安全热点周报：新的 SuperBlack 勒索软件利用 Fortinet 身份验证绕过漏洞

安全资讯导视
• 国家网信办、公安部联合公布《人脸识别技术应用安全管理办法》
• 国家安全部直接公布4名“台独”网军身份信息
• 美国最大精子库数据泄漏，或引发全球生殖医疗隐私危机

PART 01

漏洞情报

1.Windows文件资源管理器欺骗漏洞安全风险通告

3月19日，奇安信CERT监测到微软发布3月补丁日安全更新修复Windows文件资源管理器欺骗漏洞(CVE-2025-24071)，该漏洞产生的原因是Windows资源管理器在解压包含特制.library-ms文件的RAR/ZIP存档时，会自动解析该文件内嵌的恶意SMB路径（如\192.168.1.116shared），触发隐式NTLM认证握手，导致用户NTLMv2哈希泄露。目前该漏洞技术细节与POC已在互联网上公开，奇安信CERT已成功复现。鉴于该漏洞已发现在野利用行为，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)

3月19日，CISA 周三警告称，Nakivo Backup and Replication 中一个绝对路径遍历漏洞最近已被利用。

NIST 公告称，该问题被标记为 CVE-2024-48248（CVSS 评分为 8.6），是一个高严重性漏洞，可能允许攻击者在企业环境中远程执行任意代码。

Nakivo 在其公告中指出，此漏洞允许攻击者在未经身份验证的情况下读取受影响系统上的任意文件。利用此漏洞可能会泄露敏感数据，包括配置文件、备份和凭据，从而可能导致数据泄露或进一步的安全威胁。

2月底，报告该漏洞的网络安全公司 watchTowr 发布了一份技术报告，解释了如何发现该漏洞，以及该漏洞如何允许他们访问服务器上的任何文件并获取 Nakivo 备份和灾难恢复解决方案所使用的凭据。

watchTowr 表示，由于该产品支持组织环境内的广泛集成，包括云服务，该漏洞可能允许攻击者解锁“整个基础设施环境” 。Nakivo 此后更新了发布说明以引用该漏洞，并于 3 月 6 日发布了自己的公告，尽管 watchTowr 表示已于 10 月 18 日获得该漏洞的 CVE。

建议所有组织在其环境中识别受 CISA 的 KEV 列表中的安全缺陷影响的任何产品，并尽快应用可用的缓解措施。

参考链接：

https://www.securityweek.com/cisa-warns-of-exploited-nakivo-vulnerability/

2.Edimax IC-7100 IP Camera命令执行漏洞(CVE-2025-1316)

3月19日，影响 Edimax IC-7100 IP 摄像机的严重命令注入漏洞目前正在被僵尸网络恶意软件利用来破坏设备。该漏洞是由 Akamai 的研究人员发现的，他们证实，利用该漏洞进行的攻击仍在进行中。

Edimax IC-7100 是一款 IP 安全摄像机，用于家庭、小型办公楼、商业设施和工业环境的远程监控。该产品不再在零售渠道广泛销售。该产品于 2011 年 10 月发布，Edimax 将其列为“遗留产品”，表明该产品不再生产，并且可能不再受支持。然而，其中相当一部分设备可能仍在全球范围内使用。

Edimax 漏洞的编号为 CVE-2025-1316，是一个严重程度极高（CVSS v4.0 分数 9.3）的操作系统命令注入漏洞，是由对传入请求的不当中和而导致的。远程攻击者可以利用此漏洞，通过向设备发送特制的请求来获得远程代码执行。在这种情况下，当前的攻击是由僵尸网络恶意软件执行的，目的是破坏设备。僵尸网络通常使用这些设备发起分布式拒绝服务 (DDoS) 攻击、代理恶意流量或转向同一网络上的其他设备。

鉴于 CVE-2025-1316 的情况和活跃利用状态，受影响的设备应下线或更换为积极支持的产品。建议用户尽量减少受影响设备的互联网暴露，将其置于防火墙后面，并将其与关键业务网络隔离。

参考链接：

https://www.bleepingcomputer.com/news/security/unpatched-edimax-ip-camera-flaw-actively-exploited-in-botnet-attacks/

3.FortiOS 身份验证绕过漏洞(CVE-2025-24472)

3月18日，一个名为“Mora_001”的新勒索软件运营商正在利用两个 Fortinet 漏洞来未经授权访问防火墙设备，并部署一种名为 SuperBlack 的自定义勒索软件。

