2025-05-07 星期三 Vol-2025-109
1. 特朗普政府拟削减CISA 17%预算美国网络安全体系面临重构
2. 特朗普提名网络政策负责人拟放宽网络攻击行动限制
3. 美国国家安全局启动大规模裁员拟削减2000个文职岗位
4. 美国参议院敦促国防部强化网络威慑战略应对外国敌意活动
5. 黑客入侵航空系统曝光美移民驱逐航班敏感数据
6. Instagram博主账号遭黑客入侵,用于网络钓鱼攻击
7. iHeartRadio电台遭黑客入侵员工敏感信息大规模泄露
8. 英国法律援助机构遭网络攻击数千家律所财务数据面临泄露风险
9. SAP NetWeaver零日漏洞遭二次攻击黑客利用既有Webshell扩大战果
10. Android字体引擎漏洞正被黑客零点击攻击利用
11. Langflow代码审查平台曝9.8分漏洞黑客可远程接管服务器
12. 三星MagicINFO 9服务器漏洞遭野外利用
13. Apache Parquet曝高危漏洞研究人员发布新型检测工具
14. Snowflake CORTEX AI工具曝重大安全漏洞低权限用户可绕过数据屏蔽
15. Kubernetes重大安全警报:默认Helm图表配置或致集群全面暴露
16. 美国情报机构监控活动激增 ODNI报告归因于网络安全与反恐需求
17. 零信任之父John Kindervag:真正的黑客精神在于创造而非破坏
18. 重大安全漏洞:表情符号可100%绕过微软/Nvidia/Meta的AI防护系统
19. 全球最大钓鱼平台Darcula曝光:20,000个钓鱼域名窃取88万张银行卡
20. 新型勒索软件Gunra全球肆虐采用Conti代码并升级间谍功能
政策法规
1. 特朗普政府拟削减CISA 17%预算美国网络安全体系面临重构
【Securitylab网站5月6日报道】特朗普政府向国会提交的2026财年预算案计划削减美国网络安全与基础设施安全局(CISA)4.91亿美元经费,降幅达17%。此举旨在限制该机构打击网络虚假信息的职能,白宫文件直指CISA已沦为"审查工业综合体",认为其越权判定信息真伪的行为侵犯宪法言论自由。此次预算调整延续了2025财年削减3400万美元的趋势,重点裁撤国际合作部门和虚假信息治理项目。国土安全部长克里斯蒂·诺姆在RSA大会上明确表态,强调CISA应回归技术防护本位。值得关注的是,国土安全部整体预算反增加430亿美元,主要用于边境墙建设和移民驱逐。网络安全专家警告,此举将削弱美国应对境外网络威胁的能力,尤其在选举安全防护和关键基础设施保护方面。预算案尚需国会批准,两党已就削减幅度展开激烈博弈。此次调整反映美国网络安全战略的重大转向——从信息生态治理回归传统技术防御,可能重塑全球网络空间治理格局。
2. 特朗普提名网络政策负责人拟放宽网络攻击行动限制
【The Record网站5月7日报道】特朗普总统提名的国防部网络政策助理部长人选凯蒂·萨顿在参议院听证会上表示,将重新评估美国进攻性网络行动政策框架。萨顿现任美国网络司令部首席技术顾问,她特别指出需要修订第13号国家安全总统备忘录(NSPM-13)等现行政策,以适应网络空间"指数级"变化和人工智能带来的新挑战。萨顿强调,面对黑客组织"伏特台风"等国家级威胁,美国必须保持网络威慑优势:"我们不仅要能防御,更要让世界明白,任何国家能对我们实施的网络行动,我们都能加倍奉还。"她同时承诺改革国防部数字人才招募机制,指出优秀网络战人员留任的关键在于"执行保卫国家任务"的使命感。此次提名听证会凸显美国网络战略的重大转向——从保密文化转向公开威慑,同时放宽进攻性网络武器使用限制。参议院军事委员会暂未公布表决时间表,现任代理副部长劳里·巴克豪特将继续主持工作直至提名通过。
3. 美国国家安全局启动大规模裁员拟削减2000个文职岗位
【The Record网站5月6日报道】特朗普政府正推动美国国家安全局(NSA)裁减8%文职人员,约1500-2000个岗位,涉及网络安全攻防、行政支持等多个领域。此次裁员是国防部"五年期8%预算削减计划"的组成部分,将同步影响国防情报局、国家侦察局等战斗支援机构。报道披露,NSA已采取提前退休等自愿离职方案,重点裁减高级管理人员(SES),以保留年轻技术骨干。此次重组正值NSA领导层动荡期——网络司令部司令蒂莫西·霍夫上将近期被解职,且特朗普政府可能取消NSA与网络司令部的"双帽"领导机制。分析认为,此举虽标榜"政府精简",但可能削弱美国在网络安全和电子侦察领域的战略优势,尤其面对中国等对手持续扩张网络战力的背景下。
