HackerNews 编译，转载请注明出处： Apache Parquet的Java库中存在一个严重安全漏洞，成功利用该漏洞的远程攻击者可在易受攻击的实例上执行任意代码。 Apache Parquet是一种免费开源的列式数据文件格式，专为高效的数据处理和检索而设计，支持复杂数据、高性能压缩和编码方案，最初于2013年推出。 该漏洞编号为CVE-2025-30065，CVSS评分为10.0，是最高 severity 级别。 “Apache Parquet 1.15.0及更早版本的parquet-avro模块中的架构解析存在漏洞，允许恶意行为者执行任意代码，”项目维护者在一份公告中表示。 据Endor Labs称，成功利用该漏洞需要诱骗易受攻击的系统读取特制的Parquet文件以获得代码执行权限。 “该漏洞可能影响导入Parquet文件的数据管道和分析系统，特别是当这些文件来自外部或不可信来源时，”该公司表示。“如果攻击者能够篡改文件，就可能触发该漏洞。” 该缺陷影响所有版本的软件，包括1.15.0版本。该问题已在1.15.1版本中得到解决。亚马逊的Keyi Li被授予发现并报告该漏洞的荣誉。 虽然目前没有证据表明该漏洞已在野外被利用，但Apache项目中的漏洞已成为威胁行为者寻找机会入侵系统和部署恶意软件的焦点。 上个月，Apache Tomcat中的一个严重安全漏洞（CVE-2025-24813，CVSS评分：9.8）在公开披露后30小时内遭到积极利用。 网络安全公司Aqua在本周发布的一项分析中表示，其发现了一项新的攻击活动，针对使用容易猜到的凭据的Apache Tomcat服务器，部署加密的有效载荷，旨在窃取用于横向移动的SSH凭据，并最终劫持系统资源用于非法加密货币挖掘。 这些有效载荷还能够建立持久性，并充当基于Java的Web shell，使攻击者能够在服务器上执行任意Java代码，Aqua的威胁情报总监Assaf Morag表示。 “此外，该脚本旨在检查用户是否具有root权限，如果是，则执行两个函数，以优化CPU消耗以获得更好的加密货币挖掘效果。” 该活动影响Windows和Linux系统，很可能被认为是中国讲威胁行为者所为，因为源代码中存在中文语言注释。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti披露了一个已修补的关键安全漏洞，该漏洞影响其Connect Secure，且已被积极利用。 该漏洞编号为CVE-2025-22457（CVSS评分：9.0），是一个堆栈缓冲区溢出漏洞，可被利用来在受影响系统上执行任意代码。 “Ivanti Connect Secure在22.7R2.6版本之前、Ivanti Policy Secure在22.7R1.4版本之前以及Ivanti ZTA Gateways在22.8R2.2版本之前存在堆栈缓冲区溢出漏洞，允许远程未认证攻击者实现远程代码执行，”Ivanti在周四发布的一份警报中表示。 受影响的产品和版本如下： – Ivanti Connect Secure（22.7R2.5及更早版本）- 在22.7R2.6版本中修复（补丁于2025年2月11日发布） – Pulse Connect Secure（9.1R18.9及更早版本）- 在22.7R2.6版本中修复（由于该设备已于2024年12月31日达到支持结束，需联系Ivanti进行迁移） – Ivanti Policy Secure（22.7R1.3及更早版本）- 在22.7R1.4版本中修复（将于4月21日发布） – ZTA Gateways（22.8R2及更早版本）- 在22.8R2.2版本中修复（将于4月19日发布） Ivanti表示，已知有“少量客户”的Connect Secure和已停止支持的Pulse Connect Secure设备遭到利用。没有证据表明Policy Secure或ZTA网关在野外遭到滥用。 Ivanti指出：“客户应监控其外部ICT，寻找Web服务器崩溃的迹象。如果您的ICT结果显示有被入侵的迹象，您应对设备执行出厂重置，然后使用22.7R2.6版本将设备重新投入生产。” 