HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周五将五个影响苹果、Craft CMS 和 Laravel Livewire 的安全漏洞添加到其已知被利用漏洞（KEV）目录中，并敦促联邦机构在 2026 年 4 月 3 日前修复这些漏洞。 以下是已遭利用的漏洞： CVE – 2025 – 31277（CVSS 评分：8.8）：苹果 WebKit 中的一个漏洞，在处理恶意制作的网页内容时可能导致内存损坏。（2025 年 7 月已修复） CVE – 2025 – 43510（CVSS 评分：7.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致进程间共享内存发生意外变化。（2025 年 12 月已修复） CVE – 2025 – 43520（CVSS 评分：8.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致系统意外终止或写入内核内存。（2025 年 12 月已修复） CVE – 2025 – 32432（CVSS 评分：10.0）：Craft CMS 中的代码注入漏洞，远程攻击者可借此执行任意代码。（2025 年 4 月已修复） CVE – 2025 – 54068（CVSS 评分：9.8）：Laravel Livewire 中的代码注入漏洞，在特定场景下，未经身份验证的攻击者可借此实现远程命令执行。（2025 年 7 月已修复） 谷歌威胁情报小组（GTIG）、iVerify 和 Lookout 报告称，存在一款代号为 DarkSword 的 iOS 漏洞利用工具包，利用上述三个苹果漏洞以及另外三个缺陷，来部署 GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER 等恶意软件家族进行数据窃取，在此之后，这三个苹果漏洞被列入 KEV 目录。 据 Orange Cyberdefense SensePost 称，自 2025 年 2 月起，未知威胁行为者就将 CVE – 2025 – 32432 作为零日漏洞进行利用。从那时起，被追踪为 Mimo（又名 Hezb）的入侵组织也被观察到利用该漏洞来部署加密货币挖矿程序和住宅代理软件。 列表中的最后一个漏洞 CVE – 2025 – 54068，其被利用情况最近被 Ctrl – Alt – Intel 威胁研究团队标记，这是伊朗国家支持的黑客组织 MuddyWater（又名 Boggy Serpens）发动攻击的一部分。 本周早些时候发布的一份报告中，帕洛阿尔托网络 Unit 42 指出，该对手持续针对中东地区的外交和关键基础设施，包括能源、海事和金融领域，以及全球其他战略目标。 Unit 42 表示：“虽然社会工程仍然是其主要特征，但该组织也在不断提升其技术能力。其多样的工具集包括结合了反分析技术以实现长期潜伏的人工智能增强型恶意软件植入程序。这种社会工程与快速开发工具的结合，形成了强大的威胁态势。” Unit 42 还称：“为支持其大规模的社会工程活动，Boggy Serpens 使用了一个定制的基于网络的编排平台。该工具使操作人员能够在对发件人身份和目标列表保持精细控制的同时，实现大规模电子邮件的自动发送。” 该组织隶属于伊朗情报和安全部（MOIS），主要专注于网络间谍活动，不过它还通过采用 DarkBit 勒索软件身份，与针对以色列理工学院的破坏性行动有关联。 MuddyWater 攻击手法的一个显著特点是，在鱼叉式网络钓鱼攻击中使用劫持的政府和企业官方账户，并滥用信任关系来规避基于信誉的拦截系统并传播恶意软件。 在 2025 年 8 月 16 日至 2026 年 2 月 11 日期间，针对阿联酋一家未具名的国家海洋和能源公司的持续攻击活动中，该威胁行为者据称发动了四轮不同的攻击，导致部署了包括 GhostBackDoor 和 Nuso（又名 HTTP_VIP）在内的各种恶意软件家族。该威胁行为者武器库中的其他一些知名工具包括 UDPGangster 和 LampoRAT（又名 CHAR）。 Unit 42 表示：“Boggy Serpens 最近的活动体现了其威胁态势的成熟，该组织将其既定方法与更完善的持续运营机制相结合。