HackerNews 编译，转载请注明出处： 一个新披露的名为 “PolyShell” 的漏洞，影响所有 Magento 开源版以及 Adobe Commerce 2 稳定版的安装，攻击者利用该漏洞可实现未授权代码执行和账户接管。 目前尚无迹象表明该漏洞已在实际中被主动利用，但电商安全公司 Sansec 警告称，“漏洞利用方法已在流传”，预计很快就会出现自动化攻击。 Adobe 已发布修复程序，但仅在 2.4.9 版本的第二个测试版中可用，这使得正式发布版本仍存在漏洞风险。Sansec 表示，Adobe 提供了 “一种能在很大程度上减少影响的示例网络服务器配置”，然而大多数店铺依赖其托管服务提供商的设置。 在本周发布的一份报告中，Sansec 指出，该安全问题源于 Magento 的 REST API 在处理购物车商品的自定义选项时接受文件上传。 研究人员解释道：“当产品选项类型为‘文件’时，Magento 会处理一个嵌入的 file_info 对象，该对象包含经过 Base64 编码的文件数据、MIME 类型和文件名。文件会被写入服务器上的 pub/media/custom_options/quote/ 目录。” Sansec 称，“PolyShell” 得名于它使用的一种多用途文件，该文件既可以当作图像，又能当作脚本运行。 根据网络服务器的配置不同，该漏洞可通过存储型跨站脚本（XSS）实现远程代码执行（RCE）或账户接管，Sansec 分析的大多数店铺都受此影响。 “Sansec 调查了所有已知的 Magento 和 Adobe Commerce 店铺，发现许多店铺的上传目录文件处于可暴露状态。” 在 Adobe 向正式发布版本推送补丁之前，建议店铺管理员采取以下措施： 限制对 pub/media/custom_options/ 目录的访问 确认 Nginx 或 Apache 规则是否切实阻止了对该目录的访问 扫描店铺，查找是否有上传的恶意脚本、后门程序或其他恶意软件 BleepingComputer 已联系 Adobe，询问何时能提供针对 “PolyShell” 漏洞的安全更新，但截至发布时，尚未收到回复。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 负责维护英国公司公共登记册的政府机构 —— 公司注册处（Companies House）的一个网络应用程序中发现了一个严重漏洞。 据税务政策协会（Tax Policy Associates）称，该安全漏洞于 3 月 12 日由 Ghost Mail 的约翰・休伊特（John Hewitt）发现，但在推出补丁之前，它已存在了数月之久。 休伊特发现，任何已登录的用户都可以访问公司注册处平台上其他公司的账户。攻击者本可以获取 500 万家注册公司的非公开信息，包括董事的出生日期、家庭住址和电子邮件地址。 此外，攻击者还可以更改公司信息并提交未经授权的文件备案。 虽然该漏洞只能由已通过身份验证的攻击者利用，但实施攻击轻而易举，且无需技术技能。 攻击者只需选择 “为其他公司提交文件” 选项，输入目标公司的唯一编号，当系统提示输入验证码时，多次按下返回按钮。随后，攻击者将自动登录目标公司的账户。 在 RSAC 与我们会面 公司注册处在周一发布的一份声明中证实了这一安全漏洞，并表示它影响了其在线申报服务（WebFiling service）。该漏洞于 2025 年 10 月出现，在周五该服务关闭后，于周末得到修复。 该机构表示：“普通公众无法访问此漏洞。只有拥有授权码并登录该服务的用户才能执行此操作。” 公司注册处澄清，该漏洞并未暴露密码以及身份验证过程中收集的信息（如护照信息）。此外，攻击者无法对已提交的现有文件进行更改。 该机构解释称：“我们认为，此问题无法用于大量提取数据或系统地访问记录。任何访问都将仅限于单个公司记录，且每次只能由注册的在线申报用户查看一家公司记录。” 公司注册处还指出，虽然尚未发现有任何数据通过利用此漏洞被访问或更改的情况，但各公司仍应核实自身详细信息和申报历史，并报告任何可疑情况。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 警告美国政府机构，要保护其 Wing FTP 服务器，防范一个已在攻击中被积极利用的漏洞，该漏洞可能被用于远程代码执行攻击链条。 Wing FTP 服务器是一款跨平台的 FTP 服务器软件，通过其内置的 SFTP 和网络服务器，还能实现安全文件传输。开发者称，他们的文件传输软件在全球拥有超过 10000 家客户，其中包括美国空军、索尼、空客、路透社和丝芙兰。 