HackerNews 编译，转载请注明出处： 研究人员发现 WatchGuard Fireware OS 存在一个严重漏洞（CVSS4.0 评分 9.3），攻击者可利用该漏洞远程执行任意代码。 该漏洞编号为 CVE-2025-9242，属于越界写入漏洞，影响两类场景：一是使用 IKEv2 协议的移动用户 VPN；二是配置了动态网关对等体、且使用 IKEv2 协议的分支机构 VPN（BOVPN）。 WatchGuard 在安全公告中指出，即便 Firebox 安全平台此前配置过上述 VPN 及 IKEv2 网关对等体，仍可能存在漏洞风险。 该漏洞影响以下 Fireware OS 版本，包含提及的最高版本： 11.10.2 至 11.12.4_Update1 12.0 至 12.11.3 2025.1 WatchGuard Firebox 是一款下一代防火墙（NGFW），承担安全网关职能，可控制外部网络与可信网络间的流量，还集成了入侵防御、反垃圾邮件、内容过滤等高级功能。 该设备部署方式灵活，可作为物理设备、云端服务或虚拟机使用。 Shadowserver 基金会表示，依据 10 月 17 日的 IP 数据扫描结果，目前可能有超过 7.1 万台设备存在该漏洞。 该漏洞详情已在美国国家漏洞数据库（NVD）上线，WatchGuard 也已发布相关安全公告。 若 Firebox 仅配置了 “指向静态网关对等体的分支机构 VPN 隧道”，且设备所有者无法立即将系统升级至修复漏洞的 Fireware OS 版本，WatchGuard 已提供临时规避方案。 WatchGuard 在公告中还指出，鉴于针对各类厂商暴露 VPN 的攻击愈发频繁，建议将 BOVPN 安全访问策略配置为更窄的范围，以处理传入的 VPN 流量。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 2025 年 Pwn2Own 爱尔兰站比赛的首日，安全研究人员成功利用了 34 个独特的零日漏洞，并获得了 52.25 万美元的现金奖励。 当天的亮点是来自 DDOS 团队的 Bongeun Koo 和 Evangelos Daravigkas，他们通过串联 8 个零日漏洞，从 WAN 接口入侵了威联通（QNAP）Qhora-322 以太网无线路由器，并进一步获取了威联通 TS-453E 网络附加存储（NAS）设备的访问权限。凭借这一成功尝试，他们赢得了 10 万美元奖金，目前以 8 分位列 “破解大师（Master of Pwn）” 排行榜第二名。 Synacktiv 团队、Summoning 团队的 Sina Kheirkhah、DEVCORE 团队以及 Rapid7 的 Stephen Fewer 也各获 4 万美元奖金，他们分别成功获取了群晖（Synology）BeeStation Plus、群晖 DiskStation DS925+、威联通 TS-453E 和 Home Assistant Green 的 root 权限。 STARLabs、PetoWorks 团队、ANHTUD 团队和 Ierae 的研究人员先后四次攻克佳能（Canon）imageCLASS MF654Cdw 多功能激光打印机；STARLabs 还入侵了 Sonos Era 300 智能音箱，赢得 5 万美元；ANHTUD 团队则利用飞利浦（Phillips）Hue Bridge 的漏洞，获得 4 万美元奖金。 Summoning 团队的 Sina Kheirkhah 和 McCaulay Hudson 通过组合两个零日漏洞构成攻击链，获取了群晖 ActiveProtect Appliance DP320 的 root 权限，再获 5 万美元奖金。 Summoning 团队在比赛首日共赢得 10.25 万美元，以 11.5 分位居 “破解大师” 排行榜榜首。 零日倡议组织（Zero Day Initiative，ZDI）举办此类赛事，旨在在威胁 actors 利用漏洞前识别目标设备中的安全缺陷，并与受影响厂商协调进行负责任的漏洞披露。在 Pwn2Own 活动中被利用的零日漏洞，厂商将有 90 天时间发布安全更新，之后趋势科技（Trend Micro）旗下的 ZDI 才会公开披露这些漏洞。 2025 年 Pwn2Own 爱尔兰站黑客大赛涵盖八个类别，目标设备包括旗舰智能手机（苹果 iPhone 16、三星 Galaxy S25、谷歌 Pixel 9）、即时通讯应用、智能家居设备、打印机、家庭网络设备、网络存储系统、监控设备以及可穿戴技术（包括 Meta 的雷朋智能眼镜和 Quest 3/3S 头显）。 今年，ZDI 还扩展了移动设备类别的攻击向量，新增手机 USB 端口 exploitation，要求参赛者通过物理连接入侵已锁屏的手机。