一周安全动态回顾:Chrome零日漏洞、IngressNightmare、太阳能设备漏洞与DNS攻击手法

2025-04-01 3 0

一周安全动态回顾:Chrome零日漏洞、IngressNightmare、太阳能设备漏洞与DNS攻击手法插图

每周都有新的安全疏漏被威胁行为体利用——一个配置错误、一个被忽视的漏洞,或是过度便利的云工具都可能成为入侵突破口。当防御者反被入侵,或旧恶意软件携带新攻击手法卷土重来时,会发生什么?

本周我们将揭示那些因日常疏忽导致的系统入侵事件,以及这些事件暴露出的信任体系中的意外裂缝。

本周重大威胁

谷歌紧急修复Chrome浏览器活跃利用的零日漏洞
谷歌已修复Windows版Chrome浏览器中一个被用于针对俄罗斯实体的高级攻击的高危漏洞(CVE-2025-2783,CVSS评分8.3)。攻击者通过钓鱼邮件分发特制链接,当受害者使用Chrome点击时会触发漏洞,结合另一个漏洞实现浏览器沙箱逃逸和远程代码执行。Mozilla Firefox和Tor浏览器也修复了类似漏洞(CVE-2025-2857),但尚未发现利用证据。

焦点新闻

  • Kubernetes Ingress NGINX控制器曝出严重漏洞
    被统称为IngressNightmare的一组漏洞(最严重为CVE-2025-1974,CVSS评分9.8)允许未认证攻击者在特定条件下实现远程代码执行。漏洞已在Ingress NGINX Controller 1.12.1、1.11.5和1.10.7版本中修复。

  • BlackLock勒索软件数据泄露网站遭渗透
    安全公司Resecurity利用本地文件包含(LFI)漏洞渗透了BlackLock勒索团伙的数据泄露网站,获取了其服务器配置文件、凭证及操作历史。该团伙使用Rclone将数据外传至MEGA云存储,创建了8个账户存储受害者数据。同时KELA曝光了Hellcat勒索软件运营者Rey(巴勒斯坦/约旦籍)和Pryx(自2018年从事信用卡欺诈)的真实身份。

  • 三大太阳能逆变器厂商产品存在46个漏洞
    Sungrow、Growatt和SMA的太阳能逆变器产品中存在被统称为SUN:DOWN的46个漏洞,攻击者可利用这些漏洞控制设备甚至导致停电。漏洞允许在设备或厂商云平台上执行任意命令、接管账户或控制用户设备。

  • RedCurl间谍组织首次部署勒索软件
    自2018年起从事企业间谍活动的RedCurl组织被发现通过多阶段感染链分发名为QWCrypt的自定义勒索软件。Bitdefender指出这种战术转变可能表明其已转变为网络雇佣兵组织。

‎️‍ 热点漏洞速览

本周需重点关注以下漏洞:

  • Chrome:CVE-2025-2783、CVE-2025-2476
  • Firefox/Tor:CVE-2025-2857
  • Kubernetes:CVE-2025-1974
  • NetApp:CVE-2025-26512
  • VMware:CVE-2025-22230
  • CrushFTP:CVE-2025-2825
  • Splunk:CVE-2025-20229
  • Exim:CVE-2025-30232
  • picklescan:CVE-2025-1716等4个漏洞
  • Kubio AI插件:CVE-2025-2294

全球安全动态

  • 23andMe申请破产引发数据安全担忧
    基因检测公司23andMe申请第11章破产保护,其1500万用户的DNA数据可能被出售。尽管公司声称数据已匿名化,但2023年10月的数据泄露事件已导致600万人基因信息外泄。

  • 朝鲜Konni组织使用云服务分发AsyncRAT
    Konni组织使用伪装成PDF的LNK文件,通过Dropbox和Google Drive托管中间载荷,最终部署改进版AsyncRAT(改为通过执行参数接收C&C服务器信息)。

  • 新型SvcStealer信息窃取软件出现
    这款用Visual C++编写的恶意软件通过钓鱼攻击传播,窃取系统元数据、特定扩展名文件、进程列表、安装软件、用户凭证以及加密货币钱包和通讯应用数据。

  • 汽车信息娱乐系统存在间谍软件植入风险
    NCC Group研究人员披露Pioneer DMH-WT7600NEX车载系统的三个零日漏洞(CVE-2024-23928至23930),攻击者可利用这些漏洞获取shell权限并安装间谍软件,窃取位置、联系人和通话记录。

本周安全建议

禁用浏览器敏感字段自动填充功能
恶意网站可通过隐藏表单窃取自动填充的邮箱、电话或信用卡信息。建议在浏览器设置中关闭相关自动填充选项:

  • Chrome:设置→自动填充→关闭密码/支付方式/地址
  • Firefox:设置→隐私与安全→取消勾选表单自动填充
  • Edge:个人资料→个人信息与支付信息→关闭两项
  • Safari:偏好设置→自动填充→取消全选

推荐使用Bitwarden或KeePassXC等需手动确认的密码管理器,在便利性与安全性间取得平衡。

本周事件再次证明:威胁行为体往往利用我们依赖的便利工具发起攻击。防御不仅需要修补系统,更要重新审视那些被视为理所当然的安全假设。

参考来源:

Weekly Recap: Chrome 0-Day, IngressNightmare, Solar Bugs, DNS Tactics, and More

相关文章:

  1. 第510期《安全事务》国际版周报:网络安全热点速览
  2. CISA警告:苹果WebKit越界写入漏洞已被野外利用
  3. 黑客利用PHP严重漏洞部署Quasar RAT和XMRig挖矿软件
  4. 谷歌Chrome浏览器零日漏洞遭黑客大规模利用
  5. Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
漏洞分析
0 0

相关文章

穿透技术域迷雾:如何用AI缝合安全裂痕?
SKBD(Scorpion-Killer) Linux-SSH长期隐藏后门持久化控制注入工具
高危PHP漏洞可绕过验证加载恶意内容
惠普HPE CMU曝高危漏洞:攻击者可绕过认证执行远程命令(CVE-2024-13804)
AI Agent:功能、架构与安全风险
FlowiseAI 任意文件写入漏洞(CVE-2025–26319)

发布评论