HackerNews 编译，转载请注明出处： 远程连接管理解决方案的领先提供商 Devolutions 发布安全公告，称其 Remote Desktop Manager（RDM）产品在多个平台上存在严重漏洞。这些漏洞可能允许攻击者拦截和篡改加密通信，进而危及敏感数据和系统安全。 漏洞源于 RDM 证书验证逻辑的缺陷。在 Windows 平台上（CVE-2025-1193，CVSSv4 评分为 8.5），证书验证未能校验主机；而在其他平台上（CVE-2024-11621，CVSSv4 评分为 8.6），证书验证完全缺失，会无提示地接受任何证书。 公告指出：“具体来说，在 Windows 平台上，证书验证未校验主机。在其他平台上，证书验证缺失，会无提示地接受任何证书。” 这些漏洞可能使攻击者发动中间人攻击，拦截并篡改用户与远程系统之间的加密流量，从而导致凭据被盗和未经授权访问敏感数据。 Devolutions 已为所有受影响平台发布补丁，强烈建议用户和管理员立即升级： 平台 受影响版本 修复版本 Windows 2024.3.19 及更早版本 2024.3.20.0+ macOS 2024.3.9.0 及更早版本 2024.3.10.3+ Linux 2024.3.2.5 及更早版本 2024.3.2.9+ Android 2024.3.3.7 及更早版本 2024.3.4.2+ iOS 2024.3.3.0 及更早版本 2024.3.4.0+ PowerShell 2024.3.6.0 及更早版本 2024.3.7.0+ 依赖 Remote Desktop Manager 的组织应立即采取行动，确保运行最新安全版本。   消息来源：Security Online；编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 更新（2025 年 2 月 11 日 19:32）：在发布报道后，Fortinet 告知我们，今日新增至 FG-IR-24-535 的 CVE-2025-24472 漏洞并非零日漏洞，已于 1 月修复。尽管今日更新的公告显示两个漏洞均被用于攻击，并为新发现的 CSF 代理请求利用路径提供了临时解决方案，但 Fortinet 表示只有 CVE-2024-55591 被利用。Fortinet 向 BleepingComputer 表示，如果客户此前根据 FG-IR-24-535/CVE-2024-55591 的指导进行了升级，则已对新披露的漏洞具备防护能力。本报道标题已更新以反映这一新信息，原文如下： Fortinet 今日警告称，攻击者正在利用 FortiOS 和 FortiProxy 中的另一个已修复的零日漏洞，劫持 Fortinet 防火墙并入侵企业网络。成功利用该认证绕过漏洞（CVE-2025-24472）可使远程攻击者通过构造恶意的 CSF 代理请求获得超级管理员权限。该漏洞影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0.19 以及 FortiProxy 7.2.0 至 7.2.12 版本。Fortinet 已在 FortiOS 7.0.17 及以上版本以及 FortiProxy 7.0.20/7.2.13 及以上版本中修复了该漏洞。 Fortinet 在上月发布的安全公告中新增了该漏洞的 CVE 编号，此前公告已警告客户有攻击者正在利用 FortiOS 和 FortiProxy 中的零日漏洞（编号 CVE-2024-55591），该漏洞影响相同版本的软件。然而，已修复的 CVE-2024-55591 漏洞可通过向 Node.js websocket 模块发送恶意请求进行利用。 据 Fortinet 介绍，攻击者利用这两个漏洞在受影响设备上生成随机管理员或本地用户账号，并将其添加到新的或现有的 SSL VPN 用户组中。攻击者还被发现修改防火墙策略及其他配置，并使用之前建立的恶意账号登录 SSLVPN 实例，“从而获得通往内部网络的隧道”。尽管 Fortinet 未提供更多关于此次攻击活动的信息，但网络安全公司 Arctic Wolf 发布了一份包含匹配入侵指标（IoC）的报告，称自 2024 年 11 月中旬以来，暴露在互联网上的 Fortinet FortiGate 防火墙管理接口一直受到攻击。 “该攻击活动涉及未经授权的管理员登录防火墙管理界面、创建新账号、通过这些账号进行 SSL VPN 认证以及各种其他配置变更，”Arctic Wolf Labs 表示。