HackerNews 编译，转载请注明出处： 超过28200台Citrix NetScaler ADC/Gateway设备仍暴露于高危漏洞CVE-2025-7775威胁之下。该漏洞已被确认遭在野利用，可导致远程代码执行（RCE）及服务拒绝（DoS）。 暗影服务器基金会（Shadowserver Foundation）专家警告，目前仍有超过28200台Citrix设备易受CVE-2025-7775漏洞攻击。该漏洞CVSS评分达9.2分，属于内存溢出漏洞，攻击者可借此执行远程代码或瘫痪服务。 本周Citrix修复了NetScaler ADC及NetScaler Gateway中的三个安全漏洞（CVE-2025-7775、CVE-2025-7776、CVE-2025-8424），其中CVE-2025-7775已遭实际攻击。公告明确表示：“我们已观察到未修复设备遭CVE-2025-7775漏洞利用的案例”。 美国网络安全与基础设施安全局（CISA）已将Citrix NetScaler漏洞列入“已知遭利用漏洞（KEV）目录”，要求联邦机构在2025年8月28日前完成修复。 据暗影服务器基金会监测，受影响设备主要分布在美国（10100台）、德国（4300台）、英国（1400台）、荷兰（1300台）及瑞士（1300台）。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Docker 修复了 Windows 和 macOS 版 Docker Desktop 应用程序中的一个高危漏洞（CVE-2025-9074，CVSS 评分 9.3），攻击者可能利用该漏洞突破容器隔离限制。 根据 Docker 官方文档披露，恶意容器能够访问 Docker 引擎并在无需套接字的情况下启动新容器，即使启用了增强容器隔离（ECI）功能，仍存在主机文件被访问的风险。安全公告指出：“Docker Desktop 中存在一个漏洞，允许本地运行的 Linux 容器通过默认配置的 Docker 子网（192.168.65.7:2375）访问 Docker 引擎 API。无论是否启用增强容器隔离功能，或是否开启‘通过 无 TLS 暴露守护进程’选项，该漏洞都会存在。攻击者可借此向引擎 API 执行大量特权命令，包括控制其他容器、创建新容器、管理镜像等。在某些情况下（如使用 WSL 后端的 Windows 版 Docker Desktop），攻击者还能以 Docker Desktop 运行用户的相同权限挂载主机驱动器。” 该漏洞由研究人员费利克斯·布勒（Felix Boulet）和菲利普·杜格雷（Philippe Dugre，zer0x64）发现。布勒证实漏洞允许容器在无需认证的情况下连接 Docker 引擎 API（192.168.65.7:2375）。概念验证显示，任何容器均可发送请求绑定主机的 C:\ 驱动器，随后启动具有主机文件读写权限的容器，最终导致完全控制主机。布勒表示：“这个漏洞本质上是由于一个简单的疏忽——Docker 的内部 HTTP API 可以从任何容器访问，且无需认证或访问控制。这深刻提醒我们，关键安全漏洞往往源于最基本的假设。我通过对 Docker 文档记载的私有网络进行快速 nmap 扫描发现了这个问题。扫描整个私有子网只需几分钟，可能会揭示你并未如想象中那样隔离。务必测试网络隔离假设，不要默认所有安全模型都已对齐。” 杜格雷发现 Windows 版 Docker Desktop 漏洞允许攻击者以管理员权限挂载完整文件系统，读取敏感数据或覆盖 DLL 获取主机控制权。专家解释称，得益于系统隔离机制，macOS 受影响程度较低，但攻击者仍可后门化 Docker 配置。Linux 系统不受影响，因其使用命名管道进行通信。漏洞利用途径包括恶意容器或通过 SSRF（服务器端请求伪造）代理请求至 Docker 套接字。杜格雷补充说明：“虽然最简单的利用方式是通过攻击者控制的易受攻击/恶意容器，但服务器端请求伪造（SSRF）也是可行的攻击向量。