Aggregator

好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是Fortinet、Ivanti和SAP修复了他们产品中的严重安全漏洞。Fortinet的问题涉及多个产品，主要是签名验证不当，可能导致认证绕过和代码执行。Ivanti的漏洞是存储型XSS，允许攻击者执行任意JavaScript。SAP修复了三个关键漏洞，包括代码注入和反序列化问题。 接下来，我需要将这些信息浓缩到100字以内。要确保涵盖所有公司及其修复的漏洞类型和影响。同时，语言要简洁明了，避免使用复杂的术语。 可能的结构是：先总述三家公司修复漏洞，然后分别简要说明每个公司的主要问题和影响。这样既全面又简洁。 最后检查字数，确保不超过限制，并且表达清晰。 Fortinet、Ivanti 和 SAP 已修复其产品中的关键安全漏洞，涉及身份验证绕过、代码执行和存储型 XSS 等问题。Fortinet 的 FortiOS 等产品因签名验证不当存在高危风险；Ivanti 的 EPM 存在允许远程攻击者注入恶意脚本的漏洞；SAP 修复了 Solution Manager 和 jConnect SDK 等组件中的严重缺陷。这些漏洞可能被恶意利用，用户需及时更新以防范风险。

Fortinet, Ivanti, and SAP have moved to address critical security flaws in their products that, if successfully exploited, could result in an authentication bypass and code execution. The Fortinet vulnerabilities affect FortiOS, FortiWeb, FortiProxy, and FortiSwitchManager and relate to a case of improper verification of a cryptographic signature. They are tracked as CVE-2025-59718 and

HackerNews 编译，转载请注明出处： 已观察到四个不同的威胁活动集群正在利用一种名为CastleLoader的恶意软件加载程序，这强化了先前的评估，即该工具是以恶意软件即服务模式提供给其他威胁行为者的。 CastleLoader背后的威胁行为者已被Recorded Future的Insikt Group命名为GrayBravo，该组织先前将其追踪为TAG-150。 这家万事达卡旗下的公司在今天发布的分析报告中表示，GrayBravo的特点是“快速的开发周期、技术复杂性、对公开报告的响应能力以及广泛且不断发展的基础设施”。 网络安全 该威胁行为者工具集中的一些显著工具包括一个名为CastleRAT的远程访问木马和一个被称为CastleBot的恶意软件框架，该框架包含三个组件：一个shellcode加载器/下载器、一个加载器和一个核心后门。 CastleBot加载器负责注入核心模块，该模块能够联系其命令与控制服务器以检索任务，使其能够下载并执行DLL、EXE和PE（可移植可执行文件）有效载荷。通过此框架分发的部分恶意软件家族包括DeerStealer、RedLine Stealer、StealC Stealer、NetSupport RAT、SectopRAT、MonsterV2、WARMCOOKIE，甚至包括Hijack Loader等其他加载程序。 Recorded Future的最新分析揭示了四个活动集群，每个集群采用不同的策略运作—— 集群1：使用网络钓鱼和ClickFix技术分发CastleLoader，以物流行业为目标（自2025年3月起活跃，被追踪为TAG-160）。 集群2：使用Booking.com主题的ClickFix攻击活动分发CastleLoader和Matanbuchus 3.0（自2025年6月起活跃，被追踪为TAG-161）。 集群3：使用冒充Booking.com的基础设施，结合ClickFix和Steam Community页面作为秘密情报点来通过CastleLoader分发CastleRAT（自2025年3月起活跃）。 集群4：使用恶意广告和伪装成Zabbix与RVTools的虚假软件更新诱饵来分发CastleLoader和NetSupport RAT（自2025年4月起活跃）。 TAG-160发起的攻击也因使用在DAT Freight & Analytics和Loadlink Technologies等货运匹配平台上创建欺诈或已泄露的账户来增强其网络钓鱼活动的可信度而引人注目。Recorded Future补充道，此活动说明其对行业运营有深刻理解，包括冒充合法物流公司、利用货运匹配平台以及模仿真实通信以增强其欺骗性和影响力。 目前评估认为（置信度较低），此活动可能与去年针对北美运输和物流公司分发各种恶意软件家族的另一个未归因集群有关。 Recorded Future表示：“GrayBravo已显著扩大了其用户群，越来越多利用其CastleLoader恶意软件的威胁行为者和运营集群就是明证。这一趋势凸显出，技术上先进且适应性强的工具，特别是来自像GrayBravo这样具有声誉的威胁行为者，一旦被证明有效，如何在网络犯罪生态系统中迅速扩散。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

