HackerNews 编译，转载请注明出处： 网络安全研究人员发现两个本地权限提升（LPE）漏洞，攻击者可借此在主流Linux发行版中获取root权限。Qualys披露的两处漏洞如下： CVE-2025-6018：SUSE 15的可插拔认证模块（PAM）配置缺陷，允许普通用户获取“活跃用户权限”（allow_active） CVE-2025-6019：通过udisks守护进程，利用libblockdev漏洞将活跃用户权限提升至root Qualys威胁研究部门高级经理Saeed Abbasi指出：“这类现代‘本地到root’漏洞利用技术，彻底消除了普通登录用户与完全控制系统之间的安全屏障。攻击者通过串联udisks合法功能（如循环挂载）和PAM/环境特性，能在数秒内突破polkit的allow_active信任区，获取root控制权。” 漏洞细节 CVE-2025-6018存在于openSUSE Leap 15和SUSE Enterprise 15的PAM配置中，致使远程SSH等普通会话被误判为物理在场操作，从而授予本应受限的polkit操作权。 CVE-2025-6019则影响默认安装于多数Linux发行版的udisks服务，结合前漏洞可让攻击者获得完整root权限。Abbasi强调：“尽管名义上需要‘allow_active’权限，但udisks几乎预装在所有Linux系统中。而包括本次PAM漏洞在内的技术，进一步削弱了权限壁垒。” 攻击后果 获取root权限后，攻击者能完全控制系统：关闭安全防护（如EDR）、植入持久后门、篡改配置，并将受控设备作为渗透内网的跳板。 影响范围与验证 Qualys已开发概念验证（PoC）代码，确认漏洞影响Ubuntu、Debian、Fedora及openSUSE Leap 15等主流发行版。其中openSUSE/SUSE同时受两漏洞影响，其他发行版主要面临CVE-2025-6019风险。 修复方案 立即安装补丁：各发行版已推送libblockdev安全更新（如Debian/Ubuntu需升级至libblockdev≥2.30或3.3.1） 临时缓解措施： 修改polkit规则，将org.freedesktop.udisks2.modify-device操作的allow_active=yes设为auth_admin 非必要场景可关闭udisks服务：systemctl mask udisks2.service 关联漏洞披露 Linux PAM维护者同时修复高危路径遍历漏洞CVE-2025-6020（CVSS 7.8）。该漏洞存在于pam_namespace模块（≤1.7.0版本），允许本地用户通过符号链接攻击和竞争条件提权至root。缓解方案包括禁用pam_namespace或确保其不操作用户可控路径。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕于本周一发布针对Armoury Crate管理软件高危漏洞的补丁程序，该漏洞可导致攻击者完全控制系统。该漏洞追踪编号为CVE-2025-3464（CVSS评分为8.8分），被归类为授权绕过漏洞，根源在于时间校验与使用同步机制缺陷。 据发现该漏洞的思科Talos团队披露，攻击者可通过创建特制硬链接，绕过Armoury Crate专用驱动的授权验证。Armoury Crate作为集中式硬件管理平台，主要用于控制硬件组件及外设，提供设备配置、驱动固件更新、RGB灯光调节及系统性能优化等功能。 CVE-2025-3464涉及Armoury Crate功能模块AsIO3.sys虚拟驱动程序及其创建的Asusgio3设备。该驱动通过三重机制限制访问权限：仅允许AsusCertService.exe进程调用；验证调用者PID白名单；匹配SHA-256哈希值。但Talos研究发现，攻击者可在AsusCertService.exe所在目录创建指向可信可执行文件的硬链接，利用驱动程序验证哈希值时读取被关联的可信二进制文件，最终实现授权绕过。 Talos在报告中强调：“授权绕过使任意用户均可获取设备句柄，暴露多项安全关键功能。”已入侵设备的攻击者利用此漏洞可执行以下操作：映射物理内存地址、访问I/O端口通信指令、读写MSR寄存器数据等。