HackerNews

HackerNews 编译，转载请注明出处： 2025年2月10日，据网络安全公司Intezer和Solis Security的研究报告，一个名为XE Group的黑客组织被发现利用VeraCore软件中的多个零日漏洞，部署Web后门并维持对受感染系统的持久性远程访问。 XE Group是一个自2010年活跃至今的网络犯罪团伙，可能起源于越南。该团伙最初以信用卡信息窃取和供应链攻击为主，但近年来已转向针对制造业和分销行业的供应链攻击，利用新的漏洞和高级技术实施信息窃取。 此次攻击涉及的漏洞包括： CVE-2024-57968（CVSS评分：9.9）：文件上传验证漏洞，允许远程认证用户将文件上传到未指定的文件夹（已在VeraCore 2024.4.2.1版本中修复）。 CVE-2025-25181（CVSS评分：5.8）：SQL注入漏洞，允许远程攻击者执行任意SQL命令（目前尚无补丁）。 研究人员发现，XE Group通过这些漏洞部署了ASPXSpy Web后门，用于未经授权地访问受感染系统，并在某些情况下自2020年起就开始利用CVE-2025-25181漏洞。这些Web后门具备文件系统枚举、文件窃取和压缩（使用7z工具）等功能，并且可以用来投放Meterpreter负载，尝试通过Windows套接字连接到攻击者控制的服务器（如“222.253.102[.]94:7979”）。 此外，该团伙还利用这些漏洞维持对受感染系统的长期访问。例如，XE Group在2020年入侵了一个组织的系统，并在2024年重新激活了多年前部署的Web后门，继续窃取敏感配置文件并尝试执行远程访问木马（RAT）。 XE Group的攻击手段不断演变，从早期的信用卡信息窃取转向利用零日漏洞实施更广泛的数据窃取，这标志着其攻击能力的提升。该团伙还利用定制化的ASPXSpy Web后门，通过伪装成图像文件的可执行文件来隐藏恶意行为。 研究人员指出，XE Group通过长期维持对系统的访问，展示了其对长期目标的承诺。通过攻击制造业和分销行业的供应链，XE Group不仅最大化了其行动的影响，还展示了其对系统性漏洞的深刻理解。 相关背景 CVE-2019-18935：该漏洞曾被英国和美国政府机构列为2021年最常被利用的漏洞之一，最近也被用于加载反向Shell并执行后续侦察命令。 CISA更新已知漏洞目录：美国网络安全和基础设施安全局（CISA）近期将5个漏洞加入其已知被利用漏洞（KEV）目录，其中包括7-Zip的Mark of the Web绕过漏洞（CVE-2025-0411）和Sophos XG防火墙缓冲区溢出漏洞（CVE-2020-15069）。 安全建议 使用VeraCore的组织应尽快更新至最新版本，并实施全面的安全控制措施，包括定期进行漏洞评估和监控异常行为。 针对零日漏洞的利用，企业需加强主动防御策略，以应对日益复杂的网络犯罪威胁。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，Zimbra发布了软件更新，修复了其协作软件中的多个关键安全漏洞。如果这些漏洞被成功利用，可能会在某些条件下导致信息泄露。 其中一个漏洞被追踪为CVE-2025-25064，CVSS评分为9.8（满分10.0），是ZimbraSync服务SOAP端点中的SQL注入漏洞，影响10.0.12和10.1.4之前的版本。该漏洞源于对用户提供的参数缺乏足够的清理，攻击者可利用此漏洞注入任意SQL查询，通过“操纵请求中的特定参数”来获取电子邮件元数据。 Zimbra还修复了Zimbra经典Web客户端中的另一个关键漏洞，该漏洞涉及存储型跨站脚本（XSS）。该漏洞尚未分配CVE标识符。Zimbra在安全公告中表示，修复增强了输入清理并提升了安全性，相关问题已在9.0.0补丁44、10.0.13和10.1.5版本中得到解决。 此外，Zimbra还修复了CVE-2025-25065（CVSS评分：5.3），这是一个中等严重性的服务器端请求伪造（SSRF）漏洞，存在于RSS解析组件中，允许未经授权的重定向到内部网络端点。该漏洞已在9.0.0补丁43、10.0.12和10.1.4版本中得到修复。Zimbra建议客户尽快更新到最新版本，以获得最佳保护效果。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据研究人员观察，网络攻击者正在针对亚洲地区的互联网信息服务（IIS）服务器发起攻击，安装名为BadIIS的恶意软件，以实施搜索引擎优化（SEO）操纵活动。 趋势科技的研究人员泰德·李和伦纳特·贝尔梅霍在上周发布的分析报告中指出：“该活动很可能是出于经济动机，因为攻击者将用户重定向至非法赌博网站，表明他们利用BadIIS是为了谋取利润。” 此次攻击活动的目标包括印度、泰国、越南、菲律宾、新加坡、中国台湾、韩国、日本和巴西的IIS服务器，涉及政府、大学、科技公司和电信行业等多个领域。 攻击者通过向受感染服务器发送请求，可向用户推送篡改后的内容，包括将用户重定向至赌博网站，或连接到托管恶意软件或凭据收集页面的恶意服务器。 据推测，此次攻击活动可能与中国DragonRank威胁团伙有关。该团伙以使用SEO操纵手段传播BadIIS恶意软件而闻名，其活动曾在2024年被思科Talos记录。此外，DragonRank的活动还与ESET在2021年提到的“9号团伙”有关，后者利用受感染的IIS服务器提供代理服务并实施SEO欺诈。 