这个被追踪为 CVE – 2025 – 47813 的安全漏洞，使得低权限的威胁行为者能够在未打补丁的服务器上获取该应用程序完整的本地安装路径。 CISA 解释称：“Wing FTP 服务器在 UID cookie 中使用长值时，存在生成包含敏感信息的错误消息漏洞。” 开发者于 2025 年 5 月在 Wing FTP 服务器 v7.4.4 版本中修复了此漏洞，同时修复的还有一个严重的远程代码执行（RCE）漏洞（CVE – 2025 – 47812）以及一个可用于窃取用户密码的信息泄露漏洞（CVE – 2025 – 27889）。 此前，在有关该 RCE 漏洞的技术细节公开一天后，攻击者就开始利用它，该漏洞也因此被标记为已在实际攻击中被利用。 发现并报告这些漏洞的安全研究员朱利安・阿伦斯（Julien Ahrens），于 6 月还分享了 CVE – 2025 – 47813 的概念验证利用代码，并表示攻击者可能将其与 CVE – 2025 – 47812 作为同一攻击链条的一部分来利用。 周二，CISA 将 CVE – 2025 – 47813 列入其被积极利用漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦民用行政部门（FCEB）机构在两周内保护好他们的系统。 虽然 BOD 22 – 01 仅针对联邦机构，但美国网络安全机构鼓励所有安全防护人员，包括私营部门的人员，尽快为其服务器打补丁，以应对正在发生的攻击。 CISA 在周一警告称：“这类漏洞是恶意网络行为者常用的攻击途径，对联邦机构构成重大风险。” “请按照供应商说明采取缓解措施，遵循 BOD 22 – 01 中关于云服务的适用指导；若无法采取缓解措施，则停止使用该产品。” 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出 GlassWorm 攻击活动的新变体，称其在通过 Open VSX 注册表传播的方式上出现 “显著升级”。 Socket 公司在周五发布的一份报告中称：“威胁行为者不再要求每个恶意插件直接嵌入加载程序，而是滥用 extensionPack（扩展包）和 extensionDependencies（扩展依赖项），在后续更新中将最初看似独立的扩展转变为间接传播工具，使得一个看似良性的软件包在建立信任后，才开始引入与 GlassWorm 相关的单独扩展。” 这家软件供应链安全公司表示，自 2026 年 1 月 31 日以来，他们发现至少还有 72 个针对开发者的恶意 Open VSX 扩展。这些扩展模仿广泛使用的开发者工具，包括代码检查器和格式化工具、代码运行器，以及诸如 Clade Code 和 Google Antigravity 等人工智能驱动的代码辅助工具。 以下是部分扩展的名称。此后，Open VSX 已采取措施将它们从注册表中移除： angular-studio.ng – angular – extension crotoapp.vscode – xml – extension gvotcha.claude – code – extension mswincx.antigravity – cockpit tamokill12.foundry – pdf – extension turbobase.sql – turbo – tool vce – brendan – studio – eich.js – debuger – vscode GlassWorm 是一场持续的恶意软件攻击活动，它多次通过恶意扩展渗透微软 Visual Studio Marketplace 和 Open VSX，这些恶意扩展旨在窃取机密信息、掏空加密货币钱包，并将受感染的系统用作其他犯罪活动的代理。 网络安全方面，虽然该活动于 2025 年 10 月首次被 Koi Security 标记，但早在 2025 年 3 月就已发现使用相同策略的 npm 包，特别是使用不可见的 Unicode 字符来隐藏恶意代码。 最新变体保留了与 GlassWorm 相关的许多特征：进行检查以避免感染俄罗斯区域设置的系统，并使用 Solana 交易作为一种隐秘通信方式来获取命令与控制（C2）服务器，以提高弹性。 但这组新的扩展还具有更强的混淆性，轮换 Solana 钱包以逃避检测，并且滥用扩展关系来部署恶意有效载荷，类似于 npm 包依赖恶意依赖项以躲避检测。无论一个扩展在其 “package.json” 文件中被声明为 “extensionPack” 还是 “extensionDependencies”，编辑器都会继续安装其中列出的所有其他扩展。 通过这种方式，GlassWorm 攻击活动使用一个扩展作为另一个恶意扩展的安装程序。