B-Link X26路由器Web服务风险挖掘
0.前言
在对B-Link X26 V1.2.8 路由器固件进行安全审计时,发现其在处理特定输入的过程中存在命令注入溢出漏洞。
该漏洞的成因在于程序未对用户传入的数据进行严格的合法性校验,直接拼接进入系统命令,攻击者可以借此注入并执行任意代码。这种情况不仅可能导致设备运行异常,还可能在某些条件下使攻击者获得对路由器的完全控制。
通过验证与复测确认,该漏洞风险等级较高,利用门槛低,极易被远程攻击者滥用,对设备本身以及所处网络的安全性构成严重威胁。
目前,我已将漏洞细节、复现过程与修复建议整理成完整报告,并通过官方渠道提交给厂商及 CVE 分配机构。
该漏洞已被收录,编号为 https://www.cve.org/CVERecord?id=CVE-2025-9580。
1.漏洞概述
B-Link X26路由器 V1.2.8版本存在命令执行漏洞,触发该漏洞需要进行一次授权,当攻击者获取授权之后可以通过发送恶意的HTTP POST请求即可触发该漏洞。
2.漏洞详情
https://www.b-link.net.cn/product_29_174.html官网下载完固件之后,使用binwalk进行解包。
这个固件解包出来后,比起之前其他我挖过其他消费级路由器也有很大不同。
首先它没有httpd文件,解包后习惯性地在 bin/ 或 sbin/ 目录中寻找 httpd 可执行文件,因为在大多数消费级或企业级路由器中,Web 管理界面往往依赖 httpd 作为核心服务。但在 B-Link X26 的固件中并没有找到 httpd,这使得常规思路无法直接套用。
接下来尝试在 Web 资源目录下寻找脚本文件,一般来说企业级路由器会包含大量 .php 脚本,比如 DCME-720 ,消费级路由器则可能依赖 .cgi 文件来处理。
后台逻辑,但是在 B-Link X26 中,.cgi 文件数量极少,仅发现了与上传相关的 upload.cgi。这与以往分析的 DCME、Wavlink 固件有明显不同:后者解包后能看到一整套配置、认证、状态查询相关的脚本,而在 X26 上,脚本层几乎不存在。
既然缺少传统的 httpd,.cgi 文件也很少,说明该固件的 Web 服务逻辑并未像常见路由器那样拆分到大量脚本中,那么剩下的可能性,要么Web 服务被嵌入在某个非典型命名的二进制中,或者是路由器采用了轻量级嵌入式 Web 服务器。
带着这个假设,再次对 bin/ 目录进行排查,可以发现一个名为 goahead 的可执行文件。
通过字符串检索与反汇编分析,可以在 goahead 中发现大量 Web 服务相关的函数调用,比如 websGetVar、HTTP 请求处理逻辑,并且能定位到 system()、popen() 等命令执行函数。
所以说B-Link X26 的 Web 管理界面核心逻辑全部集成在 goahead 内部,而不是依赖外部的 .cgi 或 .php 文件。
回到正题,当请求路径为set_hidessid_cfg时候会进入sub_44F9F4函数的处理逻辑。
可以看到,这里从 HTTP 请求里取出参数 type 和 enable,a1 通常是 webs_t 结构(goahead 的请求上下文),websGetVar 用来提取请求参数。
如果没取到,返回默认值 ""
然后又通过创建json对象的格式将参数打包成json对象传入到了bs_SetSSIDHide函数中,从名字可以看出来这是修改隐藏 SSID的配置的函数。
{
"type": "<用户输入的type参数>",
"enable": "<用户输入的enable参数>"
}
那么这里就会有一些问题,type和enable完全是由用户输入的。
没有过滤,type 和 enable 原样地放进 JSON。
关键在于 bs_SetSSIDHide 的实现,如果说它内部调用了 system()/popen() 来修改无线配置,比如说执行 iwpriv、uci set 等命令,就可能引发命令注入。
但是如果只是直接操作配置文件/内存结构,则风险较小。
所以接着看 bs_SetSSIDHide 函数,但是这里有个问题,就是它是个外部函数,无法在gohead里面直接找到,这说明该函数并不在当前二进制中实现,而是来自外部库。
所以为了找到其具体的实现逻辑,首先检查了 goahead 的动态依赖库。
readelf -d goahead | grep NEEDED
该命令用于列出 goahead 这个程序运行时所必需的所有动态链接库,共享库文件。
查出了 goahead 运行时依赖的动态库,包括:libc.so.0,libnvrm.so.0,libshare.so.0之类。
既然 bs_SetSSIDHide 在 goahead 内部没定义,那么它必然来自这些依赖库之一。
根据经验,libshare.so.0 这个命名,share → 常常封装设备配置、WLAN、系统参数等接口,就可以合理怀疑这个函数实现藏在里面。
我们也可以验证一下猜测
nm -D libshare.so.0 | grep bs_SetSSIDHide
该命令用于检查名为 bs_SetSSIDHide 的函数是否存在于共享库 libshare.so.0 的动态符号表中,从而确认该函数是否可以被其他程序调用。
0002b7f4是函数 bs_SetSSIDHide 在 libshare.so.0 里的偏移地址,如果库被加载到内存,这个地址会加上库的基址,得到函数的真实运行时地址。
T表示该符号在 Text 段,也就是代码段中被定义,说明它是一个函数。字母 T 是大写的,这表示它是一个全局符号,意味着这个函数可以被链接到这个库的其他程序或库文件调用。如果是小写的 t,则表示它是一个内部函数,只能在库内部使用。
如果是 U,就表示 undefined,也就是未定义,只是引用。
bs_SetSSIDHide,就是符号名,也就是函数的名字,这说明 bs_SetSSIDHide 真正的实现就在 libshare.so.0 里。
这张图的输出证明了 bs_SetSSIDHide 在 libshare.so.0 中确实有定义(函数实现),地址偏移是 0x2b7f4,因此在 goahead 里调用的就是这个库函数。
所以按理来说我们应该去逆向分析libshare.so.0
但是由于其中 libshare.so.0 属于 共享对象名,其作用是给运行时动态链接器提供一个稳定的接口名称。
而 libshare-0.0.26.so 才是库的真实实现文件。通常情况下,libshare.so.0 会通过符号链接指向 libshare-0.0.26.so
所以直接处理 libshare-0.0.26.so就好,因为它包含了完整的符号信息与函数实现。
可以发现bs_SetSSIDHide将传入的两个json格式的对象进行了取值,并且接下来存在一个判断,对type取值为sethide2绕过这个if分支。
这里会发现对v20进行了命令执行,而v20是通过v7拼接而来的,而v7往上翻就是取到的值enable,也就是一开始传入的值。
那么这里就存在一个libc函数相关的命令执行。
3.漏洞验证
淘了一台真机,直接省事,懒得去仿真了(其实是仿真不起来....),真机才是硬道理!
