本文预计阅读时间29分钟
政策法规方面,国务院印发《关于深入实施“人工智能+”行动的意见》;NIST更新SP 800-53控制措施以强化软件维护与网络风险防护。
漏洞预警方面,CISA发布四份有关漏洞和漏洞利用的ICS警告;Apache ActiveMQ攻击者在入侵后修补了关键漏洞;利用SAP NETWEAVER漏洞进行武器化,实现全面系统入;CISA将趋势科技APEX ONE漏洞添加到其已知被利用漏洞目录中;黑客利用APACHE ACTIVEMQ漏洞部署DRIPDROPPER,并修补系统逃避检测;Commvault中发现的预授权漏洞链可导致远程代码执行攻击;Windows Docker Desktop漏洞可导致主机全面入侵; Warlock勒索软件利用SharePoint漏洞进行初始访问和凭证窃取。
安全事件方面,CISA ICS针对英威腾、施耐德电气和丹佛斯设备发布的最新公告; Citrix补丁利用NetScaler零日漏洞; FreePBX服务器遭零日攻击,紧急修复已发布;Docker修复CVE-2025-9074容器逃逸漏洞;海康威视多个漏洞可使攻击者注入可执行命令;思科Nexus 3000和9000系列漏洞可导致攻击者触发DoS攻击;ecurden Unified PAM漏洞可使攻击者绕过身份验证。
风险预警方面,“网络安全事件”导致美国内华达州政府办公和服务机构关闭;电子制造商DATA I/O在勒索软件攻击后关闭了运营系统;持续威胁:盲鹰黑客组织持续攻击哥伦比亚;Interlock 勒索软件来袭:新毒株正在北美和欧洲肆虐。
AI安全及应用方面,PromptLock:首个基于AI的勒索软件出现;新的BruteForceAI工具可自动检测登录页面并执行智能攻击。
2025年8月26日,国务院日前印发《关于深入实施“人工智能+”行动的意见》(以下简称《意见》)。《意见》提出加快实施6大重点行动。一是“人工智能+”科学技术,加速科学发现进程,驱动技术研发模式创新和效能提升,创新哲学社会科学研究方法。二是“人工智能+”产业发展,培育智能原生新模式新业态,推进工业全要素智能化发展,加快农业数智化转型升级,创新服务业发展新模式。三是“人工智能+”消费提质,拓展服务消费新场景,培育产品消费新业态。四是“人工智能+”民生福祉,创造更加智能的工作方式,推行更富成效的学习方式,打造更有品质的美好生活。五是“人工智能+”治理能力,开创社会治理人机共生新图景,打造安全治理多元共治新格局,共绘美丽中国生态治理新画卷。六是“人工智能+”全球合作,推动人工智能普惠共享,共建人工智能全球治理体系。
资料来源:
2025年8月29日,美国国家标准与技术研究院(NIST)发布SP 800-53修订版5.2.0,重点强化软件更新与补丁管理,以应对日益严峻的网络安全风险。此次更新是对今年6月特朗普总统签署的第14306号行政命令的响应,旨在提升关键基础设施和政府系统的韧性。新版目录引入三项新控制措施:其一是日志语法(SA-15),通过统一格式支持安全事件记录和自动化响应;其二是根本原因分析(SI-02(07)),要求追溯并整改更新中的问题;其三是网络弹性设计(SA-24),强调系统具备抵御攻击并保持核心功能的能力。同时,SP 800-53A也作了同步更新,SP 800-53B则为保持一致性发布了新版本。NIST指出,补丁管理需在“快速修复漏洞”与“确保稳定运行”之间权衡,新版控制措施特别强调监控更新组件与整体系统的关系,以减少潜在运营中断风险。此外,NIST通过网络安全与隐私参考工具(CPRT)提供更新目录,支持OSCAL和JSON等机器可读格式,并引入实时公众反馈机制,以提升透明度和更新效率。
资料来源:
http://c81.d1k.top/w/eMFJOj
