苹果同意支付9500万美元和解Siri窃听诉讼案；钢铁巨头Nucor遭受网络攻击，多地生产被迫中断 | 牛览

•吉利银河App半月内两次出现车控故障

•苹果同意支付9500万美元和解Siri窃听诉讼案，用户最高可获100美元赔偿

•拒绝简单密码，FTP攻击中"admin"和"123456"仍是最常用

•钢铁巨头Nucor遭受网络攻击，多地生产被迫中断

•钓鱼攻击新趋势：合法域名、服务器端验证与定制化欺骗页面

•SAP修复第二个被利用的零日漏洞，攻击者已入侵多家财富500强企业

•Ivanti紧急修复两个已被黑客利用的EPMM漏洞

•Adobe紧急修复Illustrator严重漏洞，可能导致系统被完全控制

•Fortinet修复FortiVoice系统已遭利用的关键零日漏洞

•Android Enterprise推出Device Trust增强移动安全

5月13日，多位车主反馈吉利银河App出现服务问题，导致车辆远程控制和账号登录等功能无法使用。

5月13日，吉利银河智能车联系统发生大规模崩溃，导致全国范围内超万名车主遭遇远程车控功能失效，部分用户因未携带实体钥匙被困车外。据多位车主反馈，早高峰期间，吉利银河App突然出现"无法连接车辆"、"指令发送失败"等问题，涉及远程解锁、启动、空调控制等核心功能。事件发生后，"吉利银河App崩溃"话题登上微博汽车类热搜。

吉利银河官方随后发布说明称，此次故障由"运营服务商网络波动问题"引起，并表示已紧急处理。当日深夜，官方再次通报称服务已陆续恢复，但由于网络故障影响范围较大，预计在次日7:00前才能完成全量服务恢复。

值得注意的是，这已是近半个月内吉利银河App车控系统第二次出现异常。4月29日，吉利银河曾发布公告称，"由于云服务器出现异常波动"，导致部分用户App车控登录和使用出现异常。两起事故均发生在App系统维护后不久，4月15日凌晨，吉利银河App曾进行系统维护。

原文链接：

https://mp.weixin.qq.com/s/cYuheVmQCzJGPoRnfYFkXg

苹果公司已同意支付9500万美元，以和解一项集体诉讼，该诉讼指控其语音助手Siri在未经用户许可的情况下录制私人对话。在2014年9月至2024年12月期间在美国拥有支持Siri的苹果设备，并经历过Siri意外激活并录制私人对话的用户可能有资格获得赔偿。

该诉讼最初由包括Fumiko Lopez在内的消费者于2019年提起，声称Siri有时会意外激活并录制私人谈话。这些录音随后据称被分享给外部公司，导致在苹果搜索结果和Safari网络浏览器中出现定向广告。尽管苹果否认任何不当行为或非法活动，但他们决定今年早些时候和解此案。部分符合条件的用户已收到标题为"Lopez Voice Assistant Class Action Settlement"的电子邮件，其中包含索赔ID和确认码。这些用户可以直接在和解网站上提交索赔，截止日期为2025年7月2日。

根据和解协议，每人获得的金额将取决于提交的有效索赔数量。和解网站显示，每台支持Siri的设备最高可获得20美元，每位索赔人最多可申报5台设备，总计最高100美元。最终批准听证会定于2025年8月1日举行，付款将在此后处理。

原文链接：

https://hackread.com/apple-95-million-siri-snooping-lawsuit-how-to-apply/

Specops最新研究发现，尽管存在更复杂的黑客技术，但简单密码仍是FTP（文件传输协议）服务器面临的主要安全威胁。研究团队分析了针对TCP端口21的实时攻击，发现"admin"（907次）、"root"（896次）和"123456"（854次）是攻击者最常尝试的三个密码。

研究显示，54%的尝试密码仅包含数字或小写字母，只有1.6%同时使用大小写字母、数字和特殊字符的组合。这意味着实施要求包含各类字符的密码策略可以阻止近99%的当前FTP攻击。长度分析表明，87.4%的攻击密码长度在6至10个字符之间。这支持了NIST最新建议：优先使用超过15个字符的密码或密码短语，同时保持一定复杂度，以有效抵御暴力破解。研究还对比了FTP和RDP（远程桌面协议）攻击，发现由于FTP通常以明文传输凭证，成为攻击者窃取文件或植入恶意软件的首选目标。