4. 美国参议院敦促国防部强化网络威慑战略应对外国敌意活动
【DefenseScoop 5月6日报道】在凯蒂·萨顿(特朗普提名的国防部网络政策助理部长人选)的确认听证会上,两党参议员一致要求制定更明确的网络威慑准则。参议员安格斯·金指出,当前缺乏类似核威慑的清晰网络反击政策,使对手毫无顾忌。萨顿承诺若获任命将重新评估NSPM-13等关键政策框架,并加强进攻性网络能力建设。听证会聚焦三大核心议题:中国对美关键基础设施的渗透已构成"战场准备"威胁;需改变"只防不攻"的被动姿态,网络司令部应获得更大行动授权;推动文化变革,像公开传统军事行动那样适度披露网络反击成果。萨顿特别强调,随着AI技术发展,网络空间规则需动态调整。参议院军事委员会数据显示,自2018年明确"网络即传统军事活动"定位以来,美军网络行动效能提升十倍,但现行政策仍滞后于中俄等国的网络军事化进程。
安全事件
5. 黑客入侵航空系统曝光美移民驱逐航班敏感数据
【Securitylab网站5月6日报道】黑客组织"匿名者"成功入侵美国GlobalX航空公司系统,获取了2025年1月19日至5月1日期间所有航班数据。被窃数据包含详细的航班时刻表、乘客护照信息及航线详情,其中特别涉及特朗普政府用于驱逐委内瑞拉移民的敏感航班信息。值得注意的是,3月15日的6143和6145航班数据尤为关键,这些航班正是联邦法院审理中的焦点案件。黑客宣称通过获取开发人员令牌成功访问AWS密钥,并入侵了空客NAVBLUE飞行规划平台。此次攻击行动旨在抗议美国政府违反《外国敌人法》裁决的行为。安全实验室核查确认,泄露数据与24岁委内瑞拉公民Heimar Padilla被错误遣返的路线完全吻合。GlobalX作为ICE主要航空服务分包商,每年承运超过1500架次、占比74%的驱逐航班。此次事件暴露出政府外包航空服务存在的重大安全漏洞。截至目前,GlobalX航空公司和美国移民海关执法局(ICE)均未就此事作出正式回应。网络安全专家警告,泄露的护照等敏感信息可能被不法分子恶意利用。
6. Instagram博主账号遭黑客入侵,用于网络钓鱼攻击
【CybersecurityNews网站5月6日报道】一位拥有超过250万粉丝的Instagram博主的账号遭到黑客入侵,被用于一场复杂的网络钓鱼攻击。攻击者利用该账号向粉丝发送伪装成独家促销内容的恶意链接,诱导用户点击后窃取银行凭证。此次攻击通过模仿Instagram版权侵权通知的鱼叉式网络钓鱼邮件入侵博主账号,随后向活跃粉丝发送个性化消息,营造限时优惠的紧迫感。攻击链最终传递了一个基于JavaScript的恶意脚本,该脚本在合法银行登录表单上创建不可见覆盖层,实时捕获并传输用户凭证。卡巴斯基研究人员发现此次攻击与经济动机的威胁行为者TA505有关,该组织以复杂的社会工程策略和银行恶意软件部署而闻名。Instagram安全团队已重新控制该博主账号,并建议受影响用户立即更改银行密码并启用双因素身份验证。
7. iHeartRadio电台遭黑客入侵员工敏感信息大规模泄露
【The Record网站5月6日报道】美国最大音频传媒集团iHeartMedia披露,其旗下多家广播电台于2024年12月24日至27日期间遭黑客入侵。调查确认攻击者窃取了包括社会安全号码、驾照信息、银行账户明细及健康保险数据在内的核心敏感信息。尽管iHeartMedia拥有全美870个电台和2.5亿月活听众,但公司拒绝透露受影响的具体电台数量和员工规模。目前已在缅因州等三个州提交违规通知,并为受害者提供一年身份保护服务。此次事件是继2月Urban One传媒集团遭勒索软件攻击后,美国媒体行业又一重大数据泄露案件。值得注意的是,黑客潜伏系统长达72小时未被发现,暴露出广播行业网络安全防护的严重不足。
8. 英国法律援助机构遭网络攻击数千家律所财务数据面临泄露风险
