网络安全日报 2025年06月11日
1、俄罗斯AI聊天机器人公司泄露超过500名Canva创作者信息 https://hackread.com/limited-canva-creator-data-expose-ai-chatbot-database/ 近日,网络安全公司UpGuard发现,俄罗斯AI聊天机器人公司My Jedai运营的一套Chroma数据库在线暴露,泄露了超过500名Canva创作者的电子邮件地址及其对平台的反馈信息。此次数据曝光源自一份详细调查问卷,涉及报酬、使用体验及AI技术应用等内容,共计571个邮箱及大量个人化回答。尽管数据库大部分内容为通用资料,但该部分涉及实际用户身份和创作经验,引发对AI系统中敏感数据管理的担忧。数据库托管在爱沙尼亚IP下,缺乏任何认证保护,属 2、谷歌修复可能泄露账户绑定电话号码的漏洞 https://www.bleepingcomputer.com/news/security/google-patched-bug-leaking-phone-numbers-tied-to-accounts/ 安全研究员BruteCat近日披露,谷歌曾存在一项严重漏洞,攻击者可借助用户名和部分手机号信息,暴力破解出与任意谷歌账号绑定的完整手机号。该攻击方式利用的是谷歌一套已废弃但仍在线的“无JavaScript用户名找回”表单,该页面缺乏现代防护机制。BruteCat利用IPv6地址轮换绕过限速机制,并通过模拟有效BotGuard令牌绕过验证码验证,构建了高效的暴力破解工具,能够每秒发起4 3、Mirai变种利用Wazuh服务器的一个高危漏洞发起攻击 https://www.govinfosecurity.com/mirai-botnets-exploit-flaw-in-unpatched-wazuh-servers-a-28624 安全研究公司Akamai近日披露,至少两个Mirai僵尸网络正在利用Wazuh服务器中一个高危漏洞(CVE-2025-24016)发起攻击,这是该漏洞首次在野外被利用。Wazuh是一款开源的威胁检测与响应平台,亦为SIEM解决方案。该漏洞CVSS评分高达9.9,允许通过未过滤的JSON输入执行远程Python代码,攻击者可轻松入侵未打补丁的Wazuh服务器。Mirai本为感染物联网设备(如路由器、摄像头等) 4、美司法部扣押与朝鲜黑客诈骗案相关的774万美元加密货币 https://securityaffairs.com/178810/cyber-crime/doj-seize-7-74m-linked-to-north-korean-it-worker-scam.html 美国司法部(DOJ)近日发起民事没收程序,要求没收价值774万美元的加密货币和数字资产,这些资产与朝鲜伪装IT人员获取美国远程职位、为朝鲜政府创收的非法活动有关。该行动源于2023年4月起诉朝鲜外贸银行代表Sim Hyon Sop的案件,此人涉嫌协助IT人员洗钱,并通过NFT购买、小额转账和链间跳转等手法隐匿资金来源。据DoJ说明,朝鲜政府派遣大量技术人员以假身份接触区块链等公司远程 5、思科警告 ISE 和 CCP 存在公开漏洞代码 https://www.anquanke.com/post/id/308319 思科发布了补丁,以解决其身份服务引擎(ISE)和客户协作平台(CCP)解决方案中公共利用代码的三个漏洞。 6、Qilin勒索软件攻击利用了Fortinet的关键漏洞 https://www.anquanke.com/post/id/308307 Qilin勒索软件操作最近加入了利用两个Fortinet漏洞的攻击,这些漏洞允许绕过易受攻击的设备上的身份验证并远程执行恶意代码。 7、Apache Kafka多个高危漏洞安全风险 https://www.secrss.com/articles/79610 Kafka官方修复多个安全漏洞:Apache Kafka客户端任意文件读取漏洞(CVE-2025-27817)是由于在 SASL/OAUTHBEARER 和 SASL JAAS 配置中未对 URL 和登录模块进行严格限制,从而造成的客户端的敏感数据和内网信息泄露;Apache Kafka远程代码执行漏洞(CVE-2025-27818、CVE-2025-27819)则分别因允许使用 LdapLoginModule 和 JndiLoginModule ,可能触发 Java 反序列化漏洞,进而导致远程代码执行或拒绝服务攻击 8、新型安卓银行木马正在全球蔓延,可完全控制安卓设备 https://www.freebuf.com/news/434061.html 一种名为Crocodilus(鳄鱼)的新型安卓银行木马已成为全球重大威胁,该恶意软件具备高级设备控制能力,可使网络犯罪分子对受感染智能手机实施前所未有的操控。 9、Meta暗中追踪数十亿安卓用户 https://www.freebuf.com/articles/database/434109.html Meta(Facebook)与Yandex采用高隐蔽性追踪技术,通过本地主机套接字实施网页到应用的跨进程通信,潜在影响全球数十亿安卓用户。该技术使Facebook、Instagram等原生安卓应用能静默接收来自数万网站中Meta Pixel脚本传输的浏览器元数据、Cookie及指令,成功将移动浏览会话关联至用户身份,规避了标准隐私防护机制。 10、恶意软件通过篡改《对峙2》外挂侵害玩家 https://www.freebuf.com/news/434103.html 帕洛阿尔托网络公司(Palo Alto Networks)旗下威胁情报部门Unit 42近日发现,一种名为Blitz的隐蔽型Windows平台恶意软件正通过篡改版手游《对峙2》作弊程序实施攻击。这场最初以游戏作弊为诱饵的恶意活动,已演变为具备多阶段攻击能力的综合性威胁——不仅窃取敏感数据、劫持系统资源进行加密货币挖矿,还滥用Hugging Face Spaces等合法平台建立命令控制(C2)通道。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
行业认可 | 蚁景科技入选《嘶吼2025网络安全产业图谱》