趋势科技指出，此次检测到的恶意软件样本与“11号团伙”使用的变种存在相似之处，具有两种模式：一是通过篡改HTTP响应头信息实施SEO欺诈，二是向合法访问者的响应中注入可疑JavaScript代码。 研究人员表示：“BadIIS可以篡改来自网络服务器的HTTP响应头信息，它会检查收到的HTTP头中的‘用户代理’和‘来源’字段。如果这些字段包含特定的搜索引擎站点或关键词，BadIIS会将用户重定向至与非法在线赌博网站相关的页面，而不是合法网页。” 与此同时，Silent Push将中国Funnull内容分发网络（CDN）与一种名为“基础设施洗白”的行为联系起来。攻击者通过从亚马逊网络服务（AWS）和微软Azure等主流托管提供商处租用IP地址，用于托管犯罪网站。Funnull被指从亚马逊租用了超过1200个IP地址，从微软租用了近200个IP地址，这些恶意基础设施已被全部关停。然而，该公司表示：“Funnull每隔几周就会持续获取新的IP地址，很可能是通过欺诈或被盗账户获取这些IP地址，以映射到其CNAME。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据网络安全公司 Sucuri 报告，威胁行为者正在利用 Google Tag Manager（GTM）向基于 Magento 的电商网站部署信用卡窃取恶意软件。 这些恶意代码表面上看似用于网站分析和广告目的的常规 GTM 和 Google Analytics 脚本，但实际上包含了一个混淆的后门，能够为攻击者提供持续访问权限。截至发稿时，已有三个网站被发现感染了相关 GTM 标识符（GTM-MLHK2N68），低于 Sucuri 报告的六个。GTM 标识符是指包含各种跟踪代码（如 Google Analytics、Facebook Pixel）和在满足特定条件时触发的规则的容器。 进一步分析显示，恶意软件是从 Magento 数据库表 “cms_block.content” 中加载的，GTM 标签包含一个编码的 JavaScript 负载，用作信用卡窃取器。安全研究员 Puja Srivastava 表示：“该脚本旨在收集用户在结账过程中输入的敏感数据，并将其发送到攻击者控制的远程服务器。” 恶意软件执行后，会从结账页面窃取信用卡信息并发送到外部服务器。这并非 GTM 首次被用于恶意目的。2018 年 4 月，Sucuri 曾揭露该工具被用于恶意广告活动。 此次事件发生在该公司详细描述另一场 WordPress 活动数周之后，该活动可能利用插件漏洞或受攻击的管理员账户安装恶意软件，将网站访客重定向至恶意 URL。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据《华盛顿邮报》报道（https://www.washingtonpost.com/technology/2025/02/07/apple-encryption-backdoor-uk/），英国政府已向苹果公司发出秘密法律要求，要求其提供访问加密 iCloud 账户的权限。 这项要求被称为“技术能力通知”（TCN），是该国《调查权力法》中一项有争议的条款。 执法部门通过TCN 获得权限，但同时要求不得通知受影响的个人账户，否则可能会面临刑事诉讼。 《华盛顿邮报》的报道将这一要求描述为创建一个“后门，允许（英国当局）检索全球任何苹果用户上传到云端的所有内容”，但英国政府辩解称，此类通知只是为了迫使科技公司保留遵守数据合法授权的能力。 2022 年 12 月，苹果为 iCloud 用户推出了可选的端到端加密 (E2EE)，尽管英国和美国执法机构抱怨此举将破坏打击恐怖主义和虐待儿童等严重犯罪的努力。 关于端到端加密的类似争论也很普遍，英国一位最资深的执法官员认为，Meta 于 2023 年 12 月转向 E2EE 消息传递是公司放弃保护儿童安全的责任。 科技公司一直主张并游说，替代安全程序可以让执法官员访问用户账户和聊天内容。执法官员则认为，此类元数据不符合针对最严重威胁采取法律行动的证据标准。 苹果和英国政府均未立即回应置评请求。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WwovEJuO783NqC_6YlhG4A 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 医院姐妹健康系统（Hospital Sisters Health System，简称 HSHS）通知超过 88.2 万名患者，2023 年 8 月的一次网络攻击导致数据泄露，暴露了他们的个人和健康信息。 HSHS 成立于 1875 年，与 2200 多名医生合作，拥有约 12000 名员工。该系统还在伊利诺伊州和威斯康星州运营着 15 家当地医院和医生诊所网络，其中包括两家儿童医院。 这家非营利医疗系统在发给受影响者的数据泄露通知中表示，事件发生在 2023 年 8 月 27 日，当时检测到攻击者已进入 HSHS 的网络。 安全漏洞发生后，其系统还受到了广泛故障的影响，导致伊利诺伊州和威斯康星州医院的 “几乎所有操作系统” 和电话系统瘫痪。HSHS 还聘请了外部安全专家调查此次攻击，评估其影响，并帮助其 IT 团队恢复受影响的系统。 “我们正在优先考虑患者安全，同时建立恢复流程。在第三方专家的支持下，我们正在尽快、安全地恢复系统，”HSHS 在 2024 年 9 月的一份声明中表示。