【BleepingComputer网站5月6日报道】英国司法部下属的法律援助机构(LAA)正调查一起重大网络安全事件,该事件可能导致2000余家签约律师事务所的财务信息外泄。LAA管理着英格兰和威尔士地区的公共辩护服务系统,年度监管法律资金达数十亿英镑。尽管LAA在致律所的信件中表示"尚无法确认数据是否被访问",但承认服务提供商的付款信息存在泄露风险。英国国家犯罪局(NCA)已联合国家网络安全中心(NCSC)介入调查。此次事件是英国近期系列网络攻击的最新一起——此前零售巨头玛莎百货、Co-op和哈罗德百货相继遭DragonForce勒索软件攻击,NCSC警告这些事件应为全英企业敲响安全警钟。
9. SAP NetWeaver零日漏洞遭二次攻击黑客利用既有Webshell扩大战果
【SecurityWeek网站5月6日报道】企业应用安全公司Onapsis发现针对SAP NetWeaver系统的第二波攻击浪潮,黑客正利用此前通过CVE-2025-31324零日漏洞(CVSS 10分)部署的Webshell扩大入侵。该漏洞自3月中旬已被利用,允许攻击者在未授权情况下上传恶意文件至Visual Composer开发服务器。安全监测显示,目前仍有200余个暴露在互联网的NetWeaver实例未修复漏洞。Onapsis与Mandiant联合发布开源扫描工具,可检测Webshell等攻击痕迹。美国网络安全和基础设施安全局(CISA)已将该漏洞列入"已知被利用漏洞"目录,要求联邦机构在5月20日前完成修补。专家警告,此类针对企业核心系统的二次攻击正成为新型威胁模式,建议企业立即核查所有SAP实例的补丁状态。
漏洞预警
10. Android字体引擎漏洞正被黑客零点击攻击利用
【Securitylab网站5月6日报道】谷歌最新安全公告披露Android系统存在46个安全漏洞,其中编号CVE-2025-27363(CVSS评分8.1)的FreeType字体引擎漏洞已被黑客在野利用。该漏洞影响TrueType GX和可变字体处理模块,允许攻击者无需用户交互即可远程执行任意代码,目前谷歌已确认发生"有限且有针对性"的实际攻击案例。此次5月安全更新包含两批关键补丁:5月1日修复Android框架权限提升漏洞,5月5日解决内核及媒体组件漏洞。特别值得关注的是第三方芯片组漏洞,包括Imagination Technologies的7个GPU高危漏洞,以及ARM Mali、联发科和高通芯片的多个核心组件缺陷。更新还涉及Project Mainline组件,这些补丁现可通过Google Play直接推送。安全专家强烈建议用户立即检查设备安全补丁级别,确保至少更新至2025年5月5日版本。此次事件突显移动威胁的演进趋势——攻击者正瞄准供应链深层组件,通过字体渲染等基础服务发起"零点击"攻击。企业用户应特别关注Google Play Protect的部署,防范通过旁载应用发起的针对性攻击。
11. Langflow代码审查平台曝9.8分漏洞黑客可远程接管服务器
【Securitylab网站5月6日报道】AI开发平台Langflow曝出CVSS评分9.8的严重漏洞(CVE-2025-3248),该漏洞存在于/api/v1/validate/code端点,由于完全缺失身份验证机制,攻击者可通过特制HTTP请求实现远程代码执行。安全专家指出,该平台直接使用Python的exec()函数处理用户输入,既无沙箱保护也无权限控制,导致服务器完全暴露。据Censys监测,全球目前有466个公开暴露的Langflow实例,主要分布在美国、德国等科技发达国家。虽然漏洞已在3月31日发布的1.3.0版本修复,但自4月9日漏洞验证代码(PoC)公开后,大规模攻击风险急剧上升。Zscaler专家警告,此事件暴露出AI开发工具在便捷性与安全性间的重大失衡,尤其当涉及代码执行功能时,必须部署严格的沙箱隔离和权限管控机制。
12. 三星MagicINFO 9服务器漏洞遭野外利用
