ProjectDiscovery 的广泛使用的开源漏洞扫描程序Nuclei被披露存在一个高严重性安全漏洞，如果成功利用，攻击者可以绕过签名检查并可能执行恶意代码。

该漏洞的编号为CVE-2024-43405，CVSS 评分为 7.4（满分 10.0）。该漏洞影响 Nuclei 3.0.0 之后的所有版本。

根据漏洞描述： “该漏洞源于签名验证过程和 YAML 解析器处理换行符的方式之间的差异，以及处理多个签名的方式。”

“这使得攻击者可以将恶意内容注入模板，同时保留模板良性部分的有效签名。”

Nuclei 是一款漏洞扫描器，旨在探测现代应用程序、基础设施、云平台和网络以识别安全漏洞。扫描引擎利用模板（即 YAML 文件）发送特定请求以确定是否存在漏洞。

此外，它可以使用代码协议在主机操作系统上执行外部代码，从而为研究人员提供更灵活的安全测试工作流程。

发现 CVE-2024-43405 的云安全公司 Wiz 表示，该漏洞根源于模板签名验证过程，该过程用于确保官方模板库中提供的模板的完整性。

成功利用此漏洞可以绕过这一关键的验证步骤，允许攻击者制作可执行任意代码并访问主机敏感数据的恶意模板。

Wiz 研究员 Guy Goldenberg在周五的分析中表示： “由于此签名验证是目前验证 Nuclei 模板的唯一方法，因此它代表着一个潜在的单点故障。”

从本质上讲，该问题源于使用正则表达式 (又名 regex) 进行签名验证，以及由于同时使用正则表达式和 YAML 解析器而产生的解析冲突，从而为攻击者引入“\r”字符打开了大门，这样它就可以绕过基于正则表达式的签名验证，并被 YAML 解析器解释为换行符。

换句话说，这些解析不一致可以链接起来以创建一个 Nuclei 模板，该模板使用“\r”来包含第二个“#digest:”行，以逃避签名验证过程，但由 YAML 解释器解析和执行。

Goldenberg 解释说：“Go 基于正则表达式的签名验证将 \r 视为同一行的一部分，而 YAML 解析器将其解释为换行符。这种不匹配允许攻击者注入绕过验证但由 YAML 解析器执行的内容。”

“验证逻辑仅验证第一个 #digest: 行。其他 #digest: 行在验证期间将被忽略，但仍保留在要由 YAML 解析和执行的内容中。”

此外，验证过程包括从模板内容中排除签名行的步骤，但只验证第一行，而后续行未经验证但可执行。

经过负责任的披露，ProjectDiscovery 于 2024 年 9 月 4 日解决了这个问题，版本为 3.3.2。Nuclei 的当前版本是 3.3.7。

Goldenberg 说：“攻击者可以制作包含操纵的#摘要行或精心放置的\r换行符的恶意模板，以绕过 Nuclei 的签名验证。”

“当组织运行不受信任或社区贡献的模板而没有进行适当的验证或隔离时，就会出现此漏洞的攻击媒介。攻击者可以利用此功能注入恶意模板，导致任意命令执行、数据泄露或系统入侵。”

有关 Dynamics 365 和 Power Apps Web API 中三个现已修补的安全漏洞的详细信息已经浮出水面，这些漏洞可能会导致数据泄露。

这些漏洞由位于墨尔本的网络安全公司 Stratus Security发现，并已于 2024 年 5 月得到解决。三个缺陷中的两个存在于 Power Platform 的OData Web API Filter中，而第三个漏洞则源于FetchXML API。

第一个漏洞的根本原因是 OData Web API Filter 缺乏访问控制，从而允许访问包含敏感信息（例如全名、电话号码、地址、财务数据和密码哈希）的联系人表。

然后，威胁行为者可以利用该漏洞进行基于布尔的搜索，通过依次猜测哈希中的每个字符直到找到正确的值来提取完整​​的哈希。

Stratus Security 表示： “例如，我们首先发送 startswith(adx_identity_passwordhash，'a')，然后发送 startswith( adx_identity_passwordhash，'aa')，然后发送 startswith(adx_identity_passwordhash，'ab') 等等，直到返回以 ab 开头的结果。”

