网络安全日报 2025年10月16日
1、Astaroth银行木马利用GitHub发起攻击
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/ 网络安全研究人员报告称,Astaroth银行木马在新一轮活动中利用GitHub作为配置后备,通过托管隐写图片来更新配置,使得在传统C2被查封后仍能继续运行。攻击链始于仿DocuSign的钓鱼邮件,受害者下载并打开被压缩的.lnk快捷方式,内含混淆JavaScript以拉取额外代码并下载AutoIt脚本,随后执行shellcode、加载Delphi DLL并注入RegSvc.exe
2、研究人员揭露TA585的MonsterV2恶意软件功能和攻击链
https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal 研究人员披露,名为TA585的威胁组织通过钓鱼、网页注入与伪造GitHub告警等多种自持交付手段,独立掌控完整攻击链以传播MonsterV2木马。MonsterV2为即付即用的远控/信息窃取/加载器,支持HVNC、剪贴板替换、按键记录、屏幕截取与远程命令执行,常用PowerShell或ClickFix社会工程触发,通常由SonicCrypt加壳并带有反调试、反沙箱与持久化功能;其控制端按地理位置
3、开发者包被滥用向Discord泄密
https://socket.dev/blog/weaponizing-discord-for-command-and-control 研究人员发现,多款npm、PyPI和RubyGems恶意软件包利用Discord webhook作为C2渠道,将开发者敏感数据发送至攻击者控制的频道。例如,mysql-dumpdiscord窃取配置文件,sqlcommenter_rails收集系统信息发送至固定webhook。此类攻击可在安装或构建阶段悄然获取.env、API密钥及主机信息,绕过运行时监控。同时,北朝鲜相关组织通过“Contagious Interview”运动上传数百个恶意或拼写相似包,目
4、Android系统存在Pixnapping漏洞可窃取2FA代码
https://www.pixnapping.com/ 研究人员披露名为Pixnapping的新型像素侧信道攻击,能在Android(在测验的Google/Samsung设备上为Android 13–16)上在不需特殊权限的情况下,利用意图与半透明Activity叠加将目标像素送入渲染流水线,并通过GPU压缩侧效应逐像素窃取2FA验证码、Google Maps时间线等敏感信息。攻击依赖先前的GPU.zip技术并可在30秒内提取验证码;需诱导用户安装并运行恶意应用。谷歌以CVE‑2025‑48561在2025年9月发布部分修补,并计划在12月推更全面补丁;研究者亦指出存在通过调整时序绕过缓解措
5、AMD CPU漏洞可导致机密虚拟机被绕过与窃取
https://rmpocalypse.github.io/#abstract ETH Zürich研究人员披露名为“RMPocalypse”的缺陷,攻击者仅需在逆向映射表(RMP)中写入8字节即可破坏AMD SEV‑SNP的机密计算保障,导致机密虚拟机(CVM)完整性与机密性被完全绕过与窃取。AMD已将该问题标为CVE‑2025‑0033(CVSS 5.9),并发布补丁与缓解建议;受影响的EPYC系列、Supermicro主板与Azure机群已着手修复,部分嵌入式型号的修补计划在2025年11月发布。研究者警告称,此漏洞可被有管理权限的恶意管理程序利用以注入代码、伪造证明与回放攻击,严重削
6、近半数地球同步卫星传输未加密数据,可低成本窃听通信
https://securityaffairs.com/183404/hacking/unencrypted-satellites-expose-global-communications.html 研究发现近半数地球同步卫星传输未加密数据,敏感通信易被截获。仅用800美元设备即可窃听私人通话、短信及军事通信,暴露全球网络安全漏洞。部分企业已加密,但关键基础设施仍存风险。
7、甲骨文EBS两周内连爆高危漏洞,可导致敏感数据泄露
https://www.csoonline.com/article/4072174/oracle-issues-second-emergency-patch-for-e-business-suite-in-two-weeks.html 甲骨文两周内第二次紧急修补EBS高危漏洞(CVE-2025-61884),该漏洞允许远程窃取数据。专家警告ERP系统正成为勒索软件新目标,建议企业立即打补丁并排查入侵迹象,同时重新评估ERP安全策略,实施最小权限和零信任原则。
8、Windows远程访问连接管理器0Day漏洞已被用于攻击利用
https://cybersecuritynews.com/remote-access-connection-manager-0-day/ 微软确认Windows远程访问连接管理器存在高危0Day漏洞CVE-2025-59230,攻击者可借此提升至SYSTEM权限。该漏洞影响多个Windows版本,CVSS评分7.8,已遭主动利用。微软紧急发布补丁,未修复系统面临勒索软件等高风险。
9、西门子高危漏洞可致SIMATIC CP配置遭未授权远程访问
https://securityonline.info/critical-siemens-flaw-cve-2025-40771-cvss-9-8-allows-unauthenticated-remote-access-to-simatic-cp-config/ 西门子发布SIMATIC ET 200SP通信处理器关键安全更新,修复高危漏洞CVE-2025-40771(CVSS 9.8),该漏洞允许未授权远程访问配置数据,影响多款设备V2.4.24之前版本。建议立即升级固件或限制可信IP访问。
10、PolarEdge后门定制攻击威胁思科、群晖及威联通设备
https://securityonline.info/sekoia-exposes-polaredge-backdoor-custom-mbedtls-c2-compromising-cisco-qnap-and-synology-devices/ Sekoia揭露PolarEdge后门利用CVE-2023-20118漏洞攻击思科等设备,通过定制TLS服务器执行命令,采用多层加密和反检测技术,支持多样化操作模式,威胁持续扩散。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
浙大恩特前台RCE漏洞审计
指纹:title="欢迎使用浙大恩特客户资源管理系统"
本文对该系统公开在互联网,但未分析代码细节的漏洞进行审计分析:
前台文件上传RCE
该系统2019版本存在权限绕过加文件上传组合漏洞,可通过上传webshell实现前台RCE。
公开POC:
POST /entsoft/CustomerAction.entphone;.js?method=loadFile HTTP/1.1Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0)
Gecko/20100101 Firefox/112.0 uacqAccept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language:
zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding:
gzip, deflateConnection: closeContent-Type: multipart/form-data;
boundary=----WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Length: 203
------WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Disposition:
form-data; name="file";filename="as.jsp"Content-Type: image/jpeg
<%out.print("test");%>------WebKitFormBoundarye8FPHsIAq9JN8j2A--
权限绕过部分先看过滤器:
分析web.xml发现purfilter为全局过滤器:
如上,会对/*也就是任意请求进行拦截,跟进源码:
首先出现的就是白名单后缀+白名单接口,在后续校验中也是对非listExpUrl内容的后缀或者接口才会进行权限校验:
而拦截器在进行后缀白名单检测时,获取后缀的方式如下:
通过获取最后一个.的部分作为后缀。
而且该系统是tomcat容器,基于该容器对;的解析特性,不会匹配到;后面的内容,也就是在进行路由匹配时,只会匹配到CustomerAction.entphone,从而使得CustomerAction.entphone;.js?method=loadFile顺利进入过滤器层面的校验,并且此时获取的后缀又是.js,处于白名单后缀,从而实现权限绕过。
接下来分析:上传点代码漏洞原因:
先在xml文件寻找接口对应后端代码,该接口匹配后缀.entphone,对应代码为:enterphone.EntPhoneControl类。
全局搜索EntPhoneControl类:
跟进漏洞类CustomerAction:
跟进method对应loadFile方法:
要想进入文件上传逻辑,会先进行gesum参数的条件判断:
在gesum不为空时才进入上传逻辑,原数据包里面是没有传gesum参数的,在java里面,一般值会设置为NULL,而NULL不等于空,则能够顺利进入if逻辑。
进入if块后,代码会继续执行以下步骤:
创建CustomerBean并设置gesnum(此时gesnum为null)和tenantID。
调用customerBean.checkGesnum()检查客户代码是否存在。
这一步是关键:若checkGesnum()方法在gesnum为null时返回false(即认为"客户代码不存在",符合业务逻辑,因为null通常不是有效的客户代码),则会进入else分支,执行文件上传逻辑。
随后通过如上文件获取文件名,并直接进行文件上传,由于未进行后缀校验,从而可上传jsp文件,造成RCE漏洞。
本地环境漏洞复现:
上传成功,并成功解析:
网络安全日报 2025年10月15日
1、西班牙摧毁“GXC Team”网络犯罪集团
https://www.group-ib.com/media-center/press-releases/guardia-civil-gxc-team-takedown/ 西班牙国民警卫队成功捣毁名为“GXC Team”的网络犯罪组织,并逮捕其核心成员——25岁的巴西籍嫌犯“GoogleXcoder”。该团伙运营“犯罪即服务”(CaaS)平台,通过Telegram和俄语黑客论坛出售AI钓鱼工具包、安卓恶意软件及语音诈骗工具。调查显示,其攻击目标涵盖西班牙、英国、美国、斯洛伐克及巴西的银行、电商与交通企业,至少运营250个仿冒网站及9种拦截短信与一次性密码的恶意程序。警方在多地同步突袭中缴获源
2、SimonMed数据泄露致逾120万名患者受影响
https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/db44458c-e230-4f17-88b4-0513fc890cc6.html 美国医学影像服务商SimonMed Imaging近日披露,其系统在年初遭黑客入侵,导致约120万名患者个人信息泄露。此次事件发生于1月21日至2月5日期间,黑客在三周内获得对公司网络的未经授权访问。公司在1月27日接获供应商警报后启动调查,并采取了重置密码、多因素认证、部署EDR监控及限制外部访问等措施。勒索组织Medusa随后声称对此次攻击负责,并泄
3、Sudo工具曝高危权限提升漏洞,PoC已公开
https://www.freebuf.com/articles/network/452573.html 广泛使用的 Sudo 工具中存在一个高危漏洞(CVE-2025-32463),随着概念验证(PoC)利用代码的公开,引发了全球 Linux 系统管理员的高度警惕。该漏洞影响 Sudo 1.9.14 至 1.9.17 版本的 chroot 功能,可使本地攻击者轻松将权限提升至 root 级别。
4、Clevo UEFI固件泄露英特尔Boot Guard私钥
https://www.freebuf.com/articles/system/452521.html CERT协调中心(CERT/CC)针对编号为CVE-2025-11577的关键供应链漏洞发布警告。研究人员发现,Clevo的UEFI固件更新包意外泄露了英特尔Boot Guard私钥,攻击者可利用这些密钥签署恶意固件,使其通过系统信任验证,从而破坏预启动环境并威胁平台完整性。
5、AMD安全加密虚拟化技术漏洞,致加密虚拟机可被完全攻破
https://www.freebuf.com/articles/system/452494.html 苏黎世联邦理工学院研究团队披露了一个被命名为RMPocalypse的关键漏洞(CVE-2025-0033),该漏洞影响了AMD Zen 3、Zen 4和Zen 5处理器系列的机密计算技术。攻击者可利用此漏洞完全攻破受SEV-SNP(安全加密虚拟化-安全嵌套分页)保护的虚拟机,使AMD这项旗舰级云安全功能的所有保密性和完整性保障全部失效。
6、Astaroth银行木马滥用GitHub维持运营以规避打击
https://thehackernews.com/2025/10/astaroth-banking-trojan-abuses-github.html Astaroth银行木马利用GitHub托管恶意配置规避打击,通过钓鱼邮件传播,针对拉美金融网站窃密,具备反分析能力。攻击链涉及JavaScript、AutoIt和Delphi,滥用GitHub作为备用C2基础设施。
7、澳洲航空数百万客户数据遭泄露
https://www.csoonline.com/article/4071394/daten-von-millionen-qantas-kunden-offentlich.html 澳航570万客户数据遭黑客窃取后被公开,含姓名、邮箱等个人信息。黑客勒索未果,数据已在暗网和公共网络流传。此次7月攻击波及全球约40家企业。
8、黑客滥用175个npm软件包与unpkg CDN发起大规模网络钓鱼
https://www.anquanke.com/post/id/312538 Socket威胁研究团队揭露了一场大规模供应链滥用活动,该活动利用npm公共注册表和unpkg.com 的CDN作为免费托管基础设施发起钓鱼攻击。这项代号为“Beamglea”的行动涉及175个恶意npm包,累计下载量超26,000次,目标覆盖全球工业、能源和科技领域的135家以上组织。
9、黑客利用Gladinet文件共享软件的零日漏洞发起在野攻击
https://www.anquanke.com/post/id/312552 威胁行为者正在利用Gladinet CentreStack和Triofox产品中的零日漏洞(CVE-2025-11371),该漏洞允许本地攻击者无需认证即可访问系统文件。目前已有至少三家公司成为攻击目标。尽管补丁尚未发布,但客户可采取缓解措施。
10、微软在新版中移除Win11离线安装选项,全面强制联网登录
https://www.anquanke.com/post/id/312487 微软已取消了在Windows 11安装过程中创建纯本地用户账户的最后途径,这意味着今后所有全新安装都必须连接互联网并登录微软账户。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月14日
1、ChaosBot利用Discord频道控制受害者电脑
