HackerNews 编译，转载请注明出处： WinRAR文件压缩工具的维护者已发布更新，修复一个被积极利用的零日漏洞。该漏洞编号为CVE-2025-8088（CVSS评分：8.8），被描述为影响该工具Windows版本的路径遍历缺陷，攻击者可制作恶意存档文件利用该漏洞实现任意代码执行。 WinRAR在公告中表示：“解压文件时，旧版WinRAR（包括Windows版RAR、UnRAR、便携式UnRAR源代码及UnRAR.dll）可能被诱骗采用特制存档中定义的路径，而非用户指定路径。”ESET研究人员Anton Cherepanov、Peter Košinár和Peter Strýček因发现并报告该安全缺陷获得致谢，漏洞已在2025年7月31日发布的WinRAR 7.13版中修复。 目前尚不清楚该漏洞在真实攻击中如何被武器化及攻击者身份。2023年，另一个WinRAR漏洞（CVE-2023-38831，CVSS评分：7.8）曾遭中俄多股威胁力量大量利用，包括零日攻击。俄罗斯网络安全供应商BI.ZONE上周报告称，有迹象表明被追踪为Paper Werewolf（又名GOFFEE）的黑客组织可能同时利用了CVE-2025-8088和CVE-2025-6218（2025年6月修复的WinRAR Windows版目录遍历漏洞）。值得注意的是，攻击发生前，2025年7月7日，名为“zeroplayer”的威胁行为体在俄语暗网论坛Exploit.in上以8万美元标价兜售所谓的WinRAR零日漏洞利用程序。怀疑Paper Werewolf组织可能购得该利用程序并发动攻击。 WinRAR在针对CVE-2025-6218的警报中说明：“旧版WinRAR及相关组件中，包含任意代码的特制存档可在解压过程中操控文件路径。利用此漏洞需用户交互，可能导致文件写入预期目录之外。攻击者可借此将文件植入敏感位置（如Windows启动文件夹），最终可能导致系统下次登录时意外执行代码。”据BI.ZONE描述，攻击者于2025年7月通过携带陷阱存档的网络钓鱼邮件针对俄罗斯组织，触发CVE-2025-6218及可能的CVE-2025-8088漏洞，实现非目标目录文件写入和代码执行，同时向受害者展示诱饵文档作为干扰。 BI.ZONE解释：“漏洞成因在于创建RAR存档时可包含含相对路径的备用数据流文件。这些数据流可携带任意有效载荷。解压此类存档或直接从存档打开附件时，备用数据流会被写入磁盘任意目录，形成路径遍历攻击。”该漏洞影响WinRAR 7.12及更早版本，7.13版已彻底修复。 攻击中使用的恶意负载之一是.NET加载程序，其设计目的是将系统信息发送至外部服务器并接收加密.NET程序集等额外恶意软件。BI.ZONE补充：“Paper Werewolf使用C#加载程序获取受害者计算机名，将其嵌入生成链接发送至服务器以获取有效载荷。该组织通过反向Shell中的套接字与控制服务器通信。” RomCom组织同步利用漏洞 斯洛伐克安全公司ESET观察到亲俄组织RomCom将CVE-2025-8088作为零日漏洞利用，这是该组织继CVE-2023-36884（2023年6月）、CVE-2024-9680和CVE-2024-49039（2024年10月）后第三次使用零日漏洞。研究人员确认：“成功利用尝试投放了RomCom组织使用的多种后门，包括SnipBot变种、RustyClaw和Mythic代理。此轮攻击针对欧洲和加拿大的金融、制造、国防及物流企业。” 攻击利用的恶意存档包含一个良性文件及多个用于路径遍历的备用数据流（ADS）。邮件使用简历主题诱骗收件人打开附件。解压存档会触发恶意DLL执行，同时攻击者在Windows启动目录设置快捷方式（LNK）文件实现用户登录时持久化。该DLL负责解密嵌入式Shellcode，为后续部署Mythic代理（SnipBot/SingleCamper变种）和RustyClaw铺路。RustyClaw会获取并执行另一有效载荷——名为MeltingClaw（又名DAMASCENED PEACOCK）的下载器，该程序曾用于投放ShadyHammock或DustyHammock后门。 