日前,备受瞩目的《嘶吼2025网络安全产业图谱》震撼发布,过去一年间,网络安全产业格局持续演变,新的技术趋势不断涌现。嘶吼安全产业研究院通过全面的市场调研与数据分析,对收录企业进行筛选,重点展示综合能力较高或具有代表性的企业,为行业用户提供更精准的行业参考指南。本次图谱共涉及八大类别,128个细分领域。 蚁景科技作为可靠的网络安全人才培养服务提供商,成功入选该图谱“攻防对抗与演练”类别下的“网络靶场”细分领域和“安全培训”类别下的“技术人才培训 ”细分领域。 【攻防对抗与演练】 【安全培训】 本次入选《嘶吼2025网络安全产业图谱》,是网安行业权威研究机构对蚁景科技企业实力和品牌影响力的高度认可。 未来,蚁景科技将继续坚持优化人才培养、技术创新和产业发展的良性生态。这意味着公司将致力于培养更多的网络安全专业人才,推动技术的创新和应用,并为网络安全能力的全面提升贡献力量。 关于蚁景科技: 湖南蚁景科技有限公司,作为专业的“网络安全人才培养服务提供商”,致力于配合国家网络安全人才培养战略,精准对接行业人才市场的需求。公司秉承提升网络安全实战能力为核心的培养目标,紧密结合用人单位在网络安全岗位上的技能要求,提供前沿、系统且专业的网络安全实战技能培训。同时,也针对政企单位、科研院所等行业客户,量身定制网络安全培训方案,以满足其特定的培训需求。 此外,蚁景科技紧密结合高校网络安全人才培养体系,基于对“互联网+教育”的精准把握,依托自主研发的网络安全人才实训平台——蚁景网安实验室,高效构建多样化的网络安全实验场景,全面满足高校教师的在线实验教学需求,同时也为网络安全爱好者提供了优质的在线实操学习环境。
2025网络安全高级研修班 · 邀请函
为了深入贯彻习近平总书记关于建设网络强国的战略思想,响应“十四五”规划中对网络安全教育与人才培养的明确要求,把握当前国际国内网络安全教育工作面临的新形势,增强网络安全领域专业教师在信息系统安全课程中的实践教学技能,深化对行业实践和技术发展的理解,推动高等院校网络安全专业学科建设和实战教学水平的全面提升。针对网络安全CTF竞赛、网安实战实训等网安教学热点需求,特举办此次“2025年网络安全高级研修班”。 一、组织单位 指导单位:中国网络空间安全人才教育论坛 主办单位:湖南蚁景科技有限公司 二、培训内容 1、CTF竞赛与文件操作 了解CTF的起源、竞赛模式以及如何学习CTF。学习文件上传漏洞和文件包含漏洞的利用方法,以及如何通过这些漏洞获取shell。 2、SQL注入 介绍MySQL注入的基础知识,包括联合查询注入、文件操作、宽字节注入、堆叠查询。学习布尔盲注和延时盲注的技巧,以及如何利用报错注入。 3、跨站脚本攻击与XML外部实体注入 掌握XSS漏洞的利用方法,并通过对综合题目的讲解加深理解。了解XML外部实体注入的原理,并学习XXE的综合利用方法。 4、反序列化 学习PHP反序列化漏洞的原理,包括字符逃逸技巧和Phar反序列化。探讨Python Pickle反序列化和YAML注入的相关知识。 5、AWD线下赛与CTF真题讲解 了解AWD+_Break_Fix_CD赛制,并学习AWD基础与攻击防护。通过对CTF真题的讲解,加深对CTF竞赛题目的理解。 三、培训对象 全国高校、职业院校计算机相关专业(信息安全、计算机科学与技术、网络安全、信息科学与工程、软件工程、网络工程等)专业负责人、学科带头人、专业骨干教师、实验室人员等。 四、预期收获 1、CTF竞赛知识:掌握CTF竞赛的基础知识和学习方法,为参与CTF竞赛打下坚实的基础。 2、安全漏洞利用:学会识别和利用常见的安全漏洞,如文件上传、文件包含、SQL注入、XSS攻击和XML外部实体注入等。 3、反序列化攻击:理解反序列化漏洞的原理,并掌握PHP和Python环境下的反序列化攻击技巧。 4、攻防实战经验:通过AWD赛制的学习,获得网络安全攻防的实战经验。 5、真题分析能力:通过对CTF真题的讲解,提升分析和解决实际CTF题目的能力。 6、安全防护意识:增强对网络安全威胁的认识,学习如何进行有效的攻击防护。 7、结业证书:获得由蚁景科技颁发的培训结业证书。 五、培训安排 1、培训方式:线下会议 / 线上直播 2、培训时间:2025年7月28日-8月1日(7月27日报到) 3、培训地点:湖南长沙 4、会议规模:100人 六、报名方式 1、报名时间:即日起至2025年7月27日 2、报名邮箱:edu@yijingsec.com 3、电话咨询:黄老师 18774948349 4、培训费用:3680元/人(含培训资料,路费和住宿费用自理,自备电脑) 5、付款方式:      ◆ 线上汇款: (请务必在备注栏里注明“学校名+参会者姓名”)         公司名称:湖南蚁景科技有限公司         开户行名称:建设银行长沙金星支行         开户行账号:4305 0178 4836 0000 0935      ◆ 现场缴费:现金、扫码或刷卡(银行卡、公务卡均可)  具体课程内容 扫描下方二维码即可报名:
网络安全日报 2025年06月10日
1、伪装成合法应用程序的恶意npm包远程删除应用 https://www.scworld.com/news/fake-npm-utilities-remotely-delete-entire-app-directories 安全公司Socket披露,两个伪装为合法开发工具的恶意NPM软件包被发现具备远程删除应用目录的破坏性功能。这两个名为express-api-sync与system-health-sync-api的工具包由用户“botsailer”于2025年6月3日上传至NPM平台,目前已被官方下架。其中,express-api-sync号称能同步Express应用数据库,实则注册了一个隐藏HTTP接口/api/this/that,一旦 2、新的Mirai变种利用命令注入漏洞大规模感染TBK DVR设备 https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/ 安全研究人员发现,一个新的Mirai僵尸网络变种正在大规模利用数字录像机(DVR)中的命令注入漏洞(CVE-2024-3721),将设备纳入其控制之下。该漏洞影响TBK Vision的DVR-4104与DVR-4216型号设备,由安全研究员“netsecfish”于2024年4月披露,并提供了可执行远程命令的漏洞利用PoC代码。卡巴斯基在其Linux蜜罐中捕获到了该漏洞的活跃利用行为。