HackerNews 编译，转载请注明出处： 影响蓝牙芯片组的安全漏洞波及十大音频品牌超29款设备，可被用于窃听或窃取敏感信息。研究人员确认拜亚动力、Bose、索尼、马歇尔、捷波朗（Jabra）、JBL、Jlab、EarisMax、MoerLabs及德斐尔（Teufel）的29款设备存在风险，涉及音箱、耳塞、耳机及无线麦克风等产品。攻击者可借此劫持设备，在特定手机上甚至能窃取通话记录与通讯录。 蓝牙连接的隐秘窃听 德国TROOPERS安全会议上，网络安全公司ERNW披露了台湾络达（Airoha）系统级芯片（SoCs）的三个漏洞——该芯片广泛应用于真无线立体声（TWS）耳塞。这些漏洞本身非关键性，除需蓝牙范围内的物理接近外，利用过程还需“高水平技术能力”。具体漏洞标识如下： CVE-2025-20700（6.7分，中危）：GATT服务缺乏身份验证 CVE-2025-20701（6.7分，中危）：蓝牙BR/EDR协议缺失认证 CVE-2025-20702（7.5分，高危）：自定义协议的关键功能缺陷 ERNW研究人员成功开发概念验证漏洞利用代码，可读取目标耳机当前播放的媒体内容。尽管此类攻击风险有限，但组合利用三个漏洞可令攻击者劫持手机与蓝牙音频设备的连接，通过蓝牙免提协议（HFP）向手机发送指令。“可用命令范围取决于手机操作系统，但所有主流平台至少支持发起/接听通话”。研究人员通过提取漏洞设备内存中的蓝牙链接密钥，成功触发向任意号码拨号。根据手机配置，攻击者还可能窃取通话记录与通讯录。 攻击的现实限制 尽管存在严重攻击场景，实际大规模实施受多重制约：技术复杂性与物理接近需求将此类攻击局限在针对外交、新闻、敏感行业等高价值目标。研究人员坦言：“技术上虽严重，但实际攻击极难执行。” 修复进展 络达已发布包含修复方案的更新版SDK，设备制造商正开发并分发补丁。但德国Heise媒体指出，超半数受影响设备的最新固件仍停留在5月27日（络达发布SDK修复前）版本，意味着漏洞尚未实际修复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 思科近日发布安全公告，警告其身份服务引擎（ISE）及被动身份连接器（ISE-PIC）存在两个未认证的远程代码执行（RCE）漏洞（编号CVE-2025-20281与CVE-2025-20282），均被评定为最高危级（CVSS评分：10.0）。其中CVE-2025-20281影响ISE与ISE-PIC的3.3和3.4版本，而CVE-2025-20282仅影响3.4版本。 漏洞原理与影响 CVE-2025-20281：特定API对用户输入验证不足，未认证攻击者可构造恶意API请求，以root权限执行任意操作系统命令。 CVE-2025-20282：内部API文件校验机制缺陷，攻击者可向特权目录上传任意文件并以root权限执行。 思科ISE作为企业级网络访问控制与策略执行平台，广泛应用于政府、高校及大型企业网络核心层。成功利用上述漏洞可实现设备完全接管，无需用户交互或认证凭证。目前尚无活跃攻击迹象，但强烈建议优先修复。 修复方案 升级至3.3 Patch 6（补丁号：ise-apply-CSCwo99449_3.3.0.430_patch4）或更高版本 升级至3.4 Patch 2（补丁号：ise-apply-CSCwo99449_3.4.0.608_patch1）或更高版本 注：无临时缓解措施，必须安装安全更新。 关联漏洞 同步披露的中危认证绕过漏洞CVE-2025-20264影响所有3.4及更早版本。该漏洞源于SAML单点登录集成授权缺陷，攻击者可利用合法凭证修改系统配置或重启设备。修复方案： 3.4版本需升级至Patch 2 3.3版本需升级至Patch 5 3.2版本预计2025年11月通过Patch 8修复 注：3.1及更早版本已停止支持，需迁移至新版本。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Rapid7周三披露，其研究人员在兄弟牌（Brother）打印机的多功能打印机中发现八个安全漏洞。这些漏洞影响兄弟品牌的689款打印机、扫描仪和标签机，同时部分或全部漏洞也波及富士胶片商业创新（Fujifilm Business Innovation）的46款、理光（Ricoh）的5款、柯尼卡美能达（Konica Minolta）的6款及东芝（Toshiba）的2款打印机。总体而言，数百万台企业及家用打印机因这些漏洞面临黑客攻击风险。 其中最严重的漏洞被标记为CVE-2024-51978（严重等级为“高危”），可使远程未认证攻击者通过获取设备默认管理员密码绕过身份验证。