HackerNews

HackerNews 编译，转载请注明出处： Ubiquiti修复了两个 UniFi 相关漏洞，其中一个高危漏洞可被攻击者用于接管用户账号。 Ubiquiti为其 UniFi 网络管理应用发布了两处漏洞补丁，其中包含一个最高危级别漏洞，攻击者可利用该漏洞实施账号劫持。该软件被广泛用于管理 UniFi 系列网络设备，如无线 AP、交换机及网关等。 UniFi 网络管理应用是Ubiquiti公司开发的管理软件，用于控制和监控旗下 UniFi 系列网络设备。 用户可通过统一控制台对无线 AP、交换机、网关等硬件进行配置、管理与性能优化。IT 管理员可通过本地或云端方式部署网络、监控性能、管理用户、配置安全策略及排查故障。  该厂商修复了编号为CVE-2026-22557的最高危漏洞（CVSS 评分 10.0），该漏洞影响 UniFi 网络应用10.1.85 及更早版本。 处于同一网络中的攻击者可利用 UniFi 中的路径遍历漏洞访问系统文件，进而有可能接管用户账号。 安全公告显示：“具备网络访问权限的恶意人员可利用 UniFi 网络应用中的路径遍历漏洞，访问底层系统文件，并可通过相关操作实现账号入侵。” 10.1.89 及更高版本已修复该漏洞。 Ubiquiti修复的第二个漏洞编号为CVE-2026-22558（CVSS 评分 7.7），同样存在于 UniFi 网络应用中，低权限攻击者可利用该漏洞进行权限提升。 该公司表示：“UniFi 网络应用中存在一处已认证 NoSQL 注入漏洞，获得网络授权访问权限的恶意人员可利用该漏洞提升自身权限。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ConnectWise 已为 ScreenConnect 推送安全更新，优化设备密钥处理机制，防范服务器被入侵。 本次更新修复CVE-2026-3564漏洞（CVSS 评分 9.0），该高危漏洞可被攻击者用于获取会话认证所需的加密密钥材料。 此前，ScreenConnect 将唯一设备密钥存储于服务器配置文件中，在特定场景下存在密钥被窃取的风险。 这款远程监控与管理解决方案的最新版本通过对加密密钥材料进行加密，彻底消除该风险。 ConnectWise 在安全公告中表示：ScreenConnect 26.1 版本强化了设备密钥处理防护机制，新增加密存储与管理功能，降低服务器完整性遭破坏时密钥被未授权访问的风险。 该公司将 CVE-2026-3564 漏洞定级为高优先级，此类漏洞通常为 “正被黑客利用或在野外存在较高被利用风险” 的漏洞。 在另一份公告中，ConnectWise 称已发现有攻击者试图滥用已泄露的ASP.NET设备密钥材料，该密钥用于对受保护的应用数据进行签名与验证。 威胁行为者可利用该加密密钥材料提升在 ScreenConnect 中的权限，并访问活跃会话，最终导致服务器沦陷。 该公司声明：“若某 ScreenConnect 实例的设备密钥材料泄露，攻击者可伪造或篡改受保护数据，且该数据会被系统判定为合法，进而实现对 ScreenConnect 的未授权访问与非法操作。” 有传言称该漏洞多年来一直被中国国家级黑客组织利用，但 ConnectWise 表示暂无证据证实该说法。 ConnectWise 一位发言人向《安全周刊》透露：“公告相关内容，系我方持续强化 ScreenConnect 安全防护的举措，包括针对ASP.NET设备密钥材料的使用与管理进行安全加固。此项工作是缩小攻击面、提升产品安全性整体计划的一部分，相关部署基于持续的内部安全审查与行业过往安全事件经验。” 官方建议用户尽快升级至 ScreenConnect 26.1 版本，检查访问控制策略、限制对配置文件与备份文件的访问权限，并监控日志排查异常行为。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为信用社与银行提供营销及合规解决方案的服务商Marquis本周披露，去年公开的一起数据泄露事件实际影响约67.2 万人。 这家总部位于得克萨斯州的公司于 2025 年 8 月发现，黑客已入侵其系统。 在去年 12 月发布的通知中，该公司称攻击者窃取了姓名、住址、社会安全号码、出生日期、纳税人识别号等个人信息，以及支付卡号等财务信息。这些数据是Marquis代其服务的 700 家银行及信用社中的数十家机构存储的。 Marquis在首次披露泄露事件时，并未公布受影响总人数。此前根据其向美国各州监管部门提交的各州受影响人数，以及涉事金融机构自行披露的数据，外界估算至少有 78 万人受影响。 数据安全机构 Comparitech 在 2026 年 2 月曾预估，受影响人数或高达 160 万。 但Marquis本周向缅因州总检察长办公室证实，实际受影响人数仅略超 67.2 万。 若 67.2 万为真实受影响人数，则此前部分银行与信用社公布的数字可能存在重复统计 —— 部分用户在多家机构均开立账户。 目前尚无网络犯罪团伙宣称对Marquis攻击事件负责，但 Comparitech 此前报道，爱荷华州一家信用社曾发布泄露通知（现已删除），称Marquis支付了赎金，这家金融科技公司尚未对此予以证实。 Marquis未立即回应《安全周刊》要求其证实或否认该说法的问询。 Marquis此前表示，此次攻击利用了SonicWall 防火墙漏洞。在该公司发现攻击期间，Akira 勒索软件组织正加紧利用 SonicWall 防火墙漏洞实施入侵。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个新披露的名为 “PolyShell” 的漏洞，影响所有 Magento 开源版以及 Adobe Commerce 2 稳定版的安装，攻击者利用该漏洞可实现未授权代码执行和账户接管。 目前尚无迹象表明该漏洞已在实际中被主动利用，但电商安全公司 Sansec 警告称，“漏洞利用方法已在流传”，预计很快就会出现自动化攻击。 Adobe 已发布修复程序，但仅在 2.4.9 版本的第二个测试版中可用，这使得正式发布版本仍存在漏洞风险。Sansec 表示，Adobe 提供了 “一种能在很大程度上减少影响的示例网络服务器配置”，然而大多数店铺依赖其托管服务提供商的设置。 在本周发布的一份报告中，Sansec 指出，该安全问题源于 Magento 的 REST API 在处理购物车商品的自定义选项时接受文件上传。 研究人员解释道：“当产品选项类型为‘文件’时，Magento 会处理一个嵌入的 file_info 对象，该对象包含经过 Base64 编码的文件数据、MIME 类型和文件名。