Tenda AC20路由器缓冲区溢出漏洞分析
1.前言 七月底,在对 Tenda AC20 路由器 进行安全分析时,发现其固件在处理特定输入时存在 缓冲区溢出漏洞。 该漏洞源于程序在拷贝用户输入时缺乏有效的边界检查,攻击者可以通过构造恶意请求触发溢出,从而导致系统崩溃,甚至在某些场景下获得更高权限,进而完全控制设备。 经过多次验证与测试,确认该漏洞风险较高,对设备的安全性影响严重。 我整理了一份详细的技术报告,内容包括漏洞成因、复现方法及修复建议,并通过正规渠道提交给厂商及 CVE 分配机构。 近日,该漏洞已被正式收录,编号为 https://nvd.nist.gov/vuln/detail/CVE-2025-8939 。 2.漏洞概述 Tenda AC20 路由器被发现存在缓冲区溢出漏洞。攻击者可以通过向某些路径发送特制的 HTTP POST 请求来触发此漏洞,从而可能导致拒绝服务 (DoS) 攻击,甚至远程代码执行 (RCE)。 3.漏洞细节 AC20 路由器的最新固件可从腾达官网下载:AC20 升级软件 - https://www.tenda.com.cn/ 固件可以使用以下在线工具解压:https://zhiwanyuzhou.com/multiple_analyse/firmware/ 或者直接使用binwalk解包也是可以的,获得以下文件: 我们要找到/squashfs-root/bin/httpd 二进制文件。 因为httpd就是Tenda 路由器的 Web 管理后台进程,大部分家用路由器,包括 Tenda都提供一个 Web 管理界面,这个界面其实就是由路由器内部的一个小型 Web 服务器httpd提供的。 当用户在浏览器里访问路由器后台时,请求会被发送到路由器本地运行的 httpd 服务,这个二进制文件负责接收、解析 HTTP 请求,比如说登录、修改 Wi-Fi 密码、固件升级等,然后调用底层的系统函数或配置接口。 由于 httpd 要解析用户提交的数据,如果代码没有做好边界检查,就可能导致缓冲区溢出、命令注入等问题,这也是为什么路由器的很多漏洞,很常见的溢出、注入、未授权访问都集中在 httpd 这个二进制文件里。 解包文件里面还有dhttpd二进制文件,它与httpd最大的不同就在于httpd是Tenda 的主后台 Web 管理进程,就是能够对用户可见的路由器后台,而dhttpd则会用来跑一些非核心但需要 Web 接口的功能,像什么诊断、子模块或者是其他特定功能。 在Tenda AC 系列里,Web 管理界面并没有用第三方服务器,比如lighttpd,或者是boa之类的,而是厂商自己写的 httpd 二进制文件。 那么,所有 HTTP 请求直接由这个 httpd 处理,路由器后台的逻辑,像什么 Wi-Fi 配置、系统管理之类的也都在里面实现,所以漏洞就会出现在 httpd 本身。 换句话说,Tenda 的 httpd 本身就是 Web 服务 + 业务逻辑的二合一。 回到正题,我们在httpd文件中发现函数fromSetWifiGusetBasic有缓冲区溢出的风险。 可以看到这里的函数fromSetWifiGusetBasic,该函数会获取shareSpeed的值,然后将其复制到Var数组中,且没有进行长度检查,从而导致缓冲区溢出漏洞。 交叉引用后再往上翻就会发现它其实是有个前提条件的,那就是请求路径必须是WifiGuestSet。 这行代码的作用,是把 WifiGuestSet 这个字符串与具体的处理函数 fromSetWifiGuestBasic 绑定在一起。换句话说,只要有请求命中 WifiGuestSet,设备就会调用对应的函数去执行。 所以我们Poc的请求路径就应该是POST /goform/WifiGusetSet HTTP/1.1 。 路径前加 /goform/ 是 Tenda 固件的惯用套路,结合代码逻辑,基本可以确认。 4.漏洞验证 确定漏洞点之后,我们先把固件跑起来,模拟一个真实运行环境,更好让我们观察是否因为栈溢出而产生崩溃页面 找到 /bin/httpd 文件。要模拟环境,使用以下命令: sudo chroot ./ ./qemu-mipsel-static ./bin/httpd 等一会之后,直接上浏览器输入对应IP地址 192.168.102.145,就可以进入到AC20路由器页面。 跑起来之后,我们使用burpsuite进行一个发包测试,发送一堆垃圾数据到sharedSpeed。 可以发现192.168.102.145/main.html出现了崩溃信息。 而从终端也观察到分段错误,确认发生了栈溢出,也就是shareSpeed这里存在一个缓冲区错误。
网络安全日报 2025年09月05日
1、谷歌推出Chrome 140稳定版并修复多个安全漏洞 https://cybersecuritynews.com/chrome-140-released/ 谷歌已正式推出Chrome 140稳定版。此次更新带来了常规的稳定性和性能提升,但最主要的是修复了六个安全漏洞,其中包括一个可能导致远程代码执行的高危漏洞。该高危漏洞被标识为CVE-2025-9864,源于V8引擎中的释放后重用(Use-after-free)问题。攻击者可以通过操纵这种内存状态,制作一个恶意网页来触发该漏洞,这可能导致浏览器崩溃,甚至在最坏的情况下能够在受害者的系统上执行任意代码。强烈建议用户立即更新Chrome浏览器,以防范潜在的攻击风险。 2、CISA警告SunPower设备中存在一个高危漏洞 https://cybersecuritynews.com/cisa-warns-of-critical-sunpower-device-vulnerability/ 美国网络安全和基础设施安全局(CISA)发布了一项紧急通告,警告SunPower PVS6太阳能设备存在一个高危漏洞,该漏洞可能使攻击者获得对系统设备的完全控制权。该漏洞被标识为CVE-2025-9696(CVSS v4评分为9.4),源于设备蓝牙低功耗(BluetoothLE)接口中使用了硬编码的凭证。处于蓝牙范围内的攻击者可以利用这一漏洞访问设备的服务接口,从而能够替换固件、关闭发电、修改电网设置、创建SSH隧道、更改防火 3、PagerDuty确认其Salesforce数据遭到泄露 https://cybersecuritynews.com/pagerduty-confirms-data-breach/ PagerDuty确认一起安全事件,导致其存储在Salesforce中的部分数据遭到未经授权的访问。该公司声明,PagerDuty平台凭证并未遭到泄露,并强调此次泄露范围有限。得知数据泄露后,该公司立即禁用了Salesloft Drift对其Salesforce数据的访问,并正在进行持续的调查。可能被泄露的数据包括客户的联系信息,例如姓名、电话号码和电子邮件地址。尽管PagerDuty的核心服务和凭证仍然安全,但这些联系信息的泄露增加了其客户遭受定向网络钓鱼和和社会工程 4、恶意npm包仿冒Nodemailer劫持加密货币 https://www.anquanke.com/post/id/311853 网络安全研究人员发现一个恶意npm软件包,该包通过隐蔽功能向Windows系统上的Atomic和Exodus等加密货币钱包桌面应用注入恶意代码。这个名为nodejs-smtp的软件包仿冒了合法的电子邮件库nodemailer,不仅使用了完全相同的标语、页面样式和README描述,还自2025年4月由用户”nikotimon”上传至npm注册库以来,累计获得了347次下载。