本文预计阅读时间27分钟
政策法规方面,国美国土安全部立法者推进立法以增强网络韧性并延长《2015年网络安全信息共享法案》;美CISA、NSA及全球合作伙伴发布SBOM指南。
漏洞预警方面,台达、富士电气、SunPower、日立能源硬件中的 ICS 漏洞;Copeland E2和E3控制器中十个关键硬件漏洞; Sangoma修复了攻击FreePBX服务器的关键零日漏洞;TP-Link出现新零日漏洞,CISA警告其他漏洞可能被利用;黑客利用Sitecore零日漏洞部署后门;攻击者正在利用关键SAP S/4HANA漏洞;海康威视HIKCENTRAL产品存在漏洞缺陷; Linux UDisks守护进程严重漏洞导致特权数据暴露给本地攻击者。
安全事件方面,捷豹路虎因网络安全事件“严重受损”;普利司通网络攻击扰乱生产,引发供应链担忧;APT36利用Linux .desktop文件进行间谍恶意软件攻击。
风险预警方面,勒索软件攻击连续第二个月上升,袭击了医疗保健、制造业和食品行业;更多网络安全公司遭遇Salesforce-Salesloft Drift漏洞攻击;犯罪分子利用HEXSTRIKE AI来攻击新的漏洞;朝鲜APT37部署ROKRAT发起针对学术机构的新网络钓鱼攻击;TAOTH 活动:被劫持的软件更新正在亚洲各地传播恶意软件。
2025年9月4日,美国众议院国土安全委员会周三举行会议,审议旨在维护关键网络安全工具、加强公共安全、强化国土安全部(DHS)反恐任务、改善情报共享以及保护关键基础设施的立法。委员会提出了多项措施,包括积极建议延长即将到期的《2015年网络安全信息共享法案》(CISA 2015)。委员会主席、共和党众议员加巴里诺提出《广泛信息管理基础设施和政府福利法案》(WIMWIG Act),旨在重新授权CISA 2015,延续其作为公共部门与私营企业之间自愿共享网络威胁信息的关键框架,以增强国家网络防御能力。此外,委员会还审议了《地方领导人信息保护机构韧性法案》(PILLAR法案),旨在重新授权州和地方网络安全拨款计划,支持地方政府及部落加强网络防护;《管道安全法案》则明确运输安全管理局在保护管道免受网络安全威胁方面的职责。电信、科技及制造业界代表一致认为,CISA 2015的重新授权对保障关键信息共享、维护基础设施安全至关重要,并呼吁国会尽快通过相关立法。其他提案还涉及国土安全部反恐任务强化、人工智能在反恐中的风险评估,以及情报共享机制的优化等内容。会议最终通过多项立法,并移交相关委员会进一步审议。
资料来源:
2025年9月4日,美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)及19个国际合作伙伴联合发布了联合指南,强调软件供应链透明度的重要性,并强调采用SBOM如何增强全球安全。SBOM指南概述了软件生产商、采购组织和运营商的益处,鼓励将SBOM的生成、分析和共享整合到常规安全实践中。该文件题为《网络安全软件物料清单 (SBOM) 的共同愿景》,鼓励跨行业、跨边界广泛采用SBOM;协调技术实施以降低复杂性和成本;并将SBOM集成到安全工作流程中,以更好地进行风险管理。鉴于更高的软件透明度可以增强决策能力,全球采用SBOM可以清晰地揭示供应链,并确保及早并持续地识别和处理已知风险。
资料来源:
https://industrialcyber.co/sbom/cisa-nsa-global-partners-release-sbom-guidance-urging-cross-border-adoption-to-boost-software-supply-chain-security/