这也开启了新的供应链攻击场景，攻击者首先将一个完全无害的 VS Code 扩展上传到市场以绕过审核，之后更新该扩展，将与 GlassWorm 相关的软件包列为依赖项。 Socket 公司称：“结果是，一个在最初发布时看似非传递性且相对良性的扩展，随后可以在不改变其表面用途的情况下，成为一个传递 GlassWorm 的工具。” 在一份同期发布的公告中，Aikido 将 GlassWorm 威胁行为者归因于一场在开源存储库中传播的大规模攻击活动，攻击者向各种存储库注入不可见的 Unicode 字符来编码有效载荷。虽然当内容加载到代码编辑器和终端中时不可见，但解码后会得到一个加载程序，该加载程序负责获取并执行一个第二阶段脚本，以窃取令牌、凭证和机密信息。 据估计，在 2026 年 3 月 3 日至 3 月 9 日期间，作为该活动一部分，不少于 151 个 GitHub 存储库受到影响。此外，相同的 Unicode 技术已被部署在两个不同的 npm 包中，这表明这是一次有协调的多平台攻击： @aifabrix/miso – client @iflow – mcp/watercrawl – watercrawl – mcp 安全研究员伊利亚斯・马卡里（Ilyas Makari）表示：“恶意注入并非出现在明显可疑的提交中。周围的更改很真实：文档调整、版本升级、小的重构以及与每个目标项目风格一致的错误修复。这种针对特定项目的定制程度强烈表明，攻击者正在使用大语言模型来生成令人信服的掩护提交。” PhantomRaven 还是研究实验？ 与此同时，Endor Labs 表示，他们发现从 2025 年 11 月到 2026 年 2 月，分三波通过 50 个一次性账户上传了 88 个新的恶意 npm 包。这些包具备从受感染机器上窃取敏感信息的功能，包括环境变量、CI/CD 令牌和系统元数据。 该活动因使用远程动态依赖项（RDD）而引人注目，在这种情况下，“package.json” 元数据文件在自定义 HTTP URL 指定依赖项，从而使操作者能够动态修改恶意代码并绕过检查。 在网络安全领域，虽然这些包最初被认定为 PhantomRaven 攻击活动的一部分，但这家应用安全公司在一次更新中指出，它们是一名安全研究人员作为合法实验的一部分制作的 —— 但 Endor Labs 对此说法提出质疑，并列举了三个警示信号。其中包括这些库收集的信息远超必要范围、对用户不透明，以及由故意轮换的账户名和电子邮件地址发布。 截至 2026 年 3 月 12 日，这些包的所有者已进行了更多更改，将在这三个月期间发布的一些 npm 包中用于收集数据的有效载荷替换为简单的 “Hello, world!” 消息。 Endor Labs 表示：“虽然移除收集大量信息的代码当然值得欢迎，但这也凸显了与 URL 依赖相关的风险。当软件包依赖托管在 npm 注册表之外的代码时，作者无需发布新的软件包版本就能完全控制有效载荷。通过修改服务器上的单个文件 —— 或者仅仅关闭它 —— 他们可以立即无声地更改或禁用每个依赖包的行为。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）周一发布预警，要求英国各机构审视并加强网络防御，以应对中东持续冲突带来的网络威胁。 NCSC在咨询警报中表示：”目前伊朗对英国的直接网络威胁可能尚未发生显著变化，但考虑到冲突的快速演变，这一评估可能会调整。” 此前美以于上周末发动联合空袭，导致伊朗最高领袖哈梅内伊及其他高级官员身亡，伊朗随后向该地区发射导弹和无人机进行报复。 英国首相斯塔默周日在讲话中明确表示，英国武装力量未参与针对伊朗的打击行动。他补充称，英国战机正在空中拦截伊朗袭击，英军基地则为美军摧毁伊朗导弹阵地提供支持。 据《卫报》报道，一架疑似伊朗攻击无人机周日袭击了塞浦路斯皇家空军基地，另有无人机于周一上午被拦截。 NCSC指出，”对于在中东地区有业务存在或供应链的组织及实体，间接网络威胁风险升高”，伊朗国家及国家关联行为体均具备一定网络能力。 该机构国家韧性主管乔纳森·埃里森在声明中强调：”鉴于中东局势快速演变，所有英国机构必须对潜在网络入侵风险保持警惕，特别是那些在地区紧张区域拥有资产或供应链的机构。” 警报为英国机构提供了应对网络威胁的”实际步骤”，包括”参考我方指南以降低在风险升高时遭受攻击的可能性”，以及”关键国家基础设施机构如何准备和应对严重网络威胁”。 NCSC此前曾呼应美国政府去年6月发布的情况说明，该文件指出伊朗国家资助或关联的威胁行为体对美国关键基础设施及其他实体构成的风险正在增加。