值得一提的是，Connect Secure 22.7R2.6版本还解决了多个关键漏洞（CVE-2024-38657、CVE-2025-22467和CVE-2024-10644），这些漏洞可能允许远程认证攻击者写入任意文件和执行任意代码。 谷歌旗下的Mandiant在其自己的公告中表示，其在2025年3月中旬观察到CVE-2025-22457被利用的证据，使威胁行为者能够部署一个名为TRAILBLAZE的内存中dropper、一个被动后门BRUSHFIRE以及SPAWN恶意软件套件。 攻击链本质上涉及使用多阶段shell脚本dropper来执行TRAILBLAZE，然后TRAILBLAZE直接将BRUSHFIRE注入到运行中的Web进程的内存中，试图绕过检测。这种利用活动旨在在受入侵的设备上建立持久的后门访问，可能实现凭据窃取、进一步的网络入侵和数据窃取。 SPAWN恶意软件生态系统包括以下组件： – SPAWNSLOTH，一个日志篡改工具，可在SPAWNSNAIL后门运行时禁用日志记录和将日志转发到外部syslog服务器 – SPAWNSNARE，一个基于C的程序，用于将未压缩的Linux内核映像（vmlinux）提取到文件中，并使用AES进行加密 – SPAWNWAVE，SPAWNANT的改进版本，结合了SPAWN的各个元素（与SPAWNCHIMERA和RESURGE重叠） SPAWN的使用被归因于一个与中国有关的对手UNC5221，该对手有利用Ivanti Connect Secure（ICS）设备中的零日漏洞的历史，以及其他集群如UNC5266、UNC5291、UNC5325、UNC5330、UNC5337和UNC3886。 根据美国政府的说法，UNC5221也被评估为与威胁组织如APT27、Silk Typhoon和UTA0178有重叠。然而，威胁情报公司告诉《黑客新闻》，其没有足够的证据来确认这一联系。 “Mandiant将UNC5221追踪为一个活动集群，该集群反复利用边缘设备的零日漏洞，”谷歌威胁情报团队的中国任务技术负责人Dan Perez告诉该出版物。 “政府所称的这个集群与APT27之间的联系是合理的，但我们没有独立证据来确认。Silk Typhoon是微软对这一活动的命名，我们无法对他们的归因发表评论。” 除了利用影响Citrix NetScaler设备的CVE-2023-4966的零日漏洞外，UNC5221还利用了一个由受损Cyberoam设备、QNAP设备和ASUS路由器组成的混淆网络，在入侵操作期间掩盖其真实来源，这一方面也得到了微软早在上个月的强调，详细描述了Silk Typhoon的最新战术。 该公司进一步推测，威胁行为者可能分析了Ivanti在2月发布的补丁，并找到了一种方法来利用旧版本，以针对未修补的系统实现远程代码执行。这一发展标志着UNC5221首次被归因于Ivanti设备中安全漏洞的N-day利用。 “UNC5221的最新活动强调了与中国有关的间谍集团对全球边缘设备的持续攻击，”Mandiant咨询CTO Charles Carmakal表示。 “这些行为者将继续研究安全漏洞，并为企业系统开发定制恶意软件，这些系统不支持EDR解决方案。中国相关间谍行为者的网络入侵活动速度继续增加，这些行为者比以往任何时候都更出色。” 更新： 美国网络安全和基础设施安全局（CISA）于2025年4月4日将CVE-2025-22457添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年4月11日之前应用修复措施，以防范积极的利用努力。 该机构还建议客户对设备进行出厂重置，“以获得最高级别的信心”，在发生入侵的情况下将受影响的实例隔离并断开与网络的连接，并轮换密码。 “组织进行自己的分析至关重要，行业在做出风险决策时继续独立审查漏洞及其可利用性和影响，”watchTowr首席执行官Benjamin Harris表示。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软认可了一个以EncryptHub身份活动的独狼黑客，他发现了Windows中的两个安全漏洞，并于上个月报告了这些漏洞。