ESET表示，尽管遥测数据显示无目标沦陷，但此事表明RomCom已持续进化为能吸纳零日漏洞进行定向攻击的成熟威胁力量。“通过利用WinRAR未知零日漏洞，RomCom组织证明其愿投入大量精力和资源开展网络行动。攻击目标行业符合亲俄APT组织的典型利益版图，暗示行动存在地缘政治动机。” 7-Zip修复任意文件写入漏洞 本次披露恰逢7-Zip修复安全漏洞（CVE-2025-55188，CVSS评分：2.7），该漏洞因工具处理符号链接的方式可能被滥用于任意文件写入，进而导致代码执行。问题已在25.01版修复。在可能的攻击场景中，威胁行为体可利用该漏洞篡改敏感文件（如覆盖用户SSH密钥或.bashrc文件）实现未授权访问或代码执行。攻击主要针对Unix系统，但满足额外条件时也可适配Windows。安全研究员“lunbun”指出：“Windows系统上，7-Zip解压进程需具备创建符号链接的权限（例如使用管理员权限解压、Windows处于开发者模式等）。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 当英国政府提出《在线安全法案》（OSA）时，公众被告知新规将保护儿童免受色情内容侵害。但法案背后是否隐藏着更多意图？ 电子前沿基金会（EFF）曾警告该法案可能滑向伤害其本应保护之人的深渊。隐私倡导者认为政策可能被用于压制政治言论，并为大规模个人数据库建立基础，甚至可能迫使儿童转向更隐蔽的网络角落。近50万公民联署请愿要求废除该法案。而多名政府官员竟将质疑法律的行为等同于支持犯罪者，甚至将其比作恋童癖主持人吉米·萨维尔以压制讨论。 自7月25日生效以来，Spotify和Xbox等越来越多的公司开始在英国部署年龄验证。澳大利亚则宣布将限制16岁以下用户访问YouTube。个人经历显示，用户在足球博彩论坛浏览新赛季资讯时，竟被要求拍摄警方通缉令风格的照片验证年龄——仅为查看英超博彩帖文。新时代的互联网体验已然降临。 死亡搁浅与数字抵抗 不遵守OSA的企业可能面临1800万英镑或全球年收入10%的罚款，严重者甚至被禁止在英运营。监管机构Ofcom明确表态：企业必须“优先保障儿童安全而非用户黏性”，负责人梅拉妮·道斯强调“要么执行年龄验证，要么承担后果”。 有围墙处必有出路，而这次破局者竟来自诺曼·瑞杜斯——更准确地说，是他在游戏中的数字分身。法案生效数日内，英国玩家发现可利用游戏《死亡搁浅》的拍照模式绕过Discord的自拍验证系统。玩家操纵中年快递员山姆·布里吉斯直视镜头、眨眼甚至张嘴的动作，足以欺骗Discord的AI识别系统。同样方法在Reddit的Persona验证系统也获成功，用户无需露脸即可解锁敏感内容。这种戏谑式的聪明反击，成为对抗政府的小型胜利。 当然，并非所有平台都会中招。例如使用Yoti面部识别技术的Bluesky和Instagram，能有效区分游戏建模与真人面部。但两大主流平台接连失守，暴露了法案技术底层可能存在漏洞。 VPN成为数字出口 不愿使用游戏角色或提交证件的用户，则转向VPN工具。法案实施后，英国用户注册ProtonVPN的数量激增1800%，VPN应用在应用商店下载榜急速攀升。其逻辑简单：伪装成他国IP即可规避英国限制——色情网站解除屏蔽，社交平台停止索要自拍，数字关卡暂时消失。 英国政府尚未禁止VPN，因该举措将面临法律和政治风险。当政客声称“只有罪犯才用VPN”时，暴露了对技术的无知。VPN具备合法用途：远程办公、安全浏览甚至对抗审查制度。但用户借其规避OSA的行为，迫使立法者直面尴尬问题：若用户能“数字跃迁”至境外，筑墙意义何在？ 业内人士推测VPN的IP可能成为下一轮封堵目标，但限制VPN的尝试可能引发比OSA本身更强烈的反弹。 全球筑墙运动 英国并非孤例，多国正以保护儿童为名推行年龄验证，但形式各异： 澳大利亚计划2025年12月起全面禁止16岁以下用户使用Instagram、TikTok和YouTube等社交平台。 美国近半数州通过成人内容年龄验证法，路易斯安那州甚至推出州政府运营的数字身份证应用。 法国强制封锁未合规的成人网站并获法院支持。 欧盟正测试注重隐私保护的联合验证应用，虽暂为自愿，却被视为强制验证的前奏。 谁是真正受益者？ 在罚款与技术博弈背后存在核心疑问：这一切为谁服务？