1、研究人员发现新型安卓恶意软件RatOn https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats 研究人员在对NFSkate攻击活动进行监控期间，发现了一个独特的APK样本。该样本是一种功能齐全的新型银行木马，具备设备、账户接管能力，以加密货币钱包应用程序为目标。此外，该恶意软件还可以滥用某特定银行应用程序执行自动转账，并通过定制的覆盖页面和设备锁定功能进行勒索。研究人员根据攻击者在群聊中使用的名称将其命名为RatOn，并推测此处的“Rat”指的可能就是远程访问工具（Remote Access Too 2、微软推出安全更新修复81个漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2025-patch-tuesday-fixes-81-flaws-two-zero-days/ 微软于2025年9月份的“周二补丁日”推出安全更新，修复了81个漏洞，其中包括2个已公开披露的零日漏洞。这两个零日漏洞分别是Windows SMB权限提升漏洞（CVE-2025-55234）和Newtonsoft.Json中处理异常情况不当（CVE-2024-21907）。各漏洞类别数量如下：41个权限提升漏洞、2个安全功能绕过漏洞、22个远程代码执行漏洞、16 3、Adobe修复安全漏洞CVE-2025-54236 https://www.bleepingcomputer.com/news/security/adobe-patches-critical-sessionreaper-flaw-in-magento-ecommerce-platform/ Adobe发出警告，其Commerce和Magento Open Source平台中存在一个被研究人员命名为 “SessionReaper”的高危漏洞（CVE-2025-54236），并称其为该产品中最严重的漏洞之一。Adobe发布了一个针对该安全漏洞的补丁。该漏洞无需认证即可被利用，攻击者可以通过Commerce REST API来控制客户账户。作为临时 4、微软Office两大高危漏洞，可导致恶意代码执行 https://www.freebuf.com/articles/system/448043.html 微软已针对Microsoft Office中的两个高危漏洞发布补丁，攻击者可利用这些漏洞在受影响系统上执行恶意代码。这两个编号为CVE-2025-54910和CVE-2025-54906的漏洞于2025年9月9日披露，影响该流行办公套件的多个版本。 5、GitLab紧急修复两个高危漏洞，敦促用户立即更新 https://www.freebuf.com/articles/web/448054.html GitLab已发布其社区版和企业版的新版本，修复了多个安全漏洞，其中包括两个可能导致服务中断和数据泄露的高危漏洞。 6、Stratix交换机高危远程代码执行漏洞可导致RCE https://www.freebuf.com/articles/ics-articles/447928.html 罗克韦尔自动化公司（Rockwell Automation）针对其Stratix工业以太网交换机发布安全公告，披露编号为CVE-2025-7350的高危漏洞。该漏洞CVSS评分为9.6分，攻击者可利用跨站请求伪造（CSRF）缺陷实现未认证远程代码执行（RCE）。 7、西门子SIMATIC虚拟化服务存在高危漏洞 https://www.freebuf.com/articles/ics-articles/447890.html 西门子近日披露其SIMATIC Virtualization as a Service（SIVaaS）平台存在一个高危安全漏洞（CVE-2025-40804）。该漏洞CVSS评分为9.1分，会导致网络共享资源在无认证情况下暴露，攻击者可能借此访问或篡改敏感数据。 8、BitLocker两大UAF漏洞允许攻击者提升权限 https://www.freebuf.com/articles/system/448011.html 微软已修复影响Windows BitLocker加密功能的两处重大权限提升漏洞。这两个漏洞编号为CVE-2025-54911和CVE-2025-54912，于2025年9月9日披露，严重等级被评定为"重要"。 9、Dynatrace确认受到Salesloft Drift数据泄露的影响 https://cybersecuritynews.com/dynatrace-data-breach/ Dynatrace确认其受到了一起源于Salesloft Drift应用程序的第三方数据泄露事件的影响，导致存储在Salesforce CRM中的客户业务联系信息遭到未经授权的访问。该公司确认，此次事件仅影响其CRM平台，并未影响任何Dynatrace的核心产品、服务或敏感客户环境。调查确认，恶意活动仅限于其Salesforce CRM实例。此外，该公司称他们不使用Salesforce中的“案例功能”，这意味着攻击者无法访问任何客户支持案例信息。此次事件未对Dynatrace的业务运营造 10、APT37使用Rust后门和Python加载程序进行攻击活动 https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader 研究人员发现，在近期的活动中，APT37组织使用单个命令与控制（C2）服务器来控制其多种恶意软件，包括基于Rust的后门Rustonotto（也称CHILLYCHINO）、名为Chinotto的PowerShell恶意软件，以及FadeStealer。Rustonotto是该组织自2025年6月开始使用的一个新后门。Chinotto是一个已有详细记录的PowerShell后门，该组织自201 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

事件概况 最近应急，遇到一起官网非法链接事件。如下图所示，使用百度搜索引擎语法site:www.网站域名 搜索某关键字，会出现一堆结果。并且只有百度搜索引擎可以搜索出来，其他的都没有记录。 挨个点开，都是404，最近的一条是8.15的。 到现场后，先建议工作人员分批进行用户反馈，期望百度能够尽快删除搜索结果，将负面影响降低到最小，之后着手应急。 既然是挂链接，又是404，说明在百度爬虫收录之后，链接原文已经被删除。作案者相当谨慎，估计是下次接到活儿还想如法炮制。现场资产情况是： Windows Server 2016 IIS 10 Microsoft Sql Server 2008 WAF 排查角度有两个，一是服务器被入侵了，这是最糟糕的结果，二是网站本身存在漏洞，作案者直接操作网站后台发的文。 上机排查 登录服务器，看到桌面还算整洁，与运维人员核实，安装的软件也都正常。查看服务器上仅有的安全防护措施——卡巴斯基，未发现活动威胁，情况还算可以。 翻看卡巴斯基防护日志，并没有异常行为告警，只有一条漏洞利用防御的记录，还是告警的D盾。 将D盾拿上服务器，逐一翻看一遍，并没有发现异常，IIS模块都是正常运行。 