然后去访问3.txt文件就会发现已经注入成功了。
网络安全日报 2025年09月17日
1、三星修复一个针对安卓设备的零日漏洞
https://securityonline.info/samsung-zero-day-exploit-cve-2025-21043-patched-after-active-attacks-on-android-devices/ 三星已发布安全更新,以修复一个正在被积极利用的、针对安卓设备的零日漏洞。该漏洞被标识为CVE-2025-21043,CVSS评分为8.8,它允许在处理恶意图片时实现远程代码执行。尽管三星没有明确证实哪些应用程序在实际攻击中被利用,但承认该漏洞的影响可能不仅仅局限于单一服务,这表明任何依赖libimagecodec.quram.so的即时通讯软件或应用程序都可能是
2、新供应链攻击波及npm仓库,40余个软件包遭篡改
https://www.freebuf.com/news/448976.html 安全研究团队Socket发现npm仓库遭遇新型供应链攻击,波及多个维护者旗下的40余个软件包。研究人员首先在每周下载量达220万次的@ctrl/tinycolor软件包中检测到恶意更新,深入调查后揭露了这场规模更大的攻击活动。
3、GitHub为SSH访问增加抗量子加密保护
https://www.freebuf.com/articles/448857.html GitHub宣布将为SSH连接引入抗量子密码学(post-quantum cryptography)保护,这一举措表明该公司正在为当前加密技术可能失效的未来做准备。平台已推出一种新型SSH密钥,该密钥同时包含传统算法和抗量子算法,被称为混合密钥(hybrid key),可在兼容现有系统的同时提供抵御未来量子攻击的能力。
4、Spring框架安全漏洞导致授权绕过与注解检测失效
https://www.freebuf.com/articles/448869.html Spring Security和Spring框架中曝出两个高危漏洞(CVE-2025-41248和CVE-2025-41249),攻击者可利用这些漏洞绕过企业应用中的授权控制机制。当Spring Security的@EnableMethodSecurity特性与方法级注解(如@PreAuthorize和@PostAuthorize)结合使用时,若服务接口或抽象基类采用无界泛型,注解检测机制将无法定位重写方法上的安全注解,导致受保护端点可能被未授权访问。
5、中国用户遭SEO定向投毒攻击
https://thehackernews.com/2025/09/hiddengh0st-winos-and-kkrat-exploit-seo.html 中文用户遭SEO投毒攻击,仿冒软件网站传播HiddenGh0st、Winos等恶意软件,利用多阶段机制规避检测。新型kkRAT加入攻击,具备全面监控能力,通过BYOVD技术对抗安全软件,劫持加密货币交易。
6、漏洞预警:FlowiseAI 高危漏洞可导致完全账户接管
https://securityonline.info/poc-available-flowiseai-flaw-cve-2025-58434-allows-full-account-takeover-cvss-9-8/ FlowiseAI曝高危漏洞(CVE-2025-58434,CVSS 9.8),攻击者可利用密码重置端点直接获取临时令牌,无需认证即可接管任意账户(含管理员)。所有3.0.5前版本均受影响,建议禁用敏感信息返回并启用MFA。
7、新型HybridPetya勒索软件可绕过UEFI安全启动
https://www.anquanke.com/post/id/312163 近期发现的名为HybridPetya的勒索软件变种能够绕过UEFI安全启动功能,在EFI系统分区安装恶意应用程序。HybridPetya的设计灵感似乎源自具有破坏性的Petya/NotPetya恶意软件——后者曾在2016年和2017年的攻击中加密计算机并阻止Windows启动,且未提供恢复选项。
8、捷豹路虎因网络攻击停产超半月
https://www.secrss.com/articles/83164 9月1日首次曝光的一起网络攻击事件,迫使捷豹路虎关闭计算机系统,并导致全球范围内停产。位于索利哈尔、海尔伍德和伍尔弗汉普顿的工厂预计至少要到9月17日才能恢复运转,因为公司仍在评估损失情况。
9、《网络安全标准实践指南-扫码点餐个人信息保护要求》发布
https://www.secrss.com/articles/83154 规定了扫码点餐服务个人信息保护总体要求和具体要求。
10、ChatGPT的日历集成可被利用窃取电子邮件
https://www.securityweek.com/chatgpts-new-calendar-integration-can-be-abused-to-steal-emails/ 一个新版的 ChatGPT 日历集成可能被滥用来执行攻击者的命令,AI 安全公司 EdisonWatch 的研究人员通过展示如何利用此方法窃取用户的电子邮件,证明了其潜在影响。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月16日
1、微软修复Windows Defender中的四个安全漏洞
https://cybersecuritynews.com/windows-defender-firewall-vulnerabilities/ 微软已修复Windows Defender防火墙服务中的四个特权提升漏洞。这些安全漏洞在微软2025年9月9日发布的安全更新中被详细说明。如果被利用,这些漏洞可能允许已通过身份验证的攻击者在受影响的系统上获取更高权限。这四个漏洞被标识为CVE-2025-53808、CVE-2025-54104、CVE-2025-54109和CVE-2025-54915。这四个漏洞都使本地攻击者能够提升权限,对系统完整性构成重大风险。微软表示这些漏洞均未被公开披露或
2、越南国家信用信息中心受到网络攻击
https://therecord.media/vietnam-cic-panama-finance-ministry-cyberattacks 越南网络应急响应中心(VNCERT)证实收到一份关于影响国家信用信息中心(CIC)的事件报告,CIC负责管理该国公民和企业信用信息。VNCERT表示,初步报告显示,此次攻击导致了个人数据泄露。该组织目前正与多个机构和国有电信公司Viettel合作进行调查。VNCERT称,初步调查结果显示存在网络犯罪攻击和入侵迹象,目的是窃取个人数据。与Shiny Hunters组织存在关联的攻击者声称入侵CIC并窃取了约1.6亿条记录。攻击者在网络犯罪论坛上出售这
3、黑客窃取古驰、巴黎世家等奢侈品牌数百万客户数据
https://www.freebuf.com/articles/database/448779.html 黑客窃取了古驰(Gucci)、巴黎世家(Balenciaga)和亚历山大·麦昆(Alexander McQueen)等奢侈品牌数百万客户的隐私数据,包括姓名、联系方式、地址和消费记录。这些品牌的母公司开云集团(Kering)已确认此次安全事件,并向数据保护机构发出通知,但未透露具体受影响客户数量。
4、LangChainGo严重漏洞威胁LLM应用安全
