HackerNews 编译，转载请注明出处： 加拿大Instantel公司生产的1000多台工业监控设备因存在严重漏洞可能面临远程黑客攻击。 网络安全机构CISA近期发布的公告披露，Instantel用于记录振动、噪音和空气超压的Micromate产品存在配置端口缺乏身份验证的安全漏洞。该漏洞编号为CVE-2025-1907（CVSS评分9.8），攻击者可借此在设备上执行任意命令。 发现此漏洞的Microsec研究员Souvik Kandar向SecurityWeek透露，全球范围内已识别出1000多台暴露在互联网中的Micromate设备可能遭受攻击。该产品广泛应用于采矿、隧道工程、桥梁监测、建筑施工和环境安全等领域。 Kandar解释称，成功在设备上执行命令的攻击者能够篡改或禁用监控功能，导致数据失真或缺失。破坏数据完整性的操作可能引发审计、合规或保险索赔问题。该研究员补充表示，设备还可能被破坏或强制关机，进而中断爆破、隧道掘进等关键作业。 据Kandar分析，攻击者或可利用被入侵设备横向渗透至其他连接的IT或OT系统。 CISA公告指出Instantel正在为该漏洞开发固件更新。在补丁发布前，建议用户将设备访问权限限制在可信IP地址范围内。针对SecurityWeek的置评请求，Instantel尚未作出回应。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google 修复了 Chrome 浏览器中的三个漏洞，包括一个已在攻击中被积极利用的漏洞，追踪编号为 CVE-2025-5419。 该漏洞源于Google Chrome 旧版本中 V8 JavaScript 引擎的越界读写问题。攻击者可通过构造的 HTML 页面利用此漏洞触发堆损坏。 谷歌威胁分析小组 (Google Threat Analysis Group) 的 Clement Lecigne 和 Benoît Sevens 于 2025 年 5 月 27 日报告了该漏洞，次日（2025 年 5 月 28 日）通过向所有 Chrome Stable 平台应用配置更新解决了该问题。 公告中写道：“Google 已知悉针对 CVE-2025-5419 漏洞的利用程序已在野存在。” Chrome Stable 已更新至 137.0.7151.68/.69（适用于 Windows 和 Mac）以及 137.0.7151.68（适用于 Linux），将在未来几天内推送。 与往常一样，公司未披露利用此漏洞进行攻击的技术细节。 Google 还修复了一个中危漏洞，被追踪为 CVE-2025-5068，这是 Blink 渲染引擎中的一个释放后使用 (use-after-free) 问题。Walkman 于 2025 年 4 月 7 日报告了该漏洞。 在 2025 年 3 月，Google 曾发布其他计划外补丁，以修复自年初以来首个遭在野利用的 Chrome 零日漏洞。该漏洞是 Windows 版 Chrome 浏览器中的一个高危安全问题，被追踪为 CVE-2025-2783。 该漏洞是 Windows 上 Mojo 在未明确情况下提供错误句柄所致。卡巴斯基研究人员 Boris Larin (@oct0xor) 和 Igor Kuznetsov (@2igosha) 于 2025 年 3 月 20 日报告了该漏洞。卡巴斯基研究人员报告称，该漏洞在针对俄罗斯组织的攻击中被积极利用。 Mojo 是 Google 用于基于 Chromium 的浏览器的 IPC（进程间通信）库，管理着用于安全通信的沙盒进程。在 Windows 上，它增强了 Chrome 的安全性，但过去的漏洞曾导致沙箱逃逸和权限提升。 Google 未分享有关利用此漏洞进行攻击的细节或幕后威胁行为者的身份信息。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： IT管理软件巨头ConnectWise披露遭遇疑似国家级黑客攻击，其ScreenConnect远程工具部分云客户环境遭入侵。公司公告称：“近期发现可疑活动，经研判系复杂国家级攻击者所为，受影响ScreenConnect客户数量极少。”目前ConnectWise已联合曼迪昂特开展取证调查，并协调执法部门处理。 这家佛罗里达企业为托管服务商（MSP）提供IT管理、远程监控及网络安全解决方案，ScreenConnect作为核心产品可实现技术人员对客户系统的安全远程维护。据CRN报道，ConnectWise已实施网络强化措施并部署增强监控系统，宣称客户环境未发现后续异常活动。 尽管ConnectWise拒绝透露具体受影响客户数、入侵时间及是否观察到恶意活动，但消息人士向BleepingComputer透露：攻击实际发生于2024年8月，公司直至2025年5月才察觉，且仅波及云托管版ScreenConnect实例。MSP服务商CNWR总裁杰森·斯拉格尔证实受害者数量极少，暗示攻击者实施的是精准定向攻击。 