网络安全日报 2025年01月25日
1、黑客利用cnPilot路由器零日漏洞构建AIRASHI僵尸网络 https://thehackernews.com/2025/01/hackers-exploit-zero-day-in-cnpilot.html 根据研究人员的报告,攻击者正在利用Cambium Networks cnPilot路由器的零日漏洞部署AIRASHI DDoS僵尸网络,该网络是AISURU僵尸网络的变种。自2024年6月以来,AIRASHI通过零日漏洞及其他历史漏洞感染设备,其攻击能力稳定在1-3 Tbps。受害设备主要分布在巴西、俄罗斯、越南和印尼,而攻击目标集中在中国、美国、波兰和俄罗斯。AIRASHI进一步分化为支持DDoS攻击和代理功能的多个版本,并采用加密通信协议提 2、TRIPLESTRENGTH组织利用云环境进行加密劫持和本地勒索攻击 https://thehackernews.com/2025/01/triplestrength-targets-cloud-platforms.html Google披露了威胁组织TRIPLESTRENGTH的攻击行为,该组织利用被劫持的云资源进行加密劫持,并针对本地系统部署勒索软件。其入侵方式包括使用被盗凭据访问Google Cloud、AWS和Azure等平台,通过高权限账户设置矿机资源挖掘加密货币。同时,该组织在Telegram上推广勒索即服务(RaaS),并销售受感染服务器的访问权限。 3、ChatGPT API漏洞可用于发起DDoS攻击 https://github.com/bf/security-advisories/blob/main/2025-01-ChatGPT-Crawler-Reflective-DDOS-Vulnerability.md 德国安全研究员Benjamin Flesch发现ChatGPT API存在一个严重漏洞,可被攻击者利用生成DDoS攻击。该漏洞源于API处理HTTP POST请求时未限制URL数量,攻击者可通过单次请求传递大量URL,导致目标网站因过多连接请求而瘫痪。Flesch展示的漏洞概念验证代码表明,该缺陷具有高达8.6的CVSS评分,因其易于利用且无需高权限或用户交互。 4、Zendesk子域名漏洞被滥用于钓鱼与诈骗 https://www.cloudsek.com/blog/facilitating-phishing-and-pig-butchering-activities-using-zendesk-infrastructure-bait-switch-mode CloudSEK研究员发现Zendesk的子域注册功能存在漏洞,威胁行为者可利用该平台伪造品牌子域开展钓鱼与“杀猪盘”投资诈骗。Zendesk允许用户轻松注册子域并发送客户支持邮件,攻击者借此伪装成合法企业,通过钓鱼链接引导受害者泄露敏感信息或转账。自2023年以来,研究发现已有1912个Zendesk子域被滥用,部分公司注册量异常高。测试 5、思科修复会议管理系统关键漏洞可获取管理员权限 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmm-privesc-uy2Vf8pc 思科发布更新修复会议管理系统的关键权限提升漏洞(CVE-2025-20156,CVSS评分9.9)。该漏洞源于REST API授权验证不充分,攻击者可通过API请求获取管理员权限,控制受管节点。此外,还修复了BroadWorks SIP请求内存处理漏洞(CVE-2025-20165)及ClamAV整数下溢漏洞(CVE-2025-20128)。用户应尽快升级至安全版本以避免潜在威胁 6、德州HHSC数据泄露事件影响6.1万人 https://www.hhs.texas.gov/news/2025/01/hhsc-notifies-public-regarding-privacy-breach 德州健康与公共服务委员会(HHSC)通报了一起涉及内部员工的重大数据泄露事件,影响61000名居民。事件源于七名员工滥用权限访问敏感信息并盗用福利资金,时间跨度超过三年,涉及姓名、地址、社会安全号、医疗及财务信息等。部分SNAP账户被盗用,损失达27万美元。HHSC已解雇涉事员工,并加强内部安全控制,包括角色访问权限管理、监控和警报措施,以防范类似事件再次发生。 7、黑客利用Windows RID劫持技术创建隐藏管理员账户 https://www.freebuf.com/articles/system/420811.html 一个来自朝鲜的黑客组织正在使用一种名为RID劫持的技术,该技术可以欺骗Windows系统,使其将低权限账户视为具有管理员权限的账户。 8、2025网络暴露危机报告:45%第三方应用越权访问用户数据 https://www.freebuf.com/news/420744.html 网络暴露管理专家Reflectiz的最新研究揭示了令人震惊的行业现状:众多企业在网站安全管理上存在严重疏漏,正在无谓地增加自身的网络风险敞口。该研究基于对各行业访问量前100名网站的数据分析,暴露出第三方应用滥用权限、追踪技术失控等普遍问题。 9、GitLab释放XSS漏洞的补丁 https://securityonline.info/cve-2025-0314-gitlab-releases-patch-for-xss-exploit/ GitLab 发布了一个重要的安全更新,解决了多个漏洞,包括高严重性的跨站脚本 (XSS) 缺陷。社区版 (CE) 和企业版 (EE) 的版本 17.8.1、17.7.3 和 17.6.4 已发布以解决这些问题。 10、黑客用假恶意软件生成器感染1.8万名“脚本小子” https://www.freebuf.com/articles/endpoint/420809.html 一名威胁行为者针对低技能的黑客(俗称“脚本小子”)发起攻击,使用一款假的恶意软件生成器,秘密感染他们的设备,植入后门以窃取数据并控制计算机。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月24日
1、Conduent因网络安全事件导致服务中断 https://www.bleepingcomputer.com/news/security/conduent-confirms-cybersecurity-incident-behind-recent-outage/ 美国商业服务巨头和政府承包商Conduent证实,近期的服务中断由一起网络安全事件引发。此次事件影响了包括威斯康星儿童与家庭部和俄克拉荷马州人类服务局在内的多个美国州机构,导致依赖电子转账或EBT卡的支付服务出现广泛问题。Conduent表示,已在事件发生后两天内恢复系统,并采取措施遏制攻击。然而,关于是否存在数据泄露或赎金要求,公司未提供进一步细节,也未向美国证券交易委员会 2、Cisco修复已公开PoC代码的ClamAV漏洞 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-ole2-H549rphA Cisco发布安全更新,修复了ClamAV中编号为CVE-2025-20128的拒绝服务(DoS)漏洞。该漏洞由OLE2解密例程中的堆缓冲区溢出引发,允许未经认证的远程攻击者通过提交特制OLE2文件,导致ClamAV扫描进程崩溃,从而中断或延迟后续扫描操作。