排查到这里基本可以排除服务器被入侵的可能了。然后，有效的安全设备仅有一台WAF，登录上去看看与该网站相关的日志。 看到很多发文异常的告警，但仅仅是告警，没有阻断，估计是不允许影响业务。 从这条告警来猜测，网站有可能存在编辑器漏洞，kindeditor。但也就这些告警，没有参考价值，因为响应结果记录为空。 既然没有入侵服务器，没有植入马儿，那就还是通过网站操作来发布的文章。所以下面的排查思路是跟踪文章的发布和删除时间，以及发布者账号、登录IP等等。 联系软件开发公司的人，询问文章删除逻辑： 顿时感觉这套系统开发的好随意，文章说删就删了，真的删了，没有给追踪溯源留下一丝余地。接下来怎么办？看看web日志吧。 web日志 web日志分为两种，一种以ex开头，记录的是爬虫行为，文件普遍偏小，另一种以nc开头，记录的是网站的访问日志，文件普遍偏大。 根据“Baiduspider”关键字搜索百度爬虫的时间。 302太多，只需要200的，并且加上大概的时间范围： 记录还是太多。询问开发人员有没有url白名单，不出所料，回复依然是“不知道”。如此一来，从百度收录时间入手排查的思路就断了。然后怎么办？看看访问日志吧，根据访问数量筛选一下。 果然，有一个IP的访问数量特别多，针对这个IP筛选一下。 访问时间大多在凌晨一两点，且url多数和kindeditor有关，着实可疑。然后根据这个IP查一下登录账号： 只有寥寥几条，应该是只供页面展示用，而且不支持下一页查询。既然开发不给力，那就只有自己登录数据库查询了。 Database 登录之后翻看表空间，首先看到一张User表，本能地打开。看到loginPwd列，自然是存储的密码，不过，再仔细瞧瞧这些记录，16位的MD5啊！ 继续翻看发现，怎么有几个相同的MD5值？难不成是初始密码还没改。 把这几个相同的MD5拿出来解密一下： 解出来了，又是一个MD5，再次解密： 出来了，弱口令，111。用户密码的加密规则是两次MD5处理。以这个密码为查询条件筛选一下用户，好家伙，总共6个人都是用的这个密码。 在其中随便找个账号查询其近两个月的登录记录： 果然，8.11登录过，而且是外省地址。回看百度爬虫收录时间是8.15，从发文到被爬取用了4天时间，符合爬虫效率。 之后再去除源地址转换、出口IP地址、IPv6地址，筛选所有弱口令账号近三月的登录日志，共53条。 经分析发现其中一个账号存在多地点多IP登录的情况，且登录IP中有多个为恶意IP，下图是其一。 用其账号登录网站后台管理系统，瞬间一目了然： 账号权限包括发布文章、修改文章、删除文章......一应俱全。 总结两点 说一千道一万的是弱口令，屡禁不止的是弱口令，明知故犯的还是弱口令。 应急是个综合性很强的活儿，有时候不需要多么高超的技术，像这次，我就当了一把系统运维和数据库运维。

1、研究人员披露ImageMagick中的一个高危漏洞 https://securityonline.info/cve-2025-57807-a-critical-flaw-in-imagemagick-could-lead-to-rce-poc-available/ 安全研究人员披露了ImageMagick中的一个安全漏洞，该漏洞被标识为CVE-2025-57807（CVSS评分9.8）。该缺陷源于BlobStream的SeekBlob()和WriteBlob()函数中的契约不匹配，导致堆内存越界写入，攻击者可利用此漏洞来损坏内存并可能执行任意代码。研究人员还发布了CVE-2025-57807的概念验证漏洞利用代码。ImageMagick团队已 2、Salesloft称攻击者在3月份入侵其GitHub账户 https://www.bleepingcomputer.com/news/security/salesloft-march-github-repo-breach-led-to-salesforce-data-theft-attacks/ Salesloft表示，攻击者在3月份首次入侵其GitHub账户，导致Drift OAuth令牌泄露，这些令牌随后在8月份被用于大规模窃取Salesforce数据。协助Salesloft调查的安全公司表示，攻击者最初在2025年3月至6月期间获得了对其GitHub环境的访问权限。攻击者从多个GitHub代码库下载了代码，添加了访客用户账户。安全公司证实，攻 3、Plex平台通知用户重置密码 https://www.bleepingcomputer.com/news/security/plex-tells-users-to-reset-passwords-after-new-data-breach/ Plex正在通知其用户重置密码，此前该公司遭遇了数据泄露，攻击者从其一个数据库中窃取了用户身份验证数据。Plex表示泄露的数据包括电子邮件地址、用户名、安全哈希处理过的密码和身份验证数据。Plex建议用户在该平台重置密码，并在重置时启用“密码更改后登出已连接设备”选项。Plex表示，此次数据泄露不涉及支付卡信息，因为这些信息不存储在其服务器上。该公司称已解决了此次入侵事件，但没有分享 4、Adobe紧急修复Magento历史上最严重的漏洞 https://securityonline.info/adobe-issues-emergency-patch-for-sessionreaper-cve-2025-54236-one-of-magentos-most-critical-flaws/ Adobe紧急修复Magento高危漏洞SessionReaper（CVE-2025-54236），该漏洞可能导致网店被自动化攻击，商家需立即打补丁或采取防护措施。开源用户未获预警引发不满。 5、Windows Defender 更新机制存在高危漏洞 https://cybersecuritynews.com/windows-defender-vulnerability/ Windows Defender更新机制存在高危漏洞，攻击者可利用管理员权限创建符号链接劫持服务，禁用防护或植入恶意代码，导致系统无保护状态。漏洞利用系统自带工具，凸显终端防护对抗风险。 6、pREST严重SQL注入漏洞威胁PostgreSQL数据库安全 https://securityonline.info/cve-2025-58450-critical-sql-injection-flaw-in-prest-puts-postgresql-databases-at-risk/ pREST框架曝高危SQL注入漏洞(CVE-2025-58450)，影响v2.0.0-rc3前所有版本，CVSS 9.4。攻击者可读取敏感文件、窃取凭证及操纵数据库。修复版本已发布，建议改用参数化查询并严格验证输入。 7、WebFlux现cvss10分高危漏洞，可导致环境属性篡改 https://securityonline.info/cve-2025-41243-cvss-10-critical-spring-cloud-gateway-server-webflux-flaw-exposes-property-modification-risk/ Spring Cloud Gateway WebFlux高危漏洞（CVE-2025-41243，CVSS 10.0）允许攻击者篡改环境属性，影响4.3.0-4.3.x等版本。