HackerNews

HackerNews 编译，转载请注明出处： 安全研究人员发现了一种名为“whoAMI”的名称混淆攻击，该攻击允许任何人通过发布具有特定名称的亚马逊机器镜像（AMI）来访问亚马逊网络服务（AWS）账户。 “whoAMI”攻击由 DataDog 研究人员于 2024 年 8 月提出，他们证明了攻击者可以通过利用软件项目检索 AMI ID 的方式，在 AWS 账户内获得代码执行权限。 亚马逊确认了这一漏洞，并在 9 月推出了修复措施，但问题在客户侧仍然存在，尤其是在组织未能更新代码的环境中。 实施“whoAMI”攻击 AMI 是预配置了必要软件（操作系统、应用程序）的虚拟机，用于创建在 AWS 生态系统中称为 EC2（弹性计算云）实例的虚拟服务器。 AMI 有公共和私有之分，每个都有特定的标识符。对于公共 AMI，用户可以在 AWS 目录中搜索所需的 AMI ID。 为了确保 AMI 来自 AWS 市场中的可信来源，搜索需要包含“所有者”属性，否则“whoAMI”名称混淆攻击的风险会增加。 “whoAMI”攻击之所以能够实现，是由于 AWS 环境中 AMI 选择的配置错误： 软件使用 ec2:DescribeImages API 检索 AMI 时未指定所有者 脚本使用通配符而不是具体的 AMI ID 一些基础设施即代码（IaC）工具（如 Terraform）使用“most_recent=true”，自动选择符合过滤条件的最新 AMI 这些条件允许攻击者通过命名资源与受信任的资源相似来插入恶意 AMI。如果没有指定所有者，AWS 会返回所有匹配的 AMI，包括攻击者的 AMI。 如果参数“most_recent”被设置为“true”，受害者的系统会提供最新添加到市场中的 AMI，这可能包括一个名称与合法条目相似的恶意 AMI。 演示检索恶意 AMI 而不是受信任的 AMI 攻击者只需发布一个符合受信任所有者使用的模式的 AMI 名称，用户就很容易选择它并启动一个 EC2 实例。 “whoAMI”攻击不需要突破目标的 AWS 账户。攻击者只需要一个 AWS 账户，将他们的后门 AMI 发布到公共社区 AMI 目录中，并战略性地选择一个模仿目标 AMI 的名称。 DataDog 表示，根据他们的遥测数据，他们监控的大约 1% 的组织容易受到“whoAMI”攻击，但“这一漏洞可能影响数千个不同的 AWS 账户”。 亚马逊的回应和防御措施 DataDog 研究人员通知了亚马逊这一漏洞，该公司确认内部非生产系统容易受到“whoAMI”攻击。 问题在 2024 年 9 月 19 日得到修复，12 月 1 日，AWS 引入了一个名为“Allowed AMIs”的新安全控制功能，允许客户创建受信任 AMI 提供商的允许列表。 AWS 表示，除了安全研究人员的测试外，该漏洞未被利用，因此没有客户数据通过“whoAMI”攻击被泄露。 亚马逊建议客户在使用“ec2:DescribeImages”API 时始终指定 AMI 所有者，并启用“Allowed AMIs”功能以获得额外保护。 新功能可通过 AWS 控制台 → EC2 → 账户属性 → Allowed AMIs 访问。 从 2024 年 11 月开始，Terraform 5.77 在使用“most_recent = true”而没有所有者过滤器时开始向用户发出警告，并计划在未来的版本（6.0）中实施更严格的措施。 系统管理员必须审查他们的配置并更新 AMI 源代码（Terraform、AWS CLI、Python Boto3 和 Go AWS SDK），以安全地检索 AMI。 要检查是否正在使用不受信任的 AMI，可以通过“Allowed AMIs”启用 AWS 审计模式，并切换到“强制模式”以阻止它们。 DataDog 还发布了一个扫描器，用于检查 AWS 账户中由不受信任的 AMI 创建的实例，可在 GitHub 仓库 中获取。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络与云安全领域近期出现了一种利用 Webflow 内容分发网络（CDN）上的虚假 PDF 文档进行的广泛网络钓鱼活动，其目的是窃取信用卡信息并实施金融诈骗。 “攻击者针对在搜索引擎上查找文档的受害者，使他们访问到包含嵌入式 CAPTCHA 图像的恶意 PDF，该图像中嵌入了一个钓鱼链接，诱使受害者提供敏感信息。” Netskope 威胁实验室研究员简・迈克尔・阿尔坎塔拉（Jan Michael Alcantara）表示。 自 2024 年下半年以来，这种活动一直在进行。用户在谷歌等搜索引擎上查找书名、文档和图表时，会被重定向到托管在 Webflow CDN 上的 PDF 文件。这些 PDF 文件中嵌入了一个模仿 CAPTCHA 挑战的图像，导致点击该图像的用户被带到了一个钓鱼页面，而这次页面上托管的是一个真实的 Cloudflare Turnstile CAPTCHA。 通过这种方式，攻击者试图为这一过程披上一层合法的外衣，欺骗受害者认为他们进行了一次安全检查，同时也规避了静态扫描器的检测。 完成真实 CAPTCHA 挑战的用户随后会被重定向到一个包含“下载”按钮的页面，以访问所谓的文档。然而，当受害者尝试完成此步骤时，他们会收到一个弹出消息，要求输入个人和信用卡信息。 “在输入信用卡信息后，攻击者会发送一条错误消息，表明信息未被接受。” 迈克尔・阿尔坎塔拉说，“如果受害者再次提交两到三次信用卡信息，他们将被重定向到一个 HTTP 500 错误页面。” 与此同时，SlashNext 详细披露了一种名为 Astaroth 的新型网络钓鱼工具包（不要与同名的银行恶意软件混淆），该工具包在 Telegram 和网络犯罪市场上以 2000 美元的价格出售，提供六个月的更新和绕过技术。 像网络钓鱼即服务（PhaaS）一样，它允许网络犯罪分子通过模仿流行在线服务的虚假登录页面来收集凭证和双因素认证（2FA）代码。 “ Astaroth 利用 Evilginx 风格的反向代理拦截和操纵受害者与合法认证服务（如 Gmail、Yahoo 和 Microsoft）之间的流量。” 