Aggregator

【火绒安全周报】沃尔沃员工资料外泄/Reddit因儿童隐私违规处理被罚

火绒小问答——「企业版」计划任务

A novel tool for the remote exploitation of Android devices has surfaced on clandestine forums, already earning the

The post Total System Eclipse: “Oblivion” Malware Hijacks Android 16 with Unprecedented Stealth appeared first on Penetration Testing Tools.

A major networking vendor has issued an out-of-cycle security bulletin to address a critical vulnerability in its Junos OS Evolved software, specifically affecting PTX Series platforms. This flaw, identified as CVE-2026-21902, allows an unauthenticated, remote attacker to execute arbitrary code as the ‘root’ user, effectively granting them complete control over the affected device. The vulnerability […]

The post Juniper Networks PTX Vulnerability Enables Full Router Takeover appeared first on Cyber Security News.

Apple confirmed that the iPhone and iPad have been approved for use with classified information in NATO restricted environments. The devices will no longer require special software or settings to handle NATO restricted-level information. “This achievement recognizes that Apple has transformed how security is traditionally delivered. Prior to iPhone, secure devices were only available to sophisticated government and enterprise organizations after a massive investment in bespoke security solutions,” stated Ivan Krstić, Apple’s VP of Security … More →

The post NATO greenlights iPhone and iPad for classified information handling appeared first on Help Net Security.

Microsoft is strengthening its cybersecurity ecosystem by extending Microsoft Defender for Office 365 (MDO) URL click alerts to Microsoft Teams. Previously focused on email threats, this update gives security teams crucial visibility into potentially malicious activity happening within Teams messages. As attackers increasingly target collaboration platforms, this enhancement proactively notifies administrators when users click on […]

The post Microsoft Defender Expands URL Click Alerts to Include Microsoft Teams for Enhanced Security Visibility appeared first on Cyber Security News.

AI accelerates incident response by correlating alerts and generating reports in minutes, helping teams scale beyond manual limits. Incident response has always been a race against the clock. It starts ticking the moment an alert is triggered, and each minute thereafter can lead to lost revenue, regulatory exposure, reputational damage, or customer churn. Traditionally, incident […]

横河電機製Vnet/IPインターフェースパッケージには、複数の脆弱性が存在します。

Link11, a European provider of cloud-based IT security solutions, was honored at the G2 Best Software Awards 2026, ranking 22nd in the Best German Software Companies category. As the world’s largest software marketplace, G2 reaches over 100 million buyers annually. The regular Best Software Awards recognize the world’s best software companies and products based on authentic and […]

The post Link11 ranks among the best German software companies at the G2 Awards appeared first on Link11.

A vulnerability has been found in Xerox FreeFlow Core up to 8.0.7 and classified as problematic. Impacted is an unknown function of the component XML Handler. The manipulation leads to xml external entity reference. This vulnerability is referenced as CVE-2026-2252. Remote exploitation of the attack is possible. No exploit is available.

A vulnerability, which was classified as critical, was found in Xerox FreeFlow Core up to 8.0.7. This issue affects some unknown processing. Executing a manipulation can lead to path traversal. The identification of this vulnerability is CVE-2026-2251. The attack may be launched remotely. There is no exploit available.

CPU Monaka - чудо 3D-стэкинга.

A vulnerability, which was classified as critical, has been found in NTT Data Intramart intra-mart Accel Platform. This vulnerability affects unknown code of the component IM-LogicDesigner Module. Performing a manipulation results in deserialization. This vulnerability was named CVE-2026-27776. The attack may be initiated remotely. There is no available exploit.