https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control 网络安全公司eSentire报告称,研究人员在2025年9月底于一家金融服务客户环境中首次发现一款名为ChaosBot的Rust编写后门。攻击者通过被窃取的Cisco VPN凭据与过度权限的AD账户(serviceaccount),利用WMI横向传播并部署恶意DLL(msedge_elf.dll,借助 identity_helper.exe侧载)。该后门常通过含恶意LNK的钓鱼邮件分发,打开时会执行Power
2、研究人员发现175个恶意npm包用于凭证钓鱼
https://socket.dev/blog/175-malicious-npm-packages-host-phishing-infrastructure 安全研究机构Socket披露,一场代号“Beamglea”的大规模凭证钓鱼行动利用175个恶意npm包(累计下载约2.6万次)和unpkg CDN托管重定向脚本,针对135+家工业、科技与能源企业。攻击者借助redirect_generator.py自动发布名为redirect-xxxx的包,注入受害者邮箱与定制钓鱼URL,生成含beamglea.js的HTML诱饵(已发现630余个),邮件或其它途径传播后,受害者在浏览器打开即被重定
3、Stealit恶意软件通过游戏和VPN安装程序进行传播
https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application Fortinet FortiGuard Labs披露,名为Stealit的活跃恶意软件团伙利用Node.js的Single Executable Application(SEA)及部分Electron打包特性,通过伪装的游戏和VPN安装程序在Mediafire、Discord等文件站点传播。该样本在运行前做反分析与沙箱检测,并将Base64编码的12字符认证密钥写入%temp%\c
4、SonicWall VPN遭大规模入侵
https://www.huntress.com/blog/sonicwall-sslvpn-compromise 网络安全公司Huntress警告称,自2025年10月4日起,黑客正大规模入侵SonicWall SSL VPN设备,已影响超100个账户、涉及16家客户。攻击者通过已掌握的有效凭证快速登录多台设备,部分仅短暂连接即断开,部分则执行网络扫描并尝试访问本地Windows账户。此次事件发生背景为SonicWall此前确认MySonicWall云备份服务泄露防火墙配置文件,虽尚无证据表明两起事件关联,但安全专家提醒,配置文件中包含可被利用的敏感凭证与设置信息。Huntress建议受影
5、Oracle EBS曝高危未授权漏洞
https://www.oracle.com/security-alerts/alert-cve-2025-61884.html Oracle发布安全警报,披露其E-Business Suite存在编号为CVE-2025-61884的高危漏洞(CVSS 7.5),受影响版本涵盖12.2.3至12.2.14。该漏洞可被远程攻击者经HTTP在无身份验证的情况下利用,直接访问或控制Oracle Configurator中的敏感数据。尽管目前暂无在野利用报告,Oracle敦促用户尽快安装修复更新。首席安全官Rob Duhart表示,该问题影响部分EBS部署,若被武器化可能导致敏感资源泄露。值得注意的
6、微软Defender for Endpoint漏洞3个月未修复
https://www.freebuf.com/articles/endpoint/452300.html 研究人员发现微软 Defender for Endpoint(DFE)与其云服务之间的网络通信存在严重漏洞,可使入侵后的攻击者绕过身份验证、伪造数据、泄露敏感信息,甚至将恶意文件上传至调查数据包。
7、7-Zip两大高危漏洞可导致任意代码执行
https://www.freebuf.com/articles/network/452293.html Zero Day Initiative(ZDI)近日披露了开源压缩工具 7-Zip 中两处高危漏洞的技术细节,攻击者可诱骗用户打开特制 ZIP 文件实现任意代码执行。目前这两个漏洞已在 7-Zip 25.00 版本中完成修复。
8、微软终修复 Win11 异常重启故障:"更新并关机"功能恢复正常
https://securityonline.info/microsoft-finally-fixes-windows-11-bug-causing-pcs-to-auto-restart-instead-of-update-and-shut-down/ Windows 11修复"更新并关机"异常重启问题,此前该选项会错误执行重启导致夜间自动开机。补丁已在预览版推出,正式版将很快更新。
9、Happy DOM曝CVSS 9.4严重RCE漏洞
https://www.freebuf.com/articles/web/452325.html 流行的JavaScript包Happy DOM曝出严重安全漏洞,该漏洞可使攻击者逃逸Node.js虚拟机(VM)上下文并在主机系统上执行任意代码。该漏洞被追踪为CVE-2025-61927,CVSSv4评分为9.4。Happy DOM是一款用于测试、爬取和服务器端渲染(SSR)的浏览器模拟工具。据安全公告显示:"Happy DOM v19及更低版本存在安全漏洞,可能导致系统遭受远程代码执行(RCE)攻击。"
10、新型“Mic-E-Mouse”攻击:光学鼠标秒变隐蔽窃听设备
https://www.anquanke.com/post/id/312479 加州大学欧文分校的研究人员展示了一种新颖且实用的侧信道攻击,名为”Mic-E-Mouse”。该攻击利用日常光学鼠标的传感器来还原可理解的人声,从而将普通鼠标变成一种粗糙但隐蔽的麦克风。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月13日
1、ClayRat间谍软件伪装热门应用攻击安卓用户
https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia 移动安全公司Zimperium披露,一种名为ClayRat的安卓间谍软件近期针对俄罗斯用户展开攻击,伪装成WhatsApp、TikTok、YouTube等热门应用,通过虚假网站和Telegram频道诱导下载。该恶意程序可窃取短信、通话记录、通知及设备信息,甚至可远程拍照、发送短信或拨打电话。ClayRat具备自我传播能力,会向受害者通讯录中的所有联系人发送恶意链接。研究人员在过去90天内检测到逾600个样本和50个投递器,每次迭代均强化混淆技术以
2、Cl0p关联黑客利用Oracle零日攻击数十机构
https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation Google威胁情报组与Mandiant联合报告称,自2025年8月起,多家组织因Oracle E-Business Suite(EBS)软件零日漏洞遭受入侵,攻击行为被认为与Cl0p勒索组织有关。攻击者利用编号为CVE-2025-61882的高危漏洞(CVSS 9.8),结合SSRF、CRLF注入及认证绕过等手法,远程执行代码并窃取敏感数据。9月下旬起,黑客从被盗账户向企业高管群发勒索邮件
3、SonicWall云防火墙备份遭入侵引发紧急排查
https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330 网络安全厂商SonicWall确认,其云备份服务遭未授权访问,所有使用该功能的客户防火墙配置备份文件均被黑客获取。文件虽含加密凭据,但其被窃取可能提升针对性攻击风险。公司已发布设备自检与修复工具,并敦促用户立即登录MySonicWall账户核查设备状态。此前,SonicWall曾要求客户重置凭据,称仅约5%客户受影响,但最新调查显示影响范围更广。攻击者通过暴力破解云备份API接口,获取防