https://www.freebuf.com/articles/448611.html 随着大语言模型(LLM)应用的兴起,LangChain及其衍生框架已成为全球开发者的基础工具。但根据CERT/CC最新漏洞公告,LangChain的Go语言实现版本LangChainGo存在一个高危漏洞,可能造成严重安全风险。该漏洞编号为CVE-2025-9556,CVSS评分高达9.8分。攻击者可通过Gonja模板引擎实现任意文件读取。CERT/CC警告称:"攻击者可通过注入恶意提示内容访问敏感文件,从而发起服务端模板注入(SSTI)攻击。"
5、SaaS史上最严重供应链攻击:Salesloft数据泄露致700+企业遭殃
https://cybersecuritynews.com/salesloft-drift-data-breaches/ 2025年Salesloft Drift数据泄露事件暴露SaaS供应链安全致命弱点:UNC6395组织通过GitHub入侵窃取OAuth令牌,导致700多家企业数据暴露,凸显第三方集成监管、令牌管理和检测响应系统性失效,警示企业需构建零信任架构与供应链风险管理体系。
6、苹果警告:多起雇佣间谍软件攻击瞄准用户设备
https://cybersecuritynews.com/apple-warns-mercenary-spyware/ 苹果警告高复杂性雇佣间谍软件攻击,主要针对记者、政要等高风险人群,如NSO集团的"飞马"软件。攻击耗资巨大且难以检测,苹果已向150国用户发警报。建议启用锁定模式并遵循基本安全措施,如更新系统、启用双重认证等。高风险用户应寻求专家协助。
7、AI代码编辑器Cursor漏洞:恶意仓库可触发静默代码执行
https://thehackernews.com/2025/09/cursor-ai-code-editor-flaw-enables.html Cursor AI编辑器默认禁用安全设置,导致打开恶意仓库时静默执行代码,引发供应链攻击风险。AI编程工具还面临提示词注入等威胁,传统漏洞如认证绕过、SQL注入等加剧风险,需将安全视为基石。
8、 NVIDIA NVDebug工具漏洞可导致攻击者权限提升
https://cybersecuritynews.com/nvidia-nvdebug-tool-vulnerability/ NVIDIA紧急修复NVDebug工具三个高危漏洞(CVE-2025-23342/43/44),涉及权限提升、代码执行等风险,CVSS最高8.2分。用户须立即升级至1.7.0+版本防范攻击。
9、SonicWall防火墙旧漏洞遭到阿基拉勒索软件利用
https://securityaffairs.com/182112/cyber-crime/akira-ransomware-exploits-year-old-sonicwall-flaw-with-multiple-vectors.html 阿基拉勒索软件组织利用SonicWall防火墙高危漏洞CVE-2024-40766发起攻击,结合SSLVPN默认用户组风险、MFA滥用及密码继承问题获取权限。建议用户立即修复漏洞、启用MFA并监控访问。
10、恶意Chrome扩展程序窃取Meta平台登录凭证
https://cybersecuritynews.com/malicious-chrome-extension-attacking-users/ 恶意Chrome扩展"Madgicx Plus"伪装成Meta广告工具,窃取Facebook和Instagram登录令牌,针对数字营销人员。通过钓鱼网站传播,绕过安全策略,劫持会话,威胁中小企业广告账户安全。建议审计扩展权限,隔离广告工作流。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月15日
1、Ivanti发布安全更新修复两个高危漏洞
https://securityonline.info/ivanti-patches-two-high-severity-rce-flaws-in-endpoint-manager/ Ivanti发布了针对Ivanti Endpoint Manager(EPM)的安全更新,修复了两个高危漏洞。这些漏洞可能允许未经身份验证的远程攻击者执行远程代码(RCE)。这两个漏洞是CVE-2025-9712和CVE-2025-9872,CVSS评分为8.8,均源于文件名验证不足。Ivanti强烈建议客户立即升级。
2、研究人员发现ChillyHell恶意软件新变种
https://www.jamf.com/blog/chillyhell-a-modular-macos-backdoor/?nav=1 研究人员近日发现ChillyHell恶意软件的一个新变种,这是一种模块化的macOS后门,并曾通过了苹果的认证。它并没有包含一个真正的AppleScript小程序,而是包含一个伪装成此类文件的Mach-O可执行文件。一旦执行,它会使用系统命令枚举用户、环境变量和活动进程,进行持久化操作,打开一个假的谷歌页面避免引起怀疑,并通过修改文件时间戳进行掩盖。
3、法国多地医疗机构遭受网络攻击导致患者数据泄露
https://www.infosecurity-magazine.com/news/france-regional-healthcare 法国多个地区的医疗机构已成为网络攻击的目标,导致患者的个人数据遭到泄露。9月8日,法国三个地区——上法兰西(Hauts-de-France)、诺曼底(Normandy)和卢瓦尔河地区(Pays de la Loire)的地区医疗机构(ARS)发布了安全警报,警告最近有攻击者针对其服务器进行网络攻击,这些服务器托管着各地区公立医院的患者数据。诺曼底机构表示,初步调查证实,攻击者针对至少这三个ARS的信息系统曾进行过多次网络攻击尝试。根据上法兰西机构的说法,
4、PyInstaller修复本地权限提升漏洞
https://securityonline.info/pyinstaller-flaw-are-your-python-apps-vulnerable-to-hijacking/ PyInstaller项目发布了针对本地权限提升漏洞CVE-2025-59042(CVSS评分7.0)的修复程序,该漏洞影响了使用6.0.0之前版本的PyInstaller打包的应用程序。在PyInstaller打包的应用程序引导过程中,一个特殊的条目会被添加到sys.path中。当引导脚本尝试加载一个用于字节码解密的可选模块时,如果该特殊条目仍然存在于sys.path中,攻击者就有可能利用应用程序执行任意Pyt
5、研究人员发现AdaptixC2被用于进行攻击活动
https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/ AdaptixC2是一个最近被发现的开源渗透框架,专为渗透测试人员设计,但目前已被攻击者用于进行网络攻击活动。与许多知名的C2框架不同,AdaptixC2在很大程度上仍不为人所知,公开文档中很少有关于其在实际攻击中应用的记载。攻击者利用AdaptixC2在被入侵的系统上执行命令、传输文件和进行数据回传。由于它是开源的,攻击者可以轻松地对其进行定制和修改,以实现其特定目的。
6、西门子披露SIVaaS平台中的安全漏洞
