5th域安全微讯早报【20250507】109期

5. 黑客入侵航空系统曝光美移民驱逐航班敏感数据

【Securitylab网站5月6日报道】黑客组织"匿名者"成功入侵美国GlobalX航空公司系统，获取了2025年1月19日至5月1日期间所有航班数据。被窃数据包含详细的航班时刻表、乘客护照信息及航线详情，其中特别涉及特朗普政府用于驱逐委内瑞拉移民的敏感航班信息。值得注意的是，3月15日的6143和6145航班数据尤为关键，这些航班正是联邦法院审理中的焦点案件。黑客宣称通过获取开发人员令牌成功访问AWS密钥，并入侵了空客NAVBLUE飞行规划平台。此次攻击行动旨在抗议美国政府违反《外国敌人法》裁决的行为。安全实验室核查确认，泄露数据与24岁委内瑞拉公民Heimar Padilla被错误遣返的路线完全吻合。GlobalX作为ICE主要航空服务分包商，每年承运超过1500架次、占比74%的驱逐航班。此次事件暴露出政府外包航空服务存在的重大安全漏洞。截至目前，GlobalX航空公司和美国移民海关执法局(ICE)均未就此事作出正式回应。网络安全专家警告，泄露的护照等敏感信息可能被不法分子恶意利用。

6. Instagram博主账号遭黑客入侵，用于网络钓鱼攻击

【CybersecurityNews网站5月6日报道】一位拥有超过250万粉丝的Instagram博主的账号遭到黑客入侵，被用于一场复杂的网络钓鱼攻击。攻击者利用该账号向粉丝发送伪装成独家促销内容的恶意链接，诱导用户点击后窃取银行凭证。此次攻击通过模仿Instagram版权侵权通知的鱼叉式网络钓鱼邮件入侵博主账号，随后向活跃粉丝发送个性化消息，营造限时优惠的紧迫感。攻击链最终传递了一个基于JavaScript的恶意脚本，该脚本在合法银行登录表单上创建不可见覆盖层，实时捕获并传输用户凭证。卡巴斯基研究人员发现此次攻击与经济动机的威胁行为者TA505有关，该组织以复杂的社会工程策略和银行恶意软件部署而闻名。Instagram安全团队已重新控制该博主账号，并建议受影响用户立即更改银行密码并启用双因素身份验证。

7. iHeartRadio电台遭黑客入侵员工敏感信息大规模泄露

【The Record网站5月6日报道】美国最大音频传媒集团iHeartMedia披露，其旗下多家广播电台于2024年12月24日至27日期间遭黑客入侵。调查确认攻击者窃取了包括社会安全号码、驾照信息、银行账户明细及健康保险数据在内的核心敏感信息。尽管iHeartMedia拥有全美870个电台和2.5亿月活听众，但公司拒绝透露受影响的具体电台数量和员工规模。目前已在缅因州等三个州提交违规通知，并为受害者提供一年身份保护服务。此次事件是继2月Urban One传媒集团遭勒索软件攻击后，美国媒体行业又一重大数据泄露案件。值得注意的是，黑客潜伏系统长达72小时未被发现，暴露出广播行业网络安全防护的严重不足。

8. 英国法律援助机构遭网络攻击数千家律所财务数据面临泄露风险

【BleepingComputer网站5月6日报道】英国司法部下属的法律援助机构(LAA)正调查一起重大网络安全事件，该事件可能导致2000余家签约律师事务所的财务信息外泄。LAA管理着英格兰和威尔士地区的公共辩护服务系统，年度监管法律资金达数十亿英镑。尽管LAA在致律所的信件中表示"尚无法确认数据是否被访问"，但承认服务提供商的付款信息存在泄露风险。英国国家犯罪局(NCA)已联合国家网络安全中心(NCSC)介入调查。此次事件是英国近期系列网络攻击的最新一起——此前零售巨头玛莎百货、Co-op和哈罗德百货相继遭DragonForce勒索软件攻击，NCSC警告这些事件应为全英企业敲响安全警钟。