Reddit论坛用户披露关键细节：事件与CVE-2025-3935漏洞相关。该高危漏洞影响ScreenConnect 25.2.3及更早版本，因ASP.NET ViewState反序列化缺陷导致代码注入。拥有系统特权的攻击者可窃取服务器密钥构造恶意载荷，最终实现远程代码执行。ConnectWise虽未确认漏洞遭利用，但承认已于4月24日修复该“高危”漏洞，并在公开披露前完成云平台（screenconnect.com/hostedrmm.com）补丁更新。 鉴于仅云托管实例受影响，安全专家推测攻击者可能先入侵ConnectWise系统窃取密钥，进而通过RCE控制ScreenConnect服务器渗透客户环境。多位客户向BleepingComputer投诉ConnectWise拒绝提供入侵指标（IOC）及事件细节，致使客户无法有效排查风险。值得警惕的是，ScreenConnect去年曝光的CVE-2024-1709漏洞曾被勒索团伙及朝鲜APT组织用于恶意软件攻击。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露苹果Safari浏览器存在设计缺陷，攻击者可利用全屏模式实施“浏览器中间人攻击”（BitM）窃取用户凭证。该漏洞源于网页通过Fullscreen API进入全屏模式时，Safari缺乏明确警示机制，使恶意窗口得以隐藏地址栏并伪装成合法登录页面。 网络安全公司SquareX指出，攻击者通过滥用全屏API实现三重欺骗： 利用noVNC等开源工具在受害者会话层叠加远程控制浏览器 通过赞助广告/社交媒体推送伪造目标服务登录页链接 当用户点击登录按钮时激活隐藏的BitM窗口 典型案例显示，攻击者伪造Steam和Figma登录页诱导用户输入凭证。由于登录过程实际发生在攻击者控制的浏览器中，受害者仍能正常登录账户，难以察觉信息泄露。值得注意的是，此类攻击能规避端点检测（EDR）及安全访问服务边缘（SASE/SSE）等防护方案。 浏览器防护机制对比显示： Firefox/Chrome/Edge进入全屏时强制弹出警示框 Safari仅显示易被忽略的滑动动画 SquareX研究人员强调：“尽管所有浏览器均受影响，但Safari因缺乏视觉警示使攻击更具欺骗性。” 苹果公司收到漏洞报告后回应称“无意修复”，认为现有动画提示已足够。目前安全社区正推动苹果重新评估该决定。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了TI WooCommerce Wishlist插件存在关键未修补漏洞，该WordPress插件允许未经验证的攻击者上传任意文件。 这款活跃安装量超10万的电商插件，主要功能是让用户收藏商品并分享心愿清单至社交媒体平台。“该插件存在任意文件上传漏洞，攻击者无需认证即可向服务器上传恶意文件。”Patchstack研究员约翰·卡斯特罗指出。该漏洞编号CVE-2025-47577，CVSS评分为10.0分，影响2024年11月29日发布的2.9.2及之前所有版本，目前尚无补丁可用。 漏洞源于“tinvwl_upload_file_wc_fields_factory”函数调用WordPress原生函数“wp_handle_upload”时，将覆盖参数“test_form”和“test_type”设置为false。其中“test_type”参数本应验证文件MIME类型，“test_form”用于检查$_POST[‘action’]参数。当“test_type”设为false时，文件类型验证机制被完全绕过。 需注意的是，该漏洞函数仅当WC Fields Factory插件启用时，通过tinvwl_meta_wc_fields_factory或tinvwl_cart_meta_wc_fields_factory接口暴露。这意味着成功利用漏洞需同时满足两个条件：WordPress站点安装并启用了WC Fields Factory插件，且TI WooCommerce Wishlist插件中开启了该集成功能。 在攻击场景中，攻击者可上传恶意PHP文件并通过直接访问实现远程代码执行。建议开发者在使用wp_handle_upload()时移除或避免设置‘test_type’ => false。在官方补丁发布前，用户应立即停用并删除该插件。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司GreyNoise披露，新型僵尸网络“AyySSHush”已入侵全球超9000台华硕路由器，并同步针对思科、D-Link等品牌的SOHO设备。该活动最早于2025年3月中旬被发现，攻击手法呈现国家级黑客组织特征。 攻击者采用三重渗透策略： 暴力破解：尝试常见弱口令组合 身份验证绕过：利用老旧漏洞突破防线 漏洞利用：重点针对华硕RT-AC3100、RT-AC3200及RT-AX55型号设备，通过命令注入漏洞CVE-2023-39780植入SSH公钥 值得注意的是，攻击者通过官方功能添加密钥，使得配置更改在固件升级后仍保留。