攻击者通过构造特定的POST 3、研究人员揭露了一起针对NPM的新型供应链攻击事件 https://securityaffairs.com/178772/malware/over-950k-weekly-downloads-at-risk-in-ongoing-supply-chain-attack-on-gluestack-packages.html 网络安全公司Aikido Security揭露了一起针对NPM生态的重大供应链攻击事件,攻击者成功篡改了Gluestack框架中16个广泛使用的react-native-aria相关软件包,影响超过95万次的每周下载量。此次攻击始于美东时间6月6日下午4点33分,最初针对react-native-aria/focus包发布了 4、微软协助CBI捣毁日本技术支持诈骗案背后的印度呼叫中心 https://thehackernews.com/2025/06/microsoft-helps-cbi-dismantle-indian.html 印度中央调查局(CBI)于2025年5月28日展开“Chakra V行动”,联合日本国家警察厅与微软,成功捣毁两个位于德里、哈里亚纳邦和北方邦的非法呼叫中心,逮捕6名涉案人员。这些犯罪团伙冒充微软等跨国公司技术支持,利用社交工程手段欺骗日本民众,谎称其设备遭黑客入侵,从而诱导其转账至“骡子账户”。CBI在19处地点搜查并查获大量电子设备和证据。微软表示,自2024年5月以来,已协助下线约66000个恶意域名和URL,并指出犯罪团伙还使用生成式 5、攻击者利用ClickFix诱骗苹果用户下载AMOS窃密软件 https://www.freebuf.com/articles/endpoint/433906.html 网络安全研究人员近日发现一种新型恶意软件攻击活动,攻击者利用ClickFix社会工程学手段诱骗用户在苹果macOS系统上下载名为Atomic macOS Stealer(AMOS)的信息窃取程序。 6、基于Rust的新型木马针对Chromium内核浏览器进行窃密 https://www.freebuf.com/news/434046.html 近日,研究人员发现一款采用Rust语言编写的新型信息窃取恶意软件,它能够从基于Chromium内核和Gecko内核的网页浏览器中提取敏感数据。 7、黑客利用iMessage零点击漏洞攻击iPhone用户 https://www.freebuf.com/articles/endpoint/433950.html 网络安全公司iVerify发现,苹果iMessage中存在一个此前未知的零点击漏洞(zero-click vulnerability),已被复杂威胁行为者用于攻击美国和欧盟地区的知名人士。该漏洞代号"NICKNAME",影响iOS 18.1.1及更早版本,苹果已在iOS 18.3中静默修复。 8、思科ISE关键漏洞影响AWS、微软Azure及Oracle云基础设施部署 https://securityaffairs.com/178659/uncategorized/critical-flaw-in-cisco-ise-impacts-cloud-deployments-on-aws-microsoft-azure-and-oracle-cloud-infrastructure.html 思科修复ISE关键漏洞(CVE-2025-20286,CVSS 9.9),云部署中相同版本和平台会共享凭证,攻击者可跨实例访问敏感数据或破坏服务。建议限制IP访问并重置凭证。 9、美国360万创作者隐私数据因数据库未加密保护遭泄露 https://hackread.com/unsecured-database-exposes-passion-io-creators-data/ 网络安全团队发现Passion.io平台未加密数据库泄露360万用户敏感信息,含姓名、地址及支付明细,存在严重滥用风险。公司迅速响应修复漏洞。专家建议企业强化认证、加密数据、检测配置错误、定期审计并加强安全培训,以防范类似事件。 10、Dell PowerScale OneFS系统高危漏洞允许完全控制系统 https://www.freebuf.com/articles/system/433960.html 研究人员发现 Dell PowerScale OneFS 系统存在一个严重漏洞(CVE-2023-32484),该漏洞在通用漏洞评分系统(CVSS)中获得 9.8 分的高危评级。攻击者无需身份验证即可利用此漏洞完全控制系统。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月09日
1、Play勒索团伙利用SimpleHelp漏洞实施双重勒索 https://www.theregister.com/2025/06/04/play_ransomware_infects_900_victims/ FBI联合多国网络安全机构披露,Play勒索软件团伙已攻击超过900家机构,近期更利用SimpleHelp远程访问工具的高危漏洞(CVE-2024-57727)发起新一轮攻击。该组织采用双重勒索手法,先窃取并加密敏感数据,再通过恐吓手段施压受害者付款。除了邮件勒索,攻击者还直接拨打电话给机构客服或员工进行威胁。Play团伙常利用旧漏洞获取初始访问权限,如FortiOS和Exchange漏洞,并重编译恶意代码以规避检测工具。安全专家警告,该团伙 2、Sophos追踪发现超百个后门恶意项目源自一个GitHub用户 https://www.theregister.com/2025/06/05/backdoored_malware_repos/ Sophos近期调查发现,一个名为“ischhfd83”的GitHub用户疑似单独或以小团体形式,创建了超过141个嵌入后门的项目,目标对象是初级黑客和游戏外挂爱好者。研究人员指出,这些项目往往伪装成远控木马或游戏作弊工具,其中超过半数宣称是“游戏辅助”,24%伪装为漏洞利用或攻击工具。项目普遍通过Visual Basic中的PreBuild事件植入恶意下载命令,感染尝试使用代码的“攻击者”自身。大部分项目还利用GitHub Actions自动提交,制造活跃维护假 3、LockBit遭受打击导致俄语网络犯罪集团分裂 https://www.govinfosecurity.com/lockbit-crackdown-fragmented-russian-cybercrime-groups-a-28585 国际执法机构对LockBit勒索软件团伙的打击重创了该勒索软件团伙,包括扣押其关键服务器、逮捕核心成员等,导致俄语黑产群体内部分裂与信任崩塌。