5th域安全微讯早报【20250429】102期

11. FastCGI库整数溢出漏洞危及嵌入式设备安全，需紧急应对

【Cybersecuritynews网站4月28日消息】FastCGI库存在严重漏洞（CVE-2025-23016，CVSS评分9.3），影响2.x至2.4.4版本，可致攻击者在嵌入式设备执行任意代码。该漏洞由Synacktiv的BaptisteMayaud于内部研究时发现并于4月23日披露。漏洞源于fcgiapp.c中ReadParams函数的整数溢出，在32位系统处理特定nameLen和valueLen值时，会引发堆缓冲区溢出。受影响产品主要是运行32位系统的嵌入式设备，如摄像头和物联网设备，因其缺乏现代漏洞缓解措施，风险极大。不过，该漏洞不影响重新实现FastCGI协议的PHP-FPM。研究人员可利用此漏洞覆盖函数指针来劫持执行流，Synacktiv已发布概念验证漏洞。为防范风险，安全专家建议更新至2.4.5及以上版本；配置Web服务器使用UNIX套接字；限制远程访问FastCGI套接字；进行网络分段。这一漏洞突出了嵌入式系统中旧库的安全隐患，相关组织应尽快修复。

12. CISA警告Planet Technology网络产品存在多个高危漏洞

【CybersecurityNews网站4月28日报道】美国网络安全和基础设施安全局(CISA)发布紧急警告，指出Planet Technology网络产品中存在五个严重漏洞(CVSS评分最高达9.8)，可能允许攻击者完全控制工业控制系统设备。其中最严重的CVE-2025-46273和CVE-2025-46274漏洞涉及UNI-NMS-Lite管理系统中的硬编码凭证，使攻击者无需认证即可获得所有受管设备的管理权限。这些漏洞由Immersive Labs安全研究员Kev Breen发现，影响UNI-NMS-Lite、NMS-NMS-1000V网络管理系统及WGS系列工业交换机。CISA警告称，攻击者可利用这些漏洞读取/操纵设备数据、执行操作系统命令或创建新的管理员账户。目前Planet Technology已发布补丁，CISA建议企业立即采取防御措施，包括隔离控制系统网络、使用VPN进行远程访问等。

13. React Router现严重漏洞，攻击者可伪造内容修改数据

【Cybersecuritynews网站4月28日消息】React Router（常用的React应用路由库）发现重大安全漏洞，影响带服务器端渲染（SSR）和加载器的框架模式应用，可被远程利用，无需用户交互或权限。漏洞在7.5.2版本已修复，但更新前数百万应用仍有风险。其一为缓存中毒漏洞（CVE-2025-43864，CVSS评分7.5），影响7.2.0至7.5.1版本。攻击者注入恶意标头使SSR应用切换到单页应用（SPA）模式，引发错误改变页面内容，若有缓存系统还会毒害缓存致拒绝服务，只需向目标页面请求添加恶意标头即可利用。其二是预渲染数据欺骗漏洞（CVE-2025-43865，CVSS评分8.2），影响7.0至7.5.1版本。攻击者注入特制标头操纵预渲染数据，可完全欺骗内容、修改数据对象值，还可能致缓存中毒、存储型XSS漏洞。React Router团队建议用户立即升级到7.5.2或更高版本，使用该库的组织还应实施标头验证、查看日志、考虑实施内容安全策略。因React Router应用广泛，这些漏洞是重大安全问题，需开发团队重视。

14. Ruby Rack框架曝高危漏洞可导致服务器敏感文件泄露

【SecurityLab网站4月28日报道】OPSWAT研究人员发现Ruby Rack接口中存在三个安全漏洞，其中最严重的CVE-2025-27610（CVSS评分7.5）允许攻击者通过路径遍历技术访问Web服务器上的任意文件。该漏洞源于Rack::Static模块未对用户提供的路径进行充分过滤，当未明确定义root参数时，攻击者可利用特制路径访问应用程序工作目录外的敏感数据，包括配置文件和凭证信息。另外两个漏洞CVE-2025-27111（CVSS评分6.9）和CVE-2025-25184（CVSS评分5.7）涉及CRLF注入问题，可能导致日志伪造和恶意负载注入。研究人员建议用户立即升级Rack至最新版本，或确保root参数指向仅包含公共文件的目录以降低风险。