建议升级至修复版本或移除gateway配置并保护Actuator端点。 8、GPUGate恶意软件利用GitHub和谷歌广告进行隐蔽攻击 https://www.freebuf.com/articles/database/447864.html 北极狼(Arctic Wolf)安全研究人员发现了一种针对西欧用户的新型恶意软件活动，该活动通过谷歌广告传播并采用复杂规避技术。这款名为GPUGate的恶意软件通过伪造的GitHub Desktop安装程序分发有效载荷，攻击者利用可信平台绕过传统检测方法，诱使用户下载恶意软件。 9、黑客利用AI驱动的邮件攻击工具发起大规模钓鱼攻击 https://www.freebuf.com/articles/ai-security/447834.html 一款名为SpamGPT的新型高级网络犯罪工具包正被黑客用于发起大规模高效钓鱼攻击，该工具将人工智能技术与专业邮件营销平台功能相结合。这款在暗网以"垃圾邮件即服务"（spam-as-a-service）形式销售的平台，几乎实现了欺诈邮件操作的全流程自动化，大幅降低了犯罪分子的技术门槛。 10、Linux UAF漏洞（CVE-2024-50264）新型利用方式曝光 https://www.freebuf.com/articles/447833.html 研究人员发现一种新型利用技术，可成功绕过现代安全防护措施，通过Linux内核中复杂的释放后重用（Use-After-Free，UAF）漏洞获取root权限。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员发现新型恶意软件GPUGate https://arcticwolf.com/resources/blog/gpugate-malware-malicious-github-desktop-implants-use-hardware-specific-decryption-abuse-google-ads-target-western-europe/ 攻击者在一个合法的GitHub代码库中创建一个特定的提交，然后修改README文件并在其中包含恶意下载链接，该恶意下载链接会将用户重定向至攻击者创建的恶意网站，导致用户下载恶意软件。初始恶意程序是一个128MB的MSI文件，伪装成GitHub Desktop安装程序，其中包含 2、研究人员发现新型僵尸网络NightshadeC2 https://www.esentire.com/blog/new-botnet-emerges-from-the-shadows-nightshadec2 研究人员发现了一个新的僵尸网络，将其命名为“NightshadeC2”。该僵尸网络通过一个加载程序进行部署，该程序采用了一种绕过沙箱的方法，并利用一种研究人员称为“UAC Prompt Bombing”的技术将其添加至Windows Defender的排除项中。研究人员发现该僵尸网络存在C语言和Python两种版本，它们都与一个身份不明的命令与控制（C2）框架进行通信。C语言变种主要通过TCP端口7777、33336、33337和443 3、Tenable确认一起数据泄露事件 https://cybersecuritynews.com/tenable-confirms-data-breach/ Tenable已确认发生一起数据泄露事件，导致其部分客户的联系方式和支持案例信息泄露。该公司调查发现，未经授权的攻击者已访问了其Salesforce实例中存储的部分客户信息。泄露的数据信息仅限于Tenable的Salesforce环境中的数据，包括：常见的业务联系信息，如客户姓名、工作邮箱地址和电话号码；与客户账户相关的地区和位置信息；客户在创建支持案例时提供的主题和初始描述。Tenable指出，目前没有证据表明这些数据遭到恶意利用。 4、每周下载量超20亿的npm软件包遭大规模攻击劫持 https://www.freebuf.com/articles/web/447743.html 网络安全公司Aikido Security披露了npm生态有史以来最大规模的供应链攻击事件。攻击者通过钓鱼邮件入侵长期受信任的维护者qix的账户，篡改了包括chalk、debug和ansi-styles在内的18个流行软件包，这些软件包每周总下载量超过20亿次。 5、新型APT组织"嘈杂熊"针对哈萨克斯坦能源部门发起网络间谍活动 https://securityonline.info/noisy-bear-a-new-apt-group-is-spying-on-kazakhstans-energy-sector/ "嘈杂熊"APT组织自2025年起针对哈萨克斯坦能源部门，通过伪装成KMG内部邮件的鱼叉式钓鱼攻击，利用PowerShell加载器和DLL植入技术实施四阶段入侵，基础设施与俄罗斯关联密切。 6、GhostAction攻击窃取GitHub项目中3325个机密凭证 https://hackread.com/ghostaction-attack-steals-github-projects-secrets/ 2025年9月"GhostAction"供应链攻击通过恶意GitHub工作流窃取3325个机密凭证，影响817个代码库，涉及DockerHub、GitHub令牌等，是迄今最大规模GitHub工作流入侵事件。 7、cJSON库存在CVSS 9.8高危JSON解析漏洞 https://securityonline.info/cve-2025-57052-critical-json-parsing-flaw-in-cjson-with-cvss-9-8-poc-available/ cJSON库曝高危漏洞CVE-2025-57052（CVSS 9.8），解析JSON指针时数组边界检查失效，可导致内存越界访问、崩溃或权限提升。影响广泛，需更新修复循环条件判断。 8、Jackrabbit最新漏洞可导致JNDI注入与远程代码执行 https://securityonline.info/cve-2025-58782-apache-jackrabbit-vulnerability-exposes-systems-to-jndi-injection-and-rce/ Apache Jackrabbit组件曝JNDI注入漏洞（CVE-2025-58782），影响1.0.0-2.22.1版本，可致远程代码执行和数据泄露。建议立即升级至2.22.2版本并严格审查JNDI URI使用。 9、伪装成破解软件的Atomic窃密木马正针对macOS用户 https://cybersecuritynews.com/atomic-stealer-disguised-as-cracked-software/ macOS遭Atomic Stealer木马攻击，伪装破解软件窃取浏览器凭证、加密货币等数据，利用社会工程绕过安全措施，通过终端命令和复杂持久化机制传播，威胁个人和企业安全。 