| 安全资讯导视 |
|---|
• 国家网信办《网络数据安全风险评估办法》公开征求意见 |
• 日本一高中生利用ChatGPT绕过企业防护系统,窃取超700万条个人数据 |
• 违规共享上千万患者健康数据,美国凯撒医疗集团赔偿超3.3亿元 |
1.Gogs远程命令注入漏洞安全风险通告
12月11日,奇安信CERT监测到Gogs远程命令注入漏洞(CVE-2025-8110),该漏洞源于之前的修复对符号链接的过滤不当,导致攻击者可通过创建指向.git目录的符号链接进而重写文件,最终实现远程命令执行。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为5436个,关联IP总数为5182个。目前该漏洞已出现大规模在野利用。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2.vllm代码执行漏洞安全风险通告
12月10日,奇安信CERT监测到官方修复vllm代码执行漏洞(CVE-2025-66448),该漏洞是由于Nemotron_Nano_VL_Config类在解析vision_config时,若发现auto_map字段,会直接调用get_class_from_dynamic_module完成动态解析并立即实例化。该路径未校验trust_remote_code开关,也未检查auto_map指向的仓库是否与当前模型同源,导致可拉取任意远端Python文件并执行。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
3.Apache Tika XML外部实体注入漏洞安全风险通告
12月8日,奇安信CERT监测到官方修复Apache Tika XML外部实体注入漏洞(CVE-2025-66516),该漏洞源于Apache Tika在处理PDF文件中的XFA内容时,未对外部实体进行充分限制,导致攻击者可以通过构造恶意的XML文件触发XXE攻击。成功利用此漏洞可导致服务器上的敏感信息(如配置文件、密码文件、源代码等)泄露、执行拒绝服务攻击,甚至在内网环境中进行端口扫描。目前该漏洞PoC已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
1.Microsoft Windows Cloud Files Mini Filter Driver 释放后重用漏洞(CVE-2025-62221)
12月10日,微软共发布了57个漏洞的补丁程序,修复了Windows Cloud Files Mini Filter Driver、Windows 远程访问连接管理器、Microsoft Office等产品中的漏洞。CVE-2025-62221是 Windows 云文件迷你筛选器驱动程序中的一个释放后使用漏洞。本地经过身份验证的攻击者可以利用此漏洞提升至 SYSTEM 权限。据微软称,该漏洞已被作为零日漏洞利用。
Rapid7 首席软件工程师Adam Barnett在一份声明中表示:文件系统过滤器驱动程序,也称为微型过滤器,会附加到系统软件栈上,拦截针对文件系统的请求,并扩展或替换原始目标提供的功能。典型的用例包括数据加密、自动备份、即时压缩和云存储。云文件微型过滤器被 OneDrive、Google Drive、iCloud 等应用使用,但作为 Windows 的核心组件,即使没有安装这些应用,它仍然会出现在系统中。
目前尚不清楚该漏洞在实际攻击中是如何被利用的,以及在何种情况下被利用,但成功利用该漏洞需要攻击者通过其他途径获得对易受攻击系统的访问权限。微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 已发现并报告了该漏洞。
据 Action1 总裁兼联合创始人 Mike Walters 称,威胁行为者可以通过网络钓鱼、网络浏览器漏洞利用或其他已知的远程代码执行漏洞等方法获得低权限访问权限,然后将其与 CVE-2025-62221 结合使用,从而控制主机。有了这种访问权限,攻击者可以部署内核组件或滥用签名驱动程序来规避防御并保持持久性,并且当与凭证窃取场景结合使用时,可以将其武器化以实现域范围内的入侵。
微软官方已发布安全更新补丁,受影响用户可以到官方下载对应的补丁更新,或者手动更新系统。
参考链接:
https://thehackernews.com/2025/12/microsoft-issues-security-fixes-for-56.html
2.Array Networks ArrayOS AG 命令注入漏洞(CVE-2025-66644)
12月8日,威胁行为者利用 Array AG 系列 VPN 设备中的命令注入漏洞来植入 WebShell 并创建恶意用户。
