安全热点周报：苹果修复了两个在复杂攻击中被利用的零日漏洞

安全资讯导视
• 国家能源局印发《能源行业数据安全管理办法（试行）》
• 委内瑞拉国家石油公司被黑：疑似运营瘫痪石油出口中断
• 音乐流媒体巨头SoundCloud遭网络攻击，近三千万用户数据泄露

PART 01

漏洞情报

1.帆软FineReport export/excel SQL注入漏洞安全风险通告

12月17日，奇安信CERT监测到官方修复帆软FineReport export/excel SQL注入漏洞(QVD-2025-48729)，该漏洞源于对export/excel接口传入的参数没有严格校验，攻击者可构造恶意的SQL语句上传Webshell实现远程代码执行，进而获取服务器权限。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为5920个，关联IP总数为1165个。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.React Server Components拒绝服务漏洞安全风险通告

12月12日，奇安信CERT监测到官方修复React Server Components拒绝服务漏洞(CVE-2025-55184)，攻击者可发送恶意该请求在反序列化时会导致无限循环，从而使服务器进程挂起，并阻止后续的HTTP请求。同时由于Next.js使用了存在缺陷的React服务端DOM包，同样导致Next.js拒绝服务漏洞(CVE-2025-67779)。目前该漏洞PoC已在互联网上公开，已确认Dify等应用受此漏洞影响。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.SonicWall SMA1000 本地权限提升漏洞(CVE-2025-40602)

12月18日，SonicWall 警告客户称，SonicWall SMA1000 设备管理控制台 (AMC) 中存在一个漏洞，该漏洞已被用于零日攻击以提升权限。

据 SonicWall 称，这个中等严重程度的本地权限提升安全漏洞 (CVE-2025-40602) 由 Google 威胁情报小组的 Clément Lecigne 和 Zander Work 报告，不会影响在 SonicWall 防火墙上运行的 SSL-VPN。

远程未经身份验证的攻击者利用此漏洞与严重级别的 SMA1000 预身份验证反序列化漏洞 (CVE-2025-23006) 进行零日攻击，以在特定条件下执行任意操作系统命令。据报告，该漏洞与 CVE-2025-23006（CVSS 评分 9.8）结合使用，可实现未经身份验证的远程代码执行，并获得 root 权限。CVE-2025-23006 已在版本 12.4.3-02854 及更高版本中修复。

互联网监管机构 Shadowserver 目前追踪到超过 950 台暴露在网上的 SMA1000 设备，尽管其中一些可能已经针对此攻击链进行了修补。SMA1000 是一款安全远程访问设备，大型组织通常使用它来为企业网络提供 VPN 访问。由于其在企业、政府和关键基础设施组织中发挥的关键作用，未修复的漏洞会带来极高的被利用风险。

鉴于该漏洞已被积极利用，SonicWall PSIRT 强烈建议 SMA1000 产品的用户升级到最新的热修复版本以解决该漏洞。

参考链接：

https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/

2.Cisco Secure Email Gateway 输入验证不当漏洞(CVE-2025-20393)

12月18日，思科警告客户称，思科 AsyncOS 存在一个未修补的最高严重性零日漏洞，该漏洞已被积极用于攻击安全电子邮件网关 (SEG) 和安全电子邮件和 Web 管理器 (SEWM) 设备。

这个尚未修复的零日漏洞（CVE-2025-20393）仅影响配置非标准的 Cisco SEG 和 Cisco SEWM 设备，当启用垃圾邮件隔离功能并将其暴露在互联网上时，就会受到影响。思科威胁情报研究团队 Talos 认为，威胁组织利用此安全漏洞发起攻击，以 root 用户身份执行任意命令，并部署 AquaShell 持久后门、AquaTunnel 和 Chisel 反向 SSH 隧道恶意软件植入程序，以及名为 AquaPurge 的日志清除工具。AquaTunnel 和其他用于这些攻击的恶意工具过去也曾与 UNC5174 和 APT41 等其他黑客组织有关联。Cisco Talos 在发布的一份公告中表示，作为此项活动的一部分，UAT-9686 部署了一种我们称之为 AquaShell 的自定义持久化机制，以及用于反向隧道和清除日志的其他工具。虽然该公司在12月10日发现了这些攻击，但该攻击活动至少从 2025年11月下旬就开始了。