“虽然尚未最终确认初始攻击向量，但零日漏洞的可能性极高。各组织应尽快紧急禁用公开界面上的防火墙管理访问权限。” Arctic Wolf Labs 还提供了 CVE-2024-55591 大规模利用攻击的时间线，称其包含四个独特阶段： 漏洞扫描阶段（2024 年 11 月 16 日至 23 日） 侦察阶段（2024 年 11 月 22 日至 27 日） SSL VPN 配置阶段（2024 年 12 月 4 日至 7 日） 横向移动阶段（2024 年 12 月 16 日至 27 日） “鉴于不同入侵事件之间在手法和基础设施方面存在细微差别，可能有多个个人或团体参与了此次攻击活动，但 jsconsole 使用情况是贯穿始终的共同点。”此外，Arctic Wolf Labs 表示已于 2024 年 12 月 12 日通知 Fortinet 关于此次攻击的情况，并在五天后收到来自该公司产品安全事件响应团队（PSIRT）的确认，称该活动已知且正在调查中。 Fortinet 建议无法立即部署安全更新的管理员，通过禁用 HTTP/HTTPS 管理界面或通过本地策略限制可访问该界面的 IP 地址，作为临时解决方案来保护易受攻击的防火墙。BleepingComputer 已联系 Fortinet 发言人征求意见，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Ubuntu 22.04 打印子系统中的一个漏洞被发现，该漏洞位于 “ippusbxd” 包中，可能允许攻击者在锁定的笔记本电脑上执行任意代码。 不过，现代编译器的功能缓解了这一风险，防止了漏洞被利用到系统崩溃之外的程度。该漏洞是在对 macOS 打印子系统的代码审计中发现的，macOS 的打印子系统与开源的 CUPS 包有共同的基础。 Talos 研究人员将注意力转向了 IPP-USB 协议，该协议通过互联网打印协议（IPP）为通过 USB 连接的打印机启用网络打印。Ubuntu 22.04 中负责处理 IPP-USB 功能的 “ippusbxd” 包成为了调查的重点。 在检查代码时，由 “-Wstringop-overflow” 标志触发的编译器警告显示，get_format_paper 函数可能存在缓冲区溢出漏洞。该函数解析打印机在初始化时报告的纸张尺寸信息，漏洞源于使用了以源操作数的长度而不是目标缓冲区的大小为长度参数的 strncpy。 攻击者可以通过连接一个报告超大媒体尺寸的恶意打印机来利用这一漏洞，从而导致缓冲区溢出。Talos 情报的 Aleksandar Nikolich 通过分析代码上下文确认了该漏洞，揭示了一个精心设计的 “media-size-supported” 负载可以覆盖堆栈缓冲区。在锁定的笔记本电脑上利用这一漏洞，攻击者可以以提升的权限执行任意代码。 研究人员开发了一个概念验证（PoC）漏洞利用，使用 Raspberry Pi Zero 模拟 USB 打印机来展示该漏洞的潜在危害。通过修改 PAPPL 打印机小工具，模拟的打印机被配置为使用名为 “EXPLOIT_STRING” 的环境变量报告恶意媒体尺寸。当将 Raspberry Pi Zero 连接到目标 Ubuntu 机器时，ippusbxd 守护进程因段错误而崩溃，确认了漏洞的触发。 然而，进一步分析崩溃情况发现，由于编译器功能 “FORTIFY_SOURCE” 的存在，预期的内存损坏和潜在的代码执行被阻止。该功能会自动将潜在不安全的函数替换为更安全的替代品，并在缓冲区溢出发生之前检测到该条件。因此，该漏洞的影响仅限于导致系统崩溃，因为程序会在检测到溢出时明确终止。 研究人员强调，这一事件凸显了现代编译器功能（如静态分析）以及强大的缓解技术（如 “FORTIFY_SOURCE”）的重要性。当默认启用这些功能时，它们可以有效防止漏洞的利用。此外，该事件也强调了在开发过程中积极解决编译器警告的重要性。 在这一特定案例中，该漏洞的潜在影响进一步被削弱，因为 “ippusbxd” 包已被 “ipp-usb” 包取代。新包是用内存安全语言实现的，消除了缓冲区溢出的风险。尽管 Ubuntu 22.04 作为长期支持版本是一个例外，但较新的版本已转向使用 “ipp-usb”。 用户建议 Ubuntu 22.04 LTS 用户：确保安装了 ipp-usb，并在存在时移除 ippusbxd。 