Array Networks 在5月份的安全更新中修复了该漏洞,但尚未分配标识符,这使得跟踪该缺陷和补丁管理工作变得复杂。日本计算机应急响应小组 (CERT) 发布公告警告称,黑客至少从8月起就开始利用该漏洞攻击日本境内的组织机构。该机构报告称,这些攻击源自 IP 地址 194.233.100[.]138,该地址也用于通信。
Array Networks AG 系列是一系列安全访问网关,依靠 SSL VPN 创建加密隧道,从而安全地远程访问企业网络、应用程序、桌面和云资源。通常情况下,大型组织和企业会使用它来促进远程或移动办公。
CVE-2025-66644 会影响 ArrayOS AG 9.4.5.8 及更早版本,包括启用了“DesktopDirect”远程访问功能的 AG 系列硬件和虚拟设备。Macnica 的安全研究员 Yutaka Sejiyama 在 X 上报告称,他的扫描结果显示,全球范围内共发现了 1,831 个 ArrayAG 实例,主要分布在中国、日本和美国。研究人员证实至少有11台主机启用了 DesktopDirect 功能,但他同时警告说,可能还有更多主机启用了 DesktopDirect 功能。
Array OS 版本 9.4.5.9 解决了该问题,如果无法更新,则可以采用缓解措施:1.如果未使用 DesktopDirect 功能,禁用所有 DesktopDirect 服务;2.使用 URL 过滤来阻止访问包含分号的 URL。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-arrayos-ag-vpn-flaw-to-plant-webshells/
1.辽宁抚顺某单位管理平台遭非法侵入,未履行数据安全保护义务被罚
12月10日公安部网安局消息,辽宁抚顺市公安局顺城分局网安大队近期在侦办一起涉网案件时,发现市内某单位管理平台遭非法侵入,攻击者竟成功在平台内上传跳转链接类文件,系统安全防护形同虚设,数据安全面临重大风险。经查,该单位在数据安全保护工作中存在多项法定义务未履行的严重问题。制度层面,未建立覆盖数据收集、存储、使用、传输等环节的全流程安全管理制度,数据处理活动长期处于无章可循的 “裸奔” 状态;意识层面,从未组织开展数据安全专题教育培训,员工普遍缺乏基础防护知识和风险识别能力;技术层面,未部署必要的防火墙、入侵检测等技术防范设施,系统端口长期暴露;风险层面,该单位日常处理并存储大量数据,薄弱的防护体系极易引发数据泄露。依据《中华人民共和国数据安全法》,该单位未履行法定数据安全保护义务的行为已构成违法。抚顺公安机关依法对其作出处罚,并下达《责令限期整改通知书》,明确整改标准与时限。
原文链接:
2.日本一高中生利用ChatGPT绕过企业防护系统,窃取超700万条个人数据
12月5日NHK消息,日本西部大阪府一名17岁的高中生因对一家网吧运营商发动网络攻击被警方拘捕。东京警方表示,今年1月,快活CLUB网吧连锁运营商管理的一款官方应用遭遇网络攻击,导致超过700万条个人数据遭到泄露。警方调查后发现,嫌疑人从小学起便自学编程,独立编写了用于攻击的恶意软件。在受害公司注意到了网络攻击并采取了防御措施时,嫌疑人向ChatGPT询问如何绕过公司的安全系统,并依据相关信息修改了自己的程序。该恶意软件累计实施了超过724万次网络攻击,导致受害公司被迫暂停了应用部分功能。日本网络犯罪呈现年轻化趋势,日本国家公安委员会表示,在非法计算机访问案件中,近70%的嫌疑人为十几岁到二十几岁的年轻人。
原文链接:
https://www3.nhk.or.jp/nhkworld/en/news/20251205_11/
3.违规共享上千万患者健康数据,美国凯撒医疗集团赔偿超3.3亿元
12月2日Govinfo Security消息,美国凯撒医疗集团(Kaiser Permanente)已同意支付最高4750万美元(约合人民币3.35亿元),以了结一项合并的集体诉讼。该诉讼源于该机构在官网、患者门户以及移动应用中使用跟踪代码。起诉书称,这些网页/SDK跟踪器将患者健康数据违规共享给谷歌、推特、微软必应等众多互联网公司,违规了HIPAA及地方法律,受影响人数达1340万。根据和解协议,每位符合条件的集体成员将获得按比例的平等赔付,金额由净和解基金除以获授权索赔人的总人数计算得出。凯撒强调,目前没有任何迹象显示个人信息遭到滥用,且此次事件未涉及用户名、密码、社会安全号码、金融账号信息或信用卡号码的泄露。
原文链接:
https://www.govinfosecurity.com/kaiser-permanente-to-pay-up-to-475m-in-web-tracker-lawsuit-a-30180
1.美国国会确定2026财年国防授权法案最终文本,指导美军网络能力建设方向