2025年9月3日,美国网络安全和基础设施安全局(CISA)周二发布了四份新的工业控制系统安全公告,详细说明了台达电子、富士电机、SunPower和日立能源设备中存在的漏洞。该机构表示,这些公告为关键基础设施领域的资产所有者和运营商提供了关键的技术信息和缓解指导。台达电子受影响的产品部署在全球关键制造业领域,存在XML外部实体漏洞,可能允许攻击者泄露敏感信息。该漏洞编号为CVE-2025-57704。其更新后的CVSS v4评分则高达6.7。富士电机 FRENIC-Loader 4 软件中的漏洞,受影响的产品部署在多个商业设施中,通过指定窗口导入文件时容易受到不受信任数据的反序列化攻击,这可能允许攻击者执行任意代码。该漏洞的编号为 CVE-2025-9365。其CVSS v4 评分为8.4。富士电机建议用户更新至v1.4.0.1或更高版本。日立部署在能源领域的Relion 670/650和 SAM600-IO系列设备存在拒绝服务漏洞,该漏洞是由于网络流量优先级设置不当导致的,并影响到保护机制。漏洞一旦被利用,可能会导致LDCM(线路距离通信模块)等关键功能发生故障。该漏洞的编号为CVE-2025-2403。其CVSS v4评分为8.7。
资料来源:
2025年9月3日,Armis Labs发现了Copeland E2和E3控制器中十个关键硬件漏洞。这些控制器广泛部署于全球企业,用于管理HVAC(供暖、通风和空调)、BMS(楼宇管理系统)以及食品零售、制药和冷链物流等各行各业的商用制冷系统。这些漏洞被称为“Frostbyte10”,攻击者可以利用这些漏洞远程禁用设备、修改系统参数、窃取运行数据,或以root权限实现未经身份验证的远程代码执行。这些风险远不止于IT领域,还可能危及食品安全、冷链物流和物理基础设施,例如损坏货物、在紧急情况下导致照明中断以及扰乱零售运营。Copeland已发布更新固件以解决这些问题,并敦促各组织立即修补漏洞,以降低被利用的风险。鉴于这些漏洞的严重性及其影响,Armis敦促使用这些控制器的组织评估其当前的暴露情况并立即部署缓解措施。
资料来源:
https://industrialcyber.co/building-management-systems/frostbyte10-flaws-in-copeland-e2-and-e3-controllers-highlight-cyber-threats-to-refrigeration-hvac-lighting-infrastructure/
2025年9月2日,Sangoma发布了针对零日漏洞的紧急补丁,该漏洞可导致黑客入侵FreePBX服务器,并可通过互联网访问管理员控制面板。该漏洞编号为CVE-2025-57819(CVSS评分为10/10),漏洞描述为对用户提供的数据进行不充分的过滤。成功利用该漏洞可让攻击者访问FreePBX管理员面板,从而实现数据库操作和远程代码执行(RCE)。美国网络安全机构CISA已将CVE-2025-57819添加到其已知被利用漏洞( KEV )目录中,敦促联邦机构按照具有约束力的运营指令(BOD) 22-01的要求在9月19日之前修补该漏洞。
资料来源:
2025年9月4日,TP-Link已确认存在未修补的零日漏洞,该漏洞影响多种路由器型号,而CISA警告称其他路由器漏洞已被利用进行攻击。该漏洞尚未分配CVE-ID,是 TP-Link在未知数量的路由器上实施的CWMP(CPE WAN 管理协议)中的基于堆栈的缓冲区溢出。研究人员通过测试确认TP-Link Archer AX10和Archer AX1500使用了存在漏洞的CWMP二进制文件。这两款路由器都非常受欢迎,目前在多个市场上均有销售。研究院Mehrun还指出,TP-Link的EX141、Archer VR400、TD-W9970 以及其他几款路由器型号都可能受到影响。在TP-Link确定哪些设备存在漏洞并发布修复程序之前,用户应更改默认管理员密码,在不需要时禁用CWMP,并为其设备应用最新的固件更新。如果可能,请将路由器与关键网络隔离。
资料来源:
https://www.bleepingcomputer.com/news/security/new-tp-link-zero-day-surfaces-as-cisa-warns-other-flaws-are-exploited/?&web_view=truel
