Aggregator

A vulnerability classified as problematic has been found in NVIDIA GeForce Experience up to 3.23. The affected element is an unknown function. This manipulation causes uncontrolled search path. This vulnerability appears as CVE-2022-31611. The attack may be initiated remotely. There is no available exploit. It is recommended to upgrade the affected component.

A vulnerability labeled as critical has been found in NVIDIA GeForce Experience up to 3.23. Affected by this issue is some unknown functionality of the component NVContainer. The manipulation results in link following. This vulnerability is known as CVE-2022-42292. It is possible to launch the attack remotely. No exploit is available. The affected component should be upgraded.

HackerNews 编译，转载请注明出处： 微软警示，信息窃取类攻击正从 Windows 系统 “快速扩张” 至苹果 macOS 环境，攻击者借助 Python 等跨平台语言开发恶意程序，并滥用可信平台实现大规模分发。 微软 Defender 防御安全研究团队表示，自 2025 年末起，观测到针对 macOS 的信息窃取攻击活动，攻击者采用 ClickFix 等社会工程学手法，分发磁盘镜像（DMG）安装包，投放 Atomic macOS Stealer（AMOS）、MacSync、DigitStealer 等多个信息窃取恶意软件家族。 研究发现，此类攻击活动采用无文件执行、macOS 原生工具调用、 AppleScript 自动化等技术，助力数据窃取行为实施，窃取的数据包括浏览器登录凭证与会话数据、iCloud 钥匙串信息及开发者密钥等敏感内容。 此类攻击的起点通常是恶意广告（多通过谷歌广告投放），搜索 DynamicLake 工具、人工智能工具的用户会被重定向至搭载 ClickFix 诱导手段的虚假网站，进而被骗安装恶意软件，导致设备感染。 微软表示：“攻击者借助 Python 编写的信息窃取软件，可快速适配攻击场景、复用代码，以极低成本针对异构环境发起攻击，这类恶意软件通常通过钓鱼邮件分发，窃取目标包括登录凭证、会话 Cookie、认证令牌、信用卡信息及加密货币钱包数据。” PXA 窃取器就是典型代表，该软件与越南语区威胁行为者相关联，可窃取登录凭证、金融信息及浏览器数据。微软指出，其已识别出两起 PXA 窃取器攻击活动，分别发生在 2025 年 10 月和 12 月，均以钓鱼邮件作为初始入侵途径。 攻击链条涉及使用注册表启动项或计划任务实现持久化，并利用 Telegram 进行命令与控制通信及数据外传。 此外，观测显示，恶意行为者还将 WhatsApp 等主流即时通讯应用武器化，用于分发 Eternidade Stealer 等恶意软件，进而非法访问受害者金融及加密货币账户。该攻击活动的相关细节已于 2025 年 11 月由 LevelBlue / Trustwave 团队公开披露。 其他窃取程序相关攻击则围绕 Crystal PDF 等虚假 PDF 编辑器展开，通过恶意广告及谷歌广告的搜索引擎优化（SEO）投毒进行分发，进而部署针对 Windows 的窃取程序，可隐蔽收集 Mozilla Firefox 与 Chrome 浏览器的 Cookie、会话数据及凭证缓存。 