12月8日,美国众议院军事委员会和参议院军事委员会共同发布了2026财年美国国防授权法案的最终折衷文本。该法案是一项涵盖美国防部各项工作的庞大立法,其中包括创纪录的9010亿美元预算,还包含一系列涉网络空间相关政策条款,主要涉及网络作战、网络安全、信息技术和数据管理、人工智能等多个方面。该法案已于12月10日由众议院通过,并提交至参议院审核。
原文链接:
https://armedservices.house.gov/news/documentsingle.aspx?DocumentID=6359
2.国家网信办《网络数据安全风险评估办法》公开征求意见
12月6日,国家互联网信息办公室起草了《网络数据安全风险评估办法(征求意见稿)》,现向社会公开征求意见。该文件指出,处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应及时对发生变化及其影响的部分开展风险评估。鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。该文件提出,评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的,应当及时通报网络数据处理者,并按照有关规定向省级以上网信部门、有关主管部门报告。该文件要求,风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的,相关结果可以互相采信,避免重复评估、审计、认证。
原文链接:
https://www.cac.gov.cn/2025-12/06/c_1766578179367262.htm
3.《数据安全技术 数据接口安全风险监测方法》等11项网络安全国家标准发布
12月5日,国家市场监督管理总局、国家标准化管理委员会发布的2025年第32号、33号《中华人民共和国国家标准公告》,2项网络安全相关强制性国家标准和9项推荐性国家标准正式发布。强制性标准包括《数据安全技术 电子产品信息清除技术要求》《儿童手表技术安全要求》,推荐性标准包括《数据安全技术 数据接口安全风险监测方法》《数据安全技术 数据交易服务安全要求》《网络安全技术 公钥密码应用技术体系框架》《网络安全技术 标识密码认证系统密码及其相关安全技术要求》《网络安全技术 网络安全产品互联互通第2部分:资产信息格式》《网络安全技术 网络安全产品互联互通第3部分:告警信息格式》《网络安全技术 网络安全试验平台体系架构》《信息技术 安全技术 网络安全 第6部分:无线网络访问安全》《信息技术 安全技术 网络安全 第7部分:网络虚拟化安全》。
原文链接:
https://www.tc260.org.cn/portal/article/2/00d39c3d47de43b88bee85a9446f51c3
4.中国民航局印发《关于推动“人工智能+民航”高质量发展实施意见的通知》
12月5日,中国民用航空局印发《关于推动“人工智能+民航”高质量发展实施意见的通知》。该文件分为总体要求、创新赋能场景、强化要素供给、强化融合创新、保障措施五部分。在强化要素供给方面,该文件要求研究构建行业可信数据空间,支撑行业数据可信管控、资源交互、价值共创,加强信息基础设施高效建设与安全运行,应用人工智能技术强化关键信息基础设施的主动网络安全防 护;在保障措施方面,该文件要求严格落实安全保障要求,建立民航人工智能系统全生命周期安全管理体系,加强算法安全评估、数据安全与信息安全保护,妥善应对人工智能应用潜在风险,强化人工智能应用监测预警和应急处置机制。
原文链接:
https://www.caac.gov.cn/XXGK/XXGK/ZCFB/202512/P020251202401406451206.pdf
5.美国政府发布2025版《美国国家安全战略》
12月4日,美国政府正式发布新版《美国国家安全战略》,阐述了十项战略基本原则以及针对全球各地区的政策重点,并简述了网络安全指导方针。在网络安全方面,该战略指出,“美国政府与美国私营部门的关键关系有助于持续监控美国网络(包括关键基础设施)面临的持续威胁。这反过来又使美国政府能够进行实时发现、归因和响应(即网络防御和进攻性网络行动),同时保护美国经济的竞争力并增强美国科技行业的韧性。提升这些能力还需要大幅放松管制,以进一步提高我们的竞争力,刺激创新,并增加获取美国自然资源的机会。为此,我们应致力于恢复有利于美国及其在该地区的盟友的军事平衡。”
原文链接:
https://www.whitehouse.gov/wp-content/uploads/2025/12/2025-National-Security-Strategy.pdf
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...