| 安全资讯导视 |
|---|
• 四部门印发《人工智能生成合成内容标识办法》 |
• 美国众议院通过法案,强制政府供应商设立漏洞披露计划 |
• 美国CISA警告:美杜莎勒索软件已攻击超300家关键基础设施机构 |
1.ruby-saml身份认证绕过漏洞安全风险通告
3月13日,奇安信CERT监测到官方修复ruby-saml身份认证绕过漏洞(CVE-2025-25291、CVE-2025-25292),ruby-saml使用了两种XML解析器ReXML和Nokogiri,由于解析 XML 的方式不同导致签名验证错误从而产生身份验证绕过。在 GitLab 中存在此漏洞实例。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
2.Apache Tomcat远程代码执行漏洞安全风险通告
3月11日,奇安信CERT监测到官方修复Apache Tomcat远程代码执行漏洞(CVE-2025-24813),当应用程序DefaultServlet启用写入功能(默认情况下禁用)、使用 Tomcat默认会话持久机制和存储位置、依赖库存在反序列化利用链时,未授权攻击者能够执行恶意代码获取服务器权限。奇安信威胁情报中心安全研究员已成功复现漏洞,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
3.Apache OFBiz服务端模板注入漏洞安全风险通告
3月10日,奇安信CERT监测到官方修复Apache OFBiz服务端模板注入漏洞(CVE-2025-26865),Apache OFBiz存在服务器端模板注入漏洞。攻击者可利用该漏洞,通过精心构造的输入注入恶意模板代码,从而在服务器端执行任意代码,可能导致敏感信息泄露、数据篡改或系统完全被控制。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
1.Juniper Networks Junos OS本地提权漏洞(CVE-2025-21590)
3月13日,瞻博网络发布了紧急安全更新,以修补黑客利用 Junos OS 漏洞对路由器进行后门访问的漏洞。
此漏洞(CVE-2025-21590)由 Amazon 安全工程师 Matteo Memelli 报告,是由不正确的隔离或区隔弱点引起的。成功利用此漏洞可让具有高权限的本地攻击者在易受攻击的路由器上执行任意代码,从而破坏设备的完整性。
瞻博网络在周三发布的非周期安全公告中警告说,至少已向 Juniper SIRT 报告了一个恶意利用实例(不是在 Amazon)。鼓励客户在修复版本可用后立即升级到修复版本,同时采取措施缓解此漏洞。
瞻博网络的咨询与一份 Mandiant 报告发布的同一天发布,该报告显示,自 2024 年以来,黑客利用该安全漏洞对使用寿命终止(EoL)的易受攻击的瞻博网络路由器进行后门攻击。此活动中部署的所有六个后门程序都有不同的 C2 通信方法,并使用一组单独的硬编码 C2 服务器地址。
Mandiant 将这些后门归咎于黑客组织 UNC3886。Mandiant 发现了在瞻博网络的 Junos OS 路由器上运行的几个基于 TINYSHELL 的后门。这些后门具有不同的自定义功能,包括主动和被动后门功能,以及禁用目标设备上的日志记录机制的嵌入式脚本。
建议各组织将其 Juniper 设备升级到最新版本,其中包括 Juniper 恶意软件清除工具 (JMRT) 的缓解措施和更新签名。
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routers
2.Microsoft 管理控制台安全特性绕过漏洞(CVE-2025-26633)
3月12日,微软共发布了57个漏洞的补丁程序,修复了Windows NTFS 文件系统、Windows 远程桌面服务、WSL2等产品中的漏洞。
CVE-2025-26633 是 Microsoft 管理控制台 (MMC) 中的一个安全功能绕过漏洞。该漏洞的 CVSSv3 评分为 7.0,级别为重要。攻击者可以通过诱使具有标准用户或管理员权限的潜在目标打开恶意文件来利用此漏洞。
据微软称,CVE-2025-26633 已被野外利用为零日漏洞。这是自 2024 年 10 月修补的 RCE 漏洞 CVE-2024-43572 以来,MMC 中第二个被在野利用的零日漏洞。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://www.tenable.com/blog/microsofts-march-2025-patch-tuesday-addresses-56-cves-cve-2025-26633-cve-2025-24983
3.Windows FAST FAT 文件系统驱动程序远程代码执行漏洞(CVE-2025-24985)
3月12日,微软共发布了57个漏洞的补丁程序,修复了Windows NTFS 文件系统、Windows 远程桌面服务、WSL2等产品中的漏洞。
CVE-2025-24985是 Windows 快速 FAT 文件系统驱动程序中的一个 RCE 漏洞。该漏洞的 CVSSv3 评分为 7.8,级别为重要。本地攻击者可以通过诱使潜在目标安装特制的虚拟硬盘 (VHD) 来利用此漏洞。成功利用此漏洞将使攻击者获得任意代码执行权限。
