5th域安全微讯早报【20250411】087期

9. CISA警告Linux USB音频驱动程序漏洞遭野外利用

【Cybersecurity News网站4月10日报道】美国网络安全和基础设施安全局(CISA)将两个Linux内核高危漏洞(CVE-2024-53197和CVE-2024-53150)列入已知被利用漏洞目录。这两个漏洞存在于Linux USB音频驱动程序中，允许攻击者通过恶意USB设备实现权限提升或信息泄露。CISA要求联邦机构在4月30日前完成修补，并建议限制USB设备权限、监控异常USB活动。据悉，这些漏洞是解锁Android设备的零日漏洞链的一部分，已在内核版本6.12.2及更高版本中修复。

10. Palo Alto Networks防火墙曝DoS漏洞（CVE-2025-0128）

【Cybersecurity News网站4月10日报道】Palo Alto Networks PAN-OS防火墙软件中被发现存在一个严重的拒绝服务漏洞（CVE-2025-0128）。该漏洞CVSS评分为6.6，影响PAN-OS 10.1至11.2的多个版本，允许未经身份验证的攻击者通过发送特制数据包导致设备重启，持续攻击可能使设备进入维护模式。该漏洞存在于简单证书注册协议(SCEP)身份验证功能中，被归类为CWE-754（异常检查不当）和CAPEC-153（输入数据操纵）。虽然不影响数据机密性或完整性，但可能导致关键安全设备长时间不可用。安全研究员"Abyss Watcher"发现了该漏洞，目前尚未发现被利用案例。Palo Alto Networks已发布修复版本，建议用户立即升级。对于无法立即更新的系统，可通过CLI命令设置临时防护措施，但需注意每次重启后需重新应用。云下一代防火墙(NGFW)不受影响，Prisma Access安装已自动修复。

11. Fortinet修复FortiSwitch严重漏洞(CVE-2024-48887)

【SecurityLab网站4月10日报道】Fortinet近日修复了FortiSwitch设备中的一个严重漏洞(CVE-2024-48887，CVSS评分9.8)。该漏洞存在于6.4.0至7.6.0版本中，允许攻击者无需认证即可通过Web界面远程修改管理员密码。Fortinet已在6.4.7.0.11、7.2.9、7.4.5和7.6.1版本中修复该漏洞，同时建议暂时禁用HTTP/HTTPS管理接口并限制访问源IP作为临时解决方案。此外，Fortinet还修复了FortiIsolator中的命令注入漏洞(CVE-2024-54024)以及影响多个产品的中间人攻击漏洞(CVE-2024-26013、CVE-2024-50565)。值得注意的是，Fortinet产品近年来频繁成为攻击目标，包括2024年12月中国黑客利用FortiClient VPN零日漏洞窃取凭证的事件，以及2024年6月以来被利用的FortiManager漏洞(CVE-2024-47575)。

12. AMD处理器曝严重漏洞EntrySign：攻击者可加载任意微码

【SecurityLab网站4月10日报道】谷歌安全团队在AMD Zen架构处理器中发现一个高危漏洞EntrySign（编号AMD-SB-7033）。该漏洞影响从Zen 1到最新Zen 5架构的全系列处理器，包括消费级和服务器产品线。攻击者可通过内核级权限加载未签名微码更新，进而在处理器内部执行任意指令。漏洞源于AMD微码数字签名验证机制的缺陷，允许绕过安全验证流程。尽管微码更新在重启后失效，但该漏洞仍可被用于攻击运行中的系统，特别是可能突破SEV和SEV-SNP内存加密机制（编号AMD-SB-3019），威胁虚拟机数据安全。受影响产品包括最新发布的Ryzen EPYC 9005等Zen 5处理器。AMD已发布AGESA ComboAM5PI 1.2.0.3c微码修复消费级平台漏洞，但服务器平台补丁预计本月下旬才能推出。研究人员在RVSPOC 2025赛事中已成功利用该漏洞实现在AMD硬件上运行RISC-V架构代码。