安全研究员丹尼尔・凯利（Daniel Kelley）表示，“作为中间人，它实时捕获登录凭证、令牌和会话 cookie，有效绕过了 2FA。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司表示，最近在Kraken勒索软件团伙的泄露网站上发布的文件，涉及的数据来源于三年前的网络攻击。 这些数据，包含一份似乎从思科系统中被窃取的凭证列表，近日出现在Kraken勒索软件团伙的新数据泄露网站上。 思科发言人回应SecurityWeek的询问时表示：“思科已知有关安全事件的报告。报告中提到的事件发生在2022年5月，且我们当时已完全解决了该事件。” 他还表示：“根据我们的调查，事件并未对客户造成任何影响。” 思科曾在2022年8月详细说明了这一网络攻击事件。当时，一个名为Yanluowang的勒索软件团伙将思科列为其泄露网站的受害者，声称窃取了数GB的信息。 该事件被归咎于俄罗斯关联的威胁行为者UNC2447，该团伙以使用FiveHands和HelloKitty勒索软件而闻名。事件还与臭名昭著的Lapsus$黑客团伙有关，该团伙在2022年底解散，原因是两名英国成员被逮捕并定罪，此外，还与Yanluowang团伙有关。 2022年9月，攻击者公开了从思科窃取的文件，思科确认这些数据确实来源于其网络。 就在上周末，其中一部分数据——包括用户名、标识符和密码哈希值——出现在Kraken的泄露网站上，目前该网站总共有六篇相关帖子。 Kraken似乎是HelloKitty勒索软件团伙的重新品牌化，正如泄露网站所提到的，这也解释了为何他们会拥有这些思科的数据。 该团伙多次更换名字，可能是为了通过重提旧有攻击来吸引对新品牌的关注。 消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti发布了针对Ivanti Connect Secure（ICS）、Ivanti Policy Secure（IPS）和Ivanti Secure Access Client（ISAC）的安全更新，修复了多个漏洞，其中包括三项严重漏洞。 该公司通过其负责任的披露计划，收到了来自CISA、Akamai的安全研究人员以及HackerOne漏洞赏金平台的报告，才得知这些漏洞。 Ivanti在安全公告中指出，尚未收到这些问题在实际环境中被积极利用的报告。然而，Ivanti建议用户尽快安装安全更新。 三个关键的安全漏洞 Ivanti修复的三项关键安全漏洞如下： CVE-2025-22467：ICS中的基于堆栈的缓冲区溢出漏洞，允许具有低权限的远程认证攻击者执行代码（严重性评分：9.9）。 CVE-2024-38657：外部控制文件名漏洞，允许远程认证攻击者在ICS和IPS中执行任意文件写入（严重性评分：9.1）。 CVE-2024-10644：代码注入漏洞，允许远程认证攻击者在ICS和IPS中执行远程代码（严重性评分：9.1）。 利用这三项漏洞可以从远程位置进行攻击，但攻击者需要先进行身份认证。并且，其中两项漏洞需要管理员权限才能执行远程代码或写入任意文件。 尽管如此，风险仍然相当大，因为内部威胁或通过钓鱼、先前的泄露或暴力破解密码窃取凭证的攻击者，依然可以利用这些漏洞进行恶意操作。 此外，公告中还列出了五个中到高严重性的漏洞，包括跨站脚本（XSS）漏洞、硬编码密钥、敏感数据以明文存储以及权限不足等问题。 影响版本 这些漏洞影响的版本包括： ICS 22.7R2.5及更早版本 IPS 22.7R1.2及更早版本 ISAC 22.7R4及以下版本 每个漏洞影响的具体产品版本详情，请参见下表。 这些问题已经在ICS 22.7R2.6、IPS 22.7R1.3和ISAC 22.8R1中修复，系统管理员应升级至这些版本。 Pulse Connect Secure 9.x Ivanti还确认该问题也影响Pulse Connect Secure 9.x版本，但表示由于这些产品的支持期已经结束，因此不会为这些版本提供修复。 Ivanti解释称：“Pulse Connect Secure 9.x版本于2024年6月达到了工程结束，并且自2024年12月31日起已结束支持。” “因此，9.x版本的Connect Secure不再接收回溯修复，”公司补充道，并鼓励客户升级到Ivanti Connect Secure 22.7版本。 Ivanti未提供对已修复漏洞的任何缓解措施，安装最新更新是推荐的解决方案。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月12日，Bill Toulas报道——一个名为“Sarcoma”的新型勒索病毒组织近日声称对中国台湾大型印刷电路板（PCB）制造商Unimicron发起了攻击。 黑客发布了他们声称从该公司系统中窃取的文件样本，并威胁如果不支付赎金，将于下周泄露所有数据。 在Sarcoma的泄密网站上，黑客于昨日更新了新的信息，称他们目前掌握着从Unimicron公司窃取的377GB SQL文件和文档。 Unimicron被列入Sarcoma受害者名单 Unimicron是一家公开上市公司，主要生产刚性和柔性印刷电路板（PCB）、高密度互连（HDI）板以及集成电路（IC）载体。 该公司是全球最大的PCB制造商之一，在中国、德国和日本设有工厂和服务中心。其产品广泛应用于LCD显示器、计算机、外设以及智能手机等领域。 Unimicron在台湾证券交易所（TWSE）公告中披露称，2月1日公司遭遇了一次勒索病毒攻击，造成运营中断。 根据公告，该事件发生在1月30日，影响了Unimicron旗下的中国子公司——深圳市友米科技有限公司。 该公司表示，攻击的影响范围有限，并已聘请外部网络取证团队进行事件分析并协助实施防御措施。 然而，Unimicron并未确认是否发生了数据泄露。与此同时，Sarcoma在勒索平台上泄露的样本看起来似乎是真实的。 BleepingComputer已联系Unimicron，要求其就Sarcoma的指控发表更新声明，但尚未得到回复。 