HackerNews 编译，转载请注明出处： 据国际特赦组织的一份新报告，一名 23 岁的塞尔维亚青年活动人士的安卓手机成为 Cellebrite 开发的零日漏洞的目标，该漏洞被用于解锁其设备。 “一名学生抗议者的安卓手机被一个针对安卓 USB 驱动程序的复杂零日漏洞链利用并解锁，该漏洞链由 Cellebrite 开发，” 这家国际非政府组织表示，并补充说该漏洞的痕迹是在 2024 年年中的一起单独案件中发现的。 此次漏洞事件涉及的漏洞是 CVE-2024-53104（CVSS 评分：7.8），这是一个名为 USB 视频类（UVC）驱动程序的内核组件中的提权漏洞。2024 年 12 月，Linux 内核发布了该漏洞的补丁，并于本月早些时候在安卓系统中得到修复。 据悉，CVE-2024-53104 被与其他两个漏洞结合使用——CVE-2024-53197 和 CVE-2024-50302，这两个漏洞已在 Linux 内核中得到解决，但尚未包含在安卓安全公告中。 CVE-2024-53197（CVSS 评分：暂无）：Extigy 和 Mbox 设备的越界访问漏洞 CVE-2024-50302（CVSS 评分：5.5）：一个未初始化资源使用漏洞，可用于泄露内核内存 “该针对 Linux 内核 USB 驱动程序的漏洞利用使 Cellebrite 的客户能够在拥有物理访问权限的情况下，绕过安卓手机的锁屏并获得设备的特权访问权限，” 国际特赦组织表示。 “此案例突显了现实世界中的攻击者如何利用安卓的 USB 攻击面，利用 Linux 内核中支持的广泛传统 USB 内核驱动程序。” 这名活动人士化名为 “Vedran”，以保护其隐私。2024 年 12 月 25 日，他参加了一场在贝尔格莱德的学生抗议活动后，被带往警察局，手机被没收。 国际特赦组织的分析发现，该漏洞被用于解锁他的三星 Galaxy A32 手机，当局试图安装一个未知的安卓应用程序。尽管该安卓应用程序的确切性质尚不清楚，但其操作方式与 2024 年 12 月中旬报告的 NoviSpy 间谍软件感染一致。 本周早些时候，Cellebrite 表示，其工具并非旨在促进任何类型的进攻性网络活动，并且公司积极遏制其技术的滥用。 这家以色列公司还表示，将不再允许塞尔维亚使用其软件，称 “我们认为此时停止相关客户使用我们的产品是合适的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英伟达（NVIDIA）发布了一项安全更新，以解决影响其 Jetson AGX Orin 系列和 IGX Orin 设备的高严重性漏洞，该漏洞编号为 CVE-2024-0148，可能允许具有物理访问权限的攻击者执行恶意代码。 安全公告指出，该漏洞存在于 UEFI 固件的 RCM 启动模式中，可能允许具有物理访问权限的未授权攻击者加载不受信任的代码。如果被利用，这可能导致代码执行、权限提升、数据篡改、拒绝服务和信息泄露。 “英伟达 Jetson Linux 和 IGX OS 映像在 UEFI 固件 RCM 启动模式中存在漏洞，具有物理访问权限的未授权攻击者可以加载不受信任的代码，”英伟达在安全公告中表示。 该漏洞的 CVSS 基础评分为 7.6，被归类为高严重性威胁。 英伟达已为受影响的平台发布了补丁： CVE ID 受影响产品 平台/操作系统 受影响版本 更新版本 CVE-2024-0148 NVIDIA IGX Orin IGX OS 所有 IGX 1.1 之前的版本 IGX 1.1 CVE-2024-0148 Jetson AGX Orin 系列 Jetson Linux 所有 36.4.3 之前的版本 36.4.3 英伟达建议所有用户立即升级其软件，以降低被利用的风险。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   美国网络安全与基础设施安全局（CISA）周二将影响微软合作伙伴中心（Microsoft Partner Center）和 Synacor Zimbra 协作套件（ZCS）的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 这两个漏洞分别是： CVE-2024-49035（CVSS 评分：8.7）：微软合作伙伴中心的一个不当访问控制漏洞，允许攻击者提升权限。（已于 2024 年 11 月修复） CVE-2023-34192（CVSS 评分：9.0）：Synacor ZCS 的一个跨站脚本（XSS）漏洞，允许远程认证攻击者通过特制脚本向 /h/autoSaveDraft 函数执行任意代码。（已于 2023 年 7 月通过 8.8.15 补丁 40 修复） 去年，微软确认 CVE-2024-49035 已在野外被利用，但未透露其在实际攻击中如何被武器化的更多细节。目前尚无 CVE-2023-34192 在野外被利用的公开报告。 