通过使其开发渠道多样化，纳入 Rust 等现代编程语言和人工智能辅助工作流程，该组织创建了并行路径，确保维持高运营节奏所需的冗余性。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ubuntu 的 CVE-2026-3888 漏洞使得攻击者能够通过 systemd 定时机制漏洞获取 root 权限，该漏洞对 Ubuntu 桌面版 24.04 及更高版本造成严重影响。 Qualys 的研究人员在 Ubuntu 桌面版 24.04 及更高版本中发现了一个高危漏洞，编号为 CVE-2026-3888（通用漏洞评分系统（CVSS）得分为 7.8）。攻击者可以利用 systemd 清理过程中的一个定时问题，将权限提升至 root，从而有可能完全控制存在漏洞的系统。 该漏洞依赖于一个 10 至 30 天的清理窗口期，但最终可能导致整个系统被攻陷。它源于 snap-confine 对特权执行的管理方式，以及 systemd-tmpfiles 删除旧临时文件的机制。 安全公告中写道：“Qualys 威胁研究小组发现了一个本地提权（LPE）漏洞，该漏洞影响 Ubuntu 桌面版 24.04 及更高版本的默认安装。这个漏洞（CVE-2026-3888）允许无特权的本地攻击者通过两个标准系统组件 snap-confine 和 systemd-tmpfiles 的相互作用，将权限提升至完全的 root 访问权限。” “虽然利用该漏洞需要特定的基于时间的窗口（10 至 30 天），但最终结果是主机系统被完全攻陷。” CVE-2026-3888 影响 Ubuntu 的 snap 系统，涉及两个组件：snap-confine 和 systemd-tmpfiles。snap-confine 用于设置安全的应用程序环境，而 systemd-tmpfiles 则用于清理临时文件。漏洞发生的过程如下：攻击者等待一个关键文件夹被删除，然后用恶意文件重新创建该文件夹。当 snap-confine 随后初始化沙盒时，它会以 root 权限挂载这些文件，从而实现权限提升。该漏洞被评定为高危（CVSS 评分为 7.8），攻击需要本地访问权限并把握好时间，但可能导致整个系统被攻陷，影响系统的保密性、完整性和可用性。 Qualys 发布的报告中写道：“虽然 CVSS 评分反映出该漏洞严重性为高，但由于攻击链中固有的时间延迟机制，攻击复杂度也很高。在默认配置中，systemd-tmpfiles 计划删除 /tmp 中的陈旧数据。攻击者可以通过操纵这些清理周期的时间来利用这一点。具体而言，攻击向量包括： 在下一次沙盒初始化期间，snap-confine 会以 root 权限绑定挂载这些文件，从而允许在特权环境中执行任意代码。” 攻击者必须等待系统的清理守护进程（Ubuntu 24.04 中为 30 天；更高版本中为 10 天）删除 snap-confine 所需的关键目录。 一旦该目录被删除，攻击者就用恶意有效载荷重新创建该目录。 多个 snapd 版本易受 CVE-2026-3888 漏洞影响。运行 Ubuntu 桌面版 24.04 及更高版本的系统应立即更新到已打补丁的版本（2.73 及更高版本）。低于 2.75 的上游版本也受到影响。虽然较旧的 Ubuntu 版本默认情况下不受此漏洞影响，但建议安装补丁，以降低非标准配置下的风险。 此外，研究人员还在 uutils coreutils 软件包中发现了一个单独的漏洞，并在 Ubuntu 25.10 发布前与 Ubuntu 安全团队合作将其修复。 安全公告继续指出：“rm 实用程序中的一个竞态条件允许无特权的本地攻击者在 root 拥有的 cron 执行期间用符号链接替换目录项。成功利用此漏洞可能导致以 root 身份任意删除文件，或者通过针对 snap 沙盒目录进一步提升权限。该漏洞在 Ubuntu 25.10 公开发布前已被报告并缓解。Ubuntu 25.10 中的默认 rm 命令已恢复为 GNU coreutils，以立即降低此风险。此后，上游修复已应用于 uutils 代码库。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已责令美国政府机构对其服务器采取防护措施，以应对 Zimbra 协作套件（ZCS）中一个正在遭主动利用的漏洞。Zimbra 是一款广受欢迎的电子邮件与协作软件套件，全球数亿人在使用，其中包括数千家企业和数百家政府机构。 