Sarcoma勒索病毒于2024年10月首次发动攻击，并迅速成为当月最活跃和高产的勒索病毒团伙之一，声称已攻陷36个受害者。 2024年11月，网络安全专家CYFIRMA警告称：“Sarcoma勒索病毒因其激进的攻击手法和不断增加的受害者数量，正迅速成为一个重大威胁。” 2024年12月，工业网络威胁情报公司Dragos将Sarcoma列为全球工业组织最重要的新兴威胁之一。 RedPiranha的报告提供了关于Sarcoma的更多细节，解释了该组织利用钓鱼邮件和n天漏洞利用手段获得初步访问权限，并且已通过供应链攻击从服务供应商转向其客户。 在渗透成功后，Sarcoma进行RDP利用、横向移动和数据窃取等活动。 然而，虽然该威胁团伙的行动显示出其在该领域的经验，但其具体工具尚未被分析，因此其操作的来源和战术仍未完全解码。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据微软报告，与俄罗斯有关的威胁组织Seashell Blizzard已指派其一个分支获取面向互联网的基础设施的初始访问权，并在目标组织中建立长期驻留。 Seashell Blizzard也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear，自 2009 年以来一直活跃，据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。 该威胁组织以从事间谍活动、信息行动和网络破坏而闻名，例如破坏性的 KillDisk (2015)、MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和 Prestige (2022) 攻击。 Seashell Blizzard针对关键基础设施发起攻击，包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统，并已在军事行动中得到利用，尤其是在乌克兰。 微软在周三的一份报告中指出：“自 2023 年 4 月以来，Seashell Blizzard已加大了对该地区军事社区的攻击力度，可能是为了获取战术情报。他们持续瞄准乌克兰，这表明Seashell Blizzard的任务是获取并保留对高优先级目标的访问权，为俄罗斯军事和政府提供一系列未来行动选项。” 在过去四年中，Seashell Blizzard内部的一个小组一直致力于一项广泛的初始访问行动，称为“BadPilot 活动”，目的是在高价值目标中建立持久性，以支持定制的网络操作。 微软解释说：“Seashell Blizzard内部的这个小组至少从 2021 年就开始活跃，他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动，有时会导致严重的区域网络入侵。” 微软表示，该子组织的活动使Seashell Blizzard能够接触多个领域的全球目标（包括国际政府），从而横向扩大业务规模。 去年，该小组扩大了其目标列表，包括美国和英国的组织，主要通过利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 的漏洞。 微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改，以被动收集网络凭据，并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。 微软指出：“鉴于Seashell Blizzard是俄罗斯在乌克兰的网络先锋，微软威胁情报评估认为，这个访问小组将继续创新新的扩展技术，入侵乌克兰和全球网络，以支持俄罗斯的战争目标和不断变化的国家优先事项。”   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化货币借贷平台 zkLend 遭受了一次安全漏洞攻击，攻击者利用智能合约漏洞窃取了 3600 枚以太坊，当时价值 950 万美元。 zkLend 是建立在 Starknet 上的去中心化货币市场协议，而 Starknet 是以太坊的第二层扩展解决方案。该平台允许用户存入、借入和借出各种资产。 此次攻击发生在昨天下午，zkLend 在 X 平台上警告称其遭受了一起网络安全事件。 据 EthSecurity Telegram 频道消息，攻击者利用了 zkLend 智能合约中的取整错误漏洞。 该频道的一篇帖子写道：“攻击者将‘lending_accumulator’操纵为一个非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的取整错误，反复存入 4.069297906051644021 wstETH，获得 2 wei，随后提取 4.069297906051644020*1.5 – 1 = 6.103946859077466029 wstETH，仅消耗 1 wei。” Starkware 是 Starknet 网络的开发者，其确认该漏洞并非 Starknet 技术的一部分，而是特定于应用程序的漏洞。 据 Cyvers 称，攻击者试图通过 RailGun 隐私协议洗钱，但由于协议政策被阻止。 zkLend 现已向黑客发出消息，表示如果对方归还 90% 的被盗以太坊（即 3300 枚 ETH），他们可以保留剩余的 10%，并且不会因此次攻击承担任何责任。 zkLend 在链上向黑客发送的消息中写道：“我们知道你对今天 zkLend 的攻击负责。你可以保留 10% 的资金作为白帽赏金，并将剩余的 90%，即 3300 枚 ETH，归还到这个以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C。” “在收到转账后，我们同意放弃与此次攻击相关的所有责任。” “我们目前正在与安全公司和执法部门合作。如果我们没有在 2025 年 2 月 14 日世界协调时 00:00 之前收到你的回复，我们将采取下一步行动来追踪和起诉你。” 加密货币窃贼需在 2 月 13 日下午 7:00（美国东部标准时间）之前归还 90% 的被盗资金，之后 zkLend 将采取法律行动。 