马斯克X平台被连续击垮，Dark Storm声称为宕机负责；黑客在暗网叫卖Cisco VPN 破解工具，引发安全担忧 | 牛览

•瑞士出台新规，关键基础设施运营商要在24小时内报告网络攻击

•马斯克X平台被连续击垮，Dark Storm声称为宕机负责

•黑客在暗网叫卖Cisco VPN 破解工具，引发安全担忧

•9.8分PHP 远程代码执行漏洞攻击范围急剧扩大，美国多家组织受影响

•新型多态攻击曝光，伪装成浏览器扩展窃取用户凭证

•Commvault 网络服务器漏洞威胁网络服务器安全，用户亟需采取行动

•Thinkware行车记录仪被曝多个严重安全漏洞暴露用户凭证，影响数百万台设备

•Keysight Ixia Vision产品现多个高危漏洞，可导致系统瘫痪

•Forcepoint收购Getvisibility，强化AI驱动的数据安全能力

瑞士联邦委员会于3月7日宣布，关键基础设施运营商将很快被要求依法向该国当局报告网络攻击。这一网络报告授权将被纳入2023年9月29日《信息安全法案》(ISA)的修正案中，并将于2025年4月1日生效。

从该日期起，在瑞士运营的关键基础设施实体，包括能源和饮用水供应商、运输公司，以及州和市政管理部门，必须在发现网络攻击后24小时内向国家网络安全中心(NCSC)报告，报告义务适用于网络攻击威胁到关键基础设施的运作、导致信息被操纵或泄露，或涉及勒索、威胁或胁迫的情况。

NCSC的网络安全中心将提供一个报告表格，该门户网站用于在瑞士联邦政府和关键基础设施运营商之间交换信息。未在该平台上注册的组织可以使用NCSC网站上提供的表格通过电子邮件提交报告。在发现事件后24小时内提交初步报告后，他们有14天的时间完成报告。未能报告符合要求标准的网络攻击的关键基础设施运营商可能面临罚款，但当局尚未具体说明罚款金额。

全球其他立法也对关键基础设施运营商施加了类似的报告要求，包括澳大利亚、欧盟、日本、新加坡、韩国、英国和美国。

原文链接：

https://www.infosecurity-magazine.com/news/switzerland-mandates-cyber/

美国当地时间3月10日，埃隆·马斯克的社交媒体平台X经历了多次宕机，导致部分用户无法加载该网站，该公司为此启用了Cloudflare的DDoS防护措施。尽管没有明确表示DDoS攻击是此次中断的原因，但马斯克证实这是由"大规模网络攻击"引起的。黑客组织Dark Storm声称对此次中断负责。

Dark Storm成立于2023年，此前曾针对以色列、欧洲和美国的组织发起攻击。该组织今天在其Telegram频道上发帖称，他们正在对X进行DDoS攻击，并分享了check-host.net网站的截图和链接，以证明攻击正在进行中。

当前，X正受到Cloudflare DDoS防护服务的保护。当链接到该网站的单个 IP 地址生成过多请求时，该服务会显示可疑IP的验证码。该网站的 help.x.com 部分目前要求所有请求都提供Cloudflare 的验证码。

原文链接：

https://www.bleepingcomputer.com/news/security/x-hit-by-massive-cyberattack-amid-dark-storms-ddos-claims/

近日，一名威胁行为者在地下论坛上声称提供专门针对 Cisco VPN 服务的 "检查器" 和 "暴力破解器" 工具。这些工具代表了网络犯罪的一个更广泛趋势，即针对易受攻击的 VPN 服务使用复杂的暴力破解方法。暴力破解攻击可能导致未经授权的访问、账户锁定或由于资源耗尽而造成的拒绝服务（DoS）情况。

Dark Web Informer 在 X 平台上的帖子显示，卖家提供两种不同的工具：

• Cisco VPN 检查器（售价 700 美元）：高度优化的 Windows 原生可执行文件；纯 C 语言编写，每秒可达 400 次登录尝试；支持 IPv4 和 IPv6 目标列表；自动保存结果，可自定义超时设置；
  

• Cisco VPN 暴力破解器（售价 1000 美元）：在检查器基础上增加了更多高级功能；支持 Socks4/5 代理列表和自动更新代理；允许使用用户名 / 密码字典进行全面暴力破解；包含 GeoIP 日志记录和自动检测线程数量功能。