“像我们这样的医疗系统在数千台服务器上运行数百个系统应用程序，因此恢复和调查工作需要一些时间才能完成。” 尽管此次事件和随后的故障有所有勒索软件攻击的迹象，但没有勒索软件组织声称对此负责。 经过法医调查，HSHS 发现攻击者在 2023 年 8 月 16 日至 8 月 27 日期间访问了受感染系统上的文件。 “此后，我们一直在审查这些文件，并在审查过程中陆续通知信息被发现的个人，”该系统表示。 威胁行为者在 HSHS 系统内访问的信息因每个受影响的个人而异，包括姓名、地址、出生日期、病历号、有限的治疗信息、健康保险信息、社会安全号码和/或驾照号码的组合。 尽管 HSHS 表示没有证据表明受害者的信息已被用于欺诈或身份盗窃，但警告受影响的个人监控其账户明细和信用报告中的可疑活动。该医疗系统还为受影响者提供了一年免费的 Equifax 信用监控服务。 当 BleepingComputer 今天早些时候联系 HSHS 发言人确认数据泄露是否由勒索软件攻击导致时，对方尚未立即回复。 上周，康涅狄格州医疗保健提供商社区健康中心（CHC）通知超过 100 万名患者数据泄露事件，而纽约血液中心（NYBC）—— 世界上最大的独立血液收集和分发组织之一 —— 表示勒索软件攻击迫使其重新安排了一些预约。 本月早些时候，联合健康（UnitedHealth）透露，去年 Change Healthcare 勒索软件攻击中约有 1.9 亿美国人的信息被盗，几乎是去年 10 月披露的 1 亿人的两倍。 去年 12 月下旬，美国卫生与公众服务部（HHS）提出了 HIPAA 更新，以应对大规模医疗安全漏洞激增的情况，旨在保护患者的健康数据。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta Platforms, Inc. 正面临一起严重的版权侵权诉讼，原告指控这家科技巨头使用了 81.7 TB 的盗版书籍来训练其 Llama AI 模型。 这起诉讼是在美国加利福尼亚州北区联邦地区法院提起的，指控 Meta 从 Z-Library 和 LibGen 等来源非法下载了受版权保护的材料，尽管公司内部对这些行为的合法性和道德性存在担忧。 以作家 Richard Kadrey 为代表的原告团队对一项审前证据开示裁决提出异议，认为该裁决限制了他们收集关键证据的能力。 他们声称，Meta 在 2024 年 12 月 13 日距离事实发现阶段结束仅剩几小时时，披露了 2000 多份文件，这些文件显示员工承认使用盗版材料进行 AI 训练。 据报道，新解封的电子邮件揭示了 Meta 在版权诉讼中面临的最有力证据，这些证据由书籍作者提供，他们声称公司非法使用盗版书籍训练 AI 模型。 在披露的文件中，包括内部通信，承认像 LibGen 这样的数据库是“盗版”的，并表达了对使用这些数据库的道德担忧。 一名员工表示：“我觉得使用盗版材料应该超出我们的道德底线。” 另一份文件显示，Meta 决定使用 LibGen 已经上报到首席执行官马克・扎克伯格。 作者们声称，关于下载盗版内容的内部电子邮件证明 Meta 知道这是非法的。他们指出，员工 Bashlykov 的警告被忽视了。 Meta 没有停止，反而试图掩盖其行为，据称在 2024 年 4 月之前，秘密从暗网图书馆下载并分享了数 TB 的数据。 大规模数据获取 原告指控 Meta 近年来从暗网图书馆下载了至少 81.7 TB 的数据，其中包括通过 Anna’s Archive 从 Z-Library 和 LibGen 获取的 35.7 TB 数据。 这些数据 reportedly 包括数千万受版权保护的作品，用于训练 Llama 模型。这种所谓盗版行为的规模远远超过了许多之前的知识产权盗窃案件。 原告对最近一项证据开示裁决的几个方面提出挑战： 重新开启证词：他们认为，迟来的披露文件与 Meta 关键证人之前的证词相矛盾，有理由重新开启证词，以询问他们关于这些新发现的内容。 下载数据：原告希望获得 Meta 的下载日志和对等共享记录，以证明下载和重新分发了多少盗版材料。 Llama 4 和 5 训练数据集：原告声称，用于即将推出的 Llama 版本的数据集与他们的案件相关，应该被提供。 犯罪欺诈例外：他们指控 Meta 的律师参与了使用盗版材料的决定，尽管知道这是非法的，这需要根据犯罪欺诈例外对特权通信进行庭内审查。 这起案件可能对科技行业产生深远影响，特别是关于在 AI 开发中使用受版权保护材料的道德和法律标准。 如果原告成功，这可能会为追究公司在机器学习模型中使用未经授权内容的责任设定先例。 Meta 尚未对这些最新指控公开回应。法院考虑原告异议的听证会日期尚未安排。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Hugging Face 平台上存在两个恶意机器学习（ML）模型，这些模型利用一种不寻常的“损坏”Pickle 文件技术来规避检测。 “从上述 PyTorch 存档中提取的 Pickle 文件显示，文件开头包含恶意 Python 内容，”ReversingLabs 研究员 Karlo Zanki 在一份与 The Hacker News 共享的报告中表示。“在这两种情况下，恶意负载都是一个典型的平台感知型反向 shell，连接到硬编码的 IP 地址。” 这种方法被称为 nullifAI，因为它试图绕过现有的安全防护措施，避免被识别为恶意模型。