“我们继续这个过程，直到查询返回以‘ab’开头的结果。最终，当没有其他字符返回有效结果时，我们就知道我们已经获得了完整的值。”

另一方面，第二个漏洞在于使用同一 API 中的 orderby 子句从必要的数据库表列中获取数据（例如，EMailAddress1，它指的是联系人的主要电子邮件地址）。

最后，Stratus Security 还发现，可以结合 FetchXML API 与联系人表利用 orderby 查询来访问受限列。

“利用 FetchXML API 时，攻击者可以对任意列进行 orderby 查询，完全绕过现有的访问控制，”报告称。“与之前的漏洞不同，这种方法不需要 orderby 降序排列，从而为攻击增加了一层灵活性。”

因此，利用这些漏洞的攻击者可以编制密码哈希和电子邮件列表，然后破解密码或出售数据。

Stratus Security 表示：“Dynamics 365 和 Power Apps API 中发现的漏洞强调了一个重要的提醒：网络安全需要时刻保持警惕，特别是对于像微软这样掌握大量数据的大公司而言。”

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。

该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。

项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ”

Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。

腾讯云顶安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。

此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。

它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。

建议用户将其实例更新到软件的最新版本，以防范潜在威胁。

根据 VulnCheck 的最新发现，影响部分 Four-Faith 路由器的高严重性漏洞已在野外遭到积极利用。

该漏洞的编号为CVE-2024-12856（CVSS 评分：7.2），被描述为影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞。

由于该漏洞仅当远程攻击者能够成功验证身份时才会起作用，因此其严重性较低。但是，如果与路由器关联的默认凭据未更改，则可能导致未经验证的操作系统命令执行。

在 VulnCheck 详述的攻击中，发现未知威胁行为者利用路由器的默认凭据来触发 CVE-2024-12856 的利用并启动反向 shell 以实现持久远程访问。

此次攻击尝试源自 IP 地址178.215.238[.]91，该地址之前曾用于试图利用CVE-2019-12168进行攻击，这是影响 Four-Faith 路由器的另一个远程代码执行漏洞。据威胁情报公司 GreyNoise 称，最近一次利用 CVE-2019-12168 的尝试是在 2024 年 12 月 19 日。

Jacob Baines 在一份报告中表示： “至少可以通过 HTTP 使用 /apply.cgi 端点对 Four-Faith F3x24 和 F3x36 进行攻击。通过submit_type=adjust_sys_time 修改设备的系统时间时，系统容易受到 adj_time_year 参数中的操作系统命令注入攻击。”

Censys 的数据显示，有超过 15,000 台面向互联网的设备。有证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了。

目前尚无关于补丁可用性的信息，但 VulnCheck 表示已于 2024 年 12 月 20 日负责任地向这家中国公司报告了该漏洞。Hacker News 在本文发布之前已联系 Four-Faith 征求意见，如果收到回复，我们将更新本文。

Apache 软件基金会 (ASF) 发布了安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞可能在某些条件下导致远程代码执行 (RCE)。

该漏洞被追踪为CVE-2024-56337，被描述为CVE-2024-50379（CVSS 评分：9.8）的不完整缓解措施，CVE-2024-50379 是同一产品中的另一个严重安全漏洞，此前已于 2024 年 12 月 17 日得到解决。

项目维护人员在上周的公告中表示：“在不区分大小写的文件系统上运行 Tomcat，并且默认启用了 servlet 写入（将只读初始化参数设置为非默认值 false）的用户可能需要进行额外配置才能完全缓解 CVE-2024-50379，具体取决于他们在 Tomcat 中使用哪个版本的 Java。”

这两个缺陷都是检查时使用时（TOCTOU）竞争条件漏洞，当启用默认 servlet 进行写入时，可能导致在不区分大小写的文件系统上执行代码。

Apache 在 CVE-2024-50379 警报中指出：“在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查，并导致上传的文件被视为 JSP，从而导致远程代码执行。”

CVE-2024-56337 影响以下版本的 Apache Tomcat -

Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复）
Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复）
Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复）
此外，用户需要根据所运行的 Java 版本执行以下配置更改 -

