HackerNews 编译，转载请注明出处： 网络安全公司F5披露，2025年8月，一个高度复杂的国家级行为者入侵其系统，窃取了BIG-IP的源代码及与未公开漏洞相关的信息。 攻击者访问了该公司的BIG-IP开发和工程系统，但F5指出，遏制工作成功，未发现进一步的未授权活动。 该公司已向执法部门报告了这一事件，并在领先网络安全公司的帮助下调查安全漏洞。 “2025年8月，我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来，我们未发现任何新的未授权活动，我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。 “针对此次事件，我们正在采取主动措施保护客户，加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作，我们正积极与执法部门和政府合作伙伴合作。” F5在其客户关系管理、财务或云系统中未发现被入侵迹象，也未发现源代码或供应链被篡改。该公司表示，一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。 “我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境，也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。” 该公司还向美国证券交易委员会（SEC）提交了8-K表格报告。 “2025年8月9日，F5公司（‘公司’、‘F5’、‘我们’或‘我们的’）发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程，并已采取广泛措施遏制威胁行为者。为支持这些活动，公司聘请了领先的外部网络安全专家。”报告中写道。 F5通过广泛的遏制和加固措施应对漏洞，以保护其系统和客户。该公司轮换了凭据，收紧了访问控制，实现了补丁管理自动化，并加强了监控和网络安全。 网络安全公司还在其产品开发环境中增强了保护措施，并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外，F5与CrowdStrike合作，为BIG-IP部署Falcon EDR和威胁狩猎，并为客户提供免费的EDR订阅以增强防御。 用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新，以确保全面保护。 英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局（CISA）建议F5客户定位所有F5产品，确保暴露的管理接口安全，并评估是否被入侵。F5应美国政府要求延迟披露，以保护关键系统。     消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）与Mandiant在周四发布的一份新报告中表示，自2025年8月9日起，甲骨文公司电子商务套件（EBS）软件的一个安全漏洞遭到零日漏洞利用，可能已影响到数十家机构。 谷歌云威胁情报首席分析师John Hultquist在接受The Hacker News采访时表示：“我们仍在评估这一事件的范围，但相信已有数十家组织受到影响”，“过去一些Cl0p的数据勒索行动中受害者多达数百家。不幸的是，这类大规模零日攻击活动正在成为网络犯罪的常态。” 这次活动带有Cl0p勒索软件团伙的典型特征。攻击者组合利用了多个不同漏洞，其中包括一个编号为CVE-2025-61882（CVSS评分9.8）的零日漏洞，用以入侵目标网络并窃取敏感数据。谷歌称，其发现可疑活动可追溯至2025年7月10日，但这些早期尝试的成功程度尚不明确。Oracle此后已发布补丁修复漏洞。 攻击背景与手法 Cl0p又名Graceful Spider，自2020年活跃以来，曾多次利用零日漏洞发动大规模攻击，目标包括Accellion旧版文件传输设备（FTA）、GoAnywhere MFT、Progress MOVEit MFT和Cleo LexiCom等软件。以往 FIN11 黑客组织发起的钓鱼邮件活动通常是 CL0P 勒索软件部署的前奏，但谷歌表示，此次发现该文件加密恶意软件的操控者似乎是另一个不同的黑客组织。 2025 年 9 月 29 日，新一轮攻击正式展开，攻击者利用数百个被盗的第三方机构账户（这些账户分属不同组织）向企业高管发起大规模钓鱼邮件攻击。