
俄罗斯黑客利用 CVE-2025-26633 漏洞部署 SilentPrism 和 DarkWisp 后门
4 months 2 weeks ago
HackerNews 编译,转载请注明出处: 研究人员发现,一个疑似俄罗斯的黑客组织 Water Gamayun(也被称为 EncryptHub 和 LARVA-208)利用微软 Windows 系统中最近修补的安全漏洞 CVE-2025-26633,部署了两款新的后门程序 SilentPrism 和 DarkWisp。 Water Gamayun 主要通过恶意配置包(.ppkg)、签名的 Microsoft 安装程序文件(.msi)和 Windows 管理控制台文件(.msc)来部署恶意负载。此次攻击利用了 CVE-2025-26633(也被称为 MSC EvilTwin),该漏洞存在于微软管理控制台(MMC)框架中,攻击者通过恶意的 Microsoft 控制台文件(.msc)来执行恶意软件。 – SilentPrism:这是一个 PowerShell 植入程序,能够实现持久化、同时执行多个 shell 命令,并保持远程控制,同时还具备反分析技术以逃避检测。 – DarkWisp:该后门程序能够进行系统侦察、窃取敏感数据并实现持久化。 – Rhadamanthys Stealer:通过 MSC EvilTwin 加载器部署,该加载器利用 CVE-2025-26633 执行恶意的 .msc 文件,最终部署该窃密程序。 攻击链涉及使用配置包(.ppkg)、签名的 Windows 安装程序文件(.msi)和 .msc 文件来传递信息窃取器和后门程序,这些程序能够实现持久化和数据窃取。此外,攻击者还通过恶意的 .msi 安装程序伪装成合法的通讯和会议软件(如钉钉、QQTalk 和 VooV Meeting),执行 PowerShell 下载器以获取和运行下一阶段的负载。 – Water Gamayun 还被发现利用其他商品化窃密程序(如 StealC)以及三种定制的 PowerShell 变体(EncryptHub 窃密程序变体 A、B 和 C)。 – 这些变体均基于开源的 Kematian 窃密程序修改而成,能够收集系统信息、提取 Wi-Fi 密码、Windows 产品密钥、剪贴板历史记录、浏览器凭证以及与通讯、VPN、FTP 和密码管理相关的应用程序的会话数据。 – 攻击者还利用恶意 MSI 包或二进制恶意程序传播其他恶意软件家族,如 Lumma Stealer、Amadey 和剪切板劫持器。 趋势科技提醒,Water Gamayun 在攻击中使用了多种交付方法和技术,例如通过签名的 Microsoft 安装程序文件传递恶意负载,并利用本地工具(LOLBAS)等手段,这表明其在入侵受害者系统和数据方面具有很强的适应性。建议用户及时更新系统,修补相关漏洞,以防止此类攻击。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews
CVE-2024-28556 | SourceCodester PHP Task Management System 1.0 admin-manage-user.php sql injection
4 months 2 weeks ago
A vulnerability, which was classified as critical, was found in SourceCodester PHP Task Management System 1.0. This affects an unknown part of the file admin-manage-user.php. The manipulation leads to sql injection.
This vulnerability is uniquely identified as CVE-2024-28556. It is possible to initiate the attack remotely. There is no exploit available.
vuldb.com
CVE-2024-43286 | Squirrly SEO Plugin up to 12.3.19 on WordPress sql injection
4 months 2 weeks ago
A vulnerability, which was classified as critical, has been found in Squirrly SEO Plugin up to 12.3.19 on WordPress. Affected by this issue is some unknown functionality. The manipulation leads to sql injection.
This vulnerability is handled as CVE-2024-43286. The attack may be launched remotely. There is no exploit available.
vuldb.com
CVE-2024-20417 | Cisco Identity Services Engine Software up to 3.3.0 REST API sql injection (cisco-sa-ise-rest-5bPKrNtZ)
4 months 2 weeks ago
A vulnerability classified as critical has been found in Cisco Identity Services Engine Software. This affects an unknown part of the component REST API. The manipulation leads to sql injection.
This vulnerability is uniquely identified as CVE-2024-20417. It is possible to initiate the attack remotely. There is no exploit available.
It is recommended to upgrade the affected component.
vuldb.com
CVE-2024-20486 | Cisco Identity Services Engine Software up to 3.3.0 Web-based Management Interface cross-site request forgery (cisco-sa-ise-csrf-y4ZUz5Rj)
4 months 2 weeks ago
A vulnerability classified as problematic was found in Cisco Identity Services Engine Software. This vulnerability affects unknown code of the component Web-based Management Interface. The manipulation leads to cross-site request forgery.
This vulnerability was named CVE-2024-20486. The attack can be initiated remotely. There is no exploit available.
It is recommended to upgrade the affected component.
vuldb.com
CVE-2024-42636 | DedeCMS 5.7.115 file_manage_view.php?fmdo=newfile&activepath command injection
4 months 2 weeks ago
A vulnerability classified as critical was found in DedeCMS 5.7.115. This vulnerability affects unknown code of the file file_manage_view.php?fmdo=newfile&activepath. The manipulation leads to command injection.
This vulnerability was named CVE-2024-42636. Access to the local network is required for this attack. There is no exploit available.
vuldb.com
CVE-2024-39659 | Lester Chan WP-PostRatings Plugin up to 1.91.1 on WordPress cross site scripting
4 months 2 weeks ago
A vulnerability was found in Lester Chan WP-PostRatings Plugin up to 1.91.1 on WordPress. It has been declared as problematic. Affected by this vulnerability is an unknown functionality. The manipulation leads to cross site scripting.
This vulnerability is known as CVE-2024-39659. The attack can be launched remotely. There is no exploit available.
vuldb.com
CVE-2024-43292 | EnvoThemes Envos Elementor Templates & Widgets for WooCommerce Plugin cross site scripting
4 months 2 weeks ago
A vulnerability has been found in EnvoThemes Envos Elementor Templates & Widgets for WooCommerce Plugin up to 1.4.16 on WordPress and classified as problematic. This vulnerability affects unknown code. The manipulation leads to cross site scripting.
This vulnerability was named CVE-2024-43292. The attack can be initiated remotely. There is no exploit available.
vuldb.com
CVE-2024-7054 | Popup Maker Plugin up to 1.19.0 on WordPress cross site scripting
4 months 2 weeks ago
A vulnerability classified as problematic was found in Popup Maker Plugin up to 1.19.0 on WordPress. This vulnerability affects unknown code. The manipulation leads to cross site scripting.
This vulnerability was named CVE-2024-7054. The attack can be initiated remotely. There is no exploit available.
vuldb.com
CVE-2024-20466 | Cisco Identity Services Engine Software up to 3.3.0 Web-based Management Interface privileges assignment (cisco-sa-ise-info-exp-vdF8Jbyk / Nessus ID 208142)
4 months 2 weeks ago
A vulnerability was found in Cisco Identity Services Engine Software. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Web-based Management Interface. The manipulation leads to incorrect privilege assignment.
This vulnerability is handled as CVE-2024-20466. The attack may be launched remotely. There is no exploit available.
It is recommended to upgrade the affected component.
vuldb.com
CVE-2024-46373 | DedeCMS 5.7.115 unrestricted upload
4 months 2 weeks ago
A vulnerability was found in DedeCMS 5.7.115. It has been declared as critical. This vulnerability affects unknown code. The manipulation leads to unrestricted upload.
This vulnerability was named CVE-2024-46373. The attack can be initiated remotely. There is no exploit available.
vuldb.com