该漏洞编号为 CVE – 2025 – 66376，已于 11 月初修复。这个严重级别的安全漏洞源于经典用户界面（Classic UI）中的一个存储型跨站脚本（XSS）弱点，远程未认证攻击者可通过滥用电子邮件 HTML 中的层叠样式表（CSS）@import 指令加以利用。 虽然 Synacor（Zimbra 背后的公司）并未透露 CVE – 2025 – 66376 攻击成功后的具体影响，但该漏洞很可能被用于通过恶意的基于 HTML 的电子邮件执行任意 JavaScript 代码，这有可能让攻击者劫持用户会话，并在被攻陷的 Zimbra 环境中窃取敏感数据。 周三，CISA 将该漏洞列入其在实际环境中遭利用的漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦政府行政部门（FCEB）机构在 4 月 1 日前的两周内对其服务器进行安全防护。 尽管 BOD 22 – 01 仅适用于联邦机构，但美国这家网络安全机构还是鼓励包括私营部门在内的所有组织尽快修复这个正被主动利用的漏洞。 CISA 警告称：“按照供应商说明采取缓解措施，针对云服务遵循 BOD 22 – 01 的相关指导，若无法实施缓解措施，则停止使用该产品。这类漏洞是恶意网络行为者常用的攻击途径，会给联邦机构带来重大风险。” 遭受攻击的 Zimbra 服务器 Zimbra 的安全漏洞经常成为攻击目标，近年来，这些漏洞已被利用，致使全球数千台易受攻击的电子邮件服务器遭到入侵。 例如，早在 2022 年 6 月，Zimbra 的身份验证绕过和远程代码执行漏洞就被利用，导致 1000 多台服务器被入侵。 从 2022 年 9 月开始，黑客利用 Zimbra 协作套件中的一个零日漏洞，在获取被攻陷服务器的远程代码执行权限后，两个月内入侵了近 900 台服务器。 俄罗斯政府支持的黑客组织 “冬季蝰蛇”（Winter Vivern）也曾利用反射型跨站脚本漏洞，入侵北约相关国家政府的 Zimbra 网络邮件门户，以及政府官员、军事人员和外交官的邮箱。 最近，威胁行为者在零日攻击中利用 Zimbra 的另一个跨站脚本漏洞（CVE – 2025 – 27915）执行任意 JavaScript 代码，从而能够设置电子邮件过滤器，将邮件重定向到攻击者控制的服务器。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。 朗多克斯僵尸网络最早于去年下半年被详细披露，至少从 2025 年 3 月起就已活跃，当时安全研究人员观察到与之相关的首次攻击尝试。 自 2025 年 4 月起，该僵尸网络的运营者开始进行系统性的漏洞扫描，大多采用 “霰弹枪” 式的方法来入侵设备。 到 10 月时，它已针对 56 个漏洞发起攻击，其中包括一些未分配 CVE 编号的漏洞，12 月，有人发现它在攻击 React2Shell。 如今，BitSight 表示，由于其开发者密切关注漏洞披露信息，在漏洞被分配 CVE 编号之前就展开攻击，该僵尸网络的攻击漏洞列表已扩充至 174 个不同的漏洞。 此外，朗多克斯僵尸网络已将其攻击策略转变为更具针对性的方式。不再像之前观察到的 “霰弹枪” 方法那样，对同一设备发动多种攻击，而是聚焦于那些更有可能导致感染的特定漏洞。 抵御人工智能威胁 朗多克斯僵尸网络与 Mirai 有诸多相似之处，它也以瞄准弱密码和未经清理的输入来获取初始访问权限而闻名。它与 Mirai 的不同之处在于，其重点在于发动分布式拒绝服务（DDoS）攻击，而非扫描和感染更多设备。 为扩大僵尸网络规模，朗多克斯的运营者利用自身基础设施在互联网上扫描易受攻击的设备，然后部署可躲避检测的植入程序，清除其他恶意软件，找到合适的目录来放置主二进制文件并执行。 BitSight 对该僵尸网络的调查显示，它使用了二十多个 IP 地址用于设备攻击、有效载荷分发和僵尸网络管理，其中包括可能属于受感染系统的住宅 IP。 朗多克斯的运营者不断在其攻击漏洞列表中添加和删除漏洞，曾观察到他们在一天内使用多达 49 个漏洞。然而，大多数漏洞很快就被弃用。 BitSight 指出：“在研究每个漏洞的使用频率时，出现了明显的长尾趋势。虽然平均每个漏洞使用 18 天，但在已识别的 174 个漏洞中，近一半（84 个，占 48%）仅被使用一天。