【CybersecurityNews网站5月6日报道】三星数字标牌管理平台MagicINFO 9服务器的严重安全漏洞CVE-2024-7399被发现遭野外利用。该漏洞CVSS评分为9.8,属于最高严重性级别,允许未经身份验证的攻击者上传恶意文件并获取系统完全控制权。该漏洞源于MagicINFO 9服务器输入验证逻辑缺陷,影响21.1050版本之前的系统。攻击者可通过/MagicInfo/servlet/SWUpdateFileUploader端点上传特制的JavaServer Pages (JSP)文件,执行任意代码。三星于2024年8月首次披露该漏洞,但直到2025年4月30日技术细节和概念验证公开后,野外攻击才开始出现。安全专家建议用户立即升级到21.1050或更高版本以修复漏洞,并强调由于漏洞利用门槛低且代码已公开,组织应优先进行补丁更新。
13. Apache Parquet曝高危漏洞研究人员发布新型检测工具
【BleepingComputer网站5月6日报道】F5实验室研究人员针对Apache Parquet列式存储格式的严重漏洞(CVE-2025-30065)发布概念验证检测工具。该漏洞影响所有版本Apache Parquet,允许通过特制Avro数据实现远程代码执行。该漏洞源于parquet-avro模块的反序列化缺陷,攻击者可利用恶意Parquet文件触发Java类实例化。尽管实际利用需特定条件且难度较高,但处理外部数据源的企业仍面临风险。F5实验室开发的"金丝雀漏洞"工具通过触发HTTP请求验证系统暴露情况,建议用户升级至15.1.1版本并配置SERIALIZABLE_PACKAGES限制反序列化范围。
14. Snowflake CORTEX AI工具曝重大安全漏洞低权限用户可绕过数据屏蔽
【CybersecurityNews 5月6日报道】Cyera研究人员发现Snowflake的AI驱动搜索服务CORTEX存在严重设计缺陷。该服务在"所有者权限"而非"调用者权限"下运行,导致低权限用户可通过自然语言查询获取本应被动态屏蔽的敏感数据。技术分析显示,当管理员使用ACCOUNTADMIN等高权限角色部署CORTEX服务时,所有USAGE权限用户均可继承该角色的数据访问权限,完全绕过动态数据屏蔽策略。例如,本应对普通用户显示为"*****"的敏感字段,通过CORTEX查询可直接获取原始值。Snowflake已承认漏洞并着手修复,计划调整执行上下文模型并强化管理员告警机制。
风险预警
15. Kubernetes重大安全警报:默认Helm图表配置或致集群全面暴露
【Securitylab网站5月6日报道】微软Defender for Cloud研究团队发布警告称,未经修改的默认Helm图表配置正导致大量Kubernetes集群面临严重安全风险。报告指出,开发者为追求部署效率,常直接使用标准Helm图表而忽视安全检查,造成三大典型漏洞:关键服务通过LoadBalancer无认证暴露、管理接口允许公共IP注册、NodePort服务未配置网络过滤。典型案例包括Apache Pinot控制器和代理组件完全暴露,Meshery图表允许任意用户获取集群管理权限,以及Selenium Grid遭攻击者用于门罗币挖矿。微软安全专家强调,这些漏洞已从官方图表蔓延至GitHub上大量第三方项目。为应对风险,建议企业在部署前必须详细审查图表配置,重点关注认证机制和网络隔离设置,同时建立持续的异常行为监控机制。该报告揭示了云原生生态中效率与安全的深刻矛盾,特别是在DevOps实践中普遍存在的"一键部署"文化带来的安全隐患。
16. 美国情报机构监控活动激增 ODNI报告归因于网络安全与反恐需求
【ExecutiveGov网站5月6日报道】美国国家情报总监办公室(ODNI)最新年度透明度报告显示,2024年国家安全局(NSA)、中央情报局(CIA)等机构对美国公民的监控查询量显著增加。报告将此归因于关键基础设施面临的网络威胁加剧、哈马斯冲突外溢风险以及ISIS关联人员激增等安全形势变化,特别提及400多名中亚移民与ISIS网络的潜在联系。该报告依据《外国情报监视法》第702条编制,覆盖《改革情报与安全美国法案》(RISAA)通过后的监控活动。值得注意的是,RISAA虽禁止FBI进行纯犯罪证据查询,但网络安全和反恐领域的豁免条款使得相关监控活动持续扩大。报告旨在提升情报工作透明度,但专家指出其披露的查询量增长趋势可能引发新一轮隐私权争议。