尽管此漏洞的概念验证(PoC)代码已公开,Cisco表示目前尚无在野利用的证据。此外,该漏洞仅影响扫描进程,不会破坏设备的整 3、攻击者利用社交平台虚假账号传播恶意PowerShell脚本 https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/ 研究人员发现,攻击者利用与“丝绸之路”创始人罗斯·乌布里希特相关的新闻,在X平台伪装为乌布里希特的虚假账号,诱导用户加入恶意Telegram频道。该频道要求用户进行“身份验证”,通过运行PowerShell命令完成所谓的验证码验证。用户执行命令后,设备会下载并运行恶意脚本,进一步获取ZIP文件,其中包含可能是Cobalt Strike加载器的恶意程序(iden 4、SonicWall SMA 1000系列设备曝高危漏洞 https://www.freebuf.com/vuls/420698.html SonicWall近日发布警告,称其Secure Mobile Access(SMA)1000系列设备存在一个高危安全漏洞,该漏洞可能已被野外利用,属于零日漏洞。漏洞编号为CVE-2025-23006,在CVSS评分系统中被评为9.8分(满分10.0)。 5、思科曝9.9分关键权限提升漏洞 https://www.freebuf.com/news/420670.html 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE - 2025 - 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 6、Chrome用户面临插件供应链攻击威胁,数百万人或受影响 https://www.freebuf.com/news/420662.html 网络安全机构Sekoia警告Chrome用户,针对浏览器扩展开发者的供应链攻击可能已经影响了数十万人。Sekoia对开发者遭受的大规模网络钓鱼活动进行了调查,重点调查了该活动所使用的基础设施,相似活动可以追溯到2023年,已知的最新活动发生在2024年12月30日。到目前为止,已有数十名Chrome扩展开发者成为攻击的受害者,这些攻击的目的在于在从ChatGPT和Facebook for Business等网站窃取API密钥、会话cookie和其他身份验证令牌。 7、特朗普推翻了前总统关于人工智能开发和安全的规定 https://www.darkreading.com/threat-intelligence/trump-overturns-biden-rules-on-ai-development-security 新政府迅速采取行动,取消了对人工智能发展的任何限制,并为一家美国拥有的人工智能合资企业筹集了 5000 亿美元的投资承诺。 8、Windows文件资源管理器权限提升漏洞已被利用 https://cybersecuritynews.com/windows-file-explorer-vulnerability-exploited/ Windows 文件资源管理器中的一个关键安全漏洞(标识为 CVE-2024-38100)已被积极利用,允许攻击者获得对受影响系统的管理员级别访问权限。 9、上千个恶意域名正在仿冒Reddit和WeTransfer https://www.freebuf.com/news/420641.html 网络安全研究人员发现,超过1000个恶意域名正在仿冒Reddit和WeTransfer等知名平台,用于传播恶意软件,其中主要涉及近年来流行的Lumma Stealer窃密木马。凸显了网络犯罪分子日益增长的复杂性,他们利用受信任品牌来欺骗用户下载恶意软件。 10、Palo Alto防火墙被发现安全启动绕过和固件漏洞的攻击 https://thehackernews.com/2025/01/palo-alto-firewalls-found-vulnerable-to.html 对 Palo Alto Networks 的三种防火墙模型进行了详尽的评估,发现了许多影响设备固件的已知安全缺陷以及错误配置的安全功能。该公司表示,分析了 Palo Alto Networks 的三款防火墙设备 PA-3260、PA-1410 和 PA-415,其中第一款已于 2023 年 8 月 31 日正式停止销售。另外两种型号均得到全面支持防火墙平台。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
从靶场到实战:双一流高校多个高危漏洞
本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻找目标。这里注意如果你要挖掘某edu的漏洞,就可以多关注他们的公众号,小程序,看看最近有没有什么新的功能出现,这种功能点漏洞比较容易出现。 于是我直接在某公众号发现了一个新功能:报名入口。临近毕业,所有有很多公司可能会来学校宣讲或者招人,这种时候就很有可能出现新功能,本案例就是。 照常点击功能,出现跳转,直接转浏览器测web页面。 日志泄露nday: 在登陆时发现限定了登陆时间,而目前已经不在时间内,可见这其实就是一个临时的系统。 我检查js信息尝试调试js绕过,没成功就通过报错发现为thinkphp框架,直接上工具一把梭。 链接:https://github.com/Lotus6/ThinkphpGUI 只可惜只存在一个日志泄露的nday,没能shell。 根据日志泄露目录可以发现能够遍历近一年的日志信息,此时的思路就是从日志中看能不能拿到管理员或者其它用户登陆的敏感信息,例如账号密码之类,这样就可以扩大日志泄露危害,进一步挖掘利用。 参考文章: https://cloud.tencent.com/developer/article/1752185这篇文章就是利用kali自带工具whatweb探测出thinkphp框架: 并通过dirb扫除.svn泄露: 再通过svnExploit工具进行下载利用: 链接:https://github.com/admintony/svnExploit 并在svn中发现大量日志泄露: 并通过找到最新的日志信息,找到密码hash值,通过cmd5实现解密并成功进入后台: https://blog.csdn.net/qq_41781465/article/details/144092247这篇文章也是在日志信息中成功找到账号密码,配合dirsearch扫出后台,成功登陆: 不过我这次日志信息量虽然很大,且经过我实际尝试也确实会记录我的一些操作信息,但翻遍日志却并貌似不存在敏感信息: 但我发现在日志中泄露了sql语句,貌似可以寻找对应接口,参数拼接成数据包尝试sql注入,但我找遍了日志都没有发现可以直接使用的接口或者代入了sql语句的参数。 不弱的弱口令: 翻找js文件,尝试直接拼接登陆验证接口,和其它查询接口全部失败。 不过根据找到的其它js路径发现其目录结构基本拼接在/syl/下,于是根据经验在目录后拼接admin,系统跳转到后台管理员登陆界面,输入账户为admin页面显示密码错误,输入其它账户页面显示账号不存在,可知账户为admin。 根据页面特征制作字典并加上弱口令top500的内容,尝试爆破成功:密码为页面根路径字母syl+88888888。 