16 KiB
安全资讯日报 2025-04-30
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-04-30 07:03:45
今日资讯
🔍 漏洞分析
- 2024年在野零日漏洞利用分析(上)
- GLPI 中的预身份验证 SQL 注入到 RCE(CVE-2025-24799/CVE-2025-24801)
- 超过 16,000 台 Fortinet 设备遭符号链接后门攻击
🔬 安全研究
- 金思宇:数字治理:构建良好数字发展生态与国家治理现代化路径研究
- STRIDE与DREAD模型对比分析
- CyberStrikeLab靶场日记——PT-1
- 容器逃逸分析——基于Docker Socket的另类手法解析
- 开源网络安全大模型Foundation-Sec-8B
🎯 威胁情报
🛠️ 安全工具
🍉 吃瓜新闻
- 秦安:不跪是战斗檄文,是严厉警告,是责任担当,中国早已站起来了!
- 金思宇:特朗普挥舞“关税大棒”:异想天开地想让制造业回流难实现
- 员工福利管理服务商数据泄露事件影响400万人
- 非洲电信巨头MTN集团披露数据泄露事件
- 福布斯:开辟网络安全新途径
- 奇安信(网安一哥)2024年度报告发布,实现营业收入43.49亿元,同比下降32.49%,人均创收为57.45万元
- 安博通2024年度报告发布,营收7.37亿,同比增长34.37%,人均创收154.45万
- 年报全出,网络安全行业营收继续萎缩,去年Q4同比下降14.1%,今年Q1下降1.5%
- 张国清出席第八届数字中国建设峰会开幕式并在福建调研
- 发布 | 国家数据局发布《数字中国发展报告(2024年)》
- 发布 | 《全国数据资源调查报告(2024年)》正式发布(附全文)
- 分享图片
- 26家网安相关上市企业年报均已完成发布,2022年-2024年整体裁员比例为14.34%,裁员广进12036人。
📌 其他
安全分析
(2025-04-30)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2025-32433 - Erlang SSH server pre-auth RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 16:53:42 |
📦 相关仓库
💡 分析概述
该仓库提供了针对CVE-2025-32433的PoC和相关资源。它包含一个Docker环境,用于搭建易受攻击的Erlang SSH服务器。核心功能是提供一个可复现的漏洞环境和exploit。更新内容包括:README.md的详细说明,Dockerfile用于构建环境,ssh_server.erl文件,以及一个Python编写的exploit(CVE-2025-32433.py)。漏洞的利用方式是通过构造特定的SSH握手和Channel Request,在pre-auth阶段执行任意命令,实现RCE。PoC代码尝试在/lab.txt文件中写入pwned。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Erlang SSH服务器pre-auth RCE漏洞 |
| 2 | 利用构造的SSH消息,在认证前执行任意命令 |
| 3 | PoC代码可用,可直接用于验证漏洞 |
| 4 | Docker环境方便复现漏洞 |
| 5 | 影响范围:Erlang OTP中实现的SSH服务器,具体版本待定 |
🛠️ 技术细节
漏洞原理:SSH服务器在处理某些特定的channel request时,存在安全漏洞,攻击者可以构造恶意的channel request,在未经过身份验证的情况下执行任意命令。
利用方法:PoC构造了SSH握手过程,并发送了恶意channel request,请求执行任意命令,命令将写入文件/lab.txt
修复方案:升级Erlang/OTP版本到已修复的版本。仔细审查SSH服务器处理channel request相关的代码,修复漏洞。
🎯 受影响组件
• Erlang OTP
• SSH Server
⚡ 价值评估
展开查看详细评估
该漏洞具有远程代码执行(RCE)的特点,且PoC代码已经可用,可以验证漏洞,所以属于高价值漏洞。
CVE-2025-0411 - 7-Zip MotW绕过漏洞,POC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 16:27:18 |
📦 相关仓库
💡 分析概述
该仓库提供CVE-2025-0411的POC,该漏洞存在于7-Zip中,允许绕过Mark-of-the-Web (MotW) 保护机制。攻击者可以通过诱使用户打开特制的压缩包来执行任意代码。 仓库提供了漏洞的细节描述、易受攻击的版本、缓解措施以及POC。 仓库初始提交描述了漏洞细节和利用方式,通过双重压缩文件来绕过MotW,并在解压后执行恶意代码。 更新主要集中在README.md的修改,包括修复了CVE链接,更新了项目介绍和下载链接,以及优化了项目描述和代码示例。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip的Mark-of-the-Web绕过漏洞,可导致代码执行。 |
| 2 | 利用方式是通过构造恶意的7z压缩包。 |
| 3 | POC已提供,演示了漏洞的利用过程。 |
| 4 | 受影响的版本为7-Zip 24.09之前的版本。 |
🛠️ 技术细节
漏洞原理:7-Zip在处理压缩文件时,未正确传播MotW标记,导致解压后的文件绕过了安全防护。
利用方法:构造包含恶意文件的7z压缩包,用户解压后,恶意代码即可执行。
修复方案:升级到7-Zip 24.09或更高版本。
🎯 受影响组件
• 7-Zip
⚡ 价值评估
展开查看详细评估
该漏洞具有实际的利用价值,提供了POC,影响广泛使用的7-Zip,且可以导致远程代码执行(RCE)。
CVE-2025-24054 - Windows NTLM Hash 泄露漏洞 PoC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-24054 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 15:29:06 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对CVE-2025-24054漏洞的PoC。漏洞是由于Windows系统处理.library-ms文件时,会触发SMB认证请求,从而泄露NTLM哈希。仓库包含生成恶意.library-ms文件的脚本(exploit.py),以及一个示例文件(xd.library-ms)。