该漏洞允许攻击者通过易受攻击的应用程序代理请求访问 Docker 套接字，实际影响尤其取决于 HTTP 请求方法的可用性（多数 SSRF 仅允许 GET 请求，但在某些特殊情况下允许使用 POST、PATCH、DELETE 方法）。”该漏洞已在 4.44.3 版本中修复。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡耐基梅隆大学CERT协调中心（CERT/CC）披露了Workhorse Software市政会计软件中的两个严重数据泄露漏洞，该软件被美国数百个市县使用。CERT/CC在厂商修复漏洞后才公开披露相关信息。 漏洞由Sparrow IT Solutions研究员詹姆斯·哈罗德发现，影响1.9.4.48019之前的软件版本。CERT/CC在漏洞公告中指出：“Workhorse Software Services市政会计软件在1.9.4.48019版本之前存在设计缺陷，可能导致未授权访问敏感数据并引发数据外泄。具体表现为：数据库连接信息以明文形式存储在可执行文件旁，且软件允许未登录用户通过登录界面创建未加密的数据库备份。” 漏洞技术细节 明文存储数据库连接凭据（CVE-2025-9037） SQL Server连接凭据被明文存储在可执行文件旁的配置文件中。该目录通常位于与SQL数据库相同的服务器共享网络文件夹内。若启用SQL身份验证，攻击者只需读取该目录即可获取数据库凭证。 未认证的数据库备份功能（CVE-2025-9040） 应用程序的“文件”菜单允许用户将数据库备份为未加密的ZIP压缩包，生成的.bak文件可在任何SQL Server上无需密码直接还原。 影响范围与风险 该软件服务威斯康星州数百个市政单位。 攻击者可能获取完整数据库，内含社保号（SSN）、市政财务记录等敏感信息，并可能篡改财务数据、破坏审计追溯性及系统完整性。 利用前提包括：攻击者具备物理设备访问权限、能读取网络共享文件的恶意软件、或通过社工手段获取系统入口。 修复与缓解措施 立即升级至1.9.4.48019版本。 若暂无法升级： • 使用NTFS权限限制软件目录访问 • 启用SQL加密及Windows身份验证 • 禁用数据库备份功能 • 配置网络分段与防火墙规则减少暴露面。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现GPT-5存在安全漏洞：用户获得的回答可能并非来自GPT-5本身。这一漏洞源于其内部路由机制存在类似SSRF（服务器端请求伪造）的缺陷。 当用户向GPT-5提问时，答案未必由GPT-5生成。该模型内置初始路由解析器，会根据问题内容决定调用哪个子模型处理请求——可能是用户预期的GPT-5 Pro，但也可能被路由至GPT-3.5、GPT-4o、GPT-5-mini或GPT-5-nano等旧版或精简版模型。 这种动态路由机制的设计初衷可能是平衡效率与成本：通过将简单查询导向更轻量、快速的模型，避免始终调用推理能力强大但运行成本高昂的GPT-5核心模型。据Adversa AI公司估算，该机制每年可为OpenAI节省约18.6亿美元开支，但运作过程完全不透明。 更严重的是，Adversa研究人员发现用户可通过特定“触发短语”操纵路由决策，强制将查询导向指定模型。该漏洞被命名为PROMISQROUTE（全称为“提示诱导路由操纵漏洞”）。“这本质上是针对路由器的规避攻击，”Adversa AI联合创始人兼CEO亚历克斯·波利亚科夫解释，“我们操纵了原本简单的路由决策流程，决定哪个模型应处理请求。” 虽然路由机制并非OpenAI独有（其他服务商通常允许用户手动选择模型），但此类自动化路由正越来越多地出现在智能体架构中——即由某个模型决定如何将请求传递至其他模型。 该漏洞是Adversa在测试GPT-5拒绝机制时偶然发现的。某些提问会引发无法解释的回复矛盾，使研究人员怀疑响应来自不同模型。他们观察到部分旧版越狱手段突然复活，且当提问中刻意提及旧模型时，即使GPT-5本身能阻止的越狱行为也会成功。 