这种:syl88888888一看就是弱口令,但如果你只是通过现存的什么top100,top500这种字典是爆破不出来的,所以在进行渗透测试时一定还要根据页面特征,关键字,系统名称首字母等信息制作特定的社工字典尝试。 比如kali自带的cewl工具,便是一种基于爬虫,对页面目录信息进行循环爬取再生成字典的工具。 工具分析文章:https://www.cnblogs.com/jackie-lee/p/16132116.html 成功进入后台。 并发现大量信息泄露: 存在四千多条用户敏感信息泄露。 爬出靶场的高危: 通过dirsearch扫描目录,看有没有结果。 直接扫出来了好几条.git路径,直接访问泄露的路径看不出什么敏感信息。 但很明显站点存在.git信息泄露漏洞,一个我曾经只在ctf技能树复现过的漏洞。 Git就是一个开源的分布式版本控制系统,在执行gitinit初始化目录时会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除而是直接发布到https://cloud.tencent.com/product/cvm/?from_column=20065&from=20065上,那么攻击者就可以通过它来恢复源代码,从而造成信息泄露等一系列的安全问题。 尝试githack进行探测利用(只能python2使用) 工具链接:https://github.com/BugScanTeam/GitHack 该工具基本原理就是解析.git/index文件,找到工程中所有的文件,文件名,再去.git/objects/文件夹下下载对应的文件,并通过zlib解压文件并按原始的目录结构写入源代码 结果我直接把整个git扒了下来,得到站点整套源码,于是通过vscode打开分析: 随意翻找文件,找到mysql数据库账号密码,于是扫描端口发现开启3306,尝试连接,发现似乎做了IP白名单限制,于是放弃。 再翻找文件,发现居然直接把后台部分用户的信息写在了.sql文件内,包含姓名,身份证,电话等信息,不过只有几百条。 此处其实还可以深入对php源码进行审计,发现更多高危漏洞,但我却不会php代审,所以打到这里就收工了,觉得应该可以拿证了。 整个渗透过程很顺利,大概就两三个小时,还是信息搜集做得好,不然都不一定能出成果,同时需要多阅读漏洞挖掘文章,这样在渗透测试过程中才能对漏洞利用更加熟练。
网络安全日报 2025年01月23日
1、攻击者利用假冒软件安装包传播ValleyRAT恶意软件 https://intezer.com/blog/malware-analysis/weaponized-software-targets-chinese/ 安全研究人员发现,近期针对中国大陆、香港和台湾地区的网络攻击活动使用了一种名为ValleyRAT的远程访问木马(RAT)。攻击者利用多阶段加载器PNGPlug通过钓鱼页面诱导受害者下载伪装成合法软件的恶意Microsoft Installer (MSI)包。执行后,该安装包部署伪装的合法应用程序以掩盖恶意行为,并解密出恶意载荷组件,包括伪装成PNG图片的文件和恶意DLL。最终,加载器通过内存注入和注册表更改建立持久性并运行ValleyR 2、勒索软件攻击者通过微软Teams对组织进行“语音钓鱼” https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/ 安全研究显示,攻击者通过Microsoft Teams冒充技术支持,结合邮件轰炸手段,成功诱导员工授予远程访问权限,从而在组织中部署勒索软件。据Sophos统计,过去三个月内此类攻击事件超过15起,其中一半发生在最近两周。攻击者先通过大量垃圾邮件制造混乱,然后假借技术支持人员名义通过Teams视频通话诱骗员工开启远程控制。两组威胁组织(S 3、Mirai僵尸网络发起创纪录5.6Tbps DDoS攻击 https://blog.cloudflare.com/ddos-threat-report-for-2024-q4/ Cloudflare成功拦截了一次创纪录的分布式拒绝服务(DDoS)攻击,该攻击峰值达5.6 Tbps,来自由13000个受感染设备组成的Mirai僵尸网络。事件发生在2024年10月29日,目标是东亚一家互联网服务提供商(ISP)。尽管攻击持续80秒,但由于Cloudflare的自动化检测与防护系统,目标服务未受影响。数据显示,超大规模DDoS攻击自2024年第三季度起显著增加,第四季度增长1885%,并伴随短时高强度趋势。约72%的HTTP攻击和91%的网络层攻击持续时 4、7-Zip修复绕过Windows MoTW漏洞可允许执行恶意代码 https://www.zerodayinitiative.com/advisories/ZDI-25-045/ 7-Zip文件压缩工具的一个高危漏洞(CVE-2025-0411)被发现可绕过Windows的“网络标记”(Mark of the Web, MoTW)安全功能,允许攻击者通过提取嵌套恶意文件执行代码。自7-Zip 22.00版起,该工具支持MoTW功能,用于标记从下载的归档文件中提取的文件。然而,漏洞使提取的文件未继承MoTW标记,用户在访问恶意页面或打开伪造文件时可能遭受攻击。开发者已于2024年11月30日发布7-Zip 24.09修复此问题。但因7-Zip无自动更新功能, 5、Redline和Vidar等恶意软件在2024年窃取了10亿个密码 https://hackread.com/redline-vidar-raccoon-malware-stole-1-billion-passwords-2024/ Specops Software发布的2025密码泄露报告显示,2024年有超10亿密码被Redline、Vidar和Raccoon等恶意软件窃取。尽管部分密码符合复杂性要求(含大写、数字、符号),但弱密码如“123456”仍然常见,揭示用户教育的不足。恶意软件通过“服务即恶意软件”模式扩散,利用浏览器和VPN客户端等获取凭证。专家建议强化密码策略、部署多因素认证(MFA)并定期扫描泄露密码以降低风险。 6、特朗普签署文件,特赦暗网“丝绸之路”创始人 https://www.freebuf.com/news/420526.html 重返白宫的“特朗普2.0”版本才上线两天,就在社交平台上标表示已经签署了对暗网“丝绸之路”创始人罗斯·乌尔布里希特(Ross Ulbricht)的完全无条件赦免,兑现了他向加密货币社区和自由主义选民做出的竞选承诺。2015年,乌尔布里希特因经营“丝绸之路”(Silk Road)被判终身监禁,罪名包括洗钱、毒品贩卖、计算机黑客等。 7、网信部门严厉打击整治网络水军问题 https://www.cnii.com.cn/rmydb/202501/t20250121_632993.html 目前,网信部门已协调关闭爱××网、买××心等网络水军专门平台,指导应用商店对微××理、星×通等应用程序采取拦截或者下架等处置措施,累计协调关闭、下架相关违法违规网站平台400余家。 8、OWASP发布2025年智能合约需要注意的10大安全漏洞 https://cybersecuritynews.com/owasp-top-10-2025-smart-contract 旨在让 Web3 开发人员和安全团队能应对智能合约中最关键的漏洞。 