更新内容分析:
- 提交 Create exploit.py: 增加了用于生成恶意.library-ms文件的脚本。该脚本会生成一个xml文件,该文件指向攻击者的SMB服务器。
- 提交 Rename PoC_xd.library-ms to xd.library-ms: 重命名了PoC文件。
- 提交 Create PoC_xd.library-ms: 创建了一个.library-ms的PoC文件,xml文件中配置了指向攻击者SMB服务器的链接。
- 提交 Update README.md: 更新了README.md文件,增加了PoC的类型标识。
漏洞利用方式:攻击者构造一个恶意的.library-ms文件,当受害者在Windows资源管理器中预览该文件时,Windows系统会尝试通过SMB协议连接到攻击者控制的服务器,从而将受害者的NTLM哈希发送给攻击者。攻击者可以使用Responder等工具捕获和破解这些哈希。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用.library-ms文件触发NTLM哈希泄露 |
| 2 | PoC代码易于理解和使用 |
| 3 | 影响未修补的Windows系统 |
| 4 | 可导致凭证泄露和进一步的攻击 |
🛠️ 技术细节
漏洞原理:Windows处理.library-ms文件时,会尝试解析其中的URL,并进行SMB认证,从而泄露NTLM哈希。
利用方法:攻击者制作一个恶意的.library-ms文件,文件内的URL指向攻击者控制的SMB服务器。受害者预览或打开该文件时,触发SMB认证,导致NTLM哈希泄露。
修复方案:应用微软官方补丁,禁用NTLM身份验证,限制对不受信任来源的.library-ms文件的访问。
🎯 受影响组件
• Windows操作系统
• .library-ms文件处理程序
⚡ 价值评估
展开查看详细评估
该PoC展示了Windows系统中的一个高危漏洞,攻击者可以通过简单的操作获取受害者的NTLM哈希,可以用于凭证窃取等。
CVE-2024-25600 - Bricks Builder插件RCE漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 15:10:23 |
📦 相关仓库
💡 分析概述
该仓库提供了针对WordPress Bricks Builder插件的CVE-2024-25600漏洞的利用代码。该漏洞是一个未经身份验证的远程代码执行(RCE)漏洞,允许攻击者在受影响的WordPress站点上执行任意代码。仓库包含了一个Python脚本,用于检测漏洞、获取nonce并提供交互式shell。
仓库代码的主要功能包括:
- 检测WordPress站点是否存在CVE-2024-25600漏洞,通过获取nonce并验证RCE能力。
- 支持单URL和从文件批量扫描URL。
- 在确认存在漏洞的站点上启动交互式shell,以执行远程命令。
- 多线程扫描,提高扫描效率。
- 详细的输出信息。
- 将漏洞URL保存到文件。
最新提交主要更新了README.md文件, 增加了漏洞描述,使用说明,以及免责声明。 同时,修复了 exploit.py的bug,包括修复Python3的头部声明,和一些异常处理。
漏洞利用方式: 攻击者可以构造恶意请求,通过/wp-json/bricks/v1/render_element端点,注入并执行任意PHP代码,从而实现RCE。该漏洞利用不需要身份验证。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Bricks Builder插件的RCE漏洞 |
| 2 | 未经身份验证即可执行任意代码 |
| 3 | 影响Bricks Builder 1.9.6及以下版本 |
| 4 | 提供POC及交互式shell |
🛠️ 技术细节
漏洞位于Bricks Builder插件的/wp-json/bricks/v1/render_element端点。
通过构造恶意请求,注入并执行任意PHP代码。
无需身份验证即可触发漏洞,实现远程代码执行。
修复方案:升级至Bricks Builder 1.9.7或更高版本。
利用PoC已在仓库中提供,并支持交互式shell。
🎯 受影响组件
• WordPress Bricks Builder插件
• Bricks Builder <= 1.9.6
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的WordPress Bricks Builder插件,且存在明确的利用代码(POC),可以远程执行任意代码,风险极高。
CVE-2024-37606 - D-Link DCS-932L存在缓冲区溢出漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-37606 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 22:58:29 |
📦 相关仓库
💡 分析概述
该漏洞涉及D-Link DCS-932L设备中的alphapd服务,存在缓冲区溢出问题。项目提供了概念验证利用代码(CVE-2024-37606-DCS932L.py),可用于教育和研究目的。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 缓冲区溢出漏洞 |
| 2 | 影响D-Link DCS-932L设备 |
| 3 | 需要访问设备网络 |
🛠️ 技术细节
漏洞原理:alphapd服务中存在缓冲区溢出,可能导致远程代码执行。
利用方法:通过提供的POC脚本利用漏洞。
修复方案:更新设备固件至最新版本。
🎯 受影响组件
• D-Link DCS-932L
💻 代码分析
分析 1:
POC/EXP代码评估:提供了概念验证利用代码,可用于验证漏洞。
分析 2:
测试用例分析:未明确提供测试用例,但POC代码本身可作为测试用例。
分析 3:
代码质量评价:代码变更主要集中在README.md的更新和POC的添加,质量尚可。
⚡ 价值评估
展开查看详细评估
该漏洞影响特定型号的D-Link设备,且提供了POC利用代码,符合远程代码执行(RCE)的价值判断标准。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。