据称，这些账户的凭证是在地下论坛购买的，很可能来自信息窃取恶意软件日志。 邮件中声称攻击者已入侵目标机构的甲骨文电子商务套件应用并窃取敏感数据，要求对方支付一笔未指明金额的赎金，否则将泄露被盗信息。截至目前，此次攻击事件的受害者尚未出现在 CL0P 的数据泄露网站上，这与该组织以往的攻击模式一致 —— 通常会等待数周后才公布受害者名单。 攻击者在攻击过程中综合运用了服务器端请求伪造、回车换行注入、身份验证绕过及可扩展样式表语言模板注入等多种技术手段，以获取目标甲骨文电子商务套件服务器的远程代码执行权限并建立反向 shell。 技术细节 谷歌表示，2025 年 8 月前后，发现某威胁行为者利用 “/OA_HTML/SyncServlet” 组件的漏洞实现远程代码执行，并最终通过模板预览功能触发可扩展样式表语言负载。目前已发现该负载中嵌入了两条不同的 Java 负载链： GOLDVEIN.JAVA：这是名为 “金脉”（GOLDVEIN）的下载器的 Java 变种（该下载器的 PowerShell 版本最早于 2024 年 12 月在多起克利奥软件产品漏洞利用事件中被发现），能够从命令与控制服务器接收第二阶段负载。 SAGEGIFT：这是一款为甲骨文 WebLogic 服务器定制的 Base64 编码加载器，用于启动内存驻留型投放器 SAGELEAF，进而安装恶意 Java servlet 过滤器 SAGEWAVE，该过滤器可用于安装一个加密压缩包，其中包含未知的后续阶段恶意软件（不过其主要负载与 FIN11 黑客组织的 GOLDTOMB 后门程序中的命令行界面模块存在部分重合）。 此外，还观察到威胁行为者通过电子商务套件的 “applmgr” 账户执行各类侦察命令，并通过运行 GOLDVEIN.JAVA 的 Java 进程启动 bash 进程执行相关命令。 值得注意的是，2025 年 7 月事件响应过程中发现的部分攻击痕迹，与 2025 年 10 月 3 日 “分散的 LAPSUS$ 猎人” 电报群泄露的一个漏洞利用程序存在重合。但谷歌表示，目前尚无足够证据表明该网络犯罪团伙参与了此次攻击活动。 战略评估 GTIG 指出，从此次攻击投入的资源规模来看，发起初始入侵的威胁行为者很可能在攻击前投入了大量资源进行研究。 这家科技巨头表示，目前尚未正式将此次系列攻击归属于某个已知威胁组织，但强调攻击者使用 CL0P 名号这一行为值得关注。不过，有迹象表明该威胁行为者与 CL0P 存在关联。谷歌还指出，此次攻击中使用的后期利用工具与此前疑似 FIN11 组织攻击活动中使用的恶意软件（如 GOLDVEIN 和 GOLDTOMB）存在重合，且用于发送近期勒索邮件的一个被盗账户此前曾被 FIN11 组织使用过。 声明中提到：“先利用广泛使用的企业级应用程序中的零日漏洞，数周后发起大规模品牌化勒索活动，这一模式是 FIN11 组织的典型攻击特征，该模式具有战略优势，可能也会被其他威胁行为者借鉴。” “针对存储敏感数据的面向公众的应用程序及设备发起攻击，可能会提高数据窃取效率，因为威胁行为者无需投入时间和资源进行横向渗透。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁参与者正积极利用 “服务查找器”（Service Finder）WordPress 主题存在的一个严重安全漏洞。该漏洞可使攻击者未经授权访问任意账户（包括管理员账户），进而控制存在漏洞的网站。 此次被追踪为CVE-2025-5947（CVSS 评分：9.8，属于严重级别）的身份验证绕过漏洞，影响的是 “服务查找器预订”（Service Finder Bookings）插件 —— 该插件是 “服务查找器” 主题的捆绑插件。该漏洞由一名化名 “Foxyyy” 的研究人员发现。 Wordfence 研究员 István Márton 表示：“此漏洞允许未经验证的攻击者访问网站上的任意账户，包括拥有‘管理员’权限的账户。” 该漏洞的核心问题是 “权限提升”，其根源在于身份验证绕过：该插件在通过 “账户切换功能”（service_finder_switch_back ()）让用户登录前，未充分验证用户的 Cookie 值。 因此，未经验证的攻击者可利用这一漏洞，以任意用户（包括管理员）的身份登录网站，从而实际控制该网站，并将其用于恶意目的 —— 例如植入恶意代码，将用户重定向至虚假网站，或利用该网站托管恶意软件。 