文件会被写入服务器上的 pub/media/custom_options/quote/ 目录。” Sansec 称，“PolyShell” 得名于它使用的一种多用途文件，该文件既可以当作图像，又能当作脚本运行。 根据网络服务器的配置不同，该漏洞可通过存储型跨站脚本（XSS）实现远程代码执行（RCE）或账户接管，Sansec 分析的大多数店铺都受此影响。 “Sansec 调查了所有已知的 Magento 和 Adobe Commerce 店铺，发现许多店铺的上传目录文件处于可暴露状态。” 在 Adobe 向正式发布版本推送补丁之前，建议店铺管理员采取以下措施： 限制对 pub/media/custom_options/ 目录的访问 确认 Nginx 或 Apache 规则是否切实阻止了对该目录的访问 扫描店铺，查找是否有上传的恶意脚本、后门程序或其他恶意软件 BleepingComputer 已联系 Adobe，询问何时能提供针对 “PolyShell” 漏洞的安全更新，但截至发布时，尚未收到回复。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纳维亚福利解决方案公司（Navia）正告知近 270 万人，他们遭遇了数据泄露事件，敏感信息已暴露给攻击者。 对该事件的调查显示，黑客在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，得以访问该公司系统。不过，纳维亚公司于 1 月 23 日才发现这一可疑活动。 纳维亚公司表示，发现问题后立即做出响应，并展开调查，以确定此次事件可能造成的影响。 公司在向受影响人员发出的通知中称：“调查发现，在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，有未经授权的人员访问并获取了某些信息。” 纳维亚是一家以消费者为核心的福利管理机构，为全美 1 万多家雇主提供服务。 该公司提供软件及客户服务，用于管理灵活支出账户（FSA）、健康储蓄账户（HSA）、健康报销安排（HRA）、通勤福利以及《综合预算协调法案》（COBRA）相关服务。 此外，它还协助处理通勤福利、生活方式账户、教育福利、合规 / 风险服务以及退休相关事务。 据该公司透露，对此次数据泄露事件的调查表明，黑客访问并可能窃取了以下几类数据： 全名 出生日期 社会安全号码（SSN） 电话号码 电子邮件地址 健康报销安排（HRA）参与情况 灵活支出账户（FSA）信息 《综合预算协调法案》（COBRA）参保信息 纳维亚强调，此次数据泄露并未暴露理赔细节或财务信息。然而，这些已泄露的数据，已足以让威胁行为者针对受影响人员发动网络钓鱼和社会工程攻击。 该公司表示，已重新审视其安全态势和数据保留政策，以找出可能需要改进的薄弱环节，并已将此次事件通知联邦执法部门。 信息遭泄露的客户，将获克罗尔公司（Kroll）提供的为期 12 个月的免费身份保护及信用监测服务。同时，公司也建议收到通知信的客户考虑在其信用档案上设置欺诈警报和安全冻结。 截至撰稿时，尚无勒索软件组织宣称对纳维亚数据泄露事件负责。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周四，美国司法部（DoJ）宣布，在一项获得法庭授权的执法行动中，成功捣毁了多个物联网（IoT）僵尸网络（如 AISURU、Kimwolf、JackSkid 和 Mossad）所使用的命令与控制（C2）基础设施。 此次行动中，加拿大和德国的相关部门也对这些僵尸网络背后的操控者展开了打击。同时，包括阿卡迈（Akamai）、亚马逊网络服务（Amazon Web Services）、Cloudflare、DigitalOcean、谷歌、Lumen、诺基亚（Nokia）、奥克塔（Okta）、甲骨文（Oracle）、贝宝（PayPal）、SpyCloud、Synthient、Team Cymru、Unit 221B 在内的多家私营企业，也协助参与了调查工作。 美国司法部表示：“这四个僵尸网络针对全球范围内的受害者发动了分布式拒绝服务（DDoS）攻击。其中一些攻击流量高达约 30 太比特每秒，堪称破纪录的攻击。” 上个月，Cloudflare 在一份报告中将 2025 年 11 月发生的一次规模达 31.4 Tbps 且仅持续 35 秒的大规模 DDoS 攻击归因于 AISURU/Kimwolf。截至去年年底，据评估，该僵尸网络还发动了超大规模的 DDoS 攻击，平均每秒可达 30 亿数据包（Bpps）、4 Tbps 流量以及每秒 5400 万请求（Mrps）。 独立安全记者布莱恩・克雷布斯（Brian Krebs）还追踪到 Kimwolf 的管理员是来自加拿大渥太华的 23 岁男子雅各布・巴特勒（又名多特）。巴特勒告诉克雷布斯，自 2021 年起他就不再使用 “多特” 这个身份，并称在自己的旧账户遭入侵后，有人一直在冒充他。 巴特勒还称：“由于患有自闭症，在社交方面存在困难，他大多时候都待在家里帮母亲做家务。” 据克雷布斯透露，另一名主要嫌疑人是一名居住在德国的 15 岁少年。目前尚未有逮捕行动的相关消息公布。 该僵尸网络已将超 200 万台安卓设备纳入其网络，其中大部分是受感染的杂牌安卓电视。总体而言，这四个僵尸网络估计在全球范围内感染了不少于 300 万台设备，包括数字视频录像机、网络摄像头或无线路由器等，其中在美国就有数十万台。 美国司法部指出：“Kimwolf 和 JackSkid 僵尸网络被指控针对并感染那些通常与互联网其他部分隔离‘防火墙保护’的设备。受感染的设备被僵尸网络操控者控制。随后，操控者采用‘网络犯罪即服务’模式，将受感染设备的访问权限出售给其他网络犯罪分子。” 这些受感染的设备随后被用于对全球范围内的目标发动 DDoS 攻击。法庭文件指控，这四个 Mirai 僵尸网络变种已发出数十万条 DDoS 攻击指令： AISURU：超 20 万条 DDoS 攻击指令 Kimwolf：超 2.5 万条 DDoS 攻击指令 JackSkid：超 9 万条 DDoS 攻击指令 Mossad：超 1000 条 DDoS 攻击指令 亚马逊网络服务（AWS）副总裁兼杰出工程师汤姆・肖尔（Tom Scholl）在领英（LinkedIn）上发布的一篇文章中表示：“Kimwolf 代表了僵尸网络运作和扩展方式的根本性转变。与传统僵尸网络在开放互联网中扫描易受攻击设备不同，Kimwolf 利用了一种全新的攻击途径：住宅代理网络。通过受感染设备（包括流媒体电视盒和其他物联网设备）渗透家庭网络，该僵尸网络得以访问通常由家用路由器保护免受外部威胁的本地网络。” 