5th域安全微讯早报【20250417】092期

9. CISA发布9项ICS安全警报涉及西门子等工业巨头高危漏洞

【CybersecurityNews网站4月16日报道】美国网络安全和基础设施安全局(CISA)于前一日紧急发布9项工业控制系统(ICS)安全公告，涉及西门子、ABB、三菱电机等工业巨头的关键漏洞。其中最严重的台达电子COMMGR软件漏洞(CVE-2025-3495)获得CVSS v4评分9.3分，攻击者可通过暴力破解弱加密会话ID实现远程代码执行。公告披露的典型漏洞包括：西门子Mendix Runtime敏感信息泄露漏洞(CVE-2025-30280)、ABB M2M网关HTTP请求走私漏洞，以及三菱smartRTU未授权访问漏洞(CVE-2025-3232)。这些漏洞影响能源、制造等关键领域，其中37%可导致设备完全被远程控制。CISA特别警告，西门子工业边缘设备的API认证绕过漏洞(CVE-2024-54092)已出现野外利用迹象。目前受影响厂商均已发布补丁，CISA敦促相关企业立即启用网络分段策略，并监控异常ICMP流量以防范拒绝服务攻击。

10. Tails 6.14.2发布，修复Linux内核漏洞

【GBHackers网站4月16日消息】Tails项目紧急发布了Tails 6.14.2，以解决Linux内核和Perl编程语言中的严重安全漏洞。此版本对于依赖Tails安全和隐私功能的用户至关重要。关键更新包括：Linux内核更新至6.1.133版本，修复了多个可能允许攻击者提升权限或提取敏感信息的漏洞。Perl更新至5.36.0-7+deb12u2，修复了一个危险的堆缓冲区溢出漏洞，防止应用程序崩溃、拒绝服务攻击或执行恶意代码。升级指南：自动升级：运行Tails 6.0或更高版本的用户可自动升级至6.14.2，保留持久存储数据。手动升级：自动升级失败或无法启动时，用户需按官方文档手动升级。全新安装：项目为Windows、macOS、Linux、Debian或Ubuntu（带GnuPG的CLI）提供安装指南。注意，全新安装将删除现有持久存储。用户可直接下载Tails 6.14.2：USB映像：用于安装到USB记忆棒；ISO映像：适用于DVD和虚拟机；强烈建议用户立即更新，以维护Tails的隐私和安全标准。

11. 戴尔Alienware指挥中心漏洞可使攻击者提升权限

【CybersecurityNews网站4月16日报道】戴尔科技发布重要安全更新，修复Alienware Command Center软件中的严重漏洞，该漏洞可能允许攻击者在受影响系统上提升权限。该漏洞编号为CVE-2025-30100，CVSS评分6.7，属于中等严重程度。根据戴尔安全公告，低权限攻击者可通过本地访问利用该漏洞，导致权限提升。技术分析显示，该漏洞需满足本地访问、高攻击复杂性、低权限和用户交互等条件，但成功利用后可能对机密性、完整性和可用性造成严重影响。受影响产品为Dell Alienware Command Center 6.x（6.7.37.0之前版本），建议用户立即更新至6.7.37.0或更高版本。该更新已于4月15日发布，可通过戴尔支持网站下载。Alienware指挥中心是戴尔游戏系统的关键组件，用于控制性能、照明和游戏配置文件。此前，戴尔曾修复过该软件的其他漏洞（如CVE-2024-22450和CVE-2024-0159）。此次漏洞公开后，用户应尽快更新，以避免被恶意利用。

12. Firefox高危漏洞导致内存损坏，立即更新！

【CybersecurityNews网站4月16日报道】Mozilla发布Firefox重要安全更新，修复了可能导致可利用内存损坏的高危漏洞。该漏洞编号为CVE-2025-3608，存在于Firefox的nsHttpTransaction组件中，负责处理浏览器和Web服务器之间的HTTP事务。该漏洞可能被利用导致内存损坏，进而允许攻击者执行任意代码。该漏洞CVSS 3.0评分为8.1，属于高危漏洞，无需用户交互或权限即可利用，成功利用可能导致机密性、完整性和可用性的完全损害。受影响产品为Firefox < 137.0.2。建议用户立即更新至Firefox 137.0.2，以降低被利用的风险。更新适用于所有受支持的操作系统。要验证Firefox版本，点击菜单按钮，选择“帮助”>“关于Firefox”。由于该漏洞无需用户交互即可利用，及时更新尤为重要。企业环境中使用Firefox的组织应优先处理此更新。

