mirror of
https://github.com/Hxnxe/CyberSentinel-AI.git
synced 2025-11-04 17:13:53 +00:00
294 lines
14 KiB
Markdown
294 lines
14 KiB
Markdown
|
|
|||
|
|
# 安全资讯日报 2025-05-12
|
|||
|
|
|
|||
|
|
> 本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
|
|||
|
|
>
|
|||
|
|
> 更新时间:2025-05-12 02:58:27
|
|||
|
|
|
|||
|
|
<!-- more -->
|
|||
|
|
|
|||
|
|
## 今日资讯
|
|||
|
|
|
|||
|
|
### 🔍 漏洞分析
|
|||
|
|
|
|||
|
|
* [文化局小程序的一次越权测试](https://mp.weixin.qq.com/s?__biz=MzkwODc1NTgyMg==&mid=2247485007&idx=1&sn=c880314e69567fc368851a0fbf4d86be)
|
|||
|
|
* [通过CE固定小程序动态密钥后自动化加解密|挖洞技巧](https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247491359&idx=1&sn=cf1b949ccb8d1929339bfd5eb4228aaf)
|
|||
|
|
* [PXA Stealer最新攻击活动样本分析](https://mp.weixin.qq.com/s?__biz=MzU4NTY4MDEzMw==&mid=2247494102&idx=1&sn=5516a2721e433c526b1afa2677656037)
|
|||
|
|
* [新型Mamona勒索软件滥用Ping命令攻击Windows系统](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247520424&idx=1&sn=3030e4f9b17e87b75076303fa1eef06a)
|
|||
|
|
|
|||
|
|
### 🔬 安全研究
|
|||
|
|
|
|||
|
|
* [能力验证分组密码的工作模式](https://mp.weixin.qq.com/s?__biz=MzU1Mjk3MDY1OA==&mid=2247520765&idx=1&sn=15fa3a80ed4194bf0b2e4533ef3a409a)
|
|||
|
|
* [密码套件:网络安全的“密码锁组合”如何命名?详解TLS加密背后的命名玄机](https://mp.weixin.qq.com/s?__biz=MzkyMTYyOTQ5NA==&mid=2247487109&idx=1&sn=a197098e9071dd61126fbaaa8e7ae4a9)
|
|||
|
|
* [网安人没吃过shi的可以挖挖gov小程序](https://mp.weixin.qq.com/s?__biz=MzkwMTcwNzEwOA==&mid=2247483775&idx=1&sn=bfb4544ddf2645360c2199728646d1aa)
|
|||
|
|
|
|||
|
|
### 🎯 威胁情报
|
|||
|
|
|
|||
|
|
* [德国因涉嫌19亿美元洗钱关闭eXch,查获3400万欧元加密货币和8TB数据](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115674&idx=2&sn=8a3cd177f6e0abc710c089e47bc3f122)
|
|||
|
|
* [俄罗斯黑客利用恶意驱动器攻击西方军事使团](https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247492775&idx=1&sn=7b1f6cf6ba2b394c7e1d109f4cb6959d)
|
|||
|
|
* [威胁分析平台更新](https://mp.weixin.qq.com/s?__biz=Mzk0NDI2MTQzMw==&mid=2247484663&idx=1&sn=e58f71e4b49d634c7d285bd02f291a72)
|
|||
|
|
|
|||
|
|
### 🛠️ 安全工具
|
|||
|
|
|
|||
|
|
* [工具推荐 | 最新密探渗透测试工具v1.2.3 版本](https://mp.weixin.qq.com/s?__biz=MzkwNjczOTQwOA==&mid=2247494582&idx=1&sn=817c80f8b40732473698c75a2545e265)
|
|||
|
|
|
|||
|
|
### 📚 最佳实践
|
|||
|
|
|
|||
|
|
* [NIST差异隐私保证评估指南](https://mp.weixin.qq.com/s?__biz=MzA5MTYyMDQ0OQ==&mid=2247493893&idx=1&sn=6dec687e2ed2dd0266ca64132f33eaa0)