这位黑客被描述为一个“矛盾”的个体，他在网络安全领域有着合法的职业生涯，同时也涉足网络犯罪。 瑞典安全公司Outpost24 KrakenLabs发布了一项新的深入分析，揭露了这位新兴网络犯罪分子的身份。大约十年前，这位黑客离开了他在乌克兰哈尔科夫的家乡，搬到了罗马尼亚海岸附近的一个新地方。 微软将这两个漏洞归功于一个名为“SkorikARI with SkorikARI”的用户，据评估这是EncryptHub的另一个用户名。这两个漏洞已在上个月的Patch Tuesday更新中被修复，具体如下： – CVE-2025-24061（CVSS评分：7.8）- 微软Windows Mark-of-the-Web（MotW）安全功能绕过漏洞 – CVE-2025-24071（CVSS评分：6.5）- 微软Windows文件资源管理器欺骗漏洞 EncryptHub还被追踪为LARVA-208和Water Gamayun，他在2024年中期因利用一个虚假的WinRAR网站分发各种恶意软件而受到关注，这些恶意软件托管在一个名为“encrypthub”的GitHub存储库中。 最近几周，这位威胁行为者被归因于微软管理控制台（CVE-2025-26633，CVSS评分：7.0，也称为MSC EvilTwin）的零日漏洞利用，以交付信息窃取器和以前未记录的后门，名为SilentPrism和DarkWisp。 据PRODAFT估计，在过去九个月的运营中，EncryptHub已经攻陷了超过618个高价值目标，涵盖多个行业。 “我们调查过程中分析的所有数据都指向一个单独的个体的行为，”Outpost24的高级威胁情报分析师Lidia Lopez告诉《黑客新闻》。 “然而，我们不能排除与其他威胁行为者合作的可能性。在一个用于监控感染统计数据的Telegram频道中，还有另一个拥有管理权限的Telegram用户，这表明可能有其他没有明确组织隶属关系的人提供合作或帮助。” Outpost24表示，他们能够从“由于糟糕的操作安全实践导致的演员自我感染”中拼凑出EncryptHub的在线足迹，从而揭示了其基础设施和工具的新方面。 这位个体被认为在搬到罗马尼亚附近的一个未指明地点后保持低调，通过在线课程自学计算机科学，同时在业余时间寻找与计算机相关的工作。 然而，这位威胁行为者的所有活动在2022年初突然停止，这与俄乌战争的开始相吻合。Outpost24表示，他们发现的证据表明，他当时被监禁。 “释放后，他恢复了求职，这次提供自由职业的网络和应用程序开发服务，这获得了一些关注，”该公司在报告中表示。“但薪酬可能不够，短暂尝试漏洞赏金计划后未获成功，我们相信他在2024年上半年转向了网络犯罪。” EncryptHub在网络犯罪领域的早期尝试之一是Fickle Stealer，这是Fortinet FortiGuard Labs在2024年6月首次记录的一种基于Rust的信息窃取恶意软件，通过多个渠道分发。 在最近与安全研究员g0njxa的一次采访中，这位威胁行为者声称Fickle“在StealC或Rhadamantys（拼写错误）永远无法工作的系统上提供结果”，并且它“通过高质量的企业防病毒系统”。他们还表示，这个窃取器不仅被私下共享，而且还是他们另一个名为EncryptRAT的产品的“核心”部分。 “我们能够将Fickle Stealer与之前与EncryptHub相关的别名联系起来，”Lopez说。“此外，与该活动相关的其中一个域名与他合法自由职业工作的基础设施相匹配。从我们的分析来看，我们估计EncryptHub的网络犯罪活动始于2024年3月左右。Fortinet在6月的报告可能标志着这些行动的首次公开记录。” EncryptHub还被发现广泛依赖OpenAI的ChatGPT来协助恶意软件开发，甚至利用它来帮助翻译电子邮件和消息，并作为一种忏悔工具。 “EncryptHub的案例突显了糟糕的操作安全仍然是网络犯罪分子最严重的弱点之一，”Lopez指出。“尽管技术复杂，但基本错误——如密码重复使用、暴露的基础设施以及将个人活动与犯罪活动混为一谈——最终导致了他的曝光。