好，我现在要帮用户总结一篇文章的内容，控制在100字以内。用户提供的文章内容是“error code: 521”，看起来是一个错误代码。首先，我需要理解这个错误代码的含义。521通常与Cloudflare有关，可能表示连接超时或服务器问题。 接下来，我需要考虑用户的使用场景。他们可能是在使用网络服务时遇到了问题，想要快速了解这个错误的原因和解决方法。用户的身份可能是普通网民或技术人员，所以总结时要简明扼要。 用户的真实需求是获取关于521错误代码的简要说明，可能还希望知道如何解决这个问题。深层需求可能是希望快速找到解决方案，避免长时间的故障排除。 现在，我要将这些信息浓缩到100字以内。首先说明这是Cloudflare的错误代码，接着描述常见原因如连接超时或服务器问题，最后给出解决方法：检查网络连接、重试或联系管理员。 确保语言简洁明了，避免专业术语过多，让用户容易理解。同时，结构要清晰，先描述问题，再给出解决办法。 最终总结应该涵盖错误代码的来源、常见原因和解决步骤，满足用户的需求。 文章描述了一个常见的网络错误代码521，通常由Cloudflare引起，表示与原服务器的连接超时或服务器出现问题。常见原因包括服务器过载、配置错误或网络问题。解决方法包括检查网络连接、等待一段时间后重试或联系网站管理员进行排查。

A vulnerability was found in Fortinet FortiSandbox up to 4.2.8/4.4.7/5.0.2. It has been declared as critical. Affected by this issue is some unknown functionality of the component HTTP Handler. Executing manipulation can lead to os command injection. This vulnerability is handled as CVE-2025-53949. The attack can be executed remotely. There is not any exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic was found in Fortinet FortiSandbox up to 4.0.6/4.2.8/4.4.7/5.0.2. This impacts an unknown function. The manipulation results in cross site scripting. This vulnerability is cataloged as CVE-2025-54353. The attack may be launched remotely. There is no exploit available. Upgrading the affected component is advised.

A vulnerability, which was classified as problematic, has been found in Fortinet FortiPortal up to 7.4.5. Affected is an unknown function of the component HTTP Handler. This manipulation causes incorrect authorization. This vulnerability is registered as CVE-2025-54838. Remote exploitation of the attack is possible. No exploit is available. It is advisable to upgrade the affected component.

A vulnerability has been found in MailEnable up to 10.53 and classified as problematic. The impacted element is the function Finish of the file /Mondo/lang/sys/Forms/AddressBook.aspx. This manipulation of the argument FieldTo causes cross site scripting. This vulnerability is registered as CVE-2025-34403. Remote exploitation of the attack is possible. No exploit is available. The affected component should be upgraded.

A vulnerability was found in MailEnable up to 10.53 and classified as problematic. This affects an unknown function of the file /Mondo/lang/sys/Forms/Statistics.aspx. Such manipulation of the argument theme leads to cross site scripting. This vulnerability is documented as CVE-2025-34407. The attack can be executed remotely. There is not any exploit available. It is suggested to upgrade the affected component.

A vulnerability was found in MailEnable up to 10.53. It has been classified as problematic. This impacts an unknown function of the file /Mondo/lang/sys/Forms/MAI/AddRecipientsResult.aspx. Performing manipulation of the argument Added results in cross site scripting. This vulnerability is reported as CVE-2025-34408. The attack is possible to be carried out remotely. No exploit exists. Upgrading the affected component is recommended.

A vulnerability was found in MailEnable up to 10.53. It has been rated as problematic. Affected by this vulnerability is the function PageLoad of the file /Mondo/lang/sys/Forms/CAL/compose.aspx. The manipulation of the argument InstanceScope leads to cross site scripting. This vulnerability is traded as CVE-2025-34404. It is possible to initiate the attack remotely. There is no exploit available. Upgrading the affected component is advised.

A vulnerability identified as problematic has been detected in MailEnable up to 10.53. This affects an unknown part of the file /Mondo/lang/sys/Forms/MAI/AddRecipientsResult.aspx. This manipulation of the argument Failed causes cross site scripting. This vulnerability is handled as CVE-2025-34409. The attack can be initiated remotely. There is not any exploit available. You should upgrade the affected component.

A vulnerability described as problematic has been identified in MailEnable up to 10.53. Impacted is an unknown function of the file /Mobile/ContactDetails.aspx. Executing manipulation of the argument ID can lead to cross site scripting. The identification of this vulnerability is CVE-2025-34406. The attack may be launched remotely. There is no exploit available. Upgrading the affected component is recommended.