HackerNews 编译，转载请注明出处： 嵌入在可访问客户端代码中的 Google Maps 等服务 API 密钥，可被用于向 Gemini AI 助手进行身份认证并访问私有数据。 研究人员在扫描各行业机构（甚至包括 Google 自身）的互联网页面时，发现了近 3000 个此类密钥。 该问题在 Google 推出 Gemini 助手、开发者开始在项目中启用 LLM API 后出现。在此之前，Google Cloud API 密钥不被视为敏感数据，即使暴露在公网也无风险。 开发者可使用 API 密钥扩展项目功能，例如在网站中加载地图、嵌入 YouTube、使用追踪或 Firebase 服务。 Gemini 推出后，Google Cloud API 密钥同时成为了 Google AI 助手的身份认证凭证。 TruffleSecurity 研究人员发现该问题并警告：攻击者可从网页源码中复制 API 密钥，通过 Gemini API 服务访问私有数据。 由于 Gemini API 并非免费使用，攻击者可利用该权限发起 API 调用为自身牟利。 Truffle Security 表示：“根据模型与上下文窗口不同，攻击者耗尽 API 调用额度可能导致单个受害账户每天产生数千美元费用。” 研究人员警告称，这些 API 密钥已在公开 JavaScript 代码中暴露多年，如今却在无人察觉的情况下突然获得了更高危的权限。 （来源：TruffleSecurity） TruffleSecurity 扫描了 2025 年 11 月的 Common Crawl 数据集（大量热门网站的代表性快照），在代码中发现超过 2800 个公开暴露的活跃 Google API 密钥。 据研究人员称，部分密钥被大型金融机构、安全公司和招聘公司使用。他们已向 Google 报告该问题，并提供了来自其基础设施的样本。 在其中一例中，一个仅用作标识符的 API 密钥至少从 2023 年 2 月开始部署，并嵌入在 Google 某产品公网网站的页面源码中。 Google 暴露的密钥（来源：TruffleSecurity） Truffle Security 通过调用 Gemini API 的 /models 端点并列出可用模型对该密钥进行了测试。 研究人员已于去年 11 月 21 日将该问题告知 Google。 经过多轮沟通，Google 于 2026 年 1 月 13 日将该漏洞归类为 “单服务权限提升”。 Google 在向 BleepingComputer 发表的声明中表示，已知晓该报告，并 “与研究人员合作解决了该问题”。 Google 发言人向 BleepingComputer 表示：“我们已实施主动措施，检测并阻止泄露的 API 密钥访问 Gemini API。” Google 表示，新的 AI Studio 密钥将默认仅限定 Gemini 权限，泄露的 API 密钥将被禁止访问 Gemini，且检测到泄露时将发送主动通知。 开发者应检查项目中是否启用了 Gemini（Generative Language API），审计环境中所有 API 密钥是否公开暴露，并立即轮换密钥。 研究人员还建议使用 TruffleHog 开源工具检测代码与仓库中暴露的活跃密钥。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Aeternum C2 的新型僵尸网络加载器细节，该恶意软件采用基于区块链的命令与控制（C2）架构，使其难以被取缔。 Qrator Labs 在提交给 The Hacker News 的报告中表示：“Aeternum 不依赖传统服务器或域名实现命令与控制，而是将指令存储在公共的 Polygon 区块链上。” “该网络被包括全球最大预测市场 Polymarket 在内的去中心化应用广泛使用。这种方式使 Aeternum 的 C2 架构具备事实上的永久性，且能够抵御传统取缔手段。” 这并非首次发现僵尸网络依赖区块链实现 C2 通信。 2021 年，谷歌表示已采取行动干扰名为 Glupteba 的僵尸网络，该网络将比特币区块链用作备用 C2 机制，以获取真实 C2 服务器地址。 