https://securityonline.info/cve-2025-40804-critical-flaw-in-siemens-sivaas-exposes-network-share-without-authentication/ 西门子披露了其SIMATIC Virtualization as a Service (SIVaaS)平台中的一个安全漏洞(CVE-2025-40804)。该漏洞的CVSS v3.1评分为9.1,允许网络共享在未经身份验证的情况下暴露,可能使攻击者能够访问或修改敏感数据。SIVaaS被广泛用于自动化系统的集中虚拟化,支持OT/IT集成和工业环境的标准化监
7、微软修复BitLocker中的两个安全漏洞
https://cybersecuritynews.com/windows-bitlocker-vulnerability/ 微软修复BitLocker中的两个安全漏洞,这两个漏洞被标识为CVE-2025-54911和CVE-2025-54912,于2025年9月9日披露。CVE-2025-54911和CVE-2025-54912均被归类为“释放后重用”(Use-After-Free)漏洞,这是一种常见且危险的内存损坏错误。成功利用这两个漏洞中的任何一个都会导致权限提升,攻击者可以获得SYSTEM级别的权限。根据微软提供的CVSS指标,攻击者需要在目标系统上拥有低级权限。此外,漏洞利用还需要
8、新型VM逃逸攻击突破AMD、英特尔CPU的客户机-主机隔离
https://www.anquanke.com/post/id/312079 一种名为VMScape的新型类Spectre攻击允许恶意虚拟机(VM)从运行在现代AMD或英特尔CPU上的未修改QEMU hypervisor进程中窃取加密密钥。该攻击打破了VM与云hypervisor之间的隔离,绕过现有Spectre缓解措施,并利用推测执行威胁泄露敏感数据。研究人员强调,VMScape无需攻陷主机,且在硬件默认启用缓解措施的情况下,对未修改的虚拟化软件依然有效。他们指出,威胁行为者只需租用一台虚拟机,即可对云服务商发起此类攻击,从hypervisor或其他VM中窃取机密。
9、现代智能手机易受无声“选择劫持”USB攻击
https://www.anquanke.com/post/id/312088 一种名为“选择劫持”(ChoiceJacking)的USB攻击通过恶意充电器伪造用户授权弹窗,静默访问敏感数据,从而绕过Android和iOS设备的防护机制。该攻击突破了针对“果汁劫持”(JuiceJacking)的长期防御措施,导致当前几乎所有USB数据保护机制失效。
10、L7 DDoS僵尸网络劫持576万台设备发起大规模攻击
https://www.anquanke.com/post/id/312075 2025年3月初,安全团队首次观测到一个前所未有的L7 DDoS僵尸网络,针对多行业Web应用发起攻击。该僵尸网络从初始133万台受感染设备迅速扩张,通过HTTP GET泛洪耗尽服务器资源并绕过传统速率限制。到5月中旬,威胁进一步升级,僵尸网络规模增长至460万个节点,利用受感染物联网(IoT)设备和防护薄弱的端点扩大攻击面。至9月,这个庞大网络已调动576万个IP地址协同攻击某政府机构,每秒生成数千万次请求。Qrator Labs分析师指出,恶意流量的地理分布发生显著变化,巴西、越南和美国成为主要来源地。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月12日
1、杭州警方侦办全国首起利用AI技术侵犯公民个人信息案
https://www.freebuf.com/articles/database/448259.html 今年6月,杭州市公安局网警分局在工作中发现,有犯罪团伙在境外换某平台上利用"AI脸"技术突破头部平台的人脸登录认证,定向获取用户留存于平台的全量信息。
2、Google Drive漏洞可致云端文件遭全盘访问
https://www.freebuf.com/articles/database/448067.html Windows版Google Drive桌面应用近日曝出安全漏洞,当多用户共用设备时,已登录用户无需凭证即可完全访问其他用户的云端文件。该漏洞源于应用程序处理缓存数据时的访问控制机制缺陷,对Google Drive作为敏感数据存储工具的安全信誉构成挑战。
3、Cursor代码编辑器默认配置漏洞可导致任意代码执行
https://www.freebuf.com/articles/web/448071.html Oasis安全公司发现主流AI代码编辑器Cursor存在设计缺陷,当开发者打开包含恶意代码库的文件夹时,攻击者可实现静默代码执行。根据周三披露的技术细节,该漏洞源于Cursor允许特定项目设置自动触发任务运行,且默认不向用户发出警告。
4、iPhone17"史上最重要升级":内存完整性强制保护技术
https://www.freebuf.com/articles/448057.html 苹果安全工程与架构团队(SEAR)近日发布了内存完整性强制保护技术(Memory Integrity Enforcement,MIE),这项持续运行的硬件辅助内存安全技术旨在全面阻断iPhone设备上的各类内存破坏漏洞。苹果将其称为"消费级操作系统历史上最重要的内存安全升级"。
5、新型恶意软件家族正劫持暴露的Docker API
https://www.anquanke.com/post/id/312005 Akamai Hunt安全团队发现了一种针对暴露Docker API的新型恶意软件。与早期专注于加密挖矿的版本不同,该变体扩展了感染能力,包括持久化机制、端口阻塞,甚至可能为构建分布式僵尸网络奠定基础。
6、Sophos修复AP6系列无线接入点严重认证绕过漏洞
https://www.anquanke.com/post/id/312056 Sophos已发布针对其AP6系列无线接入点中一个严重认证绕过漏洞(CVE-2025-10159)的修复补丁。该漏洞的CVSS评分为9.8分,攻击者若能访问设备的管理界面,可借此获取完全的管理员控制权。
7、Hiawatha Web服务器曝严重漏洞
https://www.anquanke.com/post/id/312015 CERT协调中心(CERT/CC)发布漏洞通报,指出Hiawatha Web服务器存在三个严重安全缺陷。Hiawatha是一款轻量级开源Web服务器,作为Apache和Nginx的替代方案,其漏洞可能允许攻击者绕过身份认证、劫持会话甚至执行任意代码。
8、黑客组织声称窃取越南全国公民超1.6亿条信用数据
https://www.secrss.com/articles/82956 黑客组织ShinyHunters声称,他们成功入侵并窃取了越南信用研究所(Credit Institute of Vietnam)超过1.6亿条记录。该机构负责管理越南国家信用信息中心(CIC)。CIC隶属于越南国家银行,是其直属事业单位,承担着国家信用登记职能;负责收集、处理、存储和分析信用信息;预防并降低信用风险;为法人和自然人在境内的信用状况进行评分和评级;并根据国家银行及相关法律规定,向社会提供信用信息产品和服务。
9、思科修复了高严重性 IOS XR 漏洞