阿卡迈表示，这些超大规模的僵尸网络发动的攻击流量超过 30 Tbps、每秒 140 亿个数据包以及每秒 300 万个请求，并补充说，网络犯罪分子利用这些僵尸网络发动了数十万次攻击，在某些情况下还向受害者索要勒索款项。 这家网络基础设施公司称：“这些攻击可能会严重破坏核心互联网基础设施，导致互联网服务提供商（ISP）及其下游客户的服务严重降级，甚至使高容量的基于云的缓解服务不堪重负。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ubuntu 的 CVE-2026-3888 漏洞使得攻击者能够通过 systemd 定时机制漏洞获取 root 权限，该漏洞对 Ubuntu 桌面版 24.04 及更高版本造成严重影响。 Qualys 的研究人员在 Ubuntu 桌面版 24.04 及更高版本中发现了一个高危漏洞，编号为 CVE-2026-3888（通用漏洞评分系统（CVSS）得分为 7.8）。攻击者可以利用 systemd 清理过程中的一个定时问题，将权限提升至 root，从而有可能完全控制存在漏洞的系统。 该漏洞依赖于一个 10 至 30 天的清理窗口期，但最终可能导致整个系统被攻陷。它源于 snap-confine 对特权执行的管理方式，以及 systemd-tmpfiles 删除旧临时文件的机制。 安全公告中写道：“Qualys 威胁研究小组发现了一个本地提权（LPE）漏洞，该漏洞影响 Ubuntu 桌面版 24.04 及更高版本的默认安装。这个漏洞（CVE-2026-3888）允许无特权的本地攻击者通过两个标准系统组件 snap-confine 和 systemd-tmpfiles 的相互作用，将权限提升至完全的 root 访问权限。” “虽然利用该漏洞需要特定的基于时间的窗口（10 至 30 天），但最终结果是主机系统被完全攻陷。” CVE-2026-3888 影响 Ubuntu 的 snap 系统，涉及两个组件：snap-confine 和 systemd-tmpfiles。snap-confine 用于设置安全的应用程序环境，而 systemd-tmpfiles 则用于清理临时文件。漏洞发生的过程如下：攻击者等待一个关键文件夹被删除，然后用恶意文件重新创建该文件夹。当 snap-confine 随后初始化沙盒时，它会以 root 权限挂载这些文件，从而实现权限提升。该漏洞被评定为高危（CVSS 评分为 7.8），攻击需要本地访问权限并把握好时间，但可能导致整个系统被攻陷，影响系统的保密性、完整性和可用性。 Qualys 发布的报告中写道：“虽然 CVSS 评分反映出该漏洞严重性为高，但由于攻击链中固有的时间延迟机制，攻击复杂度也很高。在默认配置中，systemd-tmpfiles 计划删除 /tmp 中的陈旧数据。攻击者可以通过操纵这些清理周期的时间来利用这一点。具体而言，攻击向量包括： 在下一次沙盒初始化期间，snap-confine 会以 root 权限绑定挂载这些文件，从而允许在特权环境中执行任意代码。” 攻击者必须等待系统的清理守护进程（Ubuntu 24.04 中为 30 天；更高版本中为 10 天）删除 snap-confine 所需的关键目录。 一旦该目录被删除，攻击者就用恶意有效载荷重新创建该目录。 多个 snapd 版本易受 CVE-2026-3888 漏洞影响。运行 Ubuntu 桌面版 24.04 及更高版本的系统应立即更新到已打补丁的版本（2.73 及更高版本）。低于 2.75 的上游版本也受到影响。虽然较旧的 Ubuntu 版本默认情况下不受此漏洞影响，但建议安装补丁，以降低非标准配置下的风险。 此外，研究人员还在 uutils coreutils 软件包中发现了一个单独的漏洞，并在 Ubuntu 25.10 发布前与 Ubuntu 安全团队合作将其修复。 安全公告继续指出：“rm 实用程序中的一个竞态条件允许无特权的本地攻击者在 root 拥有的 cron 执行期间用符号链接替换目录项。成功利用此漏洞可能导致以 root 身份任意删除文件，或者通过针对 snap 沙盒目录进一步提升权限。该漏洞在 Ubuntu 25.10 公开发布前已被报告并缓解。Ubuntu 25.10 中的默认 rm 命令已恢复为 GNU coreutils，以立即降低此风险。此后，上游修复已应用于 uutils 代码库。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了另一个复杂的 iOS 漏洞利用工具包，并找到证据表明它已被国家支持的黑客和商业间谍软件供应商使用。 一个被追踪为 UNC6353 的俄罗斯国家支持的间谍组织，在针对乌克兰的攻击中使用了这个 iOS 漏洞利用工具包。 3 月初，谷歌和 iVerify 分享了关于 Coruna 的详细信息，这是一个功能强大的漏洞利用工具包，针对 iOS 13 至 17.2.1 版本中的 23 个漏洞，其中包括近十几个零日漏洞。 Coruna 被视为首个大规模针对 iOS 设备的漏洞利用工具包，UNC6353 在针对乌克兰的水坑攻击中使用了它，随后因其具备窃取加密货币的能力，也被出于经济利益的组织利用。 周三，iVerify、谷歌和 Lookout 分享了 UNC6353 使用的第二个大规模利用 iOS 漏洞的工具包的详细信息。该工具包名为 “暗剑”（DarkSword），它针对苹果移动平台的六个漏洞，只需极少的用户交互就能完全攻陷设备。 “暗剑” 与 Coruna 共享基础设施，且在针对乌克兰的水坑攻击中被使用，这表明它们同属一个威胁行为者的武器库。 用人工智能防御对抗人工智能攻击 谷歌还发现证据表明，“暗剑” 已被商业监视供应商使用，其中包括一个被追踪为 UNC6748 的组织，用于针对沙特阿拉伯、土耳其和马来西亚的攻击。 “暗剑” 完全用 JavaScript 编写，首先利用 Safari 漏洞实现远程代码执行（RCE），接着进行沙盒逃逸，然后利用内核漏洞注入并执行 JavaScript 代码以提升权限并最终执行有效载荷。 观察到的攻击是通过在独立新闻机构顿巴斯新闻（News of Donbas）的网站以及文尼察第七行政上诉法院的官方网站中注入恶意 iframe 来实施的。 完整的攻击链 被攻击的漏洞包括 CVE – 2025 – 31277、CVE – 2025 – 43529、CVE – 2025 – 14174、CVE – 2025 – 43510、CVE – 2025 – 43520 和 CVE – 2026 – 20700。 CVE – 2025 – 31277 和 CVE – 2025 – 43529 是两个 WebContent 进程的即时编译（JIT）问题，可导致任意内存读 / 写原语，“暗剑” 在攻击初始阶段利用了这些问题。 