该漏洞影响所有版本号小于等于 6.0 的 “服务查找器” 主题。插件维护者已于 2025 年 7 月 17 日发布 6.1 版本，修复了此问题。根据 Envato 市场（知名主题 / 插件交易平台）的数据，该主题已售出超过 6100 份。 这家 WordPress 安全公司（指 Wordfence）表示，自 2025 年 8 月 1 日起，已监测到针对 CVE-2025-5947 漏洞的利用活动，截至目前已检测到超过 13800 次攻击尝试。不过，目前这些攻击尝试的成功率尚不清楚。 以下 IP 地址被监测到针对 “服务查找器预订” 插件的 “账户切换功能” 发起攻击： 5.189.221.98 185.109.21.157 192.121.16.196 194.68.32.71 178.125.204.198 建议网站管理员对网站进行审计，排查是否存在可疑活动，并确保所有插件和主题均已更新至最新版本。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Figma MCP 漏洞详情 网络安全研究人员披露了热门工具 figma-developer-mcp（模型上下文协议，MCP）服务器中一个现已修复的漏洞。该漏洞可能使攻击者实现代码执行。 此漏洞编号为 CVE-2025-53967，CVSS 评分为 7.5，属于命令注入漏洞，根源在于对用户输入未进行安全处理，从而为攻击者发送任意系统命令打开了方便之门。 该漏洞的 GitHub 安全公告指出：“服务器会直接将未经验证的用户输入嵌入到命令行字符串中，进而构造并执行 Shell 命令。这使得 Shell 元字符注入（如 |、>、&& 等）成为可能。成功利用该漏洞可导致攻击者以服务器进程的权限执行远程代码。” 由于 Framelink Figma MCP 服务器会提供多种工具，供用户借助 Cursor 等人工智能（AI）驱动的编码代理在 Figma 中执行操作，因此攻击者可通过间接提示注入的方式，诱使 MCP 客户端执行非预期操作。 数字取证与事件响应（DFIR）外包服务 网络安全公司 Imperva 于 2025 年 7 月发现并报告了该问题。该公司将 CVE-2025-53967 描述为一种 “设计疏漏”，存在于（服务器的） fallback 机制（故障转移 / 备用机制）中，可能使恶意攻击者实现完全的远程代码执行，导致开发人员面临数据泄露风险。 安全研究员约汉・西拉姆表示，该命令注入漏洞 “发生在构建用于向 Figma API 端点发送流量的命令行指令过程中”。 漏洞利用流程分为以下几个步骤： MCP 客户端向 MCP 端点发送 “初始化（Initialize）” 请求，以获取 mcp-session-id（MCP 会话 ID），该 ID 将用于后续与 MCP 服务器的通信。 客户端向 MCP 服务器发送 JSONRPC 请求，调用 “tools/call” 方法以使用相关工具，例如 “get_figma_data”（获取 Figma 数据）或 “download_figma_images”（下载 Figma 图片）。 该漏洞的核心问题存在于 “src/utils/fetch-with-retry.ts” 文件中。该文件首先尝试使用标准的 fetch API 获取内容，若获取失败，则会通过 child_process.exec（Node.js 中的子进程执行模块）调用 curl 命令 —— 而这一过程恰好引入了命令注入漏洞。 Imperva 指出：“由于 curl 命令是通过将 URL 和标头值直接插入到 Shell 命令字符串中构造而成的，恶意攻击者可精心设计特殊的 URL 或标头值，以注入任意 Shell 命令。这可能导致在主机上执行远程代码（RCE）。” 在概念验证（PoC）攻击中，同一网络中的远程攻击者（例如连接公共 Wi-Fi 的攻击者或已入侵企业设备的攻击者）可通过向存在漏洞的 MCP 发送一系列请求来触发该漏洞。此外，攻击者也可通过 DNS 重绑定攻击，诱骗受害者访问精心构造的恶意网站。 figma-developer-mcp 的 0.6.3 版本已修复该漏洞，该版本于 2025 年 9 月 29 日发布。作为缓解措施，建议避免将 child_process.exec 与不可信输入结合使用，而是改用 child_process.execFile—— 该方法可消除 Shell 解释带来的风险。 