HackerNews 编译，转载请注明出处： SAP NetWeaver是用于运行和连接SAP与非SAP应用程序的开发平台。 上周，SAP披露了其Visual Composer组件的元数据上传器（Metadata Uploader）中的漏洞。该漏洞允许远程攻击者在未认证的情况下向暴露实例上传任意可执行文件，实现代码执行并完全控制系统。 包括ReliaQuest、watchTowr和Onapsis在内的多家网络安全公司确认该漏洞正被用于攻击，威胁行为者利用其在易受攻击的服务器上部署网页后门程序。 SAP发言人向BleepingComputer表示，已知悉攻击尝试，并于2024年4月8日发布临时缓解方案，随后在4月25日发布修复CVE-2025-31324的安全更新。SAP称目前未发现攻击影响客户数据或系统的案例。 研究人员证实，大量存在漏洞的SAP Netweaver服务器暴露于互联网，成为攻击主要目标。 Shadowserver Foundation发现427台暴露服务器，警告其存在巨大的攻击面且利用后果严重。多数漏洞系统位于美国（149台）、印度（50台）、澳大利亚（37台）、中国（31台）、德国（30台）、荷兰（13台）、巴西（10台）和法国（10台）。 网络安全搜索引擎Onyphe则指出，目前有1,284台漏洞服务器在线暴露，其中474台已被植入网页后门。Onyphe首席技术官Patrice Auffret向BleepingComputer透露：“约20家《财富》500强/全球500强企业存在漏洞，其中多家已遭入侵。” 研究人员发现攻击者使用名为“cache.jsp”和“helper.jsp”的网页后门，但Nextron Research指出其也采用随机文件名以增加检测难度。尽管受影响服务器总量不大，但由于SAP NetWeaver广泛应用于大型企业与跨国公司，风险仍然显著。 建议用户根据SAP公告应用最新安全更新。若无法立即更新，可采取以下临时措施： 限制对/developmentserver/metadatauploader 端点的访问 若未使用Visual Composer，考虑彻底关闭该组件 将日志转发至SIEM系统并扫描servlet路径下的未授权文件 RedRays已发布针对CVE-2025-31324的扫描工具，可协助大型环境中的风险定位。 BleepingComputer已就漏洞活跃利用问题联系SAP，将在获得回应后更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了Ruby网络服务器接口Rack中的三个安全漏洞。若被成功利用，攻击者可在特定条件下未授权访问文件、注入恶意数据并篡改日志。 网络安全厂商OPSWAT标记的漏洞如下： CVE-2025-27610（CVSS评分：7.5）：路径遍历漏洞，攻击者若确定文件路径，可访问指定根目录下的所有文件。 CVE-2025-27111（CVSS评分：6.9）：对回车换行符（CRLF）序列的不当中和及日志输出过滤漏洞，可操纵日志条目并扭曲日志文件。 CVE-2025-25184（CVSS评分：5.7）：对CRLF序列的不当中和及日志输出过滤漏洞，可篡改日志条目并注入恶意数据。 成功利用这些漏洞可使攻击者掩盖攻击痕迹、读取任意文件并注入恶意代码。 OPSWAT在提供给《The Hacker News》的报告中称：“CVE-2025-27610尤其严重，未认证攻击者可借此获取配置文件、凭证等敏感信息，导致数据泄露。”该漏洞源于托管静态内容（如JavaScript、样式表、图片）的中间件Rack::Static未清理用户提供的路径。当:root参数未明确定义时，Rack默认将当前工作目录（Dir.pwd）设为网络根目录。若:root与:urls配置不当，攻击者可通过路径遍历访问敏感文件。 缓解措施包括升级至最新版本、移除Rack::Static的使用，或确保root:指向仅含公开文件的目录。 与此同时，Infodraw媒体中继服务（MRS）被发现存在关键漏洞（CVE-2025-43928，CVSS评分：9.8），攻击者可通过登录页用户名参数的路径遍历漏洞读取或删除任意文件。 Infodraw是以色列移动视频监控解决方案提供商，其设备被多国执法部门、私家调查、车队管理及公共交通用于传输音视频和GPS数据。