Specops团队建议组织实施阻止弱密码选择的策略，并鼓励使用15个字符以上且具有一定复杂度的密码短语。

原文链接：

https://hackread.com/admin-123456-most-used-passwords-ftp-attacks/

美国最大钢铁生产商Nucor Corporation近日遭遇网络安全事件，被迫将部分网络系统下线并实施安全隔离措施。根据该公司向美国证券交易委员会(SEC)提交的8-K文件显示，此次事件涉及未授权第三方访问公司特定信息技术系统。

Nucor在发现入侵后迅速采取行动，启动了事件响应计划，主动使受影响系统离线，并实施了其他隔离、修复和恢复措施。该公司已通知执法部门，并聘请外部网络安全专家协助调查。

此次事件导致Nucor多个地点的生产暂时中断，尽管公司表示正在逐步恢复生产运营。目前，尚无关于攻击日期或类型的详细信息，也不清楚事件是否涉及数据盗窃或加密。截至发稿时，尚无勒索软件组织宣称对此次攻击负责。

原文链接：

https://www.bleepingcomputer.com/news/security/steel-giant-nucor-corporation-facing-disruptions-after-cyberattack/

Keep Aware威胁研究团队近期观察到一起精密的钓鱼攻击事件。该攻击巧妙结合了合法基础设施、精准电子邮件验证和规避检测的投递技术，展示了攻击者如何滥用受信任域名并利用服务器端验证机制筛选目标。

研究人员通过Keep Aware浏览器安全解决方案的静默模式，完整记录了攻击过程。攻击始于一个有9年历史的合法域名（一家销售帐篷的网站），该网站被黑客入侵并在"/memo/home.html"路径上托管了恶意表单页面。页面声称有"机密文档"已与用户共享，并敦促用户输入电子邮件以下载付款PDF。该恶意页面包含基本的反分析保护，如禁用右键菜单和阻止常用键盘快捷键。其表单处理代码能够根据受害者到达页面的方式动态处理电子邮件输入。如果钓鱼链接在URL的锚部分（"#"符号后）包含受害者的电子邮件地址，JavaScript代码会自动提取并将其插入表单。

提交表单后，用户会被重定向到另一个恶意的.workers.dev子域，同时电子邮件和时间戳被发送到API端点。用户随后需要通过Cloudflare CAPTCHA验证，这一策略可防止自动扫描器分析最终的钓鱼页面。系统会根据提交的电子邮件类型提供不同响应：个人邮箱会返回空白页面；一般企业邮箱会显示基本Microsoft登录页面；而目标列表中的特定企业邮箱则会收到定制的钓鱼页面，包含公司徽标、品牌背景和组织帮助台标识。

原文链接：

https://www.bleepingcomputer.com/news/security/focused-phishing-attack-targets-victims-with-trusted-sites-and-live-validation/

SAP于5月12日发布安全更新，修复了一个在最近攻击中被利用的SAP NetWeaver服务器零日漏洞（CVE-2025-42999）。该漏洞是在调查另一个于4月修复的SAP NetWeaver Visual Composer未经身份验证的文件上传漏洞（CVE-2025-31324）时被发现的。

安全公司ReliaQuest在4月首次检测到利用CVE-2025-31324的零日攻击，报告称威胁行为者通过未授权文件上传漏洞入侵客户系统后，向公共目录上传JSP网页后门和Brute Ratel红队工具。被入侵的实例均已完全打补丁，表明攻击者使用了零日漏洞利用方法。

网络安全公司Onyphe揭示，大约20家财富500强/全球500强公司存在漏洞，其中许多已被入侵。当时有1,284个易受攻击的实例暴露在网上，其中474个已被入侵。威胁行为者自2025年1月以来一直在攻击中链式利用这两个漏洞。

原文链接：

https://www.bleepingcomputer.com/news/security/sap-patches-second-zero-day-flaw-exploited-in-recent-attacks/

Ivanti公司近日为其企业移动设备管理(MDM)解决方案发布了紧急补丁，此前该公司获悉有黑客在野攻击中利用两个此前未知的漏洞（CVE-2025-4427和CVE-2025-4428）。这两个漏洞分别具有中等和高等严重性，但当它们在攻击链中组合使用时，可实现对Ivanti Endpoint Manager Mobile (EPMM)的未授权远程代码执行。

这两个漏洞位于产品使用的两个开源库中。其中，CVE-2025-4428是一个任意代码执行问题，需要身份验证才能被利用；CVE-2025-4427是身份验证绕过，允许未经身份验证的攻击者访问受保护资源。当这两个漏洞组合使用时，身份验证绕过正好可以消除第一个漏洞的限制因素，使其从高危变为严重级别，因为它使攻击者无需身份验证即可利用代码执行漏洞。