据微软称,CVE-2025-24985 已被野外利用为零日漏洞。这是自 2022 年以来第一个被报告的 Windows 快速 FAT 文件系统漏洞,也是第一个被在野利用的漏洞。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://www.tenable.com/blog/microsofts-march-2025-patch-tuesday-addresses-56-cves-cve-2025-26633-cve-2025-24983
4.Windows Win32 内核子系统权限提升漏洞(CVE-2025-24983)
3月12日,微软共发布了57个漏洞的补丁程序,修复了Windows NTFS 文件系统、Windows 远程桌面服务、WSL2等产品中的漏洞。该安全漏洞被跟踪为 CVE-2025-24983,并由 ESET 研究员 Filip Jurčacko 报告给 Microsoft。
斯洛伐克网络安全公司 ESET 表示,自 2023 年 3 月以来,Windows Win32 内核子系统中新修补的零日漏洞已被攻击利用。
该漏洞是由释放后使用漏洞引起的,该漏洞允许具有低权限的攻击者获得 SYSTEM 权限,而无需用户交互。但是,Redmond 将此类攻击标记为高度复杂,因为成功利用需要威胁行为者赢得争用条件。
ESET 表示,针对 CVE-2025-24983 漏洞的零日漏洞于 2023 年 3 月在使用 PipeMagic 恶意软件后门的系统上“首次在野发现”。
此漏洞仅针对 Microsoft 不再支持的旧版 Windows 版本(Windows Server 2012 R2 和 Windows 8.1)。但是,该漏洞也会影响较新的 Windows 版本,包括仍然受支持的 Windows Server 2016 和运行 Windows 10 build 1809 及更早版本的 Windows 10 系统。
释放后使用 (UAF) 漏洞与软件运行期间内存使用不当有关。这可能导致软件崩溃、执行恶意代码(包括远程)、权限提升或数据损坏。ESET 宣称,该漏洞是通过 PipeMagic 后门部署的,能够泄露数据并支持对机器的远程访问。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-windows-kernel-zero-day-exploited-since-2023/
5.Windows NTFS 远程代码执行漏洞(CVE-2025-24993)
3月12日,微软共发布了57个漏洞的补丁程序,修复了Windows NTFS 文件系统、Windows 远程桌面服务、WSL2等产品中的漏洞。
CVE-2025-24993 是 Windows 新技术文件系统 (NTFS) 中的一个 RCE 漏洞。它的 CVSSv3 评分为 7.8,被评为重要。据 Microsoft 称,可以利用基于堆的缓冲区溢出在受影响的系统上执行任意代码。为了利用此漏洞,攻击者必须诱使本地用户安装精心设计的 VHD。据报道,该漏洞在野被利用为零日漏洞。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://www.tenable.com/blog/microsofts-march-2025-patch-tuesday-addresses-56-cves-cve-2025-26633-cve-2025-24983
6.Windows NTFS 信息泄露漏洞(CVE-2025-24984、CVE-2025-24991)
3月12日,微软共发布了57个漏洞的补丁程序,修复了Windows NTFS 文件系统、Windows 远程桌面服务、WSL2等产品中的漏洞。
CVE-2025-24984 和 CVE-2025-24991 是 Windows NTFS 中的信息泄露漏洞。CVE-2025-24991 的 CVSSv3 评分均为 5.5,而 CVE-2025-24984 的评分为 4.6。这两个漏洞均被评为重要漏洞,可用于物理攻击,例如攻击者利用恶意 USB 驱动器或诱使本地用户安装精心设计的 VHD。
虽然 Windows NTFS 中的两个信息泄露漏洞此前已于 2022 年 ( CVE-2022-26933 ) 和 2023 年 ( CVE-2023-36398 ) 得到修补,但 CVE-2025-24984 和 CVE-2025-24991 是第一个在野被利用的零日漏洞。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://www.tenable.com/blog/microsofts-march-2025-patch-tuesday-addresses-56-cves-cve-2025-26633-cve-2025-24983
7.Apple iOS 和 iPadOS WebKit 越界写入漏洞(CVE-2025-24201)
3月11日,苹果公司发布了紧急安全更新来修补零日漏洞,该公司称该漏洞被利用来进行“极其复杂”的攻击。
该漏洞的编号为 CVE-2025-24201,存在于 Apple Safari 网络浏览器以及 macOS、iOS、Linux 和 Windows 上的许多其他应用程序和网络浏览器使用的 WebKit 跨平台网络浏览器引擎中。