被动风险与主动威胁 单纯的路由错误已可能引发严重后果：例如不同模型具有差异化倾向与缺陷，若查询被导向能力较弱或安全校准不足的模型，可能增加幻觉输出或不安全内容的概率。 但真正的危险在于：攻击者可利用路由漏洞将恶意查询导向安全性较低的旧模型，从而绕过GPT-5 Pro的防护机制。“假设攻击者试图用越狱指令攻击GPT-5失败后，只需在提问前添加简单指令诱骗路由器将请求发送至存在漏洞的旧模型，”波利亚科夫指出，“先前失败的越狱就可能成功执行。” 这意味着尽管GPT-5 Pro自身安全性优于前代，但路由漏洞使其实际防护能力等同于最弱的前代模型。 安全与成本的矛盾 解决方案看似简单——禁用向弱安全模型的路由即可，但这将损害商业利益：完全依赖GPT-5 Pro会显著降低响应速度（影响用户体验），且每项查询都调用高成本模型将压缩OpenAI利润空间。 波利亚科夫建议：“OpenAI需提升安全性，例如在路由器前增设防护层、增强路由机制本身的安全性，或确保所有子模型（而非仅核心模型）均达到安全标准——最理想的是同时实施这三项措施。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）和思科公司警告称，俄罗斯网络间谍组织正通过2018年发现的漏洞，持续针对未打补丁的思科网络设备发起攻击。 FBI与思科Talos部门于周三发布的联合公告指出，俄罗斯联邦安全局（FSB）第16中心的黑客组织利用漏洞 CVE-2018-0171，攻击已进入生命周期结束状态的设备，入侵目标涵盖北美、亚洲、非洲和欧洲的电信、高等教育及制造业组织。 思科Talos表示，该活动背后的组织（安全专家称为Static Tundra、Berserk Bear或Dragonfly）多年来通过思科IOS和IOS XE软件的智能安装（Smart Install）功能中未修复的漏洞入侵设备，这些设备通常因达到生命周期结束状态而无法获得补丁更新。 思科Talos指出，受害者多“基于对俄罗斯政府的战略利益价值”被选定，其中部分位于乌克兰。该机构警告称，随着俄罗斯战略利益变化，该组织很可能持续针对乌克兰及其盟国。“我们观察到最明显的目标转变是：俄乌战争爆发后，Static Tundra对乌克兰实体的攻击急剧升级并维持高位。”他们表示，“与此前有限的针对性入侵不同，该组织已渗透乌克兰多个垂直领域的机构。” FBI称，过去一年中观察到该组织加速收集“数千台美国关键基础设施领域网络设备的配置文件”。黑客修改了部分设备的配置文件以维持对受害者系统的长期访问权限，并开展侦察活动——多数聚焦“与工业控制系统（ICS）相关的协议和应用”。 FBI认同思科的评估，即Static Tundra十余年来持续攻击同类系统，并开发定制化工具针对思科设备，包括名为SYNful Knock的恶意软件。思科Talos已发布可检测该恶意植入脚本的工具。 上周，挪威警察安全局（PST）表示，4月该国西南部一座水坝疑似遭亲俄黑客破坏——入侵控制系统后开启阀门长达四小时，大量洪水涌入里瑟尔瓦河，直至操作员重新夺回控制权。 长期渗透战略 思科Talos分析，Static Tundra的核心目标是窃取数据并建立对系统的持久访问权。该组织以“入侵受害者网络后进一步渗透并控制更多网络设备”而闻名，具备“在目标环境中潜伏多年不被发现”的能力。 “我们判断，此活动的目的是大规模窃取设备配置信息，以便根据俄罗斯政府当前的战略目标与利益需求灵活调用。”思科Talos专家解释，“Static Tundra随俄罗斯优先事项变化而调整攻击重点的行为印证了这一点。”研究人员补充称，该组织很可能利用Shodan和Censys等网络扫描服务寻找目标。 2021年，美国司法部起诉四名被控隶属Static Tundra的俄罗斯公民，指控其主导针对全球能源公司的黑客活动。这些人员专门瞄准工业技术系统：2012至2014年，他们入侵多家工业控制系统制造商与软件供应商，将Havex恶意软件植入网络。司法部指出，2014至2017年间，该组织针对“特定能源实体及从事工业系统的工程师”，波及全球136个国家超过500家企业和机构的3300余名用户，包括美国核管理委员会等政府机构。 