所有系统：通过运行 sudo apt update && sudo apt upgrade 应用更新，并重启打印服务。 物理安全：限制 USB 设备的访问，以防止未经授权的硬件连接。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，研究人员发现，Orthanc服务器存在一个关键漏洞，可能对美国医疗数据和医疗运营构成严重威胁。 美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）医疗安全公告，提醒各机构注意Orthanc中存在的一个关键认证问题（CVE-2025-0896）。Orthanc是一个开源且轻量级的医学影像DICOM服务器，广泛应用于全球的医疗和公共卫生领域。 CISA指出，1.5.8版本之前的Orthanc服务器在启用远程访问时，默认情况下未启用基本认证功能，这可能允许远程攻击者访问系统。CISA警告称：“成功利用该漏洞的攻击者可能会泄露敏感信息、修改记录，甚至导致拒绝服务的情况发生。” MicroSec公司首席研究员Souvik Kandar表示，CVE-2025-0896漏洞可以通过互联网远程利用，他已发现有615个实例暴露在互联网上。他解释说：“利用该漏洞，攻击者可以在应用程序中操纵患者数据，删除关键的X光图像，甚至可能对患者造成危及生命的后果。这给医疗运营和患者安全带来了严重风险。” 尽管CISA尚未收到有关该漏洞被利用的攻击报告，但潜在影响重大。CISA建议医疗机构和其他Orthanc用户立即采取措施降低风险，包括更新至最新版本（1.5.8及以上）、启用HTTP认证、限制网络暴露、使用防火墙和网络分割，以及确保安全的远程访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，苹果公司发布了紧急安全更新，修复了一个被利用于“极其复杂”的针对性攻击的零日漏洞（CVE-2025-24200）。该漏洞可能被攻击者用于在锁定设备上禁用USB限制模式。 USB限制模式是苹果在iOS 11.4.1中引入的一项安全功能，旨在阻止未经授权的设备通过Lightning接口访问数据。该功能会在设备锁定超过一小时后禁用USB配件的数据连接，但不影响充电功能。 此次修复的零日漏洞影响以下设备： iPhone XS及后续型号； iPad Pro 13英寸、iPad Pro 12.9英寸（第三代及后续）、iPad Pro 11英寸（第一代及后续）、iPad Air（第三代及后续）、iPad（第七代及后续）以及iPad mini（第五代及后续）； iPad Pro 12.9英寸（第二代）、iPad Pro 10.5英寸和iPad（第六代）。 苹果建议用户尽快安装iOS 18.3.1、iPadOS 18.3.1和iPadOS 17.7.5更新，以修复该漏洞并增强安全性。 背景信息 攻击目标：该漏洞被用于针对特定个体的复杂攻击，可能涉及商业间谍软件的传播，目标包括记者、反对派政治人士和异议人士。 漏洞细节：该漏洞是一个授权问题，通过改进状态管理得到修复。 类似事件：2023年9月，苹果曾修复了两个零日漏洞（CVE-2023-41061和CVE-2023-41064），这些漏洞被用于零点击攻击链（BLASTPASS），以在最新版iOS的iPhone上安装NSO集团的Pegasus间谍软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据安全研究人员报告，超过1.2万个GFI KerioControl防火墙实例暴露于一个关键的远程代码执行（RCE）漏洞（CVE-2024-52875）。该漏洞被发现于2024年12月中旬，由安全研究员Egidio Romano（EgiX）首次披露。 KerioControl是一款广泛应用于中小企业的网络安全套件，集成了VPN、带宽管理、流量过滤、报告监控、防病毒保护和入侵防御等功能。然而，该漏洞的存在使得攻击者能够通过单次点击实现远程代码执行，进而获取防火墙的root权限。 漏洞细节 漏洞编号：CVE-2024-52875 CVSS评分：9.8（高危） 影响版本：KerioControl 9.2.5至9.4.5 漏洞类型：HTTP响应拆分攻击（HTTP Response Splitting）导致的反射型跨站脚本（XSS）和RCE。 漏洞利用方式 攻击者通过构造恶意URL，诱导管理员点击，利用防火墙固件升级功能上传恶意文件，从而获得root权限。