Talos特别指出：“该漏洞极为危险，攻击者可轻易通过多种途径提权并完全控制系统。” 华硕本周一公告确认，CVE-2025-3464影响Armoury Crate 5.9.9.0至6.1.18.0版本，强烈建议用户立即通过“设置>更新中心>检查更新>更新”安装最新版本。目前尚无证据表明该漏洞已被主动利用，但鉴于Armoury Crate在全球设备的大规模部署，其攻击面价值仍值得警惕。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 黑客正积极利用热门TP-Link路由器中的漏洞发动攻击，这些路由器在亚马逊上拥有数万条用户评价。美国网络监管机构紧急呼吁用户停用无法获得安全更新的旧款路由器型号。 美国网络安全与基础设施安全局（CISA）已将TP-Link的一处命令注入漏洞添加到其“已知被利用漏洞目录”中。尽管该漏洞两年前已被发现，但此次目录更新表明网络犯罪分子近期正积极利用此漏洞实施攻击。 该命令注入漏洞被评定为高危级别（CVSS评分为8.8/10），攻击者可借此在未经授权的情况下向路由器执行恶意命令。CISA警告称：“此类漏洞常被恶意攻击者利用，对联邦机构构成重大风险。” 受影响的系列在消费市场广受欢迎： TP-Link TL-WR940N 450Mbps路由器：V2/V4硬件版本已终止支持周期，无法再获得安全更新。该型号新型号仍在亚马逊销售，拥有超9000条好评，其最后固件更新发布于2016年。 TP-Link TL-WR841N：V8/V10版本存在漏洞，最后固件更新发布于2015年。这款诞生于2005年的型号至今仍位居亚马逊路由器销量榜第165位，累计收获超77,000条评价，V11及更早版本均已终止支持。 TP-Link TL-WR740N：V1/V2版本同样存在漏洞，所有型号均已终止支持，相关版本已有15年未获更新。 漏洞原理与风险 概念验证攻击代码已在网络广泛流传。该漏洞存在于路由器网页管理界面——当设备处理GET请求中的特定参数时，未能正确验证用户输入，致使黑客可注入恶意命令。虽然暴露在公网且开启远程访问功能的路由器风险最高，但同一局域网内的攻击者同样可利用此漏洞。 应对措施 CISA严令联邦机构在2025年7月7日前从网络中移除这些路由器，并强烈建议所有机构采取相同措施。CISA强调：“用户应立即停止使用受影响产品。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoomcar Holdings（Zoomcar）披露称，未经授权的系统访问导致840万用户遭遇数据泄露。该事件于6月9日被发现，此前威胁行为者向公司员工发送邮件，警告其系统遭网络攻击。 尽管未造成实质性服务中断，公司内部调查确认部分客户的敏感数据已遭泄露。Zoomcar是印度一家点对点汽车共享平台，连接亚洲新兴市场的车主与租户，提供中短期车辆租赁服务。该公司于2023年底通过与美国特殊目的收购公司IOAC合并，成为在美注册的特拉华州上市公司，其股票现于纳斯达克交易（代码：ZCAR）。 根据美国财务报告标准，公司需向美国证券交易委员会（SEC）报告此事件。Zoomcar声明：“2025年6月9日，Zoomcar Holdings, Inc.发现一起网络安全事件，涉及对其信息系统的未授权访问。公司在部分员工收到威胁行为者关于数据遭非法获取的外部通信后察觉此事。” 初步调查结果显示，840万客户的以下数据已暴露给未授权方： 全名 电话号码 车辆登记号 家庭地址 电子邮箱地址 Zoomcar表示，无证据表明用户财务信息、明文密码或其他可识别个人身份的高风险数据被泄露。公司强调仍在评估事件确切范围及潜在影响。目前攻击类型尚未确定，无勒索软件组织宣称对此负责。 BleepingComputer曾就事件性质询问Zoomcar，但未获回应。 2018年，Zoomcar曾遭遇另一次重大数据泄露，超350万客户记录（含姓名、邮箱、IP地址、电话号码及bcrypt哈希加密的密码）遭曝光。该数据最终于2020年在暗网市场出售，导致用户面临更高风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Roundcube关键远程代码执行漏洞（CVE-2025-49113）补丁发布数日后即遭利用，全球超80,000台服务器受影响。