不过，蓝牙、Wi-Fi 和近场通信（NFC）等传统无线协议仍是有效的攻击途径。 比赛次日，安全研究人员将继续针对网络附加存储、打印机、智能家居和监控系统类别的设备，以及移动设备类别中的三星 Galaxy S25 发起攻击。 正如 8 月宣布的那样，ZDI 将首次为演示 “零点击” WhatsApp 漏洞的安全研究人员提供 100 万美元奖励 —— 该漏洞需实现无需用户交互即可执行代码。 Meta 与威联通、群晖共同赞助了此次 Pwn2Own 爱尔兰站比赛，赛事于 10 月 21 日至 24 日在爱尔兰科克举行。 在去年的 Pwn2Own 爱尔兰站活动中，安全研究人员因发现 70 多个零日漏洞获得 107.875 万美元奖金，其中越南电信网络安全公司（Viettel Cyber Security）凭借在威联通、Sonos 和利盟（Lexmark）设备中发现的漏洞斩获 20.5 万美元。 2026 年 1 月，ZDI 将重返东京汽车世界技术展，举办第三届 Pwn2Own 汽车专项赛，特斯拉将再次作为赞助商参与。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 就其 Omada 网关设备中的两个命令注入漏洞发布警告，这些漏洞可能被攻击者利用以执行任意操作系统命令。 Omada 网关作为集成路由器、防火墙、VPN 网关功能的全栈解决方案推向市场，主要面向中小型企业，其普及率正持续上升。 尽管这两个安全问题被触发后会导致相同结果，但其中仅有一个漏洞（编号 CVE-2025-6542）的风险等级为 “高危”，CVSS 评分为 9.3，远程攻击者无需身份验证即可利用该漏洞。 另一个漏洞编号为 CVE-2025-6541，风险评分较低，为 8.6。但该漏洞仅在攻击者能够登录 Web 管理界面的情况下才可被利用。 TP-Link在安全公告中表示：“无论是已登录 Web 管理界面的用户，还是远程未认证攻击者，都可能在 Omada 网关上执行任意操作系统命令。” 该公司进一步补充：“攻击者可能在设备的底层操作系统上执行任意命令。” 这两个漏洞所带来的风险极为严重，可能导致设备被完全攻陷、数据被盗、攻击者横向渗透至其他设备，以及实现持久化控制。 TP-Link已发布修复这两个问题的固件更新，并强烈建议使用受影响设备的用户安装这些修复程序，且在升级后检查配置，确保所有设置均保持符合预期的状态。 在另一份公告中，TP-Link还就另外两个严重漏洞发出警告，这些漏洞在特定条件下可能允许攻击者通过身份验证后执行命令注入，或获取 root 权限。 第一个漏洞编号为 CVE-2025-8750（CVSS 评分：9.3），属于命令注入漏洞，持有管理员密码、能够登录 Omada Web 门户的攻击者可利用该漏洞。 第二个漏洞编号为 CVE-2025-7851（CVSS 评分：8.7），攻击者可利用该漏洞在底层操作系统上获取具有 root 权限的 Shell 访问，但权限范围受 Omada 自身权限限制。 CVE-2025-8750 与 CVE-2025-7851 影响上文表格中列出的所有 Omada 网关型号。值得注意的是，最新发布的固件已修复上述全部四个漏洞。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家近日破获一起大规模诈骗案件，诈骗分子仿冒新加坡高级官员身份实施犯罪。 该诈骗团伙利用经过验证的谷歌广告（Google Ads）、虚假新闻网站和深度伪造（deepfake）视频，诱骗受害者进入虚假投资平台。为营造可信度，诈骗活动还谎称与新加坡总理黄循财（Lawrence Wong）及国家安全统筹部长尚穆根（K Shanmugam）有关联。 根据 Group-IB 公司今日发布的报告，该诈骗活动专门针对新加坡居民，通过配置谷歌广告使其仅对本地 IP 地址可见。点击广告的受害者会被引导至一系列跳转网站，这些网站的作用是隐藏最终的诈骗目的地 —— 一个在毛里求斯注册的外汇投资平台。 调查人员确认，该诈骗活动背后共有 28 个经过验证的广告客户账户。这些账户大多由保加利亚个人注册，其余则来自罗马尼亚、拉脱维亚、阿根廷和哈萨克斯坦。 这些账户投放的恶意谷歌广告以 “高收益回报” 为诱饵，将用户引导至 52 个中间域名。这些域名再将用户重定向至仿冒主流媒体的虚假新闻页面，包括仿冒新加坡亚洲新闻台（CNA）和雅虎新闻（Yahoo! News）的网站。 Group-IB 还发现，共有 119 个恶意域名模仿主流新闻网站。例如，仿冒的 CNA 网站发布了一段深度伪造视频，视频中 “黄循财总理” 为名为 “即时时代”（Immediate Era）的项目站台；而仿冒的雅虎新闻文章则谎称 “尚穆根部长” 为该投资平台背书。 