支持者称其是必要的矫正，认为政府放任科技巨头向儿童传播有害内容太久，工具虽不完美但好过无所作为。 现实是第三方验证系统既无法识别诺曼·瑞杜斯的游戏建模，也难以辨别创意工坊的虚拟面孔。当系统将青少年误判为成人或反之，后果如何？若争议论坛、健康社区或教育频道均需证件或面部数据，多少用户会选择离开？长期被视为网络自由基石的匿名性正遭受挤压。对部分人可接受的妥协，对他人则是互联网本质的改变。 数字抵抗与文化转向 Reddit和Discord上，英国用户分享VPN技巧，调侃小岛秀夫意外成为数字抵抗运动的贡献者。以《行尸走肉》闻名的诺曼·瑞杜斯，其数字分身成为数百万不愿露脸用户的替身符号。 近期女性社交软件Tea遭黑客入侵，7.2万张自拍及证件照泄露，为验证系统的数据风险敲响警钟。许多用户担忧数字身份遭滥用之际，亦有人轻松承认“用妈妈护照通过验证”。 幽默背后弥漫着不安。网络舆论逐渐形成共识：保护儿童确有必要，但现行手段的风险令人愈发忧虑。 布满关卡的未来 论坛评论区正孕育新数字文化：隐私破解工具和反制技术如食谱般流传。有人妥协，有人勉强服从，也有人坚决抵抗。所有人都在追问：这是我们想要的互联网吗？ 2025年或将成为数字关卡常态化的元年。英国《在线安全法案》的缺陷与失误，可能成为全球性先例。它挑战着互联网的传统认知：匿名神圣性、成人浏览论坛无需“出示证件”、儿童保护不能成为大规模数据收集的理由。这里没有简单答案——儿童安全至关重要，但无摩擦获取信息的权利同样不可忽视。无论是屏幕中的山姆·布里吉斯还是手机里的VPN应用，这些破解手段不仅是对技术的挑战，更是对数字新规的无声抗议。 闸门正在升起。英国距离大规模身份盗用丑闻或许仅差一次数据泄露，而当下握有钥匙者及其规则，将定义互联网的下一篇章。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦贸易委员会（FTC）数据显示，诈骗者侵吞退休人员毕生积蓄的速度正以惊人速率攀升。去年单年，网络犯罪分子就卷走7亿美元，其中大部分损失涉及被骗金额超过10万美元的受害者。 向FTC报告因诈骗损失超1万美元的老年人数量激增逾四倍。这些诈骗者通常伪装成知名且受信任的政府机构或公司人员。2024年，60岁以上成年人因商业或政府冒充诈骗损失超1万美元的案件达8269起；相比之下，2020年该数字仅为1790起，增长4.6倍。 损失金额的增长更为显著：2020年冒充诈骗造成1.22亿美元损失，而去年诈骗损失总额达7亿美元。损失超10万美元的案例情况最严重——此类诈骗损失从2020年的5500万美元飙升至2024年的4.45亿美元，增长8倍。网络犯罪分子清空了受害者的银行账户甚至401(k)退休金账户。 FTC在报告中指出：“具有讽刺意味的是，近期骗局利用虚假安全警报等手段，针对老年人保护资金和身份的高度警惕心理实施盗窃。”虽然年轻人也会受骗，但FTC强调老年人“更可能”报告大额损失。 去年多数诈骗始于钓鱼接触：41%的报告显示首次接触方式为电话；15%的受害者表示骗局始于在线广告或弹窗；13%称始于电子邮件。最常被提及的是伪装成微软或苹果的在线广告和弹窗安全警报，其中包含可拨打的电话号码。 令人意外的是，33%的老年受害者承认通过加密货币向犯罪分子转账。五分之一的受害者使用银行转账，16%支付现金。“在明确支付方式的报告中，提及加密货币的案例大多在描述中提到了比特币ATM机，”FTC称。在损失超1万美元的报告里，约5%涉及黄金支付；而在损失最严重的案例中，超过五分之一提到使用黄金作为支付方式或被写入投诉。 诈骗者常用话术 FTC重点列出三种典型诈骗剧本： “您的账户遭盗用”：骗子冒充银行员工，谎称监测到“可疑交易”；或伪装成亚马逊员工，通知存在“未授权购买”。 “您的信息被用于犯罪”：诈骗者假冒政府官员或探员，警告受害者的社保号码涉及毒品走私、洗钱甚至儿童色情等犯罪活动。 “您的电脑存在安全问题”：虚假屏幕安全警报常伪装成苹果或微软通知并附联系电话。骗子随后谎称受害者的在线账户已被黑客入侵。 FTC本身也常被骗子冒用，诈骗者甚至盗用其真实员工姓名。该机构解释：“这些骗子声称，摆脱虚假危机的唯一方法是按其指示操作——最终必然要求向诈骗者汇款。