4、Gladinet与TrioFox零日漏洞遭黑客主动利用
https://www.huntress.com/blog/gladinet-centrestack-triofox-local-file-inclusion-flaw 网络安全公司Huntress警告称,Gladinet CentreStack与TrioFox产品中存在的零日漏洞(CVE-2025-11371)已被黑客在野利用。该漏洞为未认证的本地文件包含(LFI)缺陷,影响16.7.10368.56560及更早版本,允许攻击者访问系统文件并提取Web.config中的机器密钥,从而结合旧漏洞CVE-2025-30406实现远程代码执行(RCE)。自9月27日起,Huntress已确认至少
5、RondoDox僵尸网络利用56个已知漏洞全球扩散
https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat Trend Micro研究人员披露,新型大型僵尸网络“RondoDox”正利用多达56个已知漏洞(n-day漏洞),攻击全球30余种设备类型,包括DVR、NVR、CCTV系统及Web服务器。该僵尸网络自2025年6月起活跃,采用“漏洞散射”(exploit shotgun)策略,同时利用多个漏洞扩大感染面,即便噪声明显也不加掩饰。分析显示,RondoDox密切关注Pwn2Own黑客竞赛中披露的漏洞,并迅速武
6、FileFix攻击变种以缓存走私绕过安全防护
https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/ 网络安全研究员Marcus Hutchins披露,一种名为“FileFix”的社交工程攻击新变种正利用缓存走私(cache smuggling)技术,绕过安全软件隐蔽下载恶意ZIP文件。攻击伪装为“Fortinet VPN 合规检查器”,诱导受害者将伪造的网络路径粘贴至资源管理器地址栏。由于路径中隐藏了填充空格后的PowerShell命令,用户在回车后会在无界面模式下执行恶意脚本。该脚本从Chrome缓存中提取伪装为图像的ZIP文件并运行其
7、黑客利用“薪资劫持”攻击入侵多所美国大学
https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/ 微软威胁情报团队披露,网络犯罪团伙Storm-2657自2025年3月起发起“薪资劫持”(Payroll Pirate)攻击,针对美国高校员工窃取工资支付。攻击者通过钓鱼邮件窃取Workday等人事SaaS平台账户,部分还利用中间人钓鱼(AITM)链接窃取MFA验证码,实现账户接管。微软称,已有三所大学的11个账户被攻破,攻击邮件扩散至
8、苹果将RCE漏洞赏金提高至200万美元以应对商业间谍软件威胁
https://www.csoonline.com/article/4071044/apple-bumps-rce-bug-bounties-to-2m-to-counter-commercial-spyware-vendors.html 苹果大幅提高漏洞赏金至200万美元,对抗商业间谍软件攻击,新增内存安全技术提升漏洞利用难度,并向高风险人群提供安全设备。
9、首个利用GPT-4实时生成代码的"MalTerminal"恶意软件现世
https://cybersecuritynews.com/llm-enabled-malterminal-malware-gpt-4/ 首个利用GPT-4实时生成恶意代码的"MalTerminal"恶意软件被发现,标志着攻击技术重大转变:动态生成代码使传统静态检测失效。研究人员通过追踪API密钥和提示结构开发新型检测方法,揭示此类威胁依赖外部API的弱点,为防御未来自适应攻击提供关键窗口。
10、FBI第三次查封BreachForums服务器
https://www.csoonline.com/article/4071014/fbi-seizes-breachforums-servers-as-threatened-salesforce-data-release-deadline-approaches.html 黑客组织威胁泄露10亿条Salesforce数据,国际警方查封BreachForums但勒索仍在继续。SaaS服务成新攻击面,专家建议企业升级防护措施应对暗网威胁。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
使用随机森林识别暴力破解
1.暴力破解
暴力破解是一种最直接、最笨拙的攻击方式,见名知意,就是攻击者通过穷举所有可能的密钥、口令或输入组合,直到找到正确答案为止。
这种攻击方式看起来很low,但在现实中却屡见不鲜,因为许多用户仍然习惯使用过于简单的弱口令,比如像什么123456,或者是password或是生日、手机号等。
极易猜测的信息,一旦系统没有设置登录尝试次数限制,攻击者就可以借助自动化工具快速完成大规模的密码测试。
常见的暴力破解目标:
密码,像登录口令、Wi-Fi密码、数据库口令之类的。加密密钥,如对称加密中的密钥。验证码/Token,如短信验证码、验证码图片等。
暴力破解的分类
1. 纯暴力破解 从所有可能的字符组合开始尝试,例如: 尝试 "a"、"b"、"c" … 然后 "aa"、"ab"、"ac" …
2. 字典攻击,这个也比较常用 使用常见密码字典,比如 123456、password、qwerty 等进行尝试。 比纯暴力破解快,因为大部分用户喜欢用弱口令。
3. 混合攻击 字典 + 规则,例如: 在字典词后加数字password123 首字母大写Qwerty
2.随机森林
森林中的每个树就是决策树。
使用决策树的组合,可以提升其性能和准确率。随机森林是一种基于决策树的集成学习方法,它通过构建多个决策树模型,然后使用投票的方式进行预测,来减少过拟合的风险。
在实现随机森林时,需要对决策树的构建、特征选择、模型训练和预测等方面进行优化。
森林中的每一棵树都有很多叶子,在计算机中可以理解为很多节点,比如什么二叉树。
在决策树的每个节点,算法需要选择一个特征来进行分割,目的是最大化节点的纯度,即减少子节点中类别的不确定性。
举个例子来说:
首先要下载matplotlib,Scikit-learn和pandas
import pandas as pd
# 创建一个包含年龄和类别标签的Data
data = {
'Age': [25, 30, 35, 40, 45, 50, 55, 60, 65, 70],
'Category': ['A', 'A', 'B', 'B', 'B', 'C', 'C', 'A', 'B', 'C']
}
df = pd.DataFrame(data)
# 显示原始数据
df
这是一一对应的,比如说25对应A, 35对应B
现在我们去自定义一个分类:
# 根据年龄是否大于30来分割数据 gini = 0.2
df['Age_GreaterThan_30'] = df['Age'] > 30
# 根据年龄是否大于20来分割数据 gini = 0.1
# 显示分割后的数据
df
这样数据就可以分成小于30就是false,大于30就是true,这样就是把叶子做了一个特征分类。
所以当有这么一棵树的时候,有数据进来,就可以以此判断它的类别是什么。
那么随机森林就是很多棵决策树,但是每棵树略有不同,比如说取的数据不同。
比如说100个数据,使用10棵树,10棵树产生的分类也有所不同,这样就可以避免产生过拟合。
3.使用随机森林识别暴力破解
注意:这里的代码有些没有完全展示,因为太长了,只截取重要部分。
这里使用的数据是一些检测函数调用和攻击最后的结果之间的对应关系,用这些数据做特征。
https://github.com/verazuo/a-labelled-version-of-the-ADFA-LD-dataset?tab=readme-ov-file...