以下是 Hugging Face 上的模型存储库列表： glockr1/ballr7 who-r-u0000/0000000000000000000000000000000000000 这些模型更像是概念验证（PoC），而不是实际的供应链攻击场景。 Pickle 序列化格式常用于分发机器学习模型，但因其存在安全风险而屡遭诟病，因为它允许在加载和反序列化时执行任意代码。 被检测到的两个模型存储在 PyTorch 格式中，实际上就是压缩的 Pickle 文件。尽管 PyTorch 默认使用 ZIP 格式进行压缩，但这些模型使用的是 7z 格式。这种行为使得模型能够避开 Hugging Face 用于检测可疑 Pickle 文件的 Picklescan 工具。 “这个 Pickle 文件的一个有趣之处在于，对象序列化——Pickle 文件的目的——在恶意负载执行后不久就会中断，导致对象反编译失败，”Zanki 说。 进一步分析发现，由于 Picklescan 和反序列化工作方式之间的差异，即使工具抛出错误消息，这些损坏的 Pickle 文件仍然可以部分反序列化，从而执行恶意代码。该开源工具随后已更新以修复此漏洞。 “这种行为的解释是，Pickle 文件的对象反序列化是按顺序进行的，”Zanki 指出。“Pickle 操作码在遇到时会被执行，直到所有操作码执行完毕或遇到错误指令。在发现的模型中，由于恶意负载插入在 Pickle 流的开头，模型的执行不会被 Hugging Face 现有的安全扫描工具检测为不安全。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

科技媒体 decrypt 2 月 8 日发布博文，报道称有黑客在暗网论坛发帖，声称持有 2000 万 OpenAI 用户账户的登录凭据，并开始公开兜售。 OpenAI 公司表示目前已紧急启动调查，初步排查证据表明其系统并未遭受攻击，但用户仍需警惕潜在风险，并采取必要安全措施。 一位匿名黑客在暗网论坛发布俄语信息，声称拥有超过 2000 万个 OpenAI 账户的访问代码，并称之为“金矿”，还提供了包含电子邮件地址和密码的样本数据。IT之家附上图片如下： 有安全研究人员对样本数据进行了验证，发现其中至少有两个电子邮件地址无效，该用户在论坛上的其他帖子也与窃取日志有关。目前相关帖子已被删除，这让此次泄露事件的真实性存疑。 OpenAI 已发表声明，表示正在认真对待此事，但尚未发现任何证据表明 OpenAI 系统遭到入侵。即使此次事件最终被证实为虚惊一场，用户也应提高安全意识，采取多种措施保护自己的 OpenAI 账户。 转自军哥网络安全读报，原文链接：https://www.ithome.com/0/829/406.htm 封面来源于网络，如有侵权请联系删除

Sysdig的研究揭示了一个令人担忧的现象：一个针对大型语言模型（LLM）的黑市正在形成。ORP（OpenAI反向代理）运营商向攻击者提供未经授权的被盗账户访问权限，从而获取巨额利润。本文将深入剖析攻击者如何窃取访问权限，并利用LLM进行牟利。 DeepSeek遭遇LLMjacking攻击，云成本急剧飙升 自2024年5月首次被发现以来，LLMjacking攻击呈现出迅速演变的趋势，攻击范围不断扩展至新的大型语言模型，例如DeepSeek。据报道，DeepSeek-V3发布仅数天后，就被集成到ORP实例中，这充分展示了攻击者惊人的适应能力。 LLMjacking的驱动因素在于基于云的LLM使用相关的高成本。攻击者通过入侵账户，利用这些昂贵的服务而不支付费用。根据TRT的最新发现，LLMjacking已经成为一种成熟的攻击向量，线上社区积极分享相关工具和技术。 TRT观察到LLMjacking的牟利行为有所增加，攻击者通过ORP出售LLM访问权限。其中一个实例，根据报道每月售价为30美元。然而，运营商往往低估了与LLM使用相关的成本。研究人员注意到，在一个实例中，仅4.5天的运行时间就产生了近5万美元的成本，其中Claude 3 Opus是最昂贵的。 攻击者运营的一个ORP实例（通过Sysdig） 资源利用的规模 在观察到的ORP中，总令牌（LLM生成的单词、字符集或单词/标点符号的组合）的使用量超过20亿，突显了资源利用的规模之大。受害者是凭证被盗用的合法账户持有者。 ORP使用仍然是LLMjacking的流行方法。ORP服务器作为各种LLM的反向代理，可以通过Nginx或TryCloudflare等动态域名暴露，有效地掩盖攻击者的来源。这些代理通常包含来自不同提供商（如OpenAI、Google AI和Mistral AI）的众多被盗API密钥，使攻击者能够向他人提供LLM访问权限。 研究人员在博客文章中指出：“Sysdig TRT发现超过十几个代理服务器使用被盗凭证跨多个不同服务，包括OpenAI、AWS和Azure。LLM的高成本是网络犯罪分子选择窃取凭证而不是支付LLM服务费用的原因。” 在线社区对LLMjacking的推动 4chan和Discord等在线社区通过ORP促进了LLM访问的共享。Rentry.co被用于共享工具和服务。研究人员在蜜罐环境中的LLM提示日志中发现了许多ORP代理，其中一些使用自定义域名，另一些则使用TryCloudflare隧道，最终追溯到攻击者控制的服务器。 凭证盗窃：LLMjacking的关键环节 凭证盗窃是LLMjacking的一个重要方面。