Java 8 或 Java 11 - 将系统属性 sun.io.useCanonCaches 明确设置为 false（默认为 true）
Java 17 - 如果已设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false）
Java 21 及更高版本 - 无需采取任何措施，因为系统属性已被删除

ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现并报告了这两个漏洞。它还感谢 KnownSec 404 团队独立报告了 CVE-2024-56337 以及概念验证 (PoC) 代码。

此次披露之际，零日计划 (ZDI) 分享了 Webmin 中的一个严重漏洞 (CVE-2024-12828，CVSS 评分：9.9) 的详细信息，该漏洞允许经过身份验证的远程攻击者执行任意代码。

ZDI表示： “该特定缺陷存在于 CGI 请求的处理中。该问题源于在使用用户提供的字符串执行系统调用之前未对其进行适当验证。攻击者可以利用此漏洞在 root 上下文中执行代码。”

BeyondTrust 披露了特权远程访问 (PRA) 和远程支持 (RS) 产品中的一个严重安全漏洞的详细信息，该漏洞可能会导致执行任意命令。

特权远程访问可控制、管理和审核特权帐户和凭据，为内部、外部和第三方用户提供对本地和云资源的零信任访问。远程支持允许服务台人员安全地连接到远程系统和移动设备。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），被描述为命令注入的一个实例。

该公司在一份公告中表示： “特权远程访问 (PRA) 和远程支持 (RS) 产品中发现了一个严重漏洞，该漏洞允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

攻击者可以通过发送恶意客户端请求来利用此漏洞，从而导致在站点用户的上下文中执行任意操作系统。

该问题影响以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- 已在 PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
远程支持（版本 24.3.1 及更早版本）- 已在 RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
截至 2024 年 12 月 16 日，该漏洞的补丁已应用于云实例。如果软件本地版本的用户未订阅自动更新，建议他们应用最新修复程序。

BeyondTrust 表示：“如果客户使用的是 22.1 之前的版本，他们将需要升级才能应用此补丁。”

该公司表示，这一缺陷是在 2024 年 12 月 2 日发生一起“安全事件”后启动的一项正在进行的取证调查中发现的，该事件涉及“有限数量的远程支持 SaaS 客户”。

BeyondTrust表示：“对远程支持 SaaS 问题的根本原因分析发现，远程支持 SaaS 的 API 密钥已被泄露”，并补充说“它立即撤销了 API 密钥，通知了已知受影响的客户，并在同一天暂停了这些实例，同时为这些客户提供替代的远程支持 SaaS 实例。”

BeyondTrust 还表示，它仍在与一家未具名的“网络安全和取证公司”合作，努力确定此次入侵的原因和影响。

美国网络安全和基础设施安全局 (CISA) 周四将影响 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品的严重安全漏洞添加到已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞正在被积极利用。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），是一个命令注入漏洞，恶意行为者可以利用该漏洞以网站用户的身份运行任意命令。

CISA 表示：“BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 包含命令注入漏洞，这可能允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

虽然该问题已被植入客户的云实例中，但建议使用自托管版本软件的用户更新到以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
远程支持（版本 24.3.1 及更早版本）- RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
在 BeyondTrust 本月早些时候透露其遭受网络攻击之后，主动攻击的消息传出，此次攻击导致未知威胁行为者侵入其部分远程支持 SaaS 实例。

该公司已寻求第三方网络安全和取证公司的帮助，并表示对该事件的调查发现，攻击者获得了远程支持 SaaS API 密钥，从而可以重置本地应用程序帐户的密码。

此后，其调查又发现了另一个中等严重性漏洞（CVE-2024-12686，6.6），该漏洞允许具有现有管理权限的攻击者注入命令并以站点用户身份运行。新发现的漏洞已在以下版本中得到解决 -

特权远程访问 (PRA) - PRA 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 PRA 版本）
远程支持 (RS) - RS 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 RS 版本）

BeyondTrust 没有提及这两个漏洞是否已被利用。不过，该公司表示已通知所有受影响的客户。目前尚不清楚攻击的具体规模，以及幕后威胁者的身份。

OpenWrt的 Attended Sysupgrade ( ASU ) 功能中被发现存在一个安全漏洞，如果成功利用，可能会被滥用来分发恶意固件包。

该漏洞的编号为CVE-2024-54143，CVSS 评分为 9.3（满分 10 分），表明该漏洞严重性极高。Flatt Security 研究员 RyotaK 于 2024 年 12 月 4 日发现并报告了该漏洞。该问题已在ASU 版本 920c8a1中得到修补。