x1,y1 = load_adfa_training_files("./data/ADFA-LD/Training_Data_Master/")
x2,y2 = load_adfa_hydra_ftp_files("./data/ADFA-LD/Attack_Data_Master/")
先去加载数据,把数据分成两份,训练数据和攻击数据。
这里选择的就是hydra_ftp,暴力破解数据。
hydra是渗透过程中常用工具,这里就不展开解释了 https://github.com/facebookresearch/hydra
然后对训练数据和攻击数据都打上标签,也就是x1,y1 x2,y2
把x1,x2加起来进行一个拼接,y1和y2也是一样。
然后需要拿去做一个向量化,因为读取的数据都是字符串。
x1,y1 = load_data.x1,load_data.y1
x2,y2 = load_data.x2,load_data.y2
x = x1+x2
y = y1+y2
vectorizer = CountVectorizer(min_df=1)
x = vectorizer.fit_transform(x)
x = x.toarray()
print(type(x))
print(y)
# [1,2,3]
np.savetxt("../model/data_x.csv", x, delimiter=",")
np.savetxt("../model/data_y.csv", y, delimiter=",")
用CountVectorizer将读取的数据转换为numpy格式,转换完成就可以使用np.savetxt方式把x和y的数据导入到csv文件。
数据处理完之后,接下来就是模型,直接简短代码就行。
rf = RandomForestClassifier(n_estimators=model_param.rf_params["n_estimators"],
max_depth=model_param.rf_params["max_depth"],
min_samples_split=model_param.rf_params["min_samples_split"],
random_state=model_param.rf_params["random_state"])
使用随机森林模型
n_estimators: 这个参数指定了要构建的决策树的数量。
max_depth: 这个参数定义了树的最大深度,太小了容易欠拟合,不限制又容易过拟合。
min_samples_split: 这个参数指定了在树的节点上进行分裂所需的最小样本数,最少都需要两个,增加这个值可
以使树更加保守,减少过拟合的风险,但可能降低模型的复杂度和准确性。
这样模型就构建好了,接下来就是训练了。
x = np.genfromtxt("data_x.csv",delimiter=",")
y = np.genfromtxt("data_y.csv",delimiter=",")
x_train, x_test , y_train, y_test = train_test_split(x, y, test_size = 0.3)
save_model = model_struct.rf.fit(x_train, y_train)
# 模型的保存
with open('rf.pickle','wb') as f:
pickle.dump(save_model,f) #将训练好的模型clf存储在变量f中,且保存到本地
把刚才导出来x,y导入,将其分成测试集和训练集,将模型保存下来,用于接下的测试。
首先是得分测试:
with open('../rf.pickle', 'rb') as f:
clf_load = pickle.load(f) # 将模型存储在变量clf_load中
x = np.genfromtxt("../data_x.csv",delimiter=",")
y = np.genfromtxt("../data_y.csv",delimiter=",")
# 交叉验证
scores = cross_val_score(clf_load, x, y, cv=10, scoring='accuracy')
# 11111
# 00001
print(scores.mean())
plt.bar(np.arange(10),scores,facecolor='yellow',edgecolor='white') # +表示向上显示
for x,y in zip(np.arange(10),scores):
plt.text(x,y+0.05, '%.2f' % y,ha='center',va= 'bottom') # '%.2f' % y 保留y的两位小数 ha='center' 居中对齐 va= 'bottom' 表示向下对齐 top向上对齐
plt.ylim(0,1.1)
plt.show()
用十字交叉验证去做一个验证,去跑一下模型:
10次跑分的成绩
然后是使用的测试:
sys.path.append(config.syspath)
import config
import pickle
import numpy as np
def load_data(filename):
with open(filename, 'r') as f:
first_line = f.readline().strip('\n')
features = [float(feature) for feature in first_line.split()]
return np.array(features) # 确保返回的是一维数组
if __name__ == '__main__':
# 加载数据
data = load_data(config.syspath + "/model/model_test/UAD-Hydra-FTP-1-1613.txt")
# 获取实际特征数量
actual_features = data.shape[0]
# 模型期望的特征数量
expected_features = 142
# 根据特征数量决定如何处理
if actual_features < expected_features:
# 填充缺失的特征
padding = np.zeros(expected_features - actual_features)
data_padded = np.hstack([data, padding]).reshape(1, expected_features)
elif actual_features > expected_features:
# 截断多余的特征
data_padded = data[:expected_features].reshape(1, expected_features)
else:
# 特征数量匹配,无需修改
data_padded = data.reshape(1, expected_features)
# 加载模型
with open('../rf.pickle', 'rb') as f:
clf_load = pickle.load(f)
# 使用模型进行预测
prediction = clf_load.predict(data_padded)
print("预测结果:", prediction)
注意,这里模型是一个支持固定长度的特征输入,但是实战中经常会遇到各种不同长度特征的输入。
可以根据特征数量去进行一个处理,比如说这个特征是一个连续的特征,这里用到的数据都是函数的调用序列。
不管它们在什么位置,它们所代表的实际含义都是一样的,都是这个函数在哪个位置被调用了。
6 63 6 5 221 141 141 6 5 221 6 ....