该软件包目前已下架。 5、ESPHome Web服务器认证绕过漏洞曝光 https://www.anquanke.com/post/id/311845 ESPHome项目(一个基于ESP32和ESP8266的智能家居设备开源固件框架)披露了一个关键漏洞,该漏洞会破坏其Web服务器组件的基础认证功能。该漏洞编号为CVE-2025-57808,CVSS评分为8.1(高危),攻击者可完全绕过认证,可能获取设备控制权,包括访问OTA(空中下载)固件更新功能。 6、XWiki 存在路径遍历漏洞 https://www.secrss.com/articles/82741 近日,奇安信CERT监测到官方修复XWiki 路径遍历漏洞(CVE-2025-55747、CVE-2025-55748),XWiki 对用户输入过滤不当导致路径遍历,攻击者可读取配置文件等敏感信息。目前该漏洞POC已公开。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 7、数百万台冰箱、冰柜等设备或因控制器漏洞面临失控风险 https://www.secrss.com/articles/82720 2025年9月4日综合开源消息,工业网络安全研究机构Armis Labs披露了一系列存在于Copeland E2和E3控制器中的关键漏洞,被统称为Frostbyte10。这些控制器广泛部署于零售、冷链物流、制药及商用建筑领域,承担着制冷、暖通空调(HVAC)、照明及楼宇管理系统(BMS)的核心控制功能。Frostbyte10漏洞的存在可能导致数百万台冷藏设备、冰箱及冷柜面临温控失控风险,不仅威胁食品和药品安全,还可能引发供应链中断和经济损失。 8、关键账号密码被盗,金融巨头超9.2亿元资金遭转账窃取 https://www.secrss.com/articles/82704 知名金融科技公司Sinqia的巴西央行实时支付系统业务环境发生一起未授权访问事件,攻击者窃取该公司IT供应商的合法账号,通过操作多笔转账交易盗窃了超9.2亿元资金;Sinqia的两家金融机构客户受影响,据悉其中一家是汇丰银行,Sinqia试图追回相关资金,目前进度尚未公布。 9、模型命名空间复用漏洞可劫持谷歌微软平台AI模型 https://www.freebuf.com/articles/ai-security/447324.html 一种名为"模型命名空间复用(Model Namespace Reuse)"的新型安全漏洞被发现,攻击者可利用该漏洞劫持谷歌Vertex AI和微软Azure AI Foundry等主流平台上的AI模型。Palo Alto Networks旗下Unit 42团队的研究显示,该漏洞源于AI模型采用的简易命名机制。 10、美国悬赏千万美元通缉涉嫌攻击关键基础设施的俄FSB官员 https://www.freebuf.com/articles/ics-articles/447323.html 美国国务院宣布悬赏最高1000万美元,征集关于俄罗斯联邦安全局(FSB)官员帕维尔·亚历山德罗维奇·阿库洛夫、米哈伊尔·米哈伊洛维奇·加夫里洛夫和马拉特·瓦列里耶维奇·秋科夫的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月04日
1、谷歌发布2025年9月安卓安全公告修复多个漏洞 https://securityonline.info/android-security-bulletin-september-2025-patches-actively-exploited-flaws-cve-2025-38352-cve-2025-48543-and-critical-rce/ 谷歌发布了2025年9月安卓安全公告,修复了其生态系统中的多个安全漏洞。本月的公告中涉及数十个安全漏洞,涵盖多个方面,包括安卓框架、系统、内核,以及来自第三方的组件。其中,两个安全漏洞CVE-2025-38352和CVE-2025-48543已被标记为正在被攻击者积极利用。安卓用户应立即应用最新的 2、高通修复两个高危安全漏洞 https://cybersecuritynews.com/critical-qualcomm-vulnerabilities/ 高通公司专有的数据网络堆栈(Data Network Stack)和多模呼叫处理器(Multi-Mode Call Processor)中出现了安全漏洞,允许远程攻击者执行任意代码。这些漏洞被标识为CVE-2025-21483和CVE-2025-27034,CVSS评分均为9.8。高通公司已为这两个安全漏洞发布了补丁,并直接向OEM厂商分发更新。 3、Palo Alto Networks受到Salesloft泄露事件影响 https://www.bleepingcomputer.com/news/security/palo-alto-networks-data-breach-exposes-customer-info-support-cases/ 在Salesloft Drift数据泄露事件中,攻击者滥用了被盗的OAuth令牌,成功入侵了Palo Alto Networks的Salesforce实例,导致其客户数据和支持案例遭到泄露。Palo Alto Networks证实,该事件仅影响其Salesforce CRM,并未影响任何产品、系统或服务。攻击者主要提取了业务联系方式和相关账户信息,以及内部销售账户记 4、捷豹路虎遭受网络攻击生产活动受到了严重干扰 https://www.bleepingcomputer.com/news/security/jaguar-land-rover-says-cyberattack-severely-disrupted-production/ 捷豹路虎(Jaguar Land Rover,JLR)表示,该公司遭受网络攻击并被迫关闭了部分系统。该公司表示,现阶段没有证据表明任何客户数据遭到泄露,但该公司的零售和生产活动受到了严重干扰。JLR表示此次事件迫使他们关闭了包括Solihull生产工厂在内的多个系统。该工厂负责生产Land Rover Discovery、Range Rover和Range Rover 5、NVIDIA发布多款产品安全更新修复高危漏洞 https://www.freebuf.com/articles/system/447039.html NVIDIA近日发布了一系列关键软件更新,修复了其BlueField DPU(数据处理器)、DOCA(数据中心基础设施架构)软件框架、Mellanox DPDK(数据平面开发工具包)、ConnectX网络适配器、Cumulus Linux和NVOS产品中的多个漏洞。其中部分漏洞评级为高危至严重级别,可能导致权限提升、拒绝服务及信息泄露等风险。 6、普渡机器人存在安全漏洞,黑客可劫持配送路径 https://cybersecuritynews.com/food-delivery-robots-can-be-hacked/ 普渡科技商用机器人存在严重安全漏洞,黑客可远程控制全球设备,导致送餐混乱、窃取文件甚至威胁医疗安全。研究员多次联系未果,最终迫使公司48小时内修复漏洞。公共场所机器人安全亟待加强。 7、联发科安全更新:修复多款芯片组中的多个漏洞 https://cybersecuritynews.com/mediatek-security-update/ 联发科紧急修复60多款芯片组调制解调器高危漏洞,包括三个无需用户交互的远程越界漏洞和三个中危内存损坏漏洞,敦促制造商立即更新补丁,目前未发现漏洞被利用。 