Ivanti已发布EPMM版本11.12.0.5、12.3.0.2、12.4.0.2和12.5.0.1，其中包含对这两个漏洞的修复。如果无法立即升级到已修补版本，Ivanti建议使用内置的Portal ACLs功能或外部WAF过滤对API的访问，以减轻攻击风险。

原文链接：

https://www.csoonline.com/article/3985912/ivanti-patches-two-epmm-flaws-exploited-in-the-wild.html

Adobe近日发布了针对其流行设计软件Illustrator的关键安全更新，修复了一个可能允许攻击者在目标系统上执行任意代码的严重漏洞（CVE-2025-30330）。该安全公告详细说明了一个影响Windows和macOS平台多个版本软件的基于堆的缓冲区溢出漏洞。

安全研究人员将该漏洞归类为基于堆的缓冲区溢出漏洞(CWE-122)，如果成功利用，可能导致完全的系统入侵。Adobe安全公告称，该漏洞可能允许攻击者在当前用户的上下文中执行任意代码。根据网络安全专家的说法，利用此漏洞需要用户交互，特别是受害者必须打开攻击者精心制作的恶意文件。恶意行为者通过电子邮件附件、受感染的网站或其他方式分发特制的Illustrator文件。远程攻击者可以诱骗受害者打开特制文件，触发基于堆的缓冲区溢出并在目标系统上执行任意代码。

受影响的软件版本包括：

• Windows和macOS上的Illustrator 2025 29.3及更早版本；

• Windows和macOS上的Illustrator 2024 28.7.5及更早版本。

Adobe已在以下更新版本中解决了此漏洞：

• Illustrator 2025 29.4及以上版本；

• Illustrator 2024 28.7.6及以上版本。

安全专家强烈建议用户通过Creative Cloud桌面应用程序的更新机制立即更新其Illustrator安装。该公司表示尚未发现针对此漏洞的野外利用，但随着细节公开，情况可能迅速改变。

原文链接：

https://cybersecuritynews.com/adobe-illustrator-vulnerability/

Fortinet于5月13日发布安全更新，修复了一个在FortiVoice企业电话系统攻击中被利用的关键远程代码执行零日漏洞（CVE-2025-32756）。

该安全漏洞是一个栈溢出漏洞，同时影响FortiMail、FortiNDR、FortiRecorder和FortiCamera产品。根据安全公告，未经身份验证的远程攻击者可通过精心构造的HTTP请求执行任意代码或命令。

Fortinet产品安全团队基于攻击者活动发现了该漏洞。攻击者使用了多个IP地址发起攻击，包括198.105.127[.]124、43.228.217[.]173等六个地址。被入侵系统的一个明显特征是启用了默认关闭的"fcgi调试"设置。管理员可通过运行命令"diag debug application fcgi"来检查该设置是否被开启，如显示"general to-file ENABLED"则表明系统可能已被入侵。调查过程中，Fortinet观察到攻击者在被黑设备上部署恶意软件，添加用于收集凭证的定时任务，并投放扫描受害者网络的脚本。对于无法立即安装更新的客户，Fortinet建议在易受攻击的设备上禁用HTTP/HTTPS管理界面作为临时缓解措施。

上个月，Shadowserver基金会发现超过1.6万台暴露在互联网上的Fortinet设备被一种新型符号链接后门入侵，该后门允许攻击者对之前攻击中被入侵的设备上的敏感文件进行只读访问。

原文链接：

https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-zero-day-exploited-in-fortivoice-attacks/

Android Enterprise近日推出了新安全解决方案Device Trust，旨在加强Android设备的移动安全性。该方案基于零信任原则设计，能够在授予敏感工作数据访问权限前，实时验证任何Android设备的安全状态，无论是企业管理设备还是个人设备。

Device Trust持续监控多项信任指标，包括操作系统版本、安全补丁级别和屏幕锁定强度等。该平台与现有安全工具无缝集成，支持CrowdStrike、Okta、Omnissa、Urmobo和Zimperium等安全提供商，提供超过20个Android特定信号，覆盖企业移动性和统一终端管理(EMM/UEM)、身份提供商(IdPs)、终端检测和响应(EDR)或移动威胁防御(MTD)以及安全信息和事件管理(SIEM)系统。

该服务适用于Android 10及以上版本。无论员工使用企业还是个人Android设备，Device Trust都能提供一致的安全检查。组织只需安装支持的合作伙伴安全应用程序，即可验证设备状态，而无需EMM注册。这对临时工作人员和承包商特别有用，他们可以立即安全访问业务应用，工作完成后访问权限可立即撤销。

原文链接：

https://www.infosecurity-magazine.com/news/android-enterprise-launches-device/