为躲避监管检测，诈骗分子采用了多种高级规避技术，包括 IP 过滤、开发者工具检测和 URL 参数拦截，确保诈骗内容仅对新加坡境内的真实用户可见。 一旦受害者提供联系方式，诈骗分子会通过电话或邮件联系对方，并施压要求其进行投资。而当受害者尝试提现时，诈骗分子常以 “行政流程” 为由拖延或拒绝处理。 尽管这个在毛里求斯注册的投资平台持有监管牌照，看似合法，但 Group-IB 指出，其位于塞浦路斯的母公司曾多次被暂停业务，并于 2022 年失去了英国的经营授权。 Group-IB 估算，上个月共有 3808 名新加坡人点击了该恶意广告，其中 685 人被引导至诈骗网站。该团队认为，此案体现了网络诈骗的 “专业化” 趋势 —— 犯罪分子整合经过验证的广告网络、监管漏洞和 AI 驱动的媒体操纵技术，以实现对用户的欺骗。 专家提醒，语法错误、URL 可疑等传统诈骗 “警示信号” 已不再可靠，并建议用户采取以下措施： 独立核实投资宣传内容的真实性 避免在陌生网站上提供个人信息 对网络广告中出现的名人或官员背书保持警惕 Group-IB 表示：“如今，无论是调查人员还是普通用户，都必须从整体角度评估诈骗行为。” “需综合考虑技术指标、行为特征和场景背景，才能有效识别诈骗。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报团队已吊销 200 多个由威胁 actor 伪造签名的证书，这些证书被用于伪造的微软 Teams 安装文件，以分发后门程序和恶意软件。 微软将这场攻击活动命名为 “Vanilla Tempest”，其他机构则将其追踪为 “Vice Spider” 和 “Vice Society”。该活动于 9 月下旬被发现。 该威胁 actor 以经济利益为动机，主要通过部署勒索软件和窃取数据进行勒索。 伪造的 Teams 安装文件被用于分发 “Oyster” 后门程序，并最终部署 “Rhysida” 勒索软件。 除 Rhysida 外，该威胁 actor 还使用过其他勒索软件变种，包括 BlackCat、Quantum Locker 和 Zeppelin。 在这场活动中，攻击者利用 SEO 投毒和恶意广告技术，诱骗用户下载伪造的 MSTeamsSetup.exe 文件，这些文件会释放 Oyster 后门。 搜索 “Teams 下载” 的用户会被引诱至仿冒网站，这些网站托管着伪造的微软 Teams 安装程序。模仿微软 Teams 的恶意域名包括 teams-download [.] buzz、teams-install [.] run 和 teams-download [.] top 等。 微软表示，Vanilla Tempest 早在 2025 年 6 月就将 Oyster 后门纳入攻击流程，但在 2025 年 9 月初才开始对这些后门程序进行伪造签名。 观察发现，Vanilla Tempest 通过 “Trusted Signing” 服务以及 SSL [.] com、DigiCert 和 GlobalSign 等代码签名服务，为伪造的安装程序和攻击后工具伪造签名。 这家科技巨头称，完全启用的微软 Defender 防病毒软件可拦截此威胁。除检测功能外，微软 Defender for Endpoint 还提供了缓解和调查此类攻击的额外指导。 Vanilla Tempest 至少从 2021 年起就异常活跃。2023 年，在一系列影响美国医疗行业的事件发生后，安全研究人员发现该组织与 Rhysida 勒索软件存在关联。 2022 年，Vanilla Tempest 发起的一系列勒索软件攻击活动曾针对英国和美国的教育行业。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场协同攻击活动：131 款经重新包装的谷歌 Chrome 浏览器 WhatsApp 网页版自动化扩展程序克隆体，正针对巴西用户进行大规模垃圾邮件发送。 据供应链安全公司 Socket 透露，这 131 款垃圾软件扩展共享相同的代码库、设计模式和基础设施，这些浏览器插件的活跃用户总计约 20,905 人。 安全研究员基里尔・博伊琴科（Kirill Boychenko）表示：“它们并非传统意义上的恶意软件，但属于高风险垃圾信息自动化工具，违反了平台规则。其代码直接注入 WhatsApp 网页版页面，与 WhatsApp 自身脚本一同运行，通过特定方式实现批量 outreach 和定时发送，目的是绕过 WhatsApp 的反垃圾邮件机制。” 该活动的最终目标是通过 WhatsApp 大量发送出站消息，且能绕过该消息平台的发送频率限制和反垃圾邮件管控。 