该流行网页邮件平台长期遭APT28、Winter Vivern等高级威胁组织锁定，攻击者惯用此类漏洞窃取登录凭证并监控敏感通信，凸显未修复系统（尤其高价值目标）持续面临严峻风险。 此CVSS评分高达9.9的关键漏洞潜伏十余年后于上周曝光，攻击者可借此完全控制受感染系统执行恶意代码，致使用户及机构陷入重大危机。漏洞发现者FearsOff创始人基里尔·菲尔索夫评估其影响超5,300万台主机（涵盖cPanel、Plesk等管理工具）。美国国家标准与技术研究院（NIST）公告指出：“Roundcube Webmail 1.5.10之前版本及1.6.x系列1.6.11之前版本存在安全隐患，因program/actions/settings/upload.php未验证URL中的_from参数，导致经身份验证的用户通过PHP对象反序列化实现远程代码执行。” 该漏洞已在1.6.11与1.5.10 LTS版本修复。漏洞披露后，Positive Technologies团队成功复现攻击链，强烈建议用户立即升级。Shadowserver基金会监测显示，目前仍有约84,000个暴露于公网的Roundcube实例未打补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正利用Wazuh服务器中一个现已修复的关键安全漏洞，部署两种不同的Mirai僵尸网络变种，并利用它们发动分布式拒绝服务（DDoS）攻击。 Akamai于2025年3月下旬首次发现了这些利用活动，该公司称该恶意活动针对的是CVE-2025-24016（CVSS评分：9.9）。这是一个不安全反序列化漏洞，允许在Wazuh服务器上远程执行代码。 该漏洞影响了服务器软件4.4.0及以上所有版本，已于2025年2月通过发布4.9.1版本得到修复。在补丁发布的同时，概念验证（PoC）漏洞利用代码也被公开披露。 该问题的根源在于Wazuh API中，分布式API（DistributedAPI）的参数被序列化为JSON格式，并使用文件 framework/wazuh/core/cluster/common.py 中的 “as_wazuh_object”函数进行反序列化。威胁行为者可通过注入恶意JSON负载来利用此漏洞远程执行任意Python代码。 Akamai表示，在漏洞及其PoC公开披露仅仅几周后，他们就发现了两个不同的僵尸网络试图利用CVE-2025-24016。这些攻击分别发生在2025年3月初和5月。 “这是僵尸网络运营商针对新发布的CVE所采用的漏洞利用时间窗口不断缩短的最新例证。”安全研究人员Kyle Lefton和Daniel Messing在分享给The Hacker News的一份报告中表示。 在第一种情况下，成功的漏洞利用为执行一个shell脚本铺平了道路，该脚本充当下载器，从外部服务器（“176.65.134[.]62”）为不同架构下载Mirai僵尸网络负载。据评估，这些恶意软件样本是自2023年就已存在的LZRD Mirai的变种。 值得注意的是，LZRD最近也被部署在利用已终止支持（EoL）的GeoVision物联网（IoT）设备的攻击中。然而，Akamai告诉The Hacker News，没有证据表明这两个活动集群是同一个威胁行为者所为，因为LZRD被众多僵尸网络运营商使用。 对 “176.65.134[.]62” 及其关联域名的进一步基础设施分析，导致了其他Mirai僵尸网络版本的发现，包括名为 “neon” 和 “vision” 的LZRD变种，以及一个更新版的V3G4。 该僵尸网络利用的其他安全漏洞还包括Hadoop YARN中的漏洞、TP-Link Archer AX21（CVE-2023-1389）的漏洞以及中兴ZTE ZXV10 H108L路由器中的远程代码执行漏洞。 第二个滥用CVE-2025-24016的僵尸网络采用了类似的策略，使用恶意shell脚本来分发另一个称为Resbot（又名Resentual）的Mirai僵尸网络变种。 “我们注意到关于这个僵尸网络的一个有趣之处是它使用的关联语言。它使用了各种域名来传播恶意软件，这些域名都带有意大利语命名法，”研究人员说。