骗局可能设计多层复杂情节，但核心目标都是掏空您的账户。”骗子会向受害者保证，遵循其指示可“保障资金安全”、“保护身份”、“洗清罪名”或“协助抓捕罪犯”。 多数诈骗仍依赖电话实施，利用通话制造的恐惧感和紧迫感，使受害者更难冷静思考并核实信息。 如何保护资金？ FTC建议：“切勿为‘保护资金’而转移财产。无论对方自称何种身份，都绝不要因意外来电或消息汇款或转账——即使对方声称此举是为‘保护资金’。”该机构提倡屏蔽骚扰电话，可通过下载拦截应用或使用手机内置功能实现。 若接到自称政府机构或企业人员的来电，应立即挂断并自行核实：查阅官方网站，查找官方电话，直接联系相关机构或公司确认。切勿轻信安全弹窗、邮件、短信或其他非主动索取的通讯中提供的电话号码。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Microsoft Exchange客户收到关于一个新高危漏洞（CVE-2025-53786，CVSS评分为8.0）的警告，该漏洞可能允许攻击者在组织的互联云环境中提升权限。此漏洞影响本地版Microsoft Exchange服务器版本。 成功利用此漏洞的前提是攻击者需首先在Exchange混合部署环境中获得或拥有Exchange服务器的管理员权限。微软在8月6日的安全更新中指出：“在获取访问权限后，威胁行为者可利用此不当身份验证漏洞，实现组织混合云和本地环境的全域控制，且不留易于检测和审计的痕迹。”目前尚未发现漏洞利用尝试，但微软警告此类活动很可能发生。 微软敦促客户采取行动 微软强烈建议客户实施其2025年4月发布的《Exchange混合部署安全变更指南》及配套非安全补丁中的措施。“微软强烈建议客户阅读相关说明，安装2025年4月（或更新版本）的补丁，并在Exchange服务器及混合环境中实施变更措施。”这些变更特别针对Exchange混合部署环境。 曾配置Exchange混合身份验证或Exchange Server与Exchange Online组织间OAuth认证的用户（即使现已停用），必须重置共享服务主体的keyCredentials凭证。 美国网络安全和基础设施安全局（CISA）同期发布警报，警告该漏洞可能危及组织Exchange Online服务的身份完整性。除微软列出的修复步骤外，CISA建议各机构将已终止支持（EOL）或停止服务的公开版Exchange Server或SharePoint Server与互联网断开。“SharePoint Server 2013及更早版本已终止支持，若仍在运行应立即停用。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲网络安全公司Modat研究发现，全球超过120万台配置错误的联网医疗设备和系统暴露在互联网上，使黑客能够在患者获知诊断结果前访问敏感数据。某些情况下，攻击者甚至能篡改医疗记录。 Modat通过互联网扫描发现70多种不同类型的易受攻击设备，包括MRI（磁共振成像）、CT（计算机断层扫描）、X光机、DICOM查看器、血液检测系统、医院管理系统等。攻击者可轻易访问全球医院患者的机密医学影像（如MRI扫描、X光片）、血液检测结果及其他隐私数据。 “为何存在缺乏适当安全措施的MRI扫描仪连接至互联网？”Modat首席执行官Soufian El Yadmani在报告中质问道，“主要风险在于不必要的网络暴露。除非存在合理的临床远程访问需求，否则这些医疗系统只应接入安全且正确配置的网络。” 暴露设备数量最多的国家是美国（超过17.4万台），其次是南非（17.2万+）和澳大利亚（11.1万+）。另有六个国家的暴露设备超过7万台：巴西、德国、爱尔兰、英国、法国和瑞典。日本暴露设备超过4.8万台，其他国家也有数万台设备暴露。 许多系统缺乏身份验证或使用极弱凭证（如出厂默认设置或“admin”“123456”等弱密码）。其他案例中，配置错误和过时/未修补的软件包含存在已知漏洞利用途径的关键缺陷。“部分设备仅是仍在使用但已停止支持的遗留系统，”报告指出。 研究人员使用Modat Magnify平台扫描互联网易受攻击设备，通过“HEALTHCARE”设备DNA标签进行识别。