HackerNews

HackerNews 编译，转载请注明出处： Trivy，这款由 Aqua Security 维护的热门开源漏洞扫描器，在短短一个月内再次遭到攻击，被用于传播恶意软件以窃取敏感的 CI/CD 机密信息。 最新这次事件影响了 GitHub Actions 中的 “aquasecurity/trivy – action” 和 “aquasecurity/setup – trivy”。其中，“aquasecurity/trivy – action” 用于扫描 Docker 容器镜像中的漏洞，而 “aquasecurity/setup – trivy” 则用于使用特定版本的扫描器设置 GitHub Actions 工作流程。 Socket 安全研究员 Philipp Burckhardt 表示：“我们发现，攻击者对 aquasecurity/trivy – action 存储库中的 76 个版本标签中的 75 个进行了强制推送。该存储库是用于在 CI/CD 管道中运行 Trivy 漏洞扫描的官方 GitHub Action。这些标签被修改以提供恶意有效载荷，实际上将受信任的版本引用变成了信息窃取程序的分发机制。” 该有效载荷会在 GitHub Actions 运行器内执行，目的是从 CI/CD 环境中提取有价值的开发者机密，如 SSH 密钥、云服务提供商的凭证、数据库信息、Git 信息、Docker 配置、Kubernetes 令牌以及加密货币钱包信息等。 这是涉及 Trivy 的第二起供应链事件。在 2026 年 2 月底到 3 月初，一个名为 hackerbot – claw 的自动机器人利用 “pull_request_target” 工作流程窃取了个人访问令牌（PAT），随后该令牌被用于控制 GitHub 存储库，删除了多个发布版本，并将其 Visual Studio Code（VS Code）扩展的两个恶意版本推送到 Open VSX。 安全研究员 Paul McCarty 在 “aquasecurity/trivy”GitHub 存储库发布了一个新的受感染版本（0.69.4 版）后，首先发现了入侵迹象。该恶意版本随后已被删除。据 Wiz 称，0.69.4 版本会同时启动合法的 Trivy 服务和负责一系列任务的恶意代码： 通过扫描系统中的环境变量和凭证进行数据窃取，加密数据，并通过 HTTP POST 请求将其泄露到 scan.aquasecurtiy [.] org。 在确认运行在开发者机器上后，通过使用 systemd 服务设置持久性。该 systemd 服务被配置为运行一个 Python 脚本（“sysmon.py”），该脚本会轮询外部服务器以检索有效载荷并执行。 Aqua Security 开源副总裁 Itay Shakury 在一份声明中表示，攻击者滥用了一个被泄露的凭证来发布恶意的 trivy、trivy – action 和 setup – trivy 版本。就 “aquasecurity/trivy – action” 而言，攻击者强制推送了 75 个版本标签，使其指向包含 Python 信息窃取有效载荷的恶意提交，而没有像标准做法那样创建新的版本发布或推送到分支。同样，“aquasecurity/setup – trivy” 的 7 个标签也被以相同方式强制推送。 Burckhardt 告诉《黑客新闻》：“在这种情况下，攻击者无需利用 Git 本身的漏洞。他们拥有具有足够权限的有效凭证来推送代码和重写标签，这就是我们所看到的标签中毒得以实现的原因。目前尚不清楚在这一特定步骤中使用的确切凭证（例如维护者的 PAT 还是自动化令牌），但根本原因现已明确是早期事件遗留的凭证泄露问题。” 这家安全供应商也承认，最新的攻击源于对 hackerbot – claw 事件的不完全遏制。Shakury 说：“我们轮换了机密和令牌，但这个过程不是原子性的，攻击者可能知晓了新刷新的令牌。我们现在正在采取更严格的方法，锁定所有自动化操作和任何令牌，以彻底消除该问题。” 该窃取程序分三个阶段运行：从运行器进程内存和文件系统中收集环境变量，加密数据，然后将其泄露到攻击者控制的服务器（“scan.aquasecurtiy [.] org”）。 如果数据泄露尝试失败，受害者自己的 GitHub 账户会被滥用，利用捕获的 INPUT_GITHUB_PAT（这是 GitHub Actions 中用于通过 GitHub PAT 进行 GitHub API 身份验证的环境变量），将窃取的数据存储在一个名为 “tpcp – docs” 的公共存储库中。 目前尚不清楚此次攻击的幕后黑手是谁，不过有迹象表明，被称为 TeamPCP 的威胁行为者可能与此有关。这一判断基于以下事实：该凭证窃取程序在源代码中自称是 “TeamPCP Cloud stealer”。该组织也被称为 DeadCatx3、PCPcat、PersyPCP、ShellForce 和 CipherForce，以作为一个云原生网络犯罪平台而闻名，其目的是入侵现代云基础设施，以便进行数据盗窃和勒索。 Socket 表示：“此有效载荷中的凭证目标与该组织更广泛的云原生盗窃和货币化特征相符。对 Solana 验证器密钥对和加密货币钱包的高度关注，虽然较少被记录为 TeamPCP 的标志，但与该组织已知的财务动机相符。这种自我标识可能是一种误导，但与 TeamPCP 先前工具的技术重叠使得这种归因具有一定合理性。” 建议用户确保使用以下最新的安全版本： trivy 0.69.3 trivy – action 0.35.0 setup – trivy 0.2.6 Shakury 说：“如果您怀疑自己运行的是受感染版本，请将所有管道机密视为已泄露并立即轮换。” 其他缓解措施包括在网络层面阻止数据泄露域及其关联的 IP 地址（45.148.10 [.] 212），并检查 GitHub 账户中是否有名为 “tpcp – docs” 的存储库，这可能表明通过备用机制成功进行了数据泄露。 Wiz 研究员 Rami McCarthy 说：“将 GitHub Actions 固定到完整的 SHA 哈希值，而不是版本标签。正如这次攻击所展示的，版本标签可以被移动以指向恶意提交。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周五将五个影响苹果、Craft CMS 和 Laravel Livewire 的安全漏洞添加到其已知被利用漏洞（KEV）目录中，并敦促联邦机构在 2026 年 4 月 3 日前修复这些漏洞。 以下是已遭利用的漏洞： CVE – 2025 – 31277（CVSS 评分：8.8）：苹果 WebKit 中的一个漏洞，在处理恶意制作的网页内容时可能导致内存损坏。（2025 年 7 月已修复） CVE – 2025 – 43510（CVSS 评分：7.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致进程间共享内存发生意外变化。（2025 年 12 月已修复） CVE – 2025 – 43520（CVSS 评分：8.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致系统意外终止或写入内核内存。（2025 年 12 月已修复） CVE – 2025 – 32432（CVSS 评分：10.0）：Craft CMS 中的代码注入漏洞，远程攻击者可借此执行任意代码。