目前尚未收到黑客的任何回复，这在类似情况下通常是如此。尚未有威胁行为者被认定为此次攻击的幕后黑手。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于本周二发布了针对其软件产品的安全更新，修复了63个漏洞，其中包括2个已被积极利用的漏洞。 这63个漏洞中，3个被评为严重（Critical），57个为重要（Important），1个为中等（Moderate），2个为低危（Low）。除此之外，微软还解决了自上个月补丁星期二更新以来，针对其基于Chromium的Edge浏览器的23个漏洞。 此次更新的重点是修复了两个被积极利用的漏洞： CVE-2025-21391（CVSS评分：7.1）——Windows存储权限提升漏洞 CVE-2025-21418（CVSS评分：7.8）——Windows辅助功能驱动程序（WinSock）权限提升漏洞 微软在关于CVE-2025-21391的警报中表示：“攻击者仅能删除系统上的特定文件。该漏洞不会泄露任何机密信息，但可能允许攻击者删除数据，导致服务不可用。” Action1公司总裁兼联合创始人Mike Walters指出，该漏洞可能与其他漏洞结合使用，从而提升权限并执行后续操作，复杂化恢复工作，攻击者也可能通过删除重要的取证资料来掩盖其行踪。 另一方面，CVE-2025-21418是涉及AFD.sys的权限提升漏洞，攻击者可利用该漏洞获得系统级权限（SYSTEM权限）。 值得注意的是，去年8月，Gen Digital披露了相同组件中的类似漏洞CVE-2024-38193，该漏洞已被朝鲜黑客组织Lazarus Group利用。2024年2月，微软也修复了一个影响AppLocker驱动程序（appid.sys）的Windows内核权限提升漏洞CVE-2024-21338，该漏洞也曾被Lazarus Group利用。 这些攻击链之所以引人注目，是因为它们超越了传统的“带入易受攻击驱动程序”（BYOVD）攻击，而是利用了Windows本地驱动程序中的安全漏洞，从而无需在目标环境中引入其他驱动程序。 目前尚不清楚CVE-2025-21418的滥用是否与Lazarus Group有关。美国网络安全和基础设施安全局（CISA）已将这两个漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在2025年3月4日前应用相关补丁。 此次更新中，微软解决的最严重漏洞是CVE-2025-21198（CVSS评分：9.0），一个高性能计算（HPC）包中的远程代码执行（RCE）漏洞。 微软表示：“攻击者可通过向目标头节点或Linux计算节点发送特制的HTTPS请求，进而执行远程代码，并能够在连接到目标头节点的其他集群或节点上执行代码。” 此外，另一个远程代码执行漏洞CVE-2025-21376（CVSS评分：8.1）影响Windows轻量目录访问协议（LDAP），攻击者可通过发送特制请求执行任意代码。不过，成功利用该漏洞需要攻击者在竞争条件下获胜。 Immersive Labs的网络安全工程师Ben McCarthy表示：“鉴于LDAP是Active Directory的核心组件，后者支撑着企业环境中的身份验证和访问控制，若被攻破，可能导致横向渗透、权限提升以及广泛的网络入侵。” 此外，更新还修复了一个NTLMv2哈希泄露漏洞CVE-2025-21377（CVSS评分：6.5），如果成功利用，攻击者可冒充目标用户进行身份验证。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的黑客组织Kimsuky近日被发现使用一种新策略，通过欺骗目标以管理员身份运行PowerShell，随后指示受害者粘贴并执行其提供的恶意代码。 微软威胁情报团队在X平台上发布的一系列帖子中表示：“为了执行这一战术，黑客伪装成韩国政府官员，并与目标建立信任关系，之后通过钓鱼邮件发送带有PDF附件的邮件。” 受害者被说服点击包含Windows系统注册步骤链接的URL，以查看所谓的PDF文档。该注册链接要求受害者以管理员身份启动PowerShell并将显示的代码片段复制并粘贴到终端中执行。 如果受害者照做，恶意代码将下载并安装基于浏览器的远程桌面工具，并从远程服务器下载包含硬编码PIN的证书文件。 微软表示：“该代码随后向远程服务器发送网页请求，使用下载的证书和PIN注册受害者的设备。这使得黑客能够访问该设备并进行数据外泄。” 微软还表示，自2025年1月以来，该攻击方法在少数攻击中得到了应用，并称其与Kimsuky黑客组织以往的攻击手法有所不同。 值得注意的是，Kimsuky并非唯一采用这种攻击策略的朝鲜黑客组织。2024年12月，调查显示，与“传染性面试”活动相关的黑客组织也通过类似方式欺骗用户，在Apple macOS系统的终端应用中复制并执行恶意命令，声称是为了解决浏览器无法访问摄像头和麦克风的问题。 此类攻击在近几个月内迅速增加，部分原因在于它们依赖目标自行感染机器，从而绕过了安全防护。 亚利桑那州女子承认为朝鲜IT工人运营“笔记本电脑农场” 与此同时，美国司法部（DoJ）宣布，亚利桑那州一名48岁女子因参与诈骗IT工人计划认罪，该计划使朝鲜黑客能够冒充美国公民和居民，在超过300家美国公司获得远程工作机会。 司法部表示，从2020年10月到2023年10月，这一活动为Christina Marie Chapman和朝鲜非法获利超过1710万美元，违反了国际制裁。 司法部称：“作为美国公民，Chapman与海外IT工人合作，从2020年10月到2023年10月，盗取美国国民的身份，并利用这些身份申请远程IT工作，进一步实施计划时，向国土安全部传递虚假文件。” “Chapman和她的同谋在数百家美国公司获得了工作机会，包括财富500强公司，通常是通过临时工作人员公司或其他承包机构。” 被告于2024年5月被捕，她还被指控通过在家中设置多个笔记本电脑，运营一个“笔记本电脑农场”，制造出朝鲜工人正在国内工作的假象，实际上这些工人位于中国和俄罗斯，通过远程连接到公司的内部系统。 