攻击者针对易受攻击的服务，使用验证脚本来识别访问ML服务的凭证。公共存储库也提供了暴露的凭证。定制的ORP，通常为隐私和隐蔽性而修改，被用于访问被盗账户。 应对LLMjacking：关键措施 为应对LLMjacking攻击，保护访问密钥并实施强大的身份管理至关重要。最佳实践包括避免硬编码凭证、使用临时凭证、定期轮换访问密钥，以及监控暴露的凭证和可疑账户行为。   转自FREEBUF，原文链接：https://www.freebuf.com/news/421317.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： IBM 安全验证目录服务器容器存在两个漏洞，可能允许攻击者获得未经授权的访问权限并执行命令。IBM 已发布安全公告，详细说明了这些漏洞。 公告中提到的两个漏洞是 CVE-2024-49814 和 CVE-2024-51450，影响 IBM 安全验证目录 10.0.0 至 10.0.3 版本。 CVE-2024-49814 是一个本地权限提升漏洞，可能允许经过身份验证的用户获得更高权限，并有可能控制整个系统。该漏洞的 CVSS 基础评分为 7.8，表明其严重性较高。 CVE-2024-51450 是一个远程命令注入漏洞，可能允许攻击者通过发送特制请求在系统上执行任意命令。该漏洞的 CVSS 基础评分为 9.1，表明其严重性为关键级别。 “IBM 安全验证目录可能允许远程经过身份验证的攻击者通过发送特制请求在系统上执行任意命令，”公告中指出。 IBM 强烈建议客户更新到最新版本的软件，以修复这些漏洞。更新包括解决已识别安全缺陷的修复程序，并增强了系统的整体安全性。 使用 IBM 安全验证目录的组织应尽快应用更新，以保护其系统免受潜在攻击。优先考虑漏洞管理并确保及时应用安全更新，对于降低被利用的风险至关重要。   消息来源：Security Online, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场利用近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，试图猜测多种网络设备的登录凭证，包括Palo Alto Networks公司、Ivanti 公司以及 SonicWall 公司的设备。 暴力破解攻击是指威胁分子尝试用大量用户名和密码反复登录账户或设备，直到找到正确的组合。一旦他们获得了正确的登录凭证，这些威胁分子就可以利用这些凭证来劫持设备或获取网络访问权限。 据威胁监测平台 “影子服务器基金会”（The Shadowserver Foundation）称，自上个月起，这种暴力破解攻击一直在持续，每天动用近 280 万个源 IP 地址来实施攻击。 其中大多数（110 万个）来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但总体上参与这一活动的来源国家数量非常多。 这些是诸如防火墙、VPN、网关以及其他安全设备之类的边缘安全设备，通常暴露在互联网上以方便远程访问。 发起这些攻击的设备大多是 MikroTik、华为、思科、Boa 和中兴的路由器以及物联网设备，这些设备通常被大型恶意软件僵尸网络攻陷。 “影子服务器基金会” 在给 BleepingComputer 的一份声明中证实，这一活动已经持续了一段时间，但最近规模大幅扩大。 “影子服务器” 还表示，攻击 IP 地址分布在许多网络和自治系统中，很可能是僵尸网络或与住宅代理网络相关的某种操作。 住宅代理是互联网服务提供商（ISP）分配给消费者客户的 IP 地址，因其在以下方面用途广泛而备受青睐：网络犯罪、网页抓取、地理限制绕过、广告验证、球鞋 / 票务倒卖等。 这些代理通过住宅网络路由互联网流量，使用户看起来像是普通家庭用户，而非机器人、数据抓取者或黑客。 此次攻击所针对的网关设备，如防火墙等，可能会被用作住宅代理操作的代理出口节点，通过组织的企业网络路由恶意流量。 这些节点被认为是 “高质量” 的，因为组织通常声誉良好，攻击更难被发现和阻止。 保护边缘设备免受暴力破解攻击的措施包括：将默认管理员密码更改为强密码且独一无二的密码、强制执行多因素身份验证（MFA）、使用可信 IP 的允许列表，以及如果不需要则禁用网络管理界面。 最后，对这些设备应用最新的固件和安全更新至关重要，因为这可以消除威胁分子可利用来获得初始访问权限的漏洞。 去年 4 月，思科曾警告称，针对思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的大规模凭证暴力破解活动在全球范围内展开。 去年 12 月，Citrix 也曾警告称，针对 Citrix Netscaler 设备的密码喷射攻击在全球范围内发生。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦民用机构已被下令修补影响 Trimble Cityworks 的漏洞，这是一个被许多政府用来管理公共基础设施的流行工具。 英国工程巨头 Trimble 周四向伦敦证券交易所（LSE）提交了一份简短通知，称其成为了网络攻击的受害者。 网络安全和基础设施安全局（CISA）周四与 Trimble 一起发布了一则关于 CVE-2025-0994 的警告，确认该漏洞正被黑客利用。联邦民用机构需在 2 月 28 日前修补该漏洞。 