（2025 年 4 月已修复） CVE – 2025 – 54068（CVSS 评分：9.8）：Laravel Livewire 中的代码注入漏洞，在特定场景下，未经身份验证的攻击者可借此实现远程命令执行。（2025 年 7 月已修复） 谷歌威胁情报小组（GTIG）、iVerify 和 Lookout 报告称，存在一款代号为 DarkSword 的 iOS 漏洞利用工具包，利用上述三个苹果漏洞以及另外三个缺陷，来部署 GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER 等恶意软件家族进行数据窃取，在此之后，这三个苹果漏洞被列入 KEV 目录。 据 Orange Cyberdefense SensePost 称，自 2025 年 2 月起，未知威胁行为者就将 CVE – 2025 – 32432 作为零日漏洞进行利用。从那时起，被追踪为 Mimo（又名 Hezb）的入侵组织也被观察到利用该漏洞来部署加密货币挖矿程序和住宅代理软件。 列表中的最后一个漏洞 CVE – 2025 – 54068，其被利用情况最近被 Ctrl – Alt – Intel 威胁研究团队标记，这是伊朗国家支持的黑客组织 MuddyWater（又名 Boggy Serpens）发动攻击的一部分。 本周早些时候发布的一份报告中，帕洛阿尔托网络 Unit 42 指出，该对手持续针对中东地区的外交和关键基础设施，包括能源、海事和金融领域，以及全球其他战略目标。 Unit 42 表示：“虽然社会工程仍然是其主要特征，但该组织也在不断提升其技术能力。其多样的工具集包括结合了反分析技术以实现长期潜伏的人工智能增强型恶意软件植入程序。这种社会工程与快速开发工具的结合，形成了强大的威胁态势。” Unit 42 还称：“为支持其大规模的社会工程活动，Boggy Serpens 使用了一个定制的基于网络的编排平台。该工具使操作人员能够在对发件人身份和目标列表保持精细控制的同时，实现大规模电子邮件的自动发送。” 该组织隶属于伊朗情报和安全部（MOIS），主要专注于网络间谍活动，不过它还通过采用 DarkBit 勒索软件身份，与针对以色列理工学院的破坏性行动有关联。 MuddyWater 攻击手法的一个显著特点是，在鱼叉式网络钓鱼攻击中使用劫持的政府和企业官方账户，并滥用信任关系来规避基于信誉的拦截系统并传播恶意软件。 在 2025 年 8 月 16 日至 2026 年 2 月 11 日期间，针对阿联酋一家未具名的国家海洋和能源公司的持续攻击活动中，该威胁行为者据称发动了四轮不同的攻击，导致部署了包括 GhostBackDoor 和 Nuso（又名 HTTP_VIP）在内的各种恶意软件家族。该威胁行为者武器库中的其他一些知名工具包括 UDPGangster 和 LampoRAT（又名 CHAR）。 Unit 42 表示：“Boggy Serpens 最近的活动体现了其威胁态势的成熟，该组织将其既定方法与更完善的持续运营机制相结合。通过使其开发渠道多样化，纳入 Rust 等现代编程语言和人工智能辅助工作流程，该组织创建了并行路径，确保维持高运营节奏所需的冗余性。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文发布了安全更新，以修复影响身份管理器（Identity Manager）和 Web 服务管理器（Web Services Manager）的一个严重安全漏洞，该漏洞可能被利用来实现远程代码执行。 此漏洞编号为 CVE – 2026 – 21992，在满分 10.0 的通用漏洞评分系统（CVSS）中得分 9.8。 甲骨文在一份安全公告中表示：“该漏洞无需身份验证即可远程利用。若成功利用，此漏洞可能导致远程代码执行。” 受 CVE – 2026 – 21992 影响的版本如下： 甲骨文身份管理器 12.2.1.4.0 版和 14.1.2.1.0 版 甲骨文 Web 服务管理器 12.2.1.4.0 版和 14.1.2.1.0 版 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述，它 “极易被利用”，未经身份验证的攻击者通过 HTTP 获得网络访问权限后，可借此危害甲骨文身份管理器和甲骨文 Web 服务管理器，进而成功控制易受攻击的实例。 甲骨文并未提及该漏洞在现实中已被利用的情况。然而，这家科技巨头敦促客户立即应用更新，以获得最佳保护。 2025 年 11 月，美国网络安全与基础设施安全局（CISA）将 CVE – 2025 – 61757（CVSS 评分：9.8）添加到已知被利用漏洞（KEV）目录中，该漏洞是一个影响甲骨文身份管理器的预认证远程代码执行漏洞，CISA 称有证据表明它已被主动利用。 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）周五表示，与俄罗斯情报机构有关联的威胁行为者正在开展网络钓鱼活动，试图入侵 WhatsApp 和 Signal 等商业消息应用程序（CMA），以控制具有高情报价值人员的账户。 FBI 局长卡什・帕特尔在 X 平台（原推特）上发文称：“此次活动的目标是具有高情报价值的人员，包括现任和前任美国政府官员、军事人员、政治人物和记者。在全球范围内，这一行动已导致数千个个人账户遭到未经授权的访问。攻击者获得访问权限后，能够查看消息和联系人列表，以受害者的身份发送消息，并利用受信任身份开展更多网络钓鱼活动。” CISA 和 FBI 称，这一活动已致使数千个个人 CMA 账户遭到入侵。值得注意的是，这些攻击旨在侵入目标账户，并非利用安全漏洞或弱点来破解平台的加密保护。 虽然这些机构并未将该活动归咎于某个特定的威胁行为者，但微软和谷歌威胁情报小组此前的报告已将此类活动与多个与俄罗斯有关的威胁组织联系起来，这些组织包括 “星暴”（Star Blizzard）、UNC5792（又名 UAC – 0195）以及 UNC4221（又名 UAC – 0185）。 法国国家网络安全局（ANSSI）下属的网络危机协调中心（C4）也曾发布类似警报，警告针对政府官员、记者和企业领导人即时通讯账户的攻击活动激增。 C4 表示：“这些攻击一旦成功，恶意行为者就能访问聊天记录，甚至控制受害者的消息账户，并以受害者的身份发送消息。” 此次活动的最终目的是让威胁行为者未经授权访问受害者账户，从而查看消息和联系人列表，代受害者发送消息，甚至通过滥用信任关系对其他目标进行二次网络钓鱼。 正如德国和荷兰的网络安全机构近期所警告的，此次攻击中，攻击者冒充 “Signal 支持” 人员接近目标，敦促他们点击链接（或扫描二维码），或提供 PIN 码或验证码。无论哪种方式，这种社会工程手段都能让威胁行为者获取受害者的 CMA 账户访问权。 不过，根据受害者所采用的不同方式，此次活动会产生两种不同结果： 如果受害者选择向威胁行为者提供 PIN 码或验证码，他们将失去账户访问权，因为攻击者已用其在自己端恢复账户。虽然威胁行为者无法访问过往消息，但这种方法可用于监控新消息，并冒充受害者向他人发送消息。 如果受害者最终点击链接或扫描二维码，受威胁行为者控制的设备就会与受害者账户关联，使其能够访问所有消息，包括过去发送的消息。在这种情况下，除非受害者在应用设置中被明确移除，否则他们仍可继续访问 CMA 账户。 