13. 苹果紧急修复两个被用于高级攻击的零日漏洞

【BleepingComputer 4月16日报道】苹果公司发布了针对iOS、macOS、tvOS、iPadOS和visionOS的紧急安全更新，修复了两个已被利用的零日漏洞（CVE-2025-31200和CVE-2025-31201）。这些漏洞被用于针对特定iPhone用户的"极其复杂攻击"。其中，CoreAudio组件中的漏洞（CVE-2025-31200）由苹果和谷歌威胁分析团队发现，攻击者可通过恶意音频文件实现远程代码执行；RPAC组件漏洞（CVE-2025-31201）则允许攻击者绕过指针认证（PAC）安全机制。受影响设备包括iPhone XS及以上机型、多款iPad、Mac电脑及Apple TV等。这是苹果2025年以来修复的第5个零日漏洞，尽管攻击具有高度针对性，但用户仍应立即更新至最新系统版本以确保安全。

14. 天然气行业面临网络安全与地缘政治双重挑战专家呼吁建立专门应对机制

【IndustrialCyber网站4月16日报道】Rebel Global Security与美国州际天然气协会（INGAA）联合发布的行业调查报告显示，美国天然气行业正面临日益严峻的网络威胁与地缘政治风险。报告指出，80%的受访企业将网络攻击列为首要威胁，特别是中国黑客组织"伏特台风"（Volt Typhoon）针对关键基础设施的攻击活动。2021年殖民地管道事件后，行业虽加强了网络安全措施，但仍面临人员短缺（76%企业存在缺口）和缺乏系统化管理方法（63%）等挑战。报告特别强调，随着美国能源政策频繁变动（如液化天然气出口许可的反复调整），企业需从被动防御转向主动风险管理。目前仅12%的企业能把握地缘政治变局中的战略机遇，如对接国家安全优先项目。为此，报告提出四项关键建议：设立专门的国家安全工作线（LOE）、投资复合型安全人才、建立跨部门协作流程，以及拓展政府与行业网络。值得注意的是，尽管80%企业自评现有措施"非常有效"，但专家警告这可能反映过度自信，实际应对能力存在明显分层——仅头部企业具备系统化风险管理体系。

15. 黑客活动分子技术升级针对关键基础设施部署勒索软件

【CybersecurityNews网站4月16日报道】网络安全公司Cyble最新研究显示，黑客活动分子正从传统的DDoS攻击转向更具破坏性的勒索软件攻击，目标直指能源、水务等关键基础设施。2025年第一季度，针对工业控制系统(ICS)的攻击激增50%，其中亲俄组织NoName057(16)和Hacktivist Sandworm最为活跃。研究披露，与乌克兰结盟的BO Team组织近期对俄罗斯国防制造商发起复杂攻击，利用SQL注入漏洞植入多态勒索软件，成功加密300TB数据并索得5万美元比特币赎金。攻击采用包括时间戳操纵、内存流混淆等反检测技术（如上示PowerShell脚本片段），其命令控制服务器均设在俄罗斯境外。专家警告，这种将意识形态动机与犯罪手段结合的新模式，标志着网络冲突进入更危险阶段，建议关键设施运营商立即修补遗留系统漏洞，并部署行为检测型安全方案。

16. AI恶意机器人流量首超人类占比达51%创历史新高

【CybersecurityNews网站4月16日报道】网络安全公司Imperva最新报告显示，2024年AI驱动的恶意机器人流量首次超越人类，占据互联网总流量的51%。其中37%为恶意机器人（较2023年上升5个百分点），14%为搜索引擎爬虫等良性机器人。报告指出，以ByteSpider（占比54%）、AppleBot（26%）为代表的恶意机器人正采用住宅代理和浏览器模拟技术（如示例代码所示），使得46%的攻击流量能完美伪装成Chrome浏览器访问。这些AI机器人主要针对API端点（占高级攻击流量的44%），金融、医疗等行业成重灾区。Imperva监测显示，攻击者已形成"攻击-分析-优化"的AI闭环学习模式，2024年平均每日拦截200万次AI攻击。专家建议企业采用行为分析结合上下文验证的多层防御策略，应对日益复杂的机器人威胁。随着生成式AI工具普及，预计恶意机器人复杂度将持续攀升。