这两个漏洞都是身份验证绕过，分别是 CVE-2024-55591 和 CVE-2025-24472，于 1 月和 2 月披露。当 Fortinet 于 1 月 14 日首次披露 CVE-2024-55591 时，他们确认它已被用作零日漏洞，Arctic Wolf 表示，自 2024 年 11 月以来，它已被用于攻击以突破 FortiGate 防火墙。

威胁行为者早在2025年2月2日就利用了 CVE-2025-24472。虽然 Forescout 本身并没有直接向 Fortinet 报告 24472 漏洞利用，但其中一个受影响的组织正在与 Fortinet 的 PSIRT 团队分享调查结果。Fortinet 在2月11日更新了他们的公告，承认 CVE-2025-24472 已被积极利用。

Forescout 表示，Mora_001勒索软件运营商遵循高度结构化的攻击链，受害者之间没有太大差异。首先，攻击者通过使用基于 WebSocket 的攻击通过 jsconsole 接口利用这两个 Fortinet 缺陷，或向暴露的防火墙接口发送直接 HTTPS 请求，从而获得“super_admin”权限。接下来，他们创建新的管理员帐户（forticloud-tech、fortigate-firewall、adnimistrator）并修改自动化任务以重新创建这些任务（如果已删除）。在此之后，攻击者映射网络并尝试使用窃取的VPN凭据和新添加的VPN账户、Windows管理工具（WMIC）和SSH，以及TACACS+/RADIUS身份验证进行横向移动。

Mora_001 在加密文件以进行双重勒索之前使用自定义工具窃取数据，优先考虑文件和数据库服务器以及域控制器。加密过程结束后，赎金票据会掉落在受害者的系统上。然后部署一个名为“WipeBlack”的定制擦除器，以删除勒索软件可执行文件的所有痕迹，从而阻碍取证分析。

建议 Fortinet 用户修补易受攻击的系统、限制管理访问、审核管理员帐户、检查自动化设置、审查 VPN 用户并启用全面日志记录，以防止漏洞被利用。

参考链接：

https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/

4.tj-actions 供应链代码执行漏洞(CVE-2025-30066)

3月18日，广泛使用的 GitHub Actiontj-actions/changed-files被恶意负载攻击，导致公共存储库日志中的机密信息泄露。该事件被分配了CVE-2025-30066，这清楚地提醒人们软件供应链中的风险日益增加。

攻击者获得存储库控制权的具体方法仍在调查中。不过，初步调查结果表明，攻击者修改了其中的版本标签，tj-actions/changed-files 将用户重定向到恶意负载。攻击者冒充了 Renovate Bot 用户，但 GitHub 未对提交进行验证，这表明机器人本身并未受到攻击。

一旦嵌入到 CI/CD 工作流中，恶意操作就会执行转储运行器内存的脚本，从而在日志中以编码形式暴露机密。虽然没有证据表明机密被泄露到攻击者控制的服务器，但它们在公共日志中的存在构成了严重的安全风险。受感染的操作执行了一个恶意 Python 脚本，该脚本从 Runner Worker 进程中转储 CI/CD 机密。

虽然被入侵的存储库和相关恶意脚本已被删除，但组织必须立即采取行动，以减轻暴露凭据和潜在 CI/CD 管道入侵的风险。此漏洞主要影响公共存储库，因为机密被转储到可公开访问的工作流日志中。但是，私有存储库并非完全没有风险，应进行审查。

参考链接：

https://www.stream.security/post/github-action-supply-chain-attack-exposes-secrets-what-you-need-to-know-and-how-to-respond

PART 03

安全事件

1.韩国区块链游戏平台WEMIX遭黑客攻击，损失622万美元

3月18日Bleeping Computer消息，韩国区块链游戏公司WEMIX披露，公司于2月28日遭受黑客攻击，导致约865万枚WEMIX代币被盗，价值约622万美元。黑客通过窃取NFT平台“NILE”的认证密钥，成功进行了多次提取操作，其中13次成功，将被盗代币转移至多个钱包，并迅速在海外交易所变现。此次黑客攻击事件对WEMIX代币价格造成了严重影响，导致其价格从940韩元骤跌至620韩元区间，跌幅超过30%。为弥补投资者损失，WEMIX基金会于3月13日宣布了100亿韩元回购计划，并于次日追加2000万枚WEMIX代币回购。同时，WEMIX正在努力恢复服务，计划于3月21日全面恢复，目前所有区块链相关基础设施正在迁移到更安全的环境。