9、Mirai变种Murdoc利用AVTECH IP摄像机和华为路由器 https://thehackernews.com/2025/01/murdocbotnet-found-exploiting-avtech-ip.html 网络安全研究人员警告称,一项新的大规模活动利用 AVTECH IP 摄像机和华为 HG532 路由器中的安全缺陷将这些设备连接到名为 Murdoc 僵尸网络的 Mirai 僵尸网络变体中。 10、Node.js 漏洞暴露敏感数据和资源 https://securityonline.info/cve-2025-23083-node-js-vulnerability-exposes-sensitive-data-and-resources Node.js 项目已发布更新来解决多个安全漏洞,其中包括一个可能允许攻击者绕过工作人员权限的高严重性缺陷。该漏洞的编号为CVE-2025-23083 ,影响 Node.js 版本 20、22 和 23。它存在于diagnostics_channel 实用程序中,可用于挂钩事件,包括工作线程创建。此缺陷可能会被利用来获得对敏感数据或资源的未经授权的访问。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月22日
1、DoNot Team新Android恶意软件Tanzeem曝光 https://www.cyfirma.com/research/android-malware-in-donot-apt-operations/ 知名威胁组织DoNot Team被曝开发新型Android恶意软件“Tanzeem”,用于情报收集的精准网络攻击。研究人员发现,Tanzeem及其更新版本于2024年10月和12月出现,伪装为聊天应用,但实际无法使用,安装后会要求用户授予敏感权限,包括访问通话记录、联系人、短信、位置信息等。该恶意软件通过OneSignal平台发送含钓鱼链接的推送通知,引导用户安装额外的恶意软件,进一步扩大感染范围。恶意应用还具备屏幕录制和与C2服务器通信的功能。 2、恶意npm包窃取Solana钱包密钥并删除数据 https://socket.dev/blog/gmail-for-exfiltration-malicious-npm-packages-target-solana-private-keys-and-drain-victim-s 研究人员发现多个npm和PyPI仓库中的恶意包,目标是窃取敏感数据并删除系统文件。其中,恶意包如solana-transaction-toolkit和solana-stable-web-huks针对Solana用户,利用Gmail SMTP服务器传输私钥数据并将钱包资金转移至攻击者控制的地址。由于Gmail通信被视为可信流量,传统防火墙和终端检测系统难以拦截这些行 3、不安全的隧道协议暴露420万主机其中包括VPN和路由器 https://www.imperva.com/blog/how-hackers-use-php-backdoors-and-gsocket-to-facilitate-illegal-gambling-in-indonesia/ 最新研究揭示,多个隧道协议存在安全漏洞,可能让攻击者发起各种网络攻击。研究表明,全球420万个主机(包括VPN服务器、家庭路由器、核心路由器和移动网关等)易受攻击,尤其是中国、法国、日本、美国和巴西受影响严重。这些漏洞源于隧道协议(如GRE6、IPv4-in-IPv6等)缺乏身份验证和加密,允许攻击者伪造源IP地址并利用受害系统发起DDoS攻击或作为单向代理。漏洞 4、HPE开始调查源代码潜在数据泄露事件 https://www.bleepingcomputer.com/news/security/hewlett-packard-enterprise-investigates-new-breach-claims/ Hewlett Packard Enterprise (HPE)正在调查一起数据泄露事件,黑客组织IntelBroker声称窃取了HPE开发环境中的多个重要文件。尽管HPE表示未发现证据表明发生了安全事件,且未对业务运营造成影响,但已启动应急响应程序并调查相关声明。IntelBroker称,其成功访问了HPE的API、WePay和GitHub仓库,窃取了私钥、Zerto和iLO源代码 5、Fintech平台“Willow Pays”泄露24万条敏感记录 https://www.websiteplanet.com/news/report-willowpays-breach/ 安全研究员Jeremiah Fowler发现,美国金融科技公司Willow Pays暴露了一份未加密且无密码保护的数据库,包含超过24万条敏感记录。这些数据包括用户姓名、电子邮件、信用额度及内部账单信息。Willow Pays是一项允许用户在四周内分期支付账单的服务,客户需要上传账单及个人信息。这份数据库泄露包含241970条记录,其中包括账单、邮件列表、账户不一致、还款计划、截图及设置等。泄露数据还涉及56864个个人信息,可能是活跃客户、潜在客户或被封禁账户的详细信息 6、2024年近2亿人受影响,美国医疗成重点攻击目标 https://www.freebuf.com/news/420391.html 2024年期间,各组织向美国政府报告了720起医疗保健数据泄露事件,这些事件共影响1.86亿条用户记录。 7、B站员工“代码投毒”报复用户,涉事员工已被开除 https://www.freebuf.com/news/420334.html 被曝出员工滥用职权,加载恶意代码攻击用户。这不仅暴露了B站在内部管理和技术安全方面的漏洞,也引发了大众对用户信息安全的担忧。 8、中方对美情报机构对华网络攻击表示严重关切 http://usa.people.com.cn/n1/2025/0120/c241376-40405299.html 针对美国情报机构对中国企业机构进行网络攻击一事,中国外交部17日在例行记者会上指出,中方对此表示严重关切,敦促美方立即停止相关恶意活动。 9、大范围植入木马!美网络攻击我国某研究院细节公布 https://mp.weixin.qq.com/s?__biz=MjM5NDI2MDc5NA==&mid=2659554463&idx=2&sn=92a00b4b19f9b1e281bd4708a5f96fc2&scene=21#wechat_redirect&&&& 2024年12月18日,国家互联网应急中心CNCERT发布公告,发现处置两起美对我大型科技企业机构网络攻击事件。 10、 超1.5万台 Fortinet 设备配置泄露至暗网 https://www.darkreading.com/endpoint-security/15k-fortinet-device-configs-leaked-dark-web 15474 台 Fortinet 设备的过时配置数据和虚拟专用网络 (VPN) 凭证已免费发布到暗网。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月21日