Aeternum C2 的相关细节最早于 2025 年 12 月曝光，Outpost24 旗下 KrakenLabs 披露，名为 LenAI 的威胁行为者在地下论坛以 200 美元的价格兜售该恶意软件，向客户提供管理面板与已配置的编译版本。 据称，支付 4000 美元即可获得完整的 C++ 源代码及后续更新。 该恶意软件为原生 C++ 加载器，提供 32 位与 64 位版本，其运行机制是将下发给受感染主机的命令写入 Polygon 区块链上的智能合约。 僵尸主机随后通过查询公共远程过程调用（RPC）端点读取这些命令。 所有操作均通过基于网页的管理面板进行，客户可在面板中选择智能合约、选择命令类型、指定载荷 URL 并进行更新。 可面向全部终端或指定终端的命令会以交易形式写入区块链，之后所有轮询该网络的受感染设备均可获取该命令。 Qrator Labs 表示：“命令一经确认，除钱包持有者外，其他任何人都无法修改或删除。” “操作者可同时管理多个智能合约，每个合约可承载不同的载荷或功能，例如剪切器、信息窃取器、远程访问木马或挖矿程序。” 根据 Ctrl Alt Intel 本月早些时候发布的两部分研究内容，该 C2 面板基于 Next.js 网页应用实现，允许操作者向 Polygon 区块链部署智能合约。智能合约中包含一个函数，当恶意软件通过 Polygon RPC 调用该函数时，合约会返回加密命令，该命令随后会在受害主机上解密并执行。 除利用区块链实现抗取缔能力外，该恶意软件还集成了多种反分析功能，以延长感染存活时间。其中包括检测虚拟化环境，同时为客户提供通过 Kleenscan 扫描其编译版本的能力，确保不被杀毒软件厂商检出。 这家捷克网络安全厂商表示：“运营成本极低：价值 1 美元的 Polygon 网络原生代币 MATIC，即可支持 100 至 150 次命令交易。操作者无需租用服务器、注册域名或维护任何基础设施，仅需一个加密货币钱包和面板的本地副本即可。” 该威胁行为者随后试图以 10000 美元的价格出售整套工具包，声称无暇提供支持且正在参与其他项目。LenAI 称：“我将把整个项目出售给一个人，允许转售和商业使用，授予全部‘权限’。我还会提供尚未实现的开发相关实用提示 / 笔记。” 值得注意的是，LenAI 还开发了另一款恶意软件工具 ErrTraffic，该工具可使威胁行为者在受攻陷网站上制造虚假故障，自动实施 ClickFix 攻击，制造虚假紧急感并诱骗用户执行恶意指令。 本次披露发布的同时，Infrawatch 也公布了一项地下服务的细节：该服务将专用笔记本硬件部署到美国家庭中，将这些设备纳入名为 DSLRoot 的住宅代理网络，用于转发恶意流量。 该硬件运行基于 Delphi 编写的 DSLPylon 程序，该程序具备枚举网络中受支持调制解调器的能力，并可通过安卓调试桥（ADB）集成功能远程控制家用网络设备与安卓设备。 Infrawatch 表示：“溯源分析确认，该服务运营者为白俄罗斯公民，常住地为明斯克和莫斯科。据估计，DSLRoot 在美国 20 多个州运营约 300 台活跃硬件设备。” 该运营者身份已确认为 Andrei Holas（别名 Andre Holas、Andrei Golas），该服务由 BlackHatWorld 上名为 GlobalSolutions 的用户推广，声称提供实体住宅 ADSL 代理，无限制使用价格为每月 190 美元。套餐价格为半年 990 美元、一年 1750 美元。 该公司指出：“DSLRoot 的定制软件可通过 ADB 对家用调制解调器（ARRIS / 摩托罗拉、贝尔金、D-Link、华硕）与安卓设备实现自动化远程管理，支持 IP 地址轮换与连接控制。” “该网络无需认证即可运行，允许客户端通过美国住宅 IP 匿名转发流量。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技已修复 Apex One 中的两处高危漏洞，攻击者可利用这些漏洞在受影响的 Windows 系统上执行远程代码。