尽管思科尚未发布安全更新来修复这个零日漏洞，但建议管理员采取措施保护并限制对易受攻击设备的访问。建议包括限制互联网访问、限制与受信任主机的连接，以及将设备置于防火墙后以过滤流量。管理员还应将邮件处理和管理功能分开，监控网络日志中的异常活动，并保留日志以备调查。此外，建议禁用不必要的服务，使系统保持最新 Cisco AsyncOS 软件，实施 SAML 或 LDAP 等强身份验证方法，更改默认密码，并使用 SSL 或 TLS 证书来保护管理流量。

参考链接：

https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/

3.Apple WebKit 释放后重用漏洞(CVE-2025-43529)&Apple WebKit 内存损坏漏洞(CVE-2025-14174)

12月16日，苹果公司发布了紧急更新，修复了两个零日漏洞，这两个漏洞在针对特定个人的“极其复杂的攻击”中被利用。

这两个零日漏洞分别被追踪为 CVE-2025-43529 和 CVE-2025-14174，它们都是针对同一已报告的漏洞利用而发布的。苹果公司的安全公告称：“苹果公司注意到有报告称，此漏洞可能已被用于针对 iOS 26 之前版本 iOS 的特定目标用户的极其复杂的攻击中。”这两个漏洞都存在于苹果公司的开源浏览器引擎 WebKit 中。CVE-2025-43529 是 WebKit 的一个释放后使用远程代码执行漏洞，攻击者可以通过处理恶意构造的网页内容来利用该漏洞。该漏洞是由谷歌威胁分析小组发现的。CVE-2025-14174 是一个 WebKit 内存损坏漏洞，可能导致内存损坏。该漏洞是由苹果和谷歌的威胁分析小组共同发现的。然而，谷歌现在已更新了安全公告，将该漏洞识别为“CVE-2025-14174：ANGLE 中的越界内存访问”，这与苹果修复的 CVE 相同，表明两家公司进行了协调披露。

除了表示攻击目标是运行 iOS 26 之前版本的 iOS 的用户之外，苹果公司没有披露有关攻击的技术细节。由于这两个漏洞都影响了谷歌 Chrome 在 iOS 上使用的 WebKit，因此这种行为与高度针对性的间谍软件攻击相符。

虽然这些漏洞仅在有针对性的攻击中被利用，但强烈建议用户及时安装最新的安全更新，以降低持续被利用的风险。

参考链接：

https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/

PART 03

安全事件

1.委内瑞拉国家石油公司被黑：疑似运营瘫痪石油出口中断

12月16日Bleeping Computer消息，委内瑞拉国家石油公司在12月13日（星期六）遭受网络攻击。该公司在15日发布声明称，事件仅局限于部分管理系统，未对运营技术（OT）系统造成任何影响。不过，彭博、路透等多家外媒援引消息人士称，该公司所有系统均已离线，主要原油码头的系统无法使用，导致出口业务受到干扰。此次网络攻击发生之际，委内瑞拉与美国之间的紧张关系正在升级。该公司在声明中指责美国及国内阴谋者策划了此次攻击，称其目的是“破坏国家稳定”。

原文链接：

https://www.bleepingcomputer.com/news/security/cyberattack-disrupts-venezuelan-oil-giant-pdvsas-operations/

2.音乐流媒体巨头SoundCloud遭网络攻击，近三千万用户数据泄露

12月15日Bleeping Computer消息，德国音频流媒体巨头SoundCloud披露，内部某个辅助服务遭到未授权访问，导致部分用户数据泄露。约20%的用户的电子邮箱和个人资料公开信息被窃取，据估计可能涉及2800万个账号。该公司表示，与第三方网络安全专家合作采取额外措施以加强安全性，包括改进监控与威胁检测、审查身份与访问控制，以及对相关系统进行评估。然而，这些响应措施中包含的一项配置变更，导致通过VPN访问该网站的用户被干扰，显示“禁止访问”错误提示，引发了较多网友评论。

原文链接：

https://www.bleepingcomputer.com/news/security/soundcloud-confirms-breach-after-member-data-stolen-vpn-access-disrupted/