鉴于此情况，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 18 日之前应用必要的更新，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员穆罕默德·沙哈特披露了影响GatesAir Maxiva UAXT和VAXT发射机的三项关键漏洞。这些广泛部署的发射机被用于广播、交通和公共安全等多个行业。如果被利用，这些漏洞可能导致严重后果，包括会话劫持、数据泄露和系统全面沦陷。 漏洞详情如下： CVE-2025-22960（会话劫持）：此漏洞允许未经身份验证的攻击者访问暴露的日志文件，可能会泄露敏感的会话相关信息，如会话ID和身份验证令牌。攻击者可利用此漏洞劫持活跃会话，获得未授权访问权限，并在受影响设备上提升权限。 CVE-2025-22961（数据泄露）：攻击者可通过公开暴露的URL直接访问敏感数据库备份文件（snapshot_users.db）。此漏洞可能导致敏感用户数据泄露，包括登录凭证，进而可能导致系统全面沦陷。 CVE-2025-22962（远程代码执行）：当调试模式启用时，拥有有效会话ID的攻击者可发送精心构造的POST请求，在底层系统上执行任意命令。这一关键漏洞可导致系统全面沦陷，包括未授权访问、权限提升以及可能的设备完全接管。 沙哈特还公布了这些漏洞的概念验证利用代码，这加剧了这些漏洞的严重性，使得恶意行为者更容易利用这些漏洞。这凸显了立即采取行动以缓解风险的紧迫性。 GatesAir尚未为这些漏洞发布补丁。在此期间，建议使用受影响发射机的组织采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件实施严格的文件权限。 避免记录敏感的会话相关数据。 在存储前对敏感数据进行加密。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用GatesAir Maxiva UAXT和VAXT发射机的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚软件公司 Atlassian 修复了 Bamboo、Bitbucket、Confluence、Crowd 和 Jira 产品中的 12 个关键和高危漏洞。 Atlassian 发布了安全补丁，以解决这些产品中的漏洞。其中最严重的漏洞包括： CVE-2024-50379（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在远程代码执行（RCE）漏洞。该漏洞是 Apache Tomcat 中的一个 TOCTOU 竞态条件，允许在大小写不敏感的文件系统上通过非默认的写启用 servlet 进行 RCE。受影响版本：9.0.0.M1-9.0.97、10.1.0-M1-10.1.33、11.0.0-M1-11.0.1。更新至 9.0.98、10.1.34 或 11.0.2。 CVE-2024-56337（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在 RCE 漏洞。该漏洞是 Apache Tomcat 的 TOCTOU 漏洞，由对 CVE-2024-50379 的不完全缓解引起。受影响版本：9.0.0-M1–9.0.97、10.1.0-M1–10.1.33、11.0.0-M1–11.0.1。需要在大小写不敏感的文件系统上进行额外配置。修复版本：Tomcat 9.0.99、10.1.35 和 11.0.3。 CVE-2024-52316（CVSS 评分为 9.8）：Crowd Data Center 和 Server 中的 Apache Tomcat 依赖项存在认证绕过和会话管理（BASM）漏洞。Apache Tomcat 的 Jakarta Authentication 中的一个未检查错误可能导致认证绕过，如果自定义 ServerAuthContext 在未设置 HTTP 状态的情况下失败。受影响版本：9.0.0-M1–9.0.95、10.1.0-M1–10.1.30、11.0.0-M1–11.0.0-M26。更新至 9.0.96、10.1.31 或 11.0.0。 Atlassian 未披露这些漏洞是否已在野外被利用。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）警告称，Craft CMS 的一个远程代码执行漏洞正在被利用进行攻击。 该漏洞被追踪为 CVE-2025-23209，是一个高严重性（CVSS v3 评分：8.0）的代码注入（RCE）漏洞，影响 Craft CMS 4 和 5 版本。 Craft CMS 是一个用于构建网站和自定义数字体验的内容管理系统（CMS）。 关于 CVE-2025-23209 的技术细节不多，但利用该漏洞并不容易，因为它需要安装的安全密钥已经被攻破。 在 Craft CMS 中，安全密钥是一个加密密钥，用于保护用户认证令牌、会话 cookie、数据库值和敏感应用程序数据。 