该漏洞利用门槛低，甚至非专业黑客也可实施攻击。 影响范围 据The Shadowserver Foundation报告，目前全球有12,229个KerioControl防火墙实例暴露于该漏洞，主要集中在伊朗、美国、意大利、德国、俄罗斯、哈萨克斯坦、乌兹别克斯坦、法国、巴西和印度。 安全建议 尽快更新：GFI已于2024年12月19日发布9.4.5 Patch 1修复该漏洞，建议用户尽快升级至最新版本9.4.5 Patch 2（2025年1月31日发布），以获得额外的安全增强。 加强监控：鉴于该漏洞已被广泛利用，建议用户加强对网络流量和异常行为的监控。 该漏洞的发现和利用再次凸显了及时修补安全漏洞的重要性，尤其是对于关键的网络安全设备。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，据网络安全公司Intezer和Solis Security的研究报告，一个名为XE Group的黑客组织被发现利用VeraCore软件中的多个零日漏洞，部署Web后门并维持对受感染系统的持久性远程访问。 XE Group是一个自2010年活跃至今的网络犯罪团伙，可能起源于越南。该团伙最初以信用卡信息窃取和供应链攻击为主，但近年来已转向针对制造业和分销行业的供应链攻击，利用新的漏洞和高级技术实施信息窃取。 此次攻击涉及的漏洞包括： CVE-2024-57968（CVSS评分：9.9）：文件上传验证漏洞，允许远程认证用户将文件上传到未指定的文件夹（已在VeraCore 2024.4.2.1版本中修复）。 CVE-2025-25181（CVSS评分：5.8）：SQL注入漏洞，允许远程攻击者执行任意SQL命令（目前尚无补丁）。 研究人员发现，XE Group通过这些漏洞部署了ASPXSpy Web后门，用于未经授权地访问受感染系统，并在某些情况下自2020年起就开始利用CVE-2025-25181漏洞。这些Web后门具备文件系统枚举、文件窃取和压缩（使用7z工具）等功能，并且可以用来投放Meterpreter负载，尝试通过Windows套接字连接到攻击者控制的服务器（如“222.253.102[.]94:7979”）。 此外，该团伙还利用这些漏洞维持对受感染系统的长期访问。例如，XE Group在2020年入侵了一个组织的系统，并在2024年重新激活了多年前部署的Web后门，继续窃取敏感配置文件并尝试执行远程访问木马（RAT）。 XE Group的攻击手段不断演变，从早期的信用卡信息窃取转向利用零日漏洞实施更广泛的数据窃取，这标志着其攻击能力的提升。该团伙还利用定制化的ASPXSpy Web后门，通过伪装成图像文件的可执行文件来隐藏恶意行为。 研究人员指出，XE Group通过长期维持对系统的访问，展示了其对长期目标的承诺。通过攻击制造业和分销行业的供应链，XE Group不仅最大化了其行动的影响，还展示了其对系统性漏洞的深刻理解。 相关背景 CVE-2019-18935：该漏洞曾被英国和美国政府机构列为2021年最常被利用的漏洞之一，最近也被用于加载反向Shell并执行后续侦察命令。 CISA更新已知漏洞目录：美国网络安全和基础设施安全局（CISA）近期将5个漏洞加入其已知被利用漏洞（KEV）目录，其中包括7-Zip的Mark of the Web绕过漏洞（CVE-2025-0411）和Sophos XG防火墙缓冲区溢出漏洞（CVE-2020-15069）。 安全建议 使用VeraCore的组织应尽快更新至最新版本，并实施全面的安全控制措施，包括定期进行漏洞评估和监控异常行为。 针对零日漏洞的利用，企业需加强主动防御策略，以应对日益复杂的网络犯罪威胁。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，Zimbra发布了软件更新，修复了其协作软件中的多个关键安全漏洞。如果这些漏洞被成功利用，可能会在某些条件下导致信息泄露。 其中一个漏洞被追踪为CVE-2025-25064，CVSS评分为9.8（满分10.0），是ZimbraSync服务SOAP端点中的SQL注入漏洞，影响10.0.12和10.1.4之前的版本。该漏洞源于对用户提供的参数缺乏足够的清理，攻击者可利用此漏洞注入任意SQL查询，通过“操纵请求中的特定参数”来获取电子邮件元数据。 Zimbra还修复了Zimbra经典Web客户端中的另一个关键漏洞，该漏洞涉及存储型跨站脚本（XSS）。