|
|||
|
|
* [2025公安部网安局等级保护工作要求最新动向浅析](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247499873&idx=1&sn=ba7e7fae2beb45365b5d63bbd2d75508)
|
|||
|
|
* [网络安全知识:什么是网络安全?](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247499873&idx=2&sn=af86ced48bae8220de2f6dd324a775bf)
|
|||
|
|
* [华为云流量监控与安全防护策略](https://mp.weixin.qq.com/s?__biz=Mzg3NTUzOTg3NA==&mid=2247515651&idx=1&sn=22d4694178f01a2fe39da9f25398eb47)
|
|||
|
|
|
|||
|
|
### 🍉 吃瓜新闻
|
|||
|
|
|
|||
|
|
* [公网安〔2025〕1846号文:风险隐患及工作方案释疑浅谈](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115674&idx=1&sn=4ca9a24d4c150d25d46d04a47176985c)
|
|||
|
|
* [网络安全行业,果然浑水摸鱼的不在少数!从某90万防火墙预算采购到了269 元路由器谈起](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247490701&idx=1&sn=c5bb340bbc4a582dfef8bf3d226901cc)
|
|||
|
|
|
|||
|
|
### 📌 其他
|
|||
|
|
|
|||
|
|
* [2025护网行动(HW)中高级人员招聘](https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247491359&idx=2&sn=ec57c507017649b13851a080873262ff)
|
|||
|
|
* [母亲节祝天下母亲,节日快乐!](https://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==&mid=2247489458&idx=1&sn=ea331348ac29fef481d55f314c5d0837)
|
|||
|
|
|
|||
|
|
## 安全分析
|
|||
|
|
(2025-05-12)
|
|||
|
|
|
|||
|
|
本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)
|
|||
|
|
|
|||
|
|
|
|||
|
|
### CVE-2025-32433 - Erlang SSH 预认证命令执行漏洞
|
|||
|
|
|
|||
|
|
#### 📌 漏洞信息
|
|||
|
|
|
|||
|
|
| 属性 | 详情 |
|
|||
|
|
|------|------|
|
|||
|
|
| CVE编号 | CVE-2025-32433 |
|
|||
|
|
| 风险等级 | `CRITICAL` |
|
|||
|
|
| 利用状态 | `漏洞利用可用` |
|
|||
|
|
| 发布时间 | 2025-05-11 00:00:00 |
|
|||
|
|
| 最后更新 | 2025-05-11 16:52:54 |
|
|||
|
|
|
|||
|
|
#### 📦 相关仓库
|
|||
|
|
|
|||
|
|
- [CVE-2025-32433](https://github.com/rizky412/CVE-2025-32433)
|
|||
|
|
|
|||
|
|
#### 💡 分析概述
|
|||
|
|
|
|||
|
|
该仓库针对CVE-2025-32433漏洞进行了PoC验证。仓库包含一个 Dockerfile 用于构建一个 Erlang 环境的 SSH 服务器,该服务器模拟了漏洞环境。核心功能实现是一个 SSH 服务器,允许未授权的命令执行。关键更新包括:
|
|||
|
|
1. `CVE-2025-32433.py`:这是核心的 PoC 脚本,它通过构造恶意的 SSH 握手过程,在预认证阶段发送 `exec` 请求,从而触发远程命令执行。 PoC脚本尝试在目标服务器上写入文件 `/lab.txt`,验证漏洞存在。代码质量相对较高,可直接运行,但需要根据目标环境调整 IP 和端口。
|
|||
|
|
2. `ssh_server.erl`:Erlang 代码,用于创建一个易受攻击的 SSH 服务器。该文件定义了一个简单的 SSH 服务器,其中 `pwdfun` 函数被设置为允许所有用户通过身份验证,简化了攻击过程。
|
|||
|
|
3. `Dockerfile`:用于构建 Docker 镜像,该镜像配置了 Erlang 环境,并启动了易受攻击的 SSH 服务器。Dockerfile 安装了必要的依赖项,构建了 Erlang/OTP,并且生成了 SSH 密钥。