英国国家警察局网络犯罪部门的Jeremy Banks在伦敦InfoSec Europe会议上指出,这一变局促使越来越多英语国家的黑客团体浮出水面,主要来自美、英、澳等国,虽然技术水平较低,但攻击手法简单有效。Scattered Spider被点名为典型代表,涉嫌攻击 4、美国悬赏1000万美元通缉RedLine恶意软件开发者 https://securityaffairs.com/178712/cyber-crime/u-s-offers-10m-bounty-for-info-on-redline-malware-creator-and-state-hackers.html 美国国务院近日宣布,通过“正义奖励计划”悬赏高达1000万美元,用于获取与RedLine信息窃取木马及其幕后人员有关的情报,重点追查疑似与外国政府有关的网络攻击者及RedLine开发者马克西姆·鲁多梅托夫(Maxim Rudometov)。该恶意软件曾用于攻击美国关键基础设施,并广泛传播于全球。鲁多梅托夫出生于1999年,长期管理RedLi 5、施耐德家用设备中存在未修复的缓冲区溢出漏洞 https://www.govinfosecurity.com/unpatched-buffer-overflow-in-schneider-home-devices-a-28584 施耐德电气近日披露其Wiser系列智能家居设备存在一个未修补的远程缓冲区溢出漏洞(CVE-2023-4041),漏洞评分高达9.3分,攻击者可借此在设备固件更新过程中注入恶意代码或绕过身份验证,进而远程控制设备。受影响产品包括已停产的Wiser AvatarOn 6K Freelocate和Wiser Cuadro H 5P Socket。由于产品生命周期已结束,施耐德建议用户禁用固件更新功能或更换设备。该漏洞 6、Mozilla推出新系统拦截盗取加密货币的恶意扩展程序 https://www.bleepingcomputer.com/news/security/mozilla-launches-new-system-to-detect-firefox-crypto-drainer-add-ons/ Mozilla近日宣布,在Firefox扩展插件平台上部署一项全新安全系统,专门用于识别并阻止盗取加密货币的恶意扩展程序。这些恶意插件通常伪装成知名钱包扩展,诱骗用户安装后窃取其私钥和加密资产。Mozilla表示,该系统通过为每个加密钱包扩展生成风险画像,一旦超过预设阈值,便会自动触发警报并交由人工审查。若确认为恶意插件,将立即下架并封锁。据统计,2024年加密 7、美国税务公司Optima遭勒索攻击导致客户数据泄露 https://www.bleepingcomputer.com/news/security/tax-resolution-firm-optima-tax-relief-hit-by-ransomware-data-leaked/ 美国知名税务解决公司Optima Tax Relief近期遭遇Chaos勒索软件攻击,黑客不仅加密了其服务器,还窃取并公开了69GB公司及客户数据。攻击事件已被该勒索团伙列入其泄密网站。Optima自称为美国领先的税务和债务解决机构,已协助客户解决超30亿美元税务负债。本次泄露的数据包含大量敏感客户档案和企业资料,其中涉及社保号码、电话、住址等关键个人信息,极有可 8、黑客在俄语地下论坛上公开泄露超过8600万条AT&T客户记录 https://hackread.com/hackers-leak-86m-att-records-with-decrypted-ssns/ 2025年6月,黑客在俄语地下论坛上公开泄露了超过8600万条AT&T客户记录,包括已解密的社会安全号码(SSN)、出生日期、地址等完整个人身份信息。该数据据称源自2024年4月ShinyHunters组织入侵Snowflake云平台事件。然而经Hackread.com分析,泄露数据结构清晰、格式规范,与此前AT&T确认的Snowflake泄露存在出入,尚无法确认是否为同一事件的数据集。更令人担忧的是,这些SSN原本为加密状态,现已被完全解密,极大提升 9、德国数据监管机构对沃达丰处以4500万欧元罚款 https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/EN/2025/06_Geldbu%C3%9Fe-Vodafone.html 德国联邦数据保护与信息自由专员(BfDI)对沃达丰德国公司处以总额达4500万欧元的罚款,原因是其数据保护管理存在严重漏洞,导致客户数据遭受利用。其中1500万欧元罚款源于沃达丰未能对其代理合作伙伴进行充分监督,致使部分代理员工伪造合同或擅自更改客户协议,构成欺诈行为。另一项3000万欧元罚款则针对沃达丰“MeinVodafone”线上服务与热线系统联用中的身份验证缺陷,漏洞一度允许未经授权的第三方访问用户 10、VMware NSX XSS 漏洞允许攻击者注入恶意代码 https://www.anquanke.com/post/id/308197 VMware NSX网络虚拟化平台中的多个跨站点脚本(XSS)漏洞可能允许恶意行为者注入和执行有害代码。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年06月06日
1、新型安卓银行木马Crocodilus在全球范围内迅速扩散 https://securityaffairs.com/178578/malware/android-banking-trojan-crocodilus-evolves-fast-and-goes-global.html 近期安全研究公司ThreatFabric披露,一款名为“Crocodilus”的新型安卓银行木马正在全球范围内迅速扩散。该恶意软件最初活跃于土耳其,现已蔓延至欧洲多国及南美地区。攻击者通过社交媒体上的恶意广告传播该木马,诱导用户下载安装伪装成银行或购物应用的恶意程序。一旦感染设备,Crocodilus可窃取加密钱包助记词、私钥,并伪造联系人如“银行客服”,实施社交工程诈骗。 