然后，它针对 CVE – 2026 – 20700，以绕过可信路径只读（TPRO）和指针认证码（PAC）保护并实现任意代码执行。该漏洞在 2 月作为零日漏洞被修复。 接下来，攻击链针对 CVE – 2025 – 14174，这是 ANGLE 中的一个越界写入漏洞，结合 PAC 绕过，通过 GPU 进程逃离 Safari 的沙盒。CVE – 2025 – 43529 和 CVE – 2025 – 14174 在 12 月被修复。 从 GPU 进程开始，攻击利用 CVE – 2025 – 43510 针对 XNU 内核，这是一个写时复制漏洞，可在 mediaplaybackd 守护进程中提供任意内存读 / 写原语，然后利用这些原语利用 CVE – 2025 – 43520 实现内核权限提升。 强大的信息窃取能力 Lookout 解释说，最终的有效载荷是一个由众多模块组成的编排器，使攻击者能够从受感染设备中窃取敏感信息。 它的目标包括密码、照片、WhatsApp 和 Telegram 消息、短信、联系人、通话记录、浏览器数据（cookie、历史记录和密码）、已安装的应用程序、Wi – Fi 数据和密码、苹果健康数据、日历和便签、已连接账户的信息以及加密货币钱包。 Lookout 指出：“这种恶意软件非常复杂，似乎是一个专业设计的平台，通过访问高级编程语言能够快速开发模块。这一额外步骤表明，在开发这种恶意软件时投入了大量精力，考虑到了可维护性、长期开发和可扩展性。” 这家网络安全公司还指出，“暗剑” 针对加密货币的攻击能力表明，UNC6353 可能已将其能力扩展到金融盗窃领域，或者它从一开始就是一个出于经济利益的威胁行为者。UNC6353 使用的 Coruna 漏洞利用工具包并未针对加密货币钱包。 数百万部 iPhone 可能受影响 安全研究人员警告称，苹果已经为 Coruna 和 “暗剑” 所针对的所有漏洞推出了补丁，但仍有数亿台设备可能面临攻击。 iVerify 表示：“我们估计，‘暗剑’漏洞利用链仍然影响着相当一部分 iPhone 用户。具体来说，运行 iOS 18.4 至 18.6.2 版本的用户中有 14.2%（约 2.2152 亿台设备）被认为存在漏洞。” 这家网络安全公司指出，如果目标漏洞可用于攻击低于 18.4 版本和高于 26.x 版本的 iOS 系统，受影响设备的数量可能会高得多。 iVerify 解释说：“基于所有 iOS 18 版本都易受该攻击链中大多数漏洞影响的假设，大约 18.99% 的用户（2.96244 亿）可能会受到影响。” 建议用户更新到 iOS 26.3.1 和 18.7.6 版本，这是包含针对 “暗剑” 漏洞利用工具包中所有漏洞补丁的最新平台版本。 在沙特阿拉伯、土耳其和马来西亚的攻击 在过去五个月里，谷歌识别出在 “暗剑” 成功攻击中投放的三个有效载荷，即 GhostBlade、GhostKnife 和 GhostSaber。 这家互联网巨头表示，2025 年 11 月，UNC6748 利用 “暗剑”，通过一个以 Snapchat 为主题的网站，在水坑攻击中针对沙特阿拉伯用户。所使用的恶意软件 Ghostknife 是一个 JavaScript 后门，具备强大的信息窃取能力。 11 月下旬，商业监视供应商 PARS Defense 在针对土耳其用户的攻击中使用了 “暗剑”，并于 2025 年 1 月在针对马来西亚用户的攻击中再次使用。 这些攻击中的有效载荷是 GhostSaber，这是一个 JavaScript 后门，能够进行文件渗出、设备和账户枚举、数据窃取以及执行任意 JavaScript 代码。 UNC6353 自 2025 年 12 月开始使用 “暗剑” 针对乌克兰发动攻击，投放了 GhostBlade 恶意软件，该软件具备信息窃取功能但没有后门能力，这与 iVerify 和 Lookout 的发现一致。 谷歌解释说：“UNC6748、PARS Defense 和 UNC6353 在漏洞利用交付实现方面存在显著的异同。我们评估，每个行为者都在‘暗剑’开发者的一组基本逻辑基础上构建了自己的交付机制，并根据自身需求进行了调整。” 谷歌还指出，虽然 UNC6353 使用的 “暗剑” 漏洞利用工具包仅针对运行 iOS 18.4 – 18.6 版本的设备，但 UNC6748 和 PARS Defense 使用的变体也针对 iOS 18.7 版本。 Lookout 指出：“利用受感染合法网站的水坑攻击本质上是零点击攻击，因为目标受害者可能本来就经常访问恶意网站。即使需要引诱用户访问该网站，社会工程防御培训也无效，因为感染网址是合法的。” 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份保护公司奥拉（Aura）证实，有未经授权方获取了近 90 万条包含姓名和电子邮箱地址的客户记录。 该公司称，此次事件由一起针对其员工的语音网络钓鱼攻击引发，导致 2 万名现有客户和 1.5 万名前客户的敏感数据泄露。 本周，奥拉公司在一份通报中表示，这些数据源自其 2021 年收购的一家公司所使用的营销工具，泄露的信息有限。 奥拉是一家面向消费者的数字安全公司，提供身份盗窃防护、信用与欺诈监测以及针对网络钓鱼的在线安全工具，将自身定位为一站式在线保护服务提供商。 本周早些时候，威胁组织 “闪亮猎人”（ShinyHunters）在其数据勒索网站上宣称实施了此次攻击，并表示他们窃取了 12GB 包含客户个人身份信息（PII）以及公司数据的文件。 该威胁行为者泄露了所窃取的文件，并表示尽管他们给出了各种机会和条件，奥拉公司仍 “未能与他们达成协议”。 闪亮猎人网站上泄露的奥拉公司数据 来源：BleepingComputer 据奥拉公司称，遭泄露的客户信息包括全名、电子邮箱地址、家庭住址和电话号码。该公司强调，社会安全号码（SSN）、账户密码以及财务信息并未泄露。 “我是否已遭泄露”（Have I Been Pwned，HIBP）服务对泄露数据进行了分析，并将其添加到自身数据库中，同时指出客户服务评论和 IP 地址也被曝光。HIBP 还表示，此次事件中曝光的电子邮箱地址，90% 已因过往安全事件存在于其数据库中。 BleepingComputer 就 HIBP 报告称受影响账户略超 90.1 万个与奥拉公司数据存在差异一事向奥拉询问，奥拉公司表示自家数据准确。 这是因为 2021 年收购公司时继承了通过该营销工具收集的数据。然而，数据库中仅有 3.5 万名奥拉客户。该公司拒绝对 “闪亮猎人” 的说法或所谓的奥克塔（Okta）单点登录系统遭入侵一事进一步置评。 目前，奥拉公司正与外部网络安全专家合作开展深入内部审查，并向 BleepingComputer 证实已通知执法部门。 