为应对信息窃取软件带来的威胁，微软建议企业开展用户安全教育，普及恶意广告重定向链路、虚假安装包、ClickFix 式复制粘贴诱导等社会工程学攻击的识别方法。同时建议监测可疑终端活动及 iCloud 钥匙串访问行为，核查网络出站流量中发往新注册或可疑域名的 POST 请求。 微软强调：“设备遭信息窃取软件攻陷后，可能引发数据泄露、内网非法访问、企业邮箱入侵、供应链攻击及勒索软件攻击等一系列严重后果。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GreyNoise 发现一起针对 Citrix Gateway 的双模式侦察活动，攻击者利用超过 6.3 万个住宅代理及亚马逊云科技（AWS）基础设施，搜寻登录面板并枚举系统版本。 2026年1月28日至2月2日期间，GreyNoise 追踪到一起协同进行的侦察活动，目标直指 Citrix ADC 和 NetScaler 网关。攻击者先通过超 6.3 万个住宅代理探测登录面板，随后切换至 AWS 基础设施，在 11.1 万余次会话中集中枚举暴露在外的系统版本。 该活动共记录来自超 6.3 万个 IP 的 111834 次会话，其中 79% 的流量直指 Citrix 网关蜜罐，可见攻击者是针对性开展基础设施测绘，而非随机爬取。GreyNoise 发布的报告指出：“数据足以说明问题 ——111834 次会话、超 6.3 万个独立源 IP，且对 Citrix 网关蜜罐的针对性攻击率达 79%，这一比例至关重要，远高于基准扫描噪声水平，表明攻击者是刻意开展基础设施测绘，而非投机性爬取。” 就在 2026 年 2 月 1 日前夕，发生了两起针对 Citrix 基础设施的相关活动。其一活动通过全网扫描探测登录面板，另一场则快速核查软件版本，可见这是一场协同化的侦察行动。 登录面板探测环节高度依赖住宅代理。攻击者将大量流量集中在一个大型 Azure IP 上，剩余流量则来自全球数千个合法民用 IP。每个 IP 均配有唯一浏览器指纹，助力攻击者绕过地理围栏及信誉过滤机制。 版本核查环节由 10 个 AWS IP 发起，持续超 6 小时，且均使用同一老旧 Chrome 浏览器指纹。这种快速且精准的活动态势表明，攻击者在锁定潜在目标后迅速开展行动。 基于 Azure 的扫描器通过 VPN 及隧道转发流量，且采用略低于标准的最大分段大小（MSS），可见攻击者具备严谨的操作安全意识。住宅代理源自 Windows 设备，但会经 Linux 代理转发，以此混入民用流量规避检测。AWS 版本扫描器则使用了只有在数据中心环境下才可能配置的巨帧设置，这证实了攻击者依赖的是专用基础设施，而非普通的消费级网络。 TCP 协议分析显示，尽管基础设施配置不同，但三者共用同一框架：Azure 流量走 VPN 隧道、住宅代理扫描经 Linux 代理转发、AWS 扫描则依赖数据中心级网络配置。三者共享相同 TCP 特征，表明三场攻击活动依托同一底层工具集。 报告补充道：“尽管基础设施类型不同，但所有指纹的 TCP 选项顺序完全一致，这表明即便操作层面相互隔离，底层仍共用同一工具或框架”。 此次侦察活动大概率是攻击前的基础设施测绘，攻击者重点瞄准 EPA 安装文件，或为后续针对性漏洞利用做准备。企业应重点监测异常用户代理、快速登录枚举行为、老旧浏览器指纹及针对敏感路径的外部访问请求。防护措施包括限制基础设施暴露面、强化身份认证机制、隐藏系统版本信息、标记可疑地区流量。 该报告（内含入侵指标）总结道：“此次侦察活动大概率是漏洞利用前的基础设施测绘，对 EPA 安装文件路径的精准瞄准，表明攻击者有意针对已知 Citrix ADC 漏洞开发版本专属利用程序，或开展漏洞验证”。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司 Tenable 的研究人员发现两款漏洞，攻击者可利用其完全攻陷 Google Looker 商业智能平台实例。 Google Looker 可助力企业将分散数据集整合至统一数据层，进而构建实时可视化报表、交互式仪表盘及数据驱动型应用。 企业可选择 Google Cloud 完全托管的软件即服务（SaaS）版本，也可将 Looker 实例部署在自有基础设施上（自托管模式）。 Tenable 研究人员发现，影响该平台的两个漏洞一旦被利用，可能导致远程代码执行与敏感数据遭窃。