赛欧思一周资讯分类汇总(2025-03-10 ~ 2025-03-15)

一周资讯分类汇总：

1、攻击事件：

• 黑客利用假视频通话实施社工攻击，用户需警惕

  慢雾安全团队发布安全警报，警告近期带有恶意软件的社交工程攻击再次激增。黑客通过伪造的视频通话链接，诱骗受害者下载恶意脚本，从而窃取敏感信息。在最新案例中，攻击者先入侵受害者朋友的 Telegram 账户，再利用该账户发起伪造的视频通话。

来源: CN-SEC 中文网

2、漏洞情报：

• ExHub 的 IDOR 漏洞可致攻击者篡改网站托管配置

  近期，在 ExHub（一个基于 hulia 的云开发平台）中发现了一个严重的不安全直接对象引用（IDOR）漏洞。该漏洞使得攻击者能够在未经适当授权的情况下修改任意项目的网站托管配置，给受影响的系统带来重大风险。

来源: 安全客




• 施乐打印机漏洞可致攻击者从PDA和SMB捕获身份验证数据

  企业级 Xerox Versalink C7025 多功能打印机（MFPs）存在多个漏洞，攻击者可借此截获轻量级目录访问协议（LDAP）和服务器消息块（SMB）服务中的身份验证凭证。这些漏洞被命名为 CVE–2024–12510 和 CVE–2024–12511。

来源: 安全客




• 瞻博网络成功修复 Session Smart Router 关键漏洞

  瞻博网络（Juniper Networks）已修复一个被追踪为 CVE–2025–21589 的严重漏洞，该漏洞通用漏洞评分系统（CVSS）评分为 9.8，影响其 Session Smart Router 产品。

来源: 安全客




• Facebook 披露 FreeType 2 漏洞遭利用，可致任意代码执行

  Facebook 警告称，FreeType 2.13 及以下版本中的一个漏洞可导致任意代码执行，且该漏洞已被用于攻击。此漏洞编号为 CVE-2025-27363，CVSS v3 评分为 8.1（高危），已在2023年2月9日的 FreeType 2.13.0 版本中修复。

来源: 黑客资讯




• Tenda AC7 漏洞允许黑客执行恶意有效载荷以获取 Root 访问权限

  在固件版本为 V15.03.06.44 的 Tenda AC7 路由器中发现了一个漏洞，允许攻击者执行恶意有效载荷并获得 root 访问权限。根据 Github 上的一份报告，该漏洞是通过实验设置和利用发现的，围绕着 formSetFirewallCfg 函数中的堆栈溢出问题。

来源: GBHackers




• 苹果修补 WebKit 0day漏洞，此弱点疑似已被用于攻击旧版 iOS 手机

  3月11日苹果发布系统更新目的是修补一项疑似遭到利用的 WebKit 漏洞 CVE-2025-24201，而这是苹果今年修复的第3个 0day漏洞。这项漏洞涉及越界写入（OBW），起因为检查流程出现瑕疵，导致有可能用于执行未经授权的行为。攻击者利用特制的网页内容，就有机会突破网页内容沙箱保护的功能。

来源: iThome




• Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露

  Apache Tomcat 中发现了一个严重漏洞 CVE-2025-24813，可能允许攻击者执行远程代码、泄露敏感信息或破坏数据。Apache 软件基金会已发布紧急安全公告，敦促受影响版本的用户立即更新。

来源: CN-SEC 中文网




• CISA 警告利用 Windows NTFS 漏洞窃取数据

  网络安全和基础设施安全局（CISA）强调了微软视窗新技术文件系统（NTFS）中的一个关键漏洞。该漏洞被命名为 CVE-2025-24984，涉及信息泄露问题，攻击者有可能访问存储在 NTFS 中的敏感数据。此类漏洞可使授权攻击者在本地读取堆内存的部分内容，对数据隐私和安全构成重大威胁。

来源: GBHackers




• Paragon 硬盘分区工具驱动曝 0day 漏洞，勒索软件合法提权，BYOVD 攻击再现

  近日，知名硬盘分区工具 Paragon Partition Manager 的核心 驱动程序 BioNTdrv.sys 被曝存在一组高危漏洞（CVE-2025-0285 ~ CVE-2025-0289）。更严重的是，这些漏洞已被网络犯罪分子利用于勒索软件攻击中。