8、谷歌关于"Gmail重大安全漏洞"的澄清:实为虚假警报 https://securityonline.info/no-there-was-no-major-gmail-security-breach/ 谷歌澄清"Gmail重大漏洞"报道失实,实为6月钓鱼攻击个案已解决。Gmail采用AI防御系统拦截99.9%恶意邮件,建议用户使用通行密钥增强防护。事件警示网络安全信息需准确传播,用户应提升辨别能力。 9、黑客利用 macOS 内置防护功能部署恶意软件 https://cybersecuritynews.com/hackers-leverage-built-in-macos-protection/ 攻击者正滥用macOS原生安全功能(钥匙串、SIP、TCC等)实施攻击,通过禁用Gatekeeper、卸载XProtect规避防御。企业需结合ESF日志、Sigma规则和第三方EDR增强检测,应对高级威胁。 10、Cloudflare确认遭遇供应链攻击,客户支持数据遭泄露 https://www.freebuf.com/articles/database/447045.html 知名网络服务提供商Cloudflare近日证实成为Salesforce CRM攻击事件的受害者,此次事件源于供应链环节遭到入侵。攻击者从Salesloft Drift AI聊天机器人窃取OAuth令牌,并利用这些令牌获取了对Salesforce账户的访问权限。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月03日
1、研究人员发现新型安卓恶意软件SikkahBot https://cyble.com/blog/sikkahbot-malware-defrauds-students-in-bangladesh/ 研究人员发现了一个名为“SikkahBot”的安卓恶意软件,该恶意软件自2024年7月起活跃,伪装成孟加拉国教育委员会的应用程序,专门针对孟加拉国的学生进行攻击。该恶意软件会窃取敏感的个人详细信息和支付信息,如钱包号码、PIN、支付类型等。该应用软件在安装时会要求获取高风险权限,如无障碍服务、短信访问、通话管理和浮窗权限,这些权限使其能够对设备进行深度控制。该恶意软件还会拦截银行相关短信,滥用无障碍服务在银行应用软件中自动填充凭据,并执行自动化U 2、Next.js框架中存在一个安全漏洞 https://cybersecuritynews.com/critical-next-js-framework-vulnerability/ Next.js框架中存在一个安全漏洞(CVE-2025-29927),该漏洞允许恶意攻击者完全绕过授权机制。此漏洞源于Next.js中间件执行过程中对x-middleware-subrequest标头处理不当。安全研究人员已证明,攻击者可以操纵HTTP标头来规避身份验证和授权控制,从而在没有正确凭据的情况下获得对受限区域的访问权限。该漏洞影响了多个版本的流行React网页框架,具体利用技术因所用版本不同而异。 3、Zscaler称其Salesforce中的数据遭到泄露 https://www.bleepingcomputer.com/news/security/zscaler-data-breach-exposes-customer-info-after-salesloft-drift-compromise/ 在安全通报中,Zscaler表示其Salesforce实例受到了此前供应链攻击的影响,导致客户信息泄露。在进行详细审查后,Zscaler已确定攻击者获得了对Zscaler某些Salesforce信息的有限访问权限,泄露的信息包括姓名、商务电子邮件地址、职位、电话号码、地区/位置详细信息、Zscaler产品许可和商业信息、部分支持案例的内容。该公司强调 4、农夫保险交易所披露一起数据泄露事件 https://cybersecuritynews.com/farmers-insurance-cyber-attack/ Farmers Insurance Exchange及其子公司近期披露了一起重大的安全事件,由于第三方供应商的数据库遭到未经授权的访问,约110万名客户的个人信息遭到泄露。该事件发生于2025年5月29日,是今年保险行业最大规模的数据泄露事件之一,影响了包含姓名、地址、出生日期、驾照号码和部分社会安全号码的客户记录。Farmers的研究人员指出,此次攻击专门针对包含保险保单持有人信息的客户数据库,这表明攻击者有意锁定高价值的个人数据。 5、新型攻击滥用Windows搜索功能分发窃密木马 https://www.anquanke.com/post/id/311761 Huntress研究人员经过一年追踪发现,ClickFix社交工程攻击(通过伪装验证码诱使用户执行恶意代码)正出现危险演变。最新分析显示,攻击者开始将ClickFix技术与Windows搜索协议滥用和PDF诱饵伪装相结合,最终投放自2022年活跃的商业化信息窃取软件MetaStealer。 6、HashiCorp Vault拒绝服务漏洞可致服务器崩溃 https://www.anquanke.com/post/id/311758 HashiCorp 发布安全公告,披露其广泛使用的机密管理平台 Vault 存在一项新漏洞。该漏洞编号为 CVE-2025-6203,CVSS 评分为 7.5(高危),攻击者可通过提交特制的 JSON 负载触发拒绝服务(DoS)攻击。 7、新型恶意软件伪装AI助手劫持用户电脑 https://www.anquanke.com/post/id/311788 安全研究人员Ryingo近日发布针对新型恶意软件”AI Waifu RAT“的详细分析,该后门程序通过伪装成创新技术渗透大型语言模型(LLM)角色扮演社区。这份被称作”利用社区对’元交互’和新颖AI能力兴趣的社会工程学大师课”的报告,揭示了威胁分子如何利用用户好奇心和信任分发恶意软件。 8、WhatsApp漏洞与苹果零日漏洞遭组合利用 https://www.anquanke.com/post/id/311781 WhatsApp 已修复一个关键的零点击漏洞,该漏洞曾在针对苹果用户的高级攻击行动中被利用。这一漏洞编号为 CVE-2025-55177,据称与苹果近期披露的零日漏洞(CVE-2025-43300)被联合使用,用于在完全无需用户交互的情况下投递间谍软件。 9、冒牌PDF编辑器分发TamperedChef信息窃取木马 https://www.anquanke.com/post/id/311798 近期,研究人员发现网络威胁团伙利用 Google 广告 推广多个伪造网站,以“免费 PDF 编辑软件”为诱饵,向用户投递名为 TamperedChef 的信息窃取型恶意软件。此次行动规模庞大,至少涉及 50 个域名,这些站点托管着伪装应用,并使用来自 至少四家公司 的欺诈性数字签名证书。研究人员指出,攻击者手法精心策划,甚至在广告投放初期并未立刻激活恶意功能,而是等广告覆盖一定用户量后再远程下发恶意更新,从而提高感染率。 10、Cloudflare成功防御史上最大DDoS攻击11.5Tbps流量冲击 https://www.freebuf.com/news/446935.html 今年5月中旬,Cloudflare宣布成功抵御了破纪录的7.3Tbps分布式拒绝服务(DDoS)攻击。时隔数月,该公司再次披露里程碑事件——成功拦截峰值达11.5Tbps、每秒51亿数据包(Bpps)的超大规模攻击,创下互联网攻防战史上最高记录。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月02日
