Aggregator

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一将五个影响思科、日立 Vantara、微软 Windows 和 Progress WhatsUp Gold 软件的安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 漏洞详情 CVE-2023-20118（CVSS 评分：6.5）：思科小型企业 RV 系列路由器的基于网络的管理界面中的命令注入漏洞，允许经过身份验证的远程攻击者获得根级别权限并访问未经授权的数据（由于路由器已达到使用寿命终点，未进行修补） CVE-2022-43939（CVSS 评分：8.6）：日立 Vantara Pentaho BA Server 中的授权绕过漏洞，源于使用非规范 URL 路径进行授权决策（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2022-43769（CVSS 评分：8.8）：日立 Vantara Pentaho BA Server 中的特殊元素注入漏洞，允许攻击者将 Spring 模板注入属性文件，从而执行任意命令（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2018-8639（CVSS 评分：7.8）：微软 Windows Win32k 中的不正确资源关闭或释放漏洞，允许本地经过身份验证的用户进行权限提升，并在内核模式下运行任意代码（已于 2018 年 12 月修复） CVE-2024-4885（CVSS 评分：9.8）：Progress WhatsUp Gold 中的路径遍历漏洞，允许未经过身份验证的攻击者实现远程代码执行（已于 2024 年 6 月通过版本 2023.1.3 修复） 关于上述漏洞中的一些在野外如何被利用的报告很少，但法国网络安全公司 Sekoia 上周透露，威胁行为者正在利用 CVE-2023-20118 将易受攻击的路由器纳入名为 PolarEdge 的僵尸网络。 至于 CVE-2024-4885，Shadowserver 基金会表示，自 2024 年 8 月 1 日起，已观察到针对该漏洞的利用尝试。GreyNoise 的数据显示，来自中国香港、俄罗斯、巴西、韩国和英国的多达八个独特 IP 地址与该漏洞的恶意利用有关。 最后，CISA 提醒联邦民用执行部门（FCEB）机构在 2025 年 3 月 24 日之前应用必要的缓解措施，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国及美国西海岸的互联网服务提供商（ISP）近期遭遇大规模网络攻击，黑客通过入侵受害系统，植入信息窃取程序和加密货币挖矿软件。 据Splunk威胁研究团队报告，此次攻击还涉及多个二进制程序，这些程序不仅可用于窃取数据，还能帮助攻击者在受感染系统中建立长期控制权限。 黑客利用脚本语言绕过安全防护 Cisco旗下的Splunk研究团队表示，攻击者在操作过程中尽量减少入侵痕迹，以规避检测，除非受害账户已经遭到控制。“该攻击组织主要依赖Python和PowerShell等脚本语言进行横向移动与渗透，并使用API（如Telegram）执行远程控制（C2）操作。” 此次攻击活动主要利用暴力破解手段，针对弱密码账户进行入侵。攻击源IP地址主要来自东欧，受害目标包括超过4,000个ISP提供商的IP地址。 攻击流程：入侵、窃取信息、植入挖矿程序 攻击者在获取初始访问权限后，会通过PowerShell执行一系列恶意程序，包括网络扫描、信息窃取以及XMRig加密货币挖矿，以滥用受害设备的计算资源。 在执行恶意程序之前，攻击者通常会先关闭安全软件功能，并终止与挖矿检测相关的服务，以降低被发现的风险。 信息窃取与恶意软件投放 除了截屏功能，该恶意软件还具备类似“剪贴板劫持”程序的特性，可监控受害者的剪贴板内容，专门窃取比特币（BTC）、以太坊（ETH）、币安链BEP2（ETHBEP2）、莱特币（LTC）和波场（TRX）等加密货币钱包地址。窃取的数据随后被上传至黑客控制的Telegram机器人。 