这家隶属于泰雷兹（Thales）集团的公司（指 Imperva）表示：“随着人工智能驱动的开发工具不断发展并获得广泛采用，安全考量必须与技术创新保持同步。此漏洞深刻提醒我们，即便是设计用于本地运行的工具，也可能成为攻击者的强大入口。” Center for Internet Security（CIS，互联网安全中心）构建工具包 与此同时，网络安全公司 FireTail 披露，谷歌已决定不修复其 Gemini AI 聊天机器人中一个新的 ASCII 走私攻击漏洞。该漏洞可被利用来构造特殊输入，这些输入能绕过安全过滤机制，并诱导聊天机器人产生不良响应。其他易受此类攻击影响的大型语言模型（LLM）还包括 DeepSeek 和 xAI 的 Grok。 该公司表示：“当 Gemini 等大型语言模型与谷歌 Workspace 等企业平台深度集成时，此漏洞的危险性会尤其突出。这种攻击技术可实现自动化的身份伪造和系统性的数据投毒，将一个用户界面（UI）层面的漏洞转化为潜在的安全噩梦。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将 Synacor Zimbra 协作套件（ZCS）的一个漏洞（漏洞编号：CVE-2025-27915）添加至其已知被利用漏洞（KEV）目录中。 CVE-2025-27915 是 Zimbra 协作套件（9.0-10.1 版本）中存在的一种存储型跨站脚本（XSS）漏洞，由 ICS 文件中 HTML 过滤不充分所致。当受害者打开包含恶意 ICS 条目（日历数据交换格式）的电子邮件时，JavaScript 代码会通过<ontoggle>事件执行，攻击者借此可劫持会话、设置邮件重定向并窃取数据。 StrikeReady 公司的研究人员发现，威胁行为者利用恶意 iCalendar（.ICS）文件，通过零日攻击（指漏洞未被公开且无补丁修复时发起的攻击） exploiting 了 Zimbra 协作套件中的 CVE-2025-27915 漏洞。ICS 文件原本用于共享日历数据，而在今年早些时候，该文件被恶意利用以向目标系统植入 JavaScript 有效负载。 StrikeReady 发布的报告指出：“2025 年初，一个显示来自 193.29.58.37 的发送方伪造利比亚海军礼宾办公室的身份，向巴西军方发起攻击，利用的正是 Zimbra 协作套件中的零日漏洞 CVE-2025-27915。此次攻击借助了恶意 ICS 文件，这是一种常用的日历格式文件。” 美国网络安全与基础设施安全局：Zimbra 零日攻击事件详情 研究人员在分析大小超过 10KB 且嵌入了混淆 JavaScript 代码的 ICS 文件时，发现了这些攻击行为。 该恶意脚本以 Zimbra 网页邮件系统为攻击目标，窃取用户凭证、电子邮件、联系人及共享文件夹等信息，并将数据泄露至ffrk.net网站。此脚本采用多种规避检测技术：恶意代码延迟 60 秒执行、活动时间限制为 3 天、隐藏用户界面痕迹，且会强制闲置用户登出以窃取数据。研究人员还发现，该脚本通过多个立即调用函数表达式（IIFEs）实现异步运行。 以下是该恶意软件具备的功能： 注入隐藏表单字段，在无可见界面提示的情况下捕获用户名和密码； 窃取在认证表单中输入的凭证信息； 跟踪输入操作（鼠标 / 键盘），若用户处于闲置状态，则终止会话以实施数据窃取； 调用 Zimbra SOAP 接口枚举文件夹并提取电子邮件； 定期（约每 4 小时）将捕获的邮件内容上传至攻击者服务器； 创建名为 “Correo” 的邮件转发规则，将邮件重定向至某个质子邮箱（ProtonMail）地址； 收集认证相关数据及备份令牌并发送给攻击者； 提取通讯录、通讯组列表及共享文件夹中的内容； 注入后延迟 60 秒释放有效负载，以规避快速检测； 限制全功能活动时长为 3 天，之后需进入冷却期； 隐藏或移除界面元素，最大限度减少入侵痕迹； 以多个独立代码块异步运行，拆分执行流程以增加分析难度。 StrikeReady 尚未确定此次攻击的具体实施组织，但指出仅有少数资源充足的行为体具备发起零日攻击的能力。研究人员发现，此次攻击所采用的战术、技术与程序（TTPs，网络攻击领域常用术语，指攻击方的行动模式）与白俄罗斯 APT 组织 UNC1151 的攻击手法存在相似之处。 根据《第 22-01 号具有约束力的行动指令：降低已知被利用漏洞的重大风险》（BOD 22-01）的要求，美国联邦民事执行部门（FCEB）所属机构必须在截止日期前修复已发现的漏洞，以防范利用目录中所列漏洞发起的攻击。