该组织曾通过钓鱼邮件成功入侵堪萨斯州沃尔夫溪核运营公司的商业系统，并采用“水坑攻击”窃取能源领域工程师的登录凭证。思科Talos强调，除俄罗斯组织外，其他国家级黑客团体“很可能也在开展类似的网络设备入侵活动”，建议客户尽快修补漏洞、禁用智能安装功能或联系其获取协助。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种结合利用SAP NetWeaver中两个漏洞（编号为CVE-2025-31324和CVE-2025-42999）的新攻击方法，使组织面临系统被入侵和数据被盗的风险。 CVE-2025-31324（CVSS评分：10.0）是NetWeaver Visual Composer开发服务器中存在的一个授权检查缺失漏洞。该漏洞源于NetWeaver Visual Composer元数据上传器缺乏适当的授权检查。这意味着未经认证的攻击者（即没有有效凭证的人员）可利用它向系统上传恶意可执行文件。 一旦这些文件被上传，它们就可能在主机系统上执行，导致目标SAP环境被完全攻陷。SAP已在2025年4月安全补丁日修复了该漏洞。 CVE-2025-42999（CVSS评分：9.1）是SAP NetWeaver Visual Composer开发服务器中存在的不安全反序列化漏洞。该漏洞允许特权用户上传恶意内容，危及系统的机密性、完整性和可用性。美国网络安全和基础设施安全局（CISA）已于2025年5月将此SAP NetWeaver漏洞添加至其“已知被利用漏洞”目录。 VX Underground在社交平台X上发布了针对SAP零日漏洞CVE-2025-31324的利用代码，该代码由“Scattered LAPSUS$ Hunters – ShinyHunters”在Telegram群组中公开。 网络安全公司Onapsis发布的分析报告指出：“这两个被追踪为CVE-2025-31324并与CVE-2025-42999结合利用的初始漏洞，是SAP NetWeaver Visual Composer中两个严重漏洞的组合，CVSS评分为10.0（最高严重等级）。这些漏洞允许未经认证的攻击者在目标SAP系统上执行任意命令，包括上传任意文件。这可能导致远程代码执行（RCE）以及对受影响系统和SAP业务数据与流程的完全接管。”报告强调：“该漏洞已在野外被积极利用，对运行未打补丁SAP系统的组织构成了明确而现实的威胁。” 这种攻击方法将CVE-2025-31324和CVE-2025-42999串联起来，以绕过身份验证并以管理员权限执行恶意代码，使攻击者能够运行操作系统命令、部署Web Shell并完全访问数据和资源。研究人员指出，该利用程序不会在系统上留下痕迹。 “该反序列化工具的公开尤其令人担忧，因为它可以在其他上下文中被重用，例如利用SAP最近在7月修补的反序列化漏洞——这些漏洞由Onapsis发现并报告（2025年7月SAP补丁日：创纪录的补丁与关键反序列化漏洞）： 安全补丁3578900对应CVE-2025-30012（CVSS 10） 安全补丁3620498对应CVE-2025-42980（CVSS 9.1） 安全补丁3610892对应CVE-2025-42966（CVSS 9.1） 安全补丁3621771对应CVE-2025-42963（CVSS 9.1） 安全补丁3621236对应CVE-2025-42964（CVSS 9.1） 这可能会为SAP应用程序的其他领域开辟新的攻击途径。它是攻击者武器库中的强大工具，其公开是一个重大事件。”Onapsis继续强调，“组织应确保这些SAP漏洞也已在其环境中得到及时修补。” Onapsis已与Mandiant合作，在其GitHub页面上发布了针对CVE-2025-31324和CVE-2025-42999的开源扫描器。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 跨国科技公司联想（Lenovo）的AI聊天机器人Lena近日被发现存在严重安全漏洞，攻击者仅需单条指令即可诱导其泄露会话凭证甚至执行恶意脚本。