Aggregator

巴基斯坦SideCopy APT组织伪装政府人员，利用XenoRAT攻击印度关键部门。

HackerNews 编译，转载请注明出处： F5 Labs 的研究人员发现了一场针对性攻击活动，该活动利用托管在 AWS EC2 实例上的网站中的服务器端请求伪造（SSRF）漏洞来提取 EC2 元数据，这些元数据可能包括来自 IMDSv1 端点的身份和访问管理（IAM）凭据。 检索 IAM 凭据使攻击者能够提升权限并访问 S3 存储桶或控制其他 AWS 服务，可能导致敏感数据泄露、操作和中断服务。 F5 Labs 的研究人员报告称，恶意活动在 2025 年 3 月 13 日至 25 日之间达到高潮。流量和行为模式强烈表明，这是由单一威胁者实施的。 SSRF 问题是网络漏洞，使攻击者能够“欺骗”服务器代表他们向内部资源发出 HTTP 请求，而这些资源通常是攻击者无法访问的。 在 F5 观察到的活动中，攻击者找到了具有 SSRF 漏洞的 EC2 主机网站，使他们能够远程查询内部 EC2 元数据 URL 并接收敏感数据。 EC2 元数据是亚马逊 EC2（弹性计算云）中的一项服务，提供有关在 AWS 上运行的虚拟机的信息。这些信息可能包括配置详细信息、网络设置，以及潜在的安全凭据。 该元数据服务只能通过连接到内部 IP 地址上的特殊 URL（如 http://169.254.169.254/latest/meta-data/）的虚拟机访问。 首个恶意 SSRF 探测记录在 3 月 13 日，但活动在 3 月 15 日至 25 日之间升级到全面规模，使用了几个位于法国和罗马尼亚的 FBW Networks SAS IP。 在此期间，攻击者轮换了六个查询参数名称（dest、file、redirect、target、URI、URL）和四个子路径（例如，/meta-data/、/user-data），显示出从易受攻击的站点中提取敏感数据的系统性方法。 这些攻击之所以成功，是因为易受攻击的实例运行在 IMDSv1 上，这是 AWS 的旧元数据服务，允许任何对实例有访问权限的人检索元数据，包括任何存储的 IAM 凭据。 该系统已被 IMDSv2 取代，后者需要会话令牌（身份验证）来保护网站免受 SSRF 攻击。 这些攻击在 2025 年 3 月的威胁趋势报告中被强调，F5 Labs 文档记录了过去一个月中被利用最多的漏洞。 按数量计算，被利用最多的前四个 CVE 是： CVE-2017-9841 – 通过 eval-stdin.php 远程执行代码的 PHPUnit（69,433 次尝试） CVE-2020-8958 – 广州 ONU OS 命令注入 RCE（4,773 次尝试） CVE-2023-1389 – TP-Link Archer AX21 命令注入 RCE（4,698 次尝试） CVE-2019-9082 – ThinkPHP PHP 注入 RCE（3,534 次尝试） 报告强调，旧漏洞仍然是高度针对性的，40% 的被利用 CVE 年龄超过四年。 为了缓解威胁，建议应用可用的安全更新、加强路由器和物联网设备配置，并用受支持的型号替换已停产的网络设备。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Emerging AI Tools Can Transform SOC Analysts' Jobs But Require New Sets of Skills
In a job market known for its talent shortage and skills gap, the shift to AI-based solutions represents both an opportunity and a call to action. While AI can tackle grunt work with remarkable accuracy, it also demands a new set of skills from the cybersecurity workforce.

Largest Palo Alto Purchase Since 2020 Would Aid AI Model Security and Governance
Palo Alto Networks is eyeing its largest startup deal since December 2020, with the platform giant targeting Protect AI, a startup that offers AI scanning, LLM security and gen AI red teaming. Palo Alto Networks is prepared to pay between $650 million and $700 million for Protect AI, Globes reported.

Tech Giant Says Threat Actors Are Exploiting a Flaw in Widely-Targeted Windows Tool
Ransomware threat actors are exploiting a zero-day vulnerability discovered in a highly targeted Windows logging system tool in a campaign in part targeting U.S. IT and real estate sectors, Microsoft confirmed in a Tuesday blog post urging customers to apply available patches.

Academics Map Out Holistic Cyber Education for Future Defenders in the Age of AI
Cybersecurity education can't be built on tools alone. It must prepare students to think critically, navigate complex systems and address the human dimensions of security. That's the vision behind the new textbook "Cyber Security Foundations: Fundamentals, Technology and Society."

OT Operators Can't Count on Isolation to Protect Network
Rare is the OT environment truly isolated from a business network. Experts say real-time, contextual threat intelligence is now essential for securing OT systems, enabling faster detection, more accurate responses and coordinated action across IT and OT teams.

Sen. Mark Warner Says Talk of Oracle's Involvement Worrisome Due to Recent Breaches
Speculation about software giant Oracle being a top contender to take over social media platform TikTok from China-based ByteDance is especially concerning considering Oracle's two recent data breaches, said the co-chair of the Senate Intelligence Committee in a letter to the Trump administration.