奥拉公司告知我们，很快将向所有受影响人员发送个性化通知。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已责令美国政府机构对其服务器采取防护措施，以应对 Zimbra 协作套件（ZCS）中一个正在遭主动利用的漏洞。Zimbra 是一款广受欢迎的电子邮件与协作软件套件，全球数亿人在使用，其中包括数千家企业和数百家政府机构。 该漏洞编号为 CVE – 2025 – 66376，已于 11 月初修复。这个严重级别的安全漏洞源于经典用户界面（Classic UI）中的一个存储型跨站脚本（XSS）弱点，远程未认证攻击者可通过滥用电子邮件 HTML 中的层叠样式表（CSS）@import 指令加以利用。 虽然 Synacor（Zimbra 背后的公司）并未透露 CVE – 2025 – 66376 攻击成功后的具体影响，但该漏洞很可能被用于通过恶意的基于 HTML 的电子邮件执行任意 JavaScript 代码，这有可能让攻击者劫持用户会话，并在被攻陷的 Zimbra 环境中窃取敏感数据。 周三，CISA 将该漏洞列入其在实际环境中遭利用的漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦政府行政部门（FCEB）机构在 4 月 1 日前的两周内对其服务器进行安全防护。 尽管 BOD 22 – 01 仅适用于联邦机构，但美国这家网络安全机构还是鼓励包括私营部门在内的所有组织尽快修复这个正被主动利用的漏洞。 CISA 警告称：“按照供应商说明采取缓解措施，针对云服务遵循 BOD 22 – 01 的相关指导，若无法实施缓解措施，则停止使用该产品。这类漏洞是恶意网络行为者常用的攻击途径，会给联邦机构带来重大风险。” 遭受攻击的 Zimbra 服务器 Zimbra 的安全漏洞经常成为攻击目标，近年来，这些漏洞已被利用，致使全球数千台易受攻击的电子邮件服务器遭到入侵。 例如，早在 2022 年 6 月，Zimbra 的身份验证绕过和远程代码执行漏洞就被利用，导致 1000 多台服务器被入侵。 从 2022 年 9 月开始，黑客利用 Zimbra 协作套件中的一个零日漏洞，在获取被攻陷服务器的远程代码执行权限后，两个月内入侵了近 900 台服务器。 俄罗斯政府支持的黑客组织 “冬季蝰蛇”（Winter Vivern）也曾利用反射型跨站脚本漏洞，入侵北约相关国家政府的 Zimbra 网络邮件门户，以及政府官员、军事人员和外交官的邮箱。 最近，威胁行为者在零日攻击中利用 Zimbra 的另一个跨站脚本漏洞（CVE – 2025 – 27915）执行任意 JavaScript 代码，从而能够设置电子邮件过滤器，将邮件重定向到攻击者控制的服务器。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 1 月下旬起，“联锁”（Interlock）勒索软件团伙就在零日攻击中，利用思科安全防火墙管理中心（FMC）软件中一个极其严重的远程代码执行（RCE）漏洞。 “联锁” 勒索软件活动于 2024 年 9 月浮出水面，与 ClickFix 以及多起恶意软件攻击有关，在这些攻击中，他们在英国多所大学的网络中部署了一款名为 “NodeSnake” 的远程访问木马。 “联锁” 团伙还宣称对针对达维塔（DaVita）、凯特林健康（Kettering Health）、德克萨斯理工大学系统以及明尼苏达州圣保罗市的攻击负责。最近，IBM X – Force 研究人员报告称，“联锁” 团伙的操作者部署了一种名为 “Slopoly” 的新恶意软件变种，很可能是利用生成式人工智能工具创建的。 思科于 3 月 4 日修复了这个安全漏洞（CVE – 2026 – 20131），并警告称，该漏洞可能让未经身份验证的攻击者在未打补丁的设备上以 root 权限远程执行任意 Java 代码。 亚马逊威胁情报团队周三报告称，在该漏洞被修复前，“联锁” 勒索软件团伙已针对企业防火墙，利用这个安全防火墙管理中心的漏洞发动攻击长达一个多月。 亚马逊综合安全首席信息安全官 CJ・摩西表示：“在查找该漏洞当前或过往的利用情况时，我们的研究发现，‘联锁’团伙从 2026 年 1 月 26 日起就开始利用这个漏洞，比其公开披露时间早了 36 天。这可不是普通的漏洞利用，‘联锁’团伙掌握了一个零日漏洞，这让他们在防御者察觉之前，就有一周时间抢先入侵各机构。” 思科在 3 月 4 日发布了一份安全公告，披露了思科安全防火墙管理中心软件 Web 界面的一个漏洞。周三，思科在发布公告后通过电子邮件向 BleepingComputer 表示：“我们感谢亚马逊在这件事上的合作，并且已在安全公告中更新了最新信息。我们强烈敦促客户尽快升级，并参考我们的安全公告以获取更多详细信息和指导。” 自今年年初以来，思科还修复了其他几个在实际中被当作零日漏洞利用的安全漏洞。例如，1 月，它修复了一个严重级别的思科 AsyncOS 零日漏洞，自 11 月起，该漏洞就被用于入侵安全电子邮件设备；同时，思科还修复了一个关键的统一通信远程代码执行漏洞，这个漏洞也在零日攻击中被利用。 上个月，思科修复了另一个严重级别的漏洞，该漏洞被当作零日漏洞利用，用于绕过 Catalyst SD – WAN 身份验证，攻击者借此能够攻陷控制器，并在目标网络中添加恶意的非法对等节点。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 GNU InetUtils Telnet 守护进程（telnetd）的严重安全漏洞，未经认证的远程攻击者可利用此漏洞以提升的权限执行任意代码。 该漏洞编号为 CVE – 2026 – 32746，通用漏洞评分系统（CVSS）得分 9.8（满分 10 分）。它被描述为在 LINEMODE 设置本地字符（SLC）子选项处理程序中的一次越界写入，从而导致缓冲区溢出，最终为代码执行创造条件。 以色列网络安全公司 Dream 于 2026 年 3 月 11 日发现并报告了该漏洞，称其影响截至 2.7 版本的所有 Telnet 服务实现。预计该漏洞的修复程序不迟于 2026 年 4 月 1 日推出。 Dream 在一份警报中表示：“未经认证的远程攻击者可在初始连接握手期间（即任何登录提示出现之前）发送特制消息来利用此漏洞。成功利用该漏洞可导致以 root 权限执行远程代码。只需对端口 23 发起一次网络连接，就足以触发该漏洞。无需凭证、用户交互，也无需特殊网络位置。” 据 Dream 称，SLC 处理程序在 Telnet 协议握手期间处理选项协商。但鉴于该漏洞可在认证前触发，攻击者在建立连接后，能立即通过发送特制协议消息来利用此漏洞。 