这120多万台设备中可能包含诱骗系统（honeypot），但结果仍令人担忧。 分析人员提供的截图证实，他们能够访问MRI脑部扫描、包含患者生命体征和生物特征的血液检测结果、脑部/胸部/肺部/腿部等部位的机密扫描图像及个人信息。部分系统暴露了编辑功能，记录甚至可追溯至多年前。 研究人员警告称，最坏情况包括数据泄露导致不知情的受害者遭受欺诈和勒索。此外，配置错误的医疗设备可能成为勒索软件攻击入侵网络的跳板，构成实际威胁。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布安全更新修复安卓系统多项安全漏洞，包含两个已被实际利用的高通漏洞。漏洞涉及CVE-2025-21479（CVSS评分8.6）与CVE-2025-27038（CVSS评分7.5），二者与CVE-2025-21480（CVSS评分8.6）均由芯片制造商于2025年6月披露。 CVE-2025-21479属于图形组件授权错误漏洞，可能导致因GPU微代码中未经授权的命令执行而引发内存损坏。CVE-2025-27038则是图形组件的释放后重用漏洞，在Chrome浏览器使用Adreno GPU驱动渲染图形时可能造成内存损坏。 目前尚无漏洞实际利用细节，但高通曾声明“谷歌威胁分析小组迹象表明，CVE-2025-21479、CVE-2025-21480、CVE-2025-27038可能已被有限且针对性利用”。鉴于Variston、Cy4Gate等商业间谍软件供应商曾利用类似高通芯片漏洞，推测上述漏洞可能已被同类场景滥用。 这三项漏洞已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞目录，要求联邦机构在2025年6月24日前完成更新。 谷歌2025年8月补丁还修复了安卓框架中两个高危权限提升漏洞（CVE-2025-22441与CVE-2025-48533）以及系统组件关键漏洞（CVE-2025-48530）。后者在与其他漏洞串联时，无需额外权限或用户交互即可实现远程代码执行。 谷歌提供2025-08-01和2025-08-05两套补丁级别，后者额外包含Arm与高通闭源及第三方组件修复方案。建议安卓用户及时安装更新以防范潜在威胁。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Wiz研究团队在NVIDIA Triton推理服务器中发现一系列关键漏洞，该平台是用于大规模运行人工智能模型的开源解决方案。当这些漏洞被串联利用时，远程未授权攻击者可能完全控制服务器，实现远程代码执行（RCE）。 此攻击链始于服务器的Python后端，最初的小规模信息泄露会逐步升级为完整的系统入侵。这对使用Triton进行AI/ML的企业构成重大风险，成功攻击可能导致宝贵AI模型被盗、敏感数据泄露、AI模型响应被篡改，并为攻击者提供深入网络的立足点。 Wiz已向NVIDIA负贵披露这些发现，目前补丁已发布。我们感谢NVIDIA安全团队的高效协作与快速响应。NVIDIA为此漏洞链分配了以下标识符：CVE-2025-23319、CVE-2025-23320和CVE-2025-23334。强烈建议所有Triton用户升级至最新版本。本文概述这些新漏洞及其潜在影响。此研究是Wiz披露的系列NVIDIA漏洞中的最新成果，包括两个容器逃逸漏洞：CVE-2025-23266和CVE-2024-0132。 防护措施 立即升级：首要措施是根据NVIDIA安全公告将Triton服务器及Python后端升级至25.07版本。 Wiz客户可通过以下方式检测云环境中易受攻击的实例： 在漏洞发现页面筛选关键问题相关实例 使用安全图谱识别公开暴露的虚拟机/无服务器容器 高级客户可通过动态扫描器筛选已验证结果 传感器客户可筛选运行时验证结果 代码安全客户可通过一键修复生成代码库修复方案 Triton内部机制 Triton作为通用推理服务器，通过模块化后端系统支持主流AI框架（如PyTorch、TensorFlow）。当推理请求到达时，服务器自动将其路由至对应后端执行。本次研究聚焦Python后端——因其不仅是热门多功能后端，还是其他后端的依赖组件。