为更好地防范此类威胁，建议用户切勿与任何人分享短信验证码或验证 PIN 码，收到来自未知联系人的意外消息时要谨慎，点击链接前先检查，定期查看已关联设备，并移除可疑设备。 Signal 本月早些时候在 X 平台上发文称：“这些攻击和所有网络钓鱼一样，依赖社会工程手段。攻击者冒充可信联系人或服务（比如虚构的‘Signal 支持机器人’），诱骗受害者交出登录凭证或其他信息。” “为防止此类情况发生，请记住，只有在首次注册 Signal 应用程序时才需要短信验证码。我们还要强调，Signal 支持人员绝不会通过应用内消息、短信或社交媒体主动联系您，索要验证码或 PIN 码。如果有人索要与 Signal 相关的任何代码，那就是诈骗。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北极狼（Arctic Wolf）在客户网络中检测到可疑活动，这些活动似乎与 CVE – 2025 – 32975 漏洞的利用有关。CVE – 2025 – 32975 是一个严重的身份验证绕过漏洞，影响暴露在互联网上且未打补丁的 Quest KACE 系统管理设备（SMA）实例。 KACE SMA 是一种用于集中式端点管理的本地工具，可进行资产盘点、软件分发、补丁管理以及监控等操作。 CVE – 2025 – 32975 漏洞（Quest 已于 2025 年 5 月修复）可让未经身份验证的威胁行为者冒充合法用户，这有可能导致对设备的完全管理权限接管。 据北极狼称，攻击者似乎利用 CVE – 2025 – 32975 漏洞获得了对系统的初始访问权限，随后实现了管理控制。 目前似乎没有其他报告描述该安全漏洞的潜在利用情况。 这家网络安全公司发现，同样在 2025 年 5 月修复的三个相关漏洞（CVE – 2025 – 32976、CVE – 2025 – 32977 和 CVE – 2025 – 32978）在此次观察到的事件中并未涉及。 北极狼观察到的活动可能始于 2026 年 3 月初。目前尚不清楚攻击背后的主谋是谁以及他们的目的是什么。 北极狼实验室告诉《安全周刊》：“目前，我们无法提供有关攻击者或其动机的更多细节。尽管一些受影响的客户来自不同地区的教育领域，但我们没有足够的数据来确定该领域是否是特定攻击目标。” 该实验室还补充道：“鉴于此次利用涉及暴露在互联网上的设备，这很可能是一次机会主义攻击。” 仍在运行过时 Quest KACE SMA 版本的组织，强烈建议立即应用可用补丁，以防止入侵。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  WorldLeaks团伙本周同时对洛杉矶及其地铁系统发动攻击，导致部分服务被迫中断；与此同时，旧金山湾区两座城市也因遭遇勒索软件攻击而宣布进入紧急状态。 洛杉矶地铁系统遭袭，服务受限 据当地媒体报道，本周洛杉矶地铁（Metro）内部系统检测到未授权活动，迫使该机构限制系统访问权限，车站到站显示屏也因此受到影响。 NBC洛杉矶报道称：”内部行政计算机系统出现未授权活动，促使Metro限制了对这些系统的访问，导致车站显示屏无法显示列车到达时间。” 目前乘客在通过网站或客服热线为TAP交通卡充值时遇到困难，Metro建议乘客改用站内售票机完成充值。铁路和公交服务仍在正常运行，且没有客户或员工的个人信息受到影响。Metro方面表示，正在进行全面的安全检查，并努力恢复系统的完全访问权限。 湾区城市相继沦陷，紧急状态接踵而至 另一起事件中，福斯特市（Foster City）官员表示，一场勒索软件攻击正在广泛破坏市政服务，迫使市领导宣布进入紧急状态，以便争取外部支持和资金援助。虽然911等紧急服务仍在正常运转，但许多依赖内部系统的市政服务已无法使用。市政厅虽保持开放，但仅能提供有限服务。 该市于周四早些时候发现攻击后，迅速将大部分系统下线以保护网络安全。目前 officials 正与独立网络安全专家合作，开展调查并努力恢复运营。 此次攻击主要影响了数字服务和信息获取渠道，核心的应急响应能力保持完好。当局表示，目前尚不清楚攻击者是否访问或复制了敏感数据，但警告公众信息可能已遭泄露。作为预防措施， officials 敦促所有曾与市政府有过业务往来的市民更改密码，并采取措施保护个人数据。 据《旧金山纪事报》报道，该市表示：”出于谨慎考虑，建议所有与福斯特市有过业务往来的市民更改个人密码，并采取措施保护自己的个人数据。” WorldLeaks认领洛杉矶市政府为受害者 2026年3月20日，WorldLeaks勒索软件团伙将其数据泄露网站上的受害者名单更新，加入了洛杉矶市政府。该团伙声称窃取了159.9GB数据，共计779份文件。 WorldLeaks是一个以勒索为目的的网络犯罪组织，通过窃取企业数据向受害者施压，威胁若不支付赎金就将数据公开泄露。该团伙于2025年更名自2023年起活跃的Hunters International勒索团伙。在面临日益严厉的执法压力后，该组织放弃了文件加密手段，全面转向数据窃取和勒索模式，至今已宣称对数百名受害者下手。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ubiquiti修复了两个 UniFi 相关漏洞，其中一个高危漏洞可被攻击者用于接管用户账号。 Ubiquiti为其 UniFi 网络管理应用发布了两处漏洞补丁，其中包含一个最高危级别漏洞，攻击者可利用该漏洞实施账号劫持。该软件被广泛用于管理 UniFi 系列网络设备，如无线 AP、交换机及网关等。 UniFi 网络管理应用是Ubiquiti公司开发的管理软件，用于控制和监控旗下 UniFi 系列网络设备。 用户可通过统一控制台对无线 AP、交换机、网关等硬件进行配置、管理与性能优化。IT 管理员可通过本地或云端方式部署网络、监控性能、管理用户、配置安全策略及排查故障。  该厂商修复了编号为CVE-2026-22557的最高危漏洞（CVSS 评分 10.0），该漏洞影响 UniFi 网络应用10.1.85 及更早版本。 处于同一网络中的攻击者可利用 UniFi 中的路径遍历漏洞访问系统文件，进而有可能接管用户账号。 安全公告显示：“具备网络访问权限的恶意人员可利用 UniFi 网络应用中的路径遍历漏洞，访问底层系统文件，并可通过相关操作实现账号入侵。” 10.1.89 及更高版本已修复该漏洞。 Ubiquiti修复的第二个漏洞编号为CVE-2026-22558（CVSS 评分 7.7），同样存在于 UniFi 网络应用中，低权限攻击者可利用该漏洞进行权限提升。 该公司表示：“UniFi 网络应用中存在一处已认证 NoSQL 注入漏洞，获得网络授权访问权限的恶意人员可利用该漏洞提升自身权限。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ConnectWise 已为 ScreenConnect 推送安全更新，优化设备密钥处理机制，防范服务器被入侵。 本次更新修复CVE-2026-3564漏洞（CVSS 评分 9.0），该高危漏洞可被攻击者用于获取会话认证所需的加密密钥材料。 此前，ScreenConnect 将唯一设备密钥存储于服务器配置文件中，在特定场景下存在密钥被窃取的风险。 这款远程监控与管理解决方案的最新版本通过对加密密钥材料进行加密，彻底消除该风险。 ConnectWise 在安全公告中表示：ScreenConnect 26.1 版本强化了设备密钥处理防护机制，新增加密存储与管理功能，降低服务器完整性遭破坏时密钥被未授权访问的风险。 