该漏洞可与信息泄露漏洞CVE-2024-51977形成攻击链——后者能窃取设备序列号，而序列号正是生成默认管理员密码的关键要素。 “问题根源在于兄弟设备的默认密码生成机制，”Rapid7解释称，“该机制将序列号转化为默认密码。受影响设备在生产过程中，会根据每台设备的唯一序列号设定此默认密码。”一旦掌握管理员密码，攻击者即可重新配置设备或滥用需认证用户才能访问的功能。 其余漏洞严重等级为“中危”或“高危”，可被用于实施拒绝服务（DoS）攻击、强制打印机开启TCP连接、窃取已配置外部服务的密码、触发堆栈溢出以及发起任意HTTP请求。八个漏洞中有六个无需认证即可利用。 Rapid7约一年前通过日本计算机应急响应中心（JPCERT/CC）向兄弟打印机报告了漏洞。目前厂商已发布安全公告告知客户，并修复了大部分漏洞，但指出CVE-2024-51978无法通过固件完全修补。兄弟打印机表示将通过新生产工艺确保未来设备免疫该漏洞，现有设备则需采用临时缓解方案。JPCERT/CC及理光、富士胶片、东芝、柯尼卡美能达等厂商也同步发布了相关安全公告。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，不明攻击者正针对暴露公网的Microsoft Exchange服务器发起定向攻击，通过向登录页面注入恶意代码窃取用户凭证。网络安全供应商Positive Technologies在最新分析报告中表示，他们在Outlook登录页面上发现了两种用JavaScript编写的键盘记录器代码变体： • 本地存储型：将窃取的凭证写入服务器上可通过互联网访问的本地文件 • 实时外传型：将收集的数据立即发送至外部服务器 该俄罗斯网络安全公司证实，此次攻击已针对全球26个国家的65个机构，这是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前该公司发现至少30名机构受害者，涵盖政府机构、银行、IT公司和教育机构，首次入侵证据可追溯至2021年。 攻击链利用Microsoft Exchange Server中的已知漏洞（例如ProxyShell）向登录页面插入键盘记录代码。目前这些攻击的幕后黑手尚未明确。已被武器化的漏洞包括： • CVE-2014-4078：IIS安全功能绕过漏洞 • CVE-2020-0796：Windows SMBv3客户端/服务器远程代码执行漏洞 • CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065：Microsoft Exchange Server远程代码执行漏洞（ProxyLogon） • CVE-2021-31206：Microsoft Exchange Server远程代码执行漏洞 • CVE-2021-31207、CVE-2021-34473、CVE-2021-34523：Microsoft Exchange Server安全功能绕过漏洞（ProxyShell） 安全研究人员Klimentiy Galkin和Maxim Suslov指出：恶意JavaScript代码读取并处理身份验证表单的数据，通过XHR请求将其发送至受感染Exchange Server上的特定页面。目标页面的源代码包含处理函数，该函数读取传入请求并将数据写入服务器文件。 包含被盗数据的文件可通过外部网络访问。部分本地键盘记录器变种还会收集用户Cookie、User-Agent字符串及时间戳。这种方法的核心优势在于：由于无需建立外联流量传输数据，检测概率趋近于零。 Positive Technologies发现的第二种变体则通过XHR GET请求，将编码后的登录名和密码分别存储在APIKey与AuthToken标头中，利用Telegram机器人作为渗透点；另一种方法结合域名系统（DNS）隧道与HTTPS POST请求发送用户凭证，突破组织防御体系。 受感染的服务器中有22台位于政府机构，其次是IT、工业和物流公司。越南、俄罗斯、中国大陆、中国台湾、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其位列前十大目标。 研究人员强调：大量可通过互联网访问的Exchange服务器仍易受旧漏洞攻击。通过将恶意代码嵌入合法认证页面，攻击者得以长期潜伏，同时直接获取明文凭证。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者通过利用SimpleHelp远程监控与管理（RMM）工具中的漏洞，成功入侵了一家公用事业软件计费服务提供商的客户系统。