这表明他们尝试各种漏洞，并根据每个漏洞的成功率采取行动。” 据这家网络安全公司称，该僵尸网络的运营者似乎密切关注与漏洞相关的发布信息，至少有一次，他们在漏洞公开披露前两天就利用了该安全缺陷。 BitSight 称，尽管他们紧跟新漏洞信息，但运营者未能正确实施针对这些漏洞的可用攻击手段。 这家网络安全公司还指出，该僵尸网络似乎并未使用 “加载器即服务” 来进行分发，且之前有关朗多克斯具备 P2P 功能的报道似乎并不准确。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 警告美国政府机构，要保护其 Wing FTP 服务器，防范一个已在攻击中被积极利用的漏洞，该漏洞可能被用于远程代码执行攻击链条。 Wing FTP 服务器是一款跨平台的 FTP 服务器软件，通过其内置的 SFTP 和网络服务器，还能实现安全文件传输。开发者称，他们的文件传输软件在全球拥有超过 10000 家客户，其中包括美国空军、索尼、空客、路透社和丝芙兰。 这个被追踪为 CVE – 2025 – 47813 的安全漏洞，使得低权限的威胁行为者能够在未打补丁的服务器上获取该应用程序完整的本地安装路径。 CISA 解释称：“Wing FTP 服务器在 UID cookie 中使用长值时，存在生成包含敏感信息的错误消息漏洞。” 开发者于 2025 年 5 月在 Wing FTP 服务器 v7.4.4 版本中修复了此漏洞，同时修复的还有一个严重的远程代码执行（RCE）漏洞（CVE – 2025 – 47812）以及一个可用于窃取用户密码的信息泄露漏洞（CVE – 2025 – 27889）。 此前，在有关该 RCE 漏洞的技术细节公开一天后，攻击者就开始利用它，该漏洞也因此被标记为已在实际攻击中被利用。 发现并报告这些漏洞的安全研究员朱利安・阿伦斯（Julien Ahrens），于 6 月还分享了 CVE – 2025 – 47813 的概念验证利用代码，并表示攻击者可能将其与 CVE – 2025 – 47812 作为同一攻击链条的一部分来利用。 周二，CISA 将 CVE – 2025 – 47813 列入其被积极利用漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦民用行政部门（FCEB）机构在两周内保护好他们的系统。 虽然 BOD 22 – 01 仅针对联邦机构，但美国网络安全机构鼓励所有安全防护人员，包括私营部门的人员，尽快为其服务器打补丁，以应对正在发生的攻击。 CISA 在周一警告称：“这类漏洞是恶意网络行为者常用的攻击途径，对联邦机构构成重大风险。” “请按照供应商说明采取缓解措施，遵循 BOD 22 – 01 中关于云服务的适用指导；若无法采取缓解措施，则停止使用该产品。” 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究员Gjoko Krstic披露霍尼韦尔IQ4楼宇管理控制器存在高危漏洞，但厂商对严重性提出异议。 Krstic指出，该产品出厂默认配置未认证即暴露基于网页的人机界面。若配置不当且设置时未启用用户模块，远程攻击者可在合法用户前创建管理员账户，“有效锁定合法操作员的本地及网页端配置管理权限”。该漏洞可能影响学校、商业建筑等设施。 研究员于2025年12月向霍尼韦尔报告，但厂商拒绝发布补丁，称IQ4设计用于本地部署，不应暴露于互联网。“设备交付时未配置，由 trained 技术人员安装后才运行，”霍尼韦尔声明称，”所述场景仅可能在系统激活前的短暂安装阶段，或故意禁用安全设置时出现。此时设备无法监控或控制任何设备，不影响运营。” Krstic反驳称发现近7500个互联网暴露实例，约20%无需认证即可访问，并否认厂商”未完全设置则无法控制设备”的说法：”我遇到过未创建用户账户的安装环境，能够写入照明、温度等组件变更，关闭锅炉或制冷机。” SecurityWeek确认大量IQ4界面实例暴露于互联网，但未核实其他说法。Krstic表示该漏洞CVE编号待分配，并已联系卡内基梅隆大学CERT协调中心介入调解。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks研究人员发现谷歌Chrome浏览器漏洞（CVE-2026-0628），恶意扩展程序可利用该漏洞控制Gemini Live AI助手，实施用户监控并窃取敏感文件。 