该公司将 CVE-2026-3564 漏洞定级为高优先级，此类漏洞通常为 “正被黑客利用或在野外存在较高被利用风险” 的漏洞。 在另一份公告中，ConnectWise 称已发现有攻击者试图滥用已泄露的ASP.NET设备密钥材料，该密钥用于对受保护的应用数据进行签名与验证。 威胁行为者可利用该加密密钥材料提升在 ScreenConnect 中的权限，并访问活跃会话，最终导致服务器沦陷。 该公司声明：“若某 ScreenConnect 实例的设备密钥材料泄露，攻击者可伪造或篡改受保护数据，且该数据会被系统判定为合法，进而实现对 ScreenConnect 的未授权访问与非法操作。” 有传言称该漏洞多年来一直被中国国家级黑客组织利用，但 ConnectWise 表示暂无证据证实该说法。 ConnectWise 一位发言人向《安全周刊》透露：“公告相关内容，系我方持续强化 ScreenConnect 安全防护的举措，包括针对ASP.NET设备密钥材料的使用与管理进行安全加固。此项工作是缩小攻击面、提升产品安全性整体计划的一部分，相关部署基于持续的内部安全审查与行业过往安全事件经验。” 官方建议用户尽快升级至 ScreenConnect 26.1 版本，检查访问控制策略、限制对配置文件与备份文件的访问权限，并监控日志排查异常行为。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为信用社与银行提供营销及合规解决方案的服务商Marquis本周披露，去年公开的一起数据泄露事件实际影响约67.2 万人。 这家总部位于得克萨斯州的公司于 2025 年 8 月发现，黑客已入侵其系统。 在去年 12 月发布的通知中，该公司称攻击者窃取了姓名、住址、社会安全号码、出生日期、纳税人识别号等个人信息，以及支付卡号等财务信息。这些数据是Marquis代其服务的 700 家银行及信用社中的数十家机构存储的。 Marquis在首次披露泄露事件时，并未公布受影响总人数。此前根据其向美国各州监管部门提交的各州受影响人数，以及涉事金融机构自行披露的数据，外界估算至少有 78 万人受影响。 数据安全机构 Comparitech 在 2026 年 2 月曾预估，受影响人数或高达 160 万。 但Marquis本周向缅因州总检察长办公室证实，实际受影响人数仅略超 67.2 万。 若 67.2 万为真实受影响人数，则此前部分银行与信用社公布的数字可能存在重复统计 —— 部分用户在多家机构均开立账户。 目前尚无网络犯罪团伙宣称对Marquis攻击事件负责，但 Comparitech 此前报道，爱荷华州一家信用社曾发布泄露通知（现已删除），称Marquis支付了赎金，这家金融科技公司尚未对此予以证实。 Marquis未立即回应《安全周刊》要求其证实或否认该说法的问询。 Marquis此前表示，此次攻击利用了SonicWall 防火墙漏洞。在该公司发现攻击期间，Akira 勒索软件组织正加紧利用 SonicWall 防火墙漏洞实施入侵。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个新披露的名为 “PolyShell” 的漏洞，影响所有 Magento 开源版以及 Adobe Commerce 2 稳定版的安装，攻击者利用该漏洞可实现未授权代码执行和账户接管。 目前尚无迹象表明该漏洞已在实际中被主动利用，但电商安全公司 Sansec 警告称，“漏洞利用方法已在流传”，预计很快就会出现自动化攻击。 Adobe 已发布修复程序，但仅在 2.4.9 版本的第二个测试版中可用，这使得正式发布版本仍存在漏洞风险。Sansec 表示，Adobe 提供了 “一种能在很大程度上减少影响的示例网络服务器配置”，然而大多数店铺依赖其托管服务提供商的设置。 在本周发布的一份报告中，Sansec 指出，该安全问题源于 Magento 的 REST API 在处理购物车商品的自定义选项时接受文件上传。 研究人员解释道：“当产品选项类型为‘文件’时，Magento 会处理一个嵌入的 file_info 对象，该对象包含经过 Base64 编码的文件数据、MIME 类型和文件名。文件会被写入服务器上的 pub/media/custom_options/quote/ 目录。” Sansec 称，“PolyShell” 得名于它使用的一种多用途文件，该文件既可以当作图像，又能当作脚本运行。 根据网络服务器的配置不同，该漏洞可通过存储型跨站脚本（XSS）实现远程代码执行（RCE）或账户接管，Sansec 分析的大多数店铺都受此影响。 “Sansec 调查了所有已知的 Magento 和 Adobe Commerce 店铺，发现许多店铺的上传目录文件处于可暴露状态。” 在 Adobe 向正式发布版本推送补丁之前，建议店铺管理员采取以下措施： 限制对 pub/media/custom_options/ 目录的访问 确认 Nginx 或 Apache 规则是否切实阻止了对该目录的访问 扫描店铺，查找是否有上传的恶意脚本、后门程序或其他恶意软件 BleepingComputer 已联系 Adobe，询问何时能提供针对 “PolyShell” 漏洞的安全更新，但截至发布时，尚未收到回复。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纳维亚福利解决方案公司（Navia）正告知近 270 万人，他们遭遇了数据泄露事件，敏感信息已暴露给攻击者。 对该事件的调查显示，黑客在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，得以访问该公司系统。不过，纳维亚公司于 1 月 23 日才发现这一可疑活动。 纳维亚公司表示，发现问题后立即做出响应，并展开调查，以确定此次事件可能造成的影响。 公司在向受影响人员发出的通知中称：“调查发现，在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，有未经授权的人员访问并获取了某些信息。” 纳维亚是一家以消费者为核心的福利管理机构，为全美 1 万多家雇主提供服务。 该公司提供软件及客户服务，用于管理灵活支出账户（FSA）、健康储蓄账户（HSA）、健康报销安排（HRA）、通勤福利以及《综合预算协调法案》（COBRA）相关服务。 此外，它还协助处理通勤福利、生活方式账户、教育福利、合规 / 风险服务以及退休相关事务。 据该公司透露，对此次数据泄露事件的调查表明，黑客访问并可能窃取了以下几类数据： 全名 出生日期 社会安全号码（SSN） 电话号码 电子邮件地址 健康报销安排（HRA）参与情况 灵活支出账户（FSA）信息 《综合预算协调法案》（COBRA）参保信息 纳维亚强调，此次数据泄露并未暴露理赔细节或财务信息。然而，这些已泄露的数据，已足以让威胁行为者针对受影响人员发动网络钓鱼和社会工程攻击。 该公司表示，已重新审视其安全态势和数据保留政策，以找出可能需要改进的薄弱环节，并已将此次事件通知联邦执法部门。 信息遭泄露的客户，将获克罗尔公司（Kroll）提供的为期 12 个月的免费身份保护及信用监测服务。同时，公司也建议收到通知信的客户考虑在其信用档案上设置欺诈警报和安全冻结。 截至撰稿时，尚无勒索软件组织宣称对纳维亚数据泄露事件负责。