5th域安全微讯早报【20250505】107期

4. CISA紧急警告：KUNBUS工业设备存高危漏洞，可致关键基础设施遭远程控制

【CybersecurityNews网站5月3日报道】美国网络安全和基础设施安全局（CISA）发布紧急公告，披露德国KUNBUS公司Revolution Pi工业自动化设备存在三个高危漏洞（CVE-2025-CVE-2025-32011、CVE-2025-24524），影响能源、制造、交通等关键领域。其中最严重的Node-RED服务器未授权访问漏洞（CVSS 10.0）允许攻击者远程执行任意命令，另两处漏洞涉及身份验证绕过和脚本注入（CVSS 9.8）。KUNBUS虽已发布PiCtory 2.12版本补丁，但工业环境更新滞后可能造成风险滞留。CISA建议立即升级系统、启用强认证、隔离工业网络，并警告此类漏洞可能引发勒索攻击或运营瘫痪。漏洞由Pen Test Partners团队发现并协调披露。

5. AMD推出"攻击向量控制"系统，Linux内核漏洞管理迎来自动化革命

【SecurityLab网站5月3日报道】AMD工程师开发的新型安全管理系统"攻击向量控制"即将登陆Linux 6.16内核，该系统通过将漏洞防护从单个补丁升级为按攻击类型分类的自动化管理，显著简化安全运维流程。该技术通过三层逻辑架构运作：自动选择最优防护方案（AUTO模式）、智能协调依赖项（update函数）、动态启用防护措施，有效解决传统补丁管理中性能冲突与兼容性问题。目前相关代码已提交至x86/bugs分支，AMD工程师David Kaplan表示，这种基于威胁类别的防护模式将重构Linux内核安全体系，尤其适用于现代多核处理器的复杂安全需求。

6. RansomHub通过SocGholish利用WebDAV与SCF漏洞窃取凭证，供应链攻击风险加剧

【GBHackers网站5月3日报道】RansomHub勒索软件团伙近期利用SocGholish恶意软件加载器，结合WebDAV协议和Shell命令文件（SCF）漏洞，实施大规模凭证窃取攻击。SocGholish通过伪造浏览器更新页面（如入侵网站garagebevents[.]com）和注入JavaScript脚本传播，最终投递Cobalt Strike或RansomHub等有效载荷。攻击者利用WebDAV强制身份验证和SCF文件中的恶意UNC路径，窃取用户NTLM哈希以横向移动，并借助Python后门维持访问。此外，SocGholish通过HTTPS端口跳跃（如非标准端口2308、2311）连接RansomHub基础设施，规避检测。Darktrace监测显示，此类攻击凸显初始访问加载器与勒索软件协同的威胁升级，需加强追踪复杂杀伤链以应对风险。

7. 黑客通过伪造SWIFT付款PDF传播Remcos RAT，Windows系统面临远程控制风险

【CybersecurityNews网站5月3日报道】Trustwave SpiderLabs发现一起针对Windows系统的恶意邮件攻击活动。攻击者冒充银行发送伪造的"SWIFT付款通知"PDF文件，内含恶意链接（huadongarmouredcable.com），诱导受害者进入多阶段感染流程。该攻击首先下载JavaScript文件，继而通过PowerShell脚本获取嵌有Remcos RAT的图片文件（使用隐写术隐藏恶意代码）。成功解码后，恶意软件将连接C2服务器（rickscottflorida.com:2404），使攻击者获得系统完全控制权。研究人员指出，该活动结合社会工程与高级混淆技术（如隐写术），凸显网络攻击手段的持续进化，建议企业更新防护策略并加强员工安全意识培训。

8. Redis回归AGPL开源许可引争议，社区分裂与商业博弈持续

【SecurityLab网站5月3日报道】Redis公司宣布从8.0版本起将采用GNU AGPL许可证重新开源其数据库软件，试图缓和2023年转向SSPL许可证引发的社区抵制。CEO Rowan Trollope承认SSPL未被开放源代码促进会(OSI)认可，新许可仍要求云服务商披露代码或付费，旨在防止AWS等巨头免费商用。此举伴随创始人Salvatore Sanfilippo的回归及新增AI向量搜索功能，但Linux基金会主导的Valkey分支（原Redis 7.2.4分支）已获AWS、谷歌等支持并发布8.1版本。业内专家如Percona联合创始人Peter Zaitsev批评AGPL仍是"妥协方案"，反映开源社区与商业利益的持续冲突。

9. Riot Games用内核级反作弊系统Vanguard打击游戏黑客，Valorant作弊率降至1%以下

【TechCrunch 5月3日报道】Riot Games通过其内核级反作弊系统Vanguard成功将《Valorant》竞技模式中的作弊率控制在1%以下。反作弊负责人Phillip Koskinas透露，该系统强制启用Windows安全功能（如TPM和安全启动），并采用硬件指纹识别技术永久封禁作弊设备。Riot组建"侦察部门"渗透作弊社区，通过卧底获取作弊工具并实施精准封禁，同时策略性延迟封禁以延缓作弊技术迭代。针对高端作弊手段（如DMA攻击和AI屏幕读取），Vanguard通过行为分析识别非人类操作模式。Koskinas承认内核级访问存在隐私争议，但强调透明度举措（如发布技术博客）是平衡权力与信任的关键。

10. 美官员警示：国家支持的黑客悄然渗透美国基础设施

【Govinfosecurity 网站 5 月 3 日报道】美国联邦调查局（FBI）网络行动副助理主任布雷特・利瑟曼（Brett Leatherman）指出，国家支持的网络攻击愈发隐蔽且持久，攻击者长期瞄准美国关键基础设施，威胁公共安全与军事行动，其通过混淆技术和代理网络维持隐蔽访问。FBI 致力于早期检测此类入侵，并强调与私营部门合作的重要性。一方面，与具备独特视角的威胁情报公司合作，借助其信息识别并追踪攻击者；另一方面，鼓励受害者尽早求助，利用相关情报快速控制局面。此外，利瑟曼还谈及中国威胁行为者利用过时设备发动攻击、小型市政当局网络人才短缺引发的国家安全隐患，以及第三方风险成为国家支持的网络入侵新入口等问题。