后门程序将SSH守护进程绑定至非常规端口53282，同时关闭系统日志与趋势科技AiProtection防护功能，实现隐蔽驻留。 法国安全公司Sekoia追踪的“Vicious Trap”活动与该僵尸网络存在技术重叠。攻击者除路由器外，还针对SSL VPN、DVR设备及基板管理控制器实施入侵。观察到恶意脚本通过重定向受控设备流量至第三方节点，但尚未发现DDoS攻击或流量代理行为，推测其正构建基础设施为后续攻击铺路。 华硕已发布受影响型号固件更新（具体发布时间因型号而异），建议用户： 立即升级至最新固件版本 检查路由器“authorized_keys”文件是否包含攻击者SSH密钥（IoC列表参见原文） 将关联IP地址（101.99.91[.]151等四组）加入防火墙黑名单 如遇可疑活动，执行恢复出厂设置并采用高强度密码重新配置 GreyNoise监测数据显示，过去三个月仅捕获30次恶意请求，但成功入侵设备达九千余台，显示攻击具备高度精准性。研究人员提醒，传统固件升级无法清除已植入的后门，彻底排查需结合日志审计与密钥验证。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究机构Oasis Security披露，微软OneDrive文件选择器存在严重权限设计漏洞，导致用户授权第三方应用时可能意外开放整个云盘访问权限。该漏洞影响数百万用户，涉及ChatGPT、Slack、Trello等数百款主流应用的集成功能。 技术分析显示，当用户通过文件选择器上传或下载特定文件时，关联的OAuth权限请求未采用细粒度控制机制，默认授予第三方应用对OneDrive全盘数据的读写权限。以7.0版本为例，即使执行上传操作仍需申请写入权限，且旧版选择器（6.0至7.2）存在OAuth令牌处理缺陷，包括使用URL片段和本地存储方式，容易导致敏感凭证泄露。尽管8.0版本将认证流程外部化，但权限范围仍未得到根本性约束。 Black Duck首席安全顾问Vijay Dilwale分析称，该问题本质是过度授权与误导性权限提示的结合产物。Sectigo资深研究员Jason Soroko指出，现有授权对话框未明确告知用户“允许访问所选文件”的实际含义是开放整个云盘访问入口。实际风险场景中，求职者通过招聘平台Phenome上传简历时，若文件存储在企业版OneDrive，可能连带暴露雇主机密文档。 Oasis Security列出四大核心风险点： 默认授权范围覆盖用户所有文件 访问令牌有效期长达1小时以上，若配合刷新令牌可实现持久控制 历史版本存在浏览器内存令牌存储安全隐患 权限提示界面未清晰传达风险等级 对比其他云存储方案，Google Drive采用drive.file等细粒度权限模型，仅允许访问应用创建或用户显式选择的文件；Dropbox自定义文件选择器则完全规避OAuth机制，仅传输用户指定文件。微软虽已确认报告内容，但尚未公布修复方案。 安全建议方面，企业应启用“管理员许可”策略，禁止应用申请超出files.read的基础权限；开发者需避免使用刷新令牌，严格限制权限范围；普通用户可通过微软隐私设置页面审查已授权应用清单，及时撤销可疑访问权限。Salt Security网络安全战略总监Eric Schwake强调，所有SaaS插件在获得授权前都应视为潜在数据泄露入口，必须实施最小权限原则。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个以牟利为目的的黑客组织正在利用Craft内容管理系统（CMS）新近披露的远程代码执行漏洞（CVE-2025-32432），部署包含加密货币矿工、Mimo加载器及住宅代理软件的多重恶意载荷。该高危漏洞已于今年4月由Orange Cyberdefense SensePost首次披露，官方在3.9.15、4.14.15和5.6.17版本中修复。 据Sekoia最新报告，攻击者通过该漏洞获取目标系统未授权访问权限后，部署WebShell实现持久远程控制。该WebShell会使用curl、wget或Python库urllib2从远程服务器下载并执行shell脚本。研究人员指出，攻击者在Python代码中将urllib2库别名为“fbi”，这种非常规命名可能暗指美国联邦调查局，或成为威胁溯源的重要线索。 该脚本首先检测系统感染痕迹，卸载已知加密货币矿工，终止所有活跃的XMRig进程及其他竞品挖矿工具，随后投放ELF可执行文件。该程序即Mimo加载器，通过修改动态链接器配置文件隐藏恶意进程，最终在受控主机部署IPRoyal代理软件和XMRig矿工。攻击者借此实现双重获利：劫持算力挖矿牟利，同时将受害者网络带宽转化为代理节点资源。 该攻击活动被归因于代号Mimo的黑客组织，其自2022年3月起活跃，曾利用Apache Log4j（CVE-2021-44228）、Atlassian Confluence（CVE-2022-26134）、PaperCut（CVE-2023–27350）及Apache ActiveMQ（CVE-2023-46604）等漏洞部署矿工。