Trimble Cityworks 是一个资产管理系统，被许多地方和联邦政府机构用来管理机场、公共事业、市政和县的基础设施资产。 CISA 表示，该漏洞允许恶意行为者“可能对客户的 Microsoft Internet Information Services (IIS) 网络服务器进行远程代码执行（RCE）”。 在给客户的一封信中，该公司表示，这一通知是在“调查有关未经授权尝试访问特定客户 Cityworks 部署的报告”之后发布的。 1 月 29 日发布了一个补丁，公司列出了客户需要采取的几项其他措施，以减少数据暴露的风险。客户应限制与 Cityworks 相关的权限，该系统“不应在任何站点上以本地或域级管理员权限运行”。 公司还在信中提供了妥协指标。CISA 表示，Trimble 向他们报告了该漏洞，赛门铁克威胁猎手团队为他们发布的关于该漏洞的咨询做出了贡献。 该漏洞的 CVSS v4 严重性评分为 8.4（满分 10）。所有 15.8.9 之前的 Cityworks 版本都受到该漏洞的影响。 Trimble 未回应关于黑客在利用 CVE-2025-0994 后采取了什么行动或黑客可能基于何处的置评请求。 Trimble 是一家总部位于科罗拉多州的大型技术供应商，在大约 40 个国家拥有超过 11000 名员工。该公司在上一财季报告的收入为 8.758 亿美元。 Cityworks 工具允许客户从一个平台管理关键基础设施资产，并组织检查、工单、许可证、运营等。 大约一年前，农业设备制造商 AGCO 以 20 亿美元现金收购了 Trimble 农业业务的 85% 股权。AGCO 在 2022 年遭受了一次勒索软件攻击，影响了其业务运营。   消息来源：The Record, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国工程巨头 IMI 周四向伦敦证券交易所（LSE）提交了一份简短通知，称其成为了网络攻击的受害者。 “[IMI] 目前正在应对一起涉及公司系统未经授权访问的网络安全事件，”该公司向 LSE 表示。 该公司尚未透露其面临的事件类型，但表示已聘请外部网络安全专家进行调查并控制攻击。 “与此同时，公司正在采取必要措施以遵守监管义务，”IMI 说。 这家工程巨头表示，将在适当的时候提供更多信息，并在回复 SecurityWeek 的询问时拒绝透露有关事件性质和影响的进一步细节。 此次攻击的披露大约是在另一家英国工程公司史密斯集团（Smiths Group）披露影响其某些系统的网络攻击一周后。 “我们目前正在进行一起涉及系统未经授权访问的网络事件。我们一旦意识到这一活动，就迅速隔离了受影响的系统并启动了业务连续性计划，”史密斯集团上周表示。 目前尚不清楚这两起攻击中是否使用了勒索软件，以及黑客是否试图对这两家工程巨头进行敲诈。SecurityWeek 尚未看到任何已知的勒索软件组织声称对这些事件负责。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   一项针对DeepSeek苹果iOS版移动应用的最新审计发现，该应用存在严重安全漏洞，最主要的问题是其在网络传输过程中未对敏感数据进行加密，可能导致数据被拦截或篡改，带来安全隐患。   此次评估由网络安全公司NowSecure进行，审计结果显示，DeepSeek应用不仅未遵循最佳安全实践，还收集了大量用户和设备数据。   “DeepSeek iOS应用在互联网传输部分注册信息和设备数据时未进行加密，”NowSecure指出，“这使得这些数据在网络流量中暴露于被动和主动攻击之下。”   进一步拆解分析表明，该应用在用户数据加密方面存在多个安全漏洞，包括使用不安全的对称加密算法（3DES）、硬编码的加密密钥以及重复使用初始化向量（IV），增加了数据泄露的风险。   此外，DeepSeek的数据传输至由字节跳动旗下云计算和存储平台Volcano Engine管理的服务器，而字节跳动正是TikTok的母公司。   “DeepSeek iOS应用完全禁用了iOS平台级别的安全防护机制——App Transport Security（ATS），该机制旨在防止敏感数据通过未加密渠道传输。”NowSecure警告称，“由于该防护被关闭，应用会在互联网上传输未加密的数据。”   这一发现进一步加剧了外界对该人工智能（AI）聊天机器人服务的担忧。尽管DeepSeek在多个市场迅速登顶iOS和Android应用商店榜单，但其安全性问题仍然备受争议。   网络安全公司Check Point的报告显示，黑客正利用DeepSeek的AI引擎，以及阿里巴巴Qwen和OpenAI ChatGPT，开发信息窃取工具、生成不受限制的内容，并优化大规模垃圾信息分发的脚本。   “随着攻击者运用越狱等高级技术绕过防护措施，开发信息窃取软件、进行金融诈骗和垃圾邮件分发，企业亟需实施主动防御措施，以应对AI技术被滥用带来的安全威胁。”Check Point表示。   本周早些时候，美联社披露，DeepSeek官方网站将用户登录信息发送至中国移动，而该公司已被美国政府禁止在美运营。   与TikTok类似，DeepSeek的中国背景引发美国政界担忧，部分议员正推动在政府设备上全面禁用该应用，理由是其可能向中国政府提供用户数据。   值得注意的是，澳大利亚、意大利、荷兰、台湾和韩国等多个国家，以及印度和美国的政府机构（包括国会、NASA、海军、五角大楼和德州政府）均已禁止在政府设备上使用DeepSeek。   