HackerNews 编译，转载请注明出处：

FBI 查封了网络犯罪论坛 LeakBase，该论坛是网络犯罪分子买卖黑客工具和被盗数据的主要平台。

...

HackerNews 编译，转载请注明出处：

黑客于周二在一个网络犯罪论坛上宣布了此次入侵。根据其声明，他们曾试图向 LexisNexis 勒索但未成功。

...

HackerNews 编译，转载请注明出处：

思科修复了两个高危 Secure FMC 漏洞，攻击者可利用其获取受管理防火墙的 root 权限。

...

HackerNews 编译，转载请注明出处：

LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。

...

HackerNews 编译，转载请注明出处：

FreeScout 客服平台存在一个最高危漏洞，允许黑客在无需用户交互、无需身份认证的情况下实现远程代码执行（RCE）。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员警告，在美以针对伊朗发动代号为 Epic Fury 和 Roaring Lion 的联合军事行动后，报复性黑客行动主义活动激增。

...

HackerNews 编译，转载请注明出处：

美国网络安全与基础设施安全局（CISA）已将VMware Aria Operations漏洞（CVE-2026-22719）列入已知被利用漏洞（KEV）目录，标记该漏洞正被攻击者利用。

博通公司亦警告称注意到相关利用报告，但无法独立核实。VMware Aria Operations是企业监控平台，用于追踪服务器、网络及云基础设施性能与健康状况。

该漏洞最初于2026年2月24日披露并修复，VMware VMSA-2026-0001公告评级为"重要"，CVSS评分8.1。CISA要求联邦民用机构在2026年3月24日前修复此问题。

博通在公告更新中表示："注意到CVE-2026-22719野外潜在利用报告，但无法独立确认其有效性。"目前该漏洞利用技术细节尚未公开。

据博通说明，CVE-2026-22719为命令注入漏洞，未经身份验证的攻击者可执行任意命令。"恶意未认证攻击者可能在VMware Aria Operations支持辅助产品迁移过程中利用此问题执行任意命令，导致远程代码执行。"

博通于2月24日发布安全补丁，并为无法立即打补丁的组织提供临时缓解方案。该方案为名为"aria-ops-rce-workaround.sh"的shell脚本，需以root权限在每个Aria Operations设备节点执行，用于禁用迁移过程中可能被滥用的组件。

管理员被建议尽快应用安全补丁或实施缓解措施，尤其在该漏洞正被主动利用的情况下。

...

HackerNews 编译，转载请注明出处：

网络安全研究员Gjoko Krstic披露霍尼韦尔IQ4楼宇管理控制器存在高危漏洞，但厂商对严重性提出异议。

Krstic指出，该产品出厂默认配置未认证即暴露基于网页的人机界面。若配置不当且设置时未启用用户模块，远程攻击者可在合法用户前创建管理员账户，“有效锁定合法操作员的本地及网页端配置管理权限"。该漏洞可能影响学校、商业建筑等设施。

研究员于2025年12月向霍尼韦尔报告，但厂商拒绝发布补丁，称IQ4设计用于本地部署，不应暴露于互联网。"设备交付时未配置，由 trained 技术人员安装后才运行，"霍尼韦尔声明称，"所述场景仅可能在系统激活前的短暂安装阶段，或故意禁用安全设置时出现。此时设备无法监控或控制任何设备，不影响运营。"

Krstic反驳称发现近7500个互联网暴露实例，约20%无需认证即可访问，并否认厂商"未完全设置则无法控制设备"的说法："我遇到过未创建用户账户的安装环境，能够写入照明、温度等组件变更，关闭锅炉或制冷机。"

SecurityWeek确认大量IQ4界面实例暴露于互联网，但未核实其他说法。Krstic表示该漏洞CVE编号待分配，并已联系卡内基梅隆大学CERT协调中心介入调解。

...

HackerNews 编译，转载请注明出处：

纽约地标麦迪逊广场花园（MSG）确认遭数据泄露，涉及2025年针对甲骨文电子商务套件（EBS）的大规模网络犯罪活动。

MSG是全球著名多功能室内场馆，位于纽约市，承办体育赛事、演唱会及娱乐活动，为NBA尼克斯队和NHL游骑兵队主场。

该事件于攻击发生数月后披露，MSG成为利用甲骨文EBS环境漏洞实施大规模黑客行动的众多受害组织之一。

2025年11月，Cl0p勒索软件组织利用零日漏洞入侵包括MSG在内的100多家机构。MSG拒绝支付赎金后，该勒索组织泄露超210GB公司存档文件。

MSG向缅因州总检察长办公室提交的通知信显示："甲骨文EBS由供应商托管管理，用于部分人力和财务运营。甲骨文通知客户，应用程序中此前未披露的条件被未经授权者利用以获取数据，据称超过100家公司受影响。供应商于2025年11月下旬调查确定，未经授权者于2025年8月获取部分应用数据。经审查，涉及招聘或付款相关的业务记录文件，并于2025年12月确认包含姓名和社会保障号的文件受影响。"

2025年10月，甲骨文发布紧急补丁修复EBS中关键漏洞CVE-2025-61882（CVSS评分9.8）。该漏洞被Cl0p利用实施数据窃取，未经身份验证的远程攻击者可借此控制甲骨文并发处理组件。

MSG已报警并开始通知受影响个人，同时通过TransUnion旗下Cyberscout为受害者提供免费一年信用监控、报告及评分服务，以检测个人信息滥用并提供身份盗窃保护。

MSG表示："已确认供应商成功实施甲骨文推荐的应用防护措施以防止再次发生，并已通知执法部门。"

...

HackerNews 编译，转载请注明出处：

Palo Alto Networks研究人员发现谷歌Chrome浏览器漏洞（CVE-2026-0628），恶意扩展程序可利用该漏洞控制Gemini Live AI助手，实施用户监控并窃取敏感文件。

报告指出："我们在Chrome新版Gemini功能实现中发现高危安全漏洞，攻击者可借此侵入浏览器环境并访问本地操作系统文件。具体而言，该漏洞允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live。"

Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。作为"AI浏览器"核心组件，其深度集成带来便利的同时也产生风险。

该漏洞于Chrome 143版本修复。拥有declarativeNetRequests权限的恶意扩展可向Gemini面板注入JavaScript代码，而非仅限于标准Gemini标签页。由于面板是可信浏览器组件，劫持后可获得超越普通扩展的提权能力，包括访问本地文件、截图、摄像头和麦克风，无需用户额外授权即可实施钓鱼或监控。

研究人员向谷歌演示了普通扩展劫持Gemini面板后可执行的操作：实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图。

基于扩展的攻击常被低估，但AI浏览器功能提升了风险等级。该漏洞于2025年10月23日负责任披露给谷歌，2026年1月初修复。报告结论称："尽管AI浏览器功能可改善用户体验，持续监控潜在安全漏洞至关重要。"

...