这两个漏洞被统称为“LookOut”，攻击者只需拥有目标 Looker 实例的开发者权限即可利用。 据 Tenable 介绍，其中远程代码执行漏洞可让攻击者获取底层基础设施的完整管理员权限，攻击者可借此窃取密钥信息、篡改数据，或进一步向内网渗透。 Tenable 解释道：“在云托管实例场景下，该漏洞或引发跨租户访问风险。” 至于第二款漏洞，该安全厂商将其定义为 “权限绕过漏洞 —— 攻击者可借助该漏洞接入 Looker 内部数据库连接，通过基于错误的 SQL 注入窃取完整的内部 MySQL 数据库数据。” 谷歌已于 2025 年 9 月下旬修复了这些漏洞。谷歌已为旗下云托管实例完成补丁部署，但自托管实例用户需自行确认已升级至修复版本。 谷歌表示，目前未发现该漏洞存在在野利用的相关证据。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 流行的开源工作流自动化平台n8n曝出多个关键安全漏洞，攻击者利用这些漏洞可突破沙箱限制，最终完全控制其所在的宿主服务器。 这些漏洞被统一追踪为CVE-2026-25049。任何能在该平台上创建或编辑工作流的认证用户，均可利用其在n8n服务器上执行不受限制的远程代码。 多家网络安全公司的研究人员报告了这些问题。漏洞根源在于n8l的输入净化机制存在缺陷，并成功绕过了此前针对另一个关键漏洞CVE-2025-68613（已于去年12月20日修复）所发布的补丁。 据Pillar Security介绍，利用CVE-2026-25049可完全攻陷n8n实例，进而在服务器上执行任意系统命令、窃取所有存储的凭据与密钥（如API密钥、OAuth令牌）以及敏感配置文件。 研究人员演示称，利用该漏洞还能访问文件系统与内部服务，横向渗透至相关联的云账户，甚至劫持AI工作流（例如拦截提示词、篡改响应内容、重定向流量）。由于n8n是多租户环境，攻击者一旦触及内部集群服务，便可能进一步窃取其他租户的数据。 “此攻击门槛极低。只要能创建工作流，就能掌控整个服务器。”Pillar Security在今日发布的报告中如是说。 报告将漏洞根源归结为基于抽象语法树（AST）的沙箱机制不完善，具体而言，是n8n对工作流中用户编写的服务器端JavaScript表达式沙箱隔离不足。2025年12月21日，研究人员向n8n团队演示了一种链式绕过方法，可成功逃逸沙箱并访问Node.js全局对象，从而实现远程代码执行（RCE）。 尽管n8n团队在两天后发布了修复补丁，但Pillar经分析发现修复并不彻底，攻击者仍可通过另一套使用等效操作的机制实现二次绕过。n8n开发者在12月30日确认了该绕过问题，最终于2026年1月12日发布了彻底修复漏洞的2.4.0版本。 Endor Labs的研究人员同样发现了净化绕过方法，并提供了一个简单的概念验证（PoC）利用代码来演示CVE-2026-25049如何导致远程代码执行。Endor Labs的Cristian Staicu指出：“在2.5.2和1.123.17之前的所有版本中，净化函数默认攻击者可控代码中的属性访问键为字符串。”然而，这项检查仅体现在TypeScript类型定义中，并未在运行时强制执行，从而引发了类型混淆漏洞，最终导致“净化控制被完全绕过，使得任意代码执行攻击成为可能。” 与此同时，SecureLayer7的研究人员今日发布了技术报告，详细说明了他们如何通过“使用Function构造函数”实现“服务器端JavaScript执行”。他们是在分析CVE-2025-68613及其补丁时发现了CVE-2026-25049，并经过超过150次尝试才最终完善了成功的绕过方法。该报告同样提供了PoC利用代码，以及从初始设置到创建恶意工作流以完全控制服务器的详细步骤。 修复与缓解建议 n8n用户应立即将平台升级至最新版本（当前为1.123.17和2.5.2）。Pillar Security还建议轮换N8N_ENCRYPTION_KEY及服务器上存储的所有凭据，并审查现有工作流中是否存在可疑表达式。 若无法立即升级，n8n团队提供了临时缓解方案，但该方案无法彻底消除风险： 仅向完全可信用户开放工作流创建与编辑权限。 在加固环境中部署 n8n，限制其操作系统权限与网络访问范围，降低漏洞被利用后的影响。 目前，尚未有公开报告显示CVE-2026-25049在野被利用。