2025年8月27日,美国网络安全和基础设施安全局(CISA)周二发布了两份新的工业控制系统 (ICS) 安全公告,详细说明了影响英威腾(INVT) VT-Designer和HMITool、施耐德电气Modicon M340模块以及丹佛斯AK-SM 8xxA系列设备的漏洞。 INVT VT-Designer和HMITool设备存在利用不兼容类型(“类型混淆”)漏洞进行越界写入和访问资源的漏洞。该公告指出,这些设备部署在全球商业设施、关键制造、能源、IT和运输系统领域,攻击者“成功利用这些漏洞可能允许攻击者在当前进程的上下文中执行任意代码”。影响INVT VT-Designer和HMITool的漏洞编号为CVE-2025-7223 至 CVE-2025-7231。这些漏洞的CVSS v3.1基础评分均为8.5。CISA披露了一个影响施耐德电气Modicon M340及其相关通信模块的不当输入验证漏洞。“成功利用此漏洞可能使攻击者造成拒绝服务状态。”该漏洞已被编号为CVE-2025-6625。该漏洞的CVSS v4基本评分为8.7。同时,CISA发现丹佛斯AK-SM 8xxA系列存在身份验证不当、命令注入以及系统或配置设置外部控制漏洞。“成功利用这些漏洞可能使远程攻击者绕过身份验证并远程执行任意代码。”受影响的产品包括AK-SM 8xxA系列,其中R4.2之前的版本受到CVE-2025-41450的影响。此外,4.3.1之前的版本受到CVE-2025-41451和CVE-2025-41452的影响。
资料来源:
2025年8月27日,Citrix周二发布了针对NetScaler ADC和网关中三个漏洞的补丁,其中包括一个被野外利用的零日漏洞。该漏洞编号为CVE-2025-7775(CVSS评分9.2),属于内存溢出漏洞,可触发拒绝服务(DoS)攻击。此外,该安全缺陷还可能导致远程代码执行(RCE)。除了零日漏洞之外,Citrix周二还宣布了针对CVE-2025-7776(CVSS 评分为8.8)和CVE-2025-8424(CVSS评分为8.7)的补丁。CVE-2025-7776是一个内存溢出漏洞,会导致意外行为和DoS攻击。CVE -2025-842是一个NetScaler管理界面中访问控制不当的漏洞,可能导致未经授权访问某些文件。Citrix在其公告中警告称,NetScaler ADC和NetScaler Gateway 12.1和13.0版本已停产且不再受支持,敦促用户尽快迁移到受支持的版本。
资料来源:
https://www.securityweek.com/citrix-patches-exploited-netscaler-zero-day/
2025年8月27日,Sangoma FreePBX安全团队发布了一条咨询警告,称FreePBX零日漏洞可能被积极利用,影响暴露于公共互联网的管理员控制面板(ACP)的系统。FreePBX是一个开源专用交换机 (PBX)平台,该漏洞的CVE标识符CVE-2025-57819,CVSS评分为10.0,表示严重程度最高。广泛用于企业、呼叫中心和服务提供商管理语音通信。它基于开源通信服务器Asterisk构建。鉴于存在活跃的漏洞利用,建议用户升级到FreePBX的最新支持版本,并限制公众对管理员控制面板的访问。虽然 FreePBX(以及其他 PBX 平台)尚处于早期阶段,但它长期以来一直是勒索软件团伙、初始访问代理和滥用付费服务的诈骗集团的热门攻击目标。如果您将FreePBX与终端模块一起使用,请假设其已被入侵。立即断开系统连接。延迟只会扩大影响范围。
资料来源:
2025年8月25日,Docker发布了修复程序,以解决影响Windows和macOS版Docker Desktop应用程序的一个严重安全漏洞,该漏洞可能允许攻击者突破容器的限制。该漏洞编号CVE-2025-9074,CVSS 评分为9.3(满分10.0)。该漏洞已在4.44.3版本中得到修复。该漏洞不会影响Linux版本,因为Linux在主机的文件系统上使用命名管道,而不是依赖Docker Engine API的TCP TCP套接字。利用此漏洞最简单的方法是通过威胁行为者控制的恶意容器。也就是说,服务器端请求伪造(SSRF)漏洞可以作为另一种攻击媒介 。
