登录

往事不回首,安全不停步。AiRedTeam 的安全随笔,记录那些与代码和漏洞博弈的深夜。代码为剑,漏洞为砺,守一方数字净土。以此笔墨,化作守望万物的白泽。

安全情报

Fast16: Pre-Stuxnet malware that targeted precision engineering software

📡 Security Affairs · 2026-04-27 Fast16: Pre-Stuxnet malware that targeted precision engineering software SentinelOne uncovered Fast16, a sabotage malware used in 2005, years before Stuxnet. The malicious code is written in Lua and targeted high-precision calculation software, altering results and spreading across systems. The malware appeared in the ShadowBrokers leak of NSA
阅读时间 2 分钟
安全情报

📊 2026-05-22 漏洞情报日报 · 200 条 · 高危 96

每日漏洞情报汇总 · 2026-05-22 📊 2026-05-22 漏洞情报日报 📋 共 200 条 🔥 高危/严重 96 条 🚨 CISA-KEV 2 条 💣 Exploit-DB-RSS 5 条 🐙 GitHub-Advisory 67 条 🔥30 🛡️ NVD-Latest 66 条 🔥66 ⚔️ Sploitus 60 条 🤖 今日安全态势分析 🎯 今日重点关注 * CVE-2026-42960 (Unbound DNS 服务器) — DNS缓存投毒:影响NLnet Labs Unbound ≤1.25.0版本。攻击者可利用权威区段的混杂记录投毒DNS缓存,CVSS评分10.0,可导致大规模流量劫持,影响范围广且利用难度低。 * CVE-2026-43633 (HestiaCP 控制面板) — 反序列化导致RCE:
阅读时间 22 分钟
APT情报

Citrix NetScaler再曝内存越界漏洞:SAML IdP配置下的致命伤

🔓 Critical 漏洞利用 Citrix NetScaler ADC/Gateway存在CVE-2026-3055内存越界读取漏洞,攻击者可在设备配置为SAML身份提供者(IdP)时,通过特制SAML请求触发内存泄露,可能导致敏感数据暴露及会话劫持。该漏洞与历史著名的CitrixBleed系列高度相似,凸显Citrix在内存管理上的持续脆弱性。 来源:watchTowr Labs | 0 | 原文链接 🔍 关键发现 * CVE-2026-3055影响未修补的NetScaler ADC/Gateway版本(14.1-26.x之前),CVSS 9.3分,属于严重漏洞 * 漏洞仅在设备配置为SAML IdP时被利用,攻击面相对狭窄但高风险,因为IdP存储大量认证凭据 * watchTowr在复现过程中还发现了与CVE-2026-3055类似前提的额外内存越界漏洞,已报告给Citrix PSIRT ⚔️ 攻击链分析 1. 攻击者识别目标NetScaler设备配置为SAML IdP;2. 向SAML相关端点(如/metadata/samlidp/)发送特制请求;3.
阅读时间 2 分钟
APT情报

Axios供应链攻击深度分析:朝鲜黑客植入跨平台RAT,波及全球多行业

🎯 Critical APT组织 Palo Alto Unit42披露了一起严重的供应链攻击,攻击者劫持了流行JavaScript库Axios维护者的npm账号,发布了两个恶意版本(v1.14.1和v0.30.4)。这些版本通过植入隐藏依赖plain-crypto-js,在安装时触发后门脚本,针对Windows、macOS和Linux系统部署远程访问木马(RAT),并与朝鲜黑客组织(WAVESHAPER)存在关联。 来源:Palo Alto Unit42 | 2026-04-01 | 原文链接 🔍 关键发现 * 攻击者通过劫持Axios维护者的npm账户,发布了两个恶意版本,但未修改Axios源代码,而是通过注入plain-crypto-js依赖实现攻击。 * 恶意依赖利用npm的postinstall生命周期钩子执行高度混淆的Node.js dropper,该dropper采用双层编码(字符串反转、Base64和XOR加密)隐藏操作。 * dropper根据操作系统下载不同平台的RAT载荷:macOS使用C++编译的Mach-O二进制,Windows使用Power
阅读时间 2 分钟
漏洞分析