然而，n8n日益增长的影响力已吸引攻击者关注，此前曝出的Ni8mare漏洞（CVE-2026-21858）便是例证。 GreyNoise本周报告称，监测到针对暴露的、易受Ni8mare攻击的n8n端点的潜在恶意活动，在1月27日至2月3日期间记录至少33,000次相关请求。尽管部分探测可能源于安全研究，但对/proc文件系统的扫描行为表明，攻击者对其后续利用潜力表现出了兴趣。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 勒索软件团伙目前正利用 VMware ESXi 漏洞 CVE-2025-22225，该漏洞已于 2025 年 3 月由Broadcom公司修复。美国网络安全与基础设施安全局（CISA）证实，勒索软件团伙正利用 VMware ESXi 沙箱逃逸漏洞 CVE-2025-22225 实施攻击。 该漏洞是 VMware ESXi 中存在的任意写入问题，拥有 VMX 进程权限的攻击者可触发内核任意写入操作，进而实现沙箱逃逸。彼时，这家虚拟化巨头证实，已有相关信息表明该漏洞存在在野攻击利用行为。安全公告中指出：“拥有 VMX 进程权限的恶意攻击者可触发内核任意写入操作，进而实现沙箱逃逸。” VMware 在 2025 年 3 月发布的安全公告 VMSA-2025-0004 中，修复了三个已遭在野积极利用的零日漏洞，这些漏洞均可实现 ESXi 虚拟机逃逸与代码执行，具体包括： ·  CVE-2025-22226（CVSS 7.1）：HGFS 文件系统存在越界读取漏洞，可导致 VMX 进程内存泄露。 ·  CVE-2025-22224（CVSS 9.3）：VMCI 接口存在时间检查与使用不一致（TOCTOU）漏洞，可引发越界写入，攻击者可借此以 VMX 进程权限执行代码。 ·  CVE-2025-22225（CVSS 8.2）：ESXi 存在任意写入漏洞，可实现从 VMX 沙箱逃逸至内核层。 今年 1 月，Huntress 研究人员通报称，发现汉语区攻击者滥用遭入侵的 SonicWall VPN，投递针对 VMware ESXi 的攻击工具包。 该攻击链包含一套成熟的虚拟机逃逸方案，且其开发时间似乎比相关 VMware 漏洞公开披露时间早一年以上。对 2025 年 12 月观测到的攻击事件分析显示，该团伙提前掌握了 2025 年 3 月才披露的三款 ESXi 零日漏洞，可见其对未知漏洞存在长期隐秘利用行为。 2025 年 12 月，Huntress 研究人员检测到一起入侵事件，攻击者最终部署了 VMware ESXi 漏洞利用工具包，其初始入侵途径为遭攻陷的SonicWall VPN。工具包中存在简体中文字符及相关编译路径等证据，表明该工具包大概率在 VMware 公开漏洞前一年多就以零日漏洞利用工具的形式开发完成，可见幕后是一支资源充足的汉语区攻击团伙。 攻击者利用域管理员凭证开展横向渗透，实施侦察活动，修改防火墙规则以阻断外部访问、同时保留内网移动权限，并对拟窃取数据进行预处理。该工具包可针对多达 155 个 ESXi 版本发起攻击，通过禁用 VMCI 驱动、加载未签名内核驱动实现虚拟机逃逸，或为后续勒索软件部署铺路。该攻击最终在造成实质损失前被成功阻断。 该威胁团伙依靠一款名为 MAESTRO 的协调工具，管控完整的 VMware ESXi 虚拟机逃逸流程。该工具会禁用 VMCI 驱动，通过自带驱动（BYOD）技术加载未签名漏洞利用驱动，并统筹漏洞利用全流程。该驱动会泄露 VMX 进程内存以绕过地址空间布局随机化（ASLR）防护，滥用 HGFS 与 VMCI 接口漏洞，向 VMX 进程写入壳代码，最终逃逸至 ESXi 内核层。随后会部署一款基于 VSOCK 协议的隐蔽后门VSOCKpuppet，可从客户机虚拟机对虚拟机管理程序实现持久化远程控制，同时规避传统网络监控，并恢复相关驱动以降低被检测概率。 Huntress 研究人员发现证据表明，该攻击链至少自 2024 年 2 月起就已被使用。报告指出：“漏洞利用二进制文件中包含程序数据库（PDB）路径，可据此窥探其开发环境。” CISA 已更新已知被利用漏洞（KEV）目录中 CVE-2025-22225 的相关条目，确认该漏洞正被用于勒索软件攻击行动。   