10、iCloud日历遭滥用：攻击者利用苹果服务器发送钓鱼邮件 https://www.anquanke.com/post/id/311972 攻击者正滥用iCloud日历邀请功能，通过苹果官方邮件服务器发送伪装成支付通知的回拨钓鱼邮件，大幅提升绕过垃圾邮件过滤器并进入目标收件箱的概率。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者针对macOS用户传播AMOS窃密木马 https://www.trendmicro.com/en_us/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html 研究人员发现并分析了一起针对macOS用户的恶意软件攻击活动，该活动通过分发名为Atomic macOS Stealer（简称AMOS）的窃密软件来窃取用户数据。攻击者将恶意软件伪装成破解版的应用软件，以此诱骗用户进行安装。攻击者的另一种传播方式是诱骗用户将恶意命令粘贴到macOS终端中，这种方法可以绕过Gatekeeper，这是一种macOS的内置保护机制，通常会阻止未签名或未经验证的应用运行。 2、普利司通证实其北美工厂遭受网络攻击 https://www.bleepingcomputer.com/news/security/tire-giant-bridgestone-confirms-cyberattack-impacts-manufacturing/ 普利司通（Bridgestone）已确认正在调查一起网络攻击，该事件影响了其在北美部分制造工厂的运营。该公司认为，其团队做出了快速响应，按照既定协议遏制了此次问题，并且不认为任何客户数据或接口受到了损害。与此同时，该公司表示，其员工正在夜以继日地工作，以减轻对产品生产的影响。普利司通尚未回应此次攻击是否为勒索软件攻击，目前也没有任何勒索组织声称对此次攻击负责。 3、一个零日漏洞影响Sitecore的多款产品 https://cybersecuritynews.com/sitecore-zero-day-vulnerability/ 在Sitecore的多款产品中存在一个零日漏洞，可能允许攻击者远程执行代码。该漏洞被标识为CVE-2025-53690，源于一个ViewState反序列化缺陷，且正被攻击者积极利用。研究人员的调查显示，攻击者利用了在2017年及更早的Sitecore部署中包含的暴露的ASP.NET机器密钥。这些密钥允许攻击者绕过验证机制，向服务器发送有害的ViewState载荷，从而导致远程代码执行。Sitecore已确认该漏洞，并将其标记为SC2025-005。 4、SAP S/4HANA的零日漏洞正被恶意利用 https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/ 研究人员警告称，SAP S/4HANA中一个零日漏洞正在被攻击者所利用，以入侵暴露的服务器。该漏洞被标识为CVE-2025-42957（CVSS评分为9.9），它允许低权限的认证用户注入任意代码，绕过授权，并完全控制SAP系统。供应商已于2025年8月11日修复了该漏洞。然而，一些系统尚未应用可用的安全更新，攻击者已经将该漏洞武器化，对这些系统进行攻击。根据研究人员的一份报告，C 5、Argo CD存在一个高危漏洞 https://www.bleepingcomputer.com/news/security/max-severity-argo-cd-api-flaw-leaks-repository-credentials/ Argo CD的一个漏洞允许攻击者访问API端点并检索与该项目相关的所有代码库凭证。该漏洞被标识为CVE-2025-55190，CVSS v3评分为10.0。获得这些凭证的攻击者可以利用它们克隆私有代码库，注入恶意清单文件，尝试下游攻击，或转向使用相同凭证的其他资源。该漏洞影响Argo CD 2.13.0及之前的版本。该漏洞已在3.1.2、3.0.14、2.14.16和2.13.9 6、Django发布安全更新修复SQL注入漏洞 https://securityonline.info/cve-2025-57833-a-new-sql-injection-flaw-puts-django-web-applications-at-risk/ Django软件基金会已为其Python Web框架的多个版本发布了安全更新，修复了一个安全漏洞CVE-2025-57833（CVSS评分7.1），该漏洞可能允许攻击者执行SQL注入。当开发人员在查询中使用动态注解或别名时，此漏洞可能会被利用，允许恶意输入操纵SQL语句。此类漏洞可能导致未经授权的数据访问、篡改，甚至完全入侵应用数据库。 7、研究人员发现新型勒索软件Obscura https://www.huntress.com/blog/obscura-ransomware-variant 研究人员发现了一种新型勒索软件，由于其勒索信的名称为“README_Obscura.txt”，并且勒索信内容中也多次提及Obscura，因此将其命名为Obscura勒索软件。在对该勒索软件进行分析时，研究人员没有发现任何提及Obscura勒索软件的公开报告。该勒索软件是一个使用Go语言编写的二进制文件，其中包含经过Base64编码的勒索信内容。 8、macOS漏洞可无需密码读取Keychain及解密iOS应用 https://www.anquanke.com/post/id/311929 在今天的 Nullcon Berlin 大会上，一名研究员披露了一个严重的 macOS 漏洞（CVE-2025-24204），该漏洞允许攻击者在 系统完整性保护（SIP） 启用的情况下，读取任意进程的内存，进而实现无需密码即可解密 Keychain 和 iOS 应用。 9、谷歌云与Cloudflare平台惊现潜伏三年的钓鱼攻击活动 https://cybersecuritynews.com/phishing-campaign-went-undetected-for-over-3-years/ 高级钓鱼攻击潜伏谷歌云和Cloudflare三年，利用过期域名克隆知名企业网站，针对高价值目标。攻击者通过智能伪装技术规避检测，根据访问者信息展示不同内容，托管超48,000虚拟主机，涉及军事、医疗等多行业，暴露出云服务安全缺陷。 10、攻击者利用虚假下载站点传播Odyssey窃密木马 https://www.cloudsek.com/blog/threat-actors-impersonate-microsoft-teams-to-deliver-odyssey-macos-stealer-via-clickfix 研究人员发现，攻击者正通过一个虚假的Microsoft Teams下载网站来诱骗用户下载恶意软件。当受害者复制运行该网站中提供的命令时，一个经过Base64编码的AppleScript窃密木马（即Odyssey）就会被执行。该恶意软件会窃取凭证、浏览器Cookie、Apple Notes以及多种加密货币钱包，将数据暂存到/tmp/out.zip 中，然后将其外 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1.