|
|||
|
|
4. `README.md`:README 文件提供了漏洞的背景信息,PoC 的说明,以及项目结构概述。该 README 已经更新,添加了关于漏洞的详细说明,并且链接到了相关的安全建议。
|
|||
|
|
CVE-2025-32433 是一个预认证的命令执行漏洞。攻击者可以通过构造恶意的 SSH 握手数据包,在未进行身份验证的情况下执行任意命令。 PoC 利用了 SSH 协议中的 `exec` 请求,在预认证阶段发送该请求,从而在服务器上执行命令。 漏洞在于SSH服务器对客户端发送的请求未进行充分的认证,允许攻击者在认证流程之前执行命令。 漏洞的利用方法:构建恶意的 SSH 握手数据包,在预认证阶段发送 `exec` 请求。PoC 脚本 (`CVE-2025-32433.py`) 构建了 KEXINIT,然后直接发送 `channel_open` 和 `channel_request` 请求,请求执行命令。
|
|||
|
|
|
|||
|
|
|
|||
|
|
#### 🔍 关键发现
|
|||
|
|
|
|||
|
|
| 序号 | 发现内容 |
|
|||
|
|
|------|----------|
|
|||
|
|
| 1 | 预认证命令执行 |
|
|||
|
|
| 2 | PoC代码可用 |
|
|||
|
|
| 3 | 影响 SSH 服务器 |
|
|||
|
|
| 4 | 利用无需身份验证 |
|
|||
|
|
| 5 | 影响广泛 |
|
|||
|
|
|
|||
|
|
#### 🛠️ 技术细节
|
|||
|
|
|
|||
|
|
> 漏洞原理:SSH 服务器在预认证阶段未充分验证客户端发送的请求,允许执行任意命令。
|
|||
|
|
|
|||
|
|
> 利用方法:PoC 脚本通过构造恶意的 SSH 握手数据包,在预认证阶段发送 `exec` 请求。
|
|||
|
|
|
|||
|
|
> 修复方案:升级或修补 SSH 服务器,加强对预认证阶段的请求验证。
|
|||
|
|
|
|||
|
|
|
|||
|
|
#### 🎯 受影响组件
|
|||
|
|
|
|||
|
|
```
|
|||
|
|
• Erlang SSH 服务器
|
|||
|
|
• OpenSSH_8.9
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
#### ⚡ 价值评估
|
|||
|
|
|
|||
|
|
<details>
|
|||
|
|
<summary>展开查看详细评估</summary>
|
|||
|
|
|
|||
|
|
该漏洞允许未授权的远程代码执行,具有明确的利用方法 (PoC 代码) ,且影响关键组件(SSH服务器)。
|
|||
|
|
</details>
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### CVE-2024-25600 - WordPress Bricks Builder RCE漏洞
|
|||
|
|
|
|||
|
|
#### 📌 漏洞信息
|
|||
|
|
|
|||
|
|
| 属性 | 详情 |
|
|||
|
|
|------|------|
|
|||
|
|
| CVE编号 | CVE-2024-25600 |
|
|||
|
|
| 风险等级 | `CRITICAL` |
|
|||
|
|
| 利用状态 | `漏洞利用可用` |
|
|||
|
|
| 发布时间 | 2025-05-11 00:00:00 |
|
|||
|
|
| 最后更新 | 2025-05-11 16:40:53 |
|
|||
|
|
|
|||
|
|
#### 📦 相关仓库
|
|||
|
|
|
|||
|
|
- [CVE-2024-25600](https://github.com/cboss43/CVE-2024-25600)
|
|||
|
|
|
|||
|
|
#### 💡 分析概述
|
|||
|
|
|
|||
|
|
该仓库提供了针对WordPress Bricks Builder插件的CVE-2024-25600漏洞的利用代码。主要功能是检测目标WordPress站点是否易受攻击,提取nonce值,并提供一个交互式shell以执行任意命令。 仓库包含了利用脚本、README文档。 最新提交主要更新了README.md文件,优化了描述,增加了下载链接和使用说明,并且更新了代码。漏洞的利用方式是通过构造恶意请求,利用Bricks Builder插件的render_element端点中的输入处理缺陷,执行任意PHP代码。 攻击者无需身份验证即可利用此漏洞,造成远程代码执行(RCE)。
|
|||
|
|
|
|||
|
|
#### 🔍 关键发现
|
|||
|
|
|
|||
|
|
| 序号 | 发现内容 |
|
|||
|
|
|------|----------|
|
|||
|
|
| 1 | WordPress Bricks Builder插件存在未授权RCE漏洞 |
|
|||
|