网络安全和基础设施安全局（CISA）发布的新公告警告称，此事件反映出勒索组织自2025年1月以来针对未修复版本SimpleHelp RMM的广泛攻击模式。 SimpleHelp 5.5.7及更早版本存在多个漏洞，其中包括路径遍历漏洞CVE-2024-57727。CISA指出：“勒索组织很可能利用CVE-2024-57727漏洞访问下游客户未修复的SimpleHelp RMM工具，通过双重勒索手段破坏服务。” 所有软件供应商、下游客户及终端用户均被敦促立即核查是否因该漏洞遭受入侵，并采取缓解措施。 漏洞利用详情 路径遍历漏洞CVE-2024-57727于2025年1月公开，并于同年2月13日被列入CISA已知可利用漏洞（KEV）目录。该漏洞可使未经认证的远程攻击者通过构造特殊HTTP请求，从SimpleHelp主机下载任意文件（包括含有机密信息和哈希用户密码的服务器配置文件）。 2025年5月，Sophos研究人员观察到DragonForce勒索软件通过组合利用CVE-2024-57727及同期披露的另外两个漏洞（CVE-2024-57728：允许管理员用户通过上传特制压缩包在文件系统任意位置写入文件的高危漏洞；CVE-2024-57726：允许低权限技术人员创建越权API密钥的严重漏洞）入侵多个客户网络。加密数据后，攻击者采用双重勒索策略，在索要赎金的同时威胁泄露窃取数据。CISA未透露攻击公用事业软件提供商的勒索组织名称。 防护措施 CISA针对不同主体提出建议： 1.软件供应商 若供应商自有软件中嵌入了SimpleHelp，或第三方服务提供商在下游客户网络中部署了SimpleHelp，应核查服务器版本（位于配置文件顶部）。若发现自2025年1月以来使用过5.5.7或更早版本，需立即执行： 隔离SimpleHelp服务器实例与互联网连接或停止服务器进程 升级至最新版本修复漏洞 通知所有下游客户并指导其加固终端设备，同时在网络中开展威胁狩猎 2.下游客户与终端用户 下游客户需立即核查系统是否直接或通过第三方软件间接运行未修复的SimpleHelp RMM。 若发现存在SimpleHelp，可通过向服务器发起HTTP查询确认版本。若确认系统存在5.5.7或更早版本，组织应： 开展威胁狩猎行动寻找入侵证据 持续监控SimpleHelp服务器的异常进出流量 若未发现入侵痕迹，立即升级至最新版本；若无法立即修复则应用临时解决方案 补充说明 SimpleHelp Ltd公司已发布移动端远程支持工具，但该应用与此次漏洞无关。CISA强调，及时升级和主动监控是应对此类供应链攻击的关键防线。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技(Trend Micro)已发布安全更新，修复其Apex Central和端点加密策略服务器(TMEE PolicyServer)产品中的多个高危远程代码执行（RCE）及认证绕过漏洞。该安全厂商强调，目前未发现任何漏洞在野利用证据，但仍建议立即应用更新以规避风险。 一、受影响产品及漏洞详情 1. 端点加密策略服务器(TMEE PolicyServer) 该产品为企业级加密管理平台，为受监管行业提供全磁盘加密及移动介质加密服务。此次修复的关键漏洞包括： CVE-2025-49212 认证前RCE漏洞，因PolicyValueTableSerializationBinder类的不安全反序列化引发。攻击者无需登录即可以SYSTEM权限执行任意代码。 CVE-2025-49213 认证前RCE漏洞，源于PolicyServerWindowsService类对不可信数据的反序列化。攻击者无需认证即可获得SYSTEM权限。 CVE-2025-49216 认证绕过漏洞，因DbAppDomain服务的身份验证机制缺陷所致。攻击者可完全绕过登录流程执行管理员级操作。 CVE-2025-49217 认证前RCE漏洞（ZDI评估为高危），由ValidateToken方法的不安全反序列化触发，攻击者仍可以SYSTEM权限运行代码。 此次更新还修复了4个高危漏洞（含SQL注入及权限提升问题）。所有漏洞影响6.0.0.4013之前所有版本，且无临时缓解措施。 2. 集中安全管理平台(Apex Central) 该产品用于统一监控和管理企业内多款趋势科技产品。修复的2个关键RCE漏洞为： CVE-2025-49219 认证前RCE漏洞（CVSS 9.8），因GetReportDetailView方法的不安全反序列化，攻击者无需认证即可在NETWORK SERVICE权限下执行代码。 CVE-2025-49220 认证前RCE漏洞（CVSS 9.8），由ConvertFromJson方法反序列化时的输入验证缺陷导致，攻击者可远程执行任意代码。 