与此同时，DeepSeek的迅速走红也让其成为恶意攻击的目标。中国网络安全公司XLab向《环球时报》透露，该应用上月底遭遇了持续性的分布式拒绝服务（DDoS）攻击，攻击源包括Mirai僵尸网络hailBot和RapperBot。   此外，网络犯罪分子也在利用DeepSeek的热度设立仿冒页面，传播恶意软件、虚假投资骗局和加密货币诈骗，进一步加剧了该应用面临的安全风险。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare 在其 R2 对象存储平台中试图封堵一个网络钓鱼 URL 时出现失误，引发了一场大规模故障，导致多个服务在近一个小时内瘫痪。 Cloudflare R2 是一种类似于亚马逊 S3 的对象存储服务，旨在提供可扩展、耐用且低成本的数据存储。它提供免费的数据检索、S3 兼容性、跨多个地点的数据复制以及 Cloudflare 服务集成。 故障发生在昨天，当时一名员工响应了一起关于 Cloudflare R2 平台中网络钓鱼 URL 的滥用报告。然而，该员工并未封堵特定端点，而是错误地关闭了整个 R2 网关服务。 Cloudflare 在事后分析中解释道：“在一次常规的滥用补救过程中，由于处理投诉时的失误，意外禁用了 R2 网关服务，而非与报告相关的特定端点/存储桶。” “这是多个系统级控制（首先是）和操作员培训的失败。” 该事件持续了 59 分钟，从世界协调时 08:10 到 09:09，除了 R2 对象存储本身外，还影响了以下服务： Stream – 视频上传和流媒体传输 100% 失败。 Images – 图像上传/下载 100% 失败。 Cache Reserve – 操作 100% 失败，导致源请求增加。 Vectorize – 查询失败 75%，插入、更新和删除操作 100% 失败。 Log Delivery – 延迟和数据丢失：与 R2 相关的日志数据丢失高达 13.6%，非 R2 交付作业的数据丢失高达 4.5%。 Key Transparency Auditor – 签名发布和读取操作 100% 失败。 还有一些间接影响的服务出现了部分故障，例如 Durable Objects，由于恢复后的重新连接，其错误率增加了 0.09%；Cache Purge 错误增加了 1.8%（HTTP 5xx），延迟飙升了 10 倍；Workers & Pages 的部署失败率为 0.002%，仅影响具有 R2 绑定的项目。 Cloudflare 指出，人为错误以及缺乏诸如高影响操作的验证检查等防护措施是此次事件的关键原因。 这家互联网巨头现已实施了即时修复措施，例如在滥用审查界面中移除关闭系统的能力，以及在管理 API 中对内部账户的服务禁用进行限制。 未来还将实施的额外措施包括改进账户配置、更严格的访问控制，以及对高风险操作的双人审批流程。 2024 年 11 月，Cloudflare 曾经历另一次长达 3.5 小时的显著故障，导致服务中 55% 的日志不可逆丢失。 那次事件是由 Cloudflare 日志处理管道中的一个关键组件被错误配置引发的级联故障。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件供应商 Trimble 警告称，黑客正在利用 Cityworks 反序列化漏洞远程执行 IIS 服务器上的命令，并部署 Cobalt Strike 信标以获取初始网络访问权限。 Trimble Cityworks 是一款以地理信息系统（GIS）为核心的资产管理和工单管理软件，主要面向地方政府、公用事业和公共工程组织。该产品帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划和预算等。 该漏洞被追踪为 CVE-2025-0994，是一个高严重性（CVSS v4.0 评分为 8.6）的反序列化问题，允许经过身份验证的用户对客户的微软互联网信息服务（IIS）服务器执行远程代码攻击。 Trimble 表示，已调查客户关于黑客利用该漏洞未经授权访问客户网络的报告，表明该漏洞正在被积极利用。 美国网络安全和基础设施安全局（CISA）已发布协调公告，警告客户立即保护其网络免受攻击。 CVE-2025-0994 漏洞影响 Cityworks 15.8.9 之前的版本和 Cityworks with office companion 23.10 之前的版本。 最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 29 日发布。 管理本地部署的管理员必须尽快应用安全更新，而云托管实例（CWOL）将自动接收更新。 Trimble 警告称，一些本地部署可能具有过度特权的 IIS 身份权限，这些权限不应以本地或域级管理员权限运行。此外，一些部署的附件目录配置不正确。供应商建议将附件根文件夹限制为仅包含附件。 在完成上述所有三个操作后，客户可以恢复 Cityworks 的正常运行。 虽然 CISA 尚未分享该漏洞的利用方式，但 Trimble 已发布利用该漏洞的攻击的入侵指标（IOC）。这些 IOC 表明，威胁行为者部署了多种远程访问工具，包括 WinPutty 和 Cobalt Strike 信标。 