资料来源:
https://thehackernews.com/2025/08/docker-fixes-cve-2025-9074-critical.html
2025年8月29日,海康威视披露了影响其 HikCentral 产品套件多个版本的三个重大安全漏洞,这些漏洞可能使攻击者能够执行恶意命令并获得未经授权的管理访问权限。这些漏洞的CVE标识符分别为CVE-2025-39245、CVE-2025-39246和CVE-2025-39247。最严重的漏洞(CVE-2025-39247)影响HikCentral Professional版本V2.3.1至V2.6.2,其CVSS v3.1基本评分高达8.6。海康威视已发布安全补丁修复所有三个漏洞。HikCentral Master Lite用户应升级至V2.4.0版本,FocSign用户则需升级至V2.3.0版本。最关键的更新涉及HikCentral Professional,用户必须安装V2.6.3或V3.0.1才能修复严重的访问控制绕过漏洞。由于CVE-2025-39247的严重性等级较高且可能在未经身份验证的情况下进行远程利用,因此组织应优先修补该漏洞。
资料来源:
https://cybersecuritynews.com/multiple-hikvision-vulnerabilities/
2025年8月28日,思科发布了高危安全公告,提醒客户注意思科Nexus 3000和9000系列交换机的NX-OS软件的中间系统到中间系统(IS-IS)功能中的一个严重漏洞。该漏洞编号为CVE-2025-20241,CVSS基本评分为7.4,它允许未经身份验证的第2层相邻攻击者发送畸形的IS-IS数据包,从而重新启动IS-IS进程,有可能重新加载设备并导致拒绝服务(DoS)情况。该漏洞源于解析入口 IS-IS 数据包时输入验证不足。攻击者必须与目标交换机位于同一广播域,并通过传输特制的IS-IS L1或L2数据包来利用此漏洞。目前没有临时的解决方法;但是,启用IS-IS的区域身份验证可以通过要求攻击者在发送恶意数据包之前进行身份验证来降低风险。思科已发布免费软件更新以修复此漏洞。持有有效服务合同的客户请从思科支持和下载门户下载并安装已修复的版本。对于没有服务合同的用户,可以通过联系思科TAC并提供咨询URL和产品序列号来获得必要的补丁。
资料来源:
2025年8月27日,网络安全研究人员在Securden Unified PAM中发现了一个严重的安全漏洞,该漏洞允许攻击者完全绕过身份验证机制并未经授权访问敏感凭据和系统功能。该漏洞被指定为CVE-2025-53118,CVSS评分为9.4,代表特权访问管理解决方案中发现的四个严重安全问题之一,这些问题可能导致系统完全受损。该身份验证绕过漏洞利用了Securden Unified PAM处理会话管理方式中的一个根本缺陷。除了绕过主要身份验证之外,研究人员还发现了三个加剧了安全风险的漏洞。其中包括未经身份验证的不受限制的文件上传缺陷(CVE-2025-53119)、文件上传功能中的路径遍历漏洞(CVE-2025-53120) 以及影响Securden云网关服务的共享SSH密钥基础设施问题(CVE-2025-6737)。Securden在11.4.4版本中解决了这些漏洞,并强调立即更新所有受影响的安装至关重要,以防止这些严重的安全漏洞被潜在利用。
资料来源:
2025年8月27日,美国内华达州遭遇“网络安全事件”,导致政府办公室关闭、数字服务下线。州政府办公室目前不提供面对面服务,州长办公室警告称,州政府网站和电话线路可能会间歇性地不可用。目前尚无证据表明任何个人身份信息在此次事件中被泄露。然而,内华达州居民已被告知要警惕那些要求提供个人信息或付款的未经请求的电话、电子邮件或短信,尤其是那些自称是州议员的人。内华达州的安全事件发生在明尼苏达州圣保罗市的系统检测到网络攻击大约一个月后。这些事件发生之际,勒索软件攻击活动正日益频繁地瞄准政府系统。Comparitech记录到, 2025年上半年针对政府系统的勒索软件攻击同比增长了60%。此类攻击可能会使关键服务陷入瘫痪,这表明增强政府网络的弹性非常重要。