报告指出：”我们在Chrome新版Gemini功能实现中发现高危安全漏洞，攻击者可借此侵入浏览器环境并访问本地操作系统文件。具体而言，该漏洞允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live。” Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。作为”AI浏览器”核心组件，其深度集成带来便利的同时也产生风险。 该漏洞于Chrome 143版本修复。拥有declarativeNetRequests权限的恶意扩展可向Gemini面板注入JavaScript代码，而非仅限于标准Gemini标签页。由于面板是可信浏览器组件，劫持后可获得超越普通扩展的提权能力，包括访问本地文件、截图、摄像头和麦克风，无需用户额外授权即可实施钓鱼或监控。 研究人员向谷歌演示了普通扩展劫持Gemini面板后可执行的操作：实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图。 基于扩展的攻击常被低估，但AI浏览器功能提升了风险等级。该漏洞于2025年10月23日负责任披露给谷歌，2026年1月初修复。报告结论称：”尽管AI浏览器功能可改善用户体验，持续监控潜在安全漏洞至关重要。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Node.js已发布更新，修复了一个被其描述为影响”几乎所有生产环境Node.js应用”的严重安全问题。若被成功利用，该漏洞可能引发拒绝服务条件。 Node.js的Matteo Collina和Joyee Cheung在周二的一份公告中表示：”Node.js/V8会尽力从栈空间耗尽中恢复，并抛出一个可捕获的错误，许多框架已依赖此机制来保证服务可用性。但一个仅在启用async_hooks时才会复现的bug会破坏这种恢复尝试，导致当用户代码中的递归耗尽栈空间时，Node.js会直接退出并返回代码7，而不会抛出可捕获的错误。这使得那些递归深度由未净化的输入控制的应用程序容易遭受拒绝服务攻击。” 该漏洞的核心在于，当启用async_hooks且用户代码发生栈溢出时，Node.js会直接以退出码7（表示内部异常处理程序运行时失败）退出，而不是正常地处理异常。Async_hooks是一个底层的Node.js API，允许开发者跟踪数据库查询、定时器或HTTP请求等异步资源的生命周期。 Node.js表示，由于许多框架和应用程序性能监控工具使用了AsyncLocalStorage（一个构建在async_hooks模块之上的组件，使得在整个异步操作生命周期内存储数据成为可能），该问题影响了多个框架和APM工具，包括React Server Components、Next.js、Datadog、New Relic、Dynatrace、Elastic APM和OpenTelemetry。 该漏洞已在以下版本中得到修复： Node.js 20.20.0 (LTS) Node.js 22.22.0 (LTS) Node.js 24.13.0 (LTS) Node.js 25.3.0 (Current) 此问题还影响从8.x（首个包含async_hooks的版本）到18.x的所有Node.js版本。值得注意的是，代号为Carbon的Node.js 8.0.0版本发布于2017年5月30日。然而，这些版本由于已达到生命终止状态，将不会收到补丁。 已实施的修复会检测栈溢出错误并将其重新抛给用户代码，而不是将其视为致命错误。该漏洞被追踪为CVE-2025-59466（CVSS评分：7.5）。尽管实际影响重大，但Node.js表示，由于以下几个原因，他们仅将此修复视为一种缓解措施： 栈空间耗尽不属于ECMAScript规范的一部分。 V8 JavaScript引擎不将其视为安全问题。 作为异常处理最后一道防线的”uncaughtException”处理程序存在限制。 Node.js表示：”尽管这是对未指定行为的错误修复，但由于其对生态系统的广泛影响，我们选择将其包含在安全版本中。React Server Components、Next.js以及几乎所有的APM工具都受到影响。此修复改善了开发者体验，并使错误处理更具可预测性。” 