| 安全资讯导视 |
|---|
• 交通运输部印发《交通运输数据安全管理办法》 |
• 伊朗利用电信漏洞实时监视美军位置,疑似用于作战打击行动 |
• 电池遭实时篡改致使电动车行驶中抛锚,印度首都惊现多起“恶作剧”攻击 |
1.SonicWall SMA1000服务器端请求伪造漏洞安全风险通告
7月17日,奇安信CERT监测到SonicWall SMA1000服务器端请求伪造漏洞(CVE-2026-15409)在野利用,该漏洞源于Work Place界面对用户输入的URL参数验证不充分,攻击者可构造恶意请求诱导设备向非预期目标地址发起HTTP/HTTPS连接。成功利用可能导致敏感信息泄露、内部网络探测或作为跳板攻击内网其他关键系统,甚至结合其他漏洞实现远程代码执行。目前该漏洞PoC和技术细节已公开,鉴于该漏洞已发现在野利用,建议客户尽快做好自查及防护。
2.Windows HTTP.sys整数溢出漏洞安全风险通告
7月14日,奇安信CERT监测到官方修复Windows HTTP.sys 整数溢出漏洞(CVE-2026-47291),该漏洞源于 Microsoft Windows 操作系统的 HTTP.sys 内核驱动程序存在整数溢出漏洞。HTTP.sys 在维护缓冲区引用数组时,对数组容量字段(capacity)的增长操作缺少溢出检查,该字段为 16 位无符号整数,当数组扩容次数达到约 13107 次时,capacity 从 0xFFFB 增加 5 后变为 0x10000 并截断为 0x0000,导致后续仅分配 40 字节内存却复制约 524KB 数据。攻击者无需认证,只要能够访问目标系统的 HTTPS 服务,即可通过 TLS 连接发送包含超过 65536 个独立 TLS 记录的特制 HTTP/1.x 请求,每个 TLS 记录携带一个完整的 HTTP 头行,持续即可触发溢出。该漏洞可造成系统蓝屏崩溃(拒绝服务),在特定内存布局条件下可实现内核级别的远程代码执行,攻击者可进一步获取 SYSTEM 权限完全控制目标系统。目前该漏洞PoC和技术细节已公开,该漏洞利用条件较为苛刻,实施攻击门槛高,综合来看被大规模利用的风险较低,客户可结合自身业务情况有序开展自查与防护工作。
1.SonicWall SMA1000 服务器端请求伪造漏洞(CVE-2026-15409)&SonicWall SMA1000 代码注入漏洞(CVE-2026-15410)
7月15日,SonicWall 警告称,威胁行为者一直在利用 SMA1000 的两个漏洞(编号分别为 CVE-2026-15409 和 CVE-2026-15410)进行零日攻击,并敦促客户安装新发布的安全更新。
CVE-2026-15409 是 SMA1000 设备工作场所接口中的一个严重(CVSS 10.0)服务器端请求伪造 (SSRF) 漏洞,允许远程未经身份验证的攻击者强制设备向非预期位置发出请求。CVE-2026-15410 是 SMA1000 设备管理控制台中一个高危(CVSS 7.2)的身份验证后代码注入漏洞,该漏洞可能允许远程经过身份验证的管理员执行任意操作系统命令。
虽然 CVE-2026-15410 需要管理员权限,但 SonicWall 给该漏洞的 CVSS 评分为 10.0。SonicWall 表示,他们调查了多起事件,并确认这两个漏洞正被积极利用。
然而,该公司尚未透露攻击者是否将这些攻击串联起来。这些漏洞影响运行平台热修复版本 12.4.3-03245、12.4.3-03387、12.4.3-03434、12.5.0-02283、12.5.0-02624 和 12.5.0-02800 的 SMA1000 型号 6210、7210 和 8200v。平台热修复版本 12.4.3-03453 和 12.5.0-02835 及更高版本中提供了修复程序。 SonicWall 表示,这些漏洞不会影响在 SonicWall 防火墙或 SMA 100 系列产品线上运行的 SSL-VPN。
SonicWall 强烈建议升级到最新的热修复版本,如果发现设备已被入侵,该公司建议管理员重新映像物理设备或重新部署虚拟设备,更改所有用户和管理员密码,并重置 TOTP 令牌。SonicWall 还指出,除了安装热修复程序之外,没有其他方法或缓解措施可以解决这些缺陷。