CVE-2025-23209 漏洞只有在攻击者已经获得这个安全密钥时才会成为问题，这为解密敏感数据、生成伪造的认证令牌或远程注入和执行恶意代码打开了大门。 CISA 已将该漏洞添加到已知被利用漏洞（KEV）目录中，但未分享任何关于攻击范围和来源以及目标的信息。 联邦机构需在 2025 年 3 月 13 日之前修补 Craft CMS 漏洞。 该漏洞已在 Craft 5.5.8 和 4.13.8 版本中修复，因此建议用户尽快升级到这些版本或更高版本。 如果您怀疑系统已被攻破，建议删除 `.env` 文件中包含的旧密钥，并使用 `php craft setup/security-key` 命令生成新的密钥。请注意，密钥更改将使使用旧密钥加密的任何数据无法访问。 除了 CVE-2025-23209 之外，CISA 还将 Palo Alto Networks 防火墙中的一个漏洞（CVE-2025-0111）添加到已知被利用漏洞目录中，并设定了相同的 3 月 13 日截止日期。 这是一个影响 PAN-OS 防火墙的文件读取漏洞，供应商披露黑客将其作为利用链的一部分，与 CVE-2025-0108 和 CVE-2024-9474 一起利用。 受该漏洞影响的用户可以查看 Palo Alto Networks 的安全公告，了解修复该漏洞的 PAN-OS 版本。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Citrix 已发布安全更新，修复了一个影响 NetScaler 控制台（原 NetScaler ADM）和 NetScaler 代理的高严重性安全漏洞，该漏洞在特定条件下可能导致权限提升。 该漏洞被追踪为 CVE-2024-12284，CVSS v4 评分为 8.8（满分 10.0）。 该漏洞被描述为权限管理不当，如果 NetScaler 控制台代理已部署，可能会导致已认证的权限提升，允许攻击者执行受损后的操作。 “该问题源于权限管理不足，可能被已认证的恶意行为者利用，无需额外授权即可执行命令，” NetScaler 指出。 “然而，只有已认证且已有权访问 NetScaler 控制台的用户才能利用此漏洞，从而将威胁面限制在已认证用户范围内。” 网络安全 受影响的版本如下： NetScaler 控制台 14.1 低于 14.1-38.53 NetScaler 控制台 13.1 低于 13.1-56.18 NetScaler 代理 14.1 低于 14.1-38.53 NetScaler 代理 13.1 低于 13.1-56.18 以下软件版本已修复该漏洞： NetScaler 控制台 14.1-38.53 及更高版本 NetScaler 控制台 13.1-56.18 及更高版本 NetScaler 代理 14.1-38.53 及更高版本 NetScaler 代理 13.1-56.18 及更高版本 “Cloud Software Group 强烈建议 NetScaler 控制台和 NetScaler 代理的客户尽快安装相关更新版本，” 该公司表示，并补充说没有解决方法可以修复此漏洞。 不过，使用 Citrix 托管的 NetScaler 控制台服务的客户无需采取任何行动。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Genea 是澳大利亚最大的生育服务提供商之一，该公司披露未知攻击者入侵了其网络并访问了受攻击系统中存储的数据。 Genea 周三发表声明称，在检测到网络上的“可疑活动”后，正在“紧急调查一起网络事件”。 “我们的调查发现，未经授权的第三方访问了 Genea 的数据。我们正在紧急调查被访问数据的性质和范围，以及其中包含个人身份信息的程度，”该公司透露。“如果我们的调查发现任何个人身份信息受到影响的证据，我们将与相关人员沟通。” Genea 还表示，正在努力恢复为控制漏洞而关闭的服务器，并确保公司的系统安全。 尽管公司未披露此次攻击是否以任何方式扰乱了其运营，但已告知患者，如果治疗计划有任何变化，将会通知他们。 “我们对此次事件可能引起的任何担忧深表歉意，并希望向患者保证，我们非常重视您的隐私和数据安全，”Genea 表示。“我们还希望向您保证，我们的专家团队、护士和办公室支持人员正在夜以继日地工作，以确保您的治疗受到的干扰最小，这是我们的首要任务和重中之重。” 尽管公司尚未透露漏洞何时被发现，或患者个人和健康信息是否被泄露，但 Genea 确认遭遇漏洞的消息是在电话故障影响该集团生育诊所的五天后发布的。 在对电话故障公告的回复中，患者还透露该公司的 MyGenea 应用程序也已停机。 这家体外受精（IVF）服务提供商（1986 年成立，最初名为悉尼 IVF）在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供各种服务，包括生育治疗、检查、基因服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司首次报道，Genea 以及另外两家公司（Monash IVF 和 Virtus）占该国行业总收入的 80% 以上。 