该公司已发布安全更新，并强烈建议客户尽快安装补丁，以防范漏洞被利用，避免环境遭受入侵。 Trend Micro Apex One 是一款一体化高级终端安全解决方案。 该方案通过单一代理提供勒索软件防护、零日威胁防御、EDR、预测式机器学习、DLP 及虚拟补丁功能。 该安全厂商修复的第一个漏洞为控制台目录遍历 RCE 漏洞，编号 CVE-2025-71210（CVSS 评分 9.8）。 安全公告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” 该公司修复的第二个漏洞同样为控制台目录遍历远程代码执行漏洞，编号 CVE-2025-71211（CVSS 评分 9.8）。报告指出，该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。 报告显示：“Trend Micro Apex One 管理控制台存在一处漏洞，远程攻击者可上传恶意代码并在受影响部署环境中执行命令。该漏洞影响范围与 CVE-2025-71210 相似，但影响不同的可执行文件。利用该漏洞需要攻击者能够访问 Trend Micro Apex One 管理控制台，因此控制台 IP 对外暴露的用户应考虑采取源限制等缓解措施（如尚未配置）。” CoreCloud Tech 的研究人员 Jacky Hsieh 与 Charles Yang 通过 TrendAI 零日计划报告了这两处漏洞。SaaS 版本已完成缓解处理，无需用户操作。 趋势科技已修复 SaaS 版 Apex One 中的相关漏洞，并发布关键补丁版本 14136。 该公司同时修复了 Windows 代理中的两处高危权限提升漏洞：（CVE-2025-71212：扫描引擎符号链接跟随本地权限提升漏洞；CVE-2025-71213：来源验证错误本地权限提升漏洞以及影响 macOS 代理的四个问题。） 该网络安全厂商未披露这些漏洞是否已在真实攻击中被利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DIY 连锁品牌 ManoMano 正通知客户发生数据泄露事件，该事件由黑客入侵第三方服务提供商导致。 该公司向 BleepingComputer 证实，其于 2026 年 1 月获悉此次入侵事件。事件调查结果显示，共有 3800 万人受到影响。 该公司向 BleepingComputer 表示：“我们可以确认，ManoMano 近期已就涉及一家第三方客户服务提供商（分包商）的安全事件通知了客户。” “2026 年 1 月，我们发现与该提供商相关的未授权访问行为，导致与客户账户及客服交互相关的部分个人数据被未授权提取。” ManoMano 是一家法国电商企业，运营专注于 DIY、家居装修、园艺及相关产品的在线商城。 其业务覆盖法国、比利时、西班牙、意大利、德国和英国，据称其线上商城每月独立访客量达 5000 万。 本月早些时候，一名使用化名 “Indra” 的人员在黑客论坛宣称对 ManoMano 发动攻击，声称其持有 3780 万用户账户信息以及数千份支持工单和附件。 据未经证实的报道，遭入侵的机构是一家位于突尼斯的客户支持服务提供商，该机构发生了 Zendesk 系统泄露。 网络安全公司 Hackmanac 发布消息称，ManoMano 于本周开始通知客户其数据已被盗取。 ManoMano 发言人向 BleepingComputer 解释称，暴露的信息因人而异，取决于用户与平台的交互类型。 暴露的数据类型包括： ·     姓名 ·     电子邮箱 ·     电话号码 ·     客服沟通记录 ManoMano 强调，账户密码未被访问，公司系统内未发生数据篡改。 ManoMano 发言人表示：“发现事件后，我们立即采取措施加固环境安全，包括禁用相关访问权限、撤销分包商对客户数据的访问权限，并强化访问控制与监控。” “我们已通知包括 CNIL 和 ANSSI 在内的相关监管机构，并告知受影响客户保持警惕，防范钓鱼攻击与社会工程学攻击。” 