此外，受感染设备还会被植入一个二进制文件，用于执行额外的恶意负载，其中包括： Auto.exe：从C2服务器下载密码列表（pass.txt）和IP地址列表（ip.txt），用于后续暴力破解攻击 Masscan.exe：多功能端口扫描工具 大规模IP扫描，精准锁定目标 Splunk研究团队指出，攻击者专门针对美国西海岸及中国的ISP基础设施IP地址，并利用Masscan扫描工具批量扫描大量IP地址，以发现开放端口，并进一步实施凭证暴力破解攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家近日警告，一场高度针对性的网络钓鱼攻击行动已锁定阿联酋境内“少于五个”实体，目的是投放一种此前未被记录的Golang后门程序“Sosano”。 据网络安全公司Proofpoint披露，该恶意活动主要针对航空和卫星通信领域，并于2024年10月下旬被发现。Proofpoint将此新出现的攻击组织命名为“UNK_CraftyCamel”。 此次攻击的一大特点是，攻击者利用了印度电子公司INDIC Electronics的受感染电子邮件账户发送钓鱼邮件。该公司与所有攻击目标均保持着可信赖的商业关系，因此邮件内容根据不同受害者量身定制，以提高欺骗性。 Proofpoint在提供给《The Hacker News》的报告中表示：“UNK_CraftyCamel利用一家受感染的印度电子公司，向阿联酋少数几家机构发送包含恶意ZIP文件的钓鱼邮件。这些ZIP文件包含多种混合格式（polyglot files），最终安装了名为Sosano的定制Go语言后门。” 攻击者在邮件中嵌入了指向伪装成印度公司官方网站的恶意链接（“indicelectronics[.]net”），该网站托管着一个ZIP压缩包，内含一份XLS文件和两份PDF文件。 实际上，该XLS文件是一个伪装成Excel文档的Windows快捷方式（LNK），而两份PDF文件则是特殊的多格式文件。其中一份PDF文件附带了HTML应用程序（HTA）文件，另一份则嵌入了一个ZIP压缩包。 这意味着，这两份PDF文件在不同程序（如文件资源管理器、命令行工具和浏览器）中解析时，可能会呈现出不同的格式，从而掩盖其恶意性质。 Proofpoint的分析显示，攻击者利用LNK文件启动cmd.exe，随后借助mshta.exe执行PDF/HTA混合文件，触发HTA脚本。该脚本进一步解压第二个PDF文件中隐藏的ZIP压缩包，并执行其中的恶意代码。 在解压的文件中，有一个URL快捷方式文件（.url），用于加载一个二进制文件。该文件随后搜索一个特定的图像文件，并使用字符串“234567890abcdef”进行异或（XOR）解码，从而释放并运行名为Sosano的DLL后门程序。 Sosano后门采用Golang编写，功能相对有限，主要用于连接远程指挥控制（C2）服务器，并执行指令，包括： sosano：获取当前目录或更改工作目录 yangom：枚举当前目录内容 monday：下载并运行下一阶段的未知载荷 raian：删除或移除目录 lunna：执行Shell命令 Proofpoint指出，UNK_CraftyCamel的攻击手法与任何已知的黑客组织或威胁团体均无明显关联。 Proofpoint高级威胁研究员Joshua Miller对《The Hacker News》表示：“我们的分析表明，这次行动很可能由一个与伊朗有联系的攻击团体实施，可能与伊朗伊斯兰革命卫队（IRGC）相关。” “被攻击的行业对经济稳定和国家安全至关重要，因此成为地缘政治竞争中的重要情报目标。这场攻击规模虽小但极具针对性，攻击者不仅利用了多种混淆技术，还通过可信的第三方账户进行渗透，目标直指阿联酋的航空、卫星通信及关键交通基础设施。这表明，与国家相关的黑客组织正不断升级手法，以规避检测并达成情报收集任务。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Mozilla 释出了 Firefox 136。主要新特性包括：Linux 版本首次正式提供了 AArch64 (ARM64)架构的二进制包；Linux 版本支持 AMD GPU 硬件视频解码；HTTPS-First，默认页面加载 HTTPS，如果安全连接失败则回滚到 HTTP；垂直标签布局；新的浏览器布局部分；PNG 拷贝支持；Smartblock Embeds 允许用户选择性的解除对网页中嵌入的社媒的屏蔽；Solo AI Link；新标签页上的天气预报；等等。