9. SAP NetWeaver零日漏洞遭二次攻击黑客利用既有Webshell扩大战果

【SecurityWeek网站5月6日报道】企业应用安全公司Onapsis发现针对SAP NetWeaver系统的第二波攻击浪潮，黑客正利用此前通过CVE-2025-31324零日漏洞（CVSS 10分）部署的Webshell扩大入侵。该漏洞自3月中旬已被利用，允许攻击者在未授权情况下上传恶意文件至Visual Composer开发服务器。安全监测显示，目前仍有200余个暴露在互联网的NetWeaver实例未修复漏洞。Onapsis与Mandiant联合发布开源扫描工具，可检测Webshell等攻击痕迹。美国网络安全和基础设施安全局(CISA)已将该漏洞列入"已知被利用漏洞"目录，要求联邦机构在5月20日前完成修补。专家警告，此类针对企业核心系统的二次攻击正成为新型威胁模式，建议企业立即核查所有SAP实例的补丁状态。

10. Android字体引擎漏洞正被黑客零点击攻击利用

【Securitylab网站5月6日报道】谷歌最新安全公告披露Android系统存在46个安全漏洞，其中编号CVE-2025-27363（CVSS评分8.1）的FreeType字体引擎漏洞已被黑客在野利用。该漏洞影响TrueType GX和可变字体处理模块，允许攻击者无需用户交互即可远程执行任意代码，目前谷歌已确认发生"有限且有针对性"的实际攻击案例。此次5月安全更新包含两批关键补丁：5月1日修复Android框架权限提升漏洞，5月5日解决内核及媒体组件漏洞。特别值得关注的是第三方芯片组漏洞，包括Imagination Technologies的7个GPU高危漏洞，以及ARM Mali、联发科和高通芯片的多个核心组件缺陷。更新还涉及Project Mainline组件，这些补丁现可通过Google Play直接推送。安全专家强烈建议用户立即检查设备安全补丁级别，确保至少更新至2025年5月5日版本。此次事件突显移动威胁的演进趋势——攻击者正瞄准供应链深层组件，通过字体渲染等基础服务发起"零点击"攻击。企业用户应特别关注Google Play Protect的部署，防范通过旁载应用发起的针对性攻击。

11. Langflow代码审查平台曝9.8分漏洞黑客可远程接管服务器

【Securitylab网站5月6日报道】AI开发平台Langflow曝出CVSS评分9.8的严重漏洞（CVE-2025-3248），该漏洞存在于/api/v1/validate/code端点，由于完全缺失身份验证机制，攻击者可通过特制HTTP请求实现远程代码执行。安全专家指出，该平台直接使用Python的exec()函数处理用户输入，既无沙箱保护也无权限控制，导致服务器完全暴露。据Censys监测，全球目前有466个公开暴露的Langflow实例，主要分布在美国、德国等科技发达国家。虽然漏洞已在3月31日发布的1.3.0版本修复，但自4月9日漏洞验证代码(PoC)公开后，大规模攻击风险急剧上升。Zscaler专家警告，此事件暴露出AI开发工具在便捷性与安全性间的重大失衡，尤其当涉及代码执行功能时，必须部署严格的沙箱隔离和权限管控机制。

12. 三星MagicINFO 9服务器漏洞遭野外利用

【CybersecurityNews网站5月6日报道】三星数字标牌管理平台MagicINFO 9服务器的严重安全漏洞CVE-2024-7399被发现遭野外利用。该漏洞CVSS评分为9.8，属于最高严重性级别，允许未经身份验证的攻击者上传恶意文件并获取系统完全控制权。该漏洞源于MagicINFO 9服务器输入验证逻辑缺陷，影响21.1050版本之前的系统。攻击者可通过/MagicInfo/servlet/SWUpdateFileUploader端点上传特制的JavaServer Pages (JSP)文件，执行任意代码。三星于2024年8月首次披露该漏洞，但直到2025年4月30日技术细节和概念验证公开后，野外攻击才开始出现。安全专家建议用户立即升级到21.1050或更高版本以修复漏洞，并强调由于漏洞利用门槛低且代码已公开，组织应优先进行补丁更新。