该漏洞尚未分配CVE标识符。Zimbra在安全公告中表示，修复增强了输入清理并提升了安全性，相关问题已在9.0.0补丁44、10.0.13和10.1.5版本中得到解决。 此外，Zimbra还修复了CVE-2025-25065（CVSS评分：5.3），这是一个中等严重性的服务器端请求伪造（SSRF）漏洞，存在于RSS解析组件中，允许未经授权的重定向到内部网络端点。该漏洞已在9.0.0补丁43、10.0.12和10.1.4版本中得到修复。Zimbra建议客户尽快更新到最新版本，以获得最佳保护效果。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： IBM 安全验证目录服务器容器存在两个漏洞，可能允许攻击者获得未经授权的访问权限并执行命令。IBM 已发布安全公告，详细说明了这些漏洞。 公告中提到的两个漏洞是 CVE-2024-49814 和 CVE-2024-51450，影响 IBM 安全验证目录 10.0.0 至 10.0.3 版本。 CVE-2024-49814 是一个本地权限提升漏洞，可能允许经过身份验证的用户获得更高权限，并有可能控制整个系统。该漏洞的 CVSS 基础评分为 7.8，表明其严重性较高。 CVE-2024-51450 是一个远程命令注入漏洞，可能允许攻击者通过发送特制请求在系统上执行任意命令。该漏洞的 CVSS 基础评分为 9.1，表明其严重性为关键级别。 “IBM 安全验证目录可能允许远程经过身份验证的攻击者通过发送特制请求在系统上执行任意命令，”公告中指出。 IBM 强烈建议客户更新到最新版本的软件，以修复这些漏洞。更新包括解决已识别安全缺陷的修复程序，并增强了系统的整体安全性。 使用 IBM 安全验证目录的组织应尽快应用更新，以保护其系统免受潜在攻击。优先考虑漏洞管理并确保及时应用安全更新，对于降低被利用的风险至关重要。   消息来源：Security Online, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件供应商 Trimble 警告称，黑客正在利用 Cityworks 反序列化漏洞远程执行 IIS 服务器上的命令，并部署 Cobalt Strike 信标以获取初始网络访问权限。 Trimble Cityworks 是一款以地理信息系统（GIS）为核心的资产管理和工单管理软件，主要面向地方政府、公用事业和公共工程组织。该产品帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划和预算等。 该漏洞被追踪为 CVE-2025-0994，是一个高严重性（CVSS v4.0 评分为 8.6）的反序列化问题，允许经过身份验证的用户对客户的微软互联网信息服务（IIS）服务器执行远程代码攻击。 Trimble 表示，已调查客户关于黑客利用该漏洞未经授权访问客户网络的报告，表明该漏洞正在被积极利用。 美国网络安全和基础设施安全局（CISA）已发布协调公告，警告客户立即保护其网络免受攻击。 CVE-2025-0994 漏洞影响 Cityworks 15.8.9 之前的版本和 Cityworks with office companion 23.10 之前的版本。 最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 29 日发布。 管理本地部署的管理员必须尽快应用安全更新，而云托管实例（CWOL）将自动接收更新。 Trimble 警告称，一些本地部署可能具有过度特权的 IIS 身份权限，这些权限不应以本地或域级管理员权限运行。此外，一些部署的附件目录配置不正确。供应商建议将附件根文件夹限制为仅包含附件。 在完成上述所有三个操作后，客户可以恢复 Cityworks 的正常运行。 虽然 CISA 尚未分享该漏洞的利用方式，但 Trimble 已发布利用该漏洞的攻击的入侵指标（IOC）。这些 IOC 表明，威胁行为者部署了多种远程访问工具，包括 WinPutty 和 Cobalt Strike 信标。 微软还于昨日警告称，威胁行为者正在利用在线暴露的 ASP.NET 机器密钥，通过 ViewState 代码注入攻击入侵 IIS 服务器以部署恶意软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文