2025年9月4日,威胁行为者一直在利用旧版 Sitecore 部署中的零日漏洞来部署 WeepSteel 侦察恶意软件。该漏洞编号为CVE-2025-53690,是一个ViewState反序列化漏洞,由2017年之前的Sitecore指南中包含示例ASP.NET机器密钥引起。一些客户在生产中重复使用了此密钥,使得了解该密钥的攻击者可以制作有效但恶意的“_VIEWSTATE”负载,诱骗服务器反序列化并执行它们,从而导致远程代码执行(RCE)。该缺陷不是ASP.NET本身的错误,而是由于重复使用从未用于生产的公开记录的密钥而导致的错误配置漏洞。发现这一恶意活动的Mandiant研究人员报告称,威胁行为者一直在利用该漏洞进行多阶段攻击。攻击者以包含未经身份验证的ViewState字段的“/sitecore/blocked.aspx”端点为目标,并利用CVE-2025-53690在IIS NETWORK SERVICE帐户下实现RCE。对于可能受到影响的管理员,建议立即用新的唯一密钥替换web.config中的所有静态<machineKey>值,并确保web.config中的<machineKey>元素已加密。一般来说,建议采用定期静态机器密钥轮换作为持续的安全措施。
资料来源:
https://www.bleepingcomputer.com/news/security/hackers-exploited-sitecore-zero-day-flaw-to-deploy-backdoors/
2025年9月5日,荷兰国家网络安全中心(NCSC NL)周五警告称, SAP S/4HANA企业资源规划软件中的一个严重漏洞(CVE-2025-42957,CVSS评分为9.9)正被攻击者“有限程度地”利用。该漏洞影响所有SAP S/4HANA版本(私有云和本地),并且可以从低权限帐户利用该漏洞完全破坏系统。安全公告指出:“SAP S/4HANA允许拥有用户权限的攻击者利用通过RFC公开的功能模块中的漏洞。该漏洞允许将任意ABAP代码注入系统,从而绕过必要的授权检查。该漏洞实际上充当了后门,存在整个系统被入侵的风险,破坏了系统的机密性、完整性和可用性。”SecurityBridge专家警告称,尽管该漏洞尚未广泛传播,但已被滥用。该公司建议企业管理员应用提供的补丁,检查可疑的RFC调用、新的管理员用户或意外的ABAP代码更改,并通过实施分段、备份和SAP特定的监控来加强防御。
资料来源:
2025年9月4日,海康威视HikCentral漏洞允许未经身份验证的用户获得管理员权限,从而有可能完全控制配置、日志和关键监控。安全研究人员警告称,海康威视HikCentral存在三个漏洞,该软件是一款集中管理软件,广泛应用于许多行业的视频监控、访问控制和综合安全操作。这三个漏洞是:CVE-2025-39245, 部分HikCentral Master Lite版本存在CSV注入漏洞。该漏洞允许攻击者通过恶意CSV数据注入可执行命令。CVE-2025-39246,部分HikCentral FocSign版本存在未引用服务路径漏洞。该漏洞可能允许经过身份验证的用户通过本地访问实现权限提升。CVE-2025-39247,部分HikCentral专业版版本存在访问控制漏洞,可能允许未经身份验证的用户获取管理员权限。这家中国供应商已经发布了指南,最佳的应对措施是立即应用更新。
资料来源:
2025年9月4日,Linux UDisks守护进程中新近披露了一个安全漏洞。该漏洞编号为CVE-2025-8067,允许本地非特权用户访问特权帐户拥有的文件和数据。这是一个严重的漏洞,可能造成深远影响。Red Hat于2025年8月28日正式披露该漏洞,将其严重性分类为“重要”,并为其分配了CVSS v3.1 初步基本评分8.5分。Red Hat产品安全团队强调了修复此漏洞的紧迫性。官方公告指出:“由于该漏洞的利用复杂度较低,且成功利用该漏洞可能带来本地特权执行风险,因此该漏洞被评为“重要”漏洞。” 目前,除了在Red Hat软件存储库中提供更新的UDisks包时立即应用它们之外,没有可用的解决方法或缓解措施。Linux UDisks中的CVE-2025-8067漏洞构成严重的本地安全风险,使攻击者能够访问敏感数据或在共享或受感染的系统上提升权限。由于该漏洞复杂度低且无需权限,因此构成直接威胁,尤其是在企业环境中。敦促管理员立即修补受影响的系统,详情请参阅官方 CVE 数据库中的详细说明。