发送给客户的通知（来源：ManoMano） ManoMano 向 BleepingComputer 提供的通知样本中包含对客户的建议，包括核验 incoming 通信与发件人身份、监控银行账户是否存在欺诈交易、避免点击可疑链接或下载邮件附件。 ManoMano 表示，调查仍在进行中，现阶段无法提供更多技术细节。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Juniper 网络 PTX 系列路由器所搭载的 Junos OS Evolved 网络操作系统存在一处高危漏洞，可能未经身份验证的攻击者可利用该漏洞以 root 权限远程执行代码。 PTX 系列路由器是高性能核心与对等互联路由器，专为高吞吐量、低延迟和规模化场景设计。 该系列路由器广泛应用于互联网服务提供商、电信运营商以及云网络场景。 该安全漏洞编号为 CVE-2026-21902，由 “本机异常检测” 框架中的权限配置错误导致，该框架本应仅通过内部路由接口向内部进程开放。 但 Juniper 网络在安全公告中说明，该缺陷可使攻击者通过外部开放端口访问该框架。 由于该服务以 root 身份运行且默认启用，成功利用漏洞后，内网中的攻击者无需身份验证即可完全控制设备。 该漏洞影响 PTX 系列路由器上 25.4R1-S1-EVO 和 25.4R2-EVO 之前的 Junos OS Evolved 版本。 更早版本也可能受影响，但厂商不对已停止工程支持或已终止生命周期（EoL）的版本进行评估。 25.4R1-EVO 之前的版本以及标准（非 Evolved）Junos OS 版本不受 CVE-2026-21902 影响。 Juniper 网络已在 25.4R1-S1-EVO、25.4R2-EVO 和 26.2R1-EVO 版本中提供修复。 Juniper 网络安全事件响应团队（SIRT）表示，在发布安全公告时，尚未发现该漏洞被恶意利用的情况。 若无法立即打补丁，厂商建议使用防火墙过滤规则或访问控制列表（ACL），仅允许受信任网络访问受漏洞影响的端点。 管理员也可通过以下命令完全禁用存在漏洞的服务： ‘request pfe anomalies disable’ Juniper 网络的设备常被云数据中心、大型企业等高带宽需求的服务商使用，因此极易成为高级黑客的攻击目标。 2025 年 1 月，名为 J‑magic 的恶意软件活动针对半导体、能源、制造和 IT 行业的 Juniper VPN 网关，部署在收到 “魔术包” 后激活的网络嗅探恶意软件。 2024 年 12 月，Juniper 网络 Smart 路由器成为 Mirai 僵尸网络攻击目标，被纳入分布式拒绝服务（DDoS）攻击集群。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apple 于周四宣布，iPhone 和 iPad 已获得北约批准用于处理涉密信息，并被列入该军事联盟的信息保障产品目录（NIAPC）。 该科技巨头表示，其手机和平板是首款获得该级别认证的消费类设备，具体为北约受限级（NATO RESTRICTED）。 NIAPC 是北约官方认证通过的网络安全产品登记目录，联盟成员国及其军事、民用机构可使用这些产品满足关键的业务安全需求。 NIAPC 对列入目录的安全产品实施严格准入规则：产品通常必须来自北约国家、持有认可认证、获得国家主管机构批准，并证明符合北约市场适用性。认证采用逐案酌情审批制，违规行为将面临被移除目录或暂停资格的风险。 列入 NIAPC 后，iPhone 和 iPad 可直接用于处理涉密信息，无需额外专用软件或配置。目录明确说明，iOS 和 iPadOS 原生的邮件、日历和通讯录应用可提供安全的数据访问能力。 Apple 表示，在此之前，iPhone 和 iPad 已通过德国联邦信息安全办公室（BSI）评估，获得处理德国政府涉密数据的批准。BSI 开展的测试同时确保了这些设备符合北约安全要求。 