项目维护人员在警报中表示：“由于 imagebuilder 映像中的命令注入和构建请求哈希中包含的截断 SHA-256 哈希的组合，攻击者可以通过提供导致哈希冲突的包列表来污染合法映像。”

OpenWrt是一种流行的基于 Linux 的开源操作系统，适用于路由器、住宅网关和其他路由网络流量的嵌入式设备。

成功利用该缺陷实际上可以让威胁行为者在构建过程中注入任意命令，从而导致生成使用合法构建密钥签名的恶意固件映像。

更糟糕的是，与构建密钥相关的 12 个字符的 SHA-256 哈希碰撞可以被武器化，用来代替合法图像提供先前构建的恶意图像，对下游用户构成严重的供应链风险。

OpenWrt 指出：“攻击者需要能够提交包含精心设计的软件包列表的构建请求。利用这些漏洞无需身份验证。通过注入命令并引起哈希冲突，攻击者可以强制合法的构建请求接收先前生成的恶意映像。”

RyotaK 对该漏洞进行了技术分析，他表示，尚不清楚该漏洞是否曾被利用，因为它“已经存在了一段时间”。建议用户尽快更新到最新版本，以防范潜在威胁。

网络安全研究人员指出，微软的多因素身份验证 (MFA) 实施中存在一个“严重”安全漏洞，该漏洞允许攻击者轻松绕过保护并获得对受害者帐户的未经授权的访问。

Oasis Security 研究人员 Elad Luz 和 Tal Hason在与 The Hacker News 分享的一份报告中表示：“绕过方法很简单：大约需要一个小时才能完成，不需要用户交互，不会生成任何通知，也不会向账户持有人提供任何麻烦的迹象。”

经过负责任的披露，微软于 2024 年 10 月解决了这个代号为AuthQuake 的问题。

虽然 Windows 制造商支持通过 MFA验证用户身份的各种方式，但其中一种方法是在提供凭证后输入来自身份验证器应用程序的六位数代码。单个会话最多允许 10 次连续失败的尝试。

Oasis 发现的漏洞本质上涉及提供和验证这些一次性代码时缺乏速率限制和延长的时间间隔，从而允许恶意行为者快速产生新的会话并枚举代码的所有可能排列（即一百万），甚至不会向受害者发出登录尝试失败的警报。

值得注意的是，此类代码也称为基于时间的一次性密码 (TOTP)，具有时间限制，使用当前时间作为随机源生成。此外，这些代码仅在约 30 秒内保持有效，之后会轮换。

“然而，由于验证器和用户之间可能存在时间差异和延迟，我们鼓励验证器接受更大的代码时间窗口，”Oasis 指出。“简而言之，这意味着单个 TOTP 代码的有效期可能超过 30 秒。”

在微软的案例中，这家总部位于纽约的公司发现代码的有效期长达 3 分钟，因此攻击者可以利用延长的时间窗口同时发起更多暴力破解尝试来破解六位数代码。

研究人员表示：“引入速率限制并确保其得到正确实施至关重要。此外，速率限制可能还不够，后续失败尝试应触发账户锁定。”

此后，微软实施了更严格的速率限制，该限制在多次尝试失败后才会生效。Oasis 还表示，新的限制持续时间约为半天。

Keeper Security 首席信息安全官 James Scobey 在一份声明中表示：“最近在微软多重身份验证 (MFA) 中发现的 AuthQuake 漏洞提醒我们，安全不仅仅在于部署 MFA，还必须进行正确配置。”

“虽然 MFA 无疑是一种强大的防御手段，但其有效性取决于关键设置，例如限制速率以阻止暴力破解尝试和登录失败时通知用户。这些功能不是可选的；它们对于增强可见性至关重要，使用户能够尽早发现可疑活动并迅速做出反应。”