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周四，美国司法部（DoJ）宣布，在一项获得法庭授权的执法行动中，成功捣毁了多个物联网（IoT）僵尸网络（如 AISURU、Kimwolf、JackSkid 和 Mossad）所使用的命令与控制（C2）基础设施。 此次行动中，加拿大和德国的相关部门也对这些僵尸网络背后的操控者展开了打击。同时，包括阿卡迈（Akamai）、亚马逊网络服务（Amazon Web Services）、Cloudflare、DigitalOcean、谷歌、Lumen、诺基亚（Nokia）、奥克塔（Okta）、甲骨文（Oracle）、贝宝（PayPal）、SpyCloud、Synthient、Team Cymru、Unit 221B 在内的多家私营企业，也协助参与了调查工作。 美国司法部表示：“这四个僵尸网络针对全球范围内的受害者发动了分布式拒绝服务（DDoS）攻击。其中一些攻击流量高达约 30 太比特每秒，堪称破纪录的攻击。” 上个月，Cloudflare 在一份报告中将 2025 年 11 月发生的一次规模达 31.4 Tbps 且仅持续 35 秒的大规模 DDoS 攻击归因于 AISURU/Kimwolf。截至去年年底，据评估，该僵尸网络还发动了超大规模的 DDoS 攻击，平均每秒可达 30 亿数据包（Bpps）、4 Tbps 流量以及每秒 5400 万请求（Mrps）。 独立安全记者布莱恩・克雷布斯（Brian Krebs）还追踪到 Kimwolf 的管理员是来自加拿大渥太华的 23 岁男子雅各布・巴特勒（又名多特）。巴特勒告诉克雷布斯，自 2021 年起他就不再使用 “多特” 这个身份，并称在自己的旧账户遭入侵后，有人一直在冒充他。 巴特勒还称：“由于患有自闭症，在社交方面存在困难，他大多时候都待在家里帮母亲做家务。” 据克雷布斯透露，另一名主要嫌疑人是一名居住在德国的 15 岁少年。目前尚未有逮捕行动的相关消息公布。 该僵尸网络已将超 200 万台安卓设备纳入其网络，其中大部分是受感染的杂牌安卓电视。总体而言，这四个僵尸网络估计在全球范围内感染了不少于 300 万台设备，包括数字视频录像机、网络摄像头或无线路由器等，其中在美国就有数十万台。 美国司法部指出：“Kimwolf 和 JackSkid 僵尸网络被指控针对并感染那些通常与互联网其他部分隔离‘防火墙保护’的设备。受感染的设备被僵尸网络操控者控制。随后，操控者采用‘网络犯罪即服务’模式，将受感染设备的访问权限出售给其他网络犯罪分子。” 这些受感染的设备随后被用于对全球范围内的目标发动 DDoS 攻击。法庭文件指控，这四个 Mirai 僵尸网络变种已发出数十万条 DDoS 攻击指令： AISURU：超 20 万条 DDoS 攻击指令 Kimwolf：超 2.5 万条 DDoS 攻击指令 JackSkid：超 9 万条 DDoS 攻击指令 Mossad：超 1000 条 DDoS 攻击指令 亚马逊网络服务（AWS）副总裁兼杰出工程师汤姆・肖尔（Tom Scholl）在领英（LinkedIn）上发布的一篇文章中表示：“Kimwolf 代表了僵尸网络运作和扩展方式的根本性转变。与传统僵尸网络在开放互联网中扫描易受攻击设备不同，Kimwolf 利用了一种全新的攻击途径：住宅代理网络。通过受感染设备（包括流媒体电视盒和其他物联网设备）渗透家庭网络，该僵尸网络得以访问通常由家用路由器保护免受外部威胁的本地网络。” 阿卡迈表示，这些超大规模的僵尸网络发动的攻击流量超过 30 Tbps、每秒 140 亿个数据包以及每秒 300 万个请求，并补充说，网络犯罪分子利用这些僵尸网络发动了数十万次攻击，在某些情况下还向受害者索要勒索款项。 这家网络基础设施公司称：“这些攻击可能会严重破坏核心互联网基础设施，导致互联网服务提供商（ISP）及其下游客户的服务严重降级，甚至使高容量的基于云的缓解服务不堪重负。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ubuntu 的 CVE-2026-3888 漏洞使得攻击者能够通过 systemd 定时机制漏洞获取 root 权限，该漏洞对 Ubuntu 桌面版 24.04 及更高版本造成严重影响。 Qualys 的研究人员在 Ubuntu 桌面版 24.04 及更高版本中发现了一个高危漏洞，编号为 CVE-2026-3888（通用漏洞评分系统（CVSS）得分为 7.8）。攻击者可以利用 systemd 清理过程中的一个定时问题，将权限提升至 root，从而有可能完全控制存在漏洞的系统。 该漏洞依赖于一个 10 至 30 天的清理窗口期，但最终可能导致整个系统被攻陷。它源于 snap-confine 对特权执行的管理方式，以及 systemd-tmpfiles 删除旧临时文件的机制。 安全公告中写道：“Qualys 威胁研究小组发现了一个本地提权（LPE）漏洞，该漏洞影响 Ubuntu 桌面版 24.04 及更高版本的默认安装。这个漏洞（CVE-2026-3888）允许无特权的本地攻击者通过两个标准系统组件 snap-confine 和 systemd-tmpfiles 的相互作用，将权限提升至完全的 root 访问权限。” “虽然利用该漏洞需要特定的基于时间的窗口（10 至 30 天），但最终结果是主机系统被完全攻陷。” CVE-2026-3888 影响 Ubuntu 的 snap 系统，涉及两个组件：snap-confine 和 systemd-tmpfiles。snap-confine 用于设置安全的应用程序环境，而 systemd-tmpfiles 则用于清理临时文件。漏洞发生的过程如下：攻击者等待一个关键文件夹被删除，然后用恶意文件重新创建该文件夹。当 snap-confine 随后初始化沙盒时，它会以 root 权限挂载这些文件，从而实现权限提升。该漏洞被评定为高危（CVSS 评分为 7.8），攻击需要本地访问权限并把握好时间，但可能导致整个系统被攻陷，影响系统的保密性、完整性和可用性。 Qualys 发布的报告中写道：“虽然 CVSS 评分反映出该漏洞严重性为高，但由于攻击链中固有的时间延迟机制，攻击复杂度也很高。在默认配置中，systemd-tmpfiles 计划删除 /tmp 中的陈旧数据。攻击者可以通过操纵这些清理周期的时间来利用这一点。具体而言，攻击向量包括： 在下一次沙盒初始化期间，snap-confine 会以 root 权限绑定挂载这些文件，从而允许在特权环境中执行任意代码。” 攻击者必须等待系统的清理守护进程（Ubuntu 24.04 中为 30 天；更高版本中为 10 天）删除 snap-confine 所需的关键目录。 一旦该目录被删除，攻击者就用恶意有效载荷重新创建该目录。 多个 snapd 版本易受 CVE-2026-3888 漏洞影响。运行 Ubuntu 桌面版 24.04 及更高版本的系统应立即更新到已打补丁的版本（2.73 及更高版本）。低于 2.75 的上游版本也受到影响。虽然较旧的 Ubuntu 版本默认情况下不受此漏洞影响，但建议安装补丁，以降低非标准配置下的风险。 此外，研究人员还在 uutils coreutils 软件包中发现了一个单独的漏洞，并在 Ubuntu 25.10 发布前与 Ubuntu 安全团队合作将其修复。 安全公告继续指出：“rm 实用程序中的一个竞态条件允许无特权的本地攻击者在 root 拥有的 cron 执行期间用符号链接替换目录项。