鉴于该漏洞的严重性，建议相关框架/工具的用户及服务器托管提供商尽快更新。同时，建议库和框架的维护者应用更强大的防御措施来应对栈空间耗尽问题，确保服务可用性。 此次披露之际，Node.js还修复了另外三个高危漏洞（CVE-2025-55131、CVE-2025-55130和CVE-2025-59465），这些漏洞可能分别被利用来实现数据泄漏或损坏、通过精心构造的相对符号链接路径读取敏感文件，以及触发远程拒绝服务攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： React2Shell漏洞（CVE-2025-55182）持续面临无情的利用活动，自其首次披露以来，威胁行为者已发起超过810万次攻击会话。 根据GreyNoise Observation Grid的数据，自12月底达到超过43万次的峰值后，每日攻击量已稳定在30万至40万次会话，表明存在持续、协调的利用活动。 自该活动开始以来，已观察到超过810万次会话。 利用活动规模 该活动的基础设施足迹揭示了一场复杂的分布式操作。研究人员已识别出101个国家、1,071个自治系统（ASN）内的8,163个独立源IP地址。 这种地理分布凸显了该漏洞对不同威胁行为者生态系统的吸引力，从利用性僵尸网络到高级持续性威胁组织。AWS和其他主要云提供商主导了攻击基础设施。 仅亚马逊网络服务就占了观测到的利用流量的三分之一以上，前15个ASN约占所有源IP的60%。 这反映了攻击者倾向于利用合法的云基础设施来掩盖恶意活动。攻击者已创建超过7万个独特的攻击载荷，展示了持续的试验和改进。 网络指纹分析揭示了700个不同的JA4H哈希（HTTP客户端指纹）和340个独特的JA4T哈希（TCP堆栈指纹），表明了多样化的工具集和投递机制。 载荷多样性与攻击模式 利用活动遵循可预测的两阶段方法。初始侦察探测通过简单的PowerShell算术运算验证命令执行，然后再继续投递编码的攻击载荷。 第二阶段的利用采用AMSI绕过技术，使攻击者能够执行额外的恶意脚本，同时规避防病毒检测。 如果未打补丁，组织仍面临暴露风险。近50%的观测源IP是在2025年7月之后首次被观测到的，这表明了最近的基础设施分配和快速的IP轮换。 静态IP黑名单不足以应对此次活动的规模和速度。防御者应通过格雷噪声持续更新的威胁情报源实施动态拦截。 终端监控应侧重于检测PowerShell执行模式、编码命令以及通过反射进行的AMSI修改。 管理暴露的React服务器组件的组织应将其视为一个活跃的、持续的威胁，需要立即打补丁并实施网络级防护。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全公司 VulnCheck 与 Shadowserver 基金会发现，攻击者正在利用一个编号为 CVE-2026-0625 的命令注入漏洞，对早已停保的 D-Link DSL 路由器发起攻击。该漏洞位于 dnscfg.cgi 接口，因 CGI 库输入过滤不当，允许未认证攻击者通过 DNS 配置参数注入并执行任意 Shell 命令，实现远程代码执行。 时间线 12 月 15 日：Shadowserver 蜜罐捕获到首次利用尝试；VulnCheck 随后向 D-Link 报告。 利用手法尚未公开披露，VulnCheck 表示“目前未见公开 PoC”。 已确认受影响型号（均 2020 年起 EoL，不再提供补丁） DSL-526B ≤ 2.01 DSL-2640B ≤ 1.07 DSL-2740R < 1.17 DSL-2780B ≤ 1.01.14 D-Link 仍在排查其他固件版本，但由于历代固件实现差异大，暂无远程型号识别方案，只能通过固件提取确认。 利用场景 大多数家庭路由默认仅在内网开放 CGI 管理接口，因此实际利用需： 受害者浏览器访问恶意网页（CSRF/JS 攻击）； 设备被手动开启远程管理并暴露于公网。 缓解措施 立即停用并更换仍在运行的上述 EoL 设备； 若暂时无法替换，应关闭远程管理、降低为仅本地访问，并置于隔离或访客网段； 保持固件为官方最后可用版本，启用最强安全策略。 D-Link 提醒：停保产品不再获得任何固件更新、漏洞补丁或技术支持。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文