司法部补充道：“由于Chapman及其同谋的行为，超过300家美国公司受影响，超过70个美国公民身份被泄露，超过100次向DHS传递虚假信息，超过70名美国人被错误地创建了税务责任。” 随着执法部门加大对这一IT工人计划的审查，相关的数据外泄和勒索行为不断升级。 美国联邦调查局（FBI）在上个月发布的通报中表示：“在被发现连接到公司网络后，朝鲜IT工人通过扣押窃取的专有数据和代码进行勒索，直到公司满足赎金要求。”FBI还表示：“在某些情况下，朝鲜IT工人已公开发布受害公司专有代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe公司在周二发布了针对多个产品中至少45个已记录漏洞的补丁，并警告称这些软件缺陷会使用户面临远程代码执行攻击的风险。 其中最严重的问题是Adobe Commerce中存在的一大批关键漏洞，可能导致任意代码执行、安全功能绕过和权限提升。 位于加利福尼亚州圣何塞的软件供应商对Adobe Commerce的安全公告给出了“严重”评级，并敦促企业客户紧急应用可用的补丁。 该公司还为Adobe InDesign修复了至少4个严重级别的漏洞，警告称内存安全问题（如越界写入和缓冲区溢出）会带来重大的代码执行风险。 Adobe Illustrator、Adobe InCopy和Substance 3D Designer产品也获得了安全更新，以修复多个关键的远程代码执行漏洞。 在周二的补丁更新中，Adobe还涉及了广受欢迎的Adobe Photoshop和Photoshop Elements应用程序，并警告存在权限提升风险。 此外，Adobe公司还警告称其Substance 3D Stager工具容易受到拒绝服务攻击的影响。 Adobe表示，目前尚未发现这些已记录漏洞在现实环境中被利用的情况，但强烈建议用户和IT管理员通过Creative Cloud桌面应用程序或使用每个产品的内置更新机制安装修复补丁。 对于托管企业部署，组织应利用Adobe管理控制台或Creative Cloud打包器，迅速将修复程序推送给最终用户。 鉴于本月披露的漏洞严重性，安全专家建议安全团队在打补丁后进行后续评估，包括常规系统监控和应用程序测试。   消息来源：Security Week, 编译：zhongx； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 远程连接管理解决方案的领先提供商 Devolutions 发布安全公告，称其 Remote Desktop Manager（RDM）产品在多个平台上存在严重漏洞。这些漏洞可能允许攻击者拦截和篡改加密通信，进而危及敏感数据和系统安全。 漏洞源于 RDM 证书验证逻辑的缺陷。在 Windows 平台上（CVE-2025-1193，CVSSv4 评分为 8.5），证书验证未能校验主机；而在其他平台上（CVE-2024-11621，CVSSv4 评分为 8.6），证书验证完全缺失，会无提示地接受任何证书。 公告指出：“具体来说，在 Windows 平台上，证书验证未校验主机。在其他平台上，证书验证缺失，会无提示地接受任何证书。” 这些漏洞可能使攻击者发动中间人攻击，拦截并篡改用户与远程系统之间的加密流量，从而导致凭据被盗和未经授权访问敏感数据。 Devolutions 已为所有受影响平台发布补丁，强烈建议用户和管理员立即升级： 平台 受影响版本 修复版本 Windows 2024.3.19 及更早版本 2024.3.20.0+ macOS 2024.3.9.0 及更早版本 2024.3.10.3+ Linux 2024.3.2.5 及更早版本 2024.3.2.9+ Android 2024.3.3.7 及更早版本 2024.3.4.2+ iOS 2024.3.3.0 及更早版本 2024.3.4.0+ PowerShell 2024.3.6.0 及更早版本 2024.3.7.0+ 依赖 Remote Desktop Manager 的组织应立即采取行动，确保运行最新安全版本。   消息来源：Security Online；编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 EclecticIQ 威胁分析师披露，俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰的 Windows 用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行攻击。这些攻击可能始于 2023 年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的 ProtonMail 账号注册攻击域名，被 EclecticIQ 确认为与 Sandworm 黑客相关。 攻击者还利用 BACKORDER 加载器部署 DarkCrystal RAT（DcRAT）恶意软件（此前 Sandworm 攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。 EclecticIQ 识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和 TTPs。最近一次是在 2025 年 1 月 12 日，分析师观察到攻击者利用拼写错误的域名，通过 DcRAT 远程访问木马进行数据泄露攻击。 一旦在受害者的设备上部署，假冒的 KMS 激活工具会显示一个伪造的 Windows 激活界面，在后台安装恶意软件加载器，并禁用 Windows Defender，随后传递最终的 RAT 负载。 这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器 Cookie、浏览历史记录、保存的凭据、FTP 凭据、系统信息和屏幕截图。 Sandworm 使用恶意 Windows 激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。