1、攻击者通过虚假广告传播Brokewell安卓恶意软件 https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide 攻击者正在滥用Meta广告平台,通过提供虚假的TradingView高级版应用程序来传播Brokewell安卓恶意软件。此次攻击活动从2025年7月22日开始,目前攻击者已投放了大约75个恶意广告。Brokewell安卓恶意软件自2024年初出现以来,已具备广泛的功能,包括窃取敏感数据、远程 2、攻击者利用虚假AI网站传播恶意软件 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/malicious-screen-connect-campaign-abuses-ai-themed-lures-for-xworm-delivery 研究人员近期发现了一个网络攻击活动,攻击者滥用虚假的AI网站诱骗用户执行一个恶意的、预先配置好的ScreenConnect安装程序。一旦用户安装该程序,ScreenConnect客户端就会隐蔽地建立一个由攻击者控制的远程会话,从而执行后续的攻击链。研究人员发现在远程会话期间,攻击者会投放多个文件,以执行进程注入、持久 3、内华达州IT系统遭受网络攻击 https://cybersecuritynews.com/nevada-it-systems-hit-by-cyberattack/ 8月24日,内华达州政府网络遭受了一次网络攻击,此次网络攻击影响了电子邮件、公共记录访问和内部沟通渠道,迫使所有州政府部门关闭运营48小时。攻击者利用一个未打补丁的VPN网关进行入侵,这使得攻击者获取了内部网络访问权限。在数小时内,攻击者部署了一个定制的恶意软件有效载荷,旨在提升权限、在关键服务器间横向移动,并窃取敏感数据。 4、银狐APT黑客组织利用驱动漏洞攻击win10/11系统 https://www.anquanke.com/post/id/311746 一个被归因于“银狐”(Silver Fox)APT组织的复杂攻击行动浮出水面。该组织正在利用一个此前未公开的漏洞驱动程序,针对现代Windows环境实施攻击。此次行动利用的是 WatchDog反恶意软件驱动(amsdk.sys,版本1.0.600)——这是一个基于Zemana反恶意软件SDK构建的微软签名组件。攻击者滥用其任意进程终止能力,能够在已完整打补丁的Windows 10和11系统中绕过EDR和杀毒软件(AV)的防护,而不会触发基于特征码的检测机制。 5、Google警告Salesloft 漏洞波及部分Workspace账户 https://www.anquanke.com/post/id/311697 Google 最新通报显示,Salesloft Drift 平台遭遇的入侵事件比最初披露的范围更大。攻击者除了窃取 Salesforce 实例中的数据外,还利用被盗的 OAuth 令牌访问了少量 Google Workspace 邮箱账户。 6、CISA 警告Citrix NetScaler零日漏洞正遭广泛利用 https://www.anquanke.com/post/id/311702 美国网络安全与基础设施安全局(CISA)近日紧急发布警告,指出 Citrix NetScaler 系统中存在一个严重的零日漏洞(编号 CVE-2025-7775),该漏洞已被攻击者积极利用。由于风险极高,该漏洞已于 2025 年 8 月 26 日被立即纳入 CISA“已知被利用漏洞”(KEV)目录。 7、Nx NPM包遭供应链攻击,周下载量高达460万次 https://www.anquanke.com/post/id/311717 研究人员披露,一起复杂的供应链攻击入侵了 Nx NPM 包——一款由 AI 驱动的单体仓库(monorepo)构建系统,每周下载量超过 460 万次。此次事件导致大量开发者的敏感凭证泄露至公开可访问的 GitHub 仓库。 8、Linux UDisks守护进程曝本地提权漏洞 https://securityonline.info/cve-2025-8067-linux-privilege-escalation-flaw-found-in-udisks-daemon-poc-releases/ Linux的UDisks守护进程存在严重漏洞(CVE-2025-8067,CVSS 8.5),允许非特权用户通过D-Bus创建循环设备时利用负值索引触发越界读取,可能导致拒绝服务或本地提权。建议立即更新至修复版本udisks2 2.10.91或2.10.2。 9、联发科芯片组高危漏洞可致权限提升或DoS攻击 https://securityonline.info/mediatek-september-2025-security-bulletin-high-severity-modem-flaws-could-enable-remote-attacks/ 联发科披露多款芯片组高危漏洞,包括三个可通过恶意基站远程攻击的调制解调器漏洞,可能导致权限提升或拒绝服务。中危漏洞需本地系统权限。建议用户及时更新设备固件修复漏洞。 10、NeuVector严重漏洞可导致Kubernetes集群被完全接管 https://securityonline.info/cve-2025-8077-cvss-9-8-critical-flaw-in-neuvector-exposes-kubernetes-clusters-to-full-takeover/ NeuVector容器安全平台存在高危漏洞CVE-2025-8077(CVSS 9.8),5.4.5及更早版本因硬编码默认密码可致Kubernetes集群被完全控制,需立即升级至5.4.6或手动修改密码。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年09月01日
1、瑞典200个市政因IT供应商遭袭受影响 https://www.aftonbladet.se/nyheter/a/dRXkqO/befarad-cyberattack-mot-flera-kommun-och-regionsystem 瑞典IT系统供应商Miljödata近日遭遇网络攻击,导致全国超过200个市政系统出现访问中断。Miljödata为约八成瑞典市政提供工作环境与人力资源管理系统,广泛用于医疗证明、工伤与事件报告等关键业务。攻击者疑似窃取敏感数据,并向公司勒索约1.5枚比特币(约16.8万美元),否则将公开信息。多地政府已发布公告,警告可能存在个人数据泄露风险。瑞典民防部长表示,政府正联合CERT-SE和警方展开调查 2、开源PBX平台FreePBX零日漏洞遭利用 https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203 开源PBX平台FreePBX近日曝出零日漏洞,攻击者正大规模利用暴露在公网的管理员控制面板入侵系统。Sangoma安全团队已确认自8月21日起存在在野攻击,并紧急发布EDGE模块补丁,完整安全更新预计随后推送。已遭利用的服务器出现配置文件异常、恶意脚本、可疑日志及数据库异常用户等迹象,部分用户报告数千SIP分机和数百中继受影响。