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司警告管理员立即修补Cisco Smart Licensing Utility（CSLU）中的严重漏洞，该漏洞暴露了一个内置的后门管理员账户，目前已被攻击者利用。 CSLU是一款Windows应用程序，用于在本地管理许可证和关联产品，而无需连接至思科云端的Smart Software Manager解决方案。   思科于2024年9月修补了该安全漏洞（CVE-2024-20439），并将其描述为“未公开的静态用户凭证”，攻击者可通过CSLU应用程序的API远程登录未修补的系统，获取管理员权限。   CVE-2024-20439仅影响运行受漏洞影响版本的CSLU系统，但只有在用户手动启动CSLU应用程序时才会被利用（默认情况下不会在后台运行）。   Aruba威胁研究员Nicholas Starke在思科发布补丁两周后，逆向分析了该漏洞，并发布了包含详细技术信息的报告，其中包括解码后的硬编码静态密码。   思科在周二更新的安全公告中表示：“2025年3月，思科产品安全事件响应团队（PSIRT）发现该漏洞在野外环境中已被尝试利用。思科继续强烈建议客户尽快升级至修复后的软件版本。”   与第二个漏洞联动利用   尽管思科未公开这些攻击的具体细节，但SANS技术研究院研究主任Johannes Ullrich上月发现，有攻击者利用后门管理员账户攻击暴露在互联网上的CSLU实例。   Ullrich指出，威胁行为者正将CVE-2024-20439漏洞与另一个严重的信息泄露漏洞（CVE-2024-20440）结合使用。未经身份验证的攻击者可通过发送精心构造的HTTP请求，访问易受攻击设备中的日志文件，获取API凭证等敏感数据。   “虽然当时的快速搜索未发现任何活跃的攻击行为，但Nicholas Starke在思科发布公告后不久就在博客中公开了后门凭证，因此现在看到部分攻击活动并不意外。”Ullrich表示。   本周一，美国网络安全与基础设施安全局（CISA）将CVE-2024-20439的静态凭证漏洞加入其“已知被利用漏洞目录”，并要求美国联邦机构在三周内（即4月21日前）保护系统免受该漏洞的主动利用。   近年来，这并非思科产品中首次发现并移除后门账户。在此之前，思科的IOS XE、广域网应用服务（WAAS）、数字网络架构（DNA）中心和应急响应软件中也曾发现硬编码凭证漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了谷歌云平台（GCP）云运行服务（Cloud Run）的一个现已修复的权限提升漏洞。该漏洞可能会让恶意攻击者访问容器镜像，甚至注入恶意代码。 据网络安全公司Tenable的安全研究员利夫·马坦（Liv Matan）称，该漏洞允许攻击者利用其在谷歌云运行服务中的修订编辑权限，拉取同一账户中的私有谷歌工件仓库（Google Artifact Registry）和谷歌容器仓库（Google Container Registry）镜像。这一安全漏洞被Tenable命名为“ImageRunner”，谷歌已于2025年1月28日完成修复。 谷歌云运行服务是一种完全托管的服务，用于在可扩展的无服务器环境中运行容器化应用程序。当使用该技术运行服务时，会通过指定镜像URL从工件仓库（或Docker Hub）拉取容器镜像以进行后续部署。 问题在于，某些身份虽然没有容器仓库权限，但却拥有谷歌云运行服务修订的编辑权限。每次部署或更新云运行服务时，都会创建一个新版本，而每次部署云运行修订时，都会使用服务代理账户来拉取必要的镜像。 如果攻击者在受害者的项目中获得了特定权限（特别是`run.services.update`和`iam.serviceAccounts.actAs`权限），他们可以修改云运行服务并部署一个新修订版本。在此过程中，攻击者可以指定服务拉取项目内任何私有容器镜像。此外，攻击者还可以访问受害者仓库中存储的敏感或专有镜像，并引入恶意指令，这些指令在执行时可能会被利用来提取机密信息、窃取敏感数据，甚至向攻击者控制的机器打开反向Shell。 谷歌发布的补丁现在确保创建或更新云运行资源的用户或服务账户必须明确拥有访问容器镜像的权限。