Cisco 此前曾警告过针对其 VPN 服务的大规模暴力破解攻击。这些攻击通常利用 TOR 或代理网络等匿名化工具来逃避检测。为防范此类攻击，安全专家建议用户强制实施多因素认证（MFA）、制定强密码策略、启用日志记录、更新固件，并监控妥协指标（IoCs）。

原文链接：

https://cybersecuritynews.com/bruteforcer-for-cisco-vpn/

近日，威胁情报公司 GreyNoise 的研究人员披露，一个影响 Windows 环境下 PHP 安装的严重漏洞（CVE-2024-4577）正遭受大规模利用，攻击活动范围 "远比最初认为的更加广泛"。这个评分高达 9.8的远程代码执行漏洞最初于 2024 年 6 月被公开，对运行 Apache 和 PHP-CGI 的 Windows 服务器构成严重威胁，当时就已发现被利用。

Cisco Talos 的研究人员上周四在一篇博文中指出，该漏洞最近的活动 "主要针对日本的组织"。然而GreyNoise 的数据显示，漏洞利用的范围远超初步报告"攻击尝试已在多个地区被观察到，2025 年 1 月期间在美国、新加坡、日本和其他国家出现明显激增。"GreyNoise 还检测到，针对多个国家网络的协同攻击激增，这表明可能存在额外的自动化扫描，以寻找易受攻击的目标。

安全专家呼吁相关组织尽快采取防护措施，包括及时更新系统补丁，加强网络监控，以及实施多层次的安全防御策略。

原文链接：

https://www.crn.com/news/security/2025/attacks-exploiting-critical-php-vulnerability-have-impacted-us-researcher

网络安全研究人员近日展示了一种新颖的技术，允许恶意网络浏览器扩展模仿任何已安装的插件。安全公司 SquareX 在上周发布的报告中指出，这种 "多态扩展" 能够完美复制目标扩展的图标、HTML 弹出窗口和工作流程，甚至暂时禁用合法扩展，使受害者极易相信他们正在向真实扩展提供凭证。

这种攻击利用了用户常将扩展固定到浏览器工具栏的习惯。在一个假设的攻击场景中，威胁行为者可以将多态扩展发布到 Chrome 网上应用店（或任何扩展市场），并将其伪装成实用工具。虽然该插件提供广告宣传的功能以避免引起怀疑，但它会在后台激活恶意功能，主动扫描与特定目标扩展相关的网络资源。一旦识别出合适的目标扩展，攻击进入下一阶段，使恶意扩展变形为合法扩展的复制品。这是通过将恶意扩展的图标更改为与目标相匹配，并通过 "chrome.management" API 暂时禁用实际的插件来实现的，导致其从工具栏中移除。

这种新型攻击影响所有基于 Chromium 的网络浏览器，包括 Google Chrome、Microsoft Edge、Brave、Opera 等。安全专家呼吁用户提高警惕，仔细验证扩展的来源和行为，并建议浏览器开发商加强对扩展行为的监控和限制。

原文链接：

https://thehackernews.com/2025/03/researchers-expose-new-polymorphic.html

数据保护和管理解决方案领先提供商 Commvault 近日修复了其网络服务器软件中的一个严重漏洞。该漏洞可能允许攻击者完全控制运行受影响版本 Commvault 软件的系统，影响范围涵盖 Linux 和 Windows 平台。

根据 Commvault 发布的官方安全公告，"网络服务器可能被黑客通过创建和执行网络外壳程序而遭到破坏。" 这些恶意脚本可能授予未经授权访问关键系统的权限，潜在导致严重的数据泄露和其他网络攻击。该漏洞特别影响 Commvault 软件 11.20 至 11.36 版本，攻击者可能轻易绕过安全措施，提升权限并获得对受影响系统的完全控制。

受影响的产品版本包括：

• Commvault（Linux，Windows）：11.36.0 至 11.36.45 版本（在 11.36.46 中解决）

• Commvault（Linux，Windows）：11.32.0 至 11.32.87 版本（在 11.32.88 中解决）

• Commvault（Linux，Windows）：11.28.0 至 11.28.140 版本（在 11.28.141 中解决）

• Commvault（Linux，Windows）：11.20.0 至 11.20.216 版本（在 11.20.217 中解决）

Commvault 强烈建议组织立即在其 CommServe 和网络服务器上安装更新版本。2025 年 3 月 7 日的更新确认，已实施额外修复以进一步增强网络服务器模块的安全性。