1、恶意PyPi包窃取Discord开发者认证令牌并植入后门 https://socket.dev/blog/malicious-pypi-package-targets-discord-developers-with-token-theft-and-backdoor 研究人员揭示了一个名为“pycord-self”的恶意Python包,目标是窃取Discord开发者的认证令牌并在其系统中植入后门。该包模仿了流行的合法包“discord.py-self”,后者在PyPi平台上有近2800万次下载。恶意包通过窃取Discord认证令牌,允许攻击者在不需要开发者凭据的情况下接管其Discord账户,即使启用了两步验证也不受影响。此外,攻击者还在受害者系统中 2、新型“Sneaky 2FA”钓鱼工具包绕过微软365双重认证 https://blog.sekoia.io/sneaky-2fa-exposing-a-new-aitm-phishing-as-a-service/ 研究人员揭露了一个名为“Sneaky 2FA”的新型中间人钓鱼工具包,能够绕过微软365账户的双重认证(2FA)并窃取凭据。该工具包自2024年10月起开始活动,已在多个网站上部署。研究人员在去年12月首次发现该工具包,并指出其通过Telegram的恶意Bot以“钓鱼即服务”(PhaaS)形式提供,售价约为每月200美元。攻击者通过伪造包含二维码的支付收据邮件,诱使受害者扫描二维码后访问钓鱼页面。页面经过反分析和反机器人的多重保护措施,能够 3、Wolf Haldenstein律师事务所称黑客攻击影响340万人 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/8fe1643f-846d-45b5-bc4f-8d3c7a9a8fee.html Wolf Haldenstein披露,2023年的一宗重大黑客攻击事件影响了超过340万人。该律师事务所专门为数据泄露案件和其他纠纷代表消费者,该事件涉及的敏感信息包括姓名、社会保障号码、员工识别号、医疗诊断和医疗索赔信息。黑客攻击最早于2023年12月被发现,当时该事务所检测到网络中存在异常活动。经调查,黑客通过未授权访问获取了存储在事务所网络中的部分 4、Otelier数据泄露暴露数百万酒店客人信息 https://www.bleepingcomputer.com/news/security/otelier-data-breach-exposes-info-hotel-reservations-of-millions/ 酒店管理平台Otelier报告遭遇数据泄露,黑客通过盗取其Amazon S3云存储中的凭证,窃取了包括万豪、希尔顿和凯悦等知名酒店品牌的客人个人信息和预订数据。据称,黑客在2024年7月至10月期间持续访问Otelier系统,盗取了近8TB的数据。Otelier确认该事件后,已采取措施确保系统安全,并与受影响客户进行沟通。调查显示,黑客通过窃取Otelier员工的登录凭证 5、ChatGPT被曝存在爬虫漏洞,OpenAI未公开承认 https://www.freebuf.com/news/420273.html OpenAI的ChatGPT爬虫似乎能够对任意网站发起分布式拒绝服务(DDoS)攻击,而OpenAI尚未承认这一漏洞。本月,德国安全研究员Benjamin Flesch通过微软的GitHub分享了一篇文章,解释了如何通过向ChatGPT API发送单个HTTP请求,利用ChatGPT爬虫(特别是 ChatGPT-User)向目标网站发起大量网络请求。攻击者可以将单个API请求放大为每秒20到5000次甚至更多的请求,持续不断地发送到目标网站。从实际操作来看,这种连接的洪流虽然不足以使任何网站瘫痪,但仍被认为是一 6、美国发布行政命令要求所有机构加强国家网络安全 https://cybersecuritynews.com/u-s-president-issues-executive-national-cybersecurity/ 为加强国家对网络威胁的防御能力,美国ZT签署了一项行政命令,加强联邦机构和私营部门的网络安全措施。该指令以先前的努力为基础,包括第14028号行政命令和国家网络安全战略,旨在保护关键基础设施、提高软件提供商的责任感并促进网络安全技术的创新。 7、俄罗斯黑客利用恶意二维码攻击WhatsApp用户 https://cybersecuritynews.com/russian-hackers-whatsapp-qr-codes/ Star Blizzard是一个由俄罗斯联邦安全局 (FSB) 支持的网络钓鱼团队,他们发起了一项新的活动,旨在入侵WhatsApp账户并获取其消息和数据。 8、MikroTik僵尸网络依赖DNS配置错误来传播恶意软件 https://securityaffairs.com/173126/hacking/13000-device-mikrotik-botnet-exploiting-dns-flaws.html Infoblox研究人员发现了一个由13000 台MikroTik设备组成的僵尸网络,这些设备利用DNS错误配置来绕过电子邮件保护,欺骗大约20000个域并传播恶意软件。 9、SimpleHelp远程访问软件中的漏洞可能导致系统受损 https://www.securityweek.com/vulnerabilities-in-simplehelp-remote-access-software-may-lead-to-system-compromise/ 网络安全公司Horizon3.ai报告称,SimpleHelp远程访问软件中的漏洞很容易被利用,并可能让攻击者入侵服务器和客户端机器。 10、黑客滥用微软VSCode 远程隧道绕过安全工具 https://www.freebuf.com/news/420277.html 据Cyber Security News消息,微软VSCode 远程隧道功能正被攻击者利用,以绕过安全措施部署恶意脚本。VSCode 远程隧道是流行开发环境中的一项功能,让开发者通过安全隧道连接到远程计算机的本地编码环境,从而提高开发参与度和灵活性。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月20日
1、MikroTik路由器被滥用建立僵尸网络传播恶意软件 https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/ 据研究人员披露,一个由13000台MikroTik设备组成的新型僵尸网络利用SPF DNS记录配置错误,绕过电子邮件安全机制,伪装约20000个域名发送恶意邮件。这些邮件假冒DHL等品牌,附带包含恶意JavaScript的ZIP文件。恶意脚本通过PowerShell与黑客控制服务器通信,用于DDoS攻击、数据窃取 2、黑客利用Google搜索广告窃取Google Ads账户 https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads 安全研究人员发现,黑客通过Google搜索广告推广钓鱼网站,以窃取广告主的Google Ads账户。攻击者发布伪装成Google Ads的广告,链接指向托管在Google Sites上的钓鱼页面,页面外观高度仿冒官方登录界面。