“这种语言命名约定可能表明这是一场专门针对意大利语用户拥有和运行的设备发起的活动。” 除了试图通过端口21上的FTP传播以及进行telnet扫描外，该僵尸网络还被发现利用了针对华为HG532路由器（CVE-2017-17215）、Realtek SDK（CVE-2014-8361）和TrueOnline ZyXEL P660HN-T v1路由器（CVE-2017-18368）等多种漏洞进行传播。 “Mirai的传播相对而言仍在持续，因为重新利用和重用旧源代码来建立或创建新的僵尸网络仍然相当简单，”研究人员表示。“而且僵尸网络运营商通常只需利用新发布的漏洞就能取得成功。” CVE-2025-24016远非唯一被Mirai僵尸网络变种滥用的漏洞。在最近的攻击中，威胁行为者还利用了CVE-2024-3721（一个影响TBK DVR-4104和DVR-4216数字录像设备的中等严重性命令注入漏洞）将设备招募进僵尸网络。 该漏洞被用来触发一个shell脚本的执行，该脚本负责从远程服务器（“42.112.26[.]36”）下载Mirai僵尸网络并执行它，但在执行前会检查自身是否在虚拟机或QEMU中运行。 俄罗斯网络安全公司卡巴斯基表示，感染主要集中在中国、印度、埃及、乌克兰、俄罗斯、土耳其和巴西，并补充说他们识别出超过50,000台暴露在互联网上的DVR设备。 “利用未修补的物联网设备和服务器中的已知安全漏洞，加上针对基于Linux系统的恶意软件的广泛使用，导致大量僵尸程序不断扫描互联网以寻找要感染的设备。”安全研究员Anderson Leite说。 此消息披露之际，根据StormWall分享的统计数据，在2025年第一季度，中国、印度、新加坡、日本、马来西亚、香港地区、印尼、韩国和孟加拉国已成为亚太地区受攻击最多的目标。 “API洪水攻击和地毯式轰炸攻击比传统的TCP/UDP容量攻击增长更快，促使公司采用更智能、更灵活的防御措施，”该公司表示。“与此同时，不断升级的地缘政治紧张局势推动了对政府系统和台湾地区的攻击激增——突显了黑客活动分子和国家资助的威胁行为者活动的增加。” 此前，美国联邦调查局（FBI）发布警告称，BADBOX 2.0僵尸网络已感染了数百万台互联网连接设备（其中大部分是中国制造），以将其变成住宅代理（residential proxies）来促进犯罪活动。 “网络犯罪分子通常在用户购买前就在产品中预装恶意软件进行配置，或者在设备下载含有后门的必要应用程序（通常在设置过程中）时感染设备，从而未经授权访问家庭网络，”FBI表示。 “BADBOX 2.0僵尸网络由数百万台受感染设备组成，并维护着众多通往代理服务的后门。网络犯罪分子通过出售或免费提供对受感染家庭网络的访问权限来利用这些后门进行各种犯罪活动。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Qilin勒索组织近期利用两个Fortinet漏洞发起攻击，该漏洞允许攻击者在未认证状态下远程执行恶意代码。该组织（又名Phantom Mantis）自2022年8月以“Agenda”为名运营勒索软件即服务(RaaS)，其暗网泄露站点已披露超310名受害者，包括汽车巨头Yangfeng、出版集团Lee Enterprises、澳大利亚法院服务署Victoria及病理服务商Synnovis。其中Synnovis遭攻击导致伦敦多家NHS医院被迫取消数百例诊疗安排。 威胁情报公司PRODAFT发现，Qilin近期通过部分自动化攻击模式瞄准多个Fortinet漏洞，主要针对西班牙语国家机构，但预计攻击范围将扩大至全球。“Phantom Mantis在2025年5月至6月发起协同入侵，中高度置信证据表明其通过CVE-2024-21762、CVE-2024-55591等FortiGate漏洞实现初始访问”，PRODAFT在向BleepingComputer提供的内部警报中表示。尽管当前攻击呈现地域倾向，但目标选择仍具随机性。 本次攻击利用的两大漏洞中： CVE-2024-55591：早在2024年11月已被其他威胁组织作为零日漏洞利用，Mora_001勒索运营商曾借此部署与LockBit犯罪团伙关联的SuperBlack勒索软件 CVE-2024-21762：Fortinet于今年2月发布补丁，美国网络安全局(CISA)将其列入高危漏洞目录并勒令联邦机构在2月16日前加固设备。