专家警告,该漏洞可让攻击者执行Asterisk用户权限下的任意命令。 3、TransUnion数据泄露影响440万人 https://www.bleepingcomputer.com/news/security/transunion-suffers-data-breach-impacting-over-44-million-people/ 美国三大征信机构之一TransUnion确认遭遇数据泄露,约440万美国用户个人信息受影响。事件源于其Salesforce账户被黑,攻击者疑为ShinyHunters或UNC6395组织,实际窃取数据量或超1300万条。泄露信息包含姓名、住址、电话、邮箱、出生日期及完整社保号等高度敏感数据,还涉及客户申请信用报告等交易原因及客服工单内容。公司强调核心信用报告未受影响,并为 4、MathWorks遭勒索攻击致1万人数据外泄 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/7c84e106-7404-4ea6-bbae-3642bff30457.html MATLAB与Simulink开发商MathWorks确认其网络在今年4月遭勒索软件攻击,导致10476名个人敏感信息被窃取。公司5月曾披露该事件,并将部分内部与客户服务中断(如MFA认证、SSO、许可证中心及云服务)归因于此次攻击。根据提交给美国多州检方的通知,泄露数据可能包括姓名、住址、出生日期、社会安全号或其他国家身份证号码。尽管事件已过去数月,但 5、VS Code扩展命名漏洞被滥用 https://www.reversinglabs.com/blog/malware-vs-code-extension-names 安全研究人员发现Visual Studio Code Marketplace存在漏洞,攻击者可重新使用已删除扩展的名称发布恶意扩展。ReversingLabs分析发现,一款名为“ahbanC.shiba”的恶意扩展与今年3月被下架的“ahban.shiba”等扩展行为相似,均可下载外部PowerShell载荷,对用户桌面“testShiba”文件夹进行加密,并要求以柴犬币支付赎金。研究表明,该漏洞允许删除的扩展名再次被注册,而不像“取消发布”的扩展那样受限。这 6、美财政部制裁朝鲜IT远程骗薪计划 https://home.treasury.gov/news/press-releases/sb0230 美国财政部外国资产控制办公室(OFAC)宣布对两名个人及两家实体实施新制裁,指其参与朝鲜远程IT工作者计划,为该国大规模杀伤性武器及导弹项目筹资。涉事对象包括俄罗斯公民Vitaliy Andreyev、朝鲜官员金雄善,以及沈阳金丰里网络科技有限公司和朝鲜新进贸易公司。调查显示,该计划通过伪造身份在美国等地企业就职,利用GitHub、Freelancer等平台获取岗位,并借助AI工具打造虚假履历、完成工作任务,部分情况下还暗中植入恶意软件窃取和勒索数据。自2021年以来,该计划通过加密货币 7、Passwordstate修复紧急访问绕过漏洞 https://www.clickstudios.com.au/passwordstate-changelog.aspx 企业密码管理软件Passwordstate的开发商Click Studios宣布已修复一处高危身份验证绕过漏洞,该漏洞存在于紧急访问页面,可通过构造特定URL实现绕过。该问题在2025年8月28日发布的Passwordstate 9.9(Build 9972)版本中得到修补。此次更新还增强了浏览器扩展的防护,以应对近期研究人员披露的基于DOM的点击劫持攻击,防止用户在访问恶意站点时敏感数据(包括登录凭证和TOTP码)被窃取。Passwordstate目前拥有约2.9万客户 8、FBI与荷兰警方取缔假证平台VerifTools https://www.justice.gov/usao-nm/pr/us-government-seizes-online-marketplaces-selling-fraudulent-identity-documents-used FBI与荷兰警方联合行动,成功关闭了知名假证交易平台VerifTools,并在阿姆斯特丹查获其服务器。该平台长期提供伪造的驾驶证、护照等身份文件,以协助用户绕过身份验证系统,从事银行诈骗、钓鱼、福利欺诈及逃避追责等犯罪活动,甚至被年轻人用于规避年龄限制。调查显示,VerifTools自2022年起提供假证服务,价格低至9美元,并主要通过加密货币收款,非法收益 9、攻击者滥用Velociraptor与Teams进行渗透 https://news.sophos.com/en-us/2025/08/26/velociraptor-incident-response-tool-abused-for-remote-access/ 网络安全研究人员披露,不明威胁行为者正滥用开源取证工具Velociraptor,在受害系统中下载并执行Visual Studio Code,用于建立指向攻击者控制的C2隧道。攻击链利用Windows msiexec从Cloudflare Workers下载MSI文件安装Velociraptor,再通过PowerShell加载VS Code隧道功能实现远程访问和代码执行。研究指出,这类行为或 10、 国家育儿补贴政策遭利用,黑产组织借机窃取敏感数据 https://cybersecuritynews.com/utg-q-1000-group-weaponizing-subsidy-schemes/ UTG-Q-1000组织利用中国育儿补贴政策实施金融诈骗,通过专业分工和复杂技术手段(如动态加载器、加密URL)绕过安全检测,窃取个人信息。该组织会员制运作,攻击成功率可追踪,凸显网络安全防御的紧迫性。 声明 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年08月29日
1、Salesloft OAuth漏洞致Salesforce数据泄露 https://trust.salesloft.com/?uid=Drift%2FSalesforce+Security+Update 安全研究人员披露,黑客利用Salesloft平台中与Drift AI聊天代理相关的OAuth与刷新令牌,发起大规模数据窃取行动,影响超700家组织。攻击活动由UNC6395实施,目标为Salesforce实例,攻击者导出大量企业数据,包括AWS密钥、密码及Snowflake访问令牌,并具备较强的反取证意识,曾删除查询记录以规避追踪。Salesloft已在8月20日确认问题并主动撤销Drift与Salesforce的连接,Salesforce随后也宣布已使相关 2、首例AI驱动勒索软件PromptLock现身 https://www.welivesecurity.com/en/ransomware/first-known-ai-powered-ransomware-uncovered-eset-research/ ESET披露首个由人工智能驱动的勒索软件“PromptLock”,该程序基于OpenAI新发布的开源模型gpt-oss:20b,通过Ollama API在本地实时生成Lua脚本,用于文件枚举、数据窃取与加密。该勒索软件由Golang编写,具备跨平台能力,可运行在Windows、Linux及macOS系统上,并使用SPECK 128位加密算法。