资料来源:
http://gj1.d1k.top/w/L21yk2
2025年8月25日,电子产品制造商Data I/O向美国证券交易委员会报告了勒索软件攻击,该公司被迫下线运营系统。Data I/O是闪存、微控制器和逻辑设备的手动和自动编程系统和安全配置技术的领先提供商。2025年8月16日,Data I/O公司遭受勒索软件攻击,部分内部IT系统受到影响。公司迅速启动事件响应计划,下线部分系统,并在网络安全专家的协助下开始调查事件。此次攻击暂时中断了包括通信、运输、接收和制造在内的运营。部分系统已恢复运行,但目前尚无全面恢复的明确时间表。Data I/O表示,将根据需要通知监管机构和任何受影响的个人,目前调查仍在进行中,以确定攻击的总体范围和影响。该公司称,勒索软件攻击的恢复和咨询成本可能会对其财务业绩和运营产生重大影响。
资料来源:
https://www.ic3.gov/PSA/2025/PSA250820?&web_view=true
2025年8月28日,Insikt Group发布了有关TAG-144(又名Blind Eagle、AguilaCiega、APT-C-36或APT-Q-98)的最新发现,详细介绍了2024年至2025年期间活跃的五个不同活动集群。这些集群揭示了一个适应性强且持续存在的威胁组织,该组织持续以哥伦比亚地方、市政和联邦政府机构为目标,同时也影响私人和非政府实体。Insikt Group指出,TAG-144“似乎维护着一个广泛的运营基础设施,包括虚拟专用服务器 (VPS)、哥伦比亚ISP范围内的IP地址以及似乎充当VPN服务器的服务器。”虽然“盲鹰”组织偶尔会在厄瓜多尔、智利、巴拿马和北美的西班牙语地区开展行动,但其主要目标仍然是哥伦比亚。
资料来源:
2025年8月29日,AhnLab安全应急响应中心(ASEC)发布了针对Interlock勒索软件组织的最新研究报告,该组织自2024年底以来一直对北美和欧洲多个行业和关键基础设施部门的组织进行持续攻击。与许多现代勒索软件团伙一样,Interlock 采取双重勒索策略——加密文件并窃取敏感数据,然后威胁受害者若拒绝支付,就将数据公开。他们的暗网泄密网站 (DLS) 积极发布从不合规组织窃取的数据。该勒索软件以其复杂的加密模型而闻名,如果没有攻击者的私钥,几乎不可能进行恢复。赎金通知将受害者引导至基于Tor的谈判门户,并警告如果发生数据泄露,可能会违反GDPR、HIPAA、GLBA和其他合规法规。AhnLab强调强大的备份和恢复策略的重要性,并指出:“为了防范勒索软件,用户必须将重要数据备份到与服务网络分离的异地,并对备份存储进行访问控制和定期恢复演习。”
资料来源:
2025年8月28日,Check Point Research详细介绍了ZipLine,这是一场高级社会工程网络钓鱼攻击活动,主要针对美国制造业和供应链关键型企业。攻击者利用看似合法的业务交互,秘密植入定制的恶意软件。成功的攻击可能导致知识产权被盗、勒索软件勒索、通过账户接管或企业电子邮件入侵进行金融欺诈,以及关键供应链的严重中断。Check Point报告指出ZipLine是一场以经济利益为目的的网络钓鱼活动,展现了现代威胁行为者日益复杂的策略。“与典型的网络钓鱼流程不同,威胁行为者强迫受害者进行首次联系。企业提交‘联系我们’表单使其能够无缝集成到合法业务流程中,从而利用信任、耐心和合法服务来逃避怀疑。通过使用多阶段有效载荷、内存执行和基于 DNS 的 C2 通道,该活动在整个感染链中实现了隐蔽性和适应性。”
资料来源:
http://cu4.d8k.top/w/ev319F