2、惠普发布安全公告修复StoreOnce中的多个漏洞 https://securityaffairs.com/178629/security/hpe-fixed-multiple-flaws-in-its-storeonce-software.html 惠普(HPE)近日发布安全公告,修复了其StoreOnce数据备份与重复数据删除解决方案中存在的8个漏洞。这些漏洞涵盖远程代码执行、认证绕过、信息泄露、服务端请求伪造等严重风险,可能被远程攻击者利用对系统进行入侵或获取敏感数据。其中最严重的为CVE-2025-37093认证绕过漏洞,CVSS评分高达9.8,影响所有4.3.11版本之前的软件,且可被与其他漏洞联动使用,实现远程代码执行。此次修复的 3、Coinbase数据泄露事件与印度TaskUs客服受贿有关 https://www.bleepingcomputer.com/news/security/coinbase-breach-tied-to-bribed-taskus-support-agents-in-india/ 加密货币交易平台Coinbase近期披露的一起数据泄露事件,已被追踪至印度外包公司TaskUs的客服人员。据路透社调查,攻击者通过贿赂方式操控部分客服代理,窃取用户敏感信息用于后续的社会工程攻击。事件最初于2025年1月被内部员工发现,一名员工被目击使用手机拍摄屏幕内容,随后两人承认向外部黑客泄露Coinbase客户数据换取金钱回报。Coinbase于5月正式对外披露此事件, 4、Windows认证强制攻击对企业网络构成重大威胁 https://cybersecuritynews.com/windows-authentication-coercion-attacks/ Windows认证强制攻击2025年仍威胁企业网络,利用MS-RPRN等合法服务漏洞获取管理员权限。微软防护措施对新安装有效,但升级系统存漏洞。企业需全面实施签名和通道绑定以应对持续威胁。 5、最新研究揭示云端大语言模型防护机制的成效与缺陷 https://cybersecuritynews.com/gaps-in-cloud-based-llm-guardrails/ 主流云端大语言模型安全机制存在重大漏洞,三大平台在有害内容拦截与误报率上差异显著。研究发现角色扮演攻击最易绕过过滤,暴露当前系统过度依赖关键词检测而缺乏深度意图分析的缺陷,凸显AI安全防御亟待加强。 6、黑客利用语音钓鱼攻击入侵Salesforce客户并窃取数据 https://www.csoonline.com/article/4001744/hackers-use-vishing-to-breach-salesforce-customers-and-swipe-data.html 黑客组织UNC6040通过假冒IT支持人员诱骗员工授权恶意Salesforce应用,窃取企业数据并勒索。攻击利用OAuth协议,横向移动至其他云服务。建议最小权限、监控访问、启用MFA防范。类似手法在近期多起攻击中出现。 7、思科警告UCS IMC与NDFC系统存在高危SSH安全漏洞 https://securityonline.info/cisco-warns-of-high-severity-ssh-security-flaws-in-ucs-imc-and-ndfc-systems/ 思科发布两个高危漏洞CVE-2025-20261(CVSS 8.8)和CVE-2025-20163(CVSS 8.7),影响UCS及Nexus系列产品,可能导致权限提升和中间人攻击,建议立即升级固件或禁用SSH。 8、DataVisor发布《2025年欺诈与反洗钱执行报告》 https://www.helpnetsecurity.com/2025/05/29/ciso-ai-fraud-war/ 欺诈者正利用AI技术领先实施深度伪造等诈骗,75%机构认为防御方落后。第一方欺诈和系统割裂加剧风险,需构建AI治理框架和统一防御体系。实时分析、行为监测和FRAML方案是关键,平衡风控与用户体验至关重要。 9、Sophos揭露Sakura RAT:黑客用后门恶意软件黑吃黑 https://securityonline.info/sophos-unmasks-sakura-rat-hackers-hacking-hackers-with-backdoored-malware/ Sophos发现Sakura RAT木马伪装开源项目,通过GitHub传播,针对黑客和游戏作弊者。该木马植入后门窃取信息,利用多种技术混淆攻击链,涉及141个仓库。攻击者伪造活跃开发记录,身份疑似与恶意软件服务网络有关。 10、混沌远控木马借虚假网络工具攻击Windows与Linux系统 https://thehackernews.com/2025/06/chaos-rat-malware-targets-windows-and.html 安全研究人员发现跨平台恶意软件Chaos RAT正伪装成Linux网络工具传播,可控制设备并窃取数据。其开源特性被APT组织利用,增加溯源难度,最新变种针对加密货币用户,窃取钱包信息。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
Solon框架模板漏洞深度剖析与修复实战
前言 分析发现 Solon 框架在3.1.0版本上存在一个有意思的模板漏洞,对这个漏洞进行简单分析后,发现整个漏洞的利用链是非常有意思的。同时发现最新版的修复方式过于简单,询问 AI 后,AI 也认为修复也是不完善的安全修复,于是进行一系列的绕过尝试,最后还是没有利用成功,简单进行分享。 环境搭建 Solon 框架简介 Solon 是一个轻量级的 Java 应用开发框架,类似于 Spring Boot ,但更加轻量。支持多种模板引擎,包括 Beetl、FreeMarker、Velocity 等。在模板处理方面,Solon 采用了灵活的渲染器映射机制,也是出现这个漏洞的关键原因。 