据悉，该活动已持续至少 9 个月，截至 2025 年 10 月 17 日，仍能观察到新的扩展上传及版本更新。部分已识别的扩展包括： YouSeller（10,000 名用户） performancemais（239 名用户） Botflow（38 名用户） ZapVende（32 名用户） 这些扩展虽名称和图标各异，但幕后绝大多数由 “WL Extensão” 及其变体 “WLExtensao” 发布。据信，这种品牌差异源于一种特许经营模式 —— 该运营活动的分销商可将 DBX Tecnologia 公司提供的原始扩展克隆后，以不同品牌名称大量上传至 Chrome 应用商店。 这些插件还伪装成 WhatsApp 的客户关系管理（CRM）工具，宣称能帮助用户通过该应用的网页版提升销售额。 ZapVende 在 Chrome 应用商店的描述中写道：“将你的 WhatsApp 转变为强大的销售和联系人管理工具。借助 Zap Vende，你将获得直观的 CRM 系统、消息自动化、批量发送、可视化销售漏斗等多种功能。轻松高效地管理客户服务、跟踪潜在客户并定时发送消息。” Socket 指出，DBX Tecnologia 公司推出了经销商白标计划，允许潜在合作伙伴对其 WhatsApp 网页版扩展进行重新品牌包装并销售。该公司宣称，投资 12,000 雷亚尔（巴西货币），可获得每月 30,000 至 84,000 雷亚尔的 recurring revenue。 值得注意的是，这种行为违反了谷歌 Chrome 应用商店的《垃圾信息与滥用政策》，该政策禁止开发者及其关联方提交功能重复的多个扩展程序。此外，还发现 DBX Tecnologia 在 YouTube 上发布视频，传授使用其扩展时如何绕过 WhatsApp 的反垃圾邮件算法。 博伊琴科指出：“这一系列扩展本质上是几乎相同的复制品，分散在不同的发布者账户下，主打批量非邀约 outreach，且能在无需用户确认的情况下，在web.whatsapp.com内自动发送消息。其目的是让大规模垃圾邮件活动持续进行，同时规避反垃圾邮件系统的检测。” 此次披露正值趋势科技（Trend Micro）、Sophos 和卡巴斯基（Kaspersky）曝光另一场大规模攻击活动 —— 该活动针对巴西用户，利用名为 SORVEPOTEL 的 WhatsApp 蠕虫病毒分发一款代号为 Maverick 的银行木马。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心漏洞概况 近 7.6 万台 WatchGuard Firebox 网络安全设备暴露在公共网络中，且仍受一个严重漏洞（CVE-2025-9242）影响。该漏洞允许远程攻击者在无需身份验证的情况下执行代码。 Firebox 设备是网络防御核心枢纽，负责控制内部与外部网络间的流量。其通过策略管理、安全服务、虚拟专用网络（VPN）以及 WatchGuard Cloud 提供的实时可见性实现防护功能。 全球受影响设备分布 据 “影子服务器基金会”（The Shadowserver Foundation）的扫描数据，目前全球共有 75,835 台易受攻击的 Firebox 设备，主要集中在欧洲和北美地区。具体分布如下： 美国：24,500 台（数量最多） 德国：7,300 台 意大利：6,800 台 英国：5,400 台 加拿大：4,100 台 法国：2,000 台 漏洞技术细节与影响范围 漏洞披露与评级：WatchGuard 于 9 月 17 日在安全公告中披露 CVE-2025-9242，将其评为严重级别，风险评分达 9.3 分（满分 10 分）。 漏洞本质：该漏洞是 Fireware 操作系统 “iked” 进程中的 “越界写入” 问题，而 “iked” 进程负责处理 IKEv2 协议的 VPN 协商。 攻击方式：攻击者无需身份验证，只需向易受攻击的 Firebox 设备发送特制的 IKEv2 数据包，即可迫使设备向非预期的内存区域写入数据，进而触发漏洞。 受影响版本：仅影响满足以下两个条件的 Firebox 设备： 使用 IKEv2 VPN 且配置动态网关对等体 系统版本为 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3，或 2025.1 官方修复建议 优先升级版本：厂商建议将设备升级至以下任一安全版本： 2025.1.1 12.11.4 12.5.13 12.3.1_Update3（版本号 B722811） 老旧版本处理：11.x 系列版本已终止支持，不再提供安全更新，使用该系列版本的用户需升级至仍受支持的版本。 