HackerNews 编译，转载请注明出处： 在发现一个正在被野外积极利用的安全漏洞后，联邦文职行政分支（FCEB）机构被建议在2025年9月25日之前更新其Sitecore实例。 该漏洞被追踪为CVE-2025-53690，其CVSS评分为9.0（满分10.0），表明其严重性为关键级别。 “Sitecore体验管理器（XM）、体验平台（XP）、体验商务（XC）和托管云包含一个涉及使用默认机器密钥的不可信数据反序列化漏洞，”美国网络安全与基础设施安全局（CISA）表示。 “该漏洞允许攻击者利用暴露的ASP.NET机器密钥来实现远程代码执行。” 谷歌旗下的Mandiant发现了这一正在被积极利用的ViewState反序列化攻击，该活动利用了2017年及更早版本的Sitecore部署指南中暴露的一个示例机器密钥。威胁情报团队并未将该活动与任何已知的威胁行为者或组织联系起来。 “攻击者对被入侵产品和被利用漏洞的深入了解体现在他们从最初的服务器入侵到权限提升的过程中，”研究人员Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok和Choon Kiat Ng表示。 微软在2025年2月首次记录了公开披露的ASP.NET机器密钥的滥用情况，该科技巨头观察到有限的利用活动可以追溯到2024年12月，当时未知的威胁行为者利用这些密钥来传递Godzilla后利用框架。 两个月后，Gladinet的CentreStack中一个类似的零日漏洞（被追踪为CVE-2025-30406，CVSS评分：9.0）开始被利用。该漏洞源于一个保护不当的machineKey，可能会使可访问互联网的服务器暴露于远程代码执行攻击。 2025年5月，ConnectWise披露了一个影响ScreenConnect的不当身份验证漏洞（CVE-2025-3935，CVSS评分：8.1），并称该漏洞已被一个国家级威胁行为者在野外利用，以针对一小部分客户进行ViewState代码注入攻击。 就在7月，名为Gold Melody的初始访问代理（IAB）被归因于一个利用泄露的ASP.NET机器密钥以获取组织的未经授权访问并将其出售给其他威胁行为者的活动。 在Mandiant记录的攻击链中，CVE-2025-53690被武器化以实现面向互联网的Sitecore实例的初始入侵，随后部署了一系列开源和定制工具，以协助侦察、远程访问和活动目录侦察。 使用公开可用部署指南中指定的示例机器密钥传递的ViewState有效载荷是一个名为WEEPSTEEL的.NET程序集，它能够收集系统、网络和用户信息，并将详细信息泄露回攻击者。该恶意软件借鉴了一些来自名为ExchangeCmdPy.py的开源Python工具的功能。 利用获得的访问权限，攻击者被发现会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终导致数据被盗。在这些阶段使用的一些工具如下： – EarthWorm：用于通过SOCKS进行网络隧道 – DWAgent：用于持久远程访问和活动目录侦察，以识别目标网络中的域控制器 – SharpHound：用于活动目录侦察 – GoTokenTheft：用于列出系统上活跃的唯一用户令牌、使用用户令牌执行命令以及列出所有正在运行的进程及其关联的用户令牌 – 远程桌面协议（RDP）：用于横向移动 攻击者还被观察到创建本地管理员账户（asp$和sawadmin），以转储SAM/SYSTEM蜂巢，试图获取管理员凭证访问权限并通过RDP促进横向移动。 “随着管理员账户被入侵，之前创建的asp$和sawadmin账户被删除，这表明攻击者转向了更稳定和隐蔽的访问方法，”Mandiant补充道。 为了应对这一威胁，建议组织轮换ASP.NET机器密钥、锁定配置，并扫描其环境以寻找入侵迹象。 “CVE-2025-53690的后果是，某个地方的一个积极的威胁行为者显然使用了在产品文档中公开披露的静态ASP.NET机器密钥来获取暴露的Sitecore实例的访问权限，”VulnCheck安全研究副总裁Caitlin Condon告诉《黑客新闻》。 “该零日漏洞既源于不安全的配置本身（即使用静态机器密钥），也源于公开曝光——正如我们以前多次看到的那样，威胁行为者肯定会阅读文档。