受害者输入账户信息后,钓鱼工具收集凭据和唯一标识符,随后黑客通过新增管理员锁定受害者账户,并利用被盗账户发布 3、Avery官网遭黑客攻击致用户信用卡信息泄露 https://www.bleepingcomputer.com/news/security/label-giant-avery-says-website-hacked-to-steal-credit-cards/ 美国标签生产商Avery Products Corporation近日通报,其官网遭遇数据泄露事件,黑客通过植入卡片窃取器盗取客户的支付信息和个人数据。攻击始于2024年7月18日,直至12月9日才被发现,期间客户在官网输入的信用卡信息、姓名、地址和联系方式均被窃取,共影响61193名客户。此次攻击虽未涉及社会安全号码等身份数据,但已足够用于实施欺诈交易。Avery为受影响用户提 4、Windows设备启用BitLocker后出现TPM警告 https://support.microsoft.com/en-us/topic/after-enabling-bitlocker-for-your-security-some-settings-are-managed-by-your-administrator-is-unexpectedly-displayed-5ad9ee7d-cb2c-4bc3-8aed-e7e0ecd11a83 微软正在调查一项影响Windows 10和11设备的BitLocker漏洞,该问题会在启用BitLocker后触发与可信平台模块(TPM)相关的安全警告。受影响的用户在BitLocker控制面板中看到“出于 5、Lazarus利用虚假招聘攻击Web3开发者 https://securityscorecard.com/blog/operation-99-north-koreas-cyber-assault-on-software-developers/ 安全公司SecurityScorecard发布报告,披露朝鲜黑客组织Lazarus集团实施的新一轮攻击行动“99行动”。此次攻击针对全球范围内的Web3和加密货币领域开发者,特别是通过伪造LinkedIn招聘信息吸引受害者。黑客冒充招聘人员,引导开发者克隆恶意GitLab代码库,从而在受害者设备中植入恶意软件。该行动主要目标是窃取源代码、加密货币钱包密钥及其他敏感数据。受害者分布包括意大利、美国、 6、黑客泄露超15000台FortiGate设备配置和VPN凭据 https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f 新兴黑客组织“Belsen Group”在暗网公开泄露了超过15000台FortiGate设备的配置文件、IP地址和VPN凭据。这些数据以国家分类,包含防火墙规则、私钥和部分明文密码,严重威胁网络安全。泄露数据与2022年零日漏洞CVE-2022-40684有关,当时攻击者通过该漏洞下载配置文件并创建恶意超级管理员账户。尽管漏洞已修复,但受影响设备 7、Clop勒索病毒利用Cleo文件传输漏洞攻击多家公司 https://securityaffairs.com/173135/cyber-crime/clop-ransomware-gang-claims-hack-of-cleo-file-transfer-customers.html Clop勒索病毒团伙声称通过利用Cleo文件传输软件的漏洞,攻破了59家公司,并将其数据上传至暗网泄露站点。该漏洞(CVE-2024-50623,CVSS评分8.8)影响了多个Cleo产品,包括Harmony、VLTrader和LexiCom,导致远程代码执行风险。2024年12月,美国网络安全和基础设施安全局(CISA)将这一漏洞列入已知的已被利用漏洞(KEV 8、WGS-804HPT 交换机中的严重缺陷导致 RCE https://thehackernews.com/2025/01/critical-flaws-in-wgs-804hpt-switches.html 网络安全研究人员披露了 Planet Technology 的 WGS-804HPT 工业交换机中的三个安全漏洞,这些漏洞可以链接起来以在易受影响的设备上实现预身份验证远程代码执行。 9、流行的 WordPress 缓存插件使数百万个网站遭受攻击 https://securityonline.info/cve-2024-12365-popular-wordpress-caching-plugin-exposes-millions-of-sites-to-attack/ 任何使用 W3 Total Cache 版本 2.8.1 或更早版本的网站都容易受到攻击。鉴于该插件的受欢迎程度超过 100 万活跃安装量,这代表了 WordPress 生态系统的重要组成部分。 10、Rasa 框架中发现的严重漏洞可实现远程代码执行 https://securityonline.info/critical-vulnerability-in-rasa-framework-enables-remote-code-execution-cve-2024-49375 流行的开源 Rasa 框架中已发现一个严重漏洞 (CVE-2024-49375)。该漏洞的 CVSS 评分为 9.1,允许攻击者通过远程加载恶意制作的模型来实现 RCE。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年01月17日
1、Snyk涉嫌上传恶意包针对Cursor测试人员 https://sourcecodered.com/snyk-malicious-npm-package/ 开发者安全公司Snyk被指涉嫌通过NPM上传恶意包,目标可能是AI代码编辑器Cursor。安全研究员Paul McCarty发现,名为“sn4k-s3c”的用户上传了三个包,分别为“cursor-retrieval”“cursor-always-local”和“cursor-shadow-workspace”,这些包会收集系统数据并发送至攻击者控制的服务器。其中“cursor-shadow-workspace”可窃取环境变量信息,如GitHub凭据、AWS密钥和NPM令牌。相关包现已从 2、Fortinet警告零日漏洞攻击可暴露防火墙接口 https://arcticwolf.com/resources/blog/console-chaos-targets-fortinet-fortigate-firewalls/ Fortinet近日披露,未知威胁行为者利用零日漏洞针对暴露管理接口的FortiGate防火墙设备发起攻击。自2024年11月中旬起,攻击者通过未经授权的管理员登录更改配置、创建新账户,并利用DCSync技术提取凭据。受影响设备的固件版本为7.0.14至7.0.16。攻击分为四阶段,涵盖漏洞扫描、配置修改、创建超级管理员账户及SSL VPN隧道,最终通过VPN访问横向移动。攻击者活动与jsconsole接口的异常使 3、黑客利用虚假YouTube链接窃取登录凭证 https://hackread.com/hackers-fake-youtube-links-steal-login-credentials/ 网络犯罪分子通过伪造的YouTube链接引导用户访问钓鱼页面,窃取登录凭证。ANY.RUN的分析显示,攻击者使用URI操控和多层重定向技术,使恶意链接看似可信。这些链接通常伪装为以“http://youtube”开头的地址,通过电子邮件诱导用户点击。重定向过程中,黑客还模拟Cloudflare验证页面,降低用户警觉。