比如说上述一部分数据,第一次调用了6号函数,第二次调用了63号函数,以此类推。
也就是特征和特征之间都是统一的内容,也就是连续的而不是离散的,那么就可以使用上述代码进行一个处理。
接下来去跑测试模式就可以了。
如果预测结果不太准确,那么就需要在模型参数那里进行一个调整,当然每一次调整参数都需要把原先的模式删除。
rf_params = {
'n_estimators':10,
'max_depth':None,
'min_samples_split':2,
'random_state':0
}
总之,使用随机森林去识别暴力破解,就是导入一些安全产品记录了一些时间段某些函数的调用的数据。
把数据进行一个预处理,就是把函数名称做一个排序,然后对应到序号上,生成上述的那一部分数字。
接下来就可以重复刚刚的步骤,转换,构建,训练,测试。
这个数据是函数调用序列,可能比较抽象,或者用网络数据包数据或许会更好,但是模型构建的方法是一样的。
网络安全日报 2025年10月11日
1、黑客在新一轮攻击中利用开源Nezha工具
https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool Huntress披露,攻击组织滥用开源监控工具Nezha,将其作为后门部署Gh0st RAT。攻击者通过暴露的phpMyAdmin面板实施日志投毒,把一行PHP web shell写入以.php结尾的日志文件并执行,继而使用ANTSWORD控制服务器、下发Nezha Agent并运行交互式PowerShell脚本以创建Defender排除项,最终启动Gh0st载荷。该活动自2025年6月起至少已感染逾100台主机,攻击目标以日本和韩国为主,并波及多国。研究者评估
2、黑客利用WordPress网站发动ClickFix网络钓鱼攻击
https://blog.sucuri.net/2025/10/malvertising-campaign-hides-in-plain-sight-on-wordpress-websites.html 安全研究人员披露,一波针对WordPress站点的攻击通过篡改主题文件(functions.php)注入恶意JavaScript,将访客重定向至ClickFix风格的钓鱼页面。攻击链通过远程加载器(brazilc[.]com)下发含有porsasystem[.]com脚本的动态载荷,并在1×1像素iframe中伪装为Cloudflare资产以规避检测。该活动与Kongtuke流量分发系统关联
3、Crimson Collective黑客瞄准AWS云实例窃取数据
https://www.rapid7.com/blog/post/tr-crimson-collective-a-new-threat-group-observed-operating-in-the-cloud/ 安全研究机构Rapid7披露,黑客组织“Crimson Collective”近期针对AWS云环境发起攻击,利用暴露的访问密钥与IAM账户进行权限提升和数据窃取。该组织声称对Red Hat攻击负责,从数千个私有GitLab仓库中窃取约570GB数据,并联合“Scattered Lapsus$ Hunters”施压勒索。攻击流程包括使用TruffleHog工具搜集凭证,创建具管理员权
4、黑客利用Service Finder主题漏洞获取管理员权限
https://www.wordfence.com/blog/2025/10/attackers-actively-exploiting-critical-vulnerability-in-service-finder-bookings-plugin/ 安全公司Wordfence警告称,黑客正积极利用WordPress高级主题“Service Finder”中的关键漏洞(CVE-2025-5947),通过认证绕过直接以管理员身份登录网站。该漏洞存在于6.0及更早版本中,由于original_user_id Cookie验证不当,攻击者可伪装任意用户实施控制。自8月以来,Wordfence已监
5、DraftKings遭凭证填充攻击致账户被入侵
https://www.mass.gov/doc/2025-1691-draftkings-inc/download 美国体育博彩巨头DraftKings近日警告称,其部分用户账户遭遇凭证填充攻击。攻击者利用从其他网站泄露的用户名与密码组合,通过自动化工具入侵DraftKings账户。公司在10月2日向受影响用户发出通知,称攻击者可能访问了姓名、地址、出生日期、联系方式及部分支付信息等,但未获取完整金融数据或政府身份证号。DraftKings要求潜在受害者重置密码并启用多因素认证,同时建议监控银行与信用报告,以防身份盗用。公司补充说明此次事件实际影响用户少于30人。FBI长期警告称,凭证填充
6、Salesforce拒绝向黑客支付数据勒索赎金
https://www.bloomberg.com/news/articles/2025-10-07/salesforce-tells-clients-it-won-t-pay-hackers-for-data-extortion 客户关系管理巨头Salesforce证实,将不会与黑客组织“Scattered Lapsus$ Hunters”谈判或支付任何赎金。该组织此前通过社会工程与OAuth滥用发动多轮攻击,从Salesforce客户实例中窃取近10亿条数据,并在数据泄露站上勒索包括谷歌、迪士尼、丰田、万豪、麦当劳等39家知名企业。攻击活动分两阶段进行:一是冒充IT人员诱骗员工授权恶意O
7、Linux内核TLS组件UAF漏洞:可异步解密实现远程代码执行
https://securityonline.info/linux-kernel-tls-uaf-flaw-allows-local-rce-via-async-decrypt-poc-available/ Linux内核TLS实现存在UAF漏洞(CVE-2024-26582),本地攻击者可利用异步解密触发竞态条件,通过UAF实现内存破坏和权限提升,最终达成远程代码执行。PoC已公开。
8、NVIDIA GPU驱动修复多个高危漏洞
https://securityonline.info/nvidia-gpu-driver-patches-multiple-high-severity-flaws-risking-rce-and-privilege-escalation/ NVIDIA发布GPU驱动安全更新,修复Windows/Linux/vGPU/云游戏组件中多个高危漏洞,涉及代码执行、权限提升等风险,影响GeForce/RTX/Quadro/Tesla产品线,建议立即更新至最新版本。
9、联发科修复Wi-Fi和GNSS芯片组多个高危漏洞
https://securityonline.info/mediatek-issues-october-2025-security-bulletin-addressing-multiple-high-severity-vulnerabilities-across-wi-fi-and-gnss-chipsets/ 联发科披露2025年10月安全公告,其Wi-Fi和GNSS芯片组存在高危漏洞,包括缓冲区溢出和越界写入,可致设备崩溃或执行任意代码。建议用户及时更新固件修复漏洞。