此次事件暴露了AI助手在缺乏严格防护时的灾难性风险。 漏洞机制与危害 网络安全研究团队Cybernews发现，联想官网搭载的AI助手Lena（基于OpenAI GPT-4构建）存在跨站脚本（XSS）漏洞。攻击者通过400字符的恶意指令即可实现： 诱导机器人将回复格式转为HTML 在回复中嵌入伪造图片加载指令 触发浏览器向攻击者服务器发送包含会话cookie的请求 当用户要求转接人工客服时，该漏洞会产生连锁反应：客服人员查看对话历史将触发相同漏洞，导致其会话凭证被窃取。攻击者可借此劫持客服账号，访问客户对话记录及敏感数据。 潜在攻击场景 研究团队警告该漏洞可能引发多重风险： 系统渗透：劫持的客服账号可能成为内网跳板 恶意操作：诱导生成的代码可部署后门、执行系统命令 数据泄露：窃取客户支持系统中的用户信息 界面篡改：向客服终端注入虚假信息或钓鱼页面 安全专家Žilvinas Girėnas指出：“企业急于部署AI却疏于防护，这种差距正是攻击者的突破口。大语言模型不具备‘安全’本能概念，它们只会忠实执行指令。若无严格输入输出过滤，微小疏忽可能演变为重大安全事件。” 行业警示 Cybernews团队强调该漏洞反映的深层问题： 输入过滤缺失：未对用户指令进行危险字符过滤 输出无验证：直接信任AI生成的HTML/Javascript代码 内容加载失控：允许从任意外部源加载资源 联想在7月22日收到漏洞报告后，于8月6日确认问题并在8月18日前完成修复。2025财年数据显示，这家香港上市公司营收达568.6亿美元，净利润11亿美元，市值约180亿美元。 防护建议 研究团队提出关键防护措施： 实施输入净化机制：严格限制允许字符类型与输入长度 建立输出审查：剥离AI回复中的可执行代码 启用内容安全策略（CSP）：限制浏览器可加载资源域 避免内联JavaScript：所有脚本应置于外部文件 执行最小权限原则：限制AI系统访问权限 “必须默认所有AI输出均可能包含恶意代码，采用‘永不信任，始终验证’策略”，研究团队总结道。此次事件再次证明：当企业竞相拥抱AI技术时，安全防护必须同步进化。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证（PoC）利用代码。该漏洞允许远程攻击者绕过身份验证。 该漏洞已负责任地报告给 Fortinet，现被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布了修复程序。 安全研究员 Aviv Y 将此漏洞命名为 FortMajeure，并描述其为“一种本不应发生的静默失效”。从技术上讲，这是 FortiWeb 的 cookie 解析过程中的一个越界读取（out-of-bounds read）漏洞，允许攻击者将 Era参数设置为非预期值。 这导致服务器使用全零密钥（all-zero secret key）进行会话加密和 HMAC 签名，使得伪造身份验证 cookie 变得轻而易举。 成功利用该漏洞会导致完全的身份验证绕过，允许攻击者冒充任何活跃用户，包括管理员。 要成功利用 CVE-2025-52970，目标用户在攻击期间必须拥有活跃会话，并且攻击者必须暴力破解 cookie 中的一个小的数字字段。 这个暴力破解要求源于签名 cookie 中的一个字段，该字段由 libncfg.so中的 refresh_total_logins()函数进行验证。 该字段是一个攻击者必须猜测的未知数字，但研究员指出其范围通常不会超过 30，这使其搜索空间非常小，大约只需 30 次请求。 由于该利用利用了全零密钥（归因于 Era漏洞），每次猜测都可以通过检查伪造的 cookie 是否被接受来即时验证。 该问题影响 FortiWeb 7.0 至 7.6 版本，并已在以下版本中修复： FortiWeb 7.6.4 及更高版本 FortiWeb 7.4.8 及更高版本 FortiWeb 7.2.11 及更高版本 FortiWeb 7.0.11 及更高版本 Fortinet 在公告中表示，FortiWeb 8.0 版本不受此问题影响，因此用户无需采取任何措施。 