测试环境搭建 https://solon.noear.org/start/build.do?artifact=helloworld_jdk8&project=maven&javaVer=1.8&&可以下载 solon 的项目模板 并进行修改 修改一下 pom.xml 文件 设置 solon 的版本为 3.1.0 将原本的视图插件 solon-view-freemarker 替换为以下的任意一种 <dependency>    <groupId>org.noear</groupId>    <artifactId>solon-view-enjoy</artifactId> </dependency> <dependency>    <groupId>org.noear</groupId>    <artifactId>solon-view-beetl</artifactId> </dependency> <dependency>    <groupId>org.noear</groupId>    <artifactId>solon-view-thymeleaf</artifactId> </dependency> <dependency>    <groupId>org.noear</groupId>    <artifactId>solon-view-velocity</artifactId> </dependency> ‍ 在 DemoController.java 中 添加代码 并启动运行    @Mapping("/templates")    public ModelAndView templates(Context ctx) throws IOException {        ModelAndView modelAndView = new ModelAndView(ctx.param("templates"));        return modelAndView;   } 漏洞验证与分析 漏洞验证 我们选用视图插件solon-view-velocity,不同的视图插件对跨目录的处理有所不同,之后会对此进行详细解释 <dependency>    <groupId>org.noear</groupId>    <artifactId>solon-view-velocity</artifactId> </dependency> 可以看到传入的参数通过 ../ 实现了跨目录的文件读取并将内容解析到页面上 核心调用链分析 通过调试对这个漏洞进行分析 遇到这种情况有一个小的 tips 我们可以通过尝试加载一个不存在的文件,这样 idea 的控制台中会输出相对详细的调用链,方便我们下断点进行调试分析。 org.noear.solon.core.handle.RenderManager#render 这里会根据文件后缀来选择视图插件,如果没有匹配的就选择用默认渲染器来处理 org.noear.solon.view.velocity.VelocityRender#render org.noear.solon.view.velocity.VelocityRender#render_mav org.apache.velocity.runtime.RuntimeInstance#getTemplate(java.lang.String, java.lang.String) org.apache.velocity.runtime.resource.ResourceManagerImpl#getResource ‍ 整体流程顺下来应该是 用户输入 → Context.param() → ModelAndView() → RenderManager.render()→ 模板引擎处理 在模板引擎处理之前没有对模板文件的路径进行处理和限制,这样一来如果模板引擎处理的时候没有对模板文件的路径进行处理时,就会产生任意文件读取漏洞。 我们可以尝试看看利用别的视图插件看看效果如何。 solon-view-freemarker 为什么不可以 我们看到 freemarker 对 模板文件的路径进行了处理,不允许跨目录的访问 org.noear.solon.view.freemarker.FreemarkerRender#render org.noear.solon.view.freemarker.FreemarkerRender#render_mav freemarker.template.Configuration#getTemplate(java.lang.String, java.lang.String) freemarker.template.Configuration#getTemplate(java.lang.String, java.util.Locale, java.lang.Object, java.lang.String, boolean, boolean) freemarker.cache.TemplateCache#getTemplate(java.lang.String, java.util.Locale, java.lang.Object, java.lang.String, boolean) 调用 name = templateNameFormat.normalizeRootBasedName(name); 来对传入的模板文件名进行处理 freemarker.cache.TemplateNameFormat.Default020300#normalizeRootBasedName 对传入的参数进行规范化处理,以确保安全并处理路径中的特殊序列。 漏洞修复 org.noear.solon.core.handle.RenderManager#getViewRender 我们注意到修复方式是添加了这一部分代码 if (mv.view().contains("../") || mv.view().contains("..\\")) {            // '../','..\' 不安全            throw new IllegalStateException("Invalid view path: '" + mv.view() + "'");       } 看起来处理方式简单粗暴,实际上是非常有效的 用户输入 → Context.param() → ModelAndView() → RenderManager.render()→ RenderManager.getViewRender()安全检测 →模板引擎处理 在模板引擎处理之前就添加了对传入路径的检测,一次 url 编码无法绕过,两次 url 编码虽然可以绕过检测,但是实际处理时,找不到文件所在的位置,再加上并不是从根目录开始读取文件的,最前面还存在目录限制,所以这样一来就无法利用这个漏洞了。
网络安全日报 2025年06月05日