[local] Remote Sunrise Helper for Windows 2026.14 - Remote Code Execution

未分配CVE Remote Sunrise Helper for Windows 2026.14 无需认证可远程执行任意命令。 Critical · CVSS 9.8 📋 漏洞基础信息 CVE未分配CVE漏洞类型未授权远程代码执行受影响版本Remote Sunrise Helper for Windows 2026.14危害等级Critical · CVSS 9.8发布日期2026-05-15提交者Chokri Hammedi来源Exploit-DB 原文 ↗ 🔬 漏洞根因 软件监听端口49762的 /api/getVersion 接口返回 requires.auth 为 false 时,/api/executeScript 接口未进行身份验证,且直接接受 X-Script 头部作为系统命令执行。 🎯 攻击场景 1. 确认目标IP及端口(49762);2. 使用GET请求访问 /api/getVersion
阅读时间 11 分钟
漏洞分析

[local] Windows Snipping Tool - NTLMv2 Hash Hijack

CVE-2026-33829 Windows截图工具通过ms-screensketch:edit URI导致NTLMv2哈希泄露 High · CVSS 4.3 📋 漏洞基础信息 CVECVE-2026-33829漏洞类型凭证劫持受影响版本Windows 10 (所有版本,2026年4月14日补丁前)、Windows 11 (所有版本,2026年4月14日补丁前)、Windows Server 2012/2016/2019/2022/2025 (2026年4月14日补丁前)危害等级High · CVSS 4.3发布日期2026-05-15提交者nu11secur1ty来源Exploit-DB 原文 ↗ 🔬 漏洞根因 Windows截图工具处理ms-screensketch:edit URI时,未验证filePath参数中的SMB路径,自动发起NTLMv2身份验证到攻击者控制的远程SMB服务器,导致用户哈希被泄露。 🎯 攻击场景 1. 攻击者在Kali Linux上运行exploit.py,启动Responder和HTTP服务器;2
阅读时间 16 分钟
漏洞分析

[webapps] PJPROJECT 2.16 - Heap Bufferoverflow

CVE-2026-25994 PJSIP PJNATH ICE会话中因未校验长度导致堆栈缓冲区溢出,可致远程代码执行。 Critical · CVSS 9.8 📋 漏洞基础信息 CVECVE-2026-25994漏洞类型堆栈缓冲区溢出受影响版本PJSIP <=2.16危害等级Critical · CVSS 9.8发布日期2026-05-14提交者V.Nos - BinSmaser Team来源Exploit-DB 原文 ↗ 🔬 漏洞根因 函数pj_ice_sess_create_check_list()中,在栈上声明了128字节的缓冲区buf,然后使用pj_strcpy将远程用户提供的rem_ufrag复制进去,未对rem_ufrag长度做任何检查,导致当rem_ufrag长度超过128时发生栈溢出。 🎯 攻击场景 1. 攻击者构造SDP消息,在a=ice-ufrag字段填入超长字符串(例如520个'A')。 2. 攻击者向目标PJSIP栈发送带有该SDP的SIP INVITE请求。
阅读时间 3 分钟
漏洞分析

[webapps] ePati Antikor NGFW 2.0.1301 - Authentication Bypass

CVE-2026-2624 ePati Antikor NGFW 防火墙通过未经认证的WebSocket接口可窃取集群状态和网络数据包。 Critical · CVSS 9.1 📋 漏洞基础信息 CVECVE-2026-2624漏洞类型认证绕过受影响版本ePati Antikor NGFW v2.0.1298 - v2.0.1301危害等级Critical · CVSS 9.1发布日期2026-05-14提交者[SADIK ERTÜRK]来源Exploit-DB 原文 ↗ 🔬 漏洞根因 WebSocket端点 /sock/{server_id}/{session_id}/websocket 未校验用户身份,允许任意未经认证的客户端直接连接并发送内部命令(komut),包括 rapor-dinle(监听集群状态)和 paket-liste-dinle(监听网络数据包)。 🎯 攻击场景 1. 确认目标IP和端口(默认8800)开启WebSocket服务。 2.
阅读时间 3 分钟
漏洞分析

CVE-2009-3459 - Adobe Acrobat and Reader Heap-Based Buffer Overflow Vulnerability

🔥 热门漏洞情报 · CISA-KEV · 2026-05-20 CVE-2009-3459 - Adobe Acrobat and Reader Heap-Based Buffer Overflow Vulnerability Critical · CVSS 9.8 堆缓冲区溢出 CVE-2009-3459 📋 漏洞概述 Adobe Acrobat与Reader存在堆缓冲区溢出漏洞,攻击者通过特制PDF文件触发内存破坏,可远程执行任意代码。 📋 基础信息 受影响版本Adobe Acrobat 9.x before 9.2, Acrobat 8.x before 8.1.7, and Adobe Reader 9.x before 9.2, 8.x before
阅读时间 3 分钟
漏洞分析