后续扫描显示仍有近15万台设备未修复 Fortinet漏洞常被用于网络间谍活动及勒索攻击。例如今年2月披露的黑客组织Volt Typhoon曾利用FortiOS SSL VPN漏洞（CVE-2022-42475及CVE-2023-27997）部署定制远控木马Coathanger——该恶意软件此前曾渗透荷兰国防部军事网络。       消息来源：  bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现大量存在漏洞的光伏逆变器暴露在互联网上。近35,000台太阳能发电设备的管理界面可直接访问，攻击者可利用一系列已知漏洞实施攻击。对设备所有者而言，在线查看光伏板发电数据虽然便利，却带来巨大风险——黑客同样能访问这些设备。 网络安全公司Forescout旗下Vedere Labs实验室披露，35,000台暴露设备涵盖42个品牌的逆变器、数据记录仪、网关等设备。攻击者通过Shodan搜索引擎可轻易发现这些设备。研究人员不仅新发现46个漏洞，还确认93个已知漏洞的存在，暴露设备可能面临更多未知风险。 研究人员警告，攻击者可能利用漏洞造成大范围停电，类似今年早些时候西班牙电网瘫痪事件。“随着这些系统逐渐成为全球电网的关键组件，其对电网稳定性的威胁与日俱增”，报告指出。暴露设备最多的品牌包括：德国SMA（12,434台）、奥地利Fronius（4,409台）、德国Solare Datensysteme（3,832台）、日本Contec（2,738台）和中国阳光电源（2,132台）。值得注意的是，这与市场份额排名并不一致，华为、锦浪科技等头部厂商未出现在暴露名单中。 暴露设备中SMA Sunny Webbox占比最高，该设备自2014年12月起就存在硬编码漏洞。地域分布显示：76%位于欧洲（德国与希腊各占全球总量的20%），17%在亚洲，5%在美洲。研究人员解释：“设备暴露通常源于用户配置端口映射，这种行为已被厂商明确反对”。监测还发现，威胁组织频繁攻击暴露设备，至少43个IP地址近期针对SolarView Compact设备发起攻击，这些设备运行着27种不同固件版本，且无一更新至最新版本。 Forescout警告：“数千台暴露设备往往未打补丁，极易被攻击者劫持”。建议用户及时更新固件并关闭管理界面的互联网直连权限。路透社此前报道称，部分中国制造的太阳能设备存在“不明通信模块”，进一步增加了安全风险。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患：通过HTTP明文传输数据并在代码中硬编码密钥，导致用户隐私与安全面临风险。赛门铁克安全技术响应团队研究员指出：“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据，以明文形式暴露浏览域名、设备ID、操作系统信息、使用分析数据乃至卸载记录。” 这种未加密的网络流量使其极易遭受中间人攻击（AitM）。恶意攻击者可在公共Wi-Fi等开放网络中拦截甚至篡改数据，引发更严重后果。以下为存在风险的扩展清单： HTTP传输漏洞扩展 SEMRush Rank（ID: idbhoeaiokcojcgappfigpifhpkjgmab）与PI Rank（ID: ccgdboldgdlngcgfdolahmiilojmfndl）：通过HTTP调用“rank.trellian[.]com” Browsec VPN（ID: omghfjlpggmjjaagoclmmobgdodcjboh）：卸载时通过HTTP访问卸载链接 MSN新标签页（ID: lklfbkdigihjaaeamncibechhgalldgl）与MSN主页、必应搜索与新闻（ID: midiombanaceofjhodpdibeppmnamfcj）：通过HTTP向“g.ceipmsn[.]com”发送设备唯一标识符 DualSafe密码管理器与数字保险库（ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc）：向“stats.itopupdate[.]com”发送含扩展版本、浏览器语言等信息的HTTP请求 研究人员特别指出：“密码管理器使用未加密请求传输遥测数据，严重削弱用户对其安全性的信任。” 