13. 黑客利用WordPress插件认证绕过漏洞发起攻击

【Bleepingcomputer网站4月10日报道】网络安全公司Wordfence披露了WordPress插件OttoKit（原名SureTriggers）的高危认证绕过漏洞（CVE-2025-3102）。该漏洞允许攻击者绕过身份验证，在未授权情况下创建管理员账户，可能导致网站完全被接管。漏洞存在于所有版本≤1.0.78的OttoKit插件中，影响全球10万个网站。漏洞源于插件REST API认证函数authenticate_user()中缺少空值检查，若未配置API密钥，攻击者可通过发送空st_authorization标头绕过验证。安全研究员"mikemyers"于3月中旬发现该漏洞并获1024美元奖金，厂商于4月3日发布修复版本1.0.79。然而，漏洞公开仅4小时后，黑客便开始大规模自动化攻击，尝试创建随机管理员账户。WordPress安全平台Patchstack警告，此类漏洞的快速武器化凸显了及时更新的重要性。建议用户立即升级至v1.0.79，并检查日志中的异常管理员账户、插件安装记录等入侵迹象。OttoKit作为连接WooCommerce、Mailchimp等工具的自动化插件，其安全问题可能引发连锁风险。

14. 思科7年旧漏洞仍威胁全球网络设备安全

【GBHackers网站4月10日报道】思科智能安装协议漏洞(CVE-2018-0171)虽已修补7年，但仍在威胁全球网络基础设施。该漏洞允许攻击者在思科交换机和路由器上远程执行代码，中国APT组织Salt Typhoon近期利用该漏洞攻击了美国电信供应商。研究人员发现，目前仍有1200多台设备暴露在互联网上，其中300多台易受攻击。攻击者可窃取配置、收集凭证或篡改固件。美国参议院报告称此类攻击是"史上最严重的电信入侵"。思科建议禁用智能安装功能(no vstack命令)、限制4786端口访问并升级加密标准。专家强调网络分段和固件更新的紧迫性。

15. 2025年勒索软件攻击呈现新趋势：数据泄露与双重勒索成主流

【Cybersecurity News网站4月10日报道】根据Rapid7最新研究报告显示，2025年第一季度全球勒索软件攻击持续升级，呈现出专业化、产业化发展趋势。报告指出，当前活跃的80个勒索软件组织中，制造业成为首要攻击目标（占比22%），其次是商业服务（11%）和医疗健康行业（10%）。其中ClOp和RansomHub组织最为活跃，仅ClOp就在第一季度发布了413个数据泄露帖子。值得关注的是，勒索软件组织正将非法所得用于购买零日漏洞等高级攻击工具。2月份曝光的Black Basta聊天记录显示，有组织以20万美元高价购买Ivanti Connect Secure的远程代码执行漏洞。攻击手法方面，犯罪团伙普遍采用"双重勒索"策略，在加密系统的同时窃取数据，并通过专门的泄密网站施压。赎金金额从1万至60万美元不等，支付期限设定为48小时至90天。目前主流的勒索软件即服务(RaaS)商业模式降低了犯罪门槛，附属运营商可获得70-80%的赎金分成。新兴组织如Anubis更创新性地结合"恶意即服务"模式，通过社交媒体公开羞辱受害者以施压。专家建议企业加强多因素认证、持续漏洞修复和全面的攻击面监控等基础防护措施。

16. 2025年3月网络安全威胁报告：旧漏洞新攻击手法激增

【SecurityLab网站4月10日报道】3月份网络安全威胁呈现两大趋势：针对老旧漏洞的大规模扫描和新型AWS SSRF攻击。数据显示，2017年的PHPUnit漏洞(CVE-2017-9841)以近7万次扫描量位居榜首，该漏洞允许远程代码执行且自2024年5月起攻击量持续攀升。TP-Link路由器漏洞(CVE-2023-1389)和Windows PHP-CGI漏洞(CVE-2024-4577)分列二三位，后者被用于部署加密货币矿工和僵尸网络。值得注意的是，2019年的ThinkPHP漏洞(CVE-2019-9082)仍被频繁利用，凸显老旧漏洞的持久威胁。在云安全方面，攻击者通过SSRF技术针对AWS EC2实例元数据发起精心策划的攻击，主要目标是窃取IAM凭证。所有攻击均源自法国某公司的IP地址，采用多种参数变体尝试绕过防护。AWS建议用户迁移至IMDSv2协议以增强防护。安全专家强调，需定期漏洞扫描、及时更新补丁，并部署WAF等防护工具，特别要监控可疑出站流量。