|
| 2 | 利用插件的render_element端点执行任意PHP代码 |
|
|||
|
|
| 3 | 提供交互式shell进行远程命令执行 |
|
|||
|
|
| 4 | 漏洞影响版本为Bricks Builder <= 1.9.6 |
|
|||
|
|
|
|||
|
|
#### 🛠️ 技术细节
|
|||
|
|
|
|||
|
|
> 漏洞原理:Bricks Builder插件的render_element端点存在输入验证不足,允许攻击者构造恶意请求执行任意PHP代码。
|
|||
|
|
|
|||
|
|
> 利用方法:通过发送精心构造的POST请求到/wp-json/bricks/v1/render_element端点,在queryEditor参数中注入恶意PHP代码,从而执行任意命令。
|
|||
|
|
|
|||
|
|
> 修复方案:更新Bricks Builder插件到1.9.6以上版本,以修复该漏洞。
|
|||
|
|
|
|||
|
|
|
|||
|
|
#### 🎯 受影响组件
|
|||
|
|
|
|||
|
|
```
|
|||
|
|
• WordPress Bricks Builder 插件
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
#### ⚡ 价值评估
|
|||
|
|
|
|||
|
|
<details>
|
|||
|
|
<summary>展开查看详细评估</summary>
|
|||
|
|
|
|||
|
|
该漏洞为未授权RCE,可导致完全控制受影响的WordPress网站。 仓库提供了可用的POC/EXP,且影响范围明确,因此判断为高价值漏洞。
|
|||
|
|
</details>
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### CVE-2025-0411 - 7-Zip MotW Bypass 漏洞 POC
|
|||
|
|
|
|||
|
|
#### 📌 漏洞信息
|
|||
|
|
|
|||
|
|
| 属性 | 详情 |
|
|||
|
|
|------|------|
|
|||
|
|
| CVE编号 | CVE-2025-0411 |
|
|||
|
|
| 风险等级 | `HIGH` |
|
|||
|
|
| 利用状态 | `POC可用` |
|
|||
|
|
| 发布时间 | 2025-05-11 00:00:00 |
|
|||
|
|
| 最后更新 | 2025-05-11 16:28:50 |
|
|||
|
|
|
|||
|
|
#### 📦 相关仓库
|
|||
|
|
|
|||
|
|
- [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)
|
|||
|
|
|
|||
|
|
#### 💡 分析概述
|
|||
|
|
|
|||
|
|
该仓库提供了CVE-2025-0411漏洞的POC,该漏洞是7-Zip的Mark-of-the-Web (MotW) 绕过漏洞。仓库包含POC场景,演示了如何绕过MotW保护机制。该漏洞允许攻击者在用户打开恶意压缩包后执行任意代码。根据最近的提交,仓库持续更新以完善POC和提供更清晰的解释。该漏洞涉及了对压缩文件处理的不当,导致了安全隐患。该仓库的主要功能是提供POC,帮助理解和测试CVE-2025-0411漏洞。仓库包含漏洞细节、利用说明,以及受影响的版本信息。通过双重压缩可触发此漏洞,然后将压缩文件上传到payload服务器。当受害者下载该文件并执行其中包含的程序时,即可触发漏洞。通过查看最近的提交,修复了CVE链接,并更新了readme文档的描述信息和图片链接。
|
|||
|
|
|
|||
|
|
#### 🔍 关键发现
|
|||
|
|
|
|||
|
|
| 序号 | 发现内容 |
|
|||
|
|
|------|----------|
|
|||
|
|
| 1 | 7-Zip MotW 绕过漏洞 |
|
|||
|
|
| 2 | POC演示绕过MotW保护机制 |
|
|||
|
|
| 3 | 允许执行任意代码 |
|
|||
|
|
| 4 | 受影响版本为 7-Zip 24.09之前的版本 |
|
|||
|
|
|
|||
|
|
#### 🛠️ 技术细节
|
|||
|
|
|
|||
|
|
> 漏洞原理:7-Zip在处理压缩文件时,没有正确地将MotW标记传递给解压后的文件,导致MotW绕过。
|
|||
|
|
|
|||
|
|
> 利用方法:构造一个恶意的压缩文件,其中包含可执行文件。通过双重压缩绕过MotW检测。诱使用户下载并解压该文件。当用户运行解压后的可执行文件时,代码将被执行。
|
|||
|
|
|
|||
|
|
> 修复方案:升级到7-Zip 24.09或更高版本。避免打开来自不可信来源的压缩文件。
|
|||
|
|
|
|||
|
|
|
|||
|
|
#### 🎯 受影响组件
|
|||
|
|
|
|||
|
|
```
|
|||
|
|
• 7-Zip
|
|||
|
|
• Windows操作系统