与传统勒索软件不同,PromptLock生成的 3、盲眼鹰组织多集群攻击哥伦比亚 https://www.recordedfuture.com/research/tag-144s-persistent-grip-on-south-american-organizations 网络安全研究人员披露,威胁组织“盲眼鹰”(Blind Eagle)在2024年5月至2025年7月间开展了五个独立攻击集群,主要针对哥伦比亚各级政府机构,并波及金融、能源、教育、医疗等多个行业。该组织使用钓鱼邮件冒充政府部门,结合URL缩短服务和被入侵邮箱投递恶意文档,植入多种远控木马(RAT),如Lime RAT、AsyncRAT和Remcos RAT。攻击基础设施依赖动态DNS、VPN、以及Dis 4、全球性UpCrypter钓鱼攻击针对Windows用户 https://www.anquanke.com/post/id/311523 网络安全研究人员发现针对Windows设备的钓鱼邮件数量激增。据Fortinet旗下FortiGuard实验室监测,黑客正在利用UpCrypter加载器展开攻击活动,该工具可安装多种远程访问工具(RAT),使攻击者能长期维持对受感染机器的控制。 5、CISA紧急警告:Git代码执行漏洞正遭黑客利用 https://www.anquanke.com/post/id/311567 美国网络安全与基础设施安全局(CISA)近日警告称,黑客正在利用分布式版本控制系统 Git 中存在的任意代码执行漏洞发动攻击。该漏洞已被纳入 CISA 的“已知被利用漏洞(KEV)”目录,并要求美国联邦机构最迟于 9 月 15 日前完成修补。Git 是目前主流的软件版本控制工具,广泛应用于软件开发团队进行代码变更管理,也是 GitHub、GitLab、Bitbucket 等协作平台的核心基础。 6、新型AI攻击将数据窃取指令隐藏于缩小图像中 https://www.anquanke.com/post/id/311537 研究人员开发了一种新型攻击,通过在AI系统处理的图片中注入恶意提示,从而盗取用户数据。这种方法依赖于全分辨率的图片,这些图片在经降质处理后,肉眼无法察觉其中的指令,但当图像质量因重新采样算法而降低时,隐藏的内容便会显现出来。 7、CrushFTP被发现存在身份验证绕过漏洞 https://www.secrss.com/articles/82432 CrushFTP 是由 CrushFTP LLC 开发的文件传输服务器软件。CrushFTP 的主要用途是提供安全、可靠的文件传输服务。近日,奇安信CERT监测到官方修复CrushFTP 身份验证绕过漏洞(CVE-2025-54309),该漏洞产生于CrushFTP在处理AS2证书时存在缺陷,未正确实施DMZ代理功能,导致远程攻击者可以通过条件竞争获得管理员访问权限。目前该漏洞POC已在互联网上公开且已经存在在野利用,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。 8、卫星网络遭精准攻击,伊朗关键货运船队海上失联细节披露 https://www.secrss.com/articles/82399 黑客组织Lab-Dookhtegan连续数月对伊朗基础设施展开系统性攻击。近日,他们主动联系独立网络间谍调查员Nariman Gharib,披露了一起最新行动的细节。就在8月,他们发动了一轮大规模打击。今年3月,他们曾对116艘伊朗船只发起攻击破坏通信,以此展示了自己的实力。他们公布的新一轮行动证据更为惊人:64艘船彻底与外界失联,导航系统被清空,数字化破坏如此严重,以至于部分船只可能数月内都无法恢复。 9、思科Nexus交换机存在高危拒绝服务漏洞 https://www.freebuf.com/articles/network/446309.html 思科系统公司发布安全公告,详细披露了影响运行NX-OS系统的Cisco Nexus 3000和9000系列交换机的高危拒绝服务(Denial of Service,DoS)漏洞。该漏洞编号为CVE-2025-20241,CVSS评分为7.4分,可能允许未经认证的相邻攻击者破坏核心网络运行。 10、NVIDIA发布NeMo框架安全更新修复多个高危漏洞 https://www.freebuf.com/articles/ai-security/446175.html NVIDIA已为其NeMo框架发布新版软件更新,修复了多个可能允许攻击者执行任意代码、提升权限、窃取敏感信息及篡改数据的高危漏洞。这些漏洞影响所有平台,依赖NeMo进行AI和自然语言处理(NLP)工作流程的组织及开发者需立即安装补丁。 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
某路由器二进制漏洞挖掘过程
1.前言 半个月前,我在对Wavlink品牌WL-NU516U1型号路由器进行安全测试时,发现其管理界面存在一处命令注入漏洞。 该漏洞源于系统对用户输入过滤不严,攻击者可通过特制的HTTP请求在设备中执行任意系统命令,从而完全控制设备。 经过深入分析与验证,确认该漏洞具有高危害性,可导致设备被完全接管。 我写了详细的技术报告,包括漏洞成因、利用方式和修复建议,并通过正规渠道向Wavlink厂商及CVE机构提交。 近日,该漏洞已正式获得CVE编号CVE-2025-9149。 https://www.wavlink.com/en_us/index.html2.漏洞概述 Wavlink是一家专注于网络设备和通信解决方案的公司,提供优质的路由器、扩展器和网络配件。其下的WAVLINK-NU516U1型号的固件,功能用于提供打印机服务器网卡,其管理后台存在命令注入漏洞,允许攻击者完成os命令执行。 固件下载地址: https://docs.wavlink.xyz/Firmware/fm-516u1/ 3.漏洞详情 对固件binwalk -Me [固件位置] 解包 binwalk -Me WAVLINK-NU516U1-WO-A-2024-04-25-b516aec-GDBYFM.bin 获得其解包文件,而我们要找到/squashfs-root/etc/lighttpd/www/cgi-bin中的wireless.cgi二进制文件, 它的位置在 cgi-bin目录下,它是Lighttpd Web服务器的一个后端CGI程序。 当用户通过浏览器访问路由器的管理界面,比如说随便点击“无线设置”页面提交表单时,Lighttpd Web服务器会接收到这个HTTP请求。 Web服务器根据请求的URL,判断需要由哪个CGI程序来处理,对于无线设置相关的请求,它就会找到并执行这个 wireless.cgi文件。 wireless.cgi程序开始运行,它解析HTTP请求中的数据,比如你提交的表单项,然后可能会调用其他系统工具,如内置的 iwconfig、wpa_supplicant,或者直接读写配置文件, /etc/config/wireless来执行具体的无线网络配置更改。 处理完毕后,wireless.cgi会生成一个HTTP响应,比如一个成功响应的HTML页面,并将其输出到标准输出。 Web服务器捕获到这个输出,并将其打包成完整的HTTP响应,发送回给用户的浏览器。 与用户浏览器直接进行网络通信的是 Lighttpd Web服务器。 wireless.cgi是一个被Web服务器调用的后台程序,负责处理具体的业务逻辑。它是间接与外界通信的关键环节。 