前言 七月底，在对 Tenda AC20 路由器 进行安全分析时，发现其固件在处理特定输入时存在 缓冲区溢出漏洞。 该漏洞源于程序在拷贝用户输入时缺乏有效的边界检查，攻击者可以通过构造恶意请求触发溢出，从而导致系统崩溃，甚至在某些场景下获得更高权限，进而完全控制设备。 经过多次验证与测试，确认该漏洞风险较高，对设备的安全性影响严重。 我整理了一份详细的技术报告，内容包括漏洞成因、复现方法及修复建议，并通过正规渠道提交给厂商及 CVE 分配机构。 近日，该漏洞已被正式收录，编号为 https://nvd.nist.gov/vuln/detail/CVE-2025-8939 。 2.漏洞概述 Tenda AC20 路由器被发现存在缓冲区溢出漏洞。攻击者可以通过向某些路径发送特制的 HTTP POST 请求来触发此漏洞，从而可能导致拒绝服务 (DoS) 攻击，甚至远程代码执行 (RCE)。 3.漏洞细节 AC20 路由器的最新固件可从腾达官网下载：AC20 升级软件 - https://www.tenda.com.cn/ 固件可以使用以下在线工具解压：https://zhiwanyuzhou.com/multiple_analyse/firmware/ 或者直接使用binwalk解包也是可以的，获得以下文件： 我们要找到/squashfs-root/bin/httpd 二进制文件。 因为httpd就是Tenda 路由器的 Web 管理后台进程，大部分家用路由器，包括 Tenda都提供一个 Web 管理界面，这个界面其实就是由路由器内部的一个小型 Web 服务器httpd提供的。 当用户在浏览器里访问路由器后台时，请求会被发送到路由器本地运行的 httpd 服务，这个二进制文件负责接收、解析 HTTP 请求，比如说登录、修改 Wi-Fi 密码、固件升级等，然后调用底层的系统函数或配置接口。 由于 httpd 要解析用户提交的数据，如果代码没有做好边界检查，就可能导致缓冲区溢出、命令注入等问题，这也是为什么路由器的很多漏洞，很常见的溢出、注入、未授权访问都集中在 httpd 这个二进制文件里。 解包文件里面还有dhttpd二进制文件，它与httpd最大的不同就在于httpd是Tenda 的主后台 Web 管理进程，就是能够对用户可见的路由器后台，而dhttpd则会用来跑一些非核心但需要 Web 接口的功能，像什么诊断、子模块或者是其他特定功能。 在Tenda AC 系列里，Web 管理界面并没有用第三方服务器，比如lighttpd，或者是boa之类的，而是厂商自己写的 httpd 二进制文件。 那么，所有 HTTP 请求直接由这个 httpd 处理，路由器后台的逻辑，像什么 Wi-Fi 配置、系统管理之类的也都在里面实现，所以漏洞就会出现在 httpd 本身。 换句话说，Tenda 的 httpd 本身就是 Web 服务 + 业务逻辑的二合一。 回到正题，我们在httpd文件中发现函数fromSetWifiGusetBasic有缓冲区溢出的风险。 可以看到这里的函数fromSetWifiGusetBasic，该函数会获取shareSpeed的值，然后将其复制到Var数组中，且没有进行长度检查，从而导致缓冲区溢出漏洞。 交叉引用后再往上翻就会发现它其实是有个前提条件的，那就是请求路径必须是WifiGuestSet。 这行代码的作用，是把 WifiGuestSet 这个字符串与具体的处理函数 fromSetWifiGuestBasic 绑定在一起。换句话说，只要有请求命中 WifiGuestSet，设备就会调用对应的函数去执行。 所以我们Poc的请求路径就应该是POST /goform/WifiGusetSet HTTP/1.1 。 路径前加 /goform/ 是 Tenda 固件的惯用套路，结合代码逻辑，基本可以确认。 4.漏洞验证 确定漏洞点之后，我们先把固件跑起来，模拟一个真实运行环境，更好让我们观察是否因为栈溢出而产生崩溃页面 找到 /bin/httpd 文件。要模拟环境，使用以下命令： sudo chroot ./ ./qemu-mipsel-static ./bin/httpd 等一会之后，直接上浏览器输入对应IP地址 192.168.102.145，就可以进入到AC20路由器页面。 跑起来之后，我们使用burpsuite进行一个发包测试，发送一堆垃圾数据到sharedSpeed。 可以发现192.168.102.145/main.html出现了崩溃信息。 而从终端也观察到分段错误，确认发生了栈溢出，也就是shareSpeed这里存在一个缓冲区错误。

1、谷歌推出Chrome 140稳定版并修复多个安全漏洞 https://cybersecuritynews.com/chrome-140-released/ 谷歌已正式推出Chrome 140稳定版。此次更新带来了常规的稳定性和性能提升，但最主要的是修复了六个安全漏洞，其中包括一个可能导致远程代码执行的高危漏洞。该高危漏洞被标识为CVE-2025-9864，源于V8引擎中的释放后重用（Use-after-free）问题。攻击者可以通过操纵这种内存状态，制作一个恶意网页来触发该漏洞，这可能导致浏览器崩溃，甚至在最坏的情况下能够在受害者的系统上执行任意代码。强烈建议用户立即更新Chrome浏览器，以防范潜在的攻击风险。 2、CISA警告SunPower设备中存在一个高危漏洞 https://cybersecuritynews.com/cisa-warns-of-critical-sunpower-device-vulnerability/ 美国网络安全和基础设施安全局（CISA）发布了一项紧急通告，警告SunPower PVS6太阳能设备存在一个高危漏洞，该漏洞可能使攻击者获得对系统设备的完全控制权。该漏洞被标识为CVE-2025-9696（CVSS v4评分为9.4），源于设备蓝牙低功耗（BluetoothLE）接口中使用了硬编码的凭证。处于蓝牙范围内的攻击者可以利用这一漏洞访问设备的服务接口，从而能够替换固件、关闭发电、修改电网设置、创建SSH隧道、更改防火 3、PagerDuty确认其Salesforce数据遭到泄露 https://cybersecuritynews.com/pagerduty-confirms-data-breach/ PagerDuty确认一起安全事件，导致其存储在Salesforce中的部分数据遭到未经授权的访问。该公司声明，PagerDuty平台凭证并未遭到泄露，并强调此次泄露范围有限。得知数据泄露后，该公司立即禁用了Salesloft Drift对其Salesforce数据的访问，并正在进行持续的调查。可能被泄露的数据包括客户的联系信息，例如姓名、电话号码和电子邮件地址。尽管PagerDuty的核心服务和凭证仍然安全，但这些联系信息的泄露增加了其客户遭受定向网络钓鱼和和社会工程 4、恶意npm包仿冒Nodemailer劫持加密货币 https://www.anquanke.com/post/id/311853 网络安全研究人员发现一个恶意npm软件包，该包通过隐蔽功能向Windows系统上的Atomic和Exodus等加密货币钱包桌面应用注入恶意代码。