Slack Jack – Slack Bot Token Abuse Slack Jack is a penetration testing tool designed for ethical hacking and security testing purposes. It allows you to hijack a Slack bot using its token (e.g.,...

The post Slack Jack: Bot Exploitation for Penetration Testers appeared first on Penetration Testing Tools.

VED-eBPF: Kernel Exploit and Rootkit Detection using eBPF VED (Vault Exploit Defense)-eBPF leverages eBPF (extended Berkeley Packet Filter) to implement runtime kernel security monitoring and exploit detection for Linux systems. Introduction eBPF is an...

The post ved-ebpf: Kernel Exploit and Rootkit Detection using eBPF appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： Broadcom 发布了安全更新，以解决 VMware ESXi、Workstation 和 Fusion 产品中的三个被积极利用的安全漏洞，这些漏洞可能导致代码执行和信息泄露。 漏洞详情 CVE-2025-22224（CVSS 评分：9.3）：这是一个 TOCTOU（Time-of-Check Time-of-Use）漏洞，导致越界写入。具有虚拟机本地管理权限的恶意行为者可利用此漏洞在主机上以虚拟机的 VMX 进程身份执行代码。 CVE-2025-22225（CVSS 评分：8.2）：这是一个任意写入漏洞。具有 VMX 进程权限的恶意行为者可利用此漏洞实现沙盒逃逸。 CVE-2025-22226（CVSS 评分：7.1）：这是一个信息泄露漏洞，源于 HGFS 中的越界读取。具有虚拟机管理权限的恶意行为者可利用此漏洞泄露 vmx 进程的内存内容。 受影响版本及修复情况 VMware ESXi 8.0：修复版本为 ESXi80U3d-24585383 和 ESXi80U2d-24585300。 VMware ESXi 7.0：修复版本为 ESXi70U3s-24585291。 VMware Workstation 17.x：修复版本为 17.6.3。 VMware Fusion 13.x：修复版本为 13.6.3。 VMware Cloud Foundation 5.x：异步修复至 ESXi80U3d-24585383。 VMware Cloud Foundation 4.x：异步修复至 ESXi70U3s-24585291。 VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x：修复版本为 ESXi 7.0U3s、ESXi 8.0U2d 和 ESXi 8.0U3d。 VMware Telco Cloud Infrastructure 3.x, 2.x：修复版本为 ESXi 7.0U3s。 Broadcom 在一份 FAQ 中承认，有信息表明这些漏洞在野外已被利用，但未详细说明攻击的性质或利用这些漏洞的威胁行为者的身份。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

What is Hiphp? The HIPHP BackDoor is an open-source tool that allows for remote control of websites utilizing the PHP programming language via the HTTP/HTTPS protocol. By utilizing the POST/GET method on port 80,...

The post hiphp: create a BackDoor to control PHP-based sites appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 部署 Black Basta 和 CACTUS 勒索软件家族的威胁行为者被发现依赖相同的 BackConnect（BC）模块来维持对受感染主机的持续控制，这表明以前与 Black Basta 有关联的附属机构可能已经转向 CACTUS。 “一旦渗透，它就授予攻击者广泛的远程控制功能，允许他们在受感染的机器上执行命令，”Trend Micro 在周一的分析中表示，“这使他们能够窃取敏感数据，如登录凭据、财务信息和个人文件。” 值得注意的是，BC 模块的细节，由于其与 QakBot 加载程序的重叠，被网络安全公司跟踪为 QBACKCONNECT，首次于 2025 年 1 月下旬由沃尔玛的网络情报团队和 Sophos 文档，后者将该集群命名为 STAC5777。 在过去的 2024 年，Black Basta 攻击链越来越多地利用电子邮件炸弹战术来诱使潜在目标在联系后安装 Quick Assist，这些威胁行为者以 IT 支持或帮助台人员的身份出现。 访问然后作为渠道，通过 OneDriveStandaloneUpdater.exe 侧载恶意 DLL 加载程序（“winhttp.dll”），这是一个负责更新 Microsoft OneDrive 的合法可执行文件。加载程序最终解密并运行 BC 模块。 CACTUS 勒索软件 Trend Micro 观察到一次 CACTUS 勒索软件攻击，该攻击使用了相同的植入 BackConnect 的方式，但还超越了这一点，进行了各种后期利用操作，如横向移动和数据泄露。然而，加密受害者网络的努力以失败告终。 这种战术的汇聚在最近的 Black Basta 聊天记录泄露的背景下显得尤为重要，这些记录揭示了网络犯罪团伙的内部运作和组织结构。 具体来说，已经发现该团伙的成员共享了有效的凭据，其中一些来自信息窃取日志。其他一些突出的初始访问点是远程桌面协议（RDP）门户和 VPN 端点。 “威胁行为者正在使用这些战术、技术和程序（TTP）—— 电话钓鱼、Quick Assist 作为远程工具，以及 BackConnect—— 来部署 Black Basta 勒索软件，”Trend Micro 表示。 “具体来说，有证据表明，成员已经从 Black Basta 勒索软件团伙转向了 CACTUS 勒索软件团伙。这一结论是通过对 CACTUS 团伙使用的类似战术、技术和程序（TTP）的分析得出的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

全球二次元含量最高的安防展：）

全球二次元含量最高的安防展：）

全球二次元含量最高的安防展：）

全球二次元含量最高的安防展：）

全球二次元含量最高的安防展：）

全球二次元含量最高的安防展：）

全球二次元含量最高的安防展：）

A vulnerability has been found in Synology Camera and classified as critical. Affected by this vulnerability is an unknown functionality of the component Setting Handler. The manipulation leads to path traversal. This vulnerability is known as CVE-2023-47803. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Synology Camera and classified as critical. Affected by this issue is some unknown functionality of the component IP Block Handler. The manipulation leads to os command injection. This vulnerability is handled as CVE-2023-47802. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Synology Camera. It has been classified as very critical. This affects an unknown part. The manipulation leads to buffer overflow. This vulnerability is uniquely identified as CVE-2024-39349. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.