谷歌在其2025年1月的云运行发布说明中表示：“创建或更新云运行资源的主体（用户或服务账户）现在需要明确的权限来访问容器镜像。”当使用工件仓库时，确保主体在包含容器镜像的项目或仓库上具有工件仓库读者（roles/artifactregistry.reader）IAM角色。 Tenable将“ImageRunner”描述为其所谓的“Jenga”现象的一个实例，这种现象是由于各种云服务的相互关联性导致安全风险传递。“云服务提供商在其现有服务的基础上构建服务。如果一个服务受到攻击或被攻破，那么在其基础上构建的其他服务也会继承风险并变得脆弱。”这种场景为攻击者提供了发现新的权限提升机会甚至漏洞的可能性，同时也为防御者引入了新的隐藏风险。 此次披露发生在Praetorian详细描述较低权限主体如何滥用Azure虚拟机（VM）以控制Azure订阅的几周之后。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司在周一为旧型号和旧版本操作系统回溯修复了三个近期在野外被积极利用的漏洞。 以下是相关漏洞： – CVE-2025-24085（CVSS评分：7.3）——核心媒体组件中的一个use-after-free漏洞，可能允许已安装在设备上的恶意应用程序提升权限。 – CVE-2025-24200（CVSS评分：4.6）——辅助功能组件中的一个授权问题，可能使恶意行为者能够在锁定设备上禁用USB限制模式，作为网络物理攻击的一部分。 – CVE-2025-24201（CVSS评分：8.8）——WebKit组件中的一个越界写入问题，可能允许攻击者创建恶意网页内容，从而突破网页内容沙箱。 这些更新现已适用于以下操作系统版本： – CVE-2025-24085 —— 已在macOS Sonoma 14.7.5、macOS Ventura 13.7.5和iPadOS 17.7.6中修复。 – CVE-2025-24200 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 – CVE-2025-24201 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 这些修复涵盖了以下设备： – iOS 15.8.4和iPadOS 15.8.4 —— 适用于iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和iPod touch（第七代）。 – iOS 16.7.11和iPadOS 16.7.11 —— 适用于iPhone 8、iPhone 8 Plus、iPhone X、iPad第五代、iPad Pro 9.7英寸和iPad Pro 12.9英寸第一代。 – iPadOS 17.7.6 —— 适用于iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代。 苹果公司还发布了iOS 18.4和iPadOS 18.4来修复62个漏洞，macOS Sequoia 15.4来修复131个漏洞，tvOS 18.4来修复36个漏洞，visionOS 2.4来修复38个漏洞，以及Safari 18.4来修复14个漏洞。 尽管新披露的这些漏洞尚未被积极利用，但建议用户将其设备更新至最新版本，以防范潜在威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 戴尔科技公司发布了一项关键安全更新，以解决其 Unity 企业存储系统中的多个严重漏洞。这些漏洞可能允许攻击者以 root 权限执行任意命令、删除关键系统文件，并在无需身份验证的情况下进行其他恶意活动。 安全研究人员发现了 16 个不同的漏洞，这些漏洞影响运行 5.4 版本及更早版本的戴尔 Unity、UnityVSA 和 Unity XT 存储系统，其中最严重的漏洞在通用漏洞评分系统（CVSS）中的评分为 9.8 分。   CVE-2025-22398：远程 root 命令执行   CVE-2025-22398（CVSS 评分 9.8）允许通过未经身份验证的远程命令执行以 root 权限完全接管系统。