如果 telnetd 以 root 权限运行，成功利用该漏洞可能导致系统完全被攻陷。这反过来可能为各种后续攻击行为打开大门，包括部署持久后门、数据渗出，以及以被攻陷主机为支点进行横向移动。 Dream 安全研究员阿迪尔・索尔表示：“未经认证的攻击者通过连接到端口 23 并发送带有多个三元组的特制 SLC 子选项即可触发该漏洞。无需登录，在登录提示出现前的选项协商期间就会触发此漏洞。溢出会破坏内存，并可被转化为任意写入。实际上，这可能导致远程代码执行。由于 telnetd 通常以 root 权限运行（例如在 inetd 或 xinetd 下），成功利用该漏洞将使攻击者完全控制系统。” 在修复程序推出前，如果不必要，建议禁用该服务；在必要情况下，不以 root 权限运行 telnetd；在网络边界和基于主机的防火墙级别封锁端口 23 以限制访问，并隔离 Telnet 访问。 此次漏洞披露距离另一个影响 GNU InetUtils telnetd 的严重安全漏洞（CVE – 2026 – 24061，CVSS 得分：9.8）披露近两个月，据美国网络安全与基础设施安全局称，该漏洞已在实际环境中被主动利用。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果已发布首个 “后台安全改进” 更新，用于修复 iPhone、iPad 和 Mac 上编号为 CVE – 2026 – 20643 的 WebKit 漏洞，且无需进行完整的操作系统升级。 CVE – 2026 – 20643 漏洞可让恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是导航 API 中的一个跨源问题，已通过改进输入验证的方式加以解决。 此漏洞由安全研究员托马斯・埃斯帕赫发现，新更新适用于 iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1 和 macOS 26.3.2 系统。 此次发布是苹果首次通过其新的 “后台安全改进” 功能推送安全修复程序。该功能用于在正常安全更新周期之外，提供小规模的非同步补丁。 苹果解释称：“‘后台安全改进’为 Safari 浏览器、WebKit 框架栈及其他系统库等组件提供轻量级安全更新，这些组件受益于软件更新之间的小型持续性安全补丁。” “在极少数兼容性问题的情况下，‘后台安全改进’更新可能会被暂时移除，然后在后续的软件更新中进行强化。” 过去，苹果的安全更新要求用户安装新的操作系统版本并重启设备。然而，借助 “后台安全改进” 功能，苹果现在可以在后台为特定组件提供小规模更新。 苹果在 iOS 26.1、iPadOS 26.1 和 macOS 26.1 中添加了这一功能，称其旨在快速修复版本发布期间的安全漏洞。 用户可通过设备设置中的 “隐私与安全” 菜单访问该功能。在 iPhone 和 iPad 上，进入 “设置”，然后点击 “隐私与安全”；在 Mac 上，从苹果菜单中选择 “系统设置”，然后点击 “隐私与安全”。 苹果警告称，卸载 “后台安全改进” 更新会移除所有先前应用的后台补丁，将设备恢复到基础操作系统版本（如 iOS 26.3.1），且不包含任何增量安全修复。这实际上会移除通过该功能提供的快速响应安全保护，使设备处于基础安全级别，直到重新应用更新或在未来的完整更新中包含这些更新。 因此，除非基础安全改进在您的设备上引发问题，否则强烈建议不要卸载。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。 朗多克斯僵尸网络最早于去年下半年被详细披露，至少从 2025 年 3 月起就已活跃，当时安全研究人员观察到与之相关的首次攻击尝试。 自 2025 年 4 月起，该僵尸网络的运营者开始进行系统性的漏洞扫描，大多采用 “霰弹枪” 式的方法来入侵设备。 到 10 月时，它已针对 56 个漏洞发起攻击，其中包括一些未分配 CVE 编号的漏洞，12 月，有人发现它在攻击 React2Shell。 如今，BitSight 表示，由于其开发者密切关注漏洞披露信息，在漏洞被分配 CVE 编号之前就展开攻击，该僵尸网络的攻击漏洞列表已扩充至 174 个不同的漏洞。 此外，朗多克斯僵尸网络已将其攻击策略转变为更具针对性的方式。不再像之前观察到的 “霰弹枪” 方法那样，对同一设备发动多种攻击，而是聚焦于那些更有可能导致感染的特定漏洞。 抵御人工智能威胁 朗多克斯僵尸网络与 Mirai 有诸多相似之处，它也以瞄准弱密码和未经清理的输入来获取初始访问权限而闻名。它与 Mirai 的不同之处在于，其重点在于发动分布式拒绝服务（DDoS）攻击，而非扫描和感染更多设备。 为扩大僵尸网络规模，朗多克斯的运营者利用自身基础设施在互联网上扫描易受攻击的设备，然后部署可躲避检测的植入程序，清除其他恶意软件，找到合适的目录来放置主二进制文件并执行。 BitSight 对该僵尸网络的调查显示，它使用了二十多个 IP 地址用于设备攻击、有效载荷分发和僵尸网络管理，其中包括可能属于受感染系统的住宅 IP。 朗多克斯的运营者不断在其攻击漏洞列表中添加和删除漏洞，曾观察到他们在一天内使用多达 49 个漏洞。然而，大多数漏洞很快就被弃用。 BitSight 指出：“在研究每个漏洞的使用频率时，出现了明显的长尾趋势。虽然平均每个漏洞使用 18 天，但在已识别的 174 个漏洞中，近一半（84 个，占 48%）仅被使用一天。这表明他们尝试各种漏洞，并根据每个漏洞的成功率采取行动。” 据这家网络安全公司称，该僵尸网络的运营者似乎密切关注与漏洞相关的发布信息，至少有一次，他们在漏洞公开披露前两天就利用了该安全缺陷。 BitSight 称，尽管他们紧跟新漏洞信息，但运营者未能正确实施针对这些漏洞的可用攻击手段。 这家网络安全公司还指出，该僵尸网络似乎并未使用 “加载器即服务” 来进行分发，且之前有关朗多克斯具备 P2P 功能的报道似乎并不准确。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周五，美国机器人手术巨头直觉外科（Intuitive）称其遭遇网络攻击，导致数据泄露。直觉外科致力于研发、制造并销售用于微创手术的机器人产品，比如达芬奇手术系统和艾昂（Ion）腔内系统。 据该公司称，此次事件源于一起 “有针对性的网络安全钓鱼事件”，致使某些内部商业应用程序被未经授权访问。公司方面表示：“发现问题后，我们迅速启动了事件响应预案，并对所有受影响的应用程序进行了安全处理。” 攻击者利用被盯上的员工对内部商业管理网络的访问权限，获取了客户业务及联系信息、员工信息和公司数据。 