BSI 主席 Claudia Plattner 表示：“只有在移动产品开发之初就将信息安全纳入考量，安全的数字化转型才能成功。” “在 BSI 针对德国涉密信息环境使用的 iOS 和 iPadOS 平台及设备安全进行严格审核的基础上，我们很高兴确认其符合北约各国的信息保障要求。” NIAPC 目录中注明了 “indigo configuration”，但 Apple 澄清这只是 BSI 在评估期间指定的名称。该公司指出，获得北约批准的是标准设备配置。 此外，尽管北约目录中提及 iOS 26 和 iPadOS 26，但 Apple 表示 BSI 实际是在更早版本的操作系统上完成测试的。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未被记录的威胁活动集群，被关联到一场至少从 2025 年 12 月开始、针对美国教育和医疗行业的持续恶意攻击活动。 Cisco Talos 正在以代号 UAT-10027 追踪该攻击活动。攻击的最终目的是投放一款此前从未出现过、代号为 Dohdoor 的后门。 “Dohdoor 利用基于 HTTPS 的 DNS（DoH）技术进行命令与控制（C2）通信，并能够以反射式方式下载并执行其他二进制载荷，” 安全研究人员 Alex Karkins 和 Chetan Raghuprasad 在一份分享给《The Hacker News》的技术报告中表示。 尽管目前尚不清楚该攻击活动使用的初始入口向量，但据推测涉及社会工程钓鱼手段，最终会执行一段 PowerShell 脚本。 该脚本随后会从远程中转服务器下载并运行一个 Windows 批处理脚本，而该脚本会进一步协助下载一个名为 propsys.dll 或 batmeter.dll 的恶意 Windows 动态链接库（DLL）。 该 DLL 载荷，即 Dohdoor，通过合法 Windows 可执行文件（如 Fondue.exe、mblctr.exe 和 ScreenClippingHost.exe），使用一种被称为 DLL 侧加载的技术启动。该植入程序创建的后门访问权限被用于将下一阶段载荷直接加载到受害者内存并执行。该载荷被判定为 Cobalt Strike Beacon。 “威胁行为者将 C2 服务器隐藏在 Cloudflare 基础设施之后，确保从受害者机器发出的所有出站通信，在外观上都与发往可信全球 IP 地址的合法 HTTPS 流量一致，”Talos 表示。 “该技术绕过了基于 DNS 的检测系统、DNS 黑洞以及监控可疑域名查询的网络流量分析工具，确保恶意软件的 C2 通信能够躲避传统网络安全基础设施的检测。” 研究人员还发现，Dohdoor 会对系统调用进行脱钩，以绕过那些通过 NTDLL.dll 中的用户态钩子监控 Windows API 调用的终端检测与响应（EDR）方案。 Raghuprasad 向 The Hacker News 表示：“攻击者已入侵多家教育机构，其中包括一所与其他多家机构相连的大学，这表明其潜在攻击面可能更广。此外，受影响实体中还有一家医疗设施，专门提供老年护理服务。” 对该攻击活动的分析显示，截至目前尚未发现数据窃取的证据。研究人员补充称，除了看似用于在受害者环境中植入后门的 Cobalt Strike Beacon 之外，尚未观察到其他最终载荷，但根据受害者类型模式判断，UAT-10027 的行动很可能受金融利益驱动。 目前尚不清楚 UAT-10027 背后的组织身份，但 Cisco Talos 表示，其发现 Dohdoor 与 LazarLoader 在战术上存在一些相似之处。LazarLoader 是一款此前被发现由朝鲜黑客组织 Lazarus 在针对韩国的攻击中使用的下载器。 “尽管 UAT-10027 的恶意软件与 Lazarus 组织存在技术重合，但该攻击活动对教育和医疗行业的聚焦，与 Lazarus 通常针对加密货币和国防领域的特征并不一致，”Talos 总结道。 “不过…… 朝鲜 APT 行为者曾使用 Maui 勒索软件攻击医疗行业，而另一个朝鲜 APT 组织 Kimsuky 也曾针对教育行业，这表明 UAT-10027 的受害者特征与其他朝鲜 APT 存在重合之处。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文