17. 英国中小企业网络安全危机：一次攻击或致企业倒闭

【SecurityLab网站4月10日报道】沃达丰商业最新研究显示，英国中小企业因网络安全防护薄弱每年损失约34亿英镑（43.5亿美元）。数据显示，近三分之一企业在过去一年遭遇网络攻击，其中28%的企业遭受1-5次攻击，6%的企业甚至遭遇多达10次攻击。网络钓鱼是最主要的攻击形式（占比70%），其次是勒索软件（24%）和DDoS攻击（20%）。研究揭示，单次网络攻击造成的平均损失达3,398英镑（4,350美元），对于50人以上企业则升至5,001英镑（6,400美元）。令人担忧的是，28%的受访企业表示一次成功的网络攻击就可能导致其完全停业。尽管风险巨大，仍有三分之一企业未采取任何防护措施，40%企业年度安全投入不足100英镑（130美元），超半数企业未对员工进行网络安全培训。沃达丰呼吁政府扩大"Cyber Local"计划覆盖范围，并在常规行政流程中加强网络安全宣传。针对50人以上企业，建议将网络安全纳入强制报告要求，同时为安全软硬件投资提供税收优惠。专家强调，提升中小企业数字韧性对保障就业和经济稳定至关重要。

18. 英国发布《2025年网络安全漏洞调查报告》

【IndustrialCyber网站4月10日报道】英国科学、创新与技术部(DSIT)和内政部联合发布的《2025年网络安全漏洞调查》显示，43%的英国企业在过去12个月内遭遇网络安全事件。报告指出，虽然整体数字较2024年有所下降，但中大型企业受害率仍高达70-74%，凸显网络安全挑战依然严峻。调查显示，网络钓鱼仍是最主要的攻击形式（占比85%），但勒索软件攻击数量翻倍增长，达到1%。更令人担忧的是，企业平均遭受30次网络攻击，重复受害率居高不下。财务影响方面，网络犯罪平均造成每家企业990英镑损失，而网络欺诈的平均损失高达5900英镑。报告发现，尽管77%的企业已部署基础防护措施，但采用双因素认证(40%)、VPN(31%)等高级防护措施的比例仍然偏低。值得注意的是，仅有27%的企业在董事会层面设立网络安全负责人，较2021年的38%明显下降。专家警告称，随着AI驱动的网络钓鱼技术发展，企业需加强多层安全防护体系。报告建议企业提升供应链风险管理能力，仅有14%的企业会评估直接供应商的网络安全风险。

19. Forescout报告揭示2025年联网设备安全风险激增

【IndustrialCyber网站4月10日报道】网络安全公司Forescout发布《2025年最具风险的互联设备》年度报告显示，全球联网设备安全风险显著上升。报告涵盖IT、物联网(IoT)、运营技术(OT)和医疗物联网(IoMT)四大领域，发现医疗设备安全风险尤为突出。报告指出，路由器占高风险设备的50%以上，平均设备风险同比上升15%。零售业成为风险最高的行业，平均风险评分达8.98。值得注意的是，通用网关、历史数据库等OT设备首次进入高风险榜单，同时上榜的还有四种新型医疗设备：成像设备、实验室设备、医疗工作站和输液泵控制器。Forescout首席执行官Barry Mainz警告称："网络犯罪分子正将目标转向维持医院、工厂运转的关键设备。"报告显示，西班牙、中国和英国成为设备风险最高的三个国家，全球平均风险评分较去年上升33%。

20. 银行木马Grandoreiro升级攻击策略瞄准拉丁美洲

【Cybersecurity News网站4月10日报道】知名银行木马Grandoreiro近期针对拉丁美洲银行用户展开新一轮网络钓鱼攻击，该木马属于基于Delphi的恶意软件家族，主要针对Windows设备，已从巴西扩展至墨西哥、秘鲁、智利等多个拉美国家。ANY.RUN研究人员在2月19日至3月14日期间监测到攻击激增，攻击链始于伪装成PDF下载的钓鱼页面，实际分发包含恶意加载程序的压缩文件。此次攻击采用了多项高级规避技术：通过地理围栏技术仅针对拉丁美洲IP地址激活，利用DNS-over-HTTPS(DoH)通过Google DNS解析C2域名规避检测，并采用沙盒规避技术延迟执行恶意行为。木马执行流程包括：首先验证受害者地理位置，仅对拉美地区用户进行后续攻击；接着查询dns.google来解析C2域名以绕过本地DNS过滤；最后建立C2连接实施窃取银行凭证、记录键盘输入和远程控制等恶意行为。安全专家建议企业重点关注以下异常行为指标：伪装成PDF的可疑压缩附件、执行后立即向dns.google发起DNS查询、使用第三方服务进行地理位置检查、与未知IP的异常外联等，这些信号可帮助在感染扩散前及时发现威胁。该木马的持续演变表明，传统的静态检测方法已不足以应对当前威胁，需要结合行为分析等动态检测手段。