消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已针对旗下 Archer BE230 Wi-Fi 7 路由器发布紧急固件更新，修复多款高危安全漏洞. 这些漏洞可使经过身份验证的攻击者执行任意操作系统（OS）命令，从而完全掌控设备管理权。 受影响的设备为 Archer BE230 v1.2 型号，其固件版本早于 1.2.4 Build 20251218 rel.70420。漏洞涉及 VPN 模块、云通信服务及配置备份功能等多个系统组件。 TP-Link OS命令注入漏洞分析 所有相关CVE漏洞的核心均为操作系统命令注入问题。该类漏洞的成因在于，应用程序将未经安全处理的用户输入数据（如表单数据、Cookie 或 HTTP 头）直接传递至系统 shell 执行。 具体而言，已获取高权限（即通过认证）的攻击者能够注入恶意命令，并由路由器以 root 权限执行。尽管攻击复杂度被评定为较低（AC:L），但其利用前提是攻击者需具备高权限（PR:H）。 然而，若攻击者已通过弱密码或会话劫持等方式获得初步管理员权限，便可利用这些漏洞实现权限升级，从基础管理访问跃升至对设备底层操作系统的完全控制。 尽管这些漏洞造成的最终影响相似，但它们源自不同的代码路径（具体CVE编号如下表所示）。成功利用后，攻击者能够篡改路由器配置、拦截网络流量、中断服务，甚至将受控设备作为跳板，攻击网络内的其他设备。 为应对威胁，TP-Link 已发布修复固件。网络管理员及用户务必立即更新设备固件。 用户可访问对应区域（美国、国际英文或新加坡）的 TP-Link 官方支持页面下载最新固件。如未能及时安装更新，网络基础设施将面临被攻陷的风险。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名老牌恶意软件家族 SystemBC 的相关攻击活动，已波及全球超 1 万个受感染 IP 地址，其中包括敏感政府基础设施关联设备。 据 Silent Push 发布的最新研究显示，该发现进一步印证了业界担忧 ——SystemBC 持续被用作入侵行动的早期渗透工具，且其出现往往预示着后续勒索软件的投放。 SystemBC（亦被称为Coroxy或DroxiDat）于 2019 年首次被公开披露，是一款多平台代理恶意软件，可将受感染设备改造为 SOCKS5 代理中继。这些代理中继可让威胁行为者通过受害者设备转发恶意流量，既隐藏自身基础设施，又能持续维持对内网的访问权限。 观测显示，部分 SystemBC 感染事件中还会附带投放其他恶意软件，进一步扩大攻击影响范围。Silent Push 分析师表示，因多次观测到 SystemBC 在勒索软件攻击事件前出现，团队于 2025 年开始对其活动进行系统化追踪。 为了更有效地监测，研究团队开发了专门的SystemBC追踪指纹，得以大规模识别受感染主机及其背后的支持设施。通过这种方法，他们发现了超过1万个独特的受感染IP地址，相关活动痕迹最早可追溯到2019年。 全球传播态势与持续威胁 受感染设备呈全球分布态势，美国感染数量最多，德国、法国、新加坡、印度紧随其后。多数受感染设备部署于数据中心环境而非家用网络，这也是其感染状态往往能持续数周甚至数月的原因之一。 最值得关注的发现之一是一款此前未被记录的 SystemBC 变种，该变种基于 Perl 语言开发。该变种专门针对 Linux 系统，分析当时在 62 款杀毒引擎中均未被检出。 研究还显示，SystemBC 的命令与控制（C2）基础设施常依托抗滥用高防托管服务商搭建，包括 BTHoster 及自治系统 213790（又称 BTCloud）关联的托管环境。仅在一个托管集群中，分析师就识别出超 10340 个受害者 IP 地址，平均感染时长 38 天，部分甚至超过 100 天。 该数据集包含布基纳法索、越南两国政府官方网站的托管 IP 地址，且这些 IP 已遭攻陷。这些政府关联设备不仅是攻击受害者，还被纳入代理网络供攻击者使用，大幅提升了此次攻击的潜在危害。 为防范同类威胁，Silent Push 建议开展主动监测，并警示：SystemBC 的活动往往出现在入侵链路早期，且通常先于勒索软件投放发生。 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