15. AI安全漏洞曝光：两大方法可绕过主流模型内容限制，厂商回应不一

【SecurityLab网站4月28日报道】研究人员发现两种系统性方法可绕过ChatGPT、Gemini等主流AI模型的内容安全限制，漏洞编号VU#667211。第一种“嵌套脚本”技术通过虚构场景诱导模型脱离安全规则；第二种“反馈响应”法要求AI解释“如何不回答禁忌问题”，再迂回获取答案。这两种方法对OpenAI、Google、Meta等8家厂商的模型均有效，可能被滥用于生成武器制造、恶意软件编写等违禁内容。尽管DeepSeek认为该问题属于“上下文幻觉”而非架构漏洞，并承诺优化防护，其他厂商（如OpenAI、Google）暂未公开回应。专家指出，此类漏洞暴露了AI安全框架的共性缺陷：现有训练方法难以抵御复杂的社会工程攻击。目前，漏洞风险等级被定为“低”，但潜在危害显著，尤其通过第三方服务中转时追踪攻击者更为困难。

16. 摩根大通CISO警告AI安全泡沫，RSA大会陷现实与炒作拉锯战

【Securityweek网站4月28日消息】2025年RSA大会前夕，摩根大通首席信息安全官Pat Opet发布公开信，尖锐指出SaaS厂商盲目追求便利性已摧毁传统安全边界，基于OAuth的云模型存在"单点故障可致系统性灾难"风险。他呼吁行业回归默认安全架构，批评软件商为市场份额牺牲安全的做法将危及全球经济。这一警告与大会现场AI狂热形成鲜明对比：初创公司竞相展示"代理AI"解决方案，从自动SOC改造到数字化员工层出不穷。微软等巨头则主打"AI副驾驶"功能，风险投资支持的创业公司则鼓吹绿地架构优势。行业正处关键转折点——一边是Opet代表的企业安全现实诉求，另一边是AI能否真正扭转攻防态势的争议性承诺。随着创新沙盒大赛奖金升至500万美元，核心问题浮出水面：当超大规模漏洞威胁全球金融体系时，市场会选择务实安全还是继续为AI幻想买单？

17. 全球超1200台SAP服务器遭高危漏洞攻击，财富500强企业沦陷

【Bleepingcomputer网站4月28日报道】SAP NetWeaver平台曝出高危漏洞CVE-2025-31324，允许攻击者无需认证即可上传恶意文件接管服务器。网络安全公司确认该漏洞已被活跃利用，攻击者通过部署"cache.jsp"等Webshell控制受害系统。据监测，全球至少1,284台服务器暴露于风险中，其中474台已遭入侵，涉及20家财富500强企业，美国（149台）、印度（50台）等国受害最为严重。SAP虽于4月8日发布临时解决方案，25日推出补丁，但企业响应迟缓导致大规模攻击持续。专家建议立即禁用Visual Composer组件或限制对/developmentserver/metadatauploader端点的访问，同时加强日志监控。此次事件再次凸显关键业务系统面临的供应链安全风险。

18. 美国港口年度报告警示网络安全风险加剧，呼吁提升防御韧性

【Industrialcyber网站4月28日报道】美国海岸警卫队发布的《2024年港口国监督年度报告》显示，随着航运系统数字化程度提升，网络安全威胁正成为海事领域重大挑战。报告指出，2024年全美共进行8710次船舶安全检查，滞留率降至0.94%，但网络风险持续升级。海岸警卫队预防政策助理司令韦恩·阿尔金强调，船舶互联性增加导致攻击面扩大，需通过船员培训、事件预案等措施增强防护。美国将于2025年7月16日实施新规，强制要求悬挂美国国旗的船舶制定网络安全计划、设立专职安全官并建立风险检测机制。报告同时披露，近三年平均滞留率微升至1.01%，但消防与救生系统相关违规有所减少。