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
#### ⚡ 价值评估
|
|||
|
|
|
|||
|
|
<details>
|
|||
|
|
<summary>展开查看详细评估</summary>
|
|||
|
|
|
|||
|
|
该POC展示了7-Zip的MotW绕过漏洞,该漏洞可以导致远程代码执行。影响了广泛使用的7-Zip版本,并且有明确的利用方法和POC,具有较高的安全价值。
|
|||
|
|
</details>
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### CVE-2023-42793 - TeamCity RCE漏洞,身份认证绕过
|
|||
|
|
|
|||
|
|
#### 📌 漏洞信息
|
|||
|
|
|
|||
|
|
| 属性 | 详情 |
|
|||
|
|
|------|------|
|
|||
|
|
| CVE编号 | CVE-2023-42793 |
|
|||
|
|
| 风险等级 | `CRITICAL` |
|
|||
|
|
| 利用状态 | `漏洞利用可用` |
|
|||
|
|
| 发布时间 | 2025-05-11 00:00:00 |
|
|||
|
|
| 最后更新 | 2025-05-11 17:00:18 |
|
|||
|
|
|
|||
|
|
#### 📦 相关仓库
|
|||
|
|
|
|||
|
|
- [Nuclei-Template-CVE-2023-42793.yaml](https://github.com/syaifulandy/Nuclei-Template-CVE-2023-42793.yaml)
|
|||
|
|
|
|||
|
|
#### 💡 分析概述
|
|||
|
|
|
|||
|
|
该仓库提供针对CVE-2023-42793的nuclei扫描模板。漏洞存在于JetBrains TeamCity 2023.05.4之前的版本中,是一个身份验证绕过漏洞,可导致TeamCity服务器上的远程代码执行(RCE)。
|
|||
|
|
|
|||
|
|
最新提交更新了CVE-2023-42793.yaml文件,该文件定义了nuclei扫描模板,用于检测和利用此漏洞。yaml文件包含漏洞的详细信息,例如漏洞名称、描述、严重性、参考链接等。它还包括了用于漏洞利用的HTTP请求。通过创建用户令牌,然后启用调试功能,最终通过debug功能实现RCE。
|
|||
|
|
|
|||
|
|
漏洞利用步骤如下:
|
|||
|
|
1. 删除用户ID为1的用户的Token
|
|||
|
|
2. 创建用户ID为1的用户的Token,获取token
|
|||
|
|
3. 修改TeamCity的内部配置文件,启用调试模式
|
|||
|
|
4. 使用token进行身份验证,执行远程命令
|
|||
|
|
|
|||
|
|
#### 🔍 关键发现
|
|||
|
|
|
|||
|
|
| 序号 | 发现内容 |
|
|||
|
|
|------|----------|
|
|||
|
|
| 1 | JetBrains TeamCity身份验证绕过漏洞 |
|
|||
|
|
| 2 | 可导致远程代码执行(RCE) |
|
|||
|
|
| 3 | 影响范围明确,有明确的受影响版本 |
|
|||
|
|
| 4 | 提供了完整的POC和利用代码 |
|
|||
|
|
|
|||
|
|
#### 🛠️ 技术细节
|
|||
|
|
|
|||
|
|
> 漏洞原理:由于身份验证的缺陷,攻击者可以绕过身份验证,并利用TeamCity的debug功能执行任意命令。
|
|||
|
|
|
|||
|
|
> 利用方法:通过构造特定的HTTP请求,删除并创建用户token,然后通过修改配置文件启用debug模式,最终利用debug接口执行远程命令。
|
|||
|
|
|
|||
|
|
> 修复方案:升级到JetBrains TeamCity 2023.05.4或更高版本。
|
|||
|
|
|
|||
|
|
|
|||
|
|
#### 🎯 受影响组件
|
|||
|
|
|
|||
|
|
```
|
|||
|
|
• JetBrains TeamCity
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
#### ⚡ 价值评估
|
|||
|
|
|
|||
|
|
<details>
|
|||
|
|
<summary>展开查看详细评估</summary>
|
|||
|
|
|
|||
|
|
该漏洞影响广泛使用的TeamCity,且有明确的受影响版本和详细的利用方法,提供了完整的POC,属于远程代码执行(RCE)漏洞,危害严重。
|
|||
|
|
</details>
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
|
|||
|
|
## 免责声明
|
|||
|
|
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。
|