参考链接:
https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-sma1000-flaws-exploited-in-zero-day-attacks-patch-now/
2.Microsoft SharePoint Server 权限提升漏洞(CVE-2026-56164)&Microsoft SharePoint 远程代码执行漏洞(CVE-2026-58644)
7月15日,美国网络安全和基础设施安全局 (CISA) 敦促立即加强微软 SharePoint 服务器的安全防护,原因是最近披露了零日漏洞。
最新被利用的漏洞是 CVE-2026-56164,这是一个权限提升缺陷,可以在无需身份验证的情况下远程利用,该问题已通过微软2026年7月的“补丁日”更新得到解决。
正如发布的公告中详细介绍的那样,攻击者正在利用这些漏洞绕过身份验证、获取远程代码执行权限,并进行渗透后活动,包括窃取互联网信息服务机器密钥和获得持久性,以便在受感染的系统上部署恶意软件。美国网络安全机构还指出了另外两个 SharePoint Server 漏洞(CVE-2026-55040 和 CVE-2026-58644),微软已于周二修复了这些漏洞,并将其标记为攻击者的理想目标,尽管目前尚未发现这些漏洞已被实际利用。
互联网安全监督组织 Shadowserver 目前跟踪近 10,000 台暴露在互联网上的 Microsoft SharePoint 服务器,其中超过800台尚未针对 CVE-2026-32201 和 CVE-2026-45659 漏洞进行修补。目前尚不清楚其中有多少容易受到 CVE-2026-56164 攻击,或者有多少是蜜罐。
CISA 敦促安全团队密切监控受影响的服务器,以发现被利用的迹象,并建议应用微软最新的补丁,验证安装是否成功,缩短补丁周期,以及启用 Windows 反恶意软件扫描接口 (AMSI) 集成 SharePoint Web 应用程序,并使用 Microsoft Defender 防病毒 (MDAV) 检测来检测和修复入侵。
其他加固措施包括在轮换 IIS 机器密钥之前查找和修复入侵痕迹、建立定制日志记录以监控异常活动、避免 SharePoint 服务器直接暴露于互联网(除非必要)以及查看 Microsoft 的官方 SharePoint Server 安全加固指南。
此外,建议阻止外部访问 SharePoint 管理中心,并将服务器场和数据库通信限制在必要的系统范围内。如果必须对外开放,CISA 还建议将服务器置于第7层反向代理或类似的应用程序层安全控制措施之后。
参考链接:
https://www.bleepingcomputer.com/news/security/cisa-warns-admins-to-patch-actively-exploited-sharepoint-flaws/
3.Active Directory 联合身份验证服务权限提升漏洞(CVE-2026-56155)
7月15日,微软发布了针对 CVE-2026-56155 的安全更新,这是一个在 Active Directory 联合身份验证服务 (AD FS) 中被积极利用的权限提升漏洞。
该漏洞允许具有低权限的已认证本地攻击者获得受影响系统的管理员级别访问权限。CVE-2026-56155 源于 AD FS 中访问控制粒度不足的问题,AD FS 是微软的一项服务,组织通常使用它来实现单点登录和联合身份验证。微软已将此漏洞评为“重要”级别,并确认已发现该漏洞被实际利用。该漏洞的 CVSS 3.1 基本评分为7.8,可利用性评估表明存在功能性利用代码。攻击向量被评为本地攻击,所需复杂度低、权限低,且无需用户交互。
虽然攻击者必须已经拥有对易受攻击主机的认证访问权限,但成功的利用可以完全破坏该系统的机密性、完整性和可用性。一旦攻击者成功利用 CVE-2026-56155,他们就可以获得管理员权限,这使得该漏洞在 AD FS 基础架构连接到 Active Directory 域、身份服务和敏感应用程序的企业环境中尤为重要。