专家还建议私营机构核查该漏洞目录，并及时修复自身基础设施中存在的相关漏洞。 美国网络安全与基础设施安全局要求联邦机构于 2025 年 10 月 28 日前完成该漏洞的修复工作。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 Salesforce Agentforce 的严重漏洞。Agentforce 是一个用于构建人工智能（AI）代理的平台，该漏洞可能允许攻击者通过间接提示注入（indirect prompt injection）的方式，从其客户关系管理（CRM）工具中窃取敏感数据。 该漏洞被发现方 Noma Security 命名为 ForcedLeak，CVSS 评分 9.4。该团队于 2025 年 7 月 28 日发现并报告了该问题。漏洞影响所有启用了 Web-to-Lead 功能 的 Salesforce Agentforce 用户。 Noma 安全研究负责人 Sasi Levi 在提交给 The Hacker News 的报告中写道：“这个漏洞表明，与传统的提示-响应系统相比，AI 代理展现出了本质上不同且更大的攻击面。” 一、GenAI 系统的重大威胁：间接提示注入 生成式人工智能（GenAI）系统如今面临的最严重威胁之一就是 间接提示注入。该攻击手法通过在服务访问的外部数据源中插入恶意指令，使系统生成原本禁止的内容或执行非预期操作。 Noma 演示的攻击路径看似简单：攻击者利用 Web-to-Lead 表单中的 Description 字段 注入恶意指令，从而诱导系统泄露敏感数据，并将其外传到一个与 Salesforce 相关但已过期的白名单域名上。该域名已被攻击者以 仅 5 美元的成本重新注册并控制。 二、攻击步骤共五步 攻击者提交包含恶意描述的 Web-to-Lead 表单； 内部员工用标准 AI 查询处理线索； Agentforce 执行合法与隐藏的双重指令； 系统查询 CRM 中的敏感线索信息； 将数据以 PNG 图像的形式传输到攻击者控制的域名。 Noma 表示：“通过利用上下文验证薄弱、AI 模型行为过度宽松以及内容安全策略（CSP）绕过，攻击者能够创建恶意的 Web-to-Lead 提交内容，使其在 Agentforce 处理时执行未经授权的命令。” 由于 LLM 仅作为直接执行引擎运行，它无法区分上下文中加载的合法数据与仅应来自可信来源的恶意指令，最终导致了关键敏感数据的泄露。 三、Salesforce 的应对措施 目前 Salesforce 已重新收回过期域名，并推出了补丁，防止 Agentforce 和 Einstein AI 代理的输出被发送到不受信任的 URL，方法是强制执行 URL 白名单机制。 Salesforce 在本月早些时候发布的安全警报中表示：“我们的底层服务将在 Agentforce 中强制执行可信 URL 白名单，确保不会通过提示注入调用或生成恶意链接。这为防御深度控制提供了关键一环，可防止在提示注入成功后，敏感数据通过外部请求泄露。” 四、安全建议 除了落实 Salesforce 的推荐措施并执行可信 URL 机制外，用户还被建议： 审计现有线索数据，检查是否存在包含异常指令的可疑提交； 实施严格的输入验证机制，以检测潜在的提示注入； 对来自不受信任来源的数据进行清理。 Levi 总结道：“ForcedLeak 漏洞凸显了 前瞻性 AI 安全与治理 的重要性。这是一个强有力的提醒，即使是低成本的发现，也能避免数百万美元的潜在损失。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司在周一宣布了iOS和macOS平台的重大更新，并修复了一个在旧平台上被利用的漏洞。共修复了50多个漏洞。 iOS 26和iPadOS 26为最新一代iPhone和iPad设备发布，修复了27个独特的CVE漏洞，这些漏洞可能导致内存损坏、信息泄露、崩溃和沙箱逃逸。 WebKit是修复最多的组件，共修复了5个安全缺陷，这些缺陷可能导致进程崩溃、Safari崩溃，或者允许网站在未经同意的情况下访问传感器信息。 iOS更新还修复了Apple Neural Engine、蓝牙、CoreAudio、CoreMedia、内核、Safari、沙箱、Siri、系统等十几个组件中的漏洞。 苹果公司发布了macOS Tahoe 26，修复了38个独特的CVE漏洞，其中11个漏洞也在iOS 26和iPadOS 26中得到了修复。 