https://www.securityweek.com/cisco-patches-high-severity-ios-xr-vulnerabilities/ 思科于周三发布了针对 IOS XR 软件中三个漏洞的补丁,作为其 2025 年 9 月的网络安全咨询捆绑发布的一部分。追踪为 CVE-2025-20248(CVSS 评分为 6),第一个漏洞是 IOS XR 安装过程中的一个高严重性问题,可能允许攻击者绕过映像签名验证。
10、新型安卓恶意软件带有NFC中继和ATS功能
https://thehackernews.com/2025/09/raton-android-malware-detected-with-nfc.html 一种名为 RatOn 的新 Android 恶意软件已从一种能够进行近场通信(NFC)中继攻击的基本工具演变为一种具有自动转账系统(ATS)功能的复杂远程访问木马,用于进行设备欺诈。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月11日
1、研究人员发现新型安卓恶意软件RatOn
https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats 研究人员在对NFSkate攻击活动进行监控期间,发现了一个独特的APK样本。该样本是一种功能齐全的新型银行木马,具备设备、账户接管能力,以加密货币钱包应用程序为目标。此外,该恶意软件还可以滥用某特定银行应用程序执行自动转账,并通过定制的覆盖页面和设备锁定功能进行勒索。研究人员根据攻击者在群聊中使用的名称将其命名为RatOn,并推测此处的“Rat”指的可能就是远程访问工具(Remote Access Too
2、微软推出安全更新修复81个漏洞
https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2025-patch-tuesday-fixes-81-flaws-two-zero-days/ 微软于2025年9月份的“周二补丁日”推出安全更新,修复了81个漏洞,其中包括2个已公开披露的零日漏洞。这两个零日漏洞分别是Windows SMB权限提升漏洞(CVE-2025-55234)和Newtonsoft.Json中处理异常情况不当(CVE-2024-21907)。各漏洞类别数量如下:41个权限提升漏洞、2个安全功能绕过漏洞、22个远程代码执行漏洞、16
3、Adobe修复安全漏洞CVE-2025-54236
https://www.bleepingcomputer.com/news/security/adobe-patches-critical-sessionreaper-flaw-in-magento-ecommerce-platform/ Adobe发出警告,其Commerce和Magento Open Source平台中存在一个被研究人员命名为 “SessionReaper”的高危漏洞(CVE-2025-54236),并称其为该产品中最严重的漏洞之一。Adobe发布了一个针对该安全漏洞的补丁。该漏洞无需认证即可被利用,攻击者可以通过Commerce REST API来控制客户账户。作为临时
4、微软Office两大高危漏洞,可导致恶意代码执行
https://www.freebuf.com/articles/system/448043.html 微软已针对Microsoft Office中的两个高危漏洞发布补丁,攻击者可利用这些漏洞在受影响系统上执行恶意代码。这两个编号为CVE-2025-54910和CVE-2025-54906的漏洞于2025年9月9日披露,影响该流行办公套件的多个版本。
5、GitLab紧急修复两个高危漏洞,敦促用户立即更新
https://www.freebuf.com/articles/web/448054.html GitLab已发布其社区版和企业版的新版本,修复了多个安全漏洞,其中包括两个可能导致服务中断和数据泄露的高危漏洞。
6、Stratix交换机高危远程代码执行漏洞可导致RCE
https://www.freebuf.com/articles/ics-articles/447928.html 罗克韦尔自动化公司(Rockwell Automation)针对其Stratix工业以太网交换机发布安全公告,披露编号为CVE-2025-7350的高危漏洞。该漏洞CVSS评分为9.6分,攻击者可利用跨站请求伪造(CSRF)缺陷实现未认证远程代码执行(RCE)。
7、西门子SIMATIC虚拟化服务存在高危漏洞
https://www.freebuf.com/articles/ics-articles/447890.html 西门子近日披露其SIMATIC Virtualization as a Service(SIVaaS)平台存在一个高危安全漏洞(CVE-2025-40804)。该漏洞CVSS评分为9.1分,会导致网络共享资源在无认证情况下暴露,攻击者可能借此访问或篡改敏感数据。
8、BitLocker两大UAF漏洞允许攻击者提升权限
https://www.freebuf.com/articles/system/448011.html 微软已修复影响Windows BitLocker加密功能的两处重大权限提升漏洞。这两个漏洞编号为CVE-2025-54911和CVE-2025-54912,于2025年9月9日披露,严重等级被评定为"重要"。
9、Dynatrace确认受到Salesloft Drift数据泄露的影响
https://cybersecuritynews.com/dynatrace-data-breach/ Dynatrace确认其受到了一起源于Salesloft Drift应用程序的第三方数据泄露事件的影响,导致存储在Salesforce CRM中的客户业务联系信息遭到未经授权的访问。该公司确认,此次事件仅影响其CRM平台,并未影响任何Dynatrace的核心产品、服务或敏感客户环境。调查确认,恶意活动仅限于其Salesforce CRM实例。此外,该公司称他们不使用Salesforce中的“案例功能”,这意味着攻击者无法访问任何客户支持案例信息。此次事件未对Dynatrace的业务运营造
10、APT37使用Rust后门和Python加载程序进行攻击活动
https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader 研究人员发现,在近期的活动中,APT37组织使用单个命令与控制(C2)服务器来控制其多种恶意软件,包括基于Rust的后门Rustonotto(也称CHILLYCHINO)、名为Chinotto的PowerShell恶意软件,以及FadeStealer。Rustonotto是该组织自2025年6月开始使用的一个新后门。Chinotto是一个已有详细记录的PowerShell后门,该组织自201
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
应急响应:某网站被挂非法链接
事件概况
最近应急,遇到一起官网非法链接事件。如下图所示,使用百度搜索引擎语法site:www.网站域名 搜索某关键字,会出现一堆结果。并且只有百度搜索引擎可以搜索出来,其他的都没有记录。
挨个点开,都是404,最近的一条是8.15的。
到现场后,先建议工作人员分批进行用户反馈,期望百度能够尽快删除搜索结果,将负面影响降低到最小,之后着手应急。
既然是挂链接,又是404,说明在百度爬虫收录之后,链接原文已经被删除。作案者相当谨慎,估计是下次接到活儿还想如法炮制。现场资产情况是:
Windows Server 2016
IIS 10
Microsoft Sql Server 2008
WAF
排查角度有两个,一是服务器被入侵了,这是最糟糕的结果,二是网站本身存在漏洞,作案者直接操作网站后台发的文。
上机排查
登录服务器,看到桌面还算整洁,与运维人员核实,安装的软件也都正常。查看服务器上仅有的安全防护措施——卡巴斯基,未发现活动威胁,情况还算可以。
翻看卡巴斯基防护日志,并没有异常行为告警,只有一条漏洞利用防御的记录,还是告警的D盾。
将D盾拿上服务器,逐一翻看一遍,并没有发现异常,IIS模块都是正常运行。
排查到这里基本可以排除服务器被入侵的可能了。然后,有效的安全设备仅有一台WAF,登录上去看看与该网站相关的日志。
看到很多发文异常的告警,但仅仅是告警,没有阻断,估计是不允许影响业务。
从这条告警来猜测,网站有可能存在编辑器漏洞,kindeditor。但也就这些告警,没有参考价值,因为响应结果记录为空。
既然没有入侵服务器,没有植入马儿,那就还是通过网站操作来发布的文章。所以下面的排查思路是跟踪文章的发布和删除时间,以及发布者账号、登录IP等等。
联系软件开发公司的人,询问文章删除逻辑:
顿时感觉这套系统开发的好随意,文章说删就删了,真的删了,没有给追踪溯源留下一丝余地。接下来怎么办?看看web日志吧。
web日志
web日志分为两种,一种以ex开头,记录的是爬虫行为,文件普遍偏小,另一种以nc开头,记录的是网站的访问日志,文件普遍偏大。
根据“Baiduspider”关键字搜索百度爬虫的时间。
302太多,只需要200的,并且加上大概的时间范围:
记录还是太多。询问开发人员有没有url白名单,不出所料,回复依然是“不知道”。如此一来,从百度收录时间入手排查的思路就断了。然后怎么办?看看访问日志吧,根据访问数量筛选一下。
果然,有一个IP的访问数量特别多,针对这个IP筛选一下。
访问时间大多在凌晨一两点,且url多数和kindeditor有关,着实可疑。然后根据这个IP查一下登录账号:
只有寥寥几条,应该是只供页面展示用,而且不支持下一页查询。既然开发不给力,那就只有自己登录数据库查询了。
Database
登录之后翻看表空间,首先看到一张User表,本能地打开。看到loginPwd列,自然是存储的密码,不过,再仔细瞧瞧这些记录,16位的MD5啊!
继续翻看发现,怎么有几个相同的MD5值?难不成是初始密码还没改。
把这几个相同的MD5拿出来解密一下:
解出来了,又是一个MD5,再次解密:
出来了,弱口令,111。用户密码的加密规则是两次MD5处理。以这个密码为查询条件筛选一下用户,好家伙,总共6个人都是用的这个密码。
在其中随便找个账号查询其近两个月的登录记录:
果然,8.11登录过,而且是外省地址。回看百度爬虫收录时间是8.15,从发文到被爬取用了4天时间,符合爬虫效率。
之后再去除源地址转换、出口IP地址、IPv6地址,筛选所有弱口令账号近三月的登录日志,共53条。
经分析发现其中一个账号存在多地点多IP登录的情况,且登录IP中有多个为恶意IP,下图是其一。
用其账号登录网站后台管理系统,瞬间一目了然:
账号权限包括发布文章、修改文章、删除文章......一应俱全。
总结两点
说一千道一万的是弱口令,屡禁不止的是弱口令,明知故犯的还是弱口令。
应急是个综合性很强的活儿,有时候不需要多么高超的技术,像这次,我就当了一把系统运维和数据库运维。
网络安全日报 2025年09月10日
1、研究人员披露ImageMagick中的一个高危漏洞
https://securityonline.info/cve-2025-57807-a-critical-flaw-in-imagemagick-could-lead-to-rce-poc-available/ 安全研究人员披露了ImageMagick中的一个安全漏洞,该漏洞被标识为CVE-2025-57807(CVSS评分9.8)。该缺陷源于BlobStream的SeekBlob()和WriteBlob()函数中的契约不匹配,导致堆内存越界写入,攻击者可利用此漏洞来损坏内存并可能执行任意代码。研究人员还发布了CVE-2025-57807的概念验证漏洞利用代码。ImageMagick团队已
2、Salesloft称攻击者在3月份入侵其GitHub账户
https://www.bleepingcomputer.com/news/security/salesloft-march-github-repo-breach-led-to-salesforce-data-theft-attacks/ Salesloft表示,攻击者在3月份首次入侵其GitHub账户,导致Drift OAuth令牌泄露,这些令牌随后在8月份被用于大规模窃取Salesforce数据。协助Salesloft调查的安全公司表示,攻击者最初在2025年3月至6月期间获得了对其GitHub环境的访问权限。攻击者从多个GitHub代码库下载了代码,添加了访客用户账户。安全公司证实,攻
3、Plex平台通知用户重置密码
https://www.bleepingcomputer.com/news/security/plex-tells-users-to-reset-passwords-after-new-data-breach/ Plex正在通知其用户重置密码,此前该公司遭遇了数据泄露,攻击者从其一个数据库中窃取了用户身份验证数据。Plex表示泄露的数据包括电子邮件地址、用户名、安全哈希处理过的密码和身份验证数据。Plex建议用户在该平台重置密码,并在重置时启用“密码更改后登出已连接设备”选项。Plex表示,此次数据泄露不涉及支付卡信息,因为这些信息不存储在其服务器上。该公司称已解决了此次入侵事件,但没有分享
4、Adobe紧急修复Magento历史上最严重的漏洞
https://securityonline.info/adobe-issues-emergency-patch-for-sessionreaper-cve-2025-54236-one-of-magentos-most-critical-flaws/ Adobe紧急修复Magento高危漏洞SessionReaper(CVE-2025-54236),该漏洞可能导致网店被自动化攻击,商家需立即打补丁或采取防护措施。开源用户未获预警引发不满。
5、Windows Defender 更新机制存在高危漏洞
https://cybersecuritynews.com/windows-defender-vulnerability/ Windows Defender更新机制存在高危漏洞,攻击者可利用管理员权限创建符号链接劫持服务,禁用防护或植入恶意代码,导致系统无保护状态。漏洞利用系统自带工具,凸显终端防护对抗风险。
6、pREST严重SQL注入漏洞威胁PostgreSQL数据库安全
https://securityonline.info/cve-2025-58450-critical-sql-injection-flaw-in-prest-puts-postgresql-databases-at-risk/ pREST框架曝高危SQL注入漏洞(CVE-2025-58450),影响v2.0.0-rc3前所有版本,CVSS 9.4。攻击者可读取敏感文件、窃取凭证及操纵数据库。修复版本已发布,建议改用参数化查询并严格验证输入。