即使是稍微怀疑自己可能受到影响的防御者也应该立即轮换他们的机器密钥，并确保尽可能地，他们的Sitecore安装不会暴露在公共互联网上。” watchTowr的主动威胁情报负责人Ryan Dewhurst表示，该问题源于Sitecore客户从官方文档中复制和粘贴示例密钥，而不是生成独特、随机的密钥。 “任何使用这些已知密钥的部署都容易受到ViewState反序列化攻击，这是一条直接通往远程代码执行（RCE）的捷径，”Dewhurst补充道。 “Sitecore已确认新部署现在会自动生成密钥，并且所有受影响的客户都已收到通知。影响范围尚不清楚，但这个漏洞具有通常定义严重漏洞的所有特征。更广泛的影响尚未显现，但终将会。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）警告称，黑客正在积极利用两个漏洞：一个影响非常流行的TP-Link WiFi扩展器，另一个是近期被高度复杂攻击者利用的WhatsApp漏洞。 基于主动利用的证据，CISA已将这两个漏洞列入其已知被利用漏洞（KEV）目录。 该监管机构警告称：“此类漏洞是恶意网络行为者的常见攻击载体，并对联邦企业构成重大风险。” 第一个漏洞具有8.8分（满分10分）的高严重性评级，影响了一款非常流行的TP-Link TL-WA855RE WiFi范围扩展器，该设备用于增强WiFi覆盖范围。 此设备在亚马逊上拥有超过120,500条评论。 然而，该漏洞现已存在五年，影响未打补丁且硬件版本为V5的设备。供应商已提供了固件更新。 漏洞描述中写道：“TP-Link TL-WA855RE V5……设备允许未经身份验证的攻击者（在同一网络上）提交TDDP_RESET POST请求以进行工厂重置和重启。然后，攻击者可以通过设置新的管理密码获得错误的访问控制。” CISA指示联邦机构采取缓解措施或停止使用该产品，因为它可能不再受支持或已达到生命周期终点。 黑客通常以老旧、易受攻击的设备为目标，利用已知漏洞。ShadowServer基金会的数据显示，他们不断扫描存在2016年至2023年间已识别漏洞的设备。 CISA警告的第二个漏洞影响用于iOS设备和Mac电脑的WhatsApp。WhatsApp和苹果公司为此发布了一个紧急更新，以应对利用此漏洞的高级间谍软件活动。 该应用程序中“链接设备同步消息的授权不完整，可能允许无关用户触发处理目标设备上任意URL的内容。” 供应商评估认为，该漏洞可能已被用于针对特定目标用户的复杂攻击中。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sitecore体验平台中被披露存在三个新的安全漏洞，攻击者可能利用这些漏洞实现信息泄露和远程代码执行。 根据watchTowr Labs的报告，这些漏洞具体如下： CVE-2025-53693 – 通过不安全的反射实现HTML缓存投毒 CVE-2025-53691 – 通过不安全的反序列化实现远程代码执行（RCE） CVE-2025-53694 – ItemService API中存在信息泄露漏洞，受限匿名用户可通过暴力破解手段获取缓存密钥 Sitecore已于2025年6月针对前两个漏洞发布了补丁，并在7月修复了第三个漏洞。公司表示“成功利用相关漏洞可能导致远程代码执行以及对信息的非授权访问”。 这些发现是基于watchTowr在6月份详细报告的同一产品中的另外三个漏洞： CVE-2025-34509（CVSS评分：8.2） – 使用硬编码凭证 CVE-2025-34510（CVSS评分：8.8） – 通过路径遍历实现认证后远程代码执行 CVE-2025-34511（CVSS评分：8.8） – 通过Sitecore PowerShell扩展实现认证后远程代码执行 watchTowr Labs的研究员Piotr Bazydlo表示，新发现的漏洞可以组合成一个完整的攻击链，通过将认证前的HTML缓存投毒漏洞与一个认证后的远程代码执行问题相结合，从而入侵完全打好补丁的Sitecore体验平台实例。 导致代码执行的完整攻击链如下：威胁行为者可以利用（如果暴露的）ItemService API轻松枚举存储在Sitecore缓存中的HTML缓存密钥，并向这些密钥发送HTTP缓存投毒请求。 随后，此攻击可与CVE-2025-53691链接，提供恶意的HTML代码，最终通过无限制的BinaryFormatter调用实现代码执行。 “我们成功利用了一个受限严重的反射路径来调用一个方法，该方法允许我们污染任何HTML缓存密钥，”Bazydlo说。