原文链接：

https://www.bleepingcomputer.com/news/security/blockchain-gaming-platform-wemix-hacked-to-steal-61-million/

2.美国最大精子库数据泄漏，或引发全球生殖医疗隐私危机

3月18日Bleeping Computer消息，美国最大精子库加州冷冻银行（California Cryobank）向客户发出警告称，其系统发生数据泄露事件，客户姓名、社保号、银行账户等敏感信息或遭窃取，可能对全球数十万通过人工生殖技术诞生的后代隐私造成长期威胁。该公司披露称，黑客在2024年4月20日至22日期间入侵系统，窃取了包含客户姓名、社保号、驾照号、银行账户及路由码、信用卡信息、健康保险资料等在内的多维度隐私数据。该公司表示，向社保号或驾照号泄露的用户提供了免费一年的信用监控服务。

原文链接：

https://www.bleepingcomputer.com/news/security/sperm-donation-giant-california-cryobank-warns-of-a-data-breach/

3.Fortinet防火墙漏洞遭勒索软件利用，全球多家企业被黑

3月17日TechCrunch消息，安全厂商Forescout Research发布报告称，与臭名昭著的LockBit团伙有关的黑客正利用Fortinet防火墙的两个漏洞，在多家企业网络中部署勒索软件。该公司研究人员表示，自2024年12月以来，攻击者先后利用了CVE-2024-55591、CVE-2025-24472等漏洞，对Fortinet客户的企业网络发起攻击。Fortinet已于今年1月发布了针对这两个漏洞的安全补丁。Forescout威胁狩猎高级经理Sai Molige表示，该公司已调查了三起不同企业遭遇的入侵事件，但他们认为实际受害者可能远不止这些。在其中一起已确认的攻击事件中，Forescout发现，攻击者会“有针对性地”加密存储敏感数据的文件服务器。

原文链接：

https://techcrunch.com/2025/03/17/hackers-are-exploiting-fortinet-firewall-bugs-to-plant-ransomware/

4.国家安全部直接公布4名“台独”网军身份信息

3月17日国家安全部消息，国家安全部公众号发文称，台湾资通电军自2017年6月成立以来，便充当“台独”分裂势力的爪牙，无所不用其极地对大陆开展网络攻击渗透活动。国家安全机关严密监测，深入调查，已锁定多名参与策划、指挥及实施人员的身份信息，其中包括：现任资通电军网络战联队网络环境研析中心负责人林钰书、现任资通电军网络战联队网络环境研析中心战队队长蔡杰宏、资通电军网络战联队网络环境研析中心现役人员粘孝帆及王浩铭。国家安全机关坚定捍卫国家安全，坚决打击台湾资通电军网络谋“独”、网络间谍活动，彻查幕后黑手，肃清危害隐患。

原文链接：

https://mp.weixin.qq.com/s/BgkNlhG9IfgCvPpJFpVSzA

PART 04

政策法规

1.国家网信办、公安部联合公布《人脸识别技术应用安全管理办法》

3月21日，国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》，自2025年6月1日起施行。该文件共20条，对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出了规定。该文件要求，人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护、关键信息基础设施的，应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。

原文链接：

https://www.cac.gov.cn/2025-03/21/c_1744174262156096.htm

2.国家密码管理局《电子认证服务使用密码管理办法》公开征求意见

3月21日，国家密码管理局研究起草了《电子认证服务使用密码管理办法（征求意见稿）》，现公开征求意见。该文件为《电子认证服务密码管理办法》的修订稿，包括总体要求、许可审批、运行规范、监督检查、法律责任和附则共6个方面内容，共23条。该文件要求，电子认证服务机构应当建立健全电子认证服务系统运行维护制度，明确关键岗位和岗位责任，制定操作规范，加强巡检和运行维护，提高监测预警和应急处置能力。电子认证服务机构应当自行或者委托专业机构每年至少进行一次电子认证服务使用密码合规性评估，每年组织开展电子认证服务使用密码安全知识和岗位操作技能培训，相关技术人员和管理人员每年教育培训时间不得少于20个小时。

原文链接：

https://www.oscca.gov.cn/sca/hdjl/2025-03/21/1061245/files/d0e34670a1884fa998d30feb4bb24e2d.doc