17. 零信任之父John Kindervag:真正的黑客精神在于创造而非破坏
【SecurityWeek 5月6日报道】零信任安全模型创始人John Kindervag在接受专访时重新诠释了黑客本质。这位现任Illumio首席布道师认为,黑客精神应回归其原始定义——如同Unix系统创造者Thompson和Ritchie那样,通过解构与重组实现技术创新,而非当今普遍认知的网络入侵行为。Kindervag指出,早期黑客文化正逐渐消逝,随着CDC、L0pht等传奇黑客团体解散,以及ShmooCon等传统黑客大会停办,新一代从业者往往忽视了"为学习与改进而探索"的初心。他以自身开发零信任模型的经历为例,强调真正的黑客行为应是像将俄罗斯谚语"信任但验证"转化为"永不信任,始终验证"这样的创造性突破。这种"建构型黑客"理念与麦肯齐·沃克在《黑客宣言》中提出的哲学观点高度契合——黑客的本质是创造新事物可能性的生成行为。
18. 重大安全漏洞:表情符号可100%绕过微软/Nvidia/Meta的AI防护系统
【CybersecurityNews 5月6日报道】Mindgard与兰卡斯特大学的研究团队发现,微软Azure Prompt Shield、Meta Prompt Guard及NVIDIA NeMo Guard等主流AI防护系统存在致命漏洞。攻击者通过在表情符号变体选择器中嵌入恶意指令,可完全绕过安全检测:攻击原理:利用Unicode字符处理差异,在表情符号修饰符间插入恶意文本,使防护系统"失明"而LLM仍能执行;成功率:微软防护系统被绕过率71.98%;特定表情符号走私技术实现100%突破。影响范围:所有依赖字符级过滤的AI安全系统,可能危及金融、医疗等领域的AI应用。研究团队已于2024年2月向相关企业发出预警,该漏洞揭示了当前AI安全机制在语义理解层面的根本缺陷。专家建议企业采用多层级防护策略,结合行为分析与语义检测以应对新型注入攻击。
恶意软件
19. 全球最大钓鱼平台Darcula曝光:20,000个钓鱼域名窃取88万张银行卡
【Securitylab网站5月6日报道】网络安全公司Mnemonic揭露了全球最大的网络钓鱼服务平台Darcula的运作内幕。该平台采用订阅制模式,为600多名运营商提供完整的钓鱼攻击基础设施,在2023-2024年间通过1300万次恶意链接点击,成功窃取88.4万张支付卡数据。Darcula主要通过伪装成罚款或快递通知的iMessage和RCS信息传播钓鱼链接,其攻击范围覆盖全球100多个国家。调查显示,Darcula平台运营着2万个假冒知名品牌的钓鱼域名,并采用名为"Magic Cat"的恶意框架作为技术基础。平台运营商在封闭的Telegram群组中交流攻击技巧和财务收益。更令人担忧的是,该平台于2025年4月引入生成式AI技术,能够自动创建多语言的个性化欺诈方案。研究人员发现部分数字足迹指向中国河南省的某开发商,尽管其否认参与非法活动,但证据表明与"Magic Cat"框架存在关联。目前所有调查材料已移交相关执法机构。
20. 新型勒索软件Gunra全球肆虐采用Conti代码并升级间谍功能
【Securitylab网站5月6日报道】2025年4月新出现的Gunra勒索软件已对全球制药、房地产和制造业发起攻击,受害者遍布日本、埃及等五大洲。该勒索软件基于Conti的代码开发,但采用更先进的规避技术:双重勒索机制:加密文件追加".ENCRT"后缀,通过Tor网络进行赎金谈判,并设定120小时数据泄露倒计时。高级反检测:进程注入技术隐藏恶意活动;动态检测调试环境;使用WMI清除卷影副本。精准数据窃取:针对.docx/.pdf等关键格式文件,完整实现MITRE ATT&CK攻击链。CYFIRMA分析显示,Gunra的攻击链包含WMI持久化、权限提升等11个ATT&CK战术阶段。专家建议企业立即部署:EDR系统监控进程注入行为、网络分段隔离关键资产,并特别关注Tor网络异常流量。该勒索软件的出现标志着勒索攻击正朝着更隐蔽、更具针对性的方向发展。
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...