“这单一的原语操作打开了劫持Sitecore体验平台页面的大门——并从此处投放任意JavaScript以触发认证后远程代码执行（Post-Auth RCE）漏洞。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）要求联邦机构于9月11日前修复影响苹果手机、iPad及MacBook的高危漏洞CVE-2025-43300。苹果公司8月21日声明称：“已收到报告，该漏洞可能已被用于针对特定目标个体的极其复杂的攻击。”CISA于次日将该漏洞列入“已知被利用漏洞目录”，并给出8.8分（满分10分）的高危评级。 苹果未回应漏洞具体利用方式的问询。安全研究机构Qualys经理马尤雷什·达尼解释称，该漏洞存在于苹果ImageIO框架中——这是iOS、iPadOS和macOS系统处理多格式图像的核心组件。“此漏洞属于零点击攻击，用户无需任何操作即可触发。恶意构造的图像文件可通过消息、邮件或网页内容传播。”达尼表示。 两周前的黑帽安全会议上，Censys研究员艾丹·霍兰德指出：因苹果系统自动拦截未知发件人链接，攻击者已转向利用恶意图片作为突破口。2025年苹果已修复多个零日漏洞，多数被归因于复杂间谍软件供应商。多家相关企业因针对苹果系统的定向攻击面临国际制裁与诉讼。达尼补充称，2023年的BLASTPASS攻击链（CVE-2023-41064与CVE-2023-41061）同样针对ImageIO框架，用于部署NSO集团的飞马间谍软件。 Tenable高级研究工程师萨特南·纳兰表示，苹果极少在安全公告中使用“极其复杂的攻击”这类表述。他指出：“虽然普通用户成为攻击目标的可能性较低，但风险始终存在。苹果希望公众重视威胁并立即采取行动。”       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司紧急修复了影响iOS、iPadOS和macOS系统的安全漏洞CVE-2025-43300。该零日漏洞已被黑客在真实攻击中利用，其本质是ImageIO图像处理框架中的越界写入漏洞。攻击者可通过构造恶意图片文件触发内存损坏。 苹果在安全公告中指出：“处理恶意图像文件可能导致内存损坏。苹果确认收到报告，显示该漏洞可能已被用于针对特定目标的极其复杂攻击。”公司已通过改进边界检查机制修复该问题。 以下系统版本包含漏洞修复补丁： iOS 18.6.2与iPadOS 18.6.2：适用于iPhone XS及后续机型、13英寸iPad Pro、12.9英寸iPad Pro（第3代及后续）、11英寸iPad Pro（第1代及后续）、iPad Air（第3代及后续）、iPad（第7代及后续）、iPad mini（第5代及后续） iPadOS 17.7.10：适用于12.9英寸iPad Pro（第2代）、10.5英寸iPad Pro及第6代iPad macOS Ventura 13.7.8：适用于运行Ventura系统的Mac设备 macOS Sonoma 14.7.8：适用于运行Sonoma系统的Mac设备 macOS Sequoia 15.6.1：适用于运行Sequoia系统的Mac设备 苹果未透露漏洞攻击的技术细节。此次修复使苹果2025年已修补的实战利用零日漏洞数量增至七个，此前修复的漏洞包括：CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201及CVE-2025-43200。         消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Shadowserver基金会最新监测数据，超过870个暴露在互联网的N-able N-central实例仍运行存在两个高危漏洞的版本。这两个漏洞分别被追踪为CVE-2025-8875（不安全反序列化问题）和CVE-2025-8876（命令注入漏洞）。 N-able于8月13日发布公告称，其远程监控与管理平台（RMM）2025.3版本已修复相关漏洞。同日，美国网络安全和基础设施安全局（CISA）将漏洞列入“已知被利用漏洞”目录，要求联邦机构在8月20日前完成修补。 N-able向SecurityWeek确认，漏洞已被用于攻击“有限数量的客户”，攻击者通过利用本地部署的N-central实例实现权限提升。该公司声明：“目前尚未在云端托管环境中发现攻击证据，调查仍在持续中。”