13. Apache Parquet曝高危漏洞研究人员发布新型检测工具

【BleepingComputer网站5月6日报道】F5实验室研究人员针对Apache Parquet列式存储格式的严重漏洞(CVE-2025-30065)发布概念验证检测工具。该漏洞影响所有版本Apache Parquet，允许通过特制Avro数据实现远程代码执行。该漏洞源于parquet-avro模块的反序列化缺陷，攻击者可利用恶意Parquet文件触发Java类实例化。尽管实际利用需特定条件且难度较高，但处理外部数据源的企业仍面临风险。F5实验室开发的"金丝雀漏洞"工具通过触发HTTP请求验证系统暴露情况，建议用户升级至15.1.1版本并配置SERIALIZABLE_PACKAGES限制反序列化范围。

14. Snowflake CORTEX AI工具曝重大安全漏洞低权限用户可绕过数据屏蔽

【CybersecurityNews 5月6日报道】Cyera研究人员发现Snowflake的AI驱动搜索服务CORTEX存在严重设计缺陷。该服务在"所有者权限"而非"调用者权限"下运行，导致低权限用户可通过自然语言查询获取本应被动态屏蔽的敏感数据。技术分析显示，当管理员使用ACCOUNTADMIN等高权限角色部署CORTEX服务时，所有USAGE权限用户均可继承该角色的数据访问权限，完全绕过动态数据屏蔽策略。例如，本应对普通用户显示为"*****"的敏感字段，通过CORTEX查询可直接获取原始值。Snowflake已承认漏洞并着手修复，计划调整执行上下文模型并强化管理员告警机制。

15. Kubernetes重大安全警报：默认Helm图表配置或致集群全面暴露

【Securitylab网站5月6日报道】微软Defender for Cloud研究团队发布警告称，未经修改的默认Helm图表配置正导致大量Kubernetes集群面临严重安全风险。报告指出，开发者为追求部署效率，常直接使用标准Helm图表而忽视安全检查，造成三大典型漏洞：关键服务通过LoadBalancer无认证暴露、管理接口允许公共IP注册、NodePort服务未配置网络过滤。典型案例包括Apache Pinot控制器和代理组件完全暴露，Meshery图表允许任意用户获取集群管理权限，以及Selenium Grid遭攻击者用于门罗币挖矿。微软安全专家强调，这些漏洞已从官方图表蔓延至GitHub上大量第三方项目。为应对风险，建议企业在部署前必须详细审查图表配置，重点关注认证机制和网络隔离设置，同时建立持续的异常行为监控机制。该报告揭示了云原生生态中效率与安全的深刻矛盾，特别是在DevOps实践中普遍存在的"一键部署"文化带来的安全隐患。

16. 美国情报机构监控活动激增 ODNI报告归因于网络安全与反恐需求

【ExecutiveGov网站5月6日报道】美国国家情报总监办公室(ODNI)最新年度透明度报告显示，2024年国家安全局(NSA)、中央情报局(CIA)等机构对美国公民的监控查询量显著增加。报告将此归因于关键基础设施面临的网络威胁加剧、哈马斯冲突外溢风险以及ISIS关联人员激增等安全形势变化，特别提及400多名中亚移民与ISIS网络的潜在联系。该报告依据《外国情报监视法》第702条编制，覆盖《改革情报与安全美国法案》(RISAA)通过后的监控活动。值得注意的是，RISAA虽禁止FBI进行纯犯罪证据查询，但网络安全和反恐领域的豁免条款使得相关监控活动持续扩大。报告旨在提升情报工作透明度，但专家指出其披露的查询量增长趋势可能引发新一轮隐私权争议。