7、WebFlux现cvss10分高危漏洞,可导致环境属性篡改
https://securityonline.info/cve-2025-41243-cvss-10-critical-spring-cloud-gateway-server-webflux-flaw-exposes-property-modification-risk/ Spring Cloud Gateway WebFlux高危漏洞(CVE-2025-41243,CVSS 10.0)允许攻击者篡改环境属性,影响4.3.0-4.3.x等版本。建议升级至修复版本或移除gateway配置并保护Actuator端点。
8、GPUGate恶意软件利用GitHub和谷歌广告进行隐蔽攻击
https://www.freebuf.com/articles/database/447864.html 北极狼(Arctic Wolf)安全研究人员发现了一种针对西欧用户的新型恶意软件活动,该活动通过谷歌广告传播并采用复杂规避技术。这款名为GPUGate的恶意软件通过伪造的GitHub Desktop安装程序分发有效载荷,攻击者利用可信平台绕过传统检测方法,诱使用户下载恶意软件。
9、黑客利用AI驱动的邮件攻击工具发起大规模钓鱼攻击
https://www.freebuf.com/articles/ai-security/447834.html 一款名为SpamGPT的新型高级网络犯罪工具包正被黑客用于发起大规模高效钓鱼攻击,该工具将人工智能技术与专业邮件营销平台功能相结合。这款在暗网以"垃圾邮件即服务"(spam-as-a-service)形式销售的平台,几乎实现了欺诈邮件操作的全流程自动化,大幅降低了犯罪分子的技术门槛。
10、Linux UAF漏洞(CVE-2024-50264)新型利用方式曝光
https://www.freebuf.com/articles/447833.html 研究人员发现一种新型利用技术,可成功绕过现代安全防护措施,通过Linux内核中复杂的释放后重用(Use-After-Free,UAF)漏洞获取root权限。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月09日
1、研究人员发现新型恶意软件GPUGate
https://arcticwolf.com/resources/blog/gpugate-malware-malicious-github-desktop-implants-use-hardware-specific-decryption-abuse-google-ads-target-western-europe/ 攻击者在一个合法的GitHub代码库中创建一个特定的提交,然后修改README文件并在其中包含恶意下载链接,该恶意下载链接会将用户重定向至攻击者创建的恶意网站,导致用户下载恶意软件。初始恶意程序是一个128MB的MSI文件,伪装成GitHub Desktop安装程序,其中包含
2、研究人员发现新型僵尸网络NightshadeC2
https://www.esentire.com/blog/new-botnet-emerges-from-the-shadows-nightshadec2 研究人员发现了一个新的僵尸网络,将其命名为“NightshadeC2”。该僵尸网络通过一个加载程序进行部署,该程序采用了一种绕过沙箱的方法,并利用一种研究人员称为“UAC Prompt Bombing”的技术将其添加至Windows Defender的排除项中。研究人员发现该僵尸网络存在C语言和Python两种版本,它们都与一个身份不明的命令与控制(C2)框架进行通信。C语言变种主要通过TCP端口7777、33336、33337和443
3、Tenable确认一起数据泄露事件
https://cybersecuritynews.com/tenable-confirms-data-breach/ Tenable已确认发生一起数据泄露事件,导致其部分客户的联系方式和支持案例信息泄露。该公司调查发现,未经授权的攻击者已访问了其Salesforce实例中存储的部分客户信息。泄露的数据信息仅限于Tenable的Salesforce环境中的数据,包括:常见的业务联系信息,如客户姓名、工作邮箱地址和电话号码;与客户账户相关的地区和位置信息;客户在创建支持案例时提供的主题和初始描述。Tenable指出,目前没有证据表明这些数据遭到恶意利用。
4、每周下载量超20亿的npm软件包遭大规模攻击劫持
https://www.freebuf.com/articles/web/447743.html 网络安全公司Aikido Security披露了npm生态有史以来最大规模的供应链攻击事件。攻击者通过钓鱼邮件入侵长期受信任的维护者qix的账户,篡改了包括chalk、debug和ansi-styles在内的18个流行软件包,这些软件包每周总下载量超过20亿次。
5、新型APT组织"嘈杂熊"针对哈萨克斯坦能源部门发起网络间谍活动
https://securityonline.info/noisy-bear-a-new-apt-group-is-spying-on-kazakhstans-energy-sector/ "嘈杂熊"APT组织自2025年起针对哈萨克斯坦能源部门,通过伪装成KMG内部邮件的鱼叉式钓鱼攻击,利用PowerShell加载器和DLL植入技术实施四阶段入侵,基础设施与俄罗斯关联密切。
6、GhostAction攻击窃取GitHub项目中3325个机密凭证
https://hackread.com/ghostaction-attack-steals-github-projects-secrets/ 2025年9月"GhostAction"供应链攻击通过恶意GitHub工作流窃取3325个机密凭证,影响817个代码库,涉及DockerHub、GitHub令牌等,是迄今最大规模GitHub工作流入侵事件。
7、cJSON库存在CVSS 9.8高危JSON解析漏洞
https://securityonline.info/cve-2025-57052-critical-json-parsing-flaw-in-cjson-with-cvss-9-8-poc-available/ cJSON库曝高危漏洞CVE-2025-57052(CVSS 9.8),解析JSON指针时数组边界检查失效,可导致内存越界访问、崩溃或权限提升。影响广泛,需更新修复循环条件判断。
8、Jackrabbit最新漏洞可导致JNDI注入与远程代码执行
https://securityonline.info/cve-2025-58782-apache-jackrabbit-vulnerability-exposes-systems-to-jndi-injection-and-rce/ Apache Jackrabbit组件曝JNDI注入漏洞(CVE-2025-58782),影响1.0.0-2.22.1版本,可致远程代码执行和数据泄露。建议立即升级至2.22.2版本并严格审查JNDI URI使用。
9、伪装成破解软件的Atomic窃密木马正针对macOS用户
https://cybersecuritynews.com/atomic-stealer-disguised-as-cracked-software/ macOS遭Atomic Stealer木马攻击,伪装破解软件窃取浏览器凭证、加密货币等数据,利用社会工程绕过安全措施,通过终端命令和复杂持久化机制传播,威胁个人和企业安全。