成功利用此漏洞可能导致以 root 身份任意删除文件，或者通过针对 snap 沙盒目录进一步提升权限。该漏洞在 Ubuntu 25.10 公开发布前已被报告并缓解。Ubuntu 25.10 中的默认 rm 命令已恢复为 GNU coreutils，以立即降低此风险。此后，上游修复已应用于 uutils 代码库。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了另一个复杂的 iOS 漏洞利用工具包，并找到证据表明它已被国家支持的黑客和商业间谍软件供应商使用。 一个被追踪为 UNC6353 的俄罗斯国家支持的间谍组织，在针对乌克兰的攻击中使用了这个 iOS 漏洞利用工具包。 3 月初，谷歌和 iVerify 分享了关于 Coruna 的详细信息，这是一个功能强大的漏洞利用工具包，针对 iOS 13 至 17.2.1 版本中的 23 个漏洞，其中包括近十几个零日漏洞。 Coruna 被视为首个大规模针对 iOS 设备的漏洞利用工具包，UNC6353 在针对乌克兰的水坑攻击中使用了它，随后因其具备窃取加密货币的能力，也被出于经济利益的组织利用。 周三，iVerify、谷歌和 Lookout 分享了 UNC6353 使用的第二个大规模利用 iOS 漏洞的工具包的详细信息。该工具包名为 “暗剑”（DarkSword），它针对苹果移动平台的六个漏洞，只需极少的用户交互就能完全攻陷设备。 “暗剑” 与 Coruna 共享基础设施，且在针对乌克兰的水坑攻击中被使用，这表明它们同属一个威胁行为者的武器库。 用人工智能防御对抗人工智能攻击 谷歌还发现证据表明，“暗剑” 已被商业监视供应商使用，其中包括一个被追踪为 UNC6748 的组织，用于针对沙特阿拉伯、土耳其和马来西亚的攻击。 “暗剑” 完全用 JavaScript 编写，首先利用 Safari 漏洞实现远程代码执行（RCE），接着进行沙盒逃逸，然后利用内核漏洞注入并执行 JavaScript 代码以提升权限并最终执行有效载荷。 观察到的攻击是通过在独立新闻机构顿巴斯新闻（News of Donbas）的网站以及文尼察第七行政上诉法院的官方网站中注入恶意 iframe 来实施的。 完整的攻击链 被攻击的漏洞包括 CVE – 2025 – 31277、CVE – 2025 – 43529、CVE – 2025 – 14174、CVE – 2025 – 43510、CVE – 2025 – 43520 和 CVE – 2026 – 20700。 CVE – 2025 – 31277 和 CVE – 2025 – 43529 是两个 WebContent 进程的即时编译（JIT）问题，可导致任意内存读 / 写原语，“暗剑” 在攻击初始阶段利用了这些问题。 然后，它针对 CVE – 2026 – 20700，以绕过可信路径只读（TPRO）和指针认证码（PAC）保护并实现任意代码执行。该漏洞在 2 月作为零日漏洞被修复。 接下来，攻击链针对 CVE – 2025 – 14174，这是 ANGLE 中的一个越界写入漏洞，结合 PAC 绕过，通过 GPU 进程逃离 Safari 的沙盒。CVE – 2025 – 43529 和 CVE – 2025 – 14174 在 12 月被修复。 从 GPU 进程开始，攻击利用 CVE – 2025 – 43510 针对 XNU 内核，这是一个写时复制漏洞，可在 mediaplaybackd 守护进程中提供任意内存读 / 写原语，然后利用这些原语利用 CVE – 2025 – 43520 实现内核权限提升。 强大的信息窃取能力 Lookout 解释说，最终的有效载荷是一个由众多模块组成的编排器，使攻击者能够从受感染设备中窃取敏感信息。 它的目标包括密码、照片、WhatsApp 和 Telegram 消息、短信、联系人、通话记录、浏览器数据（cookie、历史记录和密码）、已安装的应用程序、Wi – Fi 数据和密码、苹果健康数据、日历和便签、已连接账户的信息以及加密货币钱包。 Lookout 指出：“这种恶意软件非常复杂，似乎是一个专业设计的平台，通过访问高级编程语言能够快速开发模块。这一额外步骤表明，在开发这种恶意软件时投入了大量精力，考虑到了可维护性、长期开发和可扩展性。” 这家网络安全公司还指出，“暗剑” 针对加密货币的攻击能力表明，UNC6353 可能已将其能力扩展到金融盗窃领域，或者它从一开始就是一个出于经济利益的威胁行为者。UNC6353 使用的 Coruna 漏洞利用工具包并未针对加密货币钱包。 数百万部 iPhone 可能受影响 安全研究人员警告称，苹果已经为 Coruna 和 “暗剑” 所针对的所有漏洞推出了补丁，但仍有数亿台设备可能面临攻击。 iVerify 表示：“我们估计，‘暗剑’漏洞利用链仍然影响着相当一部分 iPhone 用户。具体来说，运行 iOS 18.4 至 18.6.2 版本的用户中有 14.2%（约 2.2152 亿台设备）被认为存在漏洞。” 这家网络安全公司指出，如果目标漏洞可用于攻击低于 18.4 版本和高于 26.x 版本的 iOS 系统，受影响设备的数量可能会高得多。 iVerify 解释说：“基于所有 iOS 18 版本都易受该攻击链中大多数漏洞影响的假设，大约 18.99% 的用户（2.96244 亿）可能会受到影响。” 建议用户更新到 iOS 26.3.1 和 18.7.6 版本，这是包含针对 “暗剑” 漏洞利用工具包中所有漏洞补丁的最新平台版本。 在沙特阿拉伯、土耳其和马来西亚的攻击 在过去五个月里，谷歌识别出在 “暗剑” 成功攻击中投放的三个有效载荷，即 GhostBlade、GhostKnife 和 GhostSaber。 这家互联网巨头表示，2025 年 11 月，UNC6748 利用 “暗剑”，通过一个以 Snapchat 为主题的网站，在水坑攻击中针对沙特阿拉伯用户。所使用的恶意软件 Ghostknife 是一个 JavaScript 后门，具备强大的信息窃取能力。 11 月下旬，商业监视供应商 PARS Defense 在针对土耳其用户的攻击中使用了 “暗剑”，并于 2025 年 1 月在针对马来西亚用户的攻击中再次使用。 这些攻击中的有效载荷是 GhostSaber，这是一个 JavaScript 后门，能够进行文件渗出、设备和账户枚举、数据窃取以及执行任意 JavaScript 代码。 UNC6353 自 2025 年 12 月开始使用 “暗剑” 针对乌克兰发动攻击，投放了 GhostBlade 恶意软件，该软件具备信息窃取功能但没有后门能力，这与 iVerify 和 Lookout 的发现一致。 谷歌解释说：“UNC6748、PARS Defense 和 UNC6353 在漏洞利用交付实现方面存在显著的异同。我们评估，每个行为者都在‘暗剑’开发者的一组基本逻辑基础上构建了自己的交付机制，并根据自身需求进行了调整。” 谷歌还指出，虽然 UNC6353 使用的 “暗剑” 漏洞利用工具包仅针对运行 iOS 18.4 – 18.6 版本的设备，但 UNC6748 和 PARS Defense 使用的变体也针对 iOS 18.7 版本。 Lookout 指出：“利用受感染合法网站的水坑攻击本质上是零点击攻击，因为目标受害者可能本来就经常访问恶意网站。即使需要引诱用户访问该网站，社会工程防御培训也无效，因为感染网址是合法的。” 