网络安全研究人员发布了一个概念验证 (PoC) 漏洞，该漏洞将影响 Mitel MiCollab 的一个现已修补的严重安全漏洞与任意文件读取零日漏洞串联起来，使攻击者能够从易受攻击的实例访问文件。

该严重漏洞为 CVE-2024-41713（CVSS 评分：9.8），与 Mitel MiCollab 的 NuPoint 统一消息传递 (NPM) 组件中的输入验证不足有关，从而导致路径遍历攻击。

MiCollab 是一种软件和硬件解决方案，它将聊天、语音、视频和短信功能与 Microsoft Teams 和其他应用程序集成在一起。NPM 是一个基于服务器的语音邮件系统，它使用户能够通过各种方法访问他们的语音消息，包括远程或通过 Microsoft Outlook 客户端。

WatchTowr Labs 在与 The Hacker News 分享的一份报告中表示，它在重现CVE-2024-35286（CVSS 评分：9.8）的过程中发现了 CVE-2024-41713，这是 NPM 组件中的另一个严重漏洞，可能允许攻击者访问敏感信息并执行任意数据库和管理操作。

Mitel 于 2024 年 5 月下旬发布 MiCollab 版本 9.8 SP1 (9.8.1.5) 修补了该 SQL 注入漏洞。

这个新漏洞之所以引人注目是因为它涉及将 HTTP 请求中的输入“..;/”传递给 ReconcileWizard 组件，以使攻击者进入应用程序服务器的根目录，从而可以在无需身份验证的情况下访问敏感信息（例如 /etc/passwd）。

WatchTowr Labs 的分析进一步发现，身份验证绕过可以与尚未修补的后身份验证任意文件读取漏洞相结合，以提取敏感信息。

Mitel在针对 CVE-2024-41713 的公告中表示：“成功利用此漏洞可能使攻击者获得未经授权的访问，并可能对系统的机密性、完整性和可用性产生影响。”

“如果成功利用该漏洞，攻击者可以未经身份验证访问配置信息（包括非敏感用户和网络信息），并在 MiCollab 服务器上执行未经授权的管理操作。”

该公司还指出，系统内的本地文件读取漏洞（CVE-2024-55550，CVSS 评分：2.7）是由于输入清理不足造成的，并且泄露仅限于非敏感系统信息。它强调，该漏洞不允许文件修改或权限提升。

经过负责任的披露，CVE-2024-41713 已于 2024 年 10 月 9 日插入 MiCollab 版本 9.8 SP2（9.8.2.12）或更高版本中。

安全研究员桑尼·麦克唐纳说：“从更技术层面来看，这次调查已经得出了一些宝贵的教训。”

“首先，这是一个真实的例子，表明并不总是需要完全访问源代码——即使在深入研究漏洞以重现 COTS 解决方案中已知的弱点时也是如此。根据 CVE 描述的深度，一些良好的互联网搜索技能可以成为成功寻找漏洞的基础。”

值得注意的是，MiCollab 9.8 SP2（9.8.2.12）还解决了音频、Web 和视频会议 (AWV) 组件中的一个单独的 SQL 注入漏洞（CVE-2024-47223，CVSS 评分：9.4），该漏洞可能造成严重影响，从信息泄露到执行任意数据库查询，从而导致系统无法运行。

在披露此信息之际，Rapid7 详细介绍了 Lorex 2K 室内 Wi-Fi 安全摄像头中的几个安全缺陷（从 CVE-2024-52544 到 CVE-2024-52548），这些缺陷可以组合起来实现远程代码执行 (RCE)。

在假设的攻击场景中，前三个漏洞可用于将目标设备的管理员密码重置为对手选择的密码，从而获得查看设备实时视频和音频源的权限，或者利用剩下的两个漏洞实现提升权限的 RCE。

安全研究员 Stephen Fewer指出：“该漏洞利用链由 5 个不同的漏洞组成，它们分两个阶段共同运作，以实现未经身份验证的 RCE” 。

“第 1 阶段执行身份验证绕过，允许远程未经身份验证的攻击者将设备的管理员密码重置为攻击者选择的密码。第 2 阶段利用第 1 阶段中的身份验证绕过来执行经过身份验证的基于堆栈的缓冲区溢出并以 root 权限执行操作系统 (OS) 命令，从而实现远程代码执行。”