这个名为nodejs-smtp的软件包仿冒了合法的电子邮件库nodemailer，不仅使用了完全相同的标语、页面样式和README描述，还自2025年4月由用户”nikotimon”上传至npm注册库以来，累计获得了347次下载。该软件包目前已下架。 5、ESPHome Web服务器认证绕过漏洞曝光 https://www.anquanke.com/post/id/311845 ESPHome项目（一个基于ESP32和ESP8266的智能家居设备开源固件框架）披露了一个关键漏洞，该漏洞会破坏其Web服务器组件的基础认证功能。该漏洞编号为CVE-2025-57808，CVSS评分为8.1（高危），攻击者可完全绕过认证，可能获取设备控制权，包括访问OTA（空中下载）固件更新功能。 6、XWiki 存在路径遍历漏洞 https://www.secrss.com/articles/82741 近日，奇安信CERT监测到官方修复XWiki 路径遍历漏洞(CVE-2025-55747、CVE-2025-55748)，XWiki 对用户输入过滤不当导致路径遍历，攻击者可读取配置文件等敏感信息。目前该漏洞POC已公开。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。 7、数百万台冰箱、冰柜等设备或因控制器漏洞面临失控风险 https://www.secrss.com/articles/82720 2025年9月4日综合开源消息，工业网络安全研究机构Armis Labs披露了一系列存在于Copeland E2和E3控制器中的关键漏洞，被统称为Frostbyte10。这些控制器广泛部署于零售、冷链物流、制药及商用建筑领域，承担着制冷、暖通空调（HVAC）、照明及楼宇管理系统（BMS）的核心控制功能。Frostbyte10漏洞的存在可能导致数百万台冷藏设备、冰箱及冷柜面临温控失控风险，不仅威胁食品和药品安全，还可能引发供应链中断和经济损失。 8、关键账号密码被盗，金融巨头超9.2亿元资金遭转账窃取 https://www.secrss.com/articles/82704 知名金融科技公司Sinqia的巴西央行实时支付系统业务环境发生一起未授权访问事件，攻击者窃取该公司IT供应商的合法账号，通过操作多笔转账交易盗窃了超9.2亿元资金；Sinqia的两家金融机构客户受影响，据悉其中一家是汇丰银行，Sinqia试图追回相关资金，目前进度尚未公布。 9、模型命名空间复用漏洞可劫持谷歌微软平台AI模型 https://www.freebuf.com/articles/ai-security/447324.html 一种名为"模型命名空间复用（Model Namespace Reuse）"的新型安全漏洞被发现，攻击者可利用该漏洞劫持谷歌Vertex AI和微软Azure AI Foundry等主流平台上的AI模型。Palo Alto Networks旗下Unit 42团队的研究显示，该漏洞源于AI模型采用的简易命名机制。 10、美国悬赏千万美元通缉涉嫌攻击关键基础设施的俄FSB官员 https://www.freebuf.com/articles/ics-articles/447323.html 美国国务院宣布悬赏最高1000万美元，征集关于俄罗斯联邦安全局（FSB）官员帕维尔·亚历山德罗维奇·阿库洛夫、米哈伊尔·米哈伊洛维奇·加夫里洛夫和马拉特·瓦列里耶维奇·秋科夫的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、谷歌发布2025年9月安卓安全公告修复多个漏洞 https://securityonline.info/android-security-bulletin-september-2025-patches-actively-exploited-flaws-cve-2025-38352-cve-2025-48543-and-critical-rce/ 谷歌发布了2025年9月安卓安全公告，修复了其生态系统中的多个安全漏洞。本月的公告中涉及数十个安全漏洞，涵盖多个方面，包括安卓框架、系统、内核，以及来自第三方的组件。其中，两个安全漏洞CVE-2025-38352和CVE-2025-48543已被标记为正在被攻击者积极利用。安卓用户应立即应用最新的 2、高通修复两个高危安全漏洞 https://cybersecuritynews.com/critical-qualcomm-vulnerabilities/ 高通公司专有的数据网络堆栈（Data Network Stack）和多模呼叫处理器（Multi-Mode Call Processor）中出现了安全漏洞，允许远程攻击者执行任意代码。这些漏洞被标识为CVE-2025-21483和CVE-2025-27034，CVSS评分均为9.8。高通公司已为这两个安全漏洞发布了补丁，并直接向OEM厂商分发更新。 3、Palo Alto Networks受到Salesloft泄露事件影响 https://www.bleepingcomputer.com/news/security/palo-alto-networks-data-breach-exposes-customer-info-support-cases/ 在Salesloft Drift数据泄露事件中，攻击者滥用了被盗的OAuth令牌，成功入侵了Palo Alto Networks的Salesforce实例，导致其客户数据和支持案例遭到泄露。Palo Alto Networks证实，该事件仅影响其Salesforce CRM，并未影响任何产品、系统或服务。攻击者主要提取了业务联系方式和相关账户信息，以及内部销售账户记 4、捷豹路虎遭受网络攻击生产活动受到了严重干扰 https://www.bleepingcomputer.com/news/security/jaguar-land-rover-says-cyberattack-severely-disrupted-production/ 捷豹路虎（Jaguar Land Rover，JLR）表示，该公司遭受网络攻击并被迫关闭了部分系统。该公司表示，现阶段没有证据表明任何客户数据遭到泄露，但该公司的零售和生产活动受到了严重干扰。JLR表示此次事件迫使他们关闭了包括Solihull生产工厂在内的多个系统。该工厂负责生产Land Rover Discovery、Range Rover和Range Rover 5、NVIDIA发布多款产品安全更新修复高危漏洞 https://www.freebuf.com/articles/system/447039.html NVIDIA近日发布了一系列关键软件更新，修复了其BlueField DPU（数据处理器）、DOCA（数据中心基础设施架构）软件框架、Mellanox DPDK（数据平面开发工具包）、ConnectX网络适配器、Cumulus Linux和NVOS产品中的多个漏洞。其中部分漏洞评级为高危至严重级别，可能导致权限提升、拒绝服务及信息泄露等风险。 