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份保护公司奥拉（Aura）证实，有未经授权方获取了近 90 万条包含姓名和电子邮箱地址的客户记录。 该公司称，此次事件由一起针对其员工的语音网络钓鱼攻击引发，导致 2 万名现有客户和 1.5 万名前客户的敏感数据泄露。 本周，奥拉公司在一份通报中表示，这些数据源自其 2021 年收购的一家公司所使用的营销工具，泄露的信息有限。 奥拉是一家面向消费者的数字安全公司，提供身份盗窃防护、信用与欺诈监测以及针对网络钓鱼的在线安全工具，将自身定位为一站式在线保护服务提供商。 本周早些时候，威胁组织 “闪亮猎人”（ShinyHunters）在其数据勒索网站上宣称实施了此次攻击，并表示他们窃取了 12GB 包含客户个人身份信息（PII）以及公司数据的文件。 该威胁行为者泄露了所窃取的文件，并表示尽管他们给出了各种机会和条件，奥拉公司仍 “未能与他们达成协议”。 闪亮猎人网站上泄露的奥拉公司数据 来源：BleepingComputer 据奥拉公司称，遭泄露的客户信息包括全名、电子邮箱地址、家庭住址和电话号码。该公司强调，社会安全号码（SSN）、账户密码以及财务信息并未泄露。 “我是否已遭泄露”（Have I Been Pwned，HIBP）服务对泄露数据进行了分析，并将其添加到自身数据库中，同时指出客户服务评论和 IP 地址也被曝光。HIBP 还表示，此次事件中曝光的电子邮箱地址，90% 已因过往安全事件存在于其数据库中。 BleepingComputer 就 HIBP 报告称受影响账户略超 90.1 万个与奥拉公司数据存在差异一事向奥拉询问，奥拉公司表示自家数据准确。 这是因为 2021 年收购公司时继承了通过该营销工具收集的数据。然而，数据库中仅有 3.5 万名奥拉客户。该公司拒绝对 “闪亮猎人” 的说法或所谓的奥克塔（Okta）单点登录系统遭入侵一事进一步置评。 目前，奥拉公司正与外部网络安全专家合作开展深入内部审查，并向 BleepingComputer 证实已通知执法部门。 奥拉公司告知我们，很快将向所有受影响人员发送个性化通知。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已责令美国政府机构对其服务器采取防护措施，以应对 Zimbra 协作套件（ZCS）中一个正在遭主动利用的漏洞。Zimbra 是一款广受欢迎的电子邮件与协作软件套件，全球数亿人在使用，其中包括数千家企业和数百家政府机构。 该漏洞编号为 CVE – 2025 – 66376，已于 11 月初修复。这个严重级别的安全漏洞源于经典用户界面（Classic UI）中的一个存储型跨站脚本（XSS）弱点，远程未认证攻击者可通过滥用电子邮件 HTML 中的层叠样式表（CSS）@import 指令加以利用。 虽然 Synacor（Zimbra 背后的公司）并未透露 CVE – 2025 – 66376 攻击成功后的具体影响，但该漏洞很可能被用于通过恶意的基于 HTML 的电子邮件执行任意 JavaScript 代码，这有可能让攻击者劫持用户会话，并在被攻陷的 Zimbra 环境中窃取敏感数据。 周三，CISA 将该漏洞列入其在实际环境中遭利用的漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦政府行政部门（FCEB）机构在 4 月 1 日前的两周内对其服务器进行安全防护。 尽管 BOD 22 – 01 仅适用于联邦机构，但美国这家网络安全机构还是鼓励包括私营部门在内的所有组织尽快修复这个正被主动利用的漏洞。 CISA 警告称：“按照供应商说明采取缓解措施，针对云服务遵循 BOD 22 – 01 的相关指导，若无法实施缓解措施，则停止使用该产品。这类漏洞是恶意网络行为者常用的攻击途径，会给联邦机构带来重大风险。” 遭受攻击的 Zimbra 服务器 Zimbra 的安全漏洞经常成为攻击目标，近年来，这些漏洞已被利用，致使全球数千台易受攻击的电子邮件服务器遭到入侵。 例如，早在 2022 年 6 月，Zimbra 的身份验证绕过和远程代码执行漏洞就被利用，导致 1000 多台服务器被入侵。 从 2022 年 9 月开始，黑客利用 Zimbra 协作套件中的一个零日漏洞，在获取被攻陷服务器的远程代码执行权限后，两个月内入侵了近 900 台服务器。 俄罗斯政府支持的黑客组织 “冬季蝰蛇”（Winter Vivern）也曾利用反射型跨站脚本漏洞，入侵北约相关国家政府的 Zimbra 网络邮件门户，以及政府官员、军事人员和外交官的邮箱。 最近，威胁行为者在零日攻击中利用 Zimbra 的另一个跨站脚本漏洞（CVE – 2025 – 27915）执行任意 JavaScript 代码，从而能够设置电子邮件过滤器，将邮件重定向到攻击者控制的服务器。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 1 月下旬起，“联锁”（Interlock）勒索软件团伙就在零日攻击中，利用思科安全防火墙管理中心（FMC）软件中一个极其严重的远程代码执行（RCE）漏洞。 “联锁” 勒索软件活动于 2024 年 9 月浮出水面，与 ClickFix 以及多起恶意软件攻击有关，在这些攻击中，他们在英国多所大学的网络中部署了一款名为 “NodeSnake” 的远程访问木马。 “联锁” 团伙还宣称对针对达维塔（DaVita）、凯特林健康（Kettering Health）、德克萨斯理工大学系统以及明尼苏达州圣保罗市的攻击负责。最近，IBM X – Force 研究人员报告称，“联锁” 团伙的操作者部署了一种名为 “Slopoly” 的新恶意软件变种，很可能是利用生成式人工智能工具创建的。 思科于 3 月 4 日修复了这个安全漏洞（CVE – 2026 – 20131），并警告称，该漏洞可能让未经身份验证的攻击者在未打补丁的设备上以 root 权限远程执行任意 Java 代码。 亚马逊威胁情报团队周三报告称，在该漏洞被修复前，“联锁” 勒索软件团伙已针对企业防火墙，利用这个安全防火墙管理中心的漏洞发动攻击长达一个多月。 亚马逊综合安全首席信息安全官 CJ・摩西表示：“在查找该漏洞当前或过往的利用情况时，我们的研究发现，‘联锁’团伙从 2026 年 1 月 26 日起就开始利用这个漏洞，比其公开披露时间早了 36 天。这可不是普通的漏洞利用，‘联锁’团伙掌握了一个零日漏洞，这让他们在防御者察觉之前，就有一周时间抢先入侵各机构。” 思科在 3 月 4 日发布了一份安全公告，披露了思科安全防火墙管理中心软件 Web 界面的一个漏洞。周三，思科在发布公告后通过电子邮件向 BleepingComputer 表示：“我们感谢亚马逊在这件事上的合作，并且已在安全公告中更新了最新信息。我们强烈敦促客户尽快升级，并参考我们的安全公告以获取更多详细信息和指导。” 自今年年初以来，思科还修复了其他几个在实际中被当作零日漏洞利用的安全漏洞。例如，1 月，它修复了一个严重级别的思科 AsyncOS 零日漏洞，自 11 月起，该漏洞就被用于入侵安全电子邮件设备；同时，思科还修复了一个关键的统一通信远程代码执行漏洞，这个漏洞也在零日攻击中被利用。 上个月，思科修复了另一个严重级别的漏洞，该漏洞被当作零日漏洞利用，用于绕过 Catalyst SD – WAN 身份验证，攻击者借此能够攻陷控制器，并在目标网络中添加恶意的非法对等节点。