3.《信息安全管理体系审核和认证机构要求》等3项国家标准公开征求意见

3月20日，全国网络安全标准化技术委员会归口的3项国家标准现已形成标准征求意见稿，现公开征求意见。3项标准包括：《网络安全技术信息安全管理体系审核和认证机构要求》在GB/T 27021.1—2017的基础上，对信息安全管理体系审核和认证机构规定了要求并提供了指南；《网络安全技术网络安全事件管理第1部分原理和过程》提出了网络安全事件管理关键活动的基本概念、原理和过程，提供了结构化的方法来准备、发现、报告、评估和响应事件并进行经验总结；《网络安全技术　网络安全事件管理　第2部分：事件响应规划和准备指南》基于GB/T 20985.1的6.2和6.6中给出的“网络安全事件管理阶段”模型的“规划和准备”阶段和“经验总结”阶段，给出了事件响应规划和准备以及事件响应经验总结的指南。

原文链接：

https://www.secrss.com/articles/76855

4.香港通过保护关基设施条例，运营者不更新系统最高可罚500万港元

3月19日，香港立法会正式通过《保护关键基础设施（电脑系统）条例草案》。该法案涵盖被认为对社会正常运作至关重要的八大领域，包括能源、信息技术、银行及金融服务、海运、陆路运输、航空运输、医疗服务和通信及广播服务。此外，其他涉及关键社会及经济活动的基础设施运营者，如管理大型体育或表演场馆、科研园区的机构也被纳入法案范围。该法案要求，关键基础设施运营者若未能确保关键计算机系统的安全更新，最高将被罚款500万港元。香港特区政府保安局局长邓炳强表示，当局计划于今年6月成立专员办公室，并筛选受影响的运营者，目标是在2026年1月1日前使法案正式生效。

原文链接：

https://www.legco.gov.hk/yr2024/cn/bc/bc56/reports/bc5620250319cb2-466-c.pdf

5.工信部印发《工业企业和园区数字化能碳管理中心建设指南》

3月18日，工信部印发《工业企业和园区数字化能碳管理中心建设指南》。该文件包括建设目标、业务功能、技术方案、组织保障四部分。该文件提出，工业企业和园区应增强网络和数据安全保护意识，落实《信息安全技术网络安全等级保护基本要求》（GB/T 22239）等国家标准，压实网络和数据安全主体责任。根据实际情况，对能碳管理中心设定相应的安全等级保护级别，做好重要数据识别、分级防护和风险评估，保障数据安全。

原文链接：

https://www.miit.gov.cn/cms_files/demo/pdfjs/web/viewer.html?file=/cms_files/filemanager/1226211233/attach/20253/ece637942c1246b6b2af029eaf15f5c6.pdf

6.《网络攻击和网络攻击事件判定准则》等2项网络安全国家标准获批发布

3月17日，根据2025年2月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2025年第4号），全国网络安全标准化技术委员会归口的2项国家标准正式发布。具体清单包括《网络安全技术公钥基础设施在线证书状态协议》《网络安全技术网络攻击和网络攻击事件判定准则》。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20250317163050

7.工信部印发《关于做好2025年信息通信业安全生产和网络运行安全工作的通知》

3月17日，工信部印发《关于做好2025年信息通信业安全生产和网络运行安全工作的通知》。该文件包括总体要求、主要任务、保障措施三部分，要求按照“三管三必须”要求，进一步树牢安全发展理念，着力提升行业本质安全水平，坚决防范遏制重特大事故发生。该文件明确了加强思想政治引领、抓好通信建设安全生产制度落实、强化信息通信网络运行安全管理、进一步压实企业安全生产主体责任、加强事故隐患排查治理、突出重点领域安全管理、提高应急处置能力等七项主要任务。

原文链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_7c2bbce8116a48aab7bc2bda327d1be3.html

8.国家档案局办公室印发《推进数字档案馆建设实施办法（试行）》

3月14日，国家档案局办公室印发《推进数字档案馆建设实施办法（试行）》。该文件提出，数字档案馆建设主要包括基础设施、应用系统、档案数字资源、档案共享利用、制度规范、安全保障等内容。该文件要求，近3年发生过重大信息安全事故或存在严重信息安全隐患，不能申请数字档案馆认定。国家档案局和省、自治区、直辖市档案主管部门应当对各自认定的数字档案馆进行监督检查，及时向存在工作停滞、安全隐患突出等严重问题的数字档案馆提出整改要求，未按时按要求完成整改的可撤销认定结果。

原文链接：

https://www.saac.gov.cn/daj/tzgg/202503/3d1cbfbab73f4738985c25c49303bcb5.shtml

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！