安全简讯（2025.07.24）

1. CISA将SysAid高危XXE漏洞纳入已知被利用目录

7月23日，美国网络安全与基础设施安全局（CISA）近日将影响SysAid IT支持软件的两个高危安全漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在2025年8月12日前完成修复。此次涉及的两个漏洞（CVE-2025-2775和CVE-2025-2776）均由watchTowr Labs研究人员Sina Kheirkhah和Jake Knott于5月披露，CVSS评分达9.3级，属于严重级别。两者均因XML外部实体（XXE）引用限制不当，导致攻击者可通过Checkin处理功能和服务器URL处理功能实施管理员账户接管及敏感文件窃取。技术分析显示，这些漏洞允许攻击者注入恶意XML实体，触发服务器端请求伪造（SSRF）攻击。更危险的是，当与CyberArk去年发现的命令注入漏洞（CVE-2024-36394）结合时，可能升级为远程代码执行（RCE）。SysAid已在3月初发布的24.4.60 build 16版本中修复这三个漏洞，其中包括另一个预认证XXE漏洞（CVE-2025-2777）。尽管目前尚未明确CVE-2025-2775/2776的实际攻击细节及威胁行为者身份，CISA仍基于主动利用证据将其纳入KEV目录。

https://thehackernews.com/2025/07/cisa-warns-sysaid-flaws-under-active.html

2. 黑客伪造美国政府网站实施钓鱼攻击针对教育工作者

7月24日，网络安全领域曝光一起针对美国教育系统的网络钓鱼攻击活动，黑客通过伪造政府网站窃取教育工作者敏感信息，引发行业高度关注。BforeAI旗下PreCrime实验室的威胁研究人员发现，多个模仿美国教育部G5拨款管理系统主页和登录门户的恶意域名正在活跃，这些域名通过视觉设计克隆、虚假登录表单及JavaScript凭证窃取技术，试图诱骗教育机构、拨款管理员及供应商输入账号密码。G5系统作为联邦拨款资金分配的核心平台，涉及学生援助等关键项目，其用户覆盖学校、州政府机构及非营利组织。此次攻击的特殊性在于，攻击者不仅复制了官方网站（g5.gov）的界面，还通过Cloudflare CDN服务隐藏域名真实性，利用其颁发的SSL证书增强钓鱼页面的合法性。研究人员指出，这些域名注册于以滥用合规政策闻名的Hello Internet Corp，且采用analytics.php等脚本模拟登录流程，通过DOM操作混淆自动化检测，最终将受害者引导至/verify/端点进行二次钓鱼或绕过多因素认证。PreCrime实验室已确认六个具有欺骗性的域名，并于7月15日向美国能源部（DOE）提交报告。

https://www.darkreading.com/threat-intelligence/department-of-education-site-phishing-scheme

3. Clorox起诉Cognizant过失致网络攻击，索赔超3.8亿美元

7月23日，消费品巨头高乐氏（Clorox）近日对全球IT服务提供商Cognizant提起诉讼，指控其因重大过失导致2023年8月发生严重网络攻击。根据诉讼文件，Cognizant自2013年起为高乐氏提供IT运营支持，包括服务台管理和身份验证服务，但其在关键安全流程中存在系统性失职。事件起因于2023年8月11日，黑客通过社会工程攻击多次致电Cognizant服务台，冒充高乐氏员工要求重置密码及多因素认证（MFA）。尽管高乐氏明确要求必须验证身份方可执行操作，Cognizant客服人员却未核实来电者身份，直接重置了员工账户及MFA凭证。更严重的是，攻击者随后以相同手段骗取IT安全员工的特权账户访问权限，导致攻击扩散至核心网络。此次入侵被归因于与"Scattered Spider"组织相关的黑客团体，该团体曾以类似手法攻击英国玛莎百货等企业。此次攻击导致高乐氏公司网络全面瘫痪，生产系统停摆，引发大规模产品短缺和供应链中断。据估算，直接补救费用达4900万美元，而业务中断、销售额损失及声誉损害等综合损失高达3.8亿美元。

https://www.bleepingcomputer.com/news/security/hackers-fooled-cognizant-help-desk-says-clorox-in-380m-cyberattack-lawsuit/