据安博士2024年1月报告，该组织2023年还使用基于Go语言的Mimus勒索软件实施攻击，该软件系开源项目MauriCrypt的分支版本。 Sekoia追踪发现攻击流量源自土耳其IP地址（85.106.113[.]168），开源情报显示Mimo组织成员可能物理位置位于该国。法国网络安全公司指出，Mimo组织以快速武器化新漏洞著称，此次从CVE-2025-32432漏洞披露到概念验证代码发布，再到实际攻击发生的时间间隔极短，充分展现其响应速度与技术敏捷性。目前确认该组织仍保持活跃，持续扫描利用新披露的漏洞实施攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近期发现GitLab的AI编程助手Duo存在间接提示注入漏洞，攻击者可借此窃取私有源代码并在AI响应中注入恶意HTML代码，进而诱导用户访问钓鱼网站。该漏洞由软件供应链安全公司Legit Security披露，主要影响基于Anthropic公司Claude模型构建的代码编写与审查工具GitLab Duo Chat。 技术细节显示，攻击者只需在合并请求描述、提交信息、问题讨论或源代码注释中植入隐藏指令，即可操控AI助手的行为。通过Base16编码、Unicode字符走私，以及利用KaTeX数学公式引擎将白色文字提示嵌入文档等技术，攻击者能绕过常规检测。漏洞根源在于GitLab未对这些输入内容实施有效清洗，导致AI系统在处理时会全盘解析页面上下文信息。 研究人员成功演示了多种攻击场景：在代码变更建议中注入恶意JavaScript包；伪造安全链接诱导用户提交凭证；利用Markdown流式渲染机制执行窃取私有代码的HTML标签。更严重的是，攻击者可通过特定提示使AI助手自动外泄包含零日漏洞细节的敏感源代码至远程服务器。Legit Security研究员Omer Mayraz指出：“当AI助手深度整合至开发流程时，它们不仅继承了上下文环境，更继承了潜在风险。” GitLab已于2025年2月12日修复了涉及HTML注入的关键问题，但其他不涉及代码执行的提示注入场景尚未修补。公司认为后者不会直接导致未授权访问，因此未被列为安全隐患。此次漏洞披露恰逢多项AI安全研究发布：微软SharePoint Copilot被曝可突破“限制视图”权限获取敏感文件；去中心化AI框架ElizaOS存在指令注入风险，可能引发连锁性资产转移事故。 研究还揭示了当前大语言模型的共性缺陷：除提示注入外，强制模型精简回答会加剧事实性错误。AI测试公司Giskard发现，当要求模型缩短响应时，其倾向于编造不准确信息而非承认知识盲区。趋势科技最新报告警示，提示泄露（PLeak）攻击可能暴露企业内部的过滤规则、权限配置等机密数据，为后续针对性攻击铺路。这些发现共同指向AI系统深度集成业务场景时面临的新型攻防挑战。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家标准与技术研究院（NIST）推出全新漏洞评估指标“可能被利用漏洞（LEV）”，旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示，LEV模型基于2018年由事件响应与安全团队论坛（FIRST）提出的漏洞利用预测评分系统（EPSS）进行优化，旨在提升企业漏洞优先级排序效率。 EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率，其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度，每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。具体输出数据包括： CVE编号、发布日期及描述 LEV概率值（即历史观测到的利用可能性） 30天窗口期内EPSS评分峰值及出现日期 各窗口期具体评分与对应日期 受影响产品的通用平台枚举（CPE）信息 白皮书提出两种LEV计算模型：标准版采用30天窗口期EPSS原始数据，优化版则将EPSS评分除以30生成单日预测值，后者需更高算力支持但能反映评分动态变化。NIST建议将LEV与CISA已知被利用漏洞（KEV）目录、第三方企业及开源社区的同类数据库结合使用，形成多维度评估体系。研究团队特别指出，现有KEV清单存在覆盖不全的问题，而EPSS模型在设计上无法准确反映历史漏洞的利用情况。 不过NIST也坦承LEV存在误差范围未知的局限性，这主要源于EPSS系统未将历史利用数据纳入评分机制。此外，若某漏洞在30天内遭利用，其后续评分不会因此上调。尽管存在缺陷，NIST期望通过LEV的实践应用，推动漏洞评估体系的持续优化，为网络安全防御提供更精准的决策依据。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文