这家 iPhone 制造商在周二发布的安全公告中表示:这是针对 iOS 17.2 中阻止的攻击的补充修复。苹果公司获悉一份报告称,在 iOS 17.2 之前的 iOS 版本中,该问题可能被利用来针对特定目标人群发起极其复杂的攻击。苹果表示,攻击者可以利用恶意制作的 Web 内容利用 CVE-2025-24201 漏洞突破 Web 内容沙盒。
目前苹果公司已修复此越界写入问题,并改进了检查,以防止在 iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2 和 Safari 18.3.1 中执行未经授权的操作。
苹果尚未将此安全漏洞的发现归咎于其研究人员,也尚未公布与此漏洞相关的“极其复杂”的攻击的详细信息。
尽管零日漏洞可能仅用于有针对性的攻击,但强烈建议尽快安装最新的安全更新,以阻止可能正在进行的攻击。
参考链接:
https://www.bleepingcomputer.com/news/apple/apple-fixes-webkit-zero-day-exploited-in-extremely-sophisticated-attacks/
1.美国CISA警告:美杜莎勒索软件已攻击超300家关键基础设施机构
3月12日Bleeping Computer消息,美国CISA、FBI等最新报告警告称,截至2025年2月,美杜莎(Medusa)勒索软件攻击行动已经影响了超过300家美国关键基础设施机构,涉及医疗、教育、法律、保险、科技和制造业等多个领域。报告称,美杜莎组织在2021年6月首次被发现,2023年开始活跃,据报道该组织曾攻击了美国多个校区、丰田金融等组织。CISA公布了美杜莎攻击行动的TT P和IoC等攻击指标和缓解措施。
原文链接:
https://www.bleepingcomputer.com/news/security/cisa-medusa-ransomware-hit-over-300-critical-infrastructure-orgs/
2.因AWS S3配置错误,美国29州8.6万名医疗工作者信息泄漏
3月11日The Register消息,美国健康科技公司ESHYFT发生了一起严重的数据泄露事件,由于AWS S3存储桶配置错误,超过8.6万名医疗工作者的敏感信息被公开暴露。安全研究员Jeremiah Fowler发现了这一事件,该存储桶暴露了约108.8GB的数据,涉及信息包括人脸照片、工作排班表、专业证书、医疗文件等个人身份信息,其中部分信息可能受到美国《健康保险流通与责任法案》(HIPAA)的保护。这些数据涉及来自29个州的医疗工作者,包括护士、护理助理等,给相关人员带来了巨大的隐私风险。
原文链接:
https://www.theregister.com/2025/03/11/uber_for_nurses_exposes_86k/
3.日本电信巨头NTT遭网络攻击,近2万家企业客户采购数据泄露
3月7日Bleeping Computer消息,日本电信服务提供商NTT发布公告称,近1.8万家企业客户的信息在一起网络安全事件中遭到泄露。此次数据泄露事件于2025年2月初被发现,公司花费十余天时间完成应急处置,但黑客最初入侵NTT系统的确切时间尚未确定。NTT透露,黑客入侵了“订单信息分发系统”,该系统存储了17891家企业客户的详细信息,但不涉及个人客户数据。可能被黑客窃取的数据包括:客户名称(注册合同名称)、客户代表姓名、合同编号、电话号码、电子邮件地址、物理地址、服务使用信息等。
原文链接:
https://www.bleepingcomputer.com/news/security/data-breach-at-japanese-telecom-giant-ntt-hits-18-000-companies/
4.业务系统被黑致客户数据泄露,美国知名连锁药房赔偿近5000万元
3月6日GovinfoSecurity消息,美国知名连锁药房来爱德公司近日达成一项680万美元(约合人民币4928万元)的和解协议,以解决2024年6月发现的一起网络攻击事件引发的集体诉讼。来爱德此前公告称,一名攻击者“冒充公司员工,利用其业务凭据成功访问了部分业务系统。”攻击者窃取了2017年6月6日至2018年7月30日期间,客户购买或尝试购买商品的相关信息。被泄露的数据包括客户姓名、地址、出生日期和驾照号码,大约220万名客户受到影响。RansomHub勒索软件团伙宣称对该事件负责。。
原文链接:
https://www.govinfosecurity.com/rite-aid-agrees-to-68m-data-breach-lawsuit-settlement-a-27660
1.强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》发布
3月15日,全国网络安全标准化技术委员会网站公布了强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》(GB 45438-2025),于2025年9月1日同步实施。该文件规定了人工智能生成合成内容标识方法,适用于生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识活动。该文件支撑《人工智能生成合成内容标识办法》,对人工智能生成合成内容服务提供者与网络信息传播服务提供者提出了内容标识方法的具体要求。
原文链接:
https://www.tc260.org.cn/upload/2025-03-15/1742009439794081593.pdf
2.《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则》发布