资料来源:
https://thecyberexpress.com/linux-daemon-vulnerability-cve-2025-8067/
2025年9月2日,英国跨国豪华汽车制造商捷豹路虎(JLR)周二宣布,其全球IT系统遭遇网络安全事件,导致其运营“严重中断”。据《利物浦回声报》报道,该公司位于利物浦附近黑尔伍德的工厂员工周一凌晨收到一封电子邮件,告知他们不要上班。据利物浦回声报此次攻击不仅影响了该公司的汽车生产设施,还影响了其向客户销售汽车的零售店。捷豹路虎在网站上发表声明,确认“受到网络事件影响”,并表示“已立即采取行动,主动关闭系统以减轻其影响”。该公司补充说,它“正在以可控的方式快速重启我们的全球应用程序。目前没有证据表明任何客户数据被盗,但我们的零售和生产活动已受到严重干扰。”事件的具体情况尚未披露。捷豹路虎尚未立即回应置评请求。
资料来源:
https://therecord.media/jaguar-land-rover-disruption-cyber-incident?&web_view=true
2025年9月5日,轮胎制造商普利司通确认,正在调查一起导致其北美部分制造工厂运营中断的网络攻击事件。该公司表示,其快速响应将入侵控制在早期阶段,防止了客户数据被盗或更深层次的网络入侵。普利司通补充说,该事件已得到控制,业务运营已恢复正常,但全面调查仍在进行中。普利司通尚未透露此次网络攻击的细节或攻击者的具体目标。周二,有报道称,BSA位于南卡罗来纳州艾肯县的两家生产设施遭遇网络安全事件。周三,加拿大媒体报道称,BSA位于魁北克省乔利埃特的制造工厂也遭遇了类似的中断。当普利司通被问及勒索软件是否参与其中时,该公司尚未回应。目前,尚无勒索软件组织声称对普利司通美洲公司遭受的攻击负责。
资料来源:
2025年8月31日,巴基斯坦威胁组织APT36发起了新的网络间谍攻击,针对印度政府和国防部门,利用Linux .desktop文件部署恶意软件。根据CYFIRMA和CloudSEK的最新报告,该攻击活动(首次发现于2025年8月1日)目前仍在活跃。研究人员强调,该活动主要针对数据窃取、长期监控和持续后门访问。值得注意的是,APT36曾利用 .desktop文件在南亚各地开展间谍活动。受害者会收到包含 ZIP 压缩包的网络钓鱼邮件,其中包含伪装成PDF格式的 .desktop文件。打开后,该文件会触发隐藏的bash命令,从攻击者控制的服务器或Google Drive获取十六进制编码的有效载荷,将其写入/tmp/目录,使用chmod +x使其可执行,然后在后台启动。为了避免引起怀疑,该恶意软件还会打开 Firefox,显示一个在线托管的诱饵PDF。攻击者操纵Terminal=false等字段来隐藏终端窗口,并设置X-GNOME-Autostart-enabled=true以确保每次登录时都能保持持久性。
资料来源:
2025年9月3日,Comparitech 的最新数据显示,8月份已确认的18起勒索软件攻击中,有3起针对制造商,2起针对医疗保健公司,另有2起针对食品饮料行业。总体而言,全球勒索软件攻击从 7月份的473起增至8月份的506起,增幅达7%,这也是继2025年3月至6月下降之后连续第二个月出现增长。虽然政府系统仍然是攻击目标,但制造业的增幅最大,攻击索赔激增57%,从7月份的72起增至8月份的113起。其中四起事件已得到确认。
资料来源:
https://industrialcyber.co/control-device-security/comparitech-reports-ransomware-attacks-rose-for-a-second-month-hitting-healthcare-manufacturing-food-sectors/