二、修复方案 TMEE PolicyServer：升级至版本6.0.0.4013（Patch 1 Update 6） Apex Central 2019（本地版）：应用补丁B7007 Apex Central（云服务版）：漏洞修复已自动完成 三、背景关联 此次漏洞集中于反序列化机制缺陷，与此前趋势科技产品漏洞（如2023年Apex Central的SQL注入漏洞CVE-2023-32529）存在相似攻击面。企业需警惕此类漏洞在供应链攻击中的串联风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全企业Check Point研究人员发现微软Windows存在高危零日漏洞，该漏洞已被长期活跃的黑客组织用于攻击非洲和中东政府目标。微软于6月补丁日紧急修复该漏洞（编号CVE-2025-33053），该漏洞现已被美国网络安全和基础设施安全局列入高危漏洞目录，严重性评分达8.8分（满分10分）。 该漏洞存在于Windows内置的Web分布式创作与版本管理（WebDAV）组件中。该HTTP协议扩展允许用户远程管理服务器文件，广泛用于文档管理系统及协作平台。攻击者可通过精心构造的URL链接触发漏洞，当用户点击恶意链接时，攻击者即可远程执行代码。 Check Point在调查2025年3月土耳其某大型国防机构遭攻击事件时首次发现该漏洞利用。攻击始于伪装成军事装备损坏PDF文档的.url快捷文件，该文件疑似通过钓鱼邮件传播，使黑客能静默执行其远程服务器代码。攻击链中部署了名为Horus加载器和Horus代理的定制化工具，具备间谍活动与安全工具规避能力。 经技术溯源，Check Point将攻击归因于黑客组织Stealth Falcon（又名FruityArmor）。该组织至少自2012年起活跃，长期针对中东和非洲地区的政府及国防部门实施网络间谍活动。其攻击特点包括：获取零日漏洞利用工具、开发定制化恶意载荷、使用鱼叉式钓鱼邮件攻击土耳其、卡塔尔、埃及和也门的高价值目标。 Check Point在技术报告中指出：“Stealth Falcon持续进化，通过结合零日漏洞利用、合法工具、多阶段加载器和定制化植入程序，构建出极具韧性的攻击链条。”该组织展现出专业级APT组织的资源投入和技术特征，其最新攻击活动再次印证了这种威胁演进趋势。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现Salesforce行业云（Salesforce Industries）存在20多项配置相关风险，可能导致敏感数据被未授权的内外部人员获取。这些缺陷影响FlexCards、数据映射器、集成程序（IProcs）、数据包、OmniOut及OmniScript会话存储等多个组件。 “Salesforce行业云等低代码平台虽简化了应用构建流程，但若忽视安全则可能付出代价。”AppOmni SaaS安全研究主管Aaron Costello向The Hacker News表示。这些配置疏漏若未修复，将允许攻击者访问加密的员工与客户机密数据、用户交互会话记录、Salesforce及其他系统的凭证，以及核心业务逻辑。 经负责任披露后，Salesforce已修复其中3项缺陷，并为另外2项发布配置指南，其余16项需客户自行修复。已分配CVE编号的漏洞包括： CVE-2025-43697（CVSS评分：暂无）：若未启用“Extract”和“Turbo Extract数据映射器”的字段级安全检查，将绕过“查看加密数据”权限验证，导致加密字段明文泄露 CVE-2025-43698（CVSS评分：暂无）：SOQL数据源获取数据时绕过所有字段级安全控制 CVE-2025-43699（CVSS评分5.3）：FlexCard未强制执行OmniUlCard对象的“必需权限”字段 CVE-2025-43700（CVSS评分7.5）：FlexCard未验证“查看加密数据”权限，返回经典加密字段的明文值 CVE-2025-43701（CVSS评分7.5）：FlexCard允许访客用户访问自定义设置值 攻击者可利用这些漏洞绕过安全控制窃取关键信息。AppOmni指出，CVE-2025-43967和CVE-2025-43698已通过新增的“EnforceDMFLSAndDataEncryption”安全设置修复，客户启用后能确保仅具权限用户可查看数据映射器返回的明文。 “对于需遵守HIPAA、GDPR等合规要求的企业，这些漏洞构成实质性监管风险，”该公司警告，“由于安全配置责任在客户方，单点配置失误可能导致数千条记录泄露，且供应商不承担责任。” Salesforce发言人回应称多数问题“源于客户配置问题”，非应用固有漏洞。