Aggregator

HackerNews 编译，转载请注明出处： 自 2024 年 5 月以来，攻击者一直在利用 Edimax IC-7100 网络摄像头的一个未修复安全漏洞来分发 Mirai 僵尸网络恶意软件变种。 该漏洞为 CVE-2025-1316（CVSS v4 评分：9.3），是一个关键的操作系统命令注入漏洞，攻击者可利用特制请求在易受攻击设备上实现远程代码执行。 网络安全公司 Akamai 表示，针对该漏洞的最早利用尝试可追溯到 2024 年 5 月，尽管自 2023 年 6 月以来一直有公开的概念验证（PoC）利用可用。 “该漏洞利用了 Edimax 设备中 /camera-cgi/admin/param.cgi 端点，并将命令注入 NTP_serverName 选项，作为 param.cgi 的 ipcamSource 选项的一部分，”Akamai 研究员 Kyle Lefton 和 Larry Cashdollar 表示。 虽然利用该端点需要身份验证，但发现攻击者利用了默认凭证（admin:1234）来获取未经授权的访问。 至少有两种不同的 Mirai 僵尸网络变种被发现利用该漏洞，其中一种在运行获取不同架构恶意软件的 shell 脚本之前还加入了反调试功能。 这些活动的最终目标是将受感染设备整合到一个能够针对感兴趣目标发动分布式拒绝服务（DDoS）攻击的网络中。 此外，僵尸网络还被观察到利用了影响 TOTOLINK 物联网设备的 CVE-2024-7214 和 CVE-2021-36220 以及 Hadoop YARN 漏洞。 在上周发布的一份独立咨询中，Edimax 表示 CVE-2025-1316 影响的是不再积极支持的旧设备，由于该型号已停产超过 10 年，因此没有计划提供安全补丁。 鉴于没有官方补丁，建议用户要么升级到较新的型号，要么避免将设备直接暴露在互联网上，更改默认管理员密码，并监控访问日志是否有异常活动的迹象。 “网络犯罪分子开始组装僵尸网络的最有效方式之一是针对旧设备上安全性差且过时的固件，”Akamai 表示。 “Mirai 的遗产继续困扰着全球各地的组织，因为基于 Mirai 恶意软件的僵尸网络传播没有停止的迹象。有了各种免费的教程和源代码（现在还有人工智能的帮助），启动僵尸网络变得更容易了。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Apache Tomcat 被披露存在一个安全漏洞，该漏洞在公开披露仅 30 小时后，随着公共概念验证（PoC）的发布，已在野外被积极利用。 该漏洞被追踪为 CVE-2025-24813，影响以下版本： – Apache Tomcat 11.0.0-M1 至 11.0.2 – Apache Tomcat 10.1.0-M1 至 10.1.34 – Apache Tomcat 9.0.0-M1 至 9.0.98 当满足特定条件时，该漏洞可能导致远程代码执行或信息泄露： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 安全敏感上传的目标 URL 是公共上传目标 URL 的子目录 – 攻击者了解正在上传的安全敏感文件的名称 – 安全敏感文件也通过部分 PUT 上传 若成功利用该漏洞，恶意用户可查看安全敏感文件，或通过 PUT 请求将任意内容注入这些文件。 此外，若以下所有条件均满足，攻击者还可实现远程代码执行： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 应用程序使用了 Tomcat 的基于文件的会话持久化功能，并使用了默认存储位置 – 应用程序包含可能被用于反序列化攻击的库 上周，项目维护者在一份咨询报告中表示，该漏洞已在 Tomcat 版本 9.0.99、10.1.35 和 11.0.3 中得到解决。 然而，Wallarm 公司指出，该漏洞已出现野外利用尝试。 “此次攻击利用了 Tomcat 的默认会话持久化机制及其对部分 PUT 请求的支持，”该公司表示。 “该漏洞的利用分为两个步骤：攻击者通过 PUT 请求上传一个序列化的 Java 会话文件。攻击者通过在 GET 请求中引用恶意会话 ID 来触发反序列化。” 换句话说，这些攻击涉及发送一个包含 Base64 编码序列化 Java 负载的 PUT 请求，该请求被写入 Tomcat 的会话存储目录，随后通过发送一个带有指向恶意会话的 JSESSIONID 的 GET 请求来执行反序列化。 Wallarm 还指出，该漏洞极易被利用，且无需身份验证。唯一的先决条件是 Tomcat 使用基于文件的会话存储。 “虽然此漏洞利用了会话存储，但更大的问题是 Tomcat 对部分 PUT 处理不当，这允许几乎在任何位置上传任何文件，”它补充道。“攻击者将很快开始改变策略，上传恶意 JSP 文件，修改配置，并在会话存储之外植入后门。” 建议运行受影响版本 Tomcat 的用户尽快更新其实例，以减轻潜在威胁。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在渗透测试与权限维持的场景中，攻击者通常会利用任务计划来创建持久化后门，以确保恶意代码在系统重启后仍能自动执行

01.NET内网安全攻防报刊小报童电子报刊【.NET内网安全攻防】也正式上线了，引入小报童也是为了弥补知识星球

重磅发布，万众期待！在大家的期待下，专注于.NET攻防实战的专业书籍—《.NET安全攻防指南》终于正式上线！

A vulnerability was found in Juniper Junos OS up to 24.2R1-S2. It has been classified as problematic. This affects an unknown part of the component Kernel. The manipulation leads to improper isolation or compartmentalization. This vulnerability is uniquely identified as CVE-2025-21590. Attacking locally is a requirement. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

苹果本周将举行百大高管会议：遭痛批的 AI 成焦点； 通义千问：QwQ-32B 登顶全球最强开源模型； 百川智能联合创始人焦可、陈炜鹏出走，均开启 AI 领域创业； 1688 全面取消「仅退款」

银狐票根类最新样本分析

GreyNoise has identified a notable resurgence of in-the-wild activity targeting three ServiceNow vulnerabilities: "Resurgence of in-the-wild Activity targeting critical ServiceNow vulns. Overwhelming majority of traffic hitting Israel.

Trend Zero Day Initiative™ (ZDI) uncovered both state-sponsored and cybercriminal groups extensively exploiting ZDI-CAN-25373 (aka ZDI-25-148), a Windows .lnk file vulnerability that enables hidden command execution.

Chamilo LMS 1.11.24 - Remote Code Execution (RCE)

Trend Research analyzed SocGholish’s MaaS framework and its role in deploying RansomHub ransomware through compromised websites, using highly obfuscated JavaScript loaders to evade detection and execute various malicious tasks.

助力证券行业构建安全、高效、敏捷的数字化基础设施。