来源: CN-SEC 中文网




• 讯舟网路摄影机存在 0day漏洞，传出已被用于殭尸网路 Mirai 攻击行动

  美国网路安全暨基础设施安全局（CISA）发布工控系统资安公告，指出讯舟科技（Edimax）旗下的网路摄影机 IC-7100 存在重大层级的作业系统命令注入漏洞 CVE-2025-1316，这项漏洞影响所有版本的 IC-7100，其3.1版CVSS风险评分达到9.8分（满分10分）、4.0版风险值为9.3。

来源: iThome




• Sitecore 曝 0day漏洞，可远程命令执行

  近日披露的 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作，影响 Sitecore 体验管理器（XM）和体验平台（XP）8.2 至 10.4 版本。

来源: CN-SEC 中文网




• Commvault 网络服务器漏洞允许攻击者获得完全控制权

  Commvault 公司披露了其软件中的一个重大漏洞，该漏洞可能允许恶意行为者完全控制其网络服务器。该问题被识别为 CV_2025_03_1，被归类为高严重性漏洞，影响在 Linux 和 Windows 上运行的多个版本的 Commvault 平台。

来源: GBHackers




• Kibana 原型污染导致任意代码执行漏洞安全风险通告

  近日，嘉诚安全监测到 Kibana 原型污染导致任意代码执行漏洞，漏洞编号为：CVE-2025-25015。攻击者可通过上传特制文件和发送精心构造的HTTP请求，实现任意代码执行（Arbitrary Code Execution）。

来源: CN-SEC 中文网




• 超过 4300 万套 Python 安装存在危险代码执行漏洞

  Python JSON Logger 软件包 (python-json-logger) 中发现一个重大漏洞，影响 3.2.0 和 3.2.1 版本。该漏洞（CVE-2025-27607）可通过滥用名为 msgspec-python313-pre 的缺失依赖关系实现远程代码执行 (RCE)。

来源: GBHackers




• Thinkware 摄像头漏洞向攻击者泄露凭证

  Thinkware Dashcam（特别是 F800 Pro 型号）被发现存在一系列重大安全漏洞，可能对用户的隐私和安全构成严重威胁。漏洞编号为: CVE-2025-2119，攻击者可以不通过 Thinkware Cloud 应用程序连接到仪表盘的 WiFi，从而通过 telnet 在未经授权的情况下访问 RTSP feed 和视频记录。

来源: GBHackers




• WinDbg 漏洞允许攻击者执行远程代码

  微软最近披露了一个影响其调试工具 WinDbg 和相关 .NET 软件包的关键漏洞。该漏洞被跟踪为 CVE-2025-24043，由于 SOS 调试扩展中的加密签名验证不当，该漏洞允许远程代码执行（RCE）。

来源: GBHackers

3、信息泄露：

• 黑客声称捷豹路虎涉嫌遭受网络攻击

  一个名为 "Rey" 的威胁行为者在一个著名的暗网论坛上声称对捷豹路虎遭受的重大网络攻击负责。根据 X 平台共享的细节，被盗数据集包括约 700 份内部文件。这些文件包含机密开发日志、跟踪数据和关键源代码等敏感信息。此外，据称还有一个员工数据库被入侵，泄露了包括用户名、电子邮件地址、显示名称和时区在内的敏感信息。

来源: GBHackers




• 日本电信巨头 NTT 承认黑客入侵 1.8 万企业客户数据

  日本电信企业集团 NTT Communications（NTT Com）披露威胁分子于 2 月份入侵了其内部系统，全球 17891 家企业客户的敏感数据遭到泄露。被入侵的数据包括组织合同标识符、高管联系方式（姓名、电子邮件地址、电话号码）、实际办公地点和细粒度服务使用指标。

来源: Cyber Security News

4、金融事件：

• ServiceNow 以 28.5 亿美元收购 Moveworks，提升人工智能能力

  数字工作流程解决方案的领先提供商 ServiceNow 宣布以 28.5 亿美元的价格收购人工智能初创公司 Moveworks，该交易以现金和股票相结合的方式进行，预计将于 2025 年下半年完成，通过此次收购，ServiceNow 旨在加强其人工智能代理产品，以提高生产力并简化各行业的工作流程。