2025年9月5日,网络安全公司Proofpoint、SpyCloud、Tanium和Tenable已确认,在最近的 Salesforce–Salesloft Drift攻击中,其Salesforce实例中的信息遭到泄露。该活动于8月26日公开披露,当时谷歌的威胁情报团队报告称,一个被追踪为UNC6395的威胁行为者使用受损的OAuth令牌为第三方AI聊天机器人Salesloft Drift导出了大量数据。谷歌表示,攻击者利用Salesforce-Salesloft Drift集成窃取了数百个组织的数据,目标是AWS访问密钥、密码和Snowflake相关访问令牌等敏感信息。
资料来源:
2025年9月3日,威胁行为者滥用HexStrike AI(一种用于红队和漏洞赏金的新型攻击性安全工具)来利用新的漏洞。Check Point研究人员警告称,威胁行为者正在滥用基于人工智能的攻击性安全工具HexStrike AI来快速利用最近披露的安全漏洞。HexStrike AI将专业安全工具与自主AI代理相结合,提供全面的安全测试功能。漏洞利用曾经非常复杂,但Hexstrike-AI现在可以自动扫描、漏洞利用和有效载荷投递。在12小时内,威胁行为者就开始讨论它的用途,甚至出售存在漏洞的实例。以往需要数周时间才能完成的攻击,如今只需几分钟即可大规模发起,重试可以提高成功率,从而缩短从披露到利用的时间。
资料来源:
https://securityaffairs.com/181878/cyber-crime/crooks-turn-hexstrike-ai-into-a-weapon-for-fresh-vulnerabilities.html
2025年9月1日,APT37(又名Ricochet Chollima、ScarCruft、Reaper和Group123)发起Operation HanKook Phantom,这是一项使用RokRAT针对学者、前官员和研究人员的网络钓鱼活动。网络安全公司Seqrite Labs发现了一场网络钓鱼活动,被追踪为“Operation HanKook Phantom”,由与朝鲜有联系的组织APT37发起。威胁行为者正在使用伪造的“国家情报研究协会通讯-第52期”PDF文件和伪装的恶意LNK文件。LNK文件执行后,会下载有效载荷或执行命令,从而危害系统安全。此次活动中使用的最后阶段恶意软件是RokRAT恶意软件,据信它是APT37的杰作。报告总结道:“此次攻击活动的分析突显了APT37(ScarCruft/InkySquid)如何持续采用高度定制化的鱼叉式网络钓鱼攻击,利用恶意LNK加载器、无文件PowerShell执行和隐蔽的渗透机制。攻击者专门针对韩国政府部门、研究机构和学术机构,目的是收集情报并进行长期间谍活动。
资料来源:
https://securityaffairs.com/181782/apt/north-koreas-apt37-deploys-rokrat-in-new-phishing-campaign-against-academics.html
2025年9月1日,趋势科技的研究人员详细介绍了一项名为“TAOTH”的复杂网络间谍活动,该活动利用劫持的软件更新和鱼叉式网络钓鱼攻击,在东亚地区传播多个恶意软件家族。该活动始于2024年底,目标是中国大陆、台湾、香港、日本和韩国的异见人士、记者、研究人员和商界领袖。该攻击活动最初是在研究人员调查涉及C6DOOR和GTELAM的感染时曝光的。除了供应链式攻击外TAOTH还依赖鱼叉式网络钓鱼攻击。基础设施和工具分析表明,TAOTH隶属于一个持续以间谍活动为重点的威胁组织。趋势科技观察到其活动与之前的活动存在重叠:“分析发现,TAOTH的C&C 基础设施与ITOCHU的案例存在重叠;威胁行为者采用的方法一致,例如建立VSCode隧道并通过合法应用程序(包括有道和搜狗)发起供应链攻击。”
资料来源:
https://securityonline.info/taoth-campaign-hijacked-software-updates-are-spreading-malware-across-asia/
安帝科技丨ANDISEC
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...