1、印度生鲜平台KiranaPro遭黑客攻击导致数据被彻底删除 https://techcrunch.com/2025/06/03/indian-grocery-startup-kiranapro-was-hacked-and-its-servers-deleted-ceo-confirms/ 印度生鲜配送初创公司KiranaPro近日遭遇严重网络攻击,所有应用代码与服务器数据被黑客彻底删除。该公司CEO向TechCrunch证实,受影响数据包括客户姓名、地址及支付信息等敏感内容。尽管KiranaPro应用仍可访问,但已无法正常处理订单。据悉,KiranaPro于2024年12月上线,基于印度政府的开放数字商务网络运作,支持多语言语音下单服务,用户规模达 2、研究人员发现Meta通过监听本地主机端口绕过隐私保护机制 https://www.theregister.com/2025/06/03/meta_pauses_android_tracking_tech/ 近日,多所欧洲高校研究人员联合发布报告,揭露Meta(Facebook、Instagram)与俄罗斯搜索引擎Yandex通过Android本地应用监听localhost端口,从而将网页浏览数据与用户身份关联,绕过常规隐私保护机制。研究指出,两家公司在数千个网站中嵌入追踪脚本,借助WebRTC和SDP Munging等技术,通过localhost向设备上的原生App传输cookie和浏览元数据,实现跨站用户识别。这一行为打破了用户对隐私隔离机制的预 3、谷歌发布紧急安全更新修复被利用的Chrome零日漏洞 https://www.bleepingcomputer.com/news/security/google-patches-new-chrome-zero-day-bug-exploited-in-attacks/ 谷歌近日发布紧急安全更新,修复了2025年以来第三个在野外被利用的Chrome零日漏洞CVE-2025-5419。该漏洞源自Chrome浏览器V8 JavaScript引擎中的越界读写漏洞,属于高危漏洞。谷歌安全团队在一周前发现该漏洞,并于次日通过配置变更初步缓解风险,随后于6月发布新版本修复该漏洞,涵盖Windows、Mac及Linux平台。谷歌提醒用户可通过浏览器菜单手动检查 4、美国社区银行MainStreet遭到黑客攻击导致客户数据被窃取 https://www.theregister.com/2025/06/02/mainstreet_bancshares_says_thirdparty_breach/ 美国社区银行MainStreet Bancshares近日向美国证券交易委员会(SEC)披露,旗下部分客户数据在一起第三方供应商遭黑客攻击事件中被窃取。此次攻击发生于今年3月,至4月28日,银行确认约4.65%的客户数据被涉及。虽然MainStreet自身的技术基础设施未受影响,也无资金被盗,但事件凸显了供应链安全的薄弱环节。该行已中止与涉事供应商的合作,并于5月26日完成受影响客户的通知与监测安排。此事件正值美国金融界对S 5、Vanta漏洞导致部分客户的私密数据被其他客户访问 https://techcrunch.com/2025/06/02/vanta-bug-exposed-customers-data-to-other-customers/ 合规服务公司Vanta近日证实,由于产品代码变更引发的漏洞,导致部分客户的私密数据被其他Vanta客户访问。此次事件并非外部攻击所致,而是源于5月26日Vanta进行的一次代码更新,预计修复工作将于6月4日完成。据Vanta首席产品官Jeremy Epling称,此次数据泄露涉及不到20%的第三方集成数据,受影响客户不到4%,但由于Vanta拥有超过10000家客户,意味着可能有数百家企业受到影响。一位受影响客户向媒体表 6、PyPI、npm和Ruby软件包仓库惊现恶意组件 https://www.freebuf.com/articles/development/433584.html 近期在npm、Python和Ruby软件包仓库中相继发现多组恶意组件,这些组件能够清空加密货币钱包资金、安装后删除整个代码库并窃取Telegram API令牌,再次印证了开源生态系统中潜伏的多样化供应链威胁。 7、AI界面遭劫持:Open WebUI被滥用于挖矿程序与隐蔽AI恶意软件 https://securityonline.info/ai-interface-hijacked-open-webui-exploited-for-cryptominers-and-stealthy-ai-malware/ 攻击者利用配置错误的Open WebUI实例部署挖矿程序和信息窃取工具,通过高级混淆技术规避检测,窃取敏感数据并获利。AI插件系统可能被滥用,需加强实时行为分析防御。 8、新型Lyrix勒索软件采用先进规避技术攻击Windows用户 https://cybersecuritynews.com/new-lyrix-ransomware-attacking-windows-users/ 新型勒索软件Lyrix采用机器学习规避技术和多向量攻击,针对Windows系统加密文件并破坏备份,索要5万至200万美元赎金。其"行为变色龙模式"和"注册表定时炸弹"技术大幅增加检测难度,已入侵欧美企业网络。 9、谷歌紧急发布安卓安全更新,修复可导致权限提升的多项高危漏洞 https://cybersecuritynews.com/android-security-update-privilege-escalation/ 谷歌紧急发布安卓安全更新,修复Arm、Imagination和高通的多项高危漏洞,涉及GPU驱动、内核及闭源组件,可能引发权限提升和远程代码执行风险。设备需更新至2025-06-01或06-05补丁级别以确保安全。、 10、十年未修复Roundcube Webmail高危漏洞,认证用户可执行恶意代码 https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html Roundcube网页邮件软件曝高危漏洞(CVE-2025-49113),CVSS评分9.9,攻击者可远程执行代码,影响1.6.10及之前版本。APT28等曾利用类似漏洞攻击,已发布1.6.11和1.5.10修复补丁。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
【限时0元】2025网安夏令营报名火爆开启!
