Metasploit Framework 扩展了 Cisco、osTicket 漏洞利用和 LDAP 增强功能

Metasploit Framework 扩展了对 Cisco、osTicket 的漏洞利用和 LDAP 增强功能

执行摘要

2026年4月10日更新的开源 Metasploit Framework 引入了新的攻击安全能力，包括针对 Cisco Catalyst SD-WAN Manager 和 osTicket 帮助台系统的漏洞利用模块。根据 Rapid7 的总结文章，此次发布还对 轻量级目录访问协议（LDAP） 和 活动目录证书服务（ADCS） 枚举进行了重大的后端改进，并完善了 Windows服务对用户持久性 的技术。这些新增功能为渗透测试人员和红队提供了更多的安全评估工具，同时强调了防御者需要修补相关系统并监控相关交易技巧。

技术分析

更新专注于扩大框架的利用范围和增强后利用数据收集。两个新的辅助模块针对特定应用程序。第一个利用 Cisco Catalyst SD-WAN Manager 网络设备基于网络的管理界面中未指定的漏洞，这是一个关键的网络基础设施组件。成功的利用可能会授予攻击者对软件定义广域网的管理平面的未经授权的访问。第二个新模块针对 osTicket，这是一个流行的开源客户支持平台。模块的具体功能在源代码中没有详细说明，但这类模块通常旨在远程代码执行或认证绕过以获取对敏感支持票据数据的访问。

除了新的漏洞利用外，还投入了大量工作来改进与 LDAP 和 ADCS 相关的模块。这些增强功能自动化了在目标活动目录环境中发现和报告相关服务的过程。这创建了一个“改进的数据流”，操作员可以使用 Metasploit 的 services 命令查询，允许更有效地进行横向移动和权限提升规划，通过映射关键基础设施如证书颁发机构。

最后，更新包括对 Windows服务对用户 持久性模块的改进。这种技术涉及创建一个在特定用户的上下文中运行的服务，已更新为提高可靠性和隐蔽性，尽管源材料中没有具体说明确切的技术变更。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

此次发布的模块和更新对应于多个 MITRE ATT&CK 技术。新的漏洞利用模块属于 利用公共面向应用程序（T1190）。增强的 LDAP/ADCS 枚举支持 活动目录发现（T1087.002） 和 网络服务发现（T1046）。更新的 Windows 服务对用户模块是 创建或修改系统进程：Windows 服务（T1543.003） 的一种形式，用于持久性。MSFVenom 的使用，其性能得到了改进，与 生成或获取有效载荷（T1588.002） 相关联。

威胁行为者背景

Metasploit Framework 是一个双重用途工具。它主要由安全专业人员、渗透测试人员和红队用于授权的安全评估和研究。然而，由于其可靠性、广泛的文档和集成到更广泛的攻击链中，其模块和有效载荷经常被从脚本小子到高级持续性威胁（APTs）的各种威胁行为者采用。添加针对常见企业软件如 Cisco SD-WAN 和 osTicket 的模块增加了这些漏洞在公开披露后被恶意行为者武器化的可能性。

缓解措施与建议

组织应立即应用 Cisco Catalyst SD-WAN Manager 和 osTicket 的供应商补丁，以缓解新模块针对的漏洞。确保网络设备的 Web 管理界面不暴露在互联网上。对于 LDAP/ADCS 侦察技术，在域控制器和证书颁发机构上实施强大的日志记录和监控，以检测枚举活动。限制标准用户帐户的 LDAP 查询权限。为了对抗持久性技术，定期审计计划任务和服务以寻找异常条目，为服务帐户强制执行最小权限原则，并使用能够检测恶意服务创建的端点检测和响应（EDR）工具。