2025年8月28日,ETSCOUT Systems的最新研究证实,分布式拒绝服务(DDoS)攻击持续主导数字战场,对全球关键基础设施构成前所未有的风险。与此同时,人工智能(AI)的整合、持续不断的黑客行动以及民族国家行为体正日益将DDoS攻击武器化。该公司还披露,今年上半年全球共发生超过800万起DDoS攻击,其中仅欧洲、中东和非洲地区就发生了超过320万起。这些攻击已演变为施加地缘政治影响的精确制导工具,能够破坏关键基础设施的稳定。NETSCOUT报告指出,DDoS威胁的不断演变需要同样复杂的防御措施。“随着DDoS日益成为主要网络武器,企业必须采取主动的、情报驱动的策略,并采用经过验证的解决方案,在各个方面都领先于攻击者。”
资料来源:
2025年8月28日,黑客在新一轮供应链攻击中窃取了数千个凭证,目标是使用流行的Nx构建系统包的JavaScript开发人员。Nx每周下载量超过400万次,是一个开源的、与技术无关的构建平台,允许开发人员大规模管理代码库。作为新发现的供应链攻击(称为s1ngularity)的一部分,黑客窃取了Nx NPM令牌,从而允许他们将软件包的恶意版本发布到注册表。网络安全公Wiz指出,Nx版本 21.5.0、20.9.0、21.6.0、20.10.0、21.7.0、20.11.0、21.8.0和 20.12.0都包含一个安装后脚本,该脚本会在Linux和macOS系统上执行恶意telemetry.js文件。GitGuardian指出:“在供应链攻击可以在发现后数小时内利用泄露的凭证进行武器化的时代,快速检测暴露、验证影响并在数千个非人类身份之间执行协调撤销的能力已成为弹性软件交付的新基准。”
资料来源:
http://ra2.d8k.top/w/KQwCE3
2025年8月26日,美国网络安全机构CISA周一警告称,Git最近的一个漏洞已被利用进行攻击,并敦促其立即修补。该漏洞编号为CVE-2025-48384(CVSS评分为8.1),是指在克隆使用“递归”标志的子模块存储库期间进行的任意文件写入。存在该问题的原因是,在读取配置值时,Git会删除尾随的回车符(CR),并且在写入时不会引用它们。CISA已将CVE-2025-48384添加到其已知被利用漏洞( KEV )目录中,敦促联邦机构根据具有约束力的操作指令(BOD) 22-01的要求,在9月15日之前对其进行修补。建议所有组织查看CISA的KEV列表,并针对其识别的所有安全缺陷应用推荐的补丁和缓解措施。目前还没有任何公开报告描述利用CVE-2025-48384的攻击。
资料来源:
https://www.securityweek.com/organizations-warned-of-exploited-git-vulnerability/
2025年8月25日,反威胁小组(CTU)的研究人员调查了一起入侵事件,该事件涉及部署合法开源Velociraptor数字取证和事件响应(DFIR)工具。在这起事件中,威胁行为者使用该工具下载并执行 Visual Studio Code,意图可能是创建一条通往攻击者控制的命令与控制(C2)服务器的隧道。在Visual Studio Code中启用隧道选项会触发Taegis™ 警报,因为该选项可以允许远程访问和远程代码执行,并且过去已被多个威胁组织滥用。各组织机构应监控并调查未经授权使用Velociraptor的情况,并将此类攻击视为勒索软件的前兆。部署端点检测和响应系统、监控意外工具和可疑行为,并遵循保护系统和生成备份的最佳实践,可以减轻勒索软件威胁。如果在勒索软件部署之前发现攻击,其影响将大大降低。
资料来源:
http://x82.d8k.top/w/k0Nwne
