安全简讯（2025.06.18）

1. 斯堪尼亚企业保险部门疑遭入侵，3.4万份文件被盗

6月16日，瑞典主要商用车制造商斯堪尼亚疑似遭遇数据泄露事件。攻击者在一个热门“仅限邀请”的黑客论坛上宣布入侵了斯堪尼亚的企业保险部门，并声称窃取了3.4万份此前从未公开过的文件。截至目前，这些文件包含的具体信息尚不明确。不过，鉴于斯堪尼亚公司保险涵盖商用车辆，暴露的文件极有可能涉及客户信息，如客户身份以及他们所拥有的车辆信息（通过车辆识别号码VIN）。目前，攻击者声称窃取数据的斯堪尼亚网站已无法访问，访客只能看到系统维护下线的消息，但尚不清楚此次维护是否与黑客攻击有关。斯堪尼亚作为大型商用车制造商，在欧洲商用车市场占据近19%的份额，拥有5.9万名员工，2024年营收预计超220亿美元。攻击者常将汽车制造商作为目标，原因在于大型跨国公司掌握着大量敏感的公司和客户数据，且在遭受勒索时具备支付赎金的能力。此前，本月早些时候攻击者就曾声称入侵了德国汽车巨头大众汽车集团。

https://cybernews.com/security/scania-insurance-data-breach-hackers/

2. 爱尔兰眼科护理公司Ocuco数据泄露影响24万人

6月16日，总部位于爱尔兰的眼科护理技术公司Ocuco向美国卫生与公众服务部（HHS）通报了一起数据泄露事件，此次事件影响超过24万人。Ocuco自称是全球最大的眼镜零售软件企业，其软件服务广泛覆盖77个国家/地区的6000个服务点。尽管Ocuco尚未公开发布事件通告，但种种迹象表明，该事件很可能与勒索组织KillSec的黑客攻击有关。今年早些时候，KillSec宣称从Ocuco窃取了大量文件，4月初，该组织在其基于Tor的泄露网站上公布了Ocuco的信息，并发布了多张截图作为攻击行为的佐证。其中一张截图显示，黑客至少窃取了67万份文件，总计340GB数据。虽然黑客网站声称被盗数据已公开，但截至发稿时，Ocuco的数据尚未出现在KillSec网站的可下载列表中。

https://www.securityweek.com/240000-impacted-by-data-breach-at-eyecare-tech-firm-ocuco/

3. “掠食麻雀”攻击伊朗赛帕银行，凸显以伊冲突中网络战升级

6月17日，伊朗国有银行赛帕银行（Bank Sepah）网站因遭黑客组织“掠食麻雀”（Predatory Sparrow，波斯语为“Gonjeshke Darande”）攻击而下线。该组织周二凌晨在社交媒体宣称“摧毁了伊朗革命卫队赛帕银行的数据”。据伊朗媒体报道，赛帕银行分行关闭，客户无法访问账户，支付处理中断，伊朗法尔斯通讯社也证实其基础设施遭受网络攻击致服务中断。此次针对伊朗最大金融机构之一的袭击，凸显网络战在以色列和伊朗不断升级的冲突中作用愈发重要，且对伊朗关键基础设施产生直接影响。“掠食麻雀”组织称攻击赛帕银行，因其“规避国际制裁，用伊朗人民的钱资助政权的恐怖主义代理人、弹道导弹计划和军事核计划”。该组织此前还声称对伊朗钢铁厂、铁路网络及加油站支付系统发动攻击，其原籍国不明，但一直针对伊朗政权并支持以色列在伊目标。

https://cyberscoop.com/iran-bank-sepah-cyberattack/

4. Cock.li确认数据泄露，超百万用户信息遭窃

6月17日，电子邮件托管提供商Cock.li确认遭遇数据泄露事件。威胁行为者利用其已退役的Roundcube网络邮件平台漏洞，窃取了超过一百万个用户记录。此次泄露暴露了自2016年以来登录该邮件服务的所有用户（约1,023,800人）的信息，以及另外93,000名用户的联系人条目。上周晚些时候，Cock.li服务中断但未公开解释，随后威胁行为者声称要出售包含敏感用户信息的数据库。Cock.li昨天发表声明证实了此次泄密事件及威胁行为者指控的有效性，确认了1,023,800个用户帐户的电子邮件、登录时间戳等信息已被泄露，但用户帐户密码、电子邮件内容和IP地址并未泄露。同时，第三方联系信息被泄露的10,400名账户持有人将收到单独通知，建议自2016年以来使用该服务的所有人重置密码。Cock.li认为数据是利用旧的RoundCube SQL注入漏洞窃取的，而此次泄露事件发生之际，他们刚分析了Roundcube中的一个RCE漏洞并认为该漏洞在攻击中被积极利用，促使Cock.li于2025年6月将该软件从其平台上移除，并表示将不再提供Roundcube网络邮件。

https://www.bleepingcomputer.com/news/security/hacker-steals-1-million-cockli-user-records-in-webmail-data-breach/

5. 黑客利用Langflow严重漏洞释放Flodrix僵尸网络

6月17日，攻击者正积极利用基于Python的Web应用程序Langflow中的一个严重缺陷（CVE-2025-3248）发动攻击，该缺陷存在于Langflow 1.3.0之前的版本中。Langflow是代理AI领域广泛采用的工具，允许用户构建AI驱动的代理和工作流，而此漏洞是一个易于利用的身份验证漏洞，存在于平台的代码验证机制中，允许远程攻击者完全接管Langflow服务器。趋势科技研究人员发现，攻击者通过向/api/v1/validate/code端点发送恶意POST请求来利用此漏洞，在受感染的服务器上执行下载器脚本，以获取并安装Flodrix恶意软件，进而释放强大的僵尸网络，可能导致系统被入侵、DDoS攻击，以及敏感信息丢失或泄露。鉴于Langflow在GitHub上拥有超过7万颗星，表明其受开发者认可度高，且在智能自动化原型设计和部署方面发挥重要作用，易受攻击的Langflow服务器对攻击者而言是“极具吸引力的目标”。

https://www.darkreading.com/vulnerabilities-threats/hackers-exploit-langflow-flaw-flodrix-botnet

6. CISA警示TP-Link热门路由器漏洞正被积极利用

6月17日，美国网络安全和基础设施安全局（CISA）更新已知被利用漏洞目录，将TP-Link命令注入漏洞CVE-2023-33538纳入其中。该漏洞两年前虽已被发现，但近期被网络犯罪分子积极利用，评分高达8.8分，允许攻击者在未经授权的情况下在路由器上执行命令，构成重大风险。受影响的TP-Link路由器型号包括TL-WR940N V2/V4、TL-WR841N V8/V10以及TL-WR740N V1/V2等，这些路由器在消费市场上广受欢迎，部分型号在亚马逊上拥有数万条评论。然而，这些受影响的硬件版本已达到使用寿命，不再接收安全更新，且最新固件版本发布时间久远，如TL-WR940N V2/V4的最新固件版本于2016年发布，TL-WR841N V8/V10的最后一次固件更新则是在2015年。CISA警告称，这些路由器存在严重安全隐患，用户应停止使用。该漏洞存在于路由器的Web管理界面中，因无法正确验证用户输入，黑客得以注入恶意命令。虽然具有远程访问功能的公开路由器上此类缺陷最为危险，但攻击者也可从同一本地网络内利用。为此，CISA要求联邦机构在2025年7月7日前移除这些路由器，并敦促所有组织效仿，以确保网络安全。

https://cybernews.com/security/hackers-exploit-older-tp-link-routers-cisa-warns/