A vulnerability classified as critical has been found in Microsoft Windows. This issue affects some unknown processing of the component PowerShell. This manipulation causes command injection. This vulnerability appears as CVE-2025-54100. The attack requires local access. There is no available exploit. It is recommended to apply a patch to fix this issue.

A vulnerability classified as critical was found in Microsoft Windows. Impacted is an unknown function of the component Projected File System. Such manipulation leads to out-of-bounds read. This vulnerability is traded as CVE-2025-55233. An attack has to be approached locally. There is no exploit available. Applying a patch is advised to resolve this issue.

A vulnerability, which was classified as critical, has been found in Microsoft Windows. The affected element is an unknown function of the component Storage VSP Driver. Performing manipulation results in missing authentication. This vulnerability is known as CVE-2025-59516. Attacking locally is a requirement. No exploit is available. It is suggested to install a patch to address this issue.

A vulnerability, which was classified as critical, was found in Microsoft Windows. The impacted element is an unknown function of the component Storage VSP Driver. Executing manipulation can lead to improper access controls. This vulnerability is handled as CVE-2025-59517. It is possible to launch the attack on the local host. There is not any exploit available. A patch should be applied to remediate this issue.

Мастер-класс по лоббизму в кибербезопасности.

HackerNews 编译，转载请注明出处： 加拿大组织已成为一个名为STAC6565的威胁活动集群策划的针对性网络攻击行动的焦点。 网络安全公司Sophos表示，其在2024年2月至2025年8月期间调查了与该威胁行为者相关的近40起入侵事件。该攻击行动被高度确信与一个名为Gold Blade的黑客组织存在重叠，该组织也被追踪为Earth Kapre、RedCurl和Red Wolf。 这个出于经济动机的威胁行为者据信自2018年底开始活跃，最初针对俄罗斯的实体，随后将其目标扩展到加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国的实体。该组织有使用网络钓鱼邮件进行商业间谍活动的历史。 然而，最近的攻击浪潮发现RedCurl参与了使用一种名为QWCrypt的定制恶意软件家族进行的勒索软件攻击。该威胁行为者武器库中的一个显著工具是RedLoader，它将被感染主机的信息发送到命令与控制服务器，并执行PowerShell脚本来收集与受攻击的Active Directory环境相关的详细信息。 Sophos研究员Morgan Demboski表示：“这次攻击行动反映了该组织异常狭窄的地理关注点，近80%的攻击针对加拿大组织。曾经主要专注于网络间谍活动的Gold Blade，已将其活动演变为混合操作，通过一个名为QWCrypt的自定义加密程序，将数据盗窃与有选择的勒索软件部署结合起来。” 其他主要目标包括美国、澳大利亚和英国，在此期间，服务、制造、零售、技术、非政府组织和交通行业受到的影响最为严重。 据悉，该组织以“黑客雇佣兵”模式运作，代表客户进行定制化入侵，同时附带部署勒索软件以从入侵中获利。尽管Group-IB在2020年的一份报告提出了该组织可能是俄语组织的可能性，但目前没有迹象可以证实或否认这一评估。 