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 GNU InetUtils Telnet 守护进程（telnetd）的严重安全漏洞，未经认证的远程攻击者可利用此漏洞以提升的权限执行任意代码。 该漏洞编号为 CVE – 2026 – 32746，通用漏洞评分系统（CVSS）得分 9.8（满分 10 分）。它被描述为在 LINEMODE 设置本地字符（SLC）子选项处理程序中的一次越界写入，从而导致缓冲区溢出，最终为代码执行创造条件。 以色列网络安全公司 Dream 于 2026 年 3 月 11 日发现并报告了该漏洞，称其影响截至 2.7 版本的所有 Telnet 服务实现。预计该漏洞的修复程序不迟于 2026 年 4 月 1 日推出。 Dream 在一份警报中表示：“未经认证的远程攻击者可在初始连接握手期间（即任何登录提示出现之前）发送特制消息来利用此漏洞。成功利用该漏洞可导致以 root 权限执行远程代码。只需对端口 23 发起一次网络连接，就足以触发该漏洞。无需凭证、用户交互，也无需特殊网络位置。” 据 Dream 称，SLC 处理程序在 Telnet 协议握手期间处理选项协商。但鉴于该漏洞可在认证前触发，攻击者在建立连接后，能立即通过发送特制协议消息来利用此漏洞。 如果 telnetd 以 root 权限运行，成功利用该漏洞可能导致系统完全被攻陷。这反过来可能为各种后续攻击行为打开大门，包括部署持久后门、数据渗出，以及以被攻陷主机为支点进行横向移动。 Dream 安全研究员阿迪尔・索尔表示：“未经认证的攻击者通过连接到端口 23 并发送带有多个三元组的特制 SLC 子选项即可触发该漏洞。无需登录，在登录提示出现前的选项协商期间就会触发此漏洞。溢出会破坏内存，并可被转化为任意写入。实际上，这可能导致远程代码执行。由于 telnetd 通常以 root 权限运行（例如在 inetd 或 xinetd 下），成功利用该漏洞将使攻击者完全控制系统。” 在修复程序推出前，如果不必要，建议禁用该服务；在必要情况下，不以 root 权限运行 telnetd；在网络边界和基于主机的防火墙级别封锁端口 23 以限制访问，并隔离 Telnet 访问。 此次漏洞披露距离另一个影响 GNU InetUtils telnetd 的严重安全漏洞（CVE – 2026 – 24061，CVSS 得分：9.8）披露近两个月，据美国网络安全与基础设施安全局称，该漏洞已在实际环境中被主动利用。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果已发布首个 “后台安全改进” 更新，用于修复 iPhone、iPad 和 Mac 上编号为 CVE – 2026 – 20643 的 WebKit 漏洞，且无需进行完整的操作系统升级。 CVE – 2026 – 20643 漏洞可让恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是导航 API 中的一个跨源问题，已通过改进输入验证的方式加以解决。 此漏洞由安全研究员托马斯・埃斯帕赫发现，新更新适用于 iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1 和 macOS 26.3.2 系统。 此次发布是苹果首次通过其新的 “后台安全改进” 功能推送安全修复程序。该功能用于在正常安全更新周期之外，提供小规模的非同步补丁。 苹果解释称：“‘后台安全改进’为 Safari 浏览器、WebKit 框架栈及其他系统库等组件提供轻量级安全更新，这些组件受益于软件更新之间的小型持续性安全补丁。” “在极少数兼容性问题的情况下，‘后台安全改进’更新可能会被暂时移除，然后在后续的软件更新中进行强化。” 过去，苹果的安全更新要求用户安装新的操作系统版本并重启设备。然而，借助 “后台安全改进” 功能，苹果现在可以在后台为特定组件提供小规模更新。 苹果在 iOS 26.1、iPadOS 26.1 和 macOS 26.1 中添加了这一功能，称其旨在快速修复版本发布期间的安全漏洞。 用户可通过设备设置中的 “隐私与安全” 菜单访问该功能。在 iPhone 和 iPad 上，进入 “设置”，然后点击 “隐私与安全”；在 Mac 上，从苹果菜单中选择 “系统设置”，然后点击 “隐私与安全”。 苹果警告称，卸载 “后台安全改进” 更新会移除所有先前应用的后台补丁，将设备恢复到基础操作系统版本（如 iOS 26.3.1），且不包含任何增量安全修复。这实际上会移除通过该功能提供的快速响应安全保护，使设备处于基础安全级别，直到重新应用更新或在未来的完整更新中包含这些更新。 因此，除非基础安全改进在您的设备上引发问题，否则强烈建议不要卸载。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。 朗多克斯僵尸网络最早于去年下半年被详细披露，至少从 2025 年 3 月起就已活跃，当时安全研究人员观察到与之相关的首次攻击尝试。 自 2025 年 4 月起，该僵尸网络的运营者开始进行系统性的漏洞扫描，大多采用 “霰弹枪” 式的方法来入侵设备。 到 10 月时，它已针对 56 个漏洞发起攻击，其中包括一些未分配 CVE 编号的漏洞，12 月，有人发现它在攻击 React2Shell。 如今，BitSight 表示，由于其开发者密切关注漏洞披露信息，在漏洞被分配 CVE 编号之前就展开攻击，该僵尸网络的攻击漏洞列表已扩充至 174 个不同的漏洞。 此外，朗多克斯僵尸网络已将其攻击策略转变为更具针对性的方式。不再像之前观察到的 “霰弹枪” 方法那样，对同一设备发动多种攻击，而是聚焦于那些更有可能导致感染的特定漏洞。 抵御人工智能威胁 朗多克斯僵尸网络与 Mirai 有诸多相似之处，它也以瞄准弱密码和未经清理的输入来获取初始访问权限而闻名。它与 Mirai 的不同之处在于，其重点在于发动分布式拒绝服务（DDoS）攻击，而非扫描和感染更多设备。 为扩大僵尸网络规模，朗多克斯的运营者利用自身基础设施在互联网上扫描易受攻击的设备，然后部署可躲避检测的植入程序，清除其他恶意软件，找到合适的目录来放置主二进制文件并执行。 BitSight 对该僵尸网络的调查显示，它使用了二十多个 IP 地址用于设备攻击、有效载荷分发和僵尸网络管理，其中包括可能属于受感染系统的住宅 IP。 朗多克斯的运营者不断在其攻击漏洞列表中添加和删除漏洞，曾观察到他们在一天内使用多达 49 个漏洞。然而，大多数漏洞很快就被弃用。 BitSight 指出：“在研究每个漏洞的使用频率时，出现了明显的长尾趋势。虽然平均每个漏洞使用 18 天，但在已识别的 174 个漏洞中，近一半（84 个，占 48%）仅被使用一天。这表明他们尝试各种漏洞，并根据每个漏洞的成功率采取行动。” 据这家网络安全公司称，该僵尸网络的运营者似乎密切关注与漏洞相关的发布信息，至少有一次，他们在漏洞公开披露前两天就利用了该安全缺陷。 BitSight 称，尽管他们紧跟新漏洞信息，但运营者未能正确实施针对这些漏洞的可用攻击手段。 这家网络安全公司还指出，该僵尸网络似乎并未使用 “加载器即服务” 来进行分发，且之前有关朗多克斯具备 P2P 功能的报道似乎并不准确。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文