所以,这个wireless.cgi虽不直接与外界进行通信,但是它却负责处理用户从外部输入的数据,比如说HTTP请求参数,如果它对这些输入的处理不当,例如没有经过严格过滤就直接拼接成系统命令,就非常容易产生命令注入、缓冲区溢出等漏洞。 找到之后,拿IDA打开,观察其函数,先看main函数,首先用了fgets函数获取标准输入,拿到了用户提交的page参数值。 sub_405EA8函数将page参数值设置为GuestWifi,会跳转进入sub_4032E4函数。 sub_4032E4函数内,获取了Guest_ssid参数值,该值可以post传参可控,而且这段代码是典型的“功能开关”设计,程序在处理HTTP请求参数时,会依次读取多个配置值。 从参数名可以推断,guestEn代表 “Guest Enable”,即访客网络功能的总开关,代码首先获取这个开关的值 (v2 = sub_405EA8("guestEn", a1,0));,并将其保存到变量 v4中,而Guest_ssid是依赖项,Guest_ssid是访客网络功能下的一个子配置项,它的逻辑处理必然依赖于总开关 guestEn是否开启。 随后Guest_ssid参数值被传入sub_407504函数内。 而往上看会发现,必须v4为1,才会去执行sub_407504函数,否则就会跳到label_11的地方去,而v4在往上看则能够发现是字符串guestEn的值。 所以构造poc的时候,必须将guestEn设置为1 而在sub_407504函数中,在其中拼接给v8变量,交给system函数执行,产生了命令注入。 所以我们只需要构造page=GuestWifi&guestEn=1&Guest_ssid=1.txt就可以产生命令注入漏洞。 4.漏洞验证 首先使用工具将Wavlink模拟起来,这里选择了FrimAE sudo ./run.sh -r Wavlink /home/fuzz/Wavlink/WAVLINK-NU516U1-WO-A-2024-04-25-b516aec-GDBYFM.bin 检查名为"httpd"的进程是否正在运行 设备正在运行 lighttpd Web服务器,其配置文件位于 /etc/lighttpd/lighttpd.conf 在浏览器打开F12,观察其Cookie,好帮助我们接下来发包的时候顺利。 接下来进行一个发包测试,将数值写入到poc.txt文件中,观察Wavlink路由器文件是否会出现poc.txt,且里面是否有我们注入的内容。 可以发现已经成功注入进去了,证明这里确实存在命令注入漏洞。
网络安全日报 2025年08月28日
1、MixShell恶意软件瞄准美供应链制造商 https://research.checkpoint.com/2025/zipline-phishing-campaign/ 安全研究人员披露,一场名为“ZipLine”的社会工程攻击行动正在针对美国关键供应链制造企业投放内存型恶意软件MixShell。攻击者并非通过常见的钓鱼邮件,而是利用企业官网的“联系我们”表单发起交流,经过数周专业化沟通并伪造保密协议(NDA),最终递送含有武器化ZIP文件的恶意载荷。目标涵盖机械、金属加工、半导体、消费品、生物技术及制药等领域,并波及新加坡、日本和瑞士。MixShell通过LNK与PowerShell加载,具备DNS隧道通信、远程命令执行、持久化及 2、HOOK银行木马新增勒索功能扩展指令集 https://zimperium.com/blog/hook-version-3-the-banking-trojan-with-the-most-advanced-capabilities 研究人员发现Android银行木马HOOK出现新变种,新增全屏勒索覆盖功能,可向受害者显示动态生成的钱包地址与赎金金额,强迫其付款。该功能由C2命令“ransome”触发,“delete_ransome”可移除覆盖。HOOK源自ERMAC木马,具备窃取凭证、滥用辅助功能、远程操控、窃取加密货币钱包数据等能力。最新版本已支持107个远程指令,其中38个为新增,包括伪造NFC扫描、假冒解锁界面窃取PIN码 3、Sni5Gect攻击实现5G降级与手机崩溃 https://thehackernews.com/2025/08/new-sni5gect-attack-crashes-phones-and.html 新加坡科技设计大学ASSET研究组开发的开源工具Sni5Gect揭示了一种无需伪造基站即可攻击5G网络的新方法。该框架可在5G用户设备(UE)与基站建立连接前的未加密阶段,嗅探并实时解码通信信息,再注入恶意消息,从而导致手机基带崩溃、指纹识别或将5G降级至存在已知漏洞的4G网络。研究显示,该攻击在五款主流智能机上测试,信息嗅探准确率达80%,消息注入成功率70%-90%,有效距离可达20米。与此前发现的5Ghoul漏洞研究相关,Sni5G 4、Citrix修复三处NetScaler漏洞且确认已遭利用 https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938 Citrix发布安全更新,修复NetScaler ADC和NetScaler Gateway中的三处严重漏洞,其中CVE-2025-7775(CVSS 9.2)已被确认在野外遭到利用,可导致远程代码执行或拒绝服务。另两处漏洞为CVE-2025-7776(CVSS 8.8,内存溢出)及CVE-2025-8424(CVSS 8.7,管理接口访问控制不当)。受影响版本包括NetScaler 13.1、14.1、FIPS及NDcPP,官方已 5、法国零售巨头欧尚数十万客户信息泄露 https://www.zataz.com/nouveau-piratage-auchan-cartes-fidelite-exposees/ 法国零售集团欧尚(Auchan)披露一起数据泄露事件,数十万名客户的会员账户相关信息遭未授权访问。受影响数据包括姓名、称谓与客户状态、住址、邮箱、电话号码及会员卡号,但银行数据、密码和PIN码未受影响。公司已向受害客户发出通知,并报告法国数据保护监管机构CNIL。欧尚提醒客户警惕利用泄露信息实施的网络钓鱼攻击,并强调绝不会通过邮件、短信或电话索取登录凭证或卡片PIN码。欧尚在欧洲及非洲13国拥有2100余家分支,雇员超过15万人,此次事件突显法国大型 6、ShadowSilk利用TG机器人攻击中亚及亚太地区36个政府目标 https://www.freebuf.com/articles/database/446125.html 网络安全公司Group-IB近日披露,一个名为ShadowSilk的黑客组织对中亚和亚太地区(APAC)的政府机构发起了一系列新型攻击。该组织已入侵近36个目标,主要目的是窃取敏感数据。分析显示,ShadowSilk与已知的黑客组织YoroTrooper、SturgeonPhisher和Silent Lynx在工具集和基础设施方面存在重叠。 7、新型Zip Slip漏洞允许攻击者在解压过程中操纵ZIP文件 https://www.freebuf.com/articles/system/446128.html 网络安全研究人员发现了一种新型Zip Slip漏洞变种,威胁行为者可以利用该漏洞攻击广泛使用的解压工具中的路径遍历缺陷。攻击者通过构造包含特殊相对路径文件名的恶意压缩包来实施攻击。当不知情的用户或自动化系统解压这些文件时,恶意文件会被写入预期解压目录之外的位置,可能覆盖关键系统或应用程序二进制文件。 