该后端核心逻辑由C++实现，通过独立“存根”进程加载并执行模型代码。二者通过共享内存（/dev/shm）实现高速进程间通信(IPC)，依赖唯一系统路径访问内存区域。 漏洞链分析 第一步：后端共享内存名称泄露 通过发送特制超长请求触发异常，错误响应中意外暴露内部IPC共享内存区域的完整密钥（例如“triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859”）。此密钥本应保持私密，泄露构成攻击链的关键突破点。 第二步：滥用共享内存API实现任意读写 Triton提供面向用户的共享内存API以优化性能。攻击者利用泄露的内部密钥调用注册接口后，可构造推理请求操纵该内存区域。由于API未验证密钥归属，攻击者借此获得对Python后端私有内存的读写权限，包括其IPC控制结构。 第三步：实现远程代码执行的路径 通过篡改共享内存中的数据结构和指针（如MemoryShm、SendMessageBase），攻击者可触发越界内存访问。进一步操纵IPC消息队列可构造恶意指令，最终实现从内存破坏到逻辑漏洞的完整利用链（具体技术细节暂不公开）。 攻击影响 模型窃取：窃取专有高价值AI模型 数据泄露：截获模型处理的用户隐私或金融数据 结果操控：篡改AI输出以制造错误或恶意结果 横向移动：以受控服务器为跳点渗透内网 结论 此案例证明看似微小的漏洞串联可引发系统级入侵。Python后端的详细错误信息与主服务API的验证缺失，共同构成了完整的攻击路径。随着AI/ML的广泛部署，基础架构安全防护至关重要。       消息来源：wiz； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能相关网站的流量激增，标志着用户与AI互动方式的重大转变。Menlo Security最新研究显示，2024年2月至2025年1月期间，AI工具平台访问量从70亿次增至105.3亿次，增幅达50%。这一转变主要源于用户持续依赖浏览器访问生成式AI（GenAI）工具。尽管部分AI部署已转向桌面或私有应用，约80%的生成式AI使用仍发生在浏览器环境中。 该趋势的持续源于三大核心因素：浏览器具备跨设备普适性，可无缝集成其他服务平台，并支持开发者快速大规模部署AI工具。Acuvity联合创始人兼CEO Satyam Sinha指出：“过去一年中，关于AI风险和威胁的认知显著提升。客户反馈表明，他们正为如何优先处理这些问题感到困扰。” 当前生成式AI生态现状 Menlo Security通过分析2025年5-6月全球数百家企业30天内的AI交互数据，揭示关键洞察： • 单月生成式AI网站访问量达560万次 • 活跃GenAI域名6500个，远超应用数量（3000个） • ChatGPT周活用户超4亿，95%以上使用免费版 • 亚太区75%企业已采用生成式AI • 由AI驱动的零时差钓鱼攻击同比激增130% Darktrace高级副总裁Nicole Carignan强调：“理解不断演变的威胁态势及攻击者操纵AI的技术，对有效防护AI系统至关重要。网络安全是AI安全的基石。” 安全风险随普及率同步攀升 报告指出，“影子AI”使用加剧了安全隐患：68%员工通过个人账户使用ChatGPT等免费工具，57%曾输入敏感数据。Mimoto CEO Kris Bondi警告：“生成式影子AI缺乏防护机制，其潜在危害远超传统影子IT。隐蔽性更放大了风险。” Zimperium的Krishna Vishnubhotla补充道：“生成式AI正使钓鱼攻击的速度与逼真度急剧升级。依赖过时防御已不足够——安全策略必须与威胁同步进化。”随着AI生态的快速扩张，防护策略亦需加速迭代。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，网络安全和基础设施安全局（CISA）和美国海岸警卫队（USCG）分析师对一家关键基础设施组织开展了威胁狩猎行动，旨在探测潜在恶意活动。CISA官网发布了专项报告，虽未发现实际入侵证据，但识别出6类高风险安全缺陷，威胁者可利用这些漏洞突破网络防御。