微软还于昨日警告称，威胁行为者正在利用在线暴露的 ASP.NET 机器密钥，通过 ViewState 代码注入攻击入侵 IIS 服务器以部署恶意软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 惠普企业（HPE）在 2023 年 5 月遭到俄罗斯国家支持的黑客组织 Cozy Bear（也称为 Midnight Blizzard、APT29 和 Nobelium）攻击后，正在通知员工其数据被盗。该组织被认为隶属于俄罗斯对外情报局（SVR），还与 2020 年 SolarWinds 供应链攻击等其他重大事件有关。 根据向新罕布什尔州和马萨诸塞州总检察长办公室提交的文件，HPE 上个月开始向至少 16 名员工发送数据泄露通知信，这些员工的驾照、信用卡号码和社会安全号码等信息被盗。HPE 在信中表示：“HPE 的取证调查确定，某些个人的个人信息可能已被未经授权访问。”并称“2025 年 1 月 29 日，HPE 开始根据适用法律向受影响的个人发出通知。” 当被问及此次数据泄露影响的员工人数时，HPE 发言人表示：“只有少数 HPE 团队成员的邮箱被访问，涉及的信息仅限于这些邮箱中的内容。” HPE 首次披露此次事件是在 2024 年 1 月 29 日的 SEC 文件中，当时公司表示，2023 年 12 月 12 日被告知，疑似俄罗斯黑客在 2023 年 5 月利用被盗账号入侵了其基于云的 Office 365 邮箱环境。HPE 当时表示：“我们确定，这个国家级黑客从 2023 年 5 月开始访问并窃取了 HPE 少数邮箱中的数据，这些邮箱属于我们网络安全、市场、业务部门和其他职能部门的个人。我们认为该国家级黑客是 Midnight Blizzard，也称为 Cozy Bear。” HPE 还表示，被访问的数据仅限于用户邮箱中的信息，并将继续调查并按要求发出适当通知。 同一伙黑客还入侵了 SharePoint 服务器。在 SEC 文件中，HPE 补充说，Office 365 事件可能与 2023 年 5 月的另一起入侵事件有关，当时威胁行为者访问了公司的 SharePoint 服务器并窃取了文件。 HPE 此前曾遭入侵。2018 年，中国黑客入侵了 HPE 的网络，并利用该访问权限入侵了客户的设备。2021 年，HPE 披露其 Aruba Central 网络监控平台的数据存储库被入侵，导致威胁行为者获取了有关受监控设备及其位置的信息。 更近的事件。2024 年 2 月和 2025 年 1 月，HPE 开始调查其他潜在安全漏洞，此前威胁行为者 IntelBroker 声称窃取了 HPE 的凭证、源代码和其他敏感信息。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度中央银行印度储备银行（RBI）表示，将为印度的银行引入一个专用的“bank.in”互联网域名，以打击数字金融欺诈行为。 “这一举措旨在减少网络安全威胁和诸如网络钓鱼之类的恶意活动，并简化安全金融服务，从而增强对数字银行和支付服务的信任，”RBI在今日发布的一份声明中表示。 为此，印度银行技术发展与研究研究所（IDRBT）将担任唯一的注册机构。域名注册预计将于2025年4月开始。 RBI还表示，计划为金融部门的其他非银行实体推出一个单独的专用域名“fin.in”。 作为增强在线支付信任的更广泛努力的一部分，RBI还表示将推出跨境无卡（CNP）在线交易的额外身份验证因素（AFA）。 AFA，也称为多因素身份验证（MFA），指的是使用多个因素来验证用户身份的过程，在这种情况下，是通过卡片、预付工具和移动银行渠道完成的数字交易。 “这将在海外商家启用AFA的情况下，提供额外的安全层，”RBI表示。 然而，值得注意的是，RBI并未强制规定AFA的具体因素。印度的数字支付生态系统在很大程度上采用了基于短信的一次性密码（OTP）作为AFA。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警告称，软件开发者从公开资源中使用已泄露的 ASP.NET 机器密钥，可能会使应用程序面临攻击风险。该公司威胁情报团队发现，2024 年 12 月曾有未知攻击者利用公开的静态 ASP.NET 机器密钥注入恶意代码，并投递名为 Godzilla 的后利用框架。 微软指出，此类密钥可能被用于 ViewState 代码注入攻击，目前已发现超过 3000 个公开披露的密钥存在被利用的风险。与以往常见的 ViewState 代码注入攻击使用被盗或被泄露的密钥不同，这些公开披露的密钥风险更高，因为它们广泛存在于多个代码仓库中，且可能未经修改就被直接用于开发代码。 ViewState 是 ASP.NET 框架中用于在页面回发之间保存页面和控件值的方法，通常以隐藏字段形式存储在页面中，并使用 Base64 编码，同时通过机器身份验证码（MAC）密钥生成的哈希值来确保数据未被篡改。然而，如果这些密钥被盗或被未经授权的第三方获取，攻击者可以利用这些密钥发送恶意 ViewState 请求并执行任意代码。 微软已提供公开披露机器密钥的哈希值列表，建议用户检查其环境中使用的密钥是否匹配，并警告称，如果公开披露的密钥被成功利用，仅旋转密钥可能不足以解决问题，因为攻击者可能已在主机上建立了持久性。为降低此类攻击风险，建议不要从公开来源复制密钥，并定期更换密钥。此外，微软还从其文档中删除了一些包含密钥的“有限实例”，以进一步阻止攻击者。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文