安全公告未列出任何变通办法或缓解建议，因此升级到安全版本是唯一推荐的有效措施。 Fortinet 给出的 CVSS 严重性评分为 7.7，这可能会产生误导，因为该分数源于“高攻击复杂性”（high attack complexity），而这主要是由于暴力破解的要求。然而在实践中，暴力破解部分操作简单且快速。 研究员分享了一个 PoC 输出结果，展示了在 REST 端点上冒充管理员的情况。不过，他暂时保留了能够通过 /ws/cli/open连接到 FortiWeb CLI 的完整利用代码。 研究员 Aviv Y 承诺稍后将发布完整的漏洞利用细节，因为供应商的公告发布不久。他做出此决定是为了给系统管理员更多时间来应用修复程序。 该研究员告诉 BleepingComputer，已发布的细节展示了问题的核心，但即使对于知识渊博的攻击者来说，也不足以推断出其余部分并开发出完整的武器化利用链。他解释说，攻击者将不得不逆向工程会话中的字段格式，考虑到 Fortinet 拥有自己的数据结构，这实际上并不可行。 尽管如此，必须立即采取行动来缓解此问题，因为黑客会密切关注这些公告，并准备在完整 PoC 出现时发动攻击。 Aviv Y 告诉 BleepingComputer，他尚未决定发布漏洞利用代码的具体日期，但计划给防御者留出时间来应对风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织EncryptHub持续利用已修复的Microsoft Windows安全漏洞（CVE-2025-26633，又名MSC EvilTwin）投放恶意负载。Trustwave SpiderLabs观察到，该组织近期攻击活动将社会工程学与Microsoft管理控制台（MMC）框架漏洞利用结合，通过恶意Microsoft控制台（.msc）文件触发感染流程。 “这些活动属于广泛持续恶意攻击浪潮的一部分，其通过结合社会工程与技术漏洞利用来绕过防御体系、控制内部环境”，Trustwave研究人员Nathaniel Morales和Nikita Kazymirskyi表示。 EncryptHub（亦被追踪为LARVA-208和Water Gamayun）是俄罗斯黑客组织，2024年中崭露头角。这个以经济利益驱动的组织行动迅速，惯用虚假职位邀约、作品集审核甚至篡改Steam游戏等手段向目标投放窃密木马。 该组织滥用CVE-2025-26633漏洞的行为早在2025年3月已被趋势科技记录，当时攻击投放了名为SilentPrism和DarkWisp的两个后门程序。最新攻击链中，攻击者伪装成IT部门人员，通过Microsoft Teams向目标发送远程连接请求，意图部署PowerShell命令执行后续负载。 攻击过程投放了两个同名MSC文件（一个良性、一个恶意），当用户启动良性文件时会触发漏洞，最终执行恶意MSC文件。该MSC文件从外部服务器获取并执行另一PowerShell脚本，该脚本会收集系统信息、建立主机持久化机制，并与EncryptHub命令与控制（C2）服务器通信以接收运行恶意负载（包括名为Fickle Stealer的窃密木马）。 “该脚本接收攻击者AES加密指令，解密后在受感染机器直接运行负载”，研究人员指出。攻击过程中还部署了代号SilentCrystal的Go语言加载器——其滥用Brave浏览器关联的合法平台“Brave支持服务”托管后续恶意软件（内含两个用于漏洞武器化的MSC文件的ZIP压缩包）。此举特殊性在于：Brave支持平台对新用户附件上传有限制，表明攻击者可能非法获取了具备上传权限的账户。 其他部署工具包括： Golang后门程序：支持客户端/服务器双模式，通过SOCKS5代理隧道协议向C2服务器发送系统元数据并建立C2基础设施 视频会议诱饵：新建虚假平台RivaTalk欺骗受害者下载MSI安装包。