受影响最严重的组件包括WebKit（修复了5个漏洞）、AppleMobileFileIntegrity和SharedFileList（各修复了4个问题）、蓝牙和沙箱（各修复了3个漏洞）。 其他修复的组件还包括AppKit、AppSandbox、ATS、CoreMedia、CoreServices、FaceTime、Foundation、GPU驱动程序、ImageIO、通知中心、RemoteViewServices、安全初始化、Spotlight和StorageKit。 周一，苹果还发布了iOS 18.7和iPadOS 18.7，修复了12个安全缺陷，并推出了iOS 16.7.12、iPadOS 16.7.12、iOS 15.8.5和iPadOS 15.8.5，修复了CVE-2025-43300漏洞。这是一个ImageIO漏洞，曾在针对WhatsApp用户的攻击中被利用。苹果在8月20日首次发布了针对该漏洞的补丁。 苹果还为macOS Sequoia 15.7和macOS Sonoma 14.8发布了大量补丁，并发布了tvOS 26、watchOS 26和visionOS 26，每个系统都修复了近二十个漏洞。 Safari 26修复了七个安全缺陷，而Xcode 26修复了五个漏洞。 除了CVE-2025-43300外，苹果没有提到其他已修复的漏洞在野外被利用的情况。更多信息可以在公司的安全发布页面找到。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Proofpoint、SpyCloud、Tanium和Tenable已确认其Salesforce实例中的信息在最近的Salesforce–Salesloft Drift攻击中遭到泄露。 此次攻击活动于8月26日公开披露，当时谷歌威胁情报团队报告称，被追踪为UNC6395的威胁行为者利用被泄露的OAuth令牌，从第三方人工智能聊天机器人Salesloft Drift中导出了大量数据。 谷歌表示，攻击者利用Salesforce-Salesloft Drift集成来窃取数百个组织的相关数据，目标是敏感信息，如AWS访问密钥、密码和与Snowflake相关的访问令牌。 最初认为只会影响使用Drift集成的组织，但后来发现其他Salesforce客户也受到了影响。 8月28日，谷歌透露Workspace客户受到影响，网络安全公司Cloudflare、Palo Alto Networks和Zscaler也很快披露了受影响情况。 总体而言，此次攻击估计影响了超过700个组织，Proofpoint、SpyCloud、Tanium和Tenable已确认受到影响。 Proofpoint透露，攻击者通过被泄露的Drift集成访问了其Salesforce租户，并查看了其中存储的某些信息。 “目前没有证据表明此次供应链事件影响了Proofpoint的软件、服务、安全产品、客户受保护的数据或内部企业网络，”该公司表示。 SpyCloud此前是Salesloft Drift的客户，该公司宣布在此次攻击中标准客户关系管理字段遭到泄露。 “据信消费者数据未被访问。我们上周通知了客户，与他们与SpyCloud的关系相关的数据通过此次Salesloft Drift事件被泄露，”SpyCloud表示。 Tanium确认攻击者利用Salesloft Drift集成访问了其Salesforce实例中的数据，姓名、电子邮件地址、电话号码以及地区/位置引用等信息遭到泄露。 “我们可以明确确认未经授权的访问仅限于我们的Salesforce数据，没有对Tanium平台或任何其他内部系统或资源进行访问，”Tanium指出。 Tenable透露，在此次攻击中，支持案例信息遭到泄露，包括主题行、初始描述以及业务联系人详细信息，如姓名、电话号码、业务电子邮件地址以及地区/位置引用。 该公司还指出，没有证据表明被盗信息被滥用，并补充说，它采取了所有必要的措施来解决这一问题，包括轮换凭据、移除应用程序、保护其系统以及监控Salesforce实例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，海康威视HikCentral软件中存在三个漏洞，该软件是广泛应用于视频监控、门禁控制和集成安全运营的集中管理平台。 这三个漏洞分别是： CVE-2025-39245（基础评分4.7）：部分HikCentral Master Lite版本存在CSV注入漏洞，攻击者可通过恶意CSV数据注入可执行命令。 