“所有问题均已解决，补丁已推送客户，官方文档同步更新。目前未发现相关漏洞在客户环境中的利用证据。” 与此同时，安全研究员Tobia Righi（代号MasterSplinter）披露了未分配CVE编号的SOQL注入漏洞。该零日漏洞存在于所有Salesforce部署的默认Aura控制器中，攻击者通过操控“contentDocumentId”参数注入恶意SOQL语句，可窃取敏感用户数据。结合公开的ID暴力破解脚本（利用Salesforce ID可预测性），攻击者还能获取非公开文档信息。 Salesforce确认：“收到报告后已及时修复该漏洞，未观察到利用迹象。我们感谢Tobia的负责任披露，并持续鼓励通过官方渠道报告安全问题。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 预装应用曝高危漏洞！Ulefone与Krüger&Matz安卓设备存在三项安全缺陷，可致任意应用触发恢复出厂设置及加密应用。漏洞详情如下： CVE-2024-13915（CVSS评分6.9） Ulefone与Krüger&Matz设备预装的“com.pri.factorytest”应用暴露“com.pri.factorytest.emmc.FactoryResetService”服务，允许任意已安装应用执行设备恢复出厂设置。 CVE-2024-13916（CVSS评分6.9） Krüger&Matz设备预装的“com.pri.applock”应用存在缺陷，其内容提供器的“query()”方法（路径：com.android.providers.settings.fingerprint.PriFpShareProvider）允许恶意应用窃取用户设置的PIN码——该PIN码本用于通过生物识别或手动输入加密任意应用。 CVE-2024-13917（CVSS评分8.3） 同款应用暴露的“com.pri.applock.LockUI”活动界面，使恶意应用无需系统权限即可向受保护应用注入具备系统级权限的任意意图。 虽然利用CVE-2024-13917需知晓PIN码，但结合CVE-2024-13916的PIN窃取能力可形成完整攻击链。波兰计算机应急响应中心（CERT Polska）披露漏洞并致谢研究员Szymon Chadam，目前厂商修复状态尚不明确。The Hacker News已联系涉事企业，将及时更新进展。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰网络安全公司EclecticIQ披露，针对移动设备管理软件Ivanti Endpoint Manager Mobile（EPMM）漏洞的大规模恶意攻击活动已波及英国两家医疗机构。 此次攻击利用编号为CVE-2025-4427和CVE-2025-4428的两个漏洞进行组合利用，攻击者首先通过身份验证绕过漏洞（CVSS评分5.3）突破防线，随后利用远程代码执行漏洞（CVSS评分7.2）接管系统。 全球范围内包括英国、美国、德国、韩国等国家的多个组织遭受冲击，英国国家医疗服务体系（NHS）下属的伦敦大学学院医院NHS信托基金会和南安普顿大学医院NHS信托基金会成为重点目标。 根据Sky News获取的证据，攻击者已成功侵入这两家医疗机构的IT系统。EclecticIQ首席执行官Cody Barrow指出，此类攻击可能导致患者敏感数据外泄，包括员工电话号码、设备IMEI码及身份认证令牌等技术信息。不过NHS England向Infosecurity杂志表示，当前尚未发现患者数据遭窃取的直接证据，医疗业务仍正常运转。NHS网络运营中心正与英国国家网络安全中心（NCSC）密切协作，通过24小时监控体系和高危预警机制优先处置关键漏洞。 此次被利用的漏洞最早于5月13日由欧盟计算机应急响应小组（CERT-EU）向Ivanti报告，厂商在当天发布安全公告并推出修复补丁。网络安全公司WatchTowr于5月15日公开技术分析报告及漏洞利用验证代码后，推测可能涉及国家级支持的黑客活动。 针对医疗行业频发的供应链安全风险，Bridewell公司网络安全副总监Emran Ali强调，医疗机构作为患者数据的核心保管者，必须构建覆盖供应商管理、技术控制、事件响应的立体防御体系。Netskope威胁实验室最新报告显示，81%的医疗数据违规事件涉及受GDPR等法规保护的敏感信息，突显第三方软件漏洞带来的连锁风险。近期NHS要求技术供应商签署公开安全承诺书的举措，标志着医疗行业正推动建立更严格的技术供应链问责机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文