网络安全日报 2025年06月04日
1、Scattered Spider针对多家企业发动社工攻击 https://www.pymnts.com/cybersecurity/2025/scattered-spider-chases-clout-via-social-engineering-scams/ 黑客组织“Scattered Spider”近期加大了凭证窃取攻势,成为2025年最受关注的威胁行为者之一。据《金融时报》6月1日报道,该组织近期成功入侵了英国零售巨头Marks & Spencer(M&S)的系统,并持续数月对全球多家知名企业员工发动社工攻击,诱骗其泄露登录凭据。报道指出,Scattered Spider的典型战术为社交工程诈骗:攻击者对目标公司员工进行详细研究后,冒充内部 2、未经保护的数据库泄露超1.84亿组账号密码 https://www.websiteplanet.com/news/infostealer-breach-report/ 一份未加密、无密码保护的数据库近日被意外公开,泄露多达1.84亿组唯一的登录凭证,总体积高达47.42GB。泄露信息涵盖主流服务账号,包括Microsoft、Facebook、Instagram、Snapchat、Roblox,甚至银行、医疗、政府系统的访问凭据,极具风险。研究人员初步分析发现,数据极可能由InfoStealer类恶意软件收集,该类恶意代码专门窃取浏览器、邮件客户端中的账号密码、Cookie和钱包信息。目前数据源头未明,数据库很快被托管服务商限制访问,但 3、美国联邦通信委员会提醒旅客警惕机场公共USB充电风险 https://www.yahoo.com/news/federal-communications-commission-tsa-warns-135132687.html?fr=sycsrp_catchall 美国联邦通信委员会(FCC)和运输安全管理局(TSA)近日联合提醒机场旅客注意在公共USB充电端口的安全风险,警惕所谓的“果汁劫持”(juice jacking)攻击。黑客可能通过被篡改的USB端口植入恶意软件,从而锁定设备或窃取个人数据和密码,给用户带来严重的隐私和财产安全威胁。TSA建议旅客避免直接使用机场的公共USB端口充电,优先使用自带的TSA认证充电器或移动电源。FCC还强调 4、SentinelOne发生全球服务宕机致安全监控中断6小时 https://www.govinfosecurity.com/cybersecurity-firm-sentinelone-suffers-major-outage-a-28554 2025年6月,知名网络安全厂商SentinelOne发生大规模系统宕机事件,导致其全球部分客户的终端和网络安全监控服务长时间中断。事件持续约6小时,涉及XDR、终端保护、云安全、身份管理等11项核心服务,仅官方网站未受影响。官方确认此次中断源于“内部自动化故障”,而非安全事件。期间,用户无法访问控制台,受管安全响应服务暂时失效,定制检测规则(STAR)也无法运行,部分断网用户被错误隔离后无法恢复连接。Sent 5、高通修复曾遭定向攻击利用的三个零日漏洞 https://securityaffairs.com/178532/hacking/qualcomm-fixed-three-zero-days-exploited-in-limited-targeted-attacks.html Qualcomm近日修复了三项被用于定向攻击的零日漏洞,分别为CVE-2025-21479、CVE-2025-21480与CVE-2025-27038,漏洞均由Google Android安全团队报告。这些漏洞主要影响Adreno GPU驱动,其中两项为授权验证缺失,导致在特定指令序列下GPU微节点执行未授权命令引发内存损坏;另一项为Use-After-Free 6、卡地亚披露数据泄露事件警告客户个人数据已泄露 https://www.securityweek.com/cartier-data-breach-jewelry-maker-warns-customers-that-personal-data-was-exposed/ 奢侈品牌Cartier近日披露了一起数据泄露事件,称有未授权方入侵其系统并窃取部分客户信息。根据发送给受影响客户的通知,泄露的数据包括姓名、电邮地址及居住国家,但未涉及密码、信用卡或银行信息。Cartier并未透露此次事件影响的客户数量或发现时间,仅表示已向相关监管机构报告,并正与外部网络安全专家合作调查及加固防护体系。该事件发生之际,多个国际品牌如Victoria’s S 7、谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 https://www.freebuf.com/articles/web/433354.html 谷歌在确认攻击者正在积极利用一个关键零日漏洞(zero-day vulnerability)后,紧急发布了Chrome安全更新。该漏洞编号为CVE-2025-5419,攻击者可通过Chrome V8 JavaScript引擎中的越界读写操作,在受害者系统上执行任意代码。 8、微软与CrowdStrike合作建立统一威胁组织映射系统 https://www.freebuf.com/articles/es/433330.html 网络安全公司CrowdStrike Holdings Inc.与微软公司今日宣布达成战略合作,旨在解决网络安全威胁组织在不同安全平台上的识别与追踪长期存在的混乱问题。 9、黑客利用免费SSH客户端传播恶意软件并攻击Windows系统 https://www.freebuf.com/articles/system/433241.html 近期发现一起复杂的恶意软件攻击活动,攻击者利用包括流行的PuTTY应用程序和Windows内置OpenSSH实现等合法SSH客户端,在受感染系统上建立持久后门。 10、联发科芯片漏洞:攻击者无需用户交互即可提权 https://www.freebuf.com/articles/endpoint/433290.html 联发科(MediaTek)智能手机、平板电脑和物联网芯片组中存在的多个高危安全漏洞,可能允许攻击者在无需用户交互的情况下提升权限并破坏设备安全。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页