17. 零信任之父John Kindervag：真正的黑客精神在于创造而非破坏

【SecurityWeek 5月6日报道】零信任安全模型创始人John Kindervag在接受专访时重新诠释了黑客本质。这位现任Illumio首席布道师认为，黑客精神应回归其原始定义——如同Unix系统创造者Thompson和Ritchie那样，通过解构与重组实现技术创新，而非当今普遍认知的网络入侵行为。Kindervag指出，早期黑客文化正逐渐消逝，随着CDC、L0pht等传奇黑客团体解散，以及ShmooCon等传统黑客大会停办，新一代从业者往往忽视了"为学习与改进而探索"的初心。他以自身开发零信任模型的经历为例，强调真正的黑客行为应是像将俄罗斯谚语"信任但验证"转化为"永不信任，始终验证"这样的创造性突破。这种"建构型黑客"理念与麦肯齐·沃克在《黑客宣言》中提出的哲学观点高度契合——黑客的本质是创造新事物可能性的生成行为。

18. 重大安全漏洞：表情符号可100%绕过微软/Nvidia/Meta的AI防护系统

【CybersecurityNews 5月6日报道】Mindgard与兰卡斯特大学的研究团队发现，微软Azure Prompt Shield、Meta Prompt Guard及NVIDIA NeMo Guard等主流AI防护系统存在致命漏洞。攻击者通过在表情符号变体选择器中嵌入恶意指令，可完全绕过安全检测：攻击原理：利用Unicode字符处理差异，在表情符号修饰符间插入恶意文本，使防护系统"失明"而LLM仍能执行；成功率：微软防护系统被绕过率71.98%；特定表情符号走私技术实现100%突破。影响范围：所有依赖字符级过滤的AI安全系统，可能危及金融、医疗等领域的AI应用。研究团队已于2024年2月向相关企业发出预警，该漏洞揭示了当前AI安全机制在语义理解层面的根本缺陷。专家建议企业采用多层级防护策略，结合行为分析与语义检测以应对新型注入攻击。

19. 全球最大钓鱼平台Darcula曝光：20,000个钓鱼域名窃取88万张银行卡

【Securitylab网站5月6日报道】网络安全公司Mnemonic揭露了全球最大的网络钓鱼服务平台Darcula的运作内幕。该平台采用订阅制模式，为600多名运营商提供完整的钓鱼攻击基础设施，在2023-2024年间通过1300万次恶意链接点击，成功窃取88.4万张支付卡数据。Darcula主要通过伪装成罚款或快递通知的iMessage和RCS信息传播钓鱼链接，其攻击范围覆盖全球100多个国家。调查显示，Darcula平台运营着2万个假冒知名品牌的钓鱼域名，并采用名为"Magic Cat"的恶意框架作为技术基础。平台运营商在封闭的Telegram群组中交流攻击技巧和财务收益。更令人担忧的是，该平台于2025年4月引入生成式AI技术，能够自动创建多语言的个性化欺诈方案。研究人员发现部分数字足迹指向中国河南省的某开发商，尽管其否认参与非法活动，但证据表明与"Magic Cat"框架存在关联。目前所有调查材料已移交相关执法机构。

20. 新型勒索软件Gunra全球肆虐采用Conti代码并升级间谍功能

【Securitylab网站5月6日报道】2025年4月新出现的Gunra勒索软件已对全球制药、房地产和制造业发起攻击，受害者遍布日本、埃及等五大洲。该勒索软件基于Conti的代码开发，但采用更先进的规避技术：双重勒索机制：加密文件追加".ENCRT"后缀，通过Tor网络进行赎金谈判，并设定120小时数据泄露倒计时。高级反检测：进程注入技术隐藏恶意活动；动态检测调试环境；使用WMI清除卷影副本。精准数据窃取：针对.docx/.pdf等关键格式文件，完整实现MITRE ATT&CK攻击链。CYFIRMA分析显示，Gunra的攻击链包含WMI持久化、权限提升等11个ATT&CK战术阶段。专家建议企业立即部署：EDR系统监控进程注入行为、网络分段隔离关键资产，并特别关注Tor网络异常流量。该勒索软件的出现标志着勒索攻击正朝着更隐蔽、更具针对性的方向发展。