AD FS 服务器是主要攻击目标,因为它们处理身份验证请求并颁发用于访问企业服务的安全令牌。拥有 AD FS 服务器本地管理权限的攻击者可以更改联合设置、访问敏感的身份验证材料、关闭安全控制,或者使用受感染的主机作为进一步网络入侵的跳板。此漏洞属于 CWE-1220 范畴,该漏洞与访问控制粒度不足有关。此类漏洞指的是软件未能以必要的细粒度级别应用授权限制,从而允许权限有限的用户执行本应需要更高权限才能执行的操作。
微软于2026年7月14日发布了针对多个受影响 Windows 版本的修复程序。支持的系统包括 Windows Server 2012、2012 R2、2016、2019、2022 和 2025,以及相关的 Server Core 部署。受影响的平台组件也适用于较旧的 Windows 10 版本,并且这些版本也提供了安全更新。使用 AD FS 的组织应优先部署Microsoft 的7月份安全更新,尤其是在面向管理用户或连接到关键身份基础架构的联合身份验证服务器上。管理员应确保已安装相关的累积更新或仅安全更新,并在打补丁后确认更新后的内部版本号。
安全团队还应审查本地管理员组的变更,监控AD FS 服务器上的异常进程执行,并调查联合配置的意外修改和与身份验证相关的事件,这些事件可能表明后续活动。由于利用漏洞需要本地认证访问,因此减少不必要的本地权限并监控特权登录有助于限制风险,直到所有受影响的系统都得到修补。该公司尚未公开披露该漏洞的技术细节,这可能有助于防御者在攻击仍在被观察时获得更多时间来修复漏洞。
参考链接:
https://cybersecuritynews.com/active-directory-services-0-day-exploited/
1.伊朗利用电信漏洞实时监视美军位置,疑似用于作战打击行动
7月14日金融时报消息,据电信数据监测显示,伊朗运营商在美伊战争期间针对区域移动网络发起了多次SS7攻击,旨在定向追踪特定移动设备。知情人士称,伊朗不仅拥有移动网络访问追踪能力,还滥用商业广告数据来追踪美军关联人士的手机,这使得美军人员暴露在攻击风险下。有认为伊朗发起的多次袭击行动可能得益于数据监控技术的协助,多位美国议员对此深感担忧。美国中央司令部此前就收到相关威胁报告,但中央司令部此次声称已采取了加强保护,相关袭击行动中数据监控技术并未发挥关键作用。
原文链接:
https://www.secrss.com/articles/92181
2.德国老牌纺织企业因网络攻击长期停产而破产
7月13日The Register消息,德国老牌纺织企业ZEGO TVZ表示,3月遭网络攻击运营中断造成了巨大的财务损失,关闭公司成为唯一选择。在发给客户和供应商的一份通知中,该公司董事总经理Johannes Zenglein称,“此次申请破产是公司37年历史中最艰难的决定之一…3月29日发生的网络攻击对公司造成的影响实在太大,即便我们尽了最大努力,也无法完全弥补。该事件导致生产停摆近6周,并造成了严重的财务压力。这些影响最终使公司财务状况恶化到了极点,以至于不得不申请破产。”近年来,企业因网络攻击造成的财务损失越来越大,陆续出现企业因网络攻击而破产的消息,这类事情并非首次在德国出现,制造强国如何保障网络安全,也是一个长期的命题。
原文链接:
https://www.secrss.com/articles/92142
3.AI重塑网络攻击!孤狼黑客3天攻破跨国企业复杂云环境
7月9日Dark Reading消息,安全公司Sygnia发现,一名独立黑客借助AI自动化流程,串联云环境中的多个薄弱环节,利用窃取的凭证,成功对亚马逊云服务的一家大型跨国客户实施了经济勒索。Sygnia报告指出:“攻击者并非利用了某一个配置错误,而是将应用服务、AWS资源、源代码仓库、CI/CD流水线、运行时组件及数据存储等多个环节的薄弱点串联在一起,迅速完成了凭证发现、敏感凭据收集、云环境枚举、部署流水线滥用、运行时修改、数据库访问以及业务运营干扰等一系列操作自动化。”Sygnia事件响应副总裁Avi Dayan表示,“AI工具能在不到1分钟内完成横向移动或数据外传,安全运营必须采用AI驱动的防御机制,才能跟上攻击者的节奏。”
原文链接:
https://www.secrss.com/articles/92055
4.电池遭实时篡改致使电动车行驶中抛锚,印度首都惊现多起“恶作剧”攻击
