首頁 > 安全研究 > 安全通報 > 安全簡訊

Nuclei漏洞掃描程序曝出高危安全漏洞,可致惡意代碼執行

發布時間 2025-01-07

1. Nuclei漏洞掃描程序曝出高危安全漏洞,可致惡意代碼執行


1月5日,開源漏洞掃描工具 Nuclei(由 ProjectDiscovery 開發)存在一個編號為 CVE-2024-43405 的高嚴重性安全漏洞,CVSS 評分為 7.4。該漏洞由 Wiz 工程團隊發現,源于換行處理差異和多重簽名處理機制,允許攻擊者繞過簽名檢查并在模板中注入惡意內容,進而執行惡意代碼。此漏洞影響 Nuclei 3.0.0 及以上版本,直至 v3.3.2 版本才得到解決。Nuclei 在 GitHub 上擁有 21,000+ 星標和超過 210 萬次下載,對安全社區至關重要。Nuclei 以其基于 YAML 的靈活模板著稱,支持多種協議包括 HTTP、TCP、DNS、TLS 和 Code,其中 Code 協議允許在主機上執行外部代碼,但也可能帶來嚴重風險。漏洞源于使用正則表達式和 YAML 解析器進行簽名驗證時的不一致,以及“First-Signature Trust”和簽名移除的不一致處理,這些弱點允許攻擊者注入未經驗證的惡意內容。當組織運行未經適當驗證或隔離的不受信任或社區貢獻的模板時,尤其容易受到攻擊,可能導致任意命令執行、數據泄露或系統入侵。


https://securityaffairs.com/172692/security/nuclei-flaw-execute-malicious-code.html


2. 新惡意軟件PLAYFULGHOST被發現,具有廣泛信息收集功能


1月4日,網絡安全研究人員發現了一種名為PLAYFULGHOST的新惡意軟件,它具備多種信息收集功能,如鍵盤記錄、屏幕捕獲、音頻捕獲、遠程shell以及文件傳輸/執行。該惡意軟件與已知遠程管理工具Gh0st RAT在功能上存在重疊。PLAYFULGHOST通過網絡釣魚電子郵件或搜索引擎優化投毒技術分發,誘騙受害者打開偽裝成圖像文件的惡意RAR存檔或下載帶有惡意軟件的LetsVPN安裝程序。該惡意軟件利用DLL搜索順序劫持和側載等方法啟動惡意DLL,并在主機上設置持久性,收集大量數據。此外,PLAYFULGHOST還能投放更多有效載荷、阻止鼠標和鍵盤輸入、清除Windows事件日志等,并與其他工具如Mimikatz和rootkit一起使用。針對搜狗、QQ和360安全等應用程序以及使用LetsVPN誘餌,這些感染可能針對的是講中文的Windows用戶。類似的活動也曾在2024年7月由加拿大網絡安全供應商eSentire披露,利用Google Chrome的虛假安裝程序傳播Gh0st RAT。


https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html


3. PhishWP:俄羅斯網絡犯罪分子的新型WordPress釣魚插件威脅


1月6日,俄羅斯網絡犯罪分子開發了一款名為PhishWP的惡意WordPress插件,該插件通過創建高仿真的虛假支付頁面來竊取用戶的信用卡信息、CVV安全碼和3DS一次性密碼(OTP)等敏感數據。這些頁面模仿合法支付服務如Stripe,誘騙用戶輸入個人信息。PhishWP不僅具備高度可定制的結賬頁面,還集成了瀏覽器分析功能和自動回復電子郵件,以增強其欺騙性和繞過安全驗證的能力。更為先進的是,該插件能夠實時通過Telegram將竊取的信息傳輸給攻擊者,便于他們在暗網上立即進行未經授權的交易或銷售。PhishWP的多語言支持和混淆功能使得攻擊者能在全球范圍內發起針對性的網絡釣魚活動,造成重大財務損失和個人數據泄露。為了應對這一威脅,網絡安全公司SlashNext敦促用戶采取積極的網絡安全措施,如使用網絡釣魚保護工具,保持高度警惕,以有效抵御此類復雜攻擊。