EclecticIQ 表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为 Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。 Sandworm（也被追踪为 UAC-0113、APT44 和 Seashell Blizzard）是一个自 2009 年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第 74455 军事单位，主要针对乌克兰发动破坏性和破坏性攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 更新（2025 年 2 月 11 日 19:32）：在发布报道后，Fortinet 告知我们，今日新增至 FG-IR-24-535 的 CVE-2025-24472 漏洞并非零日漏洞，已于 1 月修复。尽管今日更新的公告显示两个漏洞均被用于攻击，并为新发现的 CSF 代理请求利用路径提供了临时解决方案，但 Fortinet 表示只有 CVE-2024-55591 被利用。Fortinet 向 BleepingComputer 表示，如果客户此前根据 FG-IR-24-535/CVE-2024-55591 的指导进行了升级，则已对新披露的漏洞具备防护能力。本报道标题已更新以反映这一新信息，原文如下： Fortinet 今日警告称，攻击者正在利用 FortiOS 和 FortiProxy 中的另一个已修复的零日漏洞，劫持 Fortinet 防火墙并入侵企业网络。成功利用该认证绕过漏洞（CVE-2025-24472）可使远程攻击者通过构造恶意的 CSF 代理请求获得超级管理员权限。该漏洞影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0.19 以及 FortiProxy 7.2.0 至 7.2.12 版本。Fortinet 已在 FortiOS 7.0.17 及以上版本以及 FortiProxy 7.0.20/7.2.13 及以上版本中修复了该漏洞。 Fortinet 在上月发布的安全公告中新增了该漏洞的 CVE 编号，此前公告已警告客户有攻击者正在利用 FortiOS 和 FortiProxy 中的零日漏洞（编号 CVE-2024-55591），该漏洞影响相同版本的软件。然而，已修复的 CVE-2024-55591 漏洞可通过向 Node.js websocket 模块发送恶意请求进行利用。 据 Fortinet 介绍，攻击者利用这两个漏洞在受影响设备上生成随机管理员或本地用户账号，并将其添加到新的或现有的 SSL VPN 用户组中。攻击者还被发现修改防火墙策略及其他配置，并使用之前建立的恶意账号登录 SSLVPN 实例，“从而获得通往内部网络的隧道”。尽管 Fortinet 未提供更多关于此次攻击活动的信息，但网络安全公司 Arctic Wolf 发布了一份包含匹配入侵指标（IoC）的报告，称自 2024 年 11 月中旬以来，暴露在互联网上的 Fortinet FortiGate 防火墙管理接口一直受到攻击。 “该攻击活动涉及未经授权的管理员登录防火墙管理界面、创建新账号、通过这些账号进行 SSL VPN 认证以及各种其他配置变更，”Arctic Wolf Labs 表示。“虽然尚未最终确认初始攻击向量，但零日漏洞的可能性极高。各组织应尽快紧急禁用公开界面上的防火墙管理访问权限。” Arctic Wolf Labs 还提供了 CVE-2024-55591 大规模利用攻击的时间线，称其包含四个独特阶段： 漏洞扫描阶段（2024 年 11 月 16 日至 23 日） 侦察阶段（2024 年 11 月 22 日至 27 日） SSL VPN 配置阶段（2024 年 12 月 4 日至 7 日） 横向移动阶段（2024 年 12 月 16 日至 27 日） “鉴于不同入侵事件之间在手法和基础设施方面存在细微差别，可能有多个个人或团体参与了此次攻击活动，但 jsconsole 使用情况是贯穿始终的共同点。”此外，Arctic Wolf Labs 表示已于 2024 年 12 月 12 日通知 Fortinet 关于此次攻击的情况，并在五天后收到来自该公司产品安全事件响应团队（PSIRT）的确认，称该活动已知且正在调查中。 Fortinet 建议无法立即部署安全更新的管理员，通过禁用 HTTP/HTTPS 管理界面或通过本地策略限制可访问该界面的 IP 地址，作为临时解决方案来保护易受攻击的防火墙。BleepingComputer 已联系 Fortinet 发言人征求意见，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Ubuntu 22.04 打印子系统中的一个漏洞被发现，该漏洞位于 “ippusbxd” 包中，可能允许攻击者在锁定的笔记本电脑上执行任意代码。 不过，现代编译器的功能缓解了这一风险，防止了漏洞被利用到系统崩溃之外的程度。该漏洞是在对 macOS 打印子系统的代码审计中发现的，macOS 的打印子系统与开源的 CUPS 包有共同的基础。 Talos 研究人员将注意力转向了 IPP-USB 协议，该协议通过互联网打印协议（IPP）为通过 USB 连接的打印机启用网络打印。Ubuntu 22.04 中负责处理 IPP-USB 功能的 “ippusbxd” 包成为了调查的重点。 在检查代码时，由 “-Wstringop-overflow” 标志触发的编译器警告显示，get_format_paper 函数可能存在缓冲区溢出漏洞。该函数解析打印机在初始化时报告的纸张尺寸信息，漏洞源于使用了以源操作数的长度而不是目标缓冲区的大小为长度参数的 strncpy。 攻击者可以通过连接一个报告超大媒体尺寸的恶意打印机来利用这一漏洞，从而导致缓冲区溢出。Talos 情报的 Aleksandar Nikolich 通过分析代码上下文确认了该漏洞，揭示了一个精心设计的 “media-size-supported” 负载可以覆盖堆栈缓冲区。