7月3日ANI消息,印度首都德里惊现多起针对电动车电池的“恶作剧”篡改攻击,并在社交网络上热传,德里运输局为此启动了紧急调查。部分三轮及两轮电动车的电池管理系统(BMS)未设置安全防护,可被近距离蓝牙连接并任意修改参数,攻击者可利用该手法瞬间切换放电开关,使正在行驶的车辆半路失去动力。据悉,印度有关部门已要求谷歌与苹果应用商店,下架BAT-BMS、Lossigy和Epoch-i-ion三款被滥用于此类攻击的App。
原文链接:
https://www.secrss.com/articles/92110
1.《网络安全技术 人工智能应用安全分类分级方法》等4项国家标准公开征求意见
7月15日,全国网络安全标准化技术委员会归口的4项国家标准现已形成标准征求意见稿,现面向社会公开征求意见。具体包括《网络安全技术 人工智能应用安全分类分级方法》《信息技术 安全技术 匿名实体鉴别 第4部分:基于弱秘密的机制》《网络安全技术 SM9标识密码算法 第2部分:算法》《数据安全技术 数据提供、委托处理、共同处理实施指南》。
原文链接:
https://www.secrss.com/articles/92192
2.交通运输部印发《交通运输数据安全管理办法》
7月13日,交通运输部官网公布《交通运输数据安全管理办法》。该文件共7章41条,规范了数据安全管理的总体原则、数据分类分级保护、数据全生命周期安全管理、数据安全风险评估、数据安全监测预警与应急处置、监督检查与责任追究等内容。该文件是交通运输行业首部数据安全管理制度,充分借鉴相关行业数据安全管理工作经验,为交通运输数据安全工作提供了全面的制度遵循。
原文链接:
https://www.secrss.com/articles/92164
3.工信部等四部门印发《关于推动互联网基础资源高质量发展的指导意见》
7月13日,工业和信息化部、中央网信办、国家发展改革委、国家数据局等四部门联合印发《关于推动互联网基础资源高质量发展的指导意见》。该文件共提出6方面16项工作任务,其中在“实施基础资源安全保障工程,筑牢安全发展根基”方面共有4项任务,包括保障供给安全、运行安全,强化风险监测、应急处置。该文件提出,保障域名安全供给,加强基础资源数据安全管理,加强互联网基础资源安全监测,完善互联网信息安全管理系统,加强分级分类应急预案体系建设,加强灾备等备份恢复能力建设等。
原文链接:
https://www.secrss.com/articles/92106
4.国家金监总局《银行业保险业网络安全管理办法》公开征求意见
7月10日,国家金融监督管理总局起草了《银行业保险业网络安全管理办法(征求意见稿)》,现面向社会公开征求意见。该文件共8章72条,围绕网络安全治理、网络安全建设和运行管理、网络安全风险监测等领域提出明确要求。该文件考虑银行业保险业金融机构的业务特点,推动落实网络安全保护责任,体现大网络安全的概念,强调全集团统一管理、科技与业务协同、三道防线协同共治的网络安全治理理念。体现分级分类管理,在对银行业保险业金融机构提出网络安全整体管理要求的基础上,针对关键信息基础设施管理提出更高要求。金融监管总局指出,该文件内容与7月3日公开征求意见的《金融业网络安全管理办法(征求意见稿)》相衔接。
原文链接:
https://www.secrss.com/articles/92066
5.俄罗斯国家杜马通过人工智能监管法案
7月8日,俄罗斯国家杜马(议会下院)在全体会议上通过《俄罗斯联邦人工智能技术发展支持法》,为人工智能基础大模型的开发和应用奠定法律基础。该法案规定,该国人工智能基础大模型分为“主权人工智能基础大模型”和“国家人工智能基础大模型”,这两类模型均由俄罗斯法人实体开发,前者生命周期各个阶段由开发方控制,并放置于俄罗斯数据处理中心;后者可使用外国开源大模型的组件。两类大模型都必须符合该国法律规定及传统道德观。利用人工智能大模型生成的音视频内容必须有相关警示标识。法案大部分条款将于2026年9月1日生效。
原文链接:
https://www.secrss.com/articles/92121
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……




还没有评论,来说两句吧...