每周都有新的安全疏漏被威胁行为体利用——一个配置错误、一个被忽视的漏洞,或是过度便利的云工具都可能成为入侵突破口。当防御者反被入侵,或旧恶意软件携带新攻击手法卷土重来时,会发生什么?
本周我们将揭示那些因日常疏忽导致的系统入侵事件,以及这些事件暴露出的信任体系中的意外裂缝。
本周重大威胁
谷歌紧急修复Chrome浏览器活跃利用的零日漏洞
谷歌已修复Windows版Chrome浏览器中一个被用于针对俄罗斯实体的高级攻击的高危漏洞(CVE-2025-2783,CVSS评分8.3)。攻击者通过钓鱼邮件分发特制链接,当受害者使用Chrome点击时会触发漏洞,结合另一个漏洞实现浏览器沙箱逃逸和远程代码执行。Mozilla Firefox和Tor浏览器也修复了类似漏洞(CVE-2025-2857),但尚未发现利用证据。
焦点新闻
-
Kubernetes Ingress NGINX控制器曝出严重漏洞
被统称为IngressNightmare的一组漏洞(最严重为CVE-2025-1974,CVSS评分9.8)允许未认证攻击者在特定条件下实现远程代码执行。漏洞已在Ingress NGINX Controller 1.12.1、1.11.5和1.10.7版本中修复。 -
BlackLock勒索软件数据泄露网站遭渗透
安全公司Resecurity利用本地文件包含(LFI)漏洞渗透了BlackLock勒索团伙的数据泄露网站,获取了其服务器配置文件、凭证及操作历史。该团伙使用Rclone将数据外传至MEGA云存储,创建了8个账户存储受害者数据。同时KELA曝光了Hellcat勒索软件运营者Rey(巴勒斯坦/约旦籍)和Pryx(自2018年从事信用卡欺诈)的真实身份。 -
三大太阳能逆变器厂商产品存在46个漏洞
Sungrow、Growatt和SMA的太阳能逆变器产品中存在被统称为SUN:DOWN的46个漏洞,攻击者可利用这些漏洞控制设备甚至导致停电。漏洞允许在设备或厂商云平台上执行任意命令、接管账户或控制用户设备。 -
RedCurl间谍组织首次部署勒索软件
自2018年起从事企业间谍活动的RedCurl组织被发现通过多阶段感染链分发名为QWCrypt的自定义勒索软件。Bitdefender指出这种战术转变可能表明其已转变为网络雇佣兵组织。
️ 热点漏洞速览
本周需重点关注以下漏洞:
- Chrome:CVE-2025-2783、CVE-2025-2476
- Firefox/Tor:CVE-2025-2857
- Kubernetes:CVE-2025-1974
- NetApp:CVE-2025-26512
- VMware:CVE-2025-22230
- CrushFTP:CVE-2025-2825
- Splunk:CVE-2025-20229
- Exim:CVE-2025-30232
- picklescan:CVE-2025-1716等4个漏洞
- Kubio AI插件:CVE-2025-2294
全球安全动态
-
23andMe申请破产引发数据安全担忧
基因检测公司23andMe申请第11章破产保护,其1500万用户的DNA数据可能被出售。尽管公司声称数据已匿名化,但2023年10月的数据泄露事件已导致600万人基因信息外泄。 -
朝鲜Konni组织使用云服务分发AsyncRAT
Konni组织使用伪装成PDF的LNK文件,通过Dropbox和Google Drive托管中间载荷,最终部署改进版AsyncRAT(改为通过执行参数接收C&C服务器信息)。 -
新型SvcStealer信息窃取软件出现
这款用Visual C++编写的恶意软件通过钓鱼攻击传播,窃取系统元数据、特定扩展名文件、进程列表、安装软件、用户凭证以及加密货币钱包和通讯应用数据。 -
汽车信息娱乐系统存在间谍软件植入风险
NCC Group研究人员披露Pioneer DMH-WT7600NEX车载系统的三个零日漏洞(CVE-2024-23928至23930),攻击者可利用这些漏洞获取shell权限并安装间谍软件,窃取位置、联系人和通话记录。
本周安全建议
禁用浏览器敏感字段自动填充功能
恶意网站可通过隐藏表单窃取自动填充的邮箱、电话或信用卡信息。建议在浏览器设置中关闭相关自动填充选项:
- Chrome:设置→自动填充→关闭密码/支付方式/地址
- Firefox:设置→隐私与安全→取消勾选表单自动填充
- Edge:个人资料→个人信息与支付信息→关闭两项
- Safari:偏好设置→自动填充→取消全选
推荐使用Bitwarden或KeePassXC等需手动确认的密码管理器,在便利性与安全性间取得平衡。
本周事件再次证明:威胁行为体往往利用我们依赖的便利工具发起攻击。防御不仅需要修补系统,更要重新审视那些被视为理所当然的安全假设。
参考来源:
Weekly Recap: Chrome 0-Day, IngressNightmare, Solar Bugs, DNS Tactics, and More
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)