19. 暗网现新型隐秘挖矿软件HiddenMiner具备高级反检测功能

【CybersecurityNews网站4月28日报道】黑客在暗网论坛上出售升级版HiddenMiner恶意软件，该软件专门用于挖掘门罗币(XMR)加密货币。新版HiddenMiner具备多项逃避检测的技术，包括虚拟机检测绕过、UAC权限提升绕过以及rootkit隐藏技术，使其能够长期潜伏在受害系统中不被发现。该恶意软件售价40-100美元，提供一键安装界面，降低了网络犯罪的技术门槛。特别值得注意的是，HiddenMiner能够在没有管理员权限的情况下运行，并通过自动下载功能实现持久化感染。安全专家警告，该软件会导致系统性能下降、电力消耗增加，甚至可能造成硬件损坏。建议用户更新安全软件、监控系统资源使用情况，并实施应用程序白名单策略以防范此类威胁。

20. Triada木马卷土重来：新型安卓恶意软件可完全控制智能手机

【SecurityLab网站4月28日报道】卡巴斯基实验室发现Triada木马新变种正通过预装方式感染安卓设备。该恶意软件采用多阶段架构，通过修改系统库文件植入Zygote进程，实现对设备的完全控制。Triada不仅能窃取Telegram、WhatsApp等主流应用的会话令牌和用户数据，还能替换加密货币钱包地址，已造成超过26.4万美元的损失。研究发现，Triada主要通过假冒智能手机的预装固件传播，目前已感染全球4500多台设备，主要集中在英国、荷兰、德国和巴西等地。该恶意软件具备高度模块化特性，可根据目标设备特性从C2服务器下载定制化攻击模块。安全专家建议用户使用官方固件重刷系统，并在清理完成前避免使用敏感应用。

21. Earth Kurma黑客组织利用云服务窃取东南亚政府机密

【SecurityLab网站4月28日报道】网络安全公司Trend Research发现一个名为Earth Kurma的高级黑客组织正针对东南亚政府机构和电信公司展开长期网络间谍活动。该组织自2020年11月起活跃，主要攻击菲律宾、越南、泰国和马来西亚等国的目标，使用包括DUNLOADER、TESDAT等定制恶意软件工具套件，并巧妙利用Dropbox、OneDrive等云服务进行数据外泄。Earth Kurma采用独特的攻击手法，将被盗文件隐藏在Windows系统文件夹"sysvol"中，利用Active Directory的分布式文件系统复制(DFSR)功能自动传播数据。该组织还使用MORIYA和KRNRAT等rootkit工具保持持久访问权限，并通过拦截TCP数据包嵌入控制命令。安全专家建议加强驱动程序签名验证、限制SMB协议使用，并严格监控Active Directory以防范此类高级威胁。

22. 玛莎百货数据泄露疑与“Scattered Spider”组织有关

【BleepingComputer网站4月28日消息】英国零售巨头玛莎百货遭遇网络攻击致业务持续宕机，消息来源表明此次攻击疑似由“ScatteredSpider”黑客组织实施。上周二玛莎百货证实遭受网络攻击，影响非接触式支付和在线订购系统，目前约200名仓库工人居家隔离。据悉，攻击者或早在2月入侵并窃取Windows域的NTDS.dit文件获取密码哈希值，4月24日部署DragonForce解密器加密虚拟机。玛莎百货已向CrowdStrike等机构求助。“ScatteredSpider”组织成员多为年轻英语使用者，擅长社会工程攻击等手段获取网络访问权限。他们结构松散，成员流动性大，追踪困难。该组织从金融欺诈、社交媒体黑客攻击发展到复杂的社会工程勒索攻击，如2023年9月入侵米高梅度假村。此次玛莎百货攻击与该组织常用手法相符，网络安全公司SilentPush也发布过其相关网络钓鱼攻击报告。近年来，执法部门已对该组织加大打击力度，多国实施了逮捕行动。