原文链接：

https://thecyberexpress.com/commvault-webserver-vulnerability/

Thinkware公司的F800 Pro行车记录仪被曝存在一系列严重的安全漏洞，包括明文存储用户凭证、默认身份验证绕过以及不安全的数据存储方式。这些问题凸显了全球数百万台用于个人和商用车辆监控设备所面临的风险。

最严重的漏洞CVE-2025-2120允许攻击者通过物理接触行车记录仪，直接从/tmp/hostapd.conf配置文件中提取Wi-Fi凭证和云账户详细信息。这些敏感数据未经加密就被存储，使得攻击者能够入侵本地行车记录仪连接和关联的Thinkware Cloud账户。攻击者还可以利用默认凭证漏洞(CVE-2025-2119)绕过强制的移动应用配对过程，通过Wi-Fi连接到行车记录仪。一旦连接，他们就可以不受限制地访问554端口上的实时流协议(RTSP)和23端口上的Telnet服务，实现实时视频监控或历史录像下载。

Thinkware Cloud APK(v4.3.46)中的一个硬编码AES-256解密密钥，允许中间人攻击者解密登录流量，暴露云凭证并授予对存储录像的访问权限。此外，具有网络访问权限的攻击者可以通过行车记录仪未受保护的文件存储系统覆盖固件或部署恶意软件，从而建立持久性后门或破坏数据。

Thinkware已经承认了APK漏洞，但尚未公开解决与硬件相关的CVE。作为临时措施，用户应立即更改默认Wi-Fi密码，禁用Telnet，将RTSP访问限制在受信任的网络，监控/tmp/hostapd.conf的未经授权的修改，并升级到Thinkware Cloud APK v4.3.47+版本。

原文链接：

https://cybersecuritynews.com/thinkware-dashcam-vulnerability

近日，Keysight Technologies的Ixia Vision产品系列被发现存在严重的安全漏洞，可能允许远程攻击者危及受影响的设备。根据美国网络安全和基础设施安全局(CISA)新发布的警告，这些漏洞使设备面临远程代码执行、未经授权的文件下载和系统崩溃等风险，对使用受影响硬件的企业构成重大威胁。

其中，最严重的问题是路径遍历漏洞(CVE-2025-24494)，利用此漏洞，攻击者可以使用管理权限执行任意脚本或二进制文件，可能导致完全的系统破坏。另一个关键漏洞CVE-2025-24521涉及对XML外部实体引用的限制不当。此漏洞可能使攻击者能够远程下载未经授权的文件，从而加剧安全风险。

成功利用这些漏洞可能导致严重后果，包括系统崩溃、任意文件删除以及未经授权访问敏感信息。利用这些漏洞的攻击者可能获得对受影响设备的控制权，从而在企业网络内部进行进一步的攻击。此外，在受影响的软件版本中发现的多个路径遍历漏洞(CVE-2025-21095和CVE-2025-23416)可用于任意下载或删除文件，导致数据完整性问题和服务中断。

虽然迄今为止尚未报告公开利用这些漏洞的情况，但网络安全专家警告称，威胁行为者可能很快会试图利用未打补丁的系统。建议使用受影响设备的组织应升级到6.7.0或更高版本以修复CVE-2025-24494，升级到6.8.0版本以修复CVE-2025-24521、CVE-2025-21095和CVE-2025-23416。

原文链接：
https://www.csoonline.com/article/3838980/critical-vulnerabilities-expose-network-security-risks-in-keysights-infrastructure.html

3月10日，网络安全公司Forcepoint宣布收购Getvisibility，后者是一家专注于AI驱动的数据安全态势管理(DSPM)和数据检测与响应(DDR)的公司。此次收购将Getvisibility的技术整合到Forcepoint的Data Security Everywhere架构中，旨在增强Forcepoint的数据安全能力。

通过整合双方技术，Forcepoint将提高风险可视性、自动化威胁检测和合规性执行，从而加强其在各种环境中保护敏感数据的能力。过去两年多来，Getvisibility的技术一直是Forcepoint方案的重要组成部分，帮助用户降低数据管理相关的风险。此次收购有望进一步简化客户的安全管理，加速合规流程。

Forcepoint首席执行官Ryan Windham强调了此次收购的重要性，指出它为组织提供了必要的工具，在利用数据实现战略增长的同时最大限度地降低数据风险。IDC的Frank Dickson指出，由于数据管理和保护的复杂性日益增加，市场对集成安全方法的需求正在增长。

原文链接：

https://www.sdxcentral.com/articles/news/forcepoint-to-acquire-getvisibility-expanding-ai-driven-data-security/2025/03/