缓解措施与NIST网络安全性能目标（CPGs）及MITRE ATT&CK框架对齐。 核心安全风险与潜在影响 1、在多台主机上共享且以明文形式存储的本地管理员账户 详细信息：CISA 发现了一些本地管理员账户，这些账户使用非唯一密码，并且这些账户在许多主机上被共享。每个账户的凭证以明文形式存储在批处理脚本中。这些经过授权的脚本被配置为创建具有本地管理员权限的用户账户，然后设置相同的、永不过期的密码——这些密码以明文形式存储在脚本中。 潜在影响：在许多主机上以明文脚本形式存储本地管理员凭证，增加了广泛未经授权访问的风险，而使用非唯一密码则便于在网络中横向移动。能够访问包含这些批处理脚本的工作站的恶意行为者可以通过在文件系统中搜索诸如“net user /add”之类的字符串，识别包含用户名和密码的脚本，并获取这些本地管理员账户的密码，从而移动。 2、IT 和运营技术环境之间网络隔离配置不足 详细信息：在评估客户 IT 和运营技术（OT）环境之间的互连性时，CISA 发现 OT 环境未正确配置。具体来说，标准用户账户可以直接从 IT 主机访问监督控制与数据采集（SCADA）虚拟局域网（VLAN）。 潜在影响：OT 网络隔离配置不足、网络访问控制（NAC）不足，以及 IT 网络中的非特权用户使用其凭证访问关键 SCADA VLAN [T1078]，带来了安全和安全风险。鉴于 SCADA 和 HVAC 系统控制物理过程，这些系统的入侵可能会产生现实世界的后果，包括对人员安全、基础设施完整性和设备功能的风险。 3、日志记录不足和实施不足 详细信息：由于该组织的事件日志系统不足以进行此类分析，CISA 无法按照既定的狩猎计划对每一个 MITRE ATT&CK®程序进行狩猎。 潜在影响：缺乏全面且详细的日志记录，以及未建立正常网络行为的基线，阻碍了 CISA 进行彻底的行为和异常检测。这一限制妨碍了对某些 TTPs（如利用本地工具的攻击技术、使用有效账户 [T1078] 以及其他复杂威胁行为者使用的 TTPs）的搜索。 5、IIS服务器sslFlags配置错误： 详细信息：CISA 发现一个 HTTPS 绑定配置为 sslFlags=“0”，这使得 IIS 保持在其旧版“每个 IP 地址一个证书”的模式中。该模式禁用了现代证书管理功能，而且由于必须在“SSL 设置”中单独启用或通过添加 来启用相互传输层安全（TLS）（客户端证书认证），因此该绑定默认情况下禁用了客户端证书强制执行。此外，sslFlags 不控制协议或加密套件的选择，可能会接受过时的协议或弱加密套件。 潜在影响：sslFlags 配置错误可能会使威胁行为者尝试中间人攻击 [T1557]，以拦截客户端与 IIS 服务器之间传输的凭证和数据。此外，由于未启用客户端证书强制执行，使服务器面临风险，未经授权或恶意的客户端可能会冒充合法用户，从而在未经适当授权的情况下访问敏感资源。 6、SQL连接字符串集中化： 详细信息：CISA 查看了生产服务器上的 machine.config 文件，发现该文件配置了一个集中式数据库连接字符串 LocalSqlServer，用于配置文件和角色提供程序。这种配置意味着，除非在每个应用程序的 web.config 文件中进行覆盖，否则服务器上的每个 ASP.NET 站点都将连接到同一个结构化查询语言（SQL）Express 或 aspnetdb 数据库，并共享相同的凭证，CISA 发现 machine.config 文件将 minRequiredPasswordLength 设置为少于 15 个字符，而 15 个字符是 CISA 推荐的密码。 潜在影响：使用集中式数据库方法会增加风险，因为该中央 SQL 数据库服务器的一个漏洞或配置错误可能会危及依赖该服务器的所有应用程序。这会形成一个单一故障点，可能会被攻击者利用。此外，将最小密码长度设置为少于 15 个字符，更容易受到各种形式的暴力攻击，这可能会导致数据泄露、数据篡改或数据库丢失。 缓解措施 尽管在这次行动中未发现恶意活动，但建议关键基础设施组织审查并实施本通告中列出的缓解措施，以防止潜在的入侵行为，更好地保护美国的国家基础设施。这些缓解措施按重要性顺序列出，如下所示： 1、不要以明文形式存储密码或凭证。