临时缓解方案：仅配置 “分支机构 VPN” 且使用静态网关对等体的设备，可参考厂商文档，通过 IPSec 和 IKEv2 协议加固连接，作为临时防护措施。 当前风险状态 10 月 19 日，影子服务器基金会检测到 75,955 台易受攻击的 Firebox 防火墙。其发言人向 BleepingComputer 表示，此次扫描结果可信度高，数据反映的是真实部署设备，暂未包含蜜罐（用于诱捕攻击者的模拟设备）。 目前尚无 CVE-2025-9242 被主动利用的报告，但厂商强烈建议尚未安装安全更新的管理员尽快为设备打补丁。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为体利用思科老旧、未受保护网络设备中一个近期刚修复的远程代码执行漏洞（CVE-2025-20352），部署 Linux rootkit 并获取持久访问权限。 此次攻击所利用的安全问题，影响思科 IOS 和 IOS XE 系统中的简单网络管理协议（SNMP）。若攻击者拥有 root 权限，便可通过该漏洞实现远程代码执行（RCE）。 据网络安全公司趋势科技（Trend Micro）称，攻击目标主要是思科 9400、9300 系列交换机，以及老旧的 3750G 系列设备，这些设备均未部署端点检测与响应解决方案。 在 10 月 6 日更新的 CVE-2025-20352 原始公告中，思科将该漏洞标记为 “已被零日利用”。思科产品安全事件响应团队（PSIRT）表示，已知该漏洞 “已被成功利用”。 趋势科技研究人员将此次攻击行动命名为 “零日迪斯科行动”（Operation Zero Disco），原因是恶意软件会设置一个通用访问密码，其中包含 “disco” 一词。 趋势科技的报告指出，威胁行为体还曾尝试利用 CVE-2017-3881 漏洞。这是一个存在七年之久的漏洞，位于 IOS 和 IOS XE 系统的集群管理协议（Cluster Management Protocol）代码中。 在易受攻击的系统上植入的 rootkit，具备一个 UDP 控制器，该控制器可实现多种功能：监听任意端口、切换或删除日志、绕过 AAA 认证与 VTY 访问控制列表（ACLs）、启用 / 禁用通用密码、隐藏运行配置项，以及重置这些配置项的最后修改时间戳。 研究人员在模拟攻击中证实，攻击者可通过该 rootkit 实现多项操作：禁用日志记录、通过 ARP 欺骗伪装中转站 IP、绕过内部防火墙规则，以及在不同虚拟局域网（VLAN）间横向移动。 尽管新型交换机借助地址空间布局随机化（ASLR）保护，对这类攻击的抵抗力更强，但趋势科技表示，它们并非完全免疫 —— 持续的针对性攻击仍可能导致其被入侵。 研究人员称，rootkit 部署完成后，恶意软件会 “在 IOSd 进程上安装多个钩子（hooks），导致无文件组件在设备重启后消失”。 目前，研究人员已成功恢复该 SNMP 漏洞利用工具的 32 位和 64 位两种变体。 趋势科技指出，当前尚无可靠工具能检测思科交换机是否因这类攻击被入侵。若怀疑设备遭黑客攻击，建议对底层固件和只读存储器（ROM）区域进行深度排查。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet和Ivanti宣布了2025年10月的周二补丁更新，修复了其产品中的许多漏洞。 Fortinet发布了29个新的安全公告，涵盖30多个漏洞。其中几个漏洞被标记为“高危”，包括CVE-2025-54988，该漏洞影响FortiDLP，原因是其使用了Apache Tika。Tika存在一个严重漏洞，允许攻击者读取敏感数据，或向内部资源或第三方服务器发送恶意请求。 FortiDLP还受到CVE-2025-53951和CVE-2025-54658的影响，攻击者可以通过发送特殊构造的请求，将权限提升到LocalService或Root。 FortiOS修复了一个允许已认证攻击者执行系统命令的权限提升漏洞，该漏洞编号为CVE-2025-58325。 另一个高危问题是CVE-2024-33507，影响FortiIsolator，允许远程攻击者使用特殊构造的Cookie使已登录的管理员注销（未认证攻击者），或获得写入权限（已认证攻击者）。 FortiClientMac的LaunchDaemon组件中存在一个权限提升问题，被标记为CVE-2025-57741。 最后一个高危问题是CVE-2025-49201，影响FortiPAM和FortiSwitchManager，允许攻击者通过暴力攻击绕过认证。 