4. 每周下载量达280万次的NPM软件包遭恶意软件感染

7月23日，流行NPM包"is"被证实遭黑客入侵并植入后门恶意软件。此次攻击源于维护者John Harband的账户通过钓鱼攻击被劫持，攻击者在6小时内未经授权发布了包含恶意代码的3.3.1至5.0.0版本，导致每周超280万次下载的开发工具沦为攻击跳板。该恶意软件被安全团队Socket鉴定为跨平台JavaScript加载器，通过WebSocket建立持久后门。激活后，恶意程序会窃取主机名、操作系统信息、CPU架构等系统特征，并捕获全部环境变量。更危险的是，其通过动态导入"ws"库建立的WebSocket连接可将每条接收指令直接视为可执行JavaScript，使攻击者获得交互式远程Shell权限，相当于完全控制受感染设备。攻击发生后，NPM官方紧急删除恶意版本，但自动更新机制导致部分开发者在6小时窗口期内被动接收了有毒版本。安全专家建议开发团队立即冻结依赖版本，关闭自动更新功能，并通过锁文件锁定安全版本；维护者需全面重置账户密码并轮换所有关联令牌。

https://www.bleepingcomputer.com/news/security/npm-package-is-with-28m-weekly-downloads-infected-devs-with-malware/

5. 法乌联合行动查封俄语黑客论坛XSS.is

7月23日，应巴黎检察院请求，乌克兰警方在欧洲刑警组织协助下，于2025年7月23日逮捕了俄语黑客论坛XSS.is的疑似管理员，并正式查封该平台。这一行动标志着持续四年的跨国网络犯罪调查取得关键突破，也反映出国际执法机构对暗网犯罪生态的精准打击能力。XSS.is作为俄语区最具影响力的网络犯罪论坛之一，自2013年运营以来积累超5万名注册用户，长期充当恶意软件交易、勒索软件服务（RaaS）推广及受感染系统访问权限贩卖的枢纽。尽管该平台曾于2021年5月宣布禁止勒索软件相关讨论，但法国司法部门调查显示，其背后团伙仍通过加密通信渠道持续协调非法活动，四年间获取至少700万美元非法利润。此次调查始于2021年7月，由巴黎检察院网络犯罪部门牵头，巴黎警察局网络犯罪大队具体执行。法方通过攻破黑客常用的加密通信平台Jabber服务器（thesecure.biz），对犯罪团伙通信实施司法监听，成功截获大量涉及网络攻击、数据勒索的犯罪证据。基于这些线索，执法机构于2021年11月启动刑事调查，并于2024年9月部署线下行动，最终在乌方配合下完成对论坛管理员的抓捕。

https://www.bleepingcomputer.com/news/security/ukraine-arrests-suspected-admin-of-xss-russian-hacking-forum/

6. 法国就业局再遭数据泄露，影响34万求职者

7月23日，法国就业局（France Travail）于2025年7月13日发现其“就业”门户网站发生数据泄露事件，影响约34万求职者，成为该机构两年内第二次重大安全事故。此次泄露暴露的用户信息包括姓名、邮政地址、电子邮箱、电话号码、机构标识符及求职状态，但密码与银行细节未被获取。法国网络安全机构（ANSSI）下属的计算机应急响应小组（CERT-FR）于7月12日率先监测到异常，法国就业局随后于7月22日向用户发送警示邮件，提醒防范网络钓鱼攻击。调查显示，泄露源于伊泽尔省某培训组织关联账户遭信息窃取恶意软件（infostealer）入侵。攻击者通过该账户获取了Kairos应用程序的访问权限，该平台用于追踪求职者培训进度，最终导致数据外泄。法国就业局发言人证实，涉事服务（包括就业门户与Kairos系统）已立即关闭，并计划于7月24日恢复运营。作为补救措施，原定2026年部署的双因素认证（2FA）被提前实施，以强化账户安全。值得关注的是，2024年3月该机构曾因IT系统遭攻击，导致过去20年内注册的4300万用户数据泄露，创下法国公共部门数据泄露规模之最。

https://www.infosecurity-magazine.com/news/france-data-breach-jobseekers/