6、普渡机器人存在安全漏洞，黑客可劫持配送路径 https://cybersecuritynews.com/food-delivery-robots-can-be-hacked/ 普渡科技商用机器人存在严重安全漏洞，黑客可远程控制全球设备，导致送餐混乱、窃取文件甚至威胁医疗安全。研究员多次联系未果，最终迫使公司48小时内修复漏洞。公共场所机器人安全亟待加强。 7、联发科安全更新：修复多款芯片组中的多个漏洞 https://cybersecuritynews.com/mediatek-security-update/ 联发科紧急修复60多款芯片组调制解调器高危漏洞，包括三个无需用户交互的远程越界漏洞和三个中危内存损坏漏洞，敦促制造商立即更新补丁，目前未发现漏洞被利用。 8、谷歌关于"Gmail重大安全漏洞"的澄清：实为虚假警报 https://securityonline.info/no-there-was-no-major-gmail-security-breach/ 谷歌澄清"Gmail重大漏洞"报道失实，实为6月钓鱼攻击个案已解决。Gmail采用AI防御系统拦截99.9%恶意邮件，建议用户使用通行密钥增强防护。事件警示网络安全信息需准确传播，用户应提升辨别能力。 9、黑客利用 macOS 内置防护功能部署恶意软件 https://cybersecuritynews.com/hackers-leverage-built-in-macos-protection/ 攻击者正滥用macOS原生安全功能（钥匙串、SIP、TCC等）实施攻击，通过禁用Gatekeeper、卸载XProtect规避防御。企业需结合ESF日志、Sigma规则和第三方EDR增强检测，应对高级威胁。 10、Cloudflare确认遭遇供应链攻击，客户支持数据遭泄露 https://www.freebuf.com/articles/database/447045.html 知名网络服务提供商Cloudflare近日证实成为Salesforce CRM攻击事件的受害者，此次事件源于供应链环节遭到入侵。攻击者从Salesloft Drift AI聊天机器人窃取OAuth令牌，并利用这些令牌获取了对Salesforce账户的访问权限。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员发现新型安卓恶意软件SikkahBot https://cyble.com/blog/sikkahbot-malware-defrauds-students-in-bangladesh/ 研究人员发现了一个名为“SikkahBot”的安卓恶意软件，该恶意软件自2024年7月起活跃，伪装成孟加拉国教育委员会的应用程序，专门针对孟加拉国的学生进行攻击。该恶意软件会窃取敏感的个人详细信息和支付信息，如钱包号码、PIN、支付类型等。该应用软件在安装时会要求获取高风险权限，如无障碍服务、短信访问、通话管理和浮窗权限，这些权限使其能够对设备进行深度控制。该恶意软件还会拦截银行相关短信，滥用无障碍服务在银行应用软件中自动填充凭据，并执行自动化U 2、Next.js框架中存在一个安全漏洞 https://cybersecuritynews.com/critical-next-js-framework-vulnerability/ Next.js框架中存在一个安全漏洞（CVE-2025-29927），该漏洞允许恶意攻击者完全绕过授权机制。此漏洞源于Next.js中间件执行过程中对x-middleware-subrequest标头处理不当。安全研究人员已证明，攻击者可以操纵HTTP标头来规避身份验证和授权控制，从而在没有正确凭据的情况下获得对受限区域的访问权限。该漏洞影响了多个版本的流行React网页框架，具体利用技术因所用版本不同而异。 3、Zscaler称其Salesforce中的数据遭到泄露 https://www.bleepingcomputer.com/news/security/zscaler-data-breach-exposes-customer-info-after-salesloft-drift-compromise/ 在安全通报中，Zscaler表示其Salesforce实例受到了此前供应链攻击的影响，导致客户信息泄露。在进行详细审查后，Zscaler已确定攻击者获得了对Zscaler某些Salesforce信息的有限访问权限，泄露的信息包括姓名、商务电子邮件地址、职位、电话号码、地区/位置详细信息、Zscaler产品许可和商业信息、部分支持案例的内容。该公司强调 4、农夫保险交易所披露一起数据泄露事件 https://cybersecuritynews.com/farmers-insurance-cyber-attack/ Farmers Insurance Exchange及其子公司近期披露了一起重大的安全事件，由于第三方供应商的数据库遭到未经授权的访问，约110万名客户的个人信息遭到泄露。该事件发生于2025年5月29日，是今年保险行业最大规模的数据泄露事件之一，影响了包含姓名、地址、出生日期、驾照号码和部分社会安全号码的客户记录。Farmers的研究人员指出，此次攻击专门针对包含保险保单持有人信息的客户数据库，这表明攻击者有意锁定高价值的个人数据。 5、新型攻击滥用Windows搜索功能分发窃密木马 https://www.anquanke.com/post/id/311761 Huntress研究人员经过一年追踪发现，ClickFix社交工程攻击（通过伪装验证码诱使用户执行恶意代码）正出现危险演变。最新分析显示，攻击者开始将ClickFix技术与Windows搜索协议滥用和PDF诱饵伪装相结合，最终投放自2022年活跃的商业化信息窃取软件MetaStealer。 6、HashiCorp Vault拒绝服务漏洞可致服务器崩溃 https://www.anquanke.com/post/id/311758 HashiCorp 发布安全公告，披露其广泛使用的机密管理平台 Vault 存在一项新漏洞。该漏洞编号为 CVE-2025-6203，CVSS 评分为 7.5（高危），攻击者可通过提交特制的 JSON 负载触发拒绝服务（DoS）攻击。 7、新型恶意软件伪装AI助手劫持用户电脑 https://www.anquanke.com/post/id/311788 安全研究人员Ryingo近日发布针对新型恶意软件”AI Waifu RAT“的详细分析，该后门程序通过伪装成创新技术渗透大型语言模型（LLM）角色扮演社区。这份被称作”利用社区对’元交互’和新颖AI能力兴趣的社会工程学大师课”的报告，揭示了威胁分子如何利用用户好奇心和信任分发恶意软件。 8、WhatsApp漏洞与苹果零日漏洞遭组合利用 https://www.anquanke.com/post/id/311781 WhatsApp 已修复一个关键的零点击漏洞，该漏洞曾在针对苹果用户的高级攻击行动中被利用。这一漏洞编号为 CVE-2025-55177，据称与苹果近期披露的零日漏洞（CVE-2025-43300）被联合使用，用于在完全无需用户交互的情况下投递间谍软件。 