在锁定的笔记本电脑上利用这一漏洞，攻击者可以以提升的权限执行任意代码。 研究人员开发了一个概念验证（PoC）漏洞利用，使用 Raspberry Pi Zero 模拟 USB 打印机来展示该漏洞的潜在危害。通过修改 PAPPL 打印机小工具，模拟的打印机被配置为使用名为 “EXPLOIT_STRING” 的环境变量报告恶意媒体尺寸。当将 Raspberry Pi Zero 连接到目标 Ubuntu 机器时，ippusbxd 守护进程因段错误而崩溃，确认了漏洞的触发。 然而，进一步分析崩溃情况发现，由于编译器功能 “FORTIFY_SOURCE” 的存在，预期的内存损坏和潜在的代码执行被阻止。该功能会自动将潜在不安全的函数替换为更安全的替代品，并在缓冲区溢出发生之前检测到该条件。因此，该漏洞的影响仅限于导致系统崩溃，因为程序会在检测到溢出时明确终止。 研究人员强调，这一事件凸显了现代编译器功能（如静态分析）以及强大的缓解技术（如 “FORTIFY_SOURCE”）的重要性。当默认启用这些功能时，它们可以有效防止漏洞的利用。此外，该事件也强调了在开发过程中积极解决编译器警告的重要性。 在这一特定案例中，该漏洞的潜在影响进一步被削弱，因为 “ippusbxd” 包已被 “ipp-usb” 包取代。新包是用内存安全语言实现的，消除了缓冲区溢出的风险。尽管 Ubuntu 22.04 作为长期支持版本是一个例外，但较新的版本已转向使用 “ipp-usb”。 用户建议 Ubuntu 22.04 LTS 用户：确保安装了 ipp-usb，并在存在时移除 ippusbxd。 所有系统：通过运行 sudo apt update && sudo apt upgrade 应用更新，并重启打印服务。 物理安全：限制 USB 设备的访问，以防止未经授权的硬件连接。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月11日，网络安全公司eSentire发布报告称，网络攻击者正在利用一种名为“ClickFix”的技术，部署名为NetSupport RAT的远程访问木马。 自2025年1月初以来，“ClickFix”技术被频繁用于传播NetSupport RAT。该木马通常通过虚假网站和伪装的浏览器更新传播，攻击者可借此完全控制受害者设备，实时监控屏幕、操作键盘和鼠标、上传下载文件以及执行恶意命令。 NetSupport RAT最初是一款合法的远程IT支持程序，但已被恶意攻击者重新利用，针对组织机构窃取敏感信息，包括屏幕截图、音频、视频和文件。 “ClickFix”技术通过在被入侵的网站上注入虚假验证码页面，诱使用户按照指示复制并执行恶意的PowerShell命令，从而下载并运行恶意软件。在攻击过程中，PowerShell命令用于从远程服务器下载并执行NetSupport RAT客户端，恶意组件以PNG图像文件的形式存储。 此外，ClickFix技术还被用于传播Lumma Stealer恶意软件的更新版本，该软件使用ChaCha20密码算法解密包含命令与控制（C2）服务器列表的配置文件。eSentire表示，这些变化揭示了开发者为绕过当前的提取和分析工具而采用的规避策略。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   谷歌澄清，新推出的 Android 系统 SafetyCore 应用不会对内容进行客户端扫描。 “Android 提供了许多本地保护措施，以防范恶意软件、信息垃圾邮件和滥用保护以及电话诈骗等威胁，同时保护用户隐私并让用户掌控自己的数据。”谷歌公司发言人向《黑客新闻》表示。“SafetyCore 是一项面向 Android 9 及以上设备的谷歌系统服务，它为安全、私密地进行内容分类提供了本地基础设施，帮助用户检测不想要的内容。用户可以控制 SafetyCore，只有当应用程序通过可选功能请求时，SafetyCore 才会分类特定内容。” SafetyCore（包名“com.google.android.safetycore”）于2024年10月首次推出，作为谷歌针对谷歌消息应用的一系列安全措施的一部分，旨在打击诈骗和敏感内容。该功能需要2GB的RAM，适用于运行 Android 9 及更高版本的所有 Android 设备，以及运行轻量级操作系统 Android Go 的入门级智能手机。 客户端扫描（CSS）是一种替代方法，用于在设备上分析数据，而不是削弱加密或在现有系统中添加后门。然而，这种方法引发了严重的隐私问题，因为它容易被滥用，迫使服务提供商超出最初同意的范围搜索材料。 谷歌消息应用中的敏感内容警告与苹果 iMessage 中的通信安全功能相似，后者使用本地机器学习分析照片和视频附件，判断照片或视频是否包含裸露内容。 GrapheneOS 操作系统的维护者在 X 上发布的一篇帖子中重申，SafetyCore 不提供客户端扫描，主要设计用于提供本地机器学习模型，其他应用程序可以利用这些模型将内容分类为垃圾邮件、诈骗或恶意软件。“对这类内容进行分类与试图检测非法内容并向服务提供商报告是不同的，后者会严重侵犯人们的隐私，并且仍存在误报的情况。这不是 SafetyCore 的用途，它也无法用于此。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，研究人员发现，Orthanc服务器存在一个关键漏洞，可能对美国医疗数据和医疗运营构成严重威胁。 美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）医疗安全公告，提醒各机构注意Orthanc中存在的一个关键认证问题（CVE-2025-0896）。Orthanc是一个开源且轻量级的医学影像DICOM服务器，广泛应用于全球的医疗和公共卫生领域。 CISA指出，1.5.8版本之前的Orthanc服务器在启用远程访问时，默认情况下未启用基本认证功能，这可能允许远程攻击者访问系统。