CVE-2009-1537 - Microsoft DirectX NULL Byte Overwrite Vulnerability

🔥 热门漏洞情报 · CISA-KEV · 2026-05-20 CVE-2009-1537 - Microsoft DirectX NULL Byte Overwrite Vulnerability Critical · CVSS 9.3 堆缓冲区溢出(空字节覆盖) CVE-2009-1537 📋 漏洞概述 Microsoft DirectX DirectShow quartz.dll 中 QuickTime 解析器存在空字节覆盖漏洞,远程攻击者通过特制QuickTime文件可执行任意代码。 📋 基础信息 受影响版本Microsoft DirectX 9.0c, Microsoft Windows 2000 SP4, Windows XP SP2/SP3, Windows Vista SP1/SP2, Windows Server 2003 SP2, Windows
阅读时间 3 分钟
漏洞分析

CVE-2008-4250 - Microsoft Windows Buffer Overflow Vulnerability

🔥 热门漏洞情报 · CISA-KEV · 2026-05-20 CVE-2008-4250 - Microsoft Windows Buffer Overflow Vulnerability High · CVSS N/A 安全漏洞 CVE-2008-4250 📋 漏洞概述 CVE-2008-4250 - Microsoft Windows Buffer Overflow Vulnerability 📋 基础信息 受影响版本请参考 CVE 详情 漏洞类型安全漏洞 CVSSN/A · High CVECVE-2008-4250 🔬 漏洞根因 详见 CVE 描述 🎯 攻击场景 详见 CVE 描述 💥 漏洞影响 请参考 CVSS 评分 🛡️ 修复建议 请升级到厂商最新安全版本 📎 参考链接 * 原始来源(CISA-KEV)
阅读时间 1 分钟
安全情报

Understanding Current Threats to Kubernetes Environments

📡 Palo Alto Unit42 · 2026-04-06 Understanding Current Threats to Kubernetes Environments CVE-2025-55182 Executive Summary The rapid adoption of container orchestration has positioned Kubernetes as a high-value target for adversaries seeking to compromise enterprise-scale environments. Our telemetry reveals that Kubernetes-related threat actor operations, including stealing Kubernetes tokens, increased 282% over the last
阅读时间 20 分钟
安全情报

Progress ShareFile曝新漏洞 可组合实现未认证远程代码执行

📡 4hou · 2026-04-10 Progress ShareFile曝新漏洞 可组合实现未认证远程代码执行 CVE-2026-2699CVE-2026-2701 Progress ShareFile曝新漏洞 可组合实现未认证远程代码执行 导语:由于系统对 HTTP 重定向处理不当,攻击者可直接访问 ShareFile 管理后台界面。 最新发现,企业级安全文件传输解决方案 Progress ShareFile 存在两处漏洞,攻击者可将其组合利用,在无需身份认证的情况下从受影响环境中窃取文件。Progress ShareFile 是一款文档共享与协作产品,广泛应用于大中型企业。 此类文件传输平台历来是勒索软件团伙的重点攻击目标,此前 Clop 勒索组织就曾利用 Accellion FTA、SolarWinds Serv-U、Gladinet CentreStack、GoAnywhere MFT、MOVEit Transfer、Cleo 等产品中的漏洞实施大规模数据窃取攻击。 watchTowr 的研究人员在 Progress ShareFile
阅读时间 3 分钟
安全情报

📊 2026-05-21 漏洞情报日报 · 200 条 · 高危 99

每日漏洞情报汇总 · 2026-05-21 📊 2026-05-21 漏洞情报日报 📋 共 200 条 🔥 高危/严重 99 条 🚨 CISA-KEV 7 条 🐙 GitHub-Advisory 67 条 🔥33 🛡️ NVD-Latest 66 条 🔥66 ⚔️ Sploitus 60 条 🤖 今日安全态势分析 🎯 今日重点关注 * CVE-2026-46421 及 @beproduct/nestjs-auth 恶意包事件:影响 @cap-js/* 系列库及 npm 生态。攻击者通过泄露的发布令牌(Token)植入恶意代码,窃取凭证并自我复制。属于供应链投毒(Supply Chain Compromise),利用条件为零,已安装受影响版本的开发环境将被直接感染。 * CVE-2026-43633 (CVSS 10.
阅读时间 23 分钟
APT情报