2025年8月27日,微软警告称,被追踪为Storm-0501的威胁行为者已经改进了其行动方式,从使用勒索软件加密设备转向专注于基于云的加密、数据盗窃和勒索。黑客现在滥用原生云功能来窃取数据、擦除备份和破坏存储帐户,从而无需部署传统的勒索软件加密工具即可对受害者施加压力并进行勒索。在微软最近观察到的攻击中,黑客利用Microsoft Defender部署中的漏洞入侵了多个Active Directory域和Entra租户。在窃取数据、破坏备份或加密云数据后,Storm-0501进入勒索阶段,通过Microsoft Teams使用被盗账户联系受害者并提出赎金要求。微软的报告分享了保护建议、Microsoft Defender XDR检测和搜索查询,可以帮助查找和检测该威胁行为者使用的策略。随着勒索软件加密器在加密设备之前就被越来越多地阻止,我们可能会看到其他威胁行为者从内部加密转向基于云的数据盗窃和加密,这可能更难检测和阻止。
资料来源:
http://7p1.d1k.top/w/SqUkP9
2025年8月28日,威胁行为者利用合法的开源Velociraptor数字取证和事件响应(DFIR)工具来建立隐蔽的远程访问通道。这代表了滥用远程监控和管理(RMM)实用程序的长期策略的演变,攻击者现在重新利用DFIR框架来最大限度地减少自定义恶意软件的部署并逃避检测。根据Sophos的调查,这种技术绕过了许多传统的安全控制,因为Visual Studio Code中的隧道功能经常被开发人员合法地用于远程协作。作为响应,CTU分析师向受影响的组织提供了缓解指导,使其能够快速隔离受感染的主机。这一遏制措施阻止了攻击者实现其部署勒索软件的最终目标。通过将未经授权使用事件响应工具视为高风险事件并采取分层检测和预防措施,组织可以显著减少此类攻击的影响并在对手部署勒索软件之前阻止他们。
资料来源:
https://cybersecuritynews.com/velociraptor-incident-response-tool-abused/
2025年8月26日,网络安全公司ESET的研究人员声称已经发现了第一款野生的人工智能勒索软件。名为PromptLock的恶意软件本质上是对大型语言模型进行硬编码提示注入攻击,检查本地文件系统、窃取文件并加密数据。该恶意软件以Golang编程代码编写,通过Ollama(一种用于与大型语言模型交互的开源 API)和OpenAI的开放权重模型(gpt-oss:20b)的本地版本发送请求来执行任务。这些任务包括检查本地文件系统、泄露文件以及使用SPECK 128位加密为Windows、Mac和Linux设备加密数据。人工智能安全研究人员日益重视企业和组织在其网络中部署人工智能“代理”的潜在风险,并指出这些程序必须获得高级别的管理权限才能执行其工作,容易受到快速注入攻击,并可能对其所有者造成不利影响。由于该恶意软件依赖于AI生成的脚本,Cherepanov表示PromptLock与其他勒索软件之间的一个区别是“每次执行的妥协指标 (IoC)可能有所不同”。
资料来源:
http://d21.d1k.top/w/xD3nVv
2025年8月27日,BruteForceAI是由Mor David开发的创新渗透测试框架,它将大型语言模型(LLM)与浏览器自动化相结合,可以自主识别登录表单并进行复杂的暴力攻击。通过将AI驱动的表单分析与逃避技术和全面日志记录相结合,BruteForceAI简化了凭证测试工作流程,使安全团队能够快速有效地发现薄弱的身份验证机制。BruteForceAI明确设计用于授权渗透测试、安全研究和教育目的;对未经授权系统的滥用属于非法且不道德行为。组织在部署前应确保获得适当的范围和权限。作者对非法使用不承担责任。BruteForceAI通过自动化表单检测和利用AI驱动的智能和规避技术丰富暴力破解方法,标志着凭证测试工具集的重大发展,使红队和安全审计员能够快速、准确地识别身份验证弱点。
资料来源:
https://cybersecuritynews.com/bruteforceai-penetration-testing-tool/
安帝科技丨ANDISEC
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...