3.获应用商店“精选”推荐，知名VPN扩展被曝窃取数百万用户AI聊天记录

12月15日The Hacker News消息，网络安全公司Koi Security发布报告披露，一款在谷歌Chrome和微软Edge商店中拥有“精选”认证标识、用户量近千万的浏览器扩展“Urban VPN代理”，被暗中用于大规模窃取用户与人工智能聊天机器人的全部对话内容。据悉，开发商Urban Cyber Security Inc.（简称Urban）在7月9日发布的5.5.0版本更新中，通过硬编码设置，默认启用了针对AI聊天的数据窃取功能。报告显示，这些数据被共享给一家关联的广告情报与品牌监测公司BIScience，该公司正是Urban的母公司。Urban承认，BIScience会使用原始（未匿名化）数据来生成商业洞察，并与“商业伙伴”共享。颇具讽刺意味的是，该扩展在商店页面还宣传一项“AI保护”功能，称其可检查提示词中的个人数据、回复中的可疑链接并向用户示警。然而无论用户是否启用此“保护”功能，数据收集都会在后台默认为执行。该事件再次对浏览器扩展商店的审核机制与用户信任敲响了警钟。

原文链接：

https://thehackernews.com/2025/12/featured-chrome-browser-extension.html

4.吉林某医药公司存在严重数据泄露风险被依法处罚

12月15日公安部网安局消息，吉林长春公安网安部门近日在开展网络安全监督检查时发现，吉林某医药公司在经营过程中存储大量公民个人信息，但在数据安全上却“装睡裸奔”，没有履行数据安全保护义务，存在严重数据泄露风险，包括未建立全流程数据安全管理制度、未组织员工开展数据安全教育培训、未采取技术措施和其他必要措施、存储隐私数据服务器直接暴露在互联网。针对该医药公司未履行数据安全保护义务行为，吉林长春公安机关根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，依法追究该公司的法律责任并责令其限期改正。

原文链接：

https://mp.weixin.qq.com/s/oeVZxI-OFRAlZ1x4ntH9cw

PART 04

政策法规

1.国家能源局印发《能源行业数据安全管理办法（试行）》

12月12日，国家能源局印发《能源行业数据安全管理办法（试行）》。该文件共六章37条，包括总则、能源行业数据安全基本职责、能源行业数据保护要求、能源行业数据安全监测预警与应急处置、监督检查与法律责任、附则。该文件提出建立能源行业数据分类分级保护制度、重要数据目录机制、数据安全风险评估机制、能源行业数据安全监测预警和应急处置机制，以加强能源行业数据安全管理。该文件是能源行业落实《中华人民共和国数据安全法》的首个规范性文件，自2026年7月1日起施行，有效期5年。

原文链接：

https://www.nea.gov.cn/20251212/f8ee9d3f829641cb9cc4f1e9405e794a/c.html

2.《数据安全技术公共数据开放安全要求》等6项国家标准公开征求意见

12月12日，全国网络安全标准化技术委员会归口的6项国家标准现已形成标准征求意见稿，现面向社会公开征求意见。6项标准分别为《网络安全技术区块链共识机制安全要求》《网络安全技术密码设备应用接口规范》《网络安全技术密码模块安全要求》《网络安全技术物联网感知终端使用安全技术》《数据安全技术公共数据开放安全要求》《网络安全技术政务云平台安全监测方法》。

原文链接：

https://mp.weixin.qq.com/s/oDK97gGST_ujXOtNicyOWg

3.美国战争部发布备忘录，责成所有机构迅速向后量子密码迁移

12月5日，美国战争部首席信息官凯蒂·阿灵顿发布《为向后量子密码学迁移做好准备》备忘录，责成战争部高级领导人和作战指挥负责人识别所有系统中使用的密码技术，并负责后量子密码迁移的领导工作，所有机构需迅速向后量子密码迁移。迁移负责人将监督后量子密码采购要求，传播后量子密码信息，实施量子攻击风险管理计划，并跟踪所有相关测试、评估与战备计划，还将负责维护系统中各类形式的密码技术完整清单，包括国家安全系统、业务平台、武器系统、云服务、移动设备等领域。备忘录同时指示各部门在2030年底前逐步淘汰用于抗量子防护的预共享密钥方法与对称密钥协议。

原文链接：

https://dowcio.war.gov/Portals/0/Documents/Library/PreparingForMigrationPQC.pdf

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！