安全研究员Tim Philipp Schäfers表示：“该漏洞允许未认证攻击者读取系统任意文件（例如使用用户名’../../../../’），且存在任意文件删除漏洞。”该漏洞影响MRS的Windows和Linux版本，目前未修复。比利时与卢森堡的受影响系统已下线。 Schäfers建议：“受影响组织应立即将应用下线（因厂商未提供补丁且漏洞可能被近期利用）。若无法下线，需通过VPN或IP白名单加强防护。”     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第一季度，多达159个CVE编号被标记为实际遭到利用，高于2024年第四季度的151个。 VulnCheck在与《The Hacker News》共享的报告中表示：“我们持续观察到漏洞被快速利用的现象，28.3%的漏洞在其CVE公开后1天内即遭利用。”这意味着有45个安全漏洞在公开当天就被武器化用于真实攻击。另有14个漏洞在1个月内被利用，还有45个漏洞在一年内遭到滥用。 VulnCheck表示，大部分被利用漏洞存在于内容管理系统（CMS），其次是网络边缘设备、操作系统、开源软件和服务器软件。具体分类如下： 内容管理系统（CMS）（35个） 网络边缘设备（29个） 操作系统（24个） 开源软件（14个） 服务器软件（14个） 该时期被攻击的主要厂商及产品包括：微软Windows（15个漏洞）、博通VMware（6个）、Cyber PowerPanel（5个）、Litespeed Technologies（4个）和TOTOLINK路由器（4个）。 VulnCheck指出：“平均每周披露11.4个KEV漏洞，每月53个。虽然CISA KEV本季度新增80个漏洞，但其中仅有12个此前没有公开的利用证据。”在159个漏洞中，25.8%被发现正在等待或接受NIST国家漏洞数据库（NVD）分析，3.1%被赋予新的“延期”状态。 根据Verizon最新发布的《2025年数据泄露调查报告》，作为数据泄露初始访问途径的漏洞利用量增长34%，占所有入侵事件的20%。谷歌旗下Mandiant收集的数据也显示，漏洞利用连续第五年成为最常观察到的初始感染途径，而窃取凭证已超越钓鱼攻击成为第二大初始访问途径。 Mandiant表示：“在确定初始感染途径的入侵事件中，33%始于漏洞利用。这比2023年（漏洞利用占入侵初始途径的38%）有所下降，但与2022年（32%）基本持平。”尽管攻击者试图逃避检测，防御者在识别入侵方面的能力仍在持续提升。 全球驻留时间中位数（即攻击者从入侵到被检测到在系统中停留的天数）达到11天，较2023年增加1天。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Active! Mail 零日远程代码执行漏洞正被积极利用，攻击日本的大型组织。 Active! Mail 是一款基于 Web 的电子邮件客户端，最初由 TransWARE 开发，后被 Qualitia 收购，这两家公司均为日本公司。 虽然 Active! 不像 Gmail 或 Outlook 那样在全球范围内广泛使用，但它经常被用作大型企业、大学、政府机构和银行等日语环境中的群件组件。据 Active! 供应商称，该公司已在超过 2,250 家组织中使用，拥有超过 11,000,000 个帐户，使其成为日本商业 Web 邮件市场的重要参与者。 上周晚些时候，Qualitia 发布了一份安全公告，报告了一个基于堆栈的缓冲区溢出漏洞，漏洞编号为 CVE-2025-42599（CVSS v3 评分：9.8，“严重”），该漏洞影响所有受支持操作系统平台上 Active! 的所有版本（包括“BuildInfo: 6.60.05008561”）。 公告称：“如果远程第三方发送恶意构建的请求，则可能存在任意代码执行或触发拒绝服务 (DoS) 的情况。” 尽管 Qualitia 表示正在调查该漏洞是否已被利用，但日本计算机紧急响应小组 (CERT) 已确认该漏洞正处于活跃利用状态，并敦促所有用户尽快更新至 Active! Mail 6 BuildInfo: 6.60.06008562。 日本网络托管和 IT 服务 (SMB) 提供商 Kagoya Japan 上周末报告了数起外部攻击，导致其暂停服务。 “我们怀疑此问题与 QUALITIA（开发商）披露的一个漏洞有关，” Kagoya 此前发布的公告中写道。 网络托管和 IT 服务提供商 WADAX 也报告了类似的服务中断，据称是由于有人试图利用该漏洞。 “目前，我们还无法保证客户能够安全使用该服务，” WADAX 宣布。 “因此，出于客户安全的首要考虑，我们已暂时停止 Active! 邮件服务，以防万一。” Macnica 安全研究员 Yutaka Sejiyama 告诉 BleepingComputer，至少有 227 台暴露在互联网上的 Active! 服务器可能面临此类攻击，其中 63 台服务器用于大学。 日本计算机应急响应小组 (CERT) 为无法立即安全更新应用的用户提出了具体的缓解措施，包括配置 Web 应用程序防火墙 (WAF) 以启用 HTTP 请求正文检查，并在 multipart/form-data 标头的大小超过一定阈值时进行阻止。     消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文    

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf研究人员警告，自2025年1月以来，威胁分子持续利用编号CVE-2021-20035（CVSS评分7.1）的漏洞攻击SonicWall安全移动接入（Secure Mobile Access，SMA）设备。 该漏洞本质是SMA100管理界面存在的操作系统命令注入缺陷。远程认证攻击者可利用该漏洞以’nobody’用户身份注入任意指令，最终可能导致任意代码执行。 安全公告明确指出：”SMA100管理界面特殊元素中和处理不当，致使远程认证攻击者能以’nobody’用户身份注入任意指令，存在代码执行风险。” 受影响的设备型号包括SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v系列。厂商已于2021年9月发布补丁。攻击者可通过该漏洞发起拒绝服务（DoS）攻击瘫痪设备。 本周，美国网络安全与基础设施安全局（CISA）将该漏洞纳入已知被利用漏洞目录（KEV），并命令联邦机构须于2025年5月7日前完成修复。 SonicWall同步更新安全公告，确认该漏洞已在真实攻击中被利用。Arctic Wolf监测发现，2025年1月至4月间，针对SMA 100系列设备的攻击活动持续活跃，攻击者旨在窃取VPN凭证。 攻击特征分析： 1、利用默认超级管理员账户（admin@LocalDomain）实施入侵 2、多数设备仍使用默认弱密码”password” 3、即使已完整打补丁设备，若密码管理不当仍可能沦陷 Arctic Wolf在技术报告中强调：”本次攻击活动最显著特征是攻击者利用设备本地超级管理员账户实施入侵，该账户默认密码’password’存在严重安全隐患。” 报告同步披露了完整危害指标（IoCs）。 防护建议： 1、严格限制VPN访问权限 2、禁用所有闲置账户 3、强制启用多因素认证（MFA） 4、重置SMA防火墙所有本地账户密码 监测显示，攻击者主要针对未及时修改默认凭证的设备展开渗透。Arctic Wolf持续监控攻击态势，敦促所有使用SonicWall SMA设备的企业立即实施应急响应措施。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕确认了一个影响启用AiCloud功能路由器的严重安全漏洞，远程攻击者可借此在受影响设备上执行未授权功能。 该漏洞编号为CVE-2025-2492，CVSS评分为9.2（满分10.0）。 “特定华硕路由器固件系列存在认证控制不当漏洞，”华硕在公告中表示。”此漏洞可通过构造请求触发，可能导致未授权功能执行。” 华硕已通过以下固件分支的更新修复该缺陷： 3.0.0.4_382 3.0.0.4_386 3.0.0.4_388 3.0.0.6_102 为获得最佳防护，建议用户将设备升级至最新固件版本。 华硕建议，”请为无线网络和路由器管理页面设置不同密码。使用至少10位字符的密码，包含大写字母、数字和符号。” “不要在多台设备或服务中使用相同密码。避免使用连续数字或字母的密码，例如1234567890、abcdefghij或qwertyuiop。” 