AiStrike announced the launch of AiStrike MDR, an AI-powered managed detection and response (MDR) service designed to replace human-intensive MDR with an AI-led, expert-guided operating model built for scale, speed, and measurable outcomes. Enterprises and government organizations use AiStrike to unify threat intelligence, detection engineering, investigation, and response in a single AI-native platform, improving detection coverage, reducing alert noise, and accelerating response times. As AiStrike worked with more customers, a consistent pattern emerged: many rely … More →

The post AiStrike introduces AI-powered MDR to reduce costs and alert fatigue appeared first on Help Net Security.

驶过6站，抵达1个新时代

Ошибка на $85 учит гиков читать инструкции перед подключением.

Varonis is expanding its AI security capabilities through the acquisition of AllTrue.ai, which brings real-time visibility and security to AI systems, complementing Varonis’ understanding of enterprise data, identities, and access. Together, the combined platform helps organizations see and protect everything they build and run with AI. Comprehensive AI-TRiSM to address risks at design-time, before agents or users take action, and run-time. (Source: Varonis) As companies deploy AI models, copilots, and agents at scale, these systems … More →

The post Varonis acquires AllTrue.ai to enable safe, compliant AI at scale appeared first on Help Net Security.

2026年2月2日，白宫椭圆形办公室内，特朗普正式宣布启动一项耗资近120亿美元的“金库计划”（Projec

美国“林肯”号航母战斗群驶入阿拉伯海域（照片摄于此前部署）。美军以航母为核心，在中东海域保持强大存在，向伊朗施加压力。

Threat actors are actively leveraging compromised SonicWall SSLVPN credentials to breach networks and deploy a sophisticated “EDR killer” that can blind endpoint security solutions. In a campaign analyzed by Huntress in early February 2026, attackers utilized valid VPN accounts to gain initial access before executing a Bring Your Own Vulnerable Driver (BYOVD) attack using a […]

The post Hackers Exploit SonicWall SSLVPN Credentials to Deploy EDR Killer and Bypass Security appeared first on Cyber Security News.

微软在 1 月 26 日释出紧急更新修复 Office 高危漏洞 CVE-2026-21509，不到 48 小时俄罗斯黑客组织就对补丁进行了逆向工程，开始利用该漏洞发动大规模钓鱼攻击，入侵多个国家的外交、海事和交通机构。安全公司 Trellix 的研究人员发现，钓鱼攻击持续了 72 小时，被称为 APT28 aka Fancy Bear、Sednit、Forest Blizzard 和 Sofacy 的黑客组织向主要位于东欧的 9 个国家发送了至少 29 封恶意电邮。被攻击的国家包括了波兰、斯洛文尼亚、土耳其、希腊、阿联酋、乌克兰、罗马尼亚和玻利维亚，目标组织包括国防部（40%）、运输/物流运营商（35%）和外交机构（25%）。攻击者利用尚未修复的漏洞安装了两种新后门程序 BeardShell 或 NotDoor。BeardShell 主要用于侦察，运行在内存中不会在硬盘上留下痕迹，NotDoor 则是监控电子邮件文件夹的 VBA 宏。

​让年轻一代玩家通过游戏，真正走进金庸的武侠世界。