根据直觉外科发布的事件通知，此次攻击并未影响其运营，也未影响其为客户提供支持的能力。 为人工智能代理设置防护措施 该公司还称：“我们的机器人系统拥有独立的安全协议，与内部商业网络分开运行。” 同时指出，攻击者并未进入支持其制造业务以及达芬奇和艾昂平台及数字产品的网络，这些网络与内部信息技术商业应用网络相互独立。 直觉外科表示：“医院客户网络与直觉外科网络相互独立，由客户的信息技术团队进行安全保护和管理，因此也未受影响。” 该公司称，此次事件对其业务或财务状况不应产生重大影响，目前攻击已得到全面控制，且已通知相关的数据隐私监管机构。 不过，直觉外科并未透露攻击的时间线、攻击者是谁，以及可能有多少人受到数据泄露的影响。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 负责维护英国公司公共登记册的政府机构 —— 公司注册处（Companies House）的一个网络应用程序中发现了一个严重漏洞。 据税务政策协会（Tax Policy Associates）称，该安全漏洞于 3 月 12 日由 Ghost Mail 的约翰・休伊特（John Hewitt）发现，但在推出补丁之前，它已存在了数月之久。 休伊特发现，任何已登录的用户都可以访问公司注册处平台上其他公司的账户。攻击者本可以获取 500 万家注册公司的非公开信息，包括董事的出生日期、家庭住址和电子邮件地址。 此外，攻击者还可以更改公司信息并提交未经授权的文件备案。 虽然该漏洞只能由已通过身份验证的攻击者利用，但实施攻击轻而易举，且无需技术技能。 攻击者只需选择 “为其他公司提交文件” 选项，输入目标公司的唯一编号，当系统提示输入验证码时，多次按下返回按钮。随后，攻击者将自动登录目标公司的账户。 在 RSAC 与我们会面 公司注册处在周一发布的一份声明中证实了这一安全漏洞，并表示它影响了其在线申报服务（WebFiling service）。该漏洞于 2025 年 10 月出现，在周五该服务关闭后，于周末得到修复。 该机构表示：“普通公众无法访问此漏洞。只有拥有授权码并登录该服务的用户才能执行此操作。” 公司注册处澄清，该漏洞并未暴露密码以及身份验证过程中收集的信息（如护照信息）。此外，攻击者无法对已提交的现有文件进行更改。 该机构解释称：“我们认为，此问题无法用于大量提取数据或系统地访问记录。任何访问都将仅限于单个公司记录，且每次只能由注册的在线申报用户查看一家公司记录。” 公司注册处还指出，虽然尚未发现有任何数据通过利用此漏洞被访问或更改的情况，但各公司仍应核实自身详细信息和申报历史，并报告任何可疑情况。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Sophos 研究人员称，ClickFix 攻击活动正在演变，攻击者越来越多地将目标对准 macOS 用户，并部署更高级的信息窃取程序。 ClickFix 是一种不断发展的社会工程技术，诱骗用户手动执行恶意命令，从而绕过传统防护措施。它最初主要针对 Windows 系统，如今正越来越多地影响 macOS 系统，近期的攻击活动部署了诸如 AMOS 和 MacSync 之类的信息窃取程序。研究人员指出，这种策略演变可能是防御措施以及更广泛技术趋势共同作用的结果。 Sophos 研究人员分析了三次针对 macOS 用户、使用 MacSync 信息窃取程序的 ClickFix 攻击活动。 2025 年 11 月，攻击者依赖相对 “经典” 的 ClickFix 技术。搜索与 ChatGPT 相关工具的受害者会被恶意的谷歌推广链接引诱，这些链接指向假冒的 OpenAI/ChatGPT 页面。这些页面指示用户复制并执行经过混淆的终端命令，最终下载并运行 MacSync 信息窃取程序。这种方法简单直接却很有效，主要依靠用户的信任和欺骗手段。 Sophos 发布的报告称：“请注意上述终端命令，解密后，它会从威胁行为者控制的网站下载并执行一个 Bash 脚本。该脚本会请求用户密码，然后获取并以用户级权限运行一个恶意 MachO 二进制文件（即 MacSync 信息窃取程序）。” 到 2025 年 12 月，这些攻击活动在传播和规避策略方面明显变得更加高级。攻击者不再直接将用户重定向到虚假下载站点，而是利用 ChatGPT 的合法共享对话来建立可信度。这些页面随后导向模仿 GitHub 风格的虚假界面，模拟合法的安装流程，诱使用户运行恶意命令。这种技术有助于绕过 macOS 的防护机制，如 Gatekeeper 和 XProtect。 报告继续指出：“ChatGPT 对话看似是诸如‘如何清理你的 Mac’或安装工具的实用指南，但却将受害者重定向到恶意的 GitHub 风格登录页面，这些页面又使用虚假的 GitHub 风格安装界面诱骗用户运行恶意终端命令（攻击链中的 ClickFix 部分）。这可能会绕过 macOS 的安全控制，如 Gatekeeper 和 XProtect。” 与此同时，攻击者引入了复杂的跟踪基础设施，包括基于 JavaScript 的分析、IP 和地理位置记录，以及通过 Telegram 机器人进行实时报告。这使他们能够监控攻击活动的效果，在多个域名上，用户交互达到了数万次。 到 2026 年 2 月，该攻击活动已演变成一种更为高级且隐蔽的威胁。虽然在初始阶段仍依赖用户交互，但有效载荷的交付已转变为多阶段的 “加载器即服务” 模式。恶意软件不再使用简单的二进制文件，而是采用经过混淆的 Shell 脚本、受 API 密钥保护的命令与控制基础设施，以及在内存中执行的动态 AppleScript 有效载荷。这些改进显著提高了对静态和行为检测的规避能力。 最新版本的 MacSync 会进行广泛的数据收集，目标包括浏览器数据、凭证、文件、SSH 密钥、云配置以及加密货币钱包。它还具备诸如分块数据渗出、持久化机制和反分析技术等高级功能。值得注意的是，它可以通过注入恶意代码来篡改 Ledger 钱包应用程序，从而窃取种子短语，使攻击者能够直接窃取加密货币资产。 总体而言，这些攻击活动表明，攻击者已从相对简单的社会工程攻击转向高度模块化、隐蔽且以数据为重点的操作，这既反映了对防御措施的适应，也体现了攻击者技术的日益成熟。 报告总结道：“这三次攻击活动展示了多种策略，以及对传统 ClickFix 模型的一些改变。尽管这三次攻击活动都在某种程度上利用了与生成式人工智能（GenAI）相关的诱饵，但从模仿知名合法公司的恶意网站转向 ChatGPT 共享对话，代表了社会工程学方面一个有趣的转变。在此，威胁行为者利用了两件可能对他们有利的事情：在受信任的域名上托管恶意内容（第一次攻击活动也采用了这一手段），以及利用 ChatGPT 对话相对新颖这一点。