オープン株式会社が提供するBizRobo!には、複数の脆弱性が存在します。

HackerNews 编译，转载请注明出处： 微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。 在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。   此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。   正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。   自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。   “从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。   “因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”   Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。   “这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”   “在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”   根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。   本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。   同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。   关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。   值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”   其他厂商的软件补丁 除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：   – Adobe   – Amazon Web Services   – AMD   – Apache Parquet   – Apple   – Arm   – ASUS   – Bitdefender   – Broadcom（包括 VMware）   – Canon   – Cisco   – CrushFTP   – Dell   – Drupal   – F5   – Fortinet   – GitLab   – Google Android   – Google Chrome   – Google Cloud   – Hitachi Energy   – HP   – HP Enterprise（包括 Aruba Networking）   – Huawei   – IBM   – Ivanti   – Jenkins   – Juniper Networks   – Lenovo   – Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）   – MediaTek   – Meta WhatsApp   – Minio   – Mitel   – Mitsubishi Electric   – MongoDB   – Moxa   – Mozilla Firefox、Firefox ESR 和 Thunderbird   – QNAP   – Qualcomm   – Rockwell Automation   – Salesforce   – Samsung   – SAP   – Schneider Electric   – Siemens   – SonicWall   – Sophos   – Splunk   – Spring Framework   – Synology   – WordPress   – Zoho ManageEngine   – Zoom   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Model Context Protocol (MCP) 不仅简化了开发流程，还为 AI 的广泛应用铺平了道路。

Stifle Nearly a year ago, Jonas Knudsen (@Jonas_B_K) over at SpecterOps published a blog titled “ADCS ESC14 Abuse Technique”, covering a previously known technique for leveraging Active Directory Certificate Services (ADCS) for multiple types...

The post Stifle: .NET Post-Exploitation Utility for Abusing Explicit Certificate Mappings in ADCS appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 微软透露，一个现已修复的安全漏洞影响了 Windows 公共日志文件系统（CLFS），该漏洞被作为零日漏洞利用，用于针对少数目标的勒索软件攻击。 “目标包括美国信息技术（IT）和房地产行业的组织、委内瑞拉的金融行业、一家西班牙软件公司以及沙特阿拉伯的零售行业，”这家科技巨头表示。 相关漏洞是 CVE-2025-29824，这是一个 CLFS 中的权限提升漏洞，攻击者可利用其获得 SYSTEM 权限。微软在 2025 年 4 月的补丁星期二更新中修复了这一漏洞。 微软正在追踪这一活动以及 CVE-2025-29824 被利用后的情况，并将其命名为 Storm-2460，同时发现攻击者还利用了一种名为 PipeMagic 的恶意软件来交付漏洞利用程序和勒索软件载荷。 目前尚不清楚攻击中使用的具体初始访问向量。然而，观察到攻击者使用 certutil 工具从一个先前被攻陷的合法第三方站点下载恶意软件，以部署载荷。 该恶意软件是一个包含加密载荷的恶意 MSBuild 文件，解包后会启动 PipeMagic，这是一个自 2022 年以来在野外被检测到的基于插件的特洛伊木马。 值得一提的是，CVE-2025-29824 是继 CVE-2025-24983（一个 Windows Win32 内核子系统权限提升漏洞）之后，通过 PipeMagic 传递的第二个 Windows 零日漏洞。CVE-2025-24983 由 ESET 发现，并于上个月由微软修复。 此前，PipeMagic 还与利用另一个 CLFS 零日漏洞（CVE-2023-28252）的 Nokoyawa 勒索软件攻击有关。 “在我们归因于同一攻击者的其他攻击中，我们还观察到，在利用 CLFS 提权漏洞之前，受害者的机器已被一个名为‘PipeMagic’的自定义模块化后门感染，该后门通过 MSBuild 脚本启动，”卡巴斯基在 2023 年 4 月指出。 需要强调的是，Windows 11 24H2 版本不受此特定漏洞利用的影响，因为对 NtQuerySystemInformation 中某些系统信息类的访问被限制为具有 SeDebugPrivilege 的用户，而这类权限通常只有管理员级别的用户才能获得。 “漏洞利用针对的是 CLFS 内核驱动中的一个漏洞，”微软威胁情报团队解释道。“漏洞利用随后利用内存损坏和 RtlSetAllBits API 将漏洞利用进程的令牌覆盖为值 0xFFFFFFFF，从而为进程启用所有权限，这允许将进程注入到 SYSTEM 进程中。” 成功利用漏洞后，攻击者会通过转储 LSASS 内存来提取用户凭据，并使用随机扩展名加密系统中的文件。 微软表示，未能获得勒索软件样本进行分析，但指出加密后留下的勒索信中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域。 “勒索软件攻击者重视被攻陷后的提权漏洞利用，因为这些漏洞可以让他们将初始访问权限（包括从商品恶意软件分发者手中接过的访问权限）提升为特权访问权限，”微软表示。“然后他们利用这些特权访问权限在环境中广泛部署和引爆勒索软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Trend Micro Deep Security and classified as critical. Affected by this issue is some unknown functionality. The manipulation leads to link following. This vulnerability is handled as CVE-2025-30640. Local access is required to approach this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Trend Micro Deep Security and classified as critical. Affected by this vulnerability is an unknown functionality of the component Anti-Malware Solution Platform. The manipulation leads to Local Privilege Escalation. This vulnerability is known as CVE-2025-30641. An attack has to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, was found in Trend Micro Apex Central. Affected is an unknown function of the component modTMSM. The manipulation leads to server-side request forgery. This vulnerability is traded as CVE-2025-30678. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Trend Micro Apex Central. This issue affects some unknown processing of the component modOSCE. The manipulation leads to server-side request forgery. The identification of this vulnerability is CVE-2025-30679. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Trend Micro Apex Central. This vulnerability affects unknown code. The manipulation leads to server-side request forgery. This vulnerability was named CVE-2025-30680. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Trend Micro Deep Security Agent. This affects an unknown part. The manipulation leads to link following. This vulnerability is uniquely identified as CVE-2025-30642. Local access is required to approach this attack. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in MicroDicom Web DICOM Viewer. It has been rated as problematic. Affected by this issue is some unknown functionality. The manipulation leads to cleartext transmission of sensitive information. This vulnerability is handled as CVE-2025-3480. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.