FortiOS、FortiPAM、FortiProxy、FortiClientMac、FortiClientWindows、FortiADC、FortiDLP、FortiSwitchManager、FortiManager、FortiAnalyzer、FortiSRA、FortiRecorder、FortiTester、FortiVoice、FortiWeb、FortiSASE、FortiSOAR和FortiSIEM等产品还修复了中危和低危漏洞。 这些漏洞可能被利用来执行任意代码、DLL劫持、获取敏感数据、绕过安全功能、造成拒绝服务（DoS）条件、进行XSS攻击、重定向用户以及提升权限。 目前没有证据表明这些漏洞已在野外被利用。许多问题是由Fortinet内部发现的。 Ivanti宣布为Endpoint Manager Mobile（EPMM）和Neurons for MDM中的漏洞提供补丁。Ivanti还发布了Endpoint Manager的安全公告，为本月早些时候披露的漏洞提供缓解选项。 在EPMM中，Ivanti修复了三个高危漏洞，这些漏洞可被具有管理员权限的认证攻击者利用来执行任意代码。公司还修复了一个中危问题，允许认证攻击者在磁盘上写入数据。 在Neurons for MDM中，Ivanti修复了两个高危问题。其中一个漏洞允许具有管理员权限的认证攻击者“注销任意设备，使目标设备从统一端点管理器UI中消失”。第二个问题是多因素认证（MFA）绕过漏洞，可被远程认证攻击者利用。 Neurons for MDM还修复了一个中危漏洞，允许远程未认证攻击者通过API端点访问敏感用户信息。 Ivanti也表示，没有证据表明这些漏洞正在野外被利用。 然而，Ivanti和Fortinet的产品漏洞经常成为威胁行为者的攻击目标，因此他们的客户应尽快应用可用的补丁。         消息来源： securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司F5披露，2025年8月，一个高度复杂的国家级行为者入侵其系统，窃取了BIG-IP的源代码及与未公开漏洞相关的信息。 攻击者访问了该公司的BIG-IP开发和工程系统，但F5指出，遏制工作成功，未发现进一步的未授权活动。 该公司已向执法部门报告了这一事件，并在领先网络安全公司的帮助下调查安全漏洞。 “2025年8月，我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来，我们未发现任何新的未授权活动，我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。 “针对此次事件，我们正在采取主动措施保护客户，加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作，我们正积极与执法部门和政府合作伙伴合作。” F5在其客户关系管理、财务或云系统中未发现被入侵迹象，也未发现源代码或供应链被篡改。该公司表示，一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。 “我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境，也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。” 该公司还向美国证券交易委员会（SEC）提交了8-K表格报告。 “2025年8月9日，F5公司（‘公司’、‘F5’、‘我们’或‘我们的’）发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程，并已采取广泛措施遏制威胁行为者。为支持这些活动，公司聘请了领先的外部网络安全专家。”报告中写道。 F5通过广泛的遏制和加固措施应对漏洞，以保护其系统和客户。该公司轮换了凭据，收紧了访问控制，实现了补丁管理自动化，并加强了监控和网络安全。 网络安全公司还在其产品开发环境中增强了保护措施，并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外，F5与CrowdStrike合作，为BIG-IP部署Falcon EDR和威胁狩猎，并为客户提供免费的EDR订阅以增强防御。 用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新，以确保全面保护。 英国国家网络安全中心（NCSC）和美国网络安全与基础设施安全局（CISA）建议F5客户定位所有F5产品，确保暴露的管理接口安全，并评估是否被入侵。F5应美国政府要求延迟披露，以保护关键系统。     消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文