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，美国能源部负责网络安全的最高官员表示，该部门计划首次发布一项战略计划，阐述其将如何更好地保护国家电网。 网络安全、能源安全与应急响应办公室（CESER）代理主任亚历克斯・菲茨西蒙斯称，该计划旨在补充近期发布的国家网络安全战略，重点聚焦于能源部将如何增强能源行业的 “安全弹性”。 菲茨西蒙斯表示，与私营部门建立伙伴关系的重要性以及强化合作的方式，将是这份战略计划的核心内容。 “私营企业在很大程度上负责保护自身网络，我们必须与之合作，” 菲茨西蒙斯在华盛顿特区举行的麦克拉里网络峰会上说道，“我们必须能够及时向他们提供可行的信息，以便他们保障自己网络的安全。” 菲茨西蒙斯还提到，该计划将着力研究如何通过最佳方式投资人工智能，以抵御对手部署的人工智能驱动的攻击性网络武器。 菲茨西蒙斯称：“我们必须在网络防御方面对人工智能进行投资，相关信息和技术将用于保障并强化关键能源基础设施，尤其是那些可能在未来冲突中涉及的国防关键能源基础设施。” “所有这些强化措施和信息技术，有助于我们应对网络和实体安全事件，并从中吸取经验教训，为能源行业及时提供可行的信息，这就是 CESER 战略计划的核心要点。” 在小组讨论结束后，记者在走廊上询问战略计划何时发布，菲茨西蒙斯只回答了 “很快”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文电子商务套件（Oracle E – Business Suite，简称 EBS）遭黑客攻击事件中，几家被列为受害者的全球巨头，对这一网络安全事件所造成的影响仍未作声。 Cl0p 勒索软件和敲诈团伙宣称对此次针对 EBS 用户的黑客攻击负责。此次攻击利用零日漏洞，获取企业存储在甲骨文企业管理软件中的数据，进而实施敲诈勒索。 尽管 Cl0p 是此次攻击对外公开的勒索品牌，但网络安全界认为，该行动可能是由一群威胁行为者推动的，其中最引人注目的是 FIN11。 黑客在 Cl0p 泄密网站上列出了 100 多家涉嫌在甲骨文 EBS 攻击事件中受害的企业，涉及科技、电信、软件、重工业、制造、工程、零售、消费品、能源、公用事业、媒体、金融和娱乐等多个行业。 对于大多数受害者，网络犯罪分子发布了种子文件，指向据称从其系统中窃取的信息。这表明这些受害者拒绝支付赎金。 此次攻击中的大多数大型企业已发布公开声明，确认发生数据泄露事件。许多企业称事件影响有限，但仍告知受影响人员潜在风险。 然而，仍有少数几家大型公司似乎尚未就此事发布任何公开声明，既未确认也未否认遭受攻击，甚至没有表示正在进行调查。 其中包括半导体和基础设施软件公司博通、工程建筑公司柏克德、化妆品集团雅诗兰黛公司，以及医疗设备和医疗保健解决方案提供商雅培公司。 它们均在 2025 年 11 月 20 日左右被列在 Cl0p 网站上。 企业可能需要数月甚至一年的时间来调查数据泄露事件并确定其全面影响。不过，大型企业通常至少会承认正在进行调查。 博通、柏克德、雅诗兰黛和雅培对多次置评请求均未回应。 黑客泄露的数据 SecurityWeek 并未下载任何泄露的数据，但对据称从 Cl0p 网站上提及的一些大型公司获取的数据进行了简要的元数据和文件树分析，发现这些文件确实源自甲骨文 EBS 环境。 以博通为例，网络犯罪分子公开了超过 2TB 的档案，据称这些档案存储了从该公司窃取的文件。雅诗兰黛的种子文件指向 870GB 的存档文件。 在撰写本文时，指向柏克德和雅培文件的种子文件仍然可用，但无法获取数据进行分析。然而，这并不意味着网络犯罪分子无法再访问这些文件，因为它们也可能在地下论坛私下传播。 一方面，像 Cl0p 这样的网络犯罪组织经常夸大其数据泄露的范围，促使许多公司迅速发布声明，否认或淡化相关指控，以安抚客户和利益相关者，表明任何影响都是有限的。 此外，如果没有受监管的数据（如健康信息、社会安全号码或支付细节）遭到泄露，公司没有法律义务公开披露该事件。如果数据泄露未达到重大程度，根据美国证券交易委员会（SEC）的规定，也无需向投资者报告。 另一方面，一些组织可能出于战略、公关和法律原因故意保持沉默。即使承认正在进行调查，也可能引发诉讼、卖空压力或额外的监管审查。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 警告美国政府机构，要保护其 Wing FTP 服务器，防范一个已在攻击中被积极利用的漏洞，该漏洞可能被用于远程代码执行攻击链条。 Wing FTP 服务器是一款跨平台的 FTP 服务器软件，通过其内置的 SFTP 和网络服务器，还能实现安全文件传输。开发者称，他们的文件传输软件在全球拥有超过 10000 家客户，其中包括美国空军、索尼、空客、路透社和丝芙兰。 这个被追踪为 CVE – 2025 – 47813 的安全漏洞，使得低权限的威胁行为者能够在未打补丁的服务器上获取该应用程序完整的本地安装路径。 CISA 解释称：“Wing FTP 服务器在 UID cookie 中使用长值时，存在生成包含敏感信息的错误消息漏洞。” 开发者于 2025 年 5 月在 Wing FTP 服务器 v7.4.4 版本中修复了此漏洞，同时修复的还有一个严重的远程代码执行（RCE）漏洞（CVE – 2025 – 47812）以及一个可用于窃取用户密码的信息泄露漏洞（CVE – 2025 – 27889）。 此前，在有关该 RCE 漏洞的技术细节公开一天后，攻击者就开始利用它，该漏洞也因此被标记为已在实际攻击中被利用。 发现并报告这些漏洞的安全研究员朱利安・阿伦斯（Julien Ahrens），于 6 月还分享了 CVE – 2025 – 47813 的概念验证利用代码，并表示攻击者可能将其与 CVE – 2025 – 47812 作为同一攻击链条的一部分来利用。 周二，CISA 将 CVE – 2025 – 47813 列入其被积极利用漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦民用行政部门（FCEB）机构在两周内保护好他们的系统。 虽然 BOD 22 – 01 仅针对联邦机构，但美国网络安全机构鼓励所有安全防护人员，包括私营部门的人员，尽快为其服务器打补丁，以应对正在发生的攻击。 CISA 在周一警告称：“这类漏洞是恶意网络行为者常用的攻击途径，对联邦机构构成重大风险。” “请按照供应商说明采取缓解措施，遵循 BOD 22 – 01 中关于云服务的适用指导；若无法采取缓解措施，则停止使用该产品。” 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文