当 BleepingComputer 今天早些时候联系 Genea 发言人时，对方未能立即发表评论。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二将影响 Palo Alto Networks PAN-OS 和 SonicWall SonicOS SSLVPN 的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正在被积极利用的证据。 这两个漏洞如下： CVE-2025-0108（CVSS 评分：7.8）：Palo Alto Networks PAN-OS 管理 Web 界面中的身份验证绕过漏洞，允许未授权的攻击者通过网络访问管理 Web 界面，绕过通常需要的身份验证并调用某些 PHP 脚本。 CVE-2024-53704（CVSS 评分：8.2）：SSLVPN 身份验证机制中的身份验证不当漏洞，允许远程攻击者绕过身份验证。 Palo Alto Networks 已确认观察到针对 CVE-2025-0108 的积极利用尝试，并指出该漏洞可以与其他漏洞（如 CVE-2024-9474）结合使用，以允许未经授权访问未修补和未安全配置的防火墙。 “Palo Alto Networks 观察到在未修补和未安全配置的 PAN-OS Web 管理界面上，CVE-2025-0108 与 CVE-2024-9474 和 CVE-2025-0111 的利用尝试，”该公司在更新的公告中表示。 威胁情报公司 GreyNoise 表示，多达 25 个恶意 IP 地址正在积极利用 CVE-2025-0108，自近一周前被检测到以来，攻击者活动量增加了 10 倍。攻击流量的前三大来源是美国、德国和荷兰。 至于 CVE-2024-53704，网络安全公司 Arctic Wolf 透露，威胁行为者在 Bishop Fox 提供概念验证（PoC）后不久就开始利用该漏洞。 鉴于这些漏洞正在被积极利用，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 11 日之前修复这些漏洞，以确保其网络的安全。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Juniper Networks 修复了一个关键漏洞，该漏洞允许攻击者绕过认证并完全控制 Session Smart Router (SSR) 设备。该安全漏洞（编号为 CVE-2025-21589）在内部产品安全测试中被发现，同时也影响 Session Smart Conductor 和 WAN Assurance Managed Routers。 Juniper 在上周发布的一份紧急安全公告中表示：“Juniper Networks Session Smart Router 中存在一个通过替代路径或通道绕过认证的漏洞，可能允许网络攻击者绕过认证并获取设备的管理控制权。” 根据 Juniper 的安全事件响应团队（SIRT），目前尚未发现该漏洞在实际攻击中被利用的证据。 Juniper 已在 SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2 及后续版本中修复了该漏洞。虽然一些连接到 Mist Cloud 的设备已经自动更新，但管理员仍被建议将所有受影响的系统升级到这些修复版本之一。 Juniper 表示：“在由 Conductor 管理的部署中，只需升级 Conductor 节点，修复程序将自动应用于所有连接的路由器。尽管如此，路由器仍应尽可能升级到修复版本，但一旦连接到已升级的 Conductor，它们将不再易受攻击。” Juniper 设备频繁成为攻击目标 由于 Juniper 设备常用于关键环境，因此经常成为攻击目标，并且在供应商发布安全更新后不到一周内就会被针对。 例如，去年 6 月，Juniper 发布了紧急更新，修复了另一个 SSR 认证绕过漏洞（编号为 CVE-2024-2973），该漏洞可被利用以完全控制未修补的设备。 8 月，ShadowServer 威胁监测服务警告称，有威胁行为者使用 watchTowr Labs 的概念验证（PoC）漏洞利用链，针对 Juniper EX 交换机和 SRX 防火墙进行远程代码执行攻击。 一个月后，VulnCheck 发现仍有数千台 Juniper 设备容易受到使用同一漏洞利用链的攻击。 更近一些，去年 12 月，Juniper 还警告客户，有攻击者正在扫描互联网上的 Session Smart 路由器，使用默认凭据感染 Mirai 恶意软件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文