17. 九成企业移动应用加密存漏洞 17亿用户数据面临风险

【InfoSecurity Magazine网站4月16日报道】Zimperium最新研究报告显示，在对17,333个企业级移动应用（含6,037个Android应用和11,626个iOS应用）的检测中，92%存在加密方法缺陷。其中83个Android应用存在云存储配置错误，10个应用暴露AWS凭证，更有5款Google Play百强应用携带硬编码密钥等高风险漏洞。安全专家指出，使用MD2等过时算法及不安全随机数生成器的应用，即使加密数据也可能被破解。2024年全球因数据泄露造成的经济损失达2800亿美元。报告建议企业立即采取修复云存储配置、轮换暴露凭证、验证加密算法等措施。Apono公司CEO强调，在BYOD普及的当下，必须实施深度防御策略，严格遵循最小权限原则。

18. 41%的攻击绕过传统防御，对抗暴露验证（AEV）可有效提升防护能力

【BleepingComputer 4月16日报道】Picus Security最新研究显示，尽管企业部署了多层次安全防护措施，但仍有41%的网络攻击能够成功绕过防火墙、端点检测与响应（EDR）等防御系统。传统渗透测试和漏洞扫描因缺乏连续性、实时性及实际攻击场景模拟，导致企业在面对快速演变的威胁时存在严重盲区。研究指出，40%的企业环境中存在可导致域管理员权限沦陷的攻击路径。为应对这一挑战，对抗暴露验证（AEV）通过结合突破和攻击模拟（BAS）与自动化渗透测试（APT），持续验证防御体系有效性。BAS模拟真实攻击行为（如勒索软件、网络钓鱼），实时检测防护缺口；APT则揭示攻击者横向移动路径，优先修复高风险漏洞。数据显示，采用AEV的团队可在90天内将威胁拦截率提升一倍。Picus安全平台整合超3万个战术技术流程（TTP），提供可操作的修复建议，帮助企业在攻击发生前主动消除隐患。

19. CISA警告Oracle Cloud遗留漏洞或引发大规模数据泄露

【TheRecord网站4月17日报道】美国网络安全和基础设施安全局（CISA）发布紧急警告称，黑客利用甲骨文（Oracle）遗留系统漏洞窃取了大量客户凭证数据，包括加密密码、身份验证令牌和密钥文件等敏感信息。此次事件源于1月份的系统入侵，近期因黑客在网络犯罪论坛兜售数据并威胁客户付费删除而曝光。CISA指出，泄露的凭证可能被用于权限提升、云系统入侵、网络钓鱼攻击等恶意活动，建议受影响企业立即重置密码、检查源代码漏洞并加强日志监控。至少三家甲骨文云客户确认其信息出现在泄露数据中，但甲骨文公司尚未就事件置评。此次事件再次凸显了遗留系统安全风险及凭证保护的紧迫性。

20. 黑客利用新型BRICKSTORM恶意软件攻击Windows和Linux系统

【CybersecurityNews网站4月16日报道】网络安全专家发现一种名为BRICKSTORM的复杂后门恶意软件，被黑客部署用于攻击具有战略重要性的欧洲产业。该恶意软件与China-nexus威胁集群UNC5221有关，之前仅针对Linux vCenter服务器，现在也影响Windows环境，这表明威胁行为者的能力和影响范围显著扩大。这些后门样本被认为是至少自2022年以来长期存在的网络间谍活动的一部分。攻击者利用低噪声后门以及以前未知的漏洞。NVISO研究人员发现了两种基于Windows的BRICKSTORM新变种，它们扩展了其之前的Linux版本。该恶意软件为攻击者提供了文件管理器和网络隧道功能，攻击者可以浏览文件系统、创建或删除任意文件和文件夹，以及建立隧道网络连接以进行横向移动。Windows样本采用Go 1.13.5编写，依赖计划任务等持久性机制来执行。BRICKSTORM的独特之处在于其多层、复杂的命令和控制基础设施，旨在规避常见的网络级安全解决方案。该恶意软件通过DoH（DNS over HTTPS）解析其命令和控制服务器，隐藏DNS查找。它利用多个公共DoH提供商，包括Quad9、NextDNS、Cloudflare和Google。BRICKSTORM采用三层TLS加密方案，突破多层级监控。其第一层基础设施托管在合法的云服务上，难以与正常流量区分。由于BRICKSTORM使用合法服务和多层加密，检测它面临巨大挑战。建议组织在其网络上阻止DoH提供商，监控可疑的长期运行进程，并实施TLS检查以检测嵌套的TLS会话。