Wi-Fi加密形同虚设:AirSnitch攻击如何突破企业无线安全防线

🔓 Critical 漏洞利用 Palo Alto Networks Unit42团队在NDSS 2026上披露了名为AirSnitch的新型攻击技术集合,该技术利用Wi-Fi协议与基础设施交互中的设计缺陷,能够绕过WPA2/WPA3-Enterprise加密和客户端隔离,实现中间人攻击。攻击者可通过多种信道(包括空中、同一AP、不同AP、内网甚至互联网)注入或窃听流量,严重威胁企业数据机密性。 来源:Palo Alto Unit42 | 2026-04-22 | 原文链接 🔍 关键发现 * AirSnitch攻击利用Wi-Fi基础设施(如MAC地址表、端口映射)而非仅针对客户端,打破了传统无线安全假设。 * 攻击者可通过滥用共享GTK(组临时密钥)将单播流量封装在广播/组播帧中,绕过企业AP的客户端隔离。 * 部分攻击技术(如Port Stealing)源于Wi-Fi协议根本性设计错误,难以通过补丁修复;其他技术(如Gateway Bouncing)依赖特定网络配置,导致厂商统一修复不现实。 ⚔️ 攻击链分析 1. 攻击者通过空中、同一AP、不同AP、
阅读时间 2 分钟
APT情报

AWS AgentCore沙箱逃逸:DNS隧道突破网络隔离,默认元数据服务缺乏令牌验证

🔓 Critical 漏洞利用 Palo Alto Unit42研究人员发现AWS AgentCore的Code Interpreter沙箱模式存在网络隔离绕过漏洞,攻击者可通过DNS隧道实现数据外泄。此外,AgentCore Runtime的微VM元数据服务(MMDS)缺乏会话令牌强制,允许SSRF攻击直接窃取敏感凭证,威胁整个AWS环境。 来源:Palo Alto Unit42 | 2026-04-07 | 原文链接 🔍 关键发现 * AgentCore沙箱模式并未真正实现“无外部网络访问”,存在DNS隧道外泄通道 * 微VM元数据服务(MMDS)默认接受HTTP GET请求,不要求会话令牌,类似IMDSv1风险 * AgentCore Runtime环境中的SSRF漏洞可被利用直接提取凭证,导致环境横向移动和数据窃取 ⚔️ 攻击链分析 1. 攻击者利用Code Interpreter沙箱内代码执行能力,通过DNS隧道建立隐蔽双向通信通道;2. 利用MMDS缺乏令牌验证,通过SSRF攻击提取元数据中的敏感凭证;3. 利用获取的凭证横向移动至其他AgentC
阅读时间 2 分钟
APT情报

AI自主攻击云环境:多智能体系统Zealot实战验证与安全启示

🔍 Critical 其他 Palo Alto Unit42构建了一个名为Zealot的多智能体渗透测试概念验证系统,用于实证评估AI在云环境中的自主攻击能力。该系统利用大语言模型(LLM)作为协调者,指挥三个专业子智能体(基础设施、应用安全、云安全),在沙盒GCP环境中成功实现了从SSRF漏洞利用、元数据服务凭证窃取、服务账号模拟到BigQuery数据窃取的完整攻击链。研究表明,AI虽未创造新的攻击面,但作为“能力倍增器”能显著加速对已知云配置错误的利用,对防御者构成真实且紧迫的威胁。 来源:Palo Alto Unit42 | 2026-04-23 | 原文链接 🔍 关键发现 * AI自主攻击能力已从理论风险演进为现实威胁,Anthropic报告证实国家背景的间谍活动中80-90%操作由AI自主完成。 * 多智能体系统(Zealot)能够自主链式利用云环境中的常见配置错误,包括SSRF、元数据服务、IAM权限提升等,实现端到端攻击。 * 云环境因API驱动、丰富的发现机制、复杂配置和基于凭证的访问等特性,天然适合AI自动化攻击。 ⚔️ 攻击链分析 1. 基
阅读时间 2 分钟
[!] CONTACT_CHANNELS

如需商务合作、技术咨询或漏洞反馈,请通过以下离岸节点联系作者。

> PING_AUTHOR (@A1RedTeam)