攻击者可以构造针对 Unity API 的恶意网络请求，注入能以完全管理员权限执行的操作系统命令。这一漏洞使各组织面临着被部署勒索软件、数据被窃取以及被安装持久后门程序的风险。   戴尔发布安全公告明确指出，对该漏洞的利用“可能会导致系统被攻击者接管”，其接近满分的 CVSS 评分反映出该漏洞具有网络可访问性、攻击难度低以及会导致机密性 / 完整性 / 可用性完全丧失等特点。   CVE-2025-24383：特权文件删除   CVE-2025-24383（CVSS 评分 9.1）漏洞使得攻击者能够以 root 权限通过未经身份验证的远程操作删除任意文件，从而对文件系统造成同样危险的破坏。攻击者可以删除关键的系统二进制文件、配置文件或数据存储，这有可能会使存储操作陷入瘫痪，或者为后续攻击创造条件。   虽然由于该漏洞对机密性的影响较小（无影响对比高影响），其评分略低，但它与 CVE-2025-22398 漏洞具有相同的攻击途径和特权提升严重程度。   其他安全漏洞   该安全公告还详细说明了 CVE-2025-24381 漏洞，这是一个开放重定向漏洞，评分为 8.8 分，攻击者可能会利用该漏洞通过恶意重定向进行网络钓鱼攻击和会话窃取。   进一步加剧风险的是多个本地特权提升漏洞（CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386），CVSS 评分为 7.8 分，这些漏洞使得低权限的本地用户能够以 root 权限执行命令。   另外还有两个命令注入漏洞（CVE-2024-49601 和 CVE-2025-24382），CVSS 评分为 7.3 分，使得未经身份验证的远程攻击者能够执行影响程度较低的命令。   戴尔对负责任地披露这些漏洞的安全研究人员表示感谢：“prowser” 发现了关键的远程命令注入漏洞，而来自 Ubisectech Sirius 团队的 “zzcentury” 和 “xiaohei” 发现了本地特权提升漏洞。   受影响产品及修复措施   这些漏洞影响了戴尔广受欢迎的企业存储系统，包括运行 5.4 版本及更早版本的 Unity、UnityVSA 和 Unity XT。   戴尔已发布了 Dell Unity 操作环境（OE）5.5.0.0.5.259 版本作为修复方案，并强烈建议所有客户立即进行升级。   使用受影响的戴尔 Unity 系统的组织应评估自身面临的风险，实施推荐的更新，并在这些关键漏洞尚未修复期间监控是否存在被攻击利用的迹象。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 佳能已发布一项重要的安全公告，内容涉及在该公司多款打印机驱动程序中检测到的一个严重漏洞，攻击者可能利用该漏洞在受影响的系统上执行任意代码。 这个被认定为 CVE-2025-1268 的漏洞，在通用漏洞评分系统（CVSS）基础评分中达到了 9.4 的高危分值，这表明受影响的佳能产品用户面临着重大的安全隐患。 严重越界漏洞详情 安全研究人员发现了一个越界漏洞，该漏洞特别影响到多款佳能 Generic Plus 打印机驱动程序中的 EMF（增强型图元文件）重新编码处理功能。 当通过受攻击的应用程序处理打印任务时，这个漏洞有可能使恶意行为者得以执行任意代码。这个漏洞的严重性体现在其 9.4 的 CVSS 评分上，使其被归入 “严重” 的安全等级，需要系统管理员和用户立即予以关注。 此外，这个漏洞尤其令人担忧，因为利用该漏洞无需权限、用户交互或特殊访问条件。这一分类意味着远程攻击者有可能以相对较低的难度利用这个漏洞。 该漏洞不仅可能扰乱打印操作，还可能成为更复杂攻击的切入点，使得未经授权的代码得以执行，从而危及系统的完整性和数据安全。 佳能对 Microsoft 攻击研究与安全工程团队（MORSE）负责任地报告这一漏洞表示感谢，特别认可研究人员 Robert Ord 在识别 CVE-2025-1268 漏洞方面所做出的贡献。 