来源: GBHackers




• FTC 将向技术支援诈骗受害者发放 2550 万美元退款

  美国联邦贸易委员会（FTC）将开始向被 Restoro 和 Reimage 两家技术支援公司误导的受害者分发超过 2550 万美元的退款。FTC 将从3月13日起通过 PayPal 向 736375 名消费者发送退款，这些消费者曾被欺骗支付不必要的电脑维修服务费用。

来源: 黑客资讯

5、恶意软件：

• 通过 YouTube 传播的 DCRat 恶意软件正攻击用户以窃取登录凭证

  自 2025 年初以来，一波利用 Dark Crystal RAT（简称 DCRat）后门的新型网络攻击，通过 YouTube 分发渠道瞄准了用户。网络犯罪分子创建或入侵 YouTube 账户，上传宣传游戏作弊器、破解软件和机器人程序的视频。

来源: 安全客




• 朝鲜 Lazarus 黑客通过 npm 包感染数百名用户

  近日，Node 包管理器（npm）上发现了六个与臭名昭著的朝鲜黑客组织 Lazarus 相关的恶意软件包。这些软件包已被下载 330 次，其设计目的是窃取账户凭证、在受感染系统上部署后门，并提取敏感的加密货币信息。

来源: CN-SEC 中文网




• 幽灵插件困扰超过一百万终端，劫持搜索结果和用户数据

  奇安信威胁情报中心发现了一项大规模网络攻击，影响了全球超过一百万互联网用户。该攻击活动自 2021 年以来一直活跃，涉及分发一种名为“Ghost Plugin”的恶意浏览器插件。这种阴险的插件会劫持搜索引擎结果、操纵电子商务链接并跟踪用户浏览活动，对在线隐私和安全构成重大威胁。

来源: CN-SEC 中文网




• 恶意软件伪装成合法 Go 库感染 Linux 和 macOS 用户

  威胁行为者通过 “typosquatting” 手段，冒充热点 Go 库（如 Hypert 和 Layout）在 Linux 和 macOS 系统上传播恶意软件。供应链网络安全平台 Socket 的研究人员发现了七个假冒广泛使用的 Go 库（如 Hypert 和 Layout）的软件包。

来源: CN-SEC 中文网




• SilentCryptoMiner 伪装成 VPN 和 DPI 绕过工具感染 2000名 俄罗斯用户

  一种新的大规模恶意软件活动正在通过伪装成旨在绕过在线服务限制的工具，用名为 SilentCryptoMiner 的加密货币矿工感染用户。俄罗斯网络安全公司卡巴斯基表示，网络犯罪分子越来越多地利用 Windows 数据包重定向（WPD）工具，以限制绕过程序的形式分发恶意软件。

来源: 黑客资讯




• 朝鲜黑客利用 ZIP 文件部署恶意 PowerShell 脚本

  被称为 APT37 或 ScarCruft 的朝鲜国家支持的黑客一直在采用复杂的策略入侵系统，利用包含 LNK 文件的恶意 ZIP 文件发起攻击。这些 LNK 文件通常伪装成与朝鲜事务或贸易协定有关的文件，通过网络钓鱼邮件分发。

来源: GBHackers

6、钓鱼事件：

• 黑客滥用微软Copilot发动高仿钓鱼攻击

  黑客利用微软Copilot发起高仿钓鱼攻击，通过伪造发票邮件和虚假登录页面窃取用户凭据，威胁企业安全。攻击手法高度复杂，仿冒微软身份验证流程，亟需加强防御。

来源: FreeBuf




• AWS 钓鱼攻击新变种，JavaGhost 团伙精妙利用云服务特性与配置缺陷

  Palo Alto Networks Unit 42 近期发布报告，揭露了一起针对 Amazon Web Services (AWS) 环境的复杂且隐蔽的钓鱼攻击活动。攻击者不仅利用了用户配置错误，还巧妙地运用 AWS 服务自身的特性，实现了对传统安全防御机制的绕过。

来源: CN-SEC 中文网

7、国际安全情报：

• 谷歌紧急警告：Chromecast用户切勿进行出厂重置

  谷歌紧急警告：别对Chromecast进行出厂重置。过期证书导致2000万台设备无法正常运行，用户陷入“变砖”困境。

来源: FreeBuf