3月14日,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则》。该文件给出了人工智能生成合成内容服务提供者和网络信息内容传播服务提供者的编码结构和赋码规则,可为人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成内容的文件元数据隐式标识活动提供参考。
原文链接:
https://www.tc260.org.cn/upload/2025-03-14/1741942216982096585.pdf
3.四部门印发《人工智能生成合成内容标识办法》
3月14日,国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合印发《人工智能生成合成内容标识办法》,于2025年9月1日实施。该文件共14条。《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》中提出了标识有关要求,该文件作为规范性文件,进一步细化标识的具体实施规范,明确了人工智能生成合成内容服务提供者、网络信息传播服务提供者、互联网应用程序分发平台的相关要求,重点解决“哪些是生成的”“谁生成的”“从哪里生成的”等问题,推动由生成到传播各环节的全流程安全管理。
原文链接:
https://www.cac.gov.cn/2025-03/14/c_1743654684782215.htm
4.十五部门印发《关于促进中小企业提升合规意识加强合规管理的指导意见》
3月13日,工业和信息化部等15部门办公厅(秘书局、办公室、综合司)联合印发《关于促进中小企业提升合规意识加强合规管理的指导意见》,明确了10大合规管理重点领域,包括劳动用工合规、财税合规、网络和数据安全合规等。该文件要求,引导中小企业遵守网络安全、数据安全等方面法律法规,加强信息系统、网络、数据的安全防护和安全意识教育;制定实施数据安全合规管理制度,加强对数据的分类分级和权限管理,加强人员管理和技术控制,履行重要数据识别备案、分级防护、风险评估等责任义务,防范并及时应对和处理数据泄露、篡改、丢失事件;重点梳理向第三方输出、共享、委托、提供数据,从第三方接受数据,处理个人信息及跨境传输数据等活动中的合规要求和风险,落实特定类型信息收集与使用合规义务,保护企业数据及个人信息安全。
原文链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2025/art_ab58112ddea44edeb2f45dd2afb7e583.html
5.瑞士出台新规,关基设施遭遇网络攻击需在24小时内上报
3月7日,瑞士国家网络安全中心(NCSC)宣布了一项新的报告义务规定,要求国内关键基础设施组织在发现网络攻击后24小时内向该机构报告。根据公告,关键基础设施组织发现网络攻击后,首次报告需在24小时内完成,详细报告需在后续14天内完成,未遵守规定最高可罚约80万元。必须报告的网络攻击类型包括:危及关键基础设施运营的网络攻击;数据篡改、加密或窃取;勒索、威胁和胁迫行为;在系统中安装恶意软件;未授权访问系统。该规定通过《信息安全法》修订案引入,并将于2025年4月1日正式生效,适用于公用事业机构、地方政府和交通运输组织等关键服务提供商。
原文链接:
https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/meldepflicht-2025.html
6.美国陆军发布《陆军统一网络计划2.0》
3月4日,美国陆军正式发布《美国陆军统一网络计划2.0》。该文件重申了初始版计划的五大战略工作路线,强调通过“实施零信任原则”和“转向以数据为中心”两项重点工作,改善陆军网络传输和保护数据的方式,使陆军更好地为多域作战作好准备。该文件提出的7项关键原则包括:整合零信任和数据中心;减少或消除边缘信息技术的复杂性;集中信息技术服务交付和资源配置;建立并采用共同的标准、流程和系统;推动作战人员优先考虑指挥控制以支持多域作战和通信受限环境;实现与合作伙伴、盟友以及跨安全域的快速安全数据共享;制定运行概念并验证各梯队的操作要求。
原文链接:
https://armypubs.army.mil/epubs/DR_pubs/DR_a/ARN43252-SD_11_STRATEGY_NOTE_2025-000-WEB-1.pdf
7.美国众议院通过法案,强制政府供应商设立漏洞披露计划
3月3日,美国众议院通过了《2025年联邦承包商网络安全漏洞消减法案》,要求联邦承包商强制实施漏洞披露政策(VDP),并遵循与联邦机构一致的漏洞披露要求,以加快漏洞消减目标的实现。该法案要求,美国管理与预算办公室须与网络安全和基础设施安全局、国家网络总监办公室、国家标准与技术研究院(NIST)及其他相关机构协作,监督《联邦采购法规》的更新工作,确保联邦承包商实施符合NIST漏洞披露指南的漏洞披露政策。该法案还要求国防部长监督《国防联邦采购条例补充》的更新,以确保国防承包商同样执行类似的漏洞披露政策。
原文链接:
https://oversight.house.gov/release/house-passes-four-good-government-oversight-committee-bills/
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...