最终,受害者被引导至逼真的钓鱼页面输入登录信息。该攻击与Storm1747组织相关,利用Tycoon 2FA等钓鱼工具包,快速部署大规 4、SimpleHelp关键漏洞可致文件泄露及远程控制 https://www.horizon3.ai/attack-research/disclosures/critical-vulnerabilities-in-simplehelp-remote-support-software/ 研究人员披露了SimpleHelp远程访问软件中多个高危漏洞,可能导致信息泄露、权限提升及远程代码执行(RCE)。其中CVE-2024-57727允许未经身份验证的攻击者通过路径遍历下载敏感文件;CVE-2024-57728可让具有管理员权限的攻击者上传恶意文件;CVE-2024-57726则能让低权限技术员通过后端授权漏洞提升为管理员。这些漏洞可被组合利用,攻击 5、美国保险公司被指控非法收集和出售位置数据 https://www.malwarebytes.com/blog/news/2025/01/insurance-company-accused-of-using-secret-software-to-illegally-collect-and-sell-location-data-on-millions-of-americans 德州总检察长Ken Paxton指控保险公司Allstate及其子公司Arity,秘密嵌入软件至移动应用中,非法收集4500万美国用户的实时位置和驾驶数据,违反德州《数据隐私与安全法案》。这些数据被用于提高保险费率,并出售给第三方,包括其他保险公司。Arity通过 6、Rsync工具曝6个严重漏洞,可执行远程代码 https://www.freebuf.com/news/419987.html 超过660000台暴露的Rsync服务器可能受到六个新漏洞的攻击,其中包含一个严重程度极高的堆缓冲区溢出漏洞,该漏洞允许在服务器上执行远程代码。 7、由于隧道协议缺陷,数百万互联网主机容易受到攻击 https://www.securityweek.com/millions-of-internet-hosts-vulnerable-to-attacks-due-to-tunneling-protocol-flaws/ 新研究表明,互联网上超过 400 万个系统,包括 VPN 服务器和家庭路由器,由于隧道协议缺陷而容易受到攻击。这项研究由比利时鲁汶大学教授Mathy Vanhoef和博士生 Angelos Beitis 与 VPN 测试公司 Top10VPN 合作进行。 8、新的UEFI安全启动漏洞可能允许加载恶意 Bootkit https://thehackernews.com/2025/01/new-uefi-secure-boot-vulnerability.html 有关现已修补的安全漏洞的详细信息已经出现,该漏洞可能允许绕过统一可扩展固件接口 (UEFI) 系统中的安全启动机制。根据与 ESET 共享的一份新报告,该漏洞的 CVE 标识符为CVE-2024-7344 (CVSS 评分:6.7),存在于由 Microsoft 的“Microsoft Corporation UEFI CA 2011”第三方 UEFI 证书签名的 UEFI 应用程序中。 9、研究发现尽管有Active Directory限制仍允许利用NTLMv1的漏洞 https://thehackernews.com/2025/01/researchers-find-exploit-allowing.html 网络安全研究人员发现,设计用于禁用 NT LAN Manager (NTLM) v1 的 Microsoft Active Directory 组策略可以通过错误配置轻松绕过。Silverfort 研究员 Dor Segal 在与 The Hacker News 分享的一份报告中表示:“本地应用程序中的简单错误配置可能会覆盖组策略,从而有效地否定旨在阻止 NTLMv1 身份验证的组策略。” 10、泰国总理遭遇电诈:骗子用AI冒充外国领导人声音要求捐款 https://baijiahao.baidu.com/s?id=1821382882597941316 泰国总理佩通坦15日对媒体透露,自己也曾遭遇诈骗,对方用AI技术模拟东盟某国领导人的声音,通过音频称希望合作。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
三个月测一站之漏洞挖掘纯享版
好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。 nday进后台: 开局一个登录框: 通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。 语句:xxx系统历史漏洞 or xxx平台历史漏洞 如上图,拼接payload,通过/../..;号实现权限绕过: 302跳转进入后台,发现为管理员界面。 进入一个系统时,一定不要着急马上测试,要先总体看看这个系统的功能点,基本结构,布局,然后再将功能点转化为数据包,接口,参数进行测试。 总体看了看系统功能点,便点进个人信息处,尝试文件上传漏洞getshell。 点击选择,随后页面进行了一个奇怪的跳转:新开了一个页面 我先尝试文件上传,不过只能上传图片格式,我观察到该文件路径中存在:type=images,于是尝试将images自行修改,不过这种页面居然不能修改url,于是复制url放到正常浏览器访问,尝试修改无果。 发现页面存在修改文件后缀功能,但也被限制。 这时我发现站点采用了ckfinder编辑器,于是按照:xxx历史漏洞继续搜索:\ 翻看大量文章后并未发现能成功复现的漏洞,但我发现了ckfinder的一个新路径: 将url的?后面全部删除进入如下界面: 这时发现刚才原来只是处于images文件夹下,所以被限制很严格。 于是我再次在files文件夹下上传可执行文件,但jsp和php之类均被限制,jspf或者jspx也无法绕过,只有尝试xss类型文件上传了: 上传发现关键字被黑名单限制,于是先上传了一个空的txt文档,上传后再对内容,后缀名进行修改: 修改如下: 双击访问: 成功执行恶意js代码,造成弹窗,这种漏洞就会很容易在管理员访问时,直接将cookie盗取。 同时记住,想这种功能点,属于站点较为深入的功能点处,还极可能存在未授权访问漏洞,删除认证字段访问: 访问成功,由此获得未授权访问加xss类型文件上传漏洞。 这种类型漏洞就可用作挂马,制作钓鱼页面等高危害操作。 多处sql注入漏洞: 该站点功能点很多,这也是为什么我测了很久的原因: 注入点1: 经过翻找发现如下页面,可直接执行sql语句: 输入sql语句抓包查看: 延时成功,虽然从设计功能点来看,这其实并不能算是漏洞,因为本身开发者就是要这么设计的,但在挖掘漏洞时,这种功能点依旧可以通过审核,且在实战中如果这类功能点没有做好权限限制,也能利用sql语句获取敏感信息,写马,修改账户密码等。 注入点2: 功能点如下,此站点查询功能点极其多,但并不是每一个都有漏洞,所以黑盒测试就需要一个个慢慢测试: 抓包,输入单引号报错,两个单引号页面正常,尝试sql手注: 利用堆叠注入延时成功。 数据库的遍历: 继续探索,发现如下页面: 先前便提到过,黑河测试一定要将功能点转化为数据包,接口,参数进行测试,不然这时我可能只会看到一个数据库信息而已。 我翻看该功能点数据包时,直接就发现了展现该页面的请求包与返回数据: 如上图,泄露了数据库地址,账户密码。 但此时注意请求包参数:id=1,很明显,我直接遍历id值: 在前端其实只能看到一个数据库的地址,用户密码。也就是id=1时的数据,而转化为数据包观察,直接实现数据库信息遍历,拿下五台数据库敏感信息,包含mysql,oracle等类型,危害瞬间扩大。