https://hackread.com/phishwp-plugin-russian-hacker-forum-phishing-sites/


4. Moxa發出高危漏洞警告,影響多款路由器和網絡安全設備


1月6日,工業網絡和通信供應商Moxa發出緊急警告,指出其蜂窩路由器、安全路由器和網絡安全設備的多個型號存在高危漏洞。這些漏洞包括CVE-2024-9138和CVE-2024-9140,允許遠程攻擊者獲取root權限并執行任意命令,導致任意代碼執行。Moxa設備廣泛應用于交通運輸、公用事業、能源和電信領域的工業自動化和控制系統環境。受影響的設備包括EDR-8010系列、EDR-G9004系列、EDR-G9010系列、EDF-G1002-BP系列、NAT-102系列、OnCell G4302-LTE4系列和TN-4900系列等,具體受影響的是這些系列的某些固件版本。Moxa已發布固件更新以修復這些漏洞,并強烈建議用戶立即升級以避免潛在風險。對于NAT-102系列,目前沒有可用補丁,建議采取緩解措施。Moxa還建議限制設備網絡暴露和SSH訪問,并使用防火墻、IDS或IPS來監控和阻止攻擊嘗試。同時,公告指出MRC-1002系列、TN-5900系列和OnCell 3120-LTE-1系列設備不受這兩個漏洞影響。


https://www.bleepingcomputer.com/news/security/vulnerable-moxa-devices-expose-industrial-networks-to-attacks/


5. 俄羅斯將大規?;ヂ摼W中斷歸咎于電信網絡事故


1月6日,俄羅斯互聯網監管機構報告稱,由于電信運營商主網絡故障,導致該國多項在線服務遭遇大規模中斷,包括熱門在線平臺谷歌、Yandex、Rutube、VKontakte和Discord,以及當地銀行和移動運營商MTS等服務。據互聯網監控服務Downdetector的數據顯示,大多數投訴來自莫斯科,涉及MTS提供的服務,但MTS未就中斷原因發表評論。盡管該事件已得到解決且服務正在恢復,但截至撰寫時仍有部分用戶無法訪問服務。俄羅斯經常發生互聯網中斷,有時是當地政府故意為之,如去年12月測試“主權互聯網”基礎設施時導致多個地區居民無法訪問一些外國和本地應用程序和網站。此外,俄羅斯還因谷歌拒絕遵守技術法規而故意降低YouTube加載速度,并封鎖了Viber、Signal和Discord等通訊應用程序的訪問。


https://therecord.media/russia-widespread-accident-outage-wifi


6. Eagerbee惡意軟件新變種針對中東政府組織及ISP進行全球性攻擊


1月6日,Eagerbee惡意軟件框架的新變種正在針對中東的政府組織和互聯網服務提供商進行部署,此前該惡意軟件已被發現與中國政府支持的威脅行為者有關??ò退够芯咳藛T發現,該惡意軟件與名為“CoughingDown”的威脅組織存在潛在聯系。攻擊者通過在system32目錄中部署注入器來加載有效載荷文件,濫用Windows服務并在內存中寫入后門負載。該后門可以全天候運行,收集系統信息并與命令和控制服務器建立TCP/SSL通道,接收附加插件以擴展其功能。這些插件包括文件管理器、進程管理器、遠程訪問管理器、服務管理器和網絡管理器,使攻擊者在受感染的系統上具有廣泛的能力。同樣的后門加載鏈也在日本被發現,表明此次攻擊是全球性的。組織應修補Exchange服務器上的ProxyLogon漏洞,并使用卡巴斯基報告中列出的危害指標盡早發現威脅。


https://www.bleepingcomputer.com/news/security/eagerbee-backdoor-deployed-against-middle-eastern-govt-orgs-isps/

上一篇 下一篇