CISA警告称：“成功利用该漏洞的攻击者可能会泄露敏感信息、修改记录，甚至导致拒绝服务的情况发生。” MicroSec公司首席研究员Souvik Kandar表示，CVE-2025-0896漏洞可以通过互联网远程利用，他已发现有615个实例暴露在互联网上。他解释说：“利用该漏洞，攻击者可以在应用程序中操纵患者数据，删除关键的X光图像，甚至可能对患者造成危及生命的后果。这给医疗运营和患者安全带来了严重风险。” 尽管CISA尚未收到有关该漏洞被利用的攻击报告，但潜在影响重大。CISA建议医疗机构和其他Orthanc用户立即采取措施降低风险，包括更新至最新版本（1.5.8及以上）、启用HTTP认证、限制网络暴露、使用防火墙和网络分割，以及确保安全的远程访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，一名来自阿拉巴马州的男子因在2024年1月通过SIM卡交换攻击劫持美国证券交易委员会（SEC）的X账户而认罪。 25岁的被告埃里克·康塞尔（Eric Council Jr.）最初对该账户的黑客攻击行为表示不认罪。他被指控通过黑客手段劫持账户，并协助同伙发布了一条虚假消息，称比特币ETF已获批准。 虚假消息内容如下：“今天，美国证券交易委员会批准了比特币ETF在注册的国家证券交易所上市。获批准的比特币ETF将受到持续监控和合规措施的约束，以确保投资者保护。” 康塞尔的虚假帖子导致比特币价格一度上涨1000美元，随后在SEC主席加里·根斯勒（Gary Gensler）发推文称SEC账户被劫持、比特币ETF批准消息为假后，比特币价格迅速下跌2000美元。 SEC次日确认，@SECGov X账户是通过针对账户负责人的手机号码的SIM卡交换攻击被攻破的。这使得被告能够控制该手机号码，重置账户密码以发布虚假消息，并允许其他同伙（他们支付了他5万美元比特币）访问被攻破的账户并发布虚假消息。 美国司法部表示，作为该计划的一部分，康塞尔使用身份证打印机，利用从同伙那里获得的受害者个人信息，制作了一张虚假身份证。他利用这张虚假身份证冒充受害者，获取其手机号码，进而访问SEC的账户。 法庭文件还显示，康塞尔使用个人电脑搜索与攻击相关的信息，并表达了对联邦调查局（FBI）正在调查他的担忧。调查人员发现，被告搜索了诸如“如果FBI尚未联系你，如何知道你正在被执法部门调查”以及“如何确定我是否正在被FBI调查”等内容。 康塞尔将于5月16日被判刑，他因承认共谋实施严重身份盗窃和访问设备欺诈罪，面临最高五年监禁。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，苹果公司发布了紧急安全更新，修复了一个被利用于“极其复杂”的针对性攻击的零日漏洞（CVE-2025-24200）。该漏洞可能被攻击者用于在锁定设备上禁用USB限制模式。 USB限制模式是苹果在iOS 11.4.1中引入的一项安全功能，旨在阻止未经授权的设备通过Lightning接口访问数据。该功能会在设备锁定超过一小时后禁用USB配件的数据连接，但不影响充电功能。 此次修复的零日漏洞影响以下设备： iPhone XS及后续型号； iPad Pro 13英寸、iPad Pro 12.9英寸（第三代及后续）、iPad Pro 11英寸（第一代及后续）、iPad Air（第三代及后续）、iPad（第七代及后续）以及iPad mini（第五代及后续）； iPad Pro 12.9英寸（第二代）、iPad Pro 10.5英寸和iPad（第六代）。 苹果建议用户尽快安装iOS 18.3.1、iPadOS 18.3.1和iPadOS 17.7.5更新，以修复该漏洞并增强安全性。 背景信息 攻击目标：该漏洞被用于针对特定个体的复杂攻击，可能涉及商业间谍软件的传播，目标包括记者、反对派政治人士和异议人士。 漏洞细节：该漏洞是一个授权问题，通过改进状态管理得到修复。 类似事件：2023年9月，苹果曾修复了两个零日漏洞（CVE-2023-41061和CVE-2023-41064），这些漏洞被用于零点击攻击链（BLASTPASS），以在最新版iOS的iPhone上安装NSO集团的Pegasus间谍软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据安全研究人员报告，超过1.2万个GFI KerioControl防火墙实例暴露于一个关键的远程代码执行（RCE）漏洞（CVE-2024-52875）。该漏洞被发现于2024年12月中旬，由安全研究员Egidio Romano（EgiX）首次披露。 KerioControl是一款广泛应用于中小企业的网络安全套件，集成了VPN、带宽管理、流量过滤、报告监控、防病毒保护和入侵防御等功能。然而，该漏洞的存在使得攻击者能够通过单次点击实现远程代码执行，进而获取防火墙的root权限。 漏洞细节 漏洞编号：CVE-2024-52875 CVSS评分：9.8（高危） 影响版本：KerioControl 9.2.5至9.4.5 漏洞类型：HTTP响应拆分攻击（HTTP Response Splitting）导致的反射型跨站脚本（XSS）和RCE。 漏洞利用方式 攻击者通过构造恶意URL，诱导管理员点击，利用防火墙固件升级功能上传恶意文件，从而获得root权限。该漏洞利用门槛低，甚至非专业黑客也可实施攻击。 影响范围 据The Shadowserver Foundation报告，目前全球有12,229个KerioControl防火墙实例暴露于该漏洞，主要集中在伊朗、美国、意大利、德国、俄罗斯、哈萨克斯坦、乌兹别克斯坦、法国、巴西和印度。 安全建议 尽快更新：GFI已于2024年12月19日发布9.4.5 Patch 1修复该漏洞，建议用户尽快升级至最新版本9.4.5 Patch 2（2025年1月31日发布），以获得额外的安全增强。 加强监控：鉴于该漏洞已被广泛利用，建议用户加强对网络流量和异常行为的监控。 该漏洞的发现和利用再次凸显了及时修补安全漏洞的重要性，尤其是对于关键的网络安全设备。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文