若无法立即更新补丁或路由器已停产（EoL），请确保登录密码和Wi-Fi密码强度足够。 另一解决方案是禁用AiCloud及所有可从互联网访问的服务，包括：WAN远程访问、端口转发、DDNS、VPN服务器、DMZ、端口触发和FTP。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于周三将一个影响SonicWall Secure Mobile Access（SMA）100系列网关的安全漏洞添加至其”已知被利用漏洞（KEV）目录”，基于此漏洞正被活跃利用的证据。 该高危漏洞编号为CVE-2021-20035（CVSS评分：7.2），属于操作系统命令注入漏洞，可能导致代码执行。 “SMA100管理界面未能正确过滤特殊元素，使得远程认证攻击者能以’nobody’用户身份注入任意命令，可能导致代码执行。”SonicWall在2021年9月发布的公告中表示。该漏洞影响以下版本设备：SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v（ESX、KVM、AWS、Azure）型号。 受影响版本包括： 10.2.1.0-17sv及更早版本（10.2.1.1-19sv及以上版本已修复） 10.2.0.7-34sv及更早版本（10.2.0.8-37sv及以上版本已修复） 9.0.0.10-28sv及更早版本（9.0.0.11-31sv及以上版本已修复） 尽管目前尚不清楚CVE-2021-20035漏洞被利用的具体细节，但SonicWall已更新公告指出”该漏洞可能正在现实中被利用”。 根据要求，联邦民事行政部门（FCEB）机构必须在2025年5月7日前采取必要的缓解措施，以保护其网络免受主动威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周三发布带外（out-of-band）操作系统更新，修复两个已被用于针对少量iOS设备的“极其复杂”攻击的安全漏洞。 这两个漏洞编号为CVE-2025-31200和CVE-2025-31201，分别被归类为代码执行漏洞和安全缓解措施绕过漏洞，影响iOS、iPadOS及macOS平台。苹果称已收到报告，确认这些漏洞被用于针对特定iPhone目标的高端攻击。 CoreAudio组件漏洞（CVE-2025-31200） 处理恶意构造的媒体文件中的音频流时可能触发代码执行。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此内存损坏问题通过改进边界检查修复。该漏洞由谷歌威胁分析小组（TAG）报告。 RPAC组件漏洞（CVE-2025-31201） 具备任意读写能力的攻击者可能绕过指针认证（Pointer Authentication）机制。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此问题通过移除漏洞代码修复。（注：指针认证是ARM架构中的安全功能，用于检测指针是否被篡改） 漏洞补丁已覆盖所有运行macOS Sequoia系统的设备，但苹果强调目前仅观察到少量针对iPhone的攻击实例。 依照惯例，苹果未公开实际攻击的技术细节或入侵指标（IOCs）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Huntress安全研究人员记录了针对Gladinet CentreStack和Triofox软件关键漏洞的活跃利用情况，其中默认的加密配置导致针对七家组织的攻击，并在大约120个端点上引发了异常活动。 该漏洞被标记为CVE-2025-30406，于4月初被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞（KEV）目录，并且拥有9/10的CVSS严重性评分。 该漏洞源自CentreStack和Triofox配置文件中默认嵌入的硬编码加密密钥，这种错误配置使服务器暴露在远程代码执行攻击之下。 在这种情况下，利用默认密钥可以让攻击者绕过ASPX ViewState保护，并以IIS应用程序池用户的身份执行代码，还可能升级为完全控制整个系统。 Huntress表示，其安全运营中心在4月11日标记了这一异常情况，当时一个内部检测器（专门用于捕捉零日漏洞利用）标记了来自IIS工作进程不规则子进程的异常传出连接。 