10、iCloud日历遭滥用:攻击者利用苹果服务器发送钓鱼邮件
https://www.anquanke.com/post/id/311972 攻击者正滥用iCloud日历邀请功能,通过苹果官方邮件服务器发送伪装成支付通知的回拨钓鱼邮件,大幅提升绕过垃圾邮件过滤器并进入目标收件箱的概率。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月08日
1、攻击者针对macOS用户传播AMOS窃密木马
https://www.trendmicro.com/en_us/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html 研究人员发现并分析了一起针对macOS用户的恶意软件攻击活动,该活动通过分发名为Atomic macOS Stealer(简称AMOS)的窃密软件来窃取用户数据。攻击者将恶意软件伪装成破解版的应用软件,以此诱骗用户进行安装。攻击者的另一种传播方式是诱骗用户将恶意命令粘贴到macOS终端中,这种方法可以绕过Gatekeeper,这是一种macOS的内置保护机制,通常会阻止未签名或未经验证的应用运行。
2、普利司通证实其北美工厂遭受网络攻击
https://www.bleepingcomputer.com/news/security/tire-giant-bridgestone-confirms-cyberattack-impacts-manufacturing/ 普利司通(Bridgestone)已确认正在调查一起网络攻击,该事件影响了其在北美部分制造工厂的运营。该公司认为,其团队做出了快速响应,按照既定协议遏制了此次问题,并且不认为任何客户数据或接口受到了损害。与此同时,该公司表示,其员工正在夜以继日地工作,以减轻对产品生产的影响。普利司通尚未回应此次攻击是否为勒索软件攻击,目前也没有任何勒索组织声称对此次攻击负责。
3、一个零日漏洞影响Sitecore的多款产品
https://cybersecuritynews.com/sitecore-zero-day-vulnerability/ 在Sitecore的多款产品中存在一个零日漏洞,可能允许攻击者远程执行代码。该漏洞被标识为CVE-2025-53690,源于一个ViewState反序列化缺陷,且正被攻击者积极利用。研究人员的调查显示,攻击者利用了在2017年及更早的Sitecore部署中包含的暴露的ASP.NET机器密钥。这些密钥允许攻击者绕过验证机制,向服务器发送有害的ViewState载荷,从而导致远程代码执行。Sitecore已确认该漏洞,并将其标记为SC2025-005。
4、SAP S/4HANA的零日漏洞正被恶意利用
https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/ 研究人员警告称,SAP S/4HANA中一个零日漏洞正在被攻击者所利用,以入侵暴露的服务器。该漏洞被标识为CVE-2025-42957(CVSS评分为9.9),它允许低权限的认证用户注入任意代码,绕过授权,并完全控制SAP系统。供应商已于2025年8月11日修复了该漏洞。然而,一些系统尚未应用可用的安全更新,攻击者已经将该漏洞武器化,对这些系统进行攻击。根据研究人员的一份报告,C
5、Argo CD存在一个高危漏洞
https://www.bleepingcomputer.com/news/security/max-severity-argo-cd-api-flaw-leaks-repository-credentials/ Argo CD的一个漏洞允许攻击者访问API端点并检索与该项目相关的所有代码库凭证。该漏洞被标识为CVE-2025-55190,CVSS v3评分为10.0。获得这些凭证的攻击者可以利用它们克隆私有代码库,注入恶意清单文件,尝试下游攻击,或转向使用相同凭证的其他资源。该漏洞影响Argo CD 2.13.0及之前的版本。该漏洞已在3.1.2、3.0.14、2.14.16和2.13.9
6、Django发布安全更新修复SQL注入漏洞
https://securityonline.info/cve-2025-57833-a-new-sql-injection-flaw-puts-django-web-applications-at-risk/ Django软件基金会已为其Python Web框架的多个版本发布了安全更新,修复了一个安全漏洞CVE-2025-57833(CVSS评分7.1),该漏洞可能允许攻击者执行SQL注入。当开发人员在查询中使用动态注解或别名时,此漏洞可能会被利用,允许恶意输入操纵SQL语句。此类漏洞可能导致未经授权的数据访问、篡改,甚至完全入侵应用数据库。
7、研究人员发现新型勒索软件Obscura
https://www.huntress.com/blog/obscura-ransomware-variant 研究人员发现了一种新型勒索软件,由于其勒索信的名称为“README_Obscura.txt”,并且勒索信内容中也多次提及Obscura,因此将其命名为Obscura勒索软件。在对该勒索软件进行分析时,研究人员没有发现任何提及Obscura勒索软件的公开报告。该勒索软件是一个使用Go语言编写的二进制文件,其中包含经过Base64编码的勒索信内容。
8、macOS漏洞可无需密码读取Keychain及解密iOS应用
https://www.anquanke.com/post/id/311929 在今天的 Nullcon Berlin 大会上,一名研究员披露了一个严重的 macOS 漏洞(CVE-2025-24204),该漏洞允许攻击者在 系统完整性保护(SIP) 启用的情况下,读取任意进程的内存,进而实现无需密码即可解密 Keychain 和 iOS 应用。
9、谷歌云与Cloudflare平台惊现潜伏三年的钓鱼攻击活动
https://cybersecuritynews.com/phishing-campaign-went-undetected-for-over-3-years/ 高级钓鱼攻击潜伏谷歌云和Cloudflare三年,利用过期域名克隆知名企业网站,针对高价值目标。攻击者通过智能伪装技术规避检测,根据访问者信息展示不同内容,托管超48,000虚拟主机,涉及军事、医疗等多行业,暴露出云服务安全缺陷。
10、攻击者利用虚假下载站点传播Odyssey窃密木马
https://www.cloudsek.com/blog/threat-actors-impersonate-microsoft-teams-to-deliver-odyssey-macos-stealer-via-clickfix 研究人员发现,攻击者正通过一个虚假的Microsoft Teams下载网站来诱骗用户下载恶意软件。当受害者复制运行该网站中提供的命令时,一个经过Base64编码的AppleScript窃密木马(即Odyssey)就会被执行。该恶意软件会窃取凭证、浏览器Cookie、Apple Notes以及多种加密货币钱包,将数据暂存到/tmp/out.zip 中,然后将其外
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