以下是该漏洞的概述： 风险因素 详情 受影响产品 – Generic Plus PCL6 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus UFR II 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPS4 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPSLX 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus PS 打印机驱动程序（V3.12 及更早版本） 影响 任意代码执行或干扰打印操作。 利用前提条件 无需权限、用户交互或特殊访问条件；可远程利用。 CVSS 3.1 评分 9.4（严重） 受影响的打印机驱动程序 佳能已确认该漏洞影响以下版本的打印机驱动程序： Generic Plus PCL6 打印机驱动程序 ——V3.12 及更早版本 Generic Plus UFR II 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPS4 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPSLX 打印机驱动程序 ——V3.12 及更早版本 Generic Plus PS 打印机驱动程序 ——V3.12 及更早版本 这些驱动程序广泛应用于佳能的各种生产型打印机、办公 / 小型办公多功能打印机以及激光打印机，有可能影响到全球成千上万的机构和个人用户。 佳能已开发出更新的打印机驱动程序来解决这一安全问题。该公司强烈建议所有用户通过当地佳能销售代表的网站安装最新版本的打印机驱动程序。 用户应优先进行此更新，以降低针对该漏洞的潜在攻击风险。 为了全面保护，IT 管理员应考虑实施额外的安全控制措施，例如对打印服务器进行网络分段以及加强对可疑打印活动的监控。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软利用其AI驱动的安全副驾工具，在开源引导程序GRUB2、U-Boot和Barebox中发现了20个此前未知的漏洞。 GRUB2（GRand Unified Bootloader）是大多数Linux发行版的默认引导程序，包括Ubuntu，而U-Boot和Barebox则广泛用于嵌入式和物联网设备。 微软在GRUB2中发现了11个漏洞，包括文件系统解析器中的整数和缓冲区溢出、命令缺陷以及密码比较中的侧信道攻击。 此外，在U-Boot和Barebox中还发现了9个缓冲区溢出漏洞，这些漏洞涉及解析SquashFS、EXT4、CramFS、JFFS2和符号链接，需要物理访问才能利用。 这些新发现的漏洞影响依赖UEFI安全启动的设备，如果条件合适，攻击者可以绕过安全保护来在设备上执行任意代码。 虽然利用这些漏洞可能需要对设备进行本地访问，但此前的引导程序攻击（如BlackLotus）是通过恶意软件感染实现的。 微软解释称：“虽然威胁行为者可能需要物理访问设备才能利用U-Boot或Barebox漏洞，但在GRUB2的情况下，漏洞可能被进一步利用来绕过安全启动并安装隐蔽的引导程序，或者可能绕过其他安全机制，如BitLocker。” “安装此类引导程序的后果是严重的，因为这可以授予威胁行为者对设备的完全控制，允许他们控制启动过程和操作系统，危及网络上的其他设备，并进行其他恶意活动。” “此外，这可能导致在操作系统重新安装或硬盘更换后仍然存在的持久性恶意软件。” 以下是微软在GRUB2中发现的漏洞摘要： CVE-2024-56737 – HFS文件系统挂载中的缓冲区溢出，由于对非空终止字符串的不安全strcpy操作 CVE-2024-56738 – 密码比较函数中的侧信道攻击（grub_crypto_memcmp不是恒定时间） CVE-2025-0677 – UFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0678 – Squash4文件读取中的整数溢出导致缓冲区溢出 CVE-2025-0684 – ReiserFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0685 – JFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0686 – RomFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0689 – UDF块处理中的越界读取 CVE-2025-0690 – 读取命令（键盘输入处理程序）中的有符号整数溢出和越界写入 CVE-2025-1118 – dump命令允许任意内存读取（应在生产环境中禁用） CVE-2025-1125 – HFS压缩文件打开中的整数溢出导致缓冲区溢出 除CVE-2025-0678被评为“高”（CVSS v3.1评分：7.8）外，所有上述漏洞均被评为中等严重性。 微软表示，安全副驾显著加速了在大型和复杂的代码库（如GRUB2）中的漏洞发现过程，节省了大约一周的时间，这些时间本将用于手动分析。 副驾识别漏洞并建议修复措施（来源：微软） AI工具不仅识别了此前未知的漏洞，还提供了针对性的缓解建议，这可以为开源项目（由志愿者和小型核心团队支持）提供指导，并加速安全补丁的发布。 利用分析中的发现，微软表示安全副驾在使用共享代码的项目中也发现了类似的漏洞，如U-Boot和Barebox。 GRUB2、U-Boot和Barebox在2025年2月发布了针对这些漏洞的安全更新，因此升级到最新版本应能缓解这些漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个疑似俄罗斯的黑客组织 Water Gamayun（也被称为 EncryptHub 和 LARVA-208）利用微软 Windows 系统中最近修补的安全漏洞 CVE-2025-26633，部署了两款新的后门程序 SilentPrism 和 DarkWisp。 Water Gamayun 主要通过恶意配置包（.ppkg）、签名的 Microsoft 安装程序文件（.msi）和 Windows 管理控制台文件（.msc）来部署恶意负载。此次攻击利用了 CVE-2025-26633（也被称为 MSC EvilTwin），该漏洞存在于微软管理控制台（MMC）框架中，攻击者通过恶意的 Microsoft 控制台文件（.msc）来执行恶意软件。 – SilentPrism：这是一个 PowerShell 植入程序，能够实现持久化、同时执行多个 shell 命令，并保持远程控制，同时还具备反分析技术以逃避检测。 – DarkWisp：该后门程序能够进行系统侦察、窃取敏感数据并实现持久化。 – Rhadamanthys Stealer：通过 MSC EvilTwin 加载器部署，该加载器利用 CVE-2025-26633 执行恶意的 .msc 文件，最终部署该窃密程序。 攻击链涉及使用配置包（.ppkg）、签名的 Windows 安装程序文件（.msi）和 .msc 文件来传递信息窃取器和后门程序，这些程序能够实现持久化和数据窃取。此外，攻击者还通过恶意的 .msi 安装程序伪装成合法的通讯和会议软件（如钉钉、QQTalk 和 VooV Meeting），执行 PowerShell 下载器以获取和运行下一阶段的负载。 – Water Gamayun 还被发现利用其他商品化窃密程序（如 StealC）以及三种定制的 PowerShell 变体（EncryptHub 窃密程序变体 A、B 和 C）。 – 这些变体均基于开源的 Kematian 窃密程序修改而成，能够收集系统信息、提取 Wi-Fi 密码、Windows 产品密钥、剪贴板历史记录、浏览器凭证以及与通讯、VPN、FTP 和密码管理相关的应用程序的会话数据。 – 攻击者还利用恶意 MSI 包或二进制恶意程序传播其他恶意软件家族，如 Lumma Stealer、Amadey 和剪切板劫持器。 趋势科技提醒，Water Gamayun 在攻击中使用了多种交付方法和技术，例如通过签名的 Microsoft 安装程序文件传递恶意负载，并利用本地工具（LOLBAS）等手段，这表明其在入侵受害者系统和数据方面具有很强的适应性。建议用户及时更新系统，修补相关漏洞，以防止此类攻击。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文