硬编码密钥风险扩展 Online Security & Privacy（ID: gomekmidlodglbbmalcneegieacbdmki）、AVG Online Security（ID: nbmoafcmbajniiapeidgficgifbfmjfo）等：暴露Google Analytics 4密钥，攻击者可伪造数据推高分析成本 Equatio数学工具（ID: hjngolefdpdnooamgdldlkjgmdcmcjnc）：嵌入Azure语音识别API密钥，可能导致开发者服务费用激增 Awesome截屏工具（ID: nlipoenfbbikpbjkfpfillcgkoblgpmj）等：泄露AWS S3访问密钥，攻击者可非法上传文件 Microsoft Editor编辑器（ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa）：暴露遥测密钥“StatsApiKey” Antidote Connector（ID: lmbopdiikkamfphhgcckcjhojnokgfeo）：第三方库InboxSDK含硬编码API密钥（影响超90款扩展） Trust Wallet钱包（ID: egjidjbpglichdcondbcbdnbeeppgdph）：泄露法币通道API密钥，可伪造加密货币交易 攻击者利用这些密钥可能造成API服务费用暴涨、托管非法内容、伪造遥测数据等后果，甚至导致开发者账户被封禁。 研究人员强调：“从GA4密钥到Azure语音密钥，这些案例证明几行代码足以危及整个服务。核心解决方案是永远不要在客户端存储敏感凭证。”开发者应采取三项关键措施： 全面启用HTTPS数据传输 通过凭证管理服务在后端服务器安全存储密钥 定期轮换密钥以降低风险 赛门铁克警告用户：“此类风险绝非理论假设——未加密流量极易被截获，数据可能用于用户画像分析、钓鱼攻击等定向攻击。建议立即卸载存在不安全调用的扩展程序，直至开发者完成修复。”该事件揭示关键教训：安装量或品牌知名度无法等同于安全实践水平，用户需严格审查扩展程序的协议类型与数据共享行为。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究团队在TLS证书中发现异常痕迹后，揭露了令人不安的事实：美国数百家水务公司的控制室操作面板暴露在公共互联网上，其中数十套系统无需密码即可完全控制水泵、阀门和化学药剂投加设备。 事件始于2024年10月，网络安全公司Censys例行扫描工业控制系统时，发现多台主机部署的证书中嵌有“SCADA”（监控与数据采集系统）字样。进一步调查显示，这些设备均运行同一款冷门浏览器端人机交互平台。研究人员获取实时操作界面截图时，目睹了水处理厂的动态流程画面：水箱液位波动、氯气泵启停状态切换、警报信号实时闪烁。 通过解析网页标题标签，团队确认所有暴露系统均属于市政水务设施，并依据访问权限划分为三类：需凭证认证（Authenticated）、仅可查看（Read-only）以及最危险的完全开放（Unauthenticated）。Censys在报告中指出：“40套系统处于完全开放状态，任何拥有浏览器的攻击者都能实施操控。” 由于涉及公共基础设施，该公司打破常规逐项披露流程，直接将包含IP地址、端口及地理位置信息的完整清单批量提交给美国环保署（EPA）和涉事软件商。九天内，24%的暴露系统完成防火墙加固或安全升级；一个月后，随着厂商发布多因素认证指南，防护率提升至58%。截至2025年5月的最新扫描，暴露系统已从最初的300余套降至不足20套。 此事件促使美国政府于去年末紧急发布警报，要求水务机构加强防护面向互联网的人机交互界面（HMI）。美国环保署和网络安全局（CISA）联合技术文件明确警告：“黑客已多次利用暴露的HMI漏洞——例如2024年亲俄黑客曾篡改水务设备参数，导致水泵和鼓风设备超负荷运行。”这些控制界面通常作为监控系统的延伸组件，使操作人员能远程管理工业设备，但配置缺陷可能引发灾难性后果。       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文