尽管未明确承认，漏洞披露时间与CISA紧急响应的时间节点暗示这些漏洞可能已被作为零日漏洞利用。 漏洞披露后，Shadowserver立即启动专项监测。该机构8月18日报告称：“8月15日扫描发现1077个存在漏洞的IP地址。”截至8月17日，全球仍有超过870个未修复实例，地域分布前五位为：美国（367台）、加拿大（92台）、荷兰（84台）、澳大利亚（74台）和英国（72台）。 N-able作为2021年从SolarWinds分拆的独立公司，其N-central平台是托管服务提供商（MSP）的核心管理工具。该平台的失陷可能导致攻击者渗透MSP客户的网络环境。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科披露其安全防火墙管理中心（FMC）软件中存在一个高危远程代码执行（RCE）漏洞（编号CVE-2025-20265，CVSS评分10.0满分）。思科已敦促客户尽快安装更新以防潜在威胁。 该漏洞存在于思科FMC软件的RADIUS子系统实现中。若被利用，未经身份验证的远程攻击者可注入由设备执行的任意shell命令。RADIUS是思科设备采用的访问服务器认证协议，通过验证用户凭证管理网络资源以实现安全访问。 思科在8月14日公告中警告：“此漏洞源于认证阶段对用户输入处理不当。攻击者可通过发送特制输入至配置的RADIUS服务器进行利用，成功后能以高权限级别执行命令。”漏洞影响已启用RADIUS认证的Cisco Secure FMC软件7.0.7和7.7.0版本。 修复方案 该公告属于思科安全公告捆绑发布的一部分，涵盖21项针对思科安全防火墙ASA、FMC和FTD软件的安全通告（共描述29个漏洞）。 思科提供免费更新解决FMC漏洞，持有服务合同的客户可通过常规渠道获取补丁 目前无直接缓解措施，但仅当启用RADIUS认证时漏洞才可被利用 建议切换至本地账户、外部LDAP认证或SAML单点登录（SSO）作为临时方案       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过29,000台暴露在互联网上的Exchange服务器仍未修复一个高危漏洞（CVE-2025-53786），该漏洞可使攻击者在微软云环境中横向移动，可能导致整个域沦陷。已获取本地Exchange服务器管理员权限的攻击者可利用此漏洞在组织关联的云环境中提升权限，通过伪造或操纵可信令牌或API调用实现权限升级，且不留易于检测的痕迹，使攻击行为难以追踪。 CVE-2025-53786影响采用混合部署的Exchange Server 2016、Exchange Server 2019及采用订阅制替代永久许可模式的Microsoft Exchange Server订阅版。该漏洞在微软2025年4月作为“安全未来倡议”的一部分发布修复指南和热更新时被披露，该倡议支持使用专用混合应用替代本地Exchange Server与Exchange Online此前使用的不安全共享身份验证架构。 尽管微软尚未发现该漏洞在攻击中被利用的证据，但仍将其标记为“极有可能被利用”，因其认为攻击者可能开发出可稳定利用的漏洞代码，从而增加其吸引力。安全威胁监控平台Shadowserver的扫描数据显示，超过29,000台Exchange服务器仍未修复此漏洞。截至8月10日检测到的29,098台未修复服务器中，美国占7,200余台，德国超6,700台，俄罗斯逾2,500台。 漏洞披露次日，美国网络安全和基础设施安全局（CISA）发布第25-02号紧急指令，要求所有联邦文职行政部门机构（含国土安全部、财政部及能源部）于东部时间周一9点前缓解此高危漏洞。联邦机构需先通过微软健康检查脚本清点Exchange环境，并将不再受2025年4月热更新支持的公开服务器（如已终止支持或服务的Exchange版本）与互联网断开。其余服务器须升级至最新累积更新（Exchange 2019需CU14/CU15，Exchange 2016需CU23）并安装微软4月热补丁。 CISA在单独公告中警告，未能修复该漏洞可能导致“混合云与本地环境完全域沦陷”。尽管非政府组织未被强制要求执行紧急指令，但CISA强烈建议所有机构采取相同措施防护系统。代理局长马杜·戈图穆卡拉强调：“此漏洞风险波及所有使用该环境的组织与部门，联邦机构虽被强制要求，但我们强烈敦促各方实施紧急指令中的行动。