8、Chrome紧急修复AI发现的ANGLE高危漏洞 https://www.freebuf.com/articles/ai-security/446030.html 近日,谷歌为Chrome稳定版发布关键安全更新,修复了ANGLE(支撑WebGL及其他渲染任务的图形引擎)中的释放后重用(use-after-free)漏洞。该漏洞编号为CVE-2025-9478,于2025年8月11日被发现——发现者并非人类研究员,而是谷歌AI agent “Big Sleep”。 9、WinRAR 零日漏洞遭黑客大规模利用 https://cybersecuritynews.com/winrar-0-day-vulnerabilities/ WinRAR曝出两个高危零日漏洞(CVE-2025-6218和CVE-2025-8088),攻击者可通过恶意压缩包实现远程代码执行。全球5亿用户受影响,漏洞已被整合进APT工具包。建议立即更新软件,加强文件监控和用户培训,防范多阶段攻击。 10、首个“AI勒索软件”出现:恶意行为代码由大模型动态生成 https://www.secrss.com/articles/82443 一种新型勒索软件日前被发现。据称这是首个利用本地AI模型生成恶意组件的勒索软件变种。该恶意软件由ESET研究团队发现并命名为“PromptLock”。它通过Ollama API调用OpenAI的gpt-oss:20b模型,生成定制化、跨平台的Lua脚本,用于其攻击链。 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年08月27日
1、UNC6384劫持门户投递PlugX攻击外交官 https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/ Google威胁情报团队披露,黑客组织UNC6384于2025年3月起发动针对东南亚外交官及全球部分机构的攻击活动。该组织通过劫持网络“强制门户”(Captive Portal)流量并结合中间人攻击(AitM)、社交工程及合法代码签名证书投递恶意程序。攻击者伪装为“Adobe插件更新”网页,使用由Let's Encrypt签发的合法TLS证书增强可信度,引导目标下载伪造的AdobePlugins.exe 2、Google推出开发者实名制阻止恶意应用 https://android-developers.googleblog.com/2025/08/elevating-android-security.html Google宣布,自2026年9月起将在巴西、印尼、新加坡和泰国实施新规,要求所有Android开发者完成身份验证,不论其应用是否通过Google Play分发。该措施旨在防止恶意开发者利用虚假身份快速重新发布恶意应用,提升开发者责任追踪。自2025年10月起,Google将分阶段邀请开发者注册,至2026年3月全面开放。已在Play Console完成验证的开发者无需额外操作,而学生和业余开发者将有独立账户类型。Google指出 3、谷歌下架含恶意代码1900万次下载的应用 https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa Zscaler ThreatLabs披露,Google Play近日清除77款累计下载量超1900万次的恶意Android应用。这些应用涉及多类恶意代码,其中约三分之二含广告软件组件,最常见的是Joker木马,占比近25%。Joker可读取短信、截屏、拨号、窃取联系人及设备信息,并偷偷订阅付费服务。研究人员还发现其变种Harly伪装成游戏、壁纸、工具类应用,隐 4、CISA将Citrix与Git漏洞列入KEV目录 https://www.cisa.gov/news-events/alerts/2025/08/25/cisa-adds-three-known-exploited-vulnerabilities-catalog 美国网络安全与基础设施安全局(CISA)宣布,将三项已遭利用的安全漏洞纳入“已知被利用漏洞”(KEV)目录,涉及Citrix Session Recording与Git。其一是CVE-2024-8068,因权限管理不当,攻击者可在同域环境下提升至NetworkService权限;其二是CVE-2024-8069,源于反序列化漏洞,允许有限的远程代码执行;两者均已于2024年11月修 5、社交媒体定位追踪调查报告:X/Twitter成用户位置数据"跟踪狂" https://securityonline.info/revealed-the-social-media-app-thats-a-stalker-for-your-location-data/ 研究发现YouTube收集位置数据最少,X/Twitter最激进,七维度全追踪。应用通过GPS、Wi-Fi等技术隐蔽定位,VPN效果有限。建议关闭个性化设置、撤销GPS权限以保护隐私。 6、全球性攻击前兆:针对Windows RDP的扫描活动激增 https://securityonline.info/a-storm-is-coming-a-massive-coordinated-attack-is-probing-rdp-connections/ 安全警报:微软RDP遭全球性攻击,2000+恶意IP同步探测认证接口,利用时序攻击识别有效账户,教育机构成高危目标。攻击规模远超基准,或预示后续凭证攻击和新漏洞风险。 7、Tableau Server高危漏洞允许上传任意恶意文件 https://cybersecuritynews.com/tableau-server-vulnerability/ Tableau Server存在严重漏洞(CVE-2025-26496,CVSS 9.6),允许恶意文件上传和代码执行,影响多个版本。建议立即升级至最新维护版本,防止服务器沦陷和数据泄露。 8、国产开源BI工具DataEase曝光两个远程代码执行漏洞 https://securityonline.info/two-rce-vulnerabilities-found-in-open-source-bi-tool-dataease/ DataEase BI工具曝两高危漏洞(CVE-2025-57772/57773),可致远程代码执行和任意文件写入,影响2.10.11及以下版本,建议立即升级至2.10.12修复。 9、Chrome 0day漏洞野外利用攻击曝光,代码已公开 https://www.freebuf.com/articles/445967.html 谷歌近日披露了Chrome浏览器V8 JavaScript引擎中存在一个关键零日漏洞(CVE-2025-5419)。在补丁尚未全面推送前,该漏洞的概念验证(PoC)利用代码已被公开,且已观测到有针对性的野外攻击活动。 10、新型隐蔽恶意软件利用TP-Link、思科等路由器漏洞获取远控权 https://www.freebuf.com/articles/network/445791.html 安全研究人员近期发现针对多品牌网络设备的新型恶意软件攻击活动,受影响设备包括DrayTek、TP-Link、Raisecom和思科等厂商的路由器。2025年7月期间,攻击者通过利用嵌入式Web服务中的未授权命令注入漏洞传播隐蔽加载程序。 以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页