9、冒牌PDF编辑器分发TamperedChef信息窃取木马 https://www.anquanke.com/post/id/311798 近期，研究人员发现网络威胁团伙利用 Google 广告 推广多个伪造网站，以“免费 PDF 编辑软件”为诱饵，向用户投递名为 TamperedChef 的信息窃取型恶意软件。此次行动规模庞大，至少涉及 50 个域名，这些站点托管着伪装应用，并使用来自 至少四家公司 的欺诈性数字签名证书。研究人员指出，攻击者手法精心策划，甚至在广告投放初期并未立刻激活恶意功能，而是等广告覆盖一定用户量后再远程下发恶意更新，从而提高感染率。 10、Cloudflare成功防御史上最大DDoS攻击11.5Tbps流量冲击 https://www.freebuf.com/news/446935.html 今年5月中旬，Cloudflare宣布成功抵御了破纪录的7.3Tbps分布式拒绝服务（DDoS）攻击。时隔数月，该公司再次披露里程碑事件——成功拦截峰值达11.5Tbps、每秒51亿数据包（Bpps）的超大规模攻击，创下互联网攻防战史上最高记录。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者通过虚假广告传播Brokewell安卓恶意软件 https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide 攻击者正在滥用Meta广告平台，通过提供虚假的TradingView高级版应用程序来传播Brokewell安卓恶意软件。此次攻击活动从2025年7月22日开始，目前攻击者已投放了大约75个恶意广告。Brokewell安卓恶意软件自2024年初出现以来，已具备广泛的功能，包括窃取敏感数据、远程 2、攻击者利用虚假AI网站传播恶意软件 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/malicious-screen-connect-campaign-abuses-ai-themed-lures-for-xworm-delivery 研究人员近期发现了一个网络攻击活动，攻击者滥用虚假的AI网站诱骗用户执行一个恶意的、预先配置好的ScreenConnect安装程序。一旦用户安装该程序，ScreenConnect客户端就会隐蔽地建立一个由攻击者控制的远程会话，从而执行后续的攻击链。研究人员发现在远程会话期间，攻击者会投放多个文件，以执行进程注入、持久 3、内华达州IT系统遭受网络攻击 https://cybersecuritynews.com/nevada-it-systems-hit-by-cyberattack/ 8月24日，内华达州政府网络遭受了一次网络攻击，此次网络攻击影响了电子邮件、公共记录访问和内部沟通渠道，迫使所有州政府部门关闭运营48小时。攻击者利用一个未打补丁的VPN网关进行入侵，这使得攻击者获取了内部网络访问权限。在数小时内，攻击者部署了一个定制的恶意软件有效载荷，旨在提升权限、在关键服务器间横向移动，并窃取敏感数据。 4、银狐APT黑客组织利用驱动漏洞攻击win10/11系统 https://www.anquanke.com/post/id/311746 一个被归因于“银狐”（Silver Fox）APT组织的复杂攻击行动浮出水面。该组织正在利用一个此前未公开的漏洞驱动程序，针对现代Windows环境实施攻击。此次行动利用的是 WatchDog反恶意软件驱动（amsdk.sys，版本1.0.600）——这是一个基于Zemana反恶意软件SDK构建的微软签名组件。攻击者滥用其任意进程终止能力，能够在已完整打补丁的Windows 10和11系统中绕过EDR和杀毒软件（AV）的防护，而不会触发基于特征码的检测机制。 5、Google警告Salesloft 漏洞波及部分Workspace账户 https://www.anquanke.com/post/id/311697 Google 最新通报显示，Salesloft Drift 平台遭遇的入侵事件比最初披露的范围更大。攻击者除了窃取 Salesforce 实例中的数据外，还利用被盗的 OAuth 令牌访问了少量 Google Workspace 邮箱账户。 6、CISA 警告Citrix NetScaler零日漏洞正遭广泛利用 https://www.anquanke.com/post/id/311702 美国网络安全与基础设施安全局（CISA）近日紧急发布警告，指出 Citrix NetScaler 系统中存在一个严重的零日漏洞（编号 CVE-2025-7775），该漏洞已被攻击者积极利用。由于风险极高，该漏洞已于 2025 年 8 月 26 日被立即纳入 CISA“已知被利用漏洞”（KEV）目录。 7、Nx NPM包遭供应链攻击，周下载量高达460万次 https://www.anquanke.com/post/id/311717 研究人员披露，一起复杂的供应链攻击入侵了 Nx NPM 包——一款由 AI 驱动的单体仓库（monorepo）构建系统，每周下载量超过 460 万次。此次事件导致大量开发者的敏感凭证泄露至公开可访问的 GitHub 仓库。 8、Linux UDisks守护进程曝本地提权漏洞 https://securityonline.info/cve-2025-8067-linux-privilege-escalation-flaw-found-in-udisks-daemon-poc-releases/ Linux的UDisks守护进程存在严重漏洞（CVE-2025-8067，CVSS 8.5），允许非特权用户通过D-Bus创建循环设备时利用负值索引触发越界读取，可能导致拒绝服务或本地提权。建议立即更新至修复版本udisks2 2.10.91或2.10.2。 9、联发科芯片组高危漏洞可致权限提升或DoS攻击 https://securityonline.info/mediatek-september-2025-security-bulletin-high-severity-modem-flaws-could-enable-remote-attacks/ 联发科披露多款芯片组高危漏洞，包括三个可通过恶意基站远程攻击的调制解调器漏洞，可能导致权限提升或拒绝服务。中危漏洞需本地系统权限。建议用户及时更新设备固件修复漏洞。 10、NeuVector严重漏洞可导致Kubernetes集群被完全接管 https://securityonline.info/cve-2025-8077-cvss-9-8-critical-flaw-in-neuvector-exposes-kubernetes-clusters-to-full-takeover/ NeuVector容器安全平台存在高危漏洞CVE-2025-8077（CVSS 9.8），5.4.5及更早版本因硬编码默认密码可致Kubernetes集群被完全控制，需立即升级至5.4.6或手动修改密码。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。