Nuclei漏洞扫描法式曝出高危宁静漏洞，可致恶意代码执行

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Nuclei漏洞扫描法式曝出高危宁静漏洞，可致恶意代码执行

宣布时间 2025-01-07

1. Nuclei漏洞扫描法式曝出高危宁静漏洞，可致恶意代码执行

1月5日，开源漏洞扫描工具 Nuclei（由 ProjectDiscovery 开发）存在一个编号为 CVE-2024-43405 的高严重性宁静漏洞，CVSS 评分为 7.4。该漏洞由 Wiz 工程团队发现，源于换行处置差异和多重签名处置机制，允许攻击者绕过签名检查并在模板中注入恶意内容，进而执行恶意代码。此漏洞影响 Nuclei 3.0.0 及以上版本，直至 v3.3.2 版本才得到解决。Nuclei 在 GitHub 上拥有 21,000+ 星标和凌驾 210 万次下载，对宁静社区至关重要。Nuclei 以其基于 YAML 的灵活模板著称，支持多种协议包罗 HTTP、TCP、DNS、TLS 和 Code，其中 Code 协议允许在主机上执行外部代码，但也可能带来严重风险。漏洞源于使用正则表达式和 YAML 解析器进行签名验证时的纷歧致，以及“First-Signature Trust”和签名移除的纷歧致处置，这些弱点允许攻击者注入未经验证的恶意内容。当组织运行未经适当验证或隔离的不受信任或社区孝敬的模板时，尤其容易受到攻击，可能导致任意命令执行、数据泄露或系统入侵。

https://securityaffairs.com/172692/security/nuclei-flaw-execute-malicious-code.html

2. 新恶意软件PLAYFULGHOST被发现，具有广泛信息收集功效

1月4日，网络宁静研究人员发现了一种名为PLAYFULGHOST的新恶意软件，它具备多种信息收集功效，如键盘记录、屏幕捕捉、音频捕捉、远程shell以及文件传输/执行。该恶意软件与已知远程管理工具Gh0st RAT在功效上存在重叠。PLAYFULGHOST通过网络钓鱼电子邮件或搜索引擎优化投毒技术分发，诱骗受害者打开伪装成图像文件的恶意RAR存档或下载带有恶意软件的LetsVPN安装法式。该恶意软件利用DLL搜索顺序劫持和侧载等要领启动恶意DLL，并在主机上设置持久性，收集大量数据。此外，PLAYFULGHOST还能投放更多有效载荷、阻止鼠标和键盘输入、清除Windows事件日志等，并与其他工具如Mimikatz和rootkit一起使用。针对搜狗、QQ和360宁静等应用法式以及使用LetsVPN诱饵，这些熏染可能针对的是讲中文的Windows用户。类似的活动也曾在2024年7月由加拿大网络宁静供应商eSentire披露，利用Google Chrome的虚假安装法式流传Gh0st RAT。

https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html

3. PhishWP：俄罗斯网络犯罪分子的新型WordPress钓鱼插件威胁

1月6日，俄罗斯网络犯罪分子开发了一款名为PhishWP的恶意WordPress插件，该插件通过创建高仿真的虚假支付页面来窃取用户的信用卡信息、CVV宁静码和3DS一次性密码（OTP）等敏感数据。这些页面模仿合法支付服务如Stripe，诱骗用户输入个人信息。PhishWP不仅具备高度可定制的结账页面，还集成了浏览器分析功效和自动回复电子邮件，以增强其欺骗性和绕过宁静验证的能力。更为先进的是，该插件能够实时通过Telegram将窃取的信息传输给攻击者，便于他们在暗网上立即进行未经授权的交易或销售。PhishWP的多语言支持和混淆功效使得攻击者能在全球范围内提倡针对性的网络钓鱼活动，造成重大财政损失和个人数据泄露。为了应对这一威胁，网络宁静公司SlashNext敦促用户接纳积极的网络宁静措施，如使用网络钓鱼�；すぞ�，保持高度警惕，以有效抵御此类庞大攻击。

https://hackread.com/phishwp-plugin-russian-hacker-forum-phishing-sites/

4. Moxa发出高危漏洞警告，影响多款路由器和网络宁静设备

1月6日，工业网络和通信供应商Moxa发出紧急警告，指出其蜂窝路由器、宁静路由器和网络宁静设备的多个型号存在高危漏洞。这些漏洞包罗CVE-2024-9138和CVE-2024-9140，允许远程攻击者获取root权限并执行任意命令，导致任意代码执行。Moxa设备广泛应用于交通运输、公用事业、能源和电信领域的工业自动化和控制系统环境。受影响的设备包罗EDR-8010系列、EDR-G9004系列、EDR-G9010系列、EDF-G1002-BP系列、NAT-102系列、OnCell G4302-LTE4系列和TN-4900系列等，具体受影响的是这些系列的某些固件版本。Moxa已宣布固件更新以修复这些漏洞，并强烈建议用户立即升级以制止潜在风险。对于NAT-102系列，目前没有可用补丁，建议接纳缓解措施。Moxa还建议限制设备网络袒露和SSH访问，并使用防火墙、IDS或IPS来监控和阻止攻击实验。同时，通告指出MRC-1002系列、TN-5900系列和OnCell 3120-LTE-1系列设备不受这两个漏洞影响。

https://www.bleepingcomputer.com/news/security/vulnerable-moxa-devices-expose-industrial-networks-to-attacks/

5. 俄罗斯将大规�；チ卸瞎榫逃诘缧磐缡鹿�

1月6日，俄罗斯互联网监管机构陈诉称，由于电信运营商主网络故障，导致该国多项在线服务遭遇大规模中断，包罗热门在线平台谷歌、Yandex、Rutube、VKontakte和Discord，以及当地银行和移动运营商MTS等服务。据互联网监控服务Downdetector的数据显示，大多数投诉来自莫斯科，涉及MTS提供的服务，但MTS未就中断原因发表评论。尽管该事件已得到解决且服务正在恢复，但截至撰写时仍有部门用户无法访问服务。俄罗斯经常发生互联网中断，有时是当地政府故意为之，如去年12月测试“主权互联网”基础设施时导致多个地域居民无法访问一些外国和当地应用法式和网站。此外，俄罗斯还因谷歌拒绝遵守技术规则而故意降低YouTube加载速度，并封锁了Viber、Signal和Discord等通讯应用法式的访问。

https://therecord.media/russia-widespread-accident-outage-wifi

6. Eagerbee恶意软件新变种针对中东政府组织及ISP进行全球性攻击

1月6日，Eagerbee恶意软件框架的新变种正在针对中东的政府组织和互联网服务提供商进行部署，此前该恶意软件已被发现与中国政府支持的威胁行为者有关�？ò退够芯咳嗽狈⑾�，该恶意软件与名为“CoughingDown”的威胁组织存在潜在联系。攻击者通过在system32目录中部署注入器来加载有效载荷文件，滥用Windows服务并在内存中写入后门负载。该后门可以全天候运行，收集系统信息并与命令和控制服务器建立TCP/SSL通道，接收附加插件以扩展其功效。这些插件包罗文件管理器、进程管理器、远程访问管理器、服务管理器和网络管理器，使攻击者在受熏染的系统上具有广泛的能力。同样的后门加载链也在日本被发现，表明此次攻击是全球性的。组织应修补Exchange服务器上的ProxyLogon漏洞，并使用卡巴斯基陈诉中列出的危害指标尽早发现威胁。

https://www.bleepingcomputer.com/news/security/eagerbee-backdoor-deployed-against-middle-eastern-govt-orgs-isps/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究