相反，应使用安全的密码和凭证管理解决方案，例如加密的密码保险库、托管服务账户或部署工具的内置安全功能。 确保所有凭证在静止状态和传输过程中均被加密。实施严格的访问控制并定期进行审计，以安全地管理访问凭证的脚本或工具。 使用代码审查和自动化扫描工具检测并消除主机或工作站上存在的明文凭证实例。 强制执行最小权限原则，仅授予用户和进程完成其功能所必需的访问权限。 2、避免共享本地管理员账户凭证。相反，应使用诸如微软本地管理员密码解决方案（LAPS）之类的工具为每个账户分配独特且复杂的密码，这些工具可以自动化密码管理和轮换。 3、对所有管理访问（包括本地和域账户）以及远程访问方式（如远程桌面协议（RDP）和虚拟专用网络（VPN）连接）强制实施多因素认证（MFA）。 4、实施并强制执行严格政策，仅使用从 IT 网络隔离且配备防网络钓鱼 MFA 的加固型跳板主机来访问工业控制系统（ICS）/OT 网络，并确保常规工作站（即用于访问 IT 网络和应用程序的工作站）不能用于访问 ICS/OT 网络。 5、在所有系统（包括工作站、服务器、网络设备和安全设备）上实施全面（即覆盖范围广）且详细的日志记录。 确保日志记录信息，如身份验证尝试、带有参数的命令行执行以及网络连接等。 按照组织政策和合规要求，将日志保留适当期限，以便进行彻底的历史分析，并将日志聚合到带外的集中位置，例如安全信息事件管理（SIEM）工具中，以防止日志被篡改并便于高效分析。 验证安全控制 除了应用缓解措施外，CISA 和 USCG 建议根据 MITRE ATT&CK 企业框架中描述的威胁行为，对组织的安全计划进行测试和验证。CISA 和 USCG 建议测试现有的安全控制清单，以评估它们对本通告中描述的 ATT&CK 技术的性能。 选择本通告关联的ATT&CK技术（如T1021.001）； 对齐现有防护工具检测能力； 模拟攻击验证防护性能； 调整安全策略（人员/流程/技术）。       完整版英文报告详见：CISA； 中文版翻译报告链接：seebug 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 霍尼韦尔近期修补了其工业过程控制与自动化解决方案Experion过程知识系统（PKS）中的多个漏洞。美国网络安全和基础设施安全局（CISA）上周发布公告披露了这些漏洞的存在。 根据公告，Honeywell Experion PKS产品——版本早于R520.2 TCU9 Hot Fix 1及R530 TCU3 Hot Fix 1的版本——存在六个漏洞，其中包括被归类为“严重”和“高危”级别的漏洞。多数严重和高危漏洞影响控制数据访问（CDA）组件，可导致远程代码执行。两个高危漏洞可能被用于拒绝服务（DoS）攻击，而一个中危漏洞可能被用于操纵通信信道并引发系统异常行为。 CISA指出，受影响产品在全球范围内使用，涉及关键制造、化工、能源、水务及医疗等关键基础设施领域。霍尼韦尔在声明中回应：“我们高度重视安全问题并迅速采取行动评估和修复问题。发现漏洞后，已为Experion PKS产品（含C300 PCNT02、C300 PCNT05、FIM4、FIM8、UOC、CN100、HCA、C300PM、C200E等型号）及OneWireless WDM发布更新。用户必须按安全通告升级至指定版本以增强防护。” 俄罗斯网络安全公司Positive Technologies因报告漏洞获得致谢。该公司工业控制系统负责人Dmitry Sklyar表示：“漏洞在Experion PKS设备（含现场级网络转换器和I/O模块）中发现。受影响设备通常部署于工业设施的隔离网段，难以通过互联网远程利用。”他解释称：“漏洞存在于缺乏身份认证功能的网络协议处理程序中，攻击者只需接入隔离网段即可利用。成功利用可在受控设备上执行任意代码，可能操纵工业流程及设备——包括停止/重启设备、修改网络设置、篡改过程参数等。”他建议企业“部署漏洞管理系统进行防护”。 本月初，霍尼韦尔旗下公司Tridium开发的Niagara框架也被披露存在十余个漏洞。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文