CVE-2025-39246（基础评分5.3）：部分HikCentral FocSign版本存在未加引号的服务路径漏洞，已认证用户可能通过本地访问实现权限提升。 CVE-2025-39247（基础评分8.6）：部分HikCentral Professional版本存在访问控制漏洞，未认证用户可获取管理员权限。 其中，CVE-2025-39247被评定为高风险等级，它允许未经任何认证的用户完全接管HikCentral Professional系统。当攻击者甚至无需登录即可提升其权限时，他们实质上就掌控了整个环境。这为操纵配置、篡改日志甚至关闭关键监控功能开辟了直接路径。 HikCentral是许多组织安全基础设施的核心。公司依赖它来管理监控摄像头、控制建筑物出入并将来自多个设备的数据集成到一个统一的平台中。攻击者可以利用此权限提升漏洞接管这些功能。一旦攻击者提升了权限，他们就可以以管理员身份操作、安装恶意软件、创建隐藏账户或窃取敏感信息。想象一下这样的场景：攻击者在物理入侵期间关闭摄像头、解锁受限门禁或修改审计日志以隐藏证据。这种场景对受影响组织的安全和业务连续性构成了严重威胁。 受影响的版本及修复版本如下： 产品名称 CVE 编号 受影响版本 修复版本 HikCentral Master Lite CVE-2025-39245 V2.2.1 至 V2.3.2 V2.4.0 HikCentral FocSign CVE-2025-39246 V1.4.0 至 V2.2.0 V2.3.0 HikCentral Professional CVE-2025-39247 V2.3.1 至 V2.6.2 及 V3.0.0 V2.6.3/V3.0.1 运行这些版本的组织应将此披露视为一个警示。 就HikCentral而言，风险更高是因为攻击者甚至无需先进行身份验证。他们可以匿名访问系统，利用该漏洞，并立即获得提升的控制权。这种绕过行为削弱了对标准认证过程的所有信任。 厂商已发布修复指南，最好的应对措施是立即应用更新。HikCentral管理员应： 在应用更新的同时加固环境：限制系统的外部暴露。 检查其部署的版本号：如果版本处于受影响范围内，则需要关注。 下载并安装海康威视在其官方安全公告中提供的最新补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp已修复其iOS和macOS消息客户端中的一个安全漏洞，该漏洞在针对性的零日攻击中被利用。 公司表示，此零点击漏洞（编号为CVE-2025-55177）影响2.25.21.73之前版本的iOS版WhatsApp、2.25.21.78之前版本的iOS版WhatsApp Business，以及2.25.21.78之前版本的Mac版WhatsApp。 WhatsApp在一份周五发布的安全公告中称：“WhatsApp中关联设备同步消息的授权机制不完整……可能允许无关用户触发目标设备处理来自任意URL的内容。” “我们评估认为，此漏洞与苹果平台的操作系统级漏洞（CVE-2025-43300）结合，可能已被用于针对特定目标用户的复杂攻击。” 苹果本月早些时候发布紧急更新以修补CVE-2025-43300零日漏洞时，也曾表示该漏洞已被用于“极其复杂的攻击”。 尽管两家公司尚未发布有关此次攻击的进一步信息，国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示，WhatsApp已向部分用户发出警告，称他们在过去90天内已成为一项高级间谍软件活动的目标。 警告中写道：“我们已通过更改防止此特定攻击通过WhatsApp发生。然而，您的设备操作系统可能仍受恶意软件危害，或可能遭受其他方式的攻击。” 在向可能受影响的个人发送的安全威胁通知中，WhatsApp建议他们将设备恢复出厂设置，并保持设备操作系统和软件为最新状态。 今年三月，WhatsApp在收到多伦多大学公民实验室安全研究人员的报告后，修复了另一个被用于安装Paragon的Graphite间谍软件的零日漏洞。 当时一位WhatsApp发言人表示：“WhatsApp已挫败由Paragon发起的间谍软件活动，该活动针对多名用户，包括记者和公民社会成员。我们已直接联系了我们认为受影响的人士。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文