10、7-Zip曝高危漏洞:远程攻击者可执行任意代码
https://cybersecuritynews.com/7-zip-vulnerabilities/ 7-Zip曝高危漏洞(CVE-2025-11001/11002),恶意ZIP文件可导致任意代码执行,影响25.00前所有版本。CVSS评分7.0,建议立即升级至25.00修复版本。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月10日
1、XWorm新变种带有勒索软件模块和超过35个插件
https://www.trellix.com/blogs/research/xworms-evolving-infection-chain-from-predictable-to-deceptive/ 近期网络安全公司Trellix报告称,XWorm远控木马在经历开发者XCoder去年放弃项目后再次活跃,最新版本6.0、6.4与6.5正被多方威胁行为者用于钓鱼攻击传播。新版XWorm拥有超过35个插件,功能涵盖数据窃取、远程控制、文件加解密等多种恶意操作,并新增勒索模块“Ransomware.dll”,可加密用户文档并显示赎金要求。研究发现,该模块与2021年出现的NoCry勒索软件在加密
2、Steam和微软警告Unity漏洞可能使游戏玩家面临攻击
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59489 微软与Valve近日共同警告,一项编号为CVE-2025-59489的Unity游戏引擎远程代码执行漏洞可能被用于在Android设备上执行恶意代码或在Windows系统上提升权限。研究员RyotaK在Meta安全会议上发现该漏洞存在于自Unity 2017.1以来的多个版本中,主要源于运行时组件对文件加载与命令行参数缺乏验证。攻击者可通过恶意应用或修改库路径实现任意代码执行。受影响游戏包括《炉石传说》《辐射:避难所》《毁灭战士(2019)》等多款热门作品
3、Redis警告存在严重缺陷影响数万在线暴露实例
https://redis.io/blog/security-advisory-cve-2025-49844/ Redis安全团队近日修复了编号为CVE-2025-49844的关键漏洞,该漏洞源于Redis源码中长达13年的Use-After-Free缺陷,CVSS评分高达10.0,可能导致远程代码执行。攻击者可通过精心构造的Lua脚本绕过沙箱限制,在受害主机上建立反向Shell并获取系统控制权,从而窃取凭证、植入挖矿程序或勒索软件,并在云环境中横向移动。研究机构Wiz在Pwn2Own Berlin上发现该漏洞并命名为“RediShell”,其分析指出全球约有33万个Redis实例暴露在线,
4、OpenAI阻止多国黑客滥用ChatGPT进行网络攻击
https://openai.com/global-affairs/disrupting-malicious-uses-of-ai-october-2025/ OpenAI近日宣布,已阻断来自俄罗斯和朝鲜等多起黑客活动,这些威胁行为者滥用ChatGPT以开发恶意软件、开展钓鱼攻击及信息操控。报告指出,俄语黑客利用多个ChatGPT账号迭代开发远控木马与凭证窃取工具;朝鲜攻击者则借助模型编写Xeno RAT相关组件与钓鱼邮件,攻击韩国外交机构;其他攻击团伙则利用ChatGPT生成多语种钓鱼内容、优化远程执行脚本,并开展针对半导体行业的攻击行动。除网络攻击外,OpenAI还封禁了多个从事诈骗与舆
5、LockBit、Qilin和DragonForce宣布结成联盟
https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q3-2025 ReliaQuest报告显示,LockBit、Qilin与DragonForce三大勒索组织近日宣布结成联盟,意图整合资源、共享基础设施,以提升攻击效率并巩固在勒索生态中的主导地位。此次合作紧随LockBit在2024年被取缔后重返网络之际,被视为其重建声誉、恢复与加盟者信任的重要举措。分析指出,联盟可能引发针对关键基础设施的新一轮攻击潮,扩大威胁范围。Qilin在2025年第三季度单季攻击超200起,成为最活跃的勒索组
6、Figma MCP存在严重漏洞可导致黑客远程执行代码
https://github.com/GLips/Figma-Context-MCP 研究人员披露,Figma的开源MCP服务器存在命令注入漏洞CVE-2025-53967(CVSS 7.5),源于在回退逻辑中使用child_process.exec构造curl命令时未对URL与头部值做过滤或转义。攻击者可通过特制请求、同网攻击或DNS重绑定诱导客户端触发该缺陷,在服务进程权限下执行任意系统命令。Imperva于2025年7月报告该问题,开发者已在figma-developer-mcp 0.6.3(2025-09-29)发布补丁。安全建议包括立即升级、避免用exec处理不受信输入并改用exe
7、微软365全球服务中断:Exchange Online及管理平台瘫痪
https://www.freebuf.com/articles/es/451877.html 微软365平台于2025年10月8日晚间发生重大服务中断事件,导致全球用户无法访问Microsoft Teams、Exchange Online以及微软365管理中心等关键服务。此次故障使众多依赖该平台开展日常工作的组织机构陷入通信与管理系统瘫痪状态。
8、VMware vCenter与NSX漏洞可致用户名枚举及通知篡改
https://cybersecuritynews.com/vmware-vcenter-and-nsx-vulnerabilities/ VMware披露vCenter和NSX三个高危漏洞(CVE-2025-41250至41252),CVSS评分7.5-8.5,涉及用户名枚举和邮件篡改,影响多款产品。NSA警告威胁国家安全,企业需立即打补丁。
9、CISA警告Linux/Unix系统中Sudo高危漏洞正遭活跃利用
https://thehackernews.com/2025/09/cisa-sounds-alarm-on-critical-sudo-flaw.html CISA警告Linux系统Sudo高危漏洞(CVE-2025-32463)正被活跃利用,攻击者可绕过sudoers文件以root权限执行任意命令。同期KEV目录新增四个高危漏洞,包括Adminer和Cisco的漏洞。
10、Copilot 提示注入漏洞导致私有仓库敏感数据泄露
https://www.freebuf.com/articles/ai-security/451828.html 网络安全公司Legit Security的研究人员发现,攻击者可通过隐藏在拉取请求(Pull Request)中的注释,诱使GitHub Copilot聊天机器人泄露私有代码仓库中的AWS密钥等敏感数据。这再次证明了提示注入攻击(prompt injection)可能带来的安全风险。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月09日
1、WhatsApp恶意软件SORVEPOTEL正在自我传播