网络安全日报 2025年01月16日
1、Codefinger勒索软件使用SSE-C加密S3存储桶 https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c 一个名为Codefinger的勒索团伙通过AWS的服务器端加密选项(SSE-C)加密目标组织的AWS S3数据,要求受害者支付赎金以获取加密密钥。攻击者利用被泄露或盗取的AWS密钥,使用AES-256加密算法,通过x-amz-server-side-encryption-customer-algorithm标头执行加密。由于AWS仅记录HMAC值而不存储密钥,受害者无法自行解密数据。攻击者未窃取 2、2024年针对VMware ESXi服务器的勒索软件攻击激增 https://thehackernews.com/2025/01/ransomware-on-esxi-mechanization-of.html 2024年,针对VMware ESXi服务器的勒索攻击显著增加,平均赎金高达500万美元。多数攻击使用改良的Babuk勒索软件变种,这些变种专为规避安全工具检测而设计。攻击者通过加密ESXi关键文件(如VMDK、VMEM、VSWP、VMSN文件)使虚拟机不可用,同时通过对称加密与非对称加密结合的方法加速数据加密并确保密钥安全。勒索软件团伙还通过出售初始访问权限获利,使得攻击链更加复杂。由于ESXi架构中的vCenter服务器集中管理多个ESXi 3、Path of Exile 2管理账户被攻破引发玩家账户大规模被黑 https://www.pathofexile.com/forum/view-thread/3667200 《Path of Exile 2》(PoE 2)开发团队确认,一名管理员账户被黑客攻破,导致至少66个玩家账户密码被篡改。自2024年11月以来,玩家账户接连遭到攻击,珍贵游戏物品被窃,无法恢复。攻击者利用管理员账户,通过一个旧Steam账户漏洞获取访问权限,并使用部分信用卡信息骗取Steam支持重置账户凭证。开发团队承认,由于安全日志保留时间不足,事件的完整影响范围难以确认。此次事件暴露了PoE 2后台系统的严重漏洞,包括密码修改被错误记录为可编辑的备注而非不可更改的审计条目,导致黑 4、英国域名注册机构Nominet遭Ivanti零日漏洞攻击 https://www.helpnetsecurity.com/2025/01/13/uk-domain-registry-nominet-breached-via-ivanti-zero-day-cve-2025-0282/ 英国域名注册机构Nominet近日证实其网络因Ivanti Connect Secure的零日漏洞(CVE-2025-0282)被攻破,成为首个公开受此漏洞影响的机构。该漏洞为堆栈缓冲区溢出,允许攻击者安装恶意软件、进行网络侦察并实施横向移动。研究人员观察到攻击者自2024年12月中旬开始利用该漏洞。尽管Ivanti和Mandiant等机构发布了补丁和缓解措施,但全球 5、谷歌发布了 Chrome 132,修复了 16 个漏洞 https://www.securityweek.com/chrome-132-patches-16-vulnerabilities/ 谷歌周二宣布向稳定频道发布 Chrome 132,其中包含 16 个安全修复程序,其中 13 个修复了外部研究人员报告的漏洞。 6、美日本韩三国指责朝鲜黑客盗窃 6.6 亿美元加密货币 https://www.securityweek.com/us-japan-south-korea-blame-north-korean-hackers-for-660m-crypto-heists/ 美国、日本和韩国周二在一份联合声明中表示,朝鲜黑客在 2024 年窃取了约 6.6 亿美元的加密货币。这三个国家表示,朝鲜民主主义人民共和国 (DPRK) 黑客去年至少实施了五起加密货币盗窃案,分别从DMM Bitcoin窃取了 3.08 亿美元、从 Upbit 窃取了 5000 万美元、从 Rain Management 窃取了 1613 万美元、从WazirX窃取了 2.35 亿美元,以及 7、Fortinet 确认新的零日漏洞利用 https://www.securityweek.com/fortinet-confirms-new-zero-day-exploitation/ Fortinet 周二发布了十多个新公告,描述了该公司产品中最近发现的严重和高严重性漏洞,其中包括至少自 2024 年 11 月以来就已被广泛利用的零日漏洞。该零日漏洞被追踪为CVE-2024-55591 ,Fortinet 将其描述为影响 FortiOS 和 FortiProxy 的严重漏洞,远程攻击者可利用该漏洞使用特制的 Node.js 请求来获取超级管理员权限。网络套接字模块。 8、Windows远程桌面网关出现重大漏洞 https://www.freebuf.com/news/419872.html 微软披露了其Windows远程桌面网关(RD Gateway)中的一个重大漏洞,该漏洞可能允许攻击者利用竞争条件,导致拒绝服务(DoS)攻击。该漏洞被标识为CVE-2025-21225,已在2025年1月的补丁星期二更新中得到修复。 9、DockerHub 上发现恶意 Kong Ingress 控制器镜像 https://hackread.com/malicious-kong-ingress-controller-image-dockerhub/ 已检测到软件供应链中存在严重安全漏洞。攻击者访问了 Kong 的 DockerHub 帐户,并用恶意版本替换了合法的 Kong Ingress Controller v.3.4.0 映像。Kong Ingress Controller 版本 3.4.0 中发现了一个严重的安全漏洞。该漏洞源于 2024 年 12 月 23 日上传到 DockerHub 的未经授权的镜像。受影响的镜像(hash:sha256:a00659df0771d076fc9d0b 10、Atheos 基于 Web 的 IDE 中发现严重漏洞 https://securityonline.info/cve-2025-22152-cvss-9-4-severe-vulnerabilities-found-in-atheos-web-based-ide Atheos 项目的安全公告披露了一个严重漏洞 (CVE-2025-22152),该漏洞可能会危害运行基于 Web 的 IDE 框架的服务器。该路径遍历缺陷的 CVSSv4 得分为 9.4,使用户面临重大风险,包括未经授权的文件访问、远程代码执行和任意文件上传。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页