该公司称，这一初始检测（由源自PowerShell的可疑进程树突出显示）引发了一系列警报，因为恶意软件猎手从失败的ViewState验证和其他在Windows事件日志中可见的指标中拼凑证据。 该公司称，这些漏洞利用遵循了一个众所周知的剧本。一旦确定了易受攻击的服务器，攻击者就会发出精心设计的PowerShell命令来触发漏洞，最终导致远程代码执行。 在一次事件中，Huntress研究人员表示，他们追踪到了一个涉及编码的PowerShell指令的命令序列，该指令旨在下载并执行一个DLL，这种手法在最近针对CrushFTP软件漏洞的攻击中也曾出现。 “根据Shodan的数据显示，目前有几百台易受攻击的服务器暴露在公共互联网上。虽然这个数字相对较小，但立即被攻陷的风险仍然很严重，”Huntress警告说。 Huntress表示，他们观察到攻击者在网络中横向移动，利用MeshCentral等工具维持远程访问。该公司称，黑客还试图添加新的用户账户，执行标准的枚举命令，并使用默认的Impacket脚本。 Gladinet已经发布了补丁，并承认了远程代码执行的风险。 “我们可以确认，Gladinet CentreStack和Triofox的补丁在我们测试的概念验证中是有效的，能够阻止漏洞利用，”Huntress表示。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）的安全研究人员指出，Nvidia针对Nvidia容器工具包中一个关键漏洞的补丁存在问题，警告称这种不完整的缓解措施使企业仍然容易受到容器逃逸攻击。 该漏洞被标记为CVE-2024-0132，CVSS评分为9/10，去年9月作为高优先级问题进行了修补，但现在Trend Micro表示，该补丁是“不完整的”，为黑客留下了可乘之机，使他们能够在受影响的系统上执行任意命令、窃取敏感数据或提升权限。 根据Trend Micro的分析，一个精心设计的容器可以利用容器访问宿主文件系统时的检查与实际执行访问之间存在的TOCTOU（检查时到使用时）时间窗口。 这一漏洞使得攻击者能够在容器运行时注入操作，绕过预期的隔离机制，有效地让容器访问或操纵宿主资源。Trend Micro解释说，补丁未能强制执行严格的检查以排除这种竞争条件，这是该漏洞存在的原因。 Trend Micro在其对有缺陷补丁的文档中指出：“利用这些漏洞可能会使攻击者能够访问敏感的宿主数据，或者通过耗尽宿主资源来造成重大运营中断。” “成功利用这些漏洞可能会导致未经授权访问敏感宿主数据、窃取专有AI模型或知识产权、严重的运营中断，以及由于资源耗尽或系统无法访问而导致的长时间停机。” 该公司表示，使用Nvidia容器工具包或在人工智能、云计算或容器化环境中使用Docker的组织直接受到影响，特别是那些使用默认配置或最近版本中引入的特定工具包功能的组织。 “部署人工智能工作负载或基于Docker的容器基础设施的公司可能面临风险。”该公司补充道。 根据Trend Micro的分析，该工具包1.17.3及以下版本存在固有漏洞，而1.17.4版本需要明确启用allow-cuda-compat-libs-from-container功能才可被利用。 此外，Trend Micro还发现了一个与Linux系统上的Docker相关的拒绝服务漏洞。使用bind-propagation配置了多个挂载点的容器（特别是那些带有共享标志的容器）可能会触发Linux挂载表的无限制增长。 Trend Micro表示，由此导致的文件描述符耗尽构成了严重的拒绝服务风险，有效地阻止了容器的创建，并拒绝了通过SSH的远程连接。 该公司敦促企业用户将Docker API的使用限制在授权人员范围内，避免不必要的root级权限，并在Nvidia容器工具包中禁用非必要的功能，除非这些功能是严格必需的。 根据云安全供应商Wiz的文档，该漏洞威胁到超过35%使用Nvidia GPU的云环境，使攻击者能够逃逸容器并控制底层宿主系统。鉴于Nvidia GPU解决方案在云计算和本地人工智能运营中的广泛使用，这一漏洞的影响范围相当广泛。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文