https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html 趋势科技警告称,一种名为SORVEPOTEL的新型自传播恶意软件正在巴西肆虐,主要通过WhatsApp平台扩散。攻击者利用钓鱼信息发送伪装为收据或健康应用的ZIP附件,诱导受害者在Windows桌面端打开。恶意代码随后通过LNK文件与PowerShell脚本下载主载荷,并建立持久化。若检测到WhatsApp Web运行,木马会自动向所有联系人和群组发送恶意文件,加速扩散,最终导致大量账户因垃圾信息被
2、OpenShift AI漏洞导致混合云基础设施面临全面接管
https://access.redhat.com/security/cve/cve-2025-10725 研究人员披露,Red Hat OpenShift AI存在编号为CVE-2025-10725的严重漏洞(CVSS评分9.9),可能导致混合云环境全面失陷。该平台用于管理预测性与生成式AI模型的全生命周期,但因ClusterRole权限过度宽松,低权限用户(如普通Jupyter笔记本用户)可通过创建恶意任务逐步提升至集群管理员权限,从而窃取敏感数据、破坏服务并控制底层基础设施。受影响版本包括OpenShift AI 2.19与2.21。尽管Red Hat最初建议撤销相关ClusterRo
3、CISA标记Meteobridge漏洞已被野外利用
https://www.cisa.gov/news-events/alerts/2025/10/02/cisa-adds-five-known-exploited-vulnerabilities-catalog 美国网络安全与基础设施安全局(CISA)将Smartbedded Meteobridge的高危漏洞CVE-2025-4008纳入“已知被利用漏洞”目录,确认其正遭到野外攻击。该漏洞评分8.7,源于Meteobridge网页接口中“template.cgi”脚本使用不安全的eval调用,允许远程未认证攻击者通过特制请求实现任意命令执行并获取root权限。由于相关CGI脚本公开可访问,攻
4、Outlook停止显示攻击中使用的内联SVG图像
https://www.bleepingcomputer.com/news/security/microsoft-outlook-stops-displaying-inline-svg-images-used-in-attacks/ 微软宣布,从2025年9月起,Outlook网页版及新版Windows Outlook将逐步停止显示内嵌SVG图像,以防止其在网络攻击中被滥用。预计该措施将在10月中旬完成全球推送,受影响的图像不足全部发送量的0.1%,对正常用户影响有限。微软指出,SVG文件近年来频繁被用于恶意软件投递和钓鱼表单生成,尤其是在PhaaS平台推动下,相关攻击急剧增长。此更新将使内
5、Defender漏洞触发错误的BIOS更新警报
https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-bug-triggers-erroneous-bios-update-alerts/ 微软正在修复一个导致Defender for Endpoint错误提示的漏洞,该漏洞会将部分戴尔设备的BIOS固件误判为过期,从而提示用户进行不必要的更新。微软表示,该问题源自Defender for Endpoint在获取戴尔设备漏洞信息时的逻辑错误。目前修复程序已开发完成,正在准备部署,但受影响的客户数量和地区尚未公布。此前,微软还解决了macOS设备更新后黑屏崩溃的问题
6、ShinyHunters推出Salesforce数据泄露网站
https://www.mitiga.io/blog/shinyhunters-and-unc6395-inside-the-salesforce-and-salesloft-breaches ShinyHunters及关联团体近日上线新数据泄露网站,对因Salesforce安全事件受影响的39家公司进行公开勒索。泄露样本显示,这些攻击利用恶意OAuth应用获取受害企业Salesforce实例的数据,包括Google、Cisco、Disney/Hulu、FedEx等知名企业。威胁者要求受害公司在10月10日前联系,以避免数据公开,同时向Salesforce索取赎金以阻止约10亿条用户记录泄露
7、Zimbra零日漏洞被利用恶意ICS文件攻击巴西军方
https://nvd.nist.gov/vuln/detail/CVE-2025-27915 StrikeReady Labs报告称,未知攻击者利用Zimbra Collaboration中编号为CVE-2025-27915的零日漏洞,对巴西军方发动网络攻击。该漏洞为存储型跨站脚本(XSS)缺陷,源于ICS日历文件中HTML内容过滤不充分,允许在用户查看含恶意ICS的邮件时执行嵌入式JavaScript。攻击者伪装为利比亚海军礼宾办公室发送邮件,脚本可窃取凭证、邮件与联系人,并设置过滤规则将信息转发至外部邮箱与服务器ffrk[.]net。恶意代码具备隐蔽机制,仅在三天后触发。Zimbra已
8、苹果iOS字体解析器漏洞可致进程内存崩溃或损坏
https://cybersecuritynews.com/apple-font-parser-vulnerability/ 苹果修复FontParser高危漏洞(CVE-2025-43400),该漏洞可能通过恶意字体导致应用崩溃或内存损坏,影响macOS/iOS等多款系统。苹果已发布补丁改进边界检查,建议用户立即更新。
9、西部数据My Cloud NAS设备存在高危命令注入漏洞
https://securityonline.info/cve-2025-30247-critical-command-injection-flaw-in-western-digital-my-cloud-nas-devices/ 西部数据修复My Cloud NAS高危漏洞(CVE-2025-30247),攻击者可远程执行任意命令控制设备,CVSS评分9.4。建议用户立即升级至固件5.31.108,防止数据泄露和网络攻击。
10、VMware Tools与Aria零日漏洞遭利用,可提权执行任意代码
https://cybersecuritynews.com/vmware-tools-0-day-vulnerability/ VMware Tools与Aria Operations存在零日提权漏洞(CVE-2025-41244),允许攻击者获取root权限。漏洞源于get-versions.sh脚本路径问题,影响广泛部署的虚拟化组件及Linux开源版本open-vm-tools,野外利用最早可追溯至2024年10月。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
蚁景科技2025年国庆中秋放假通知
尊敬的客户:
2025年国庆中秋双节来临,蚁景科技将于 2025年10月1日-10月8日 放假,共计8天。放假期间蚁景网安实验室将正常运营,若您遇到问题,可联系 4006-123-731 咨询。
祝愿大家国庆中秋双节快乐!阖家幸福!万事如意!
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