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Microsoft Exchange客户收到关于一个新高危漏洞（CVE-2025-53786，CVSS评分为8.0）的警告，该漏洞可能允许攻击者在组织的互联云环境中提升权限。此漏洞影响本地版Microsoft Exchange服务器版本。 成功利用此漏洞的前提是攻击者需首先在Exchange混合部署环境中获得或拥有Exchange服务器的管理员权限。微软在8月6日的安全更新中指出：“在获取访问权限后，威胁行为者可利用此不当身份验证漏洞，实现组织混合云和本地环境的全域控制，且不留易于检测和审计的痕迹。”目前尚未发现漏洞利用尝试，但微软警告此类活动很可能发生。 微软敦促客户采取行动 微软强烈建议客户实施其2025年4月发布的《Exchange混合部署安全变更指南》及配套非安全补丁中的措施。“微软强烈建议客户阅读相关说明，安装2025年4月（或更新版本）的补丁，并在Exchange服务器及混合环境中实施变更措施。”这些变更特别针对Exchange混合部署环境。 曾配置Exchange混合身份验证或Exchange Server与Exchange Online组织间OAuth认证的用户（即使现已停用），必须重置共享服务主体的keyCredentials凭证。 美国网络安全和基础设施安全局（CISA）同期发布警报，警告该漏洞可能危及组织Exchange Online服务的身份完整性。除微软列出的修复步骤外，CISA建议各机构将已终止支持（EOL）或停止服务的公开版Exchange Server或SharePoint Server与互联网断开。“SharePoint Server 2013及更早版本已终止支持，若仍在运行应立即停用。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Bitdefender网络安全专家在大华智能摄像头中发现严重漏洞，攻击者可借此远程完全控制设备。尽管厂商已发布补丁，用户仍需尽快升级固件以确保安全。这些摄像头广泛应用于零售商店、仓库和私人住宅等场所的监控系统，使得安全风险尤为严峻。 漏洞主要影响大华Hero C1（DH-H4C）系列智能摄像头。安全公司公告指出：“漏洞涉及设备的ONVIF协议和文件上传处理程序，未经认证的攻击者可远程执行任意命令，从而完全控制设备。我们已向大华报告漏洞以便其采取缓解措施，目前漏洞补丁已发布。” 研究人员发现两个关键漏洞： CVE-2025-31700（CVSS评分8.1）：80端口ONVIF处理程序中的栈缓冲区溢出漏洞，无需认证即可利用。该漏洞错误解析Host头，允许攻击者通过面向返回编程（ROP）覆盖内存并执行任意代码。研究人员开发的概念验证证明，攻击者可利用ROP链在内存写入指令，通过TFTP协议释放ELF负载，并借助LD_PRELOAD在4444端口开启绑定shell。 CVE-2025-31701（CVSS评分8.1）：影响未公开的RPC上传端点，过长的HTTP头可导致.bss段缓冲区溢出，使攻击者能覆盖全局变量并通过精心构造的数据劫持系统调用，同样实现远程代码执行。 漏洞影响截至2024年初运行最新固件的大华Hero C1摄像头。厂商后续确认其他受影响型号包括IPC-1XXX、IPC-2XXX、IPC-WX、IPC-ECXX、SD3A、SD2A、SD3D、SDT2A和SD2C系列，所有固件版本早于2025年4月16日的设备均存在风险。 漏洞披露时间线 2025年3月28日：Bitdefender通过安全渠道向大华提交漏洞细节 2025年3月29日：大华确认收到并启动内部调查 2025年4月1日：大华验证漏洞有效性 2025年4月23日：大华申请延期披露，Bitdefender将日期调整为7月23日 2025年7月7日：大华发布漏洞补丁并确认协调披露计划 2025年7月23日：漏洞报告作为协调披露计划的一部分公开 安全建议 用户应采取以下防护措施： 避免将存在漏洞的大华摄像头暴露在公网 禁用UPnP和端口转发功能 将设备隔离在独立网络中 安装2025年4月16日后发布的固件更新 特别提醒：当设备通过端口转发或UPnP暴露在互联网时，这两个漏洞极为危险。成功利用可无需用户交互即获得root权限，绕过固件完整性检查加载未签名负载或持久守护进程。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文