Sophos将RedCurl描述为一个“专业化的行动”，称该威胁行为者因其完善和发展其攻击手法以及发起隐蔽勒索攻击的能力而与其他网络犯罪集团不同。也就是说，没有证据表明它是国家资助或有政治动机的。 该网络安全公司还指出，其行动节奏以一段时间的无活动为标志，随后是使用改进战术的突然攻击激增，这表明该黑客组织可能正在利用停工期来更新其工具集。 STAC6565始于针对人力资源人员的鱼叉式网络钓鱼电子邮件，诱骗他们打开伪装成简历或求职信的恶意文档。至少从2024年11月起，该活动就利用Indeed、JazzHR和ADP WorkforceNow等合法求职平台上传武器化的简历，作为求职申请过程的一部分。 Demboski解释说：“由于招聘平台使人力资源人员能够查看所有收到的简历，将有效载荷托管在这些平台上并通过一次性电子邮件域发送，不仅增加了文档被打开的可能性，而且还逃避了基于电子邮件的保护措施的检测。” 在一个事件中，发现上传到Indeed的一份虚假简历会将用户重定向到一个设有陷阱的URL，最终通过RedLoader链导致部署QWCrypt勒索软件。在2024年9月、2025年3月/4月和2025年7月，至少观察到了三种不同的RedLoader投递序列。投递链的某些方面此前已由Huntress、eSentire和Bitdefender详细描述过。 2025年7月观察到的主要变化涉及使用由虚假简历投放的ZIP存档。存档中存在一个冒充PDF的Windows快捷方式文件。该LNK文件使用“rundll32.exe”从托管在Cloudflare Workers域名后的WebDAV服务器获取重命名版本的“ADNotificationManager.exe”。 然后，攻击启动合法的Adobe可执行文件，从同一WebDAV路径侧加载RedLoader DLL。该DLL继续连接到外部服务器以下载并执行第二阶段有效载荷，这是一个独立的二进制文件，负责连接到不同的服务器，并检索第三阶段独立可执行文件以及一个恶意的DAT文件和一个重命名的7-Zip文件。 两个阶段都依赖微软的程序兼容性助手来执行有效载荷，这种方法在以前的攻击活动中也出现过。唯一的区别是，有效载荷的格式在2025年4月转变为EXE文件，而不是DLL文件。 Sophos表示：“该有效载荷解析恶意的.dat文件并检查互联网连接。然后它连接到另一个攻击者控制的C2服务器，创建并运行一个自动化系统发现的.bat脚本。该脚本解压Sysinternals AD Explorer并运行命令以收集主机信息、磁盘、进程和已安装的防病毒产品等详细信息。” 执行结果被打包成一个加密的、受密码保护的7-Zip存档，并传输到攻击者控制的WebDAV服务器。还观察到RedCurl使用开源反向代理RPivot和Chisel SOCKS5进行C2通信。 攻击中使用的另一个工具是Terminator工具的定制版本，该工具利用签名的Zemana AntiMalware驱动程序，通过所谓的自带易受攻击驱动程序攻击来结束与防病毒相关的进程。至少在2025年4月的一个案例中，威胁行为者在通过SMB共享将其分发到受害者环境中的所有服务器之前，对这两个组件都进行了重命名。 Sophos还指出，大多数这些攻击在安装QWCrypt之前就被检测到并得以缓解。然而，其中三起攻击——一起在4月，两起在2025年7月——导致了成功的部署。 它补充道：“在4月的事件中，威胁行为者手动浏览并收集了敏感文件，然后暂停活动超过五天，才部署加密程序。这种延迟可能表明攻击者在试图将数据货币化或未能找到买家后转向了勒索软件。” QWCrypt部署脚本针对目标环境进行了定制，通常在文件名中包含特定于受害者的ID。该脚本一旦启动，会检查Terminator服务是否正在运行，然后采取措施禁用恢复功能，并在网络中的终端设备（包括组织的虚拟机管理程序）上执行勒索软件。 在最后阶段，该脚本运行一个清理批处理脚本，删除现有的卷影副本和每个PowerShell控制台历史文件，以阻碍取证恢复。 Sophos表示：“Gold Blade对招聘平台的滥用、休眠与爆发的周期循环以及对投递方法的持续完善，展示了一种通常不与经济动机行为者相关的操作成熟度。该组织维护着一个全面且组织良好的攻击工具包，包括开源工具的修改版本和自定义二进制文件，以促进多阶段恶意软件投递链。” 此次披露之际，Huntress表示，它注意到针对虚拟机管理程序的勒索软件攻击大幅激增，从今年上半年的3%跃升至下半年迄今为止的25%，这主要是由Akira组织推动的。 研究人员Anna Pham、Ben Bernstein和Dray Agha写道：“勒索软件操作者直接通过虚拟机管理程序部署勒索软件有效载荷，完全绕过了传统的终端保护。在某些情况下，攻击者利用OpenSSL等内置工具对虚拟机卷进行加密，避免了上传自定义勒索软件二进制文件的需要。这种转变突显了一个日益增长且令人不安的趋势：攻击者正在瞄准控制所有主机的基础设施，并且通过访问虚拟机管理程序，对手极大地放大了其入侵的影响。” 鉴于威胁行为者对虚拟机管理程序的关注度提高，建议使用本地ESXi账户，实施多因素身份验证，执行强密码策略，将虚拟机管理程序的管理网络与生产和普通用户网络隔离，部署跳板机以审核管理员访问权限，限制对控制平面的访问，并将ESXi管理接口访问限制在特定的管理设备上。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了HTTP错误代码521的含义及其常见原因。该错误通常由Cloudflare触发，表示Web服务器无法连接到源站服务器。常见原因包括源站服务器宕机、网络连接问题或防火墙设置阻止请求。解决方法包括检查源站状态、网络配置及防火墙规则以恢复服务。