运行安装包将释放多个文件： 赛门铁克合法早期反恶意软件启动程序（ELAM）二进制文件 用于侧加载恶意DLL的文件（该DLL进而启动PowerShell命令下载运行另一脚本） 该脚本设计用于收集系统信息并外传至C2服务器，同时等待解密执行加密PowerShell指令，使攻击者获得系统完全控制权。恶意软件还显示虚假“系统配置”弹窗作为伪装，同时在后台生成虚假浏览器流量（通过向热门网站发送HTTP请求），以掩盖C2通信流量。 Trustwave总结：“EncryptHub威胁组织代表资源充足、适应性强的对手，其结合社会工程学、滥用可信平台及系统漏洞利用的手段，凸显了分层防御策略、持续威胁情报和用户意识培训的重要性。”         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员在支撑现代互联网的核心协议HTTP/2中发现新型高危漏洞。攻击者可通过控制僵尸网络发送无限量请求耗尽服务器资源，发动前所未有的DDoS攻击。 黑客获得了一种轻松瘫痪网络服务器的新手段。特拉维夫大学安全团队发现重大协议缺陷，允许攻击者用无限请求淹没服务器，最终导致服务崩溃。该漏洞被命名为“MadeYouReset”，因其基于2023年发现的“Rapid Reset”漏洞——后者曾引发史上最大规模DDoS攻击。 据发现者、特拉维夫大学计算机科学硕士生盖尔·巴尔·纳胡姆称，新漏洞能绕过常规防护机制。该高危漏洞编号为CVE-2025-8671，严重性评级达7.5（满分10分）。漏洞描述指出：“攻击者通过建立数据流后立即发送畸形帧或触发流量控制错误，诱使服务器主动重置流。尽管后端仍在处理请求，协议层却判定流已关闭。这使得单个连接上可存在无限并发流，最终耗尽服务器资源。” 漏洞利用原理：HTTP/2协议内置的并发保护机制（MAX_CONCURRENT_STREAMS参数）通常限制单客户端开启100个流。但协议同时提供请求取消功能（RST_STREAM帧），被取消的请求不计入限额。攻击者曾利用“Rapid Reset”漏洞通过快速取消请求实施DDoS攻击。 纳胡姆解释：“理论上，取消流应指令服务器停止处理请求。但现实中，多数服务器实现方案仅在响应计算完成后终止发送，未能及时释放资源。”此前缓解措施通过限制客户端RST_STREAM帧发送数量来防御。 （较旧的RapidReset攻击。图片由Gal Bar Nahum提供。） “MadeYouReset”漏洞创新性地迫使服务器代劳取消操作：攻击者发送非法控制帧或精准违反协议时序，诱使服务器主动发送RST_STREAM帧。“我们能让服务器为已接收的合法请求发送重置帧。根据RFC规范，存在六类可触发此行为的操作原语，因此所有合规实现均受影响。”纳胡姆表示。这意味着攻击者无需发送RST_STREAM帧即可突破限制，在后台持续处理旧请求时开启新请求。 （新的MadeYouReset漏洞。图片由Gal Bar Nahum提供。） 多数受影响服务器面临双重资源耗尽风险。研究人员指出：“高性能服务器或可抵御小规模攻击，但由于请求发送与响应计算存在资源消耗不对称性，加之攻击者可轻易创建无限请求，绝大多数服务器将遭遇完全拒绝服务，其中大量还会触发内存崩溃。” 修复进展：目前多数HTTP/2服务器仍存在风险，Netty、Jetty和Apache Tomcat等主流系统均受影响。研究人员已提前向监管机构和供应商披露漏洞，多家厂商正发布补丁： SUSE为企业级Linux发行版更新多个上游项目修复方案 网页加速器Varnish Cache为5.x至7.7.1版本提供安全更新，建议无法升级者暂时禁用HTTP/2 CDN服务商Fastly于6月2日前完成全网修复，客户无需操作 Java网络框架Netty发布专版4.2.4.Final解决该漏洞 Apache Tomcat两周前通过代码提交修复，但红帽公司警告称尚无符合其稳定性标准的缓解方案       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文