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf周一披露，去年一场针对巴基斯坦、孟加拉国和斯里兰卡政府机构及关键基础设施运营商的间谍活动，被归因于一个名为”SloppyLemming”的印度关联威胁组织。这是Cloudflare 2024年9月所识别威胁活动的扩展。 该活动自2025年1月起持续一年，采用两种攻击方式：一是投递含BurrowShell恶意软件的PDF文件——该后门程序可截屏并操控文件系统；二是发送携带具备键盘记录与侦察功能恶意软件的Excel文档。 研究人员指出，该组织技术能力中等：多阶段执行链显示其掌握防御规避技术并熟悉Windows内部机制，但开放目录暴露等运营安全漏洞表明其手法不及更严谨的对手。这与组织名称中的”Sloppy（ sloppy 意为 sloppy/ sloppy ）”相符，指其历史上不稳定的运营安全。 攻击者使用去年注册的112个Cloudflare域名托管恶意软件，域名采用巴基斯坦和孟加拉国政府主题名称以诱骗受害者。 事件响应人员确认，活动目标包括巴基斯坦核监管局等核监管机构、国防后勤组织及电信基础设施，以及孟加拉国能源公用事业和金融机构。巴基斯坦海军、国家后勤公司、DESCON电力公司、孟加拉国电网公司，以及特殊通信组织和巴基斯坦电信公司均在目标之列。 研究人员称，SloppyLemming自2021年起持续实施网络间谍攻击，其目标与印度政府利益一致。 “PDF阅读器已禁用” 活动通常以含恶意文档的社会工程或鱼叉式钓鱼邮件开场。文档打开后，受害者看到模糊内容被”PDF阅读器已禁用”字样覆盖，并被诱导执行进一步操作以允许黑客访问。 恶意软件包含键盘记录功能及持久化机制、网络扫描、截屏等功能。至少有一封恶意邮件冒充孟加拉国金融机构。 Arctic Wolf发现其调查结果与Trellix 2025年10月披露的内容存在部分重叠。 Cloudflare此前表示，SloppyLemming活动始于2022年末，主要针对巴基斯坦，同时攻击斯里兰卡、尼泊尔、孟加拉国、印度尼西亚和中国，重点瞄准政府、执法、能源、电信及技术实体。Cloudflare未将该活动与印度行为者直接关联，但称其与CrowdStrike追踪的”Outrider Tiger”威胁组织相符。CrowdStrike将该组织描述为”印度关联针对性入侵对手”，采用复杂凭据收集技术，”支持印度国家情报收集需求”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 操作中继盒（ORB）网络已成为威胁行为者用于躲避全球安全团队追踪、掩盖网络攻击的最高级工具之一。 这类隐蔽的网状网络由被攻陷的物联网设备、SOHO（小型办公 / 家庭办公）路由器与虚拟专用服务器组成，协同运作以掩盖恶意活动的真实来源。 ORB 网络通过多个中继节点转发攻击流量，使防护方极难追溯恶意活动源头，给网络安全专业人员带来重大挑战。 2026 年 2 月新加坡网络安全局披露，国家级背景组织 UNC3886 针对该国四大电信运营商 M1、SIMBA Telecom、Singtel、StarHub 发起定向攻击，该威胁由此引发高度关注。 攻击者利用边界防火墙中的零日漏洞，部署高级 rootkit 工具规避检测系统，并维持对关键基础设施的持久访问权限。 Team Cymru 研究人员证实，ORB 网络为攻击者提供了传统手段无法比拟的多项战略优势。 这类网络如同私人住宅代理服务，可让恶意流量与家庭及企业宽带的合法用户流量无缝混杂。 这使得封堵操作风险极高，防护方在试图拦截攻击时，可能会意外中断正常服务。 攻击基础设施与前置部署策略 ORB 网络的抗打击能力源于其分布式架构与动态组成特性。攻击者可通过增减被攻陷设备快速扩容网络，使其极难被彻底关停。 安全团队发现并封堵一个节点后，威胁行为者只需替换为新节点，即可保证攻击活动持续进行，不受重大影响。 ORB 网络的极高危险性在于，攻击者会在实际攻击发起数月前就完成节点前置部署。 攻击者提前搭建这类中继基础设施，可在保障操作安全的前提下，开展侦察与目标边界探测。 攻击者通过地理上靠近目标的节点转发流量，绕过地理围栏管控，使其行为在安全监控系统中更显合法。 安全专家建议机构部署主动威胁狩猎、行为分析与零信任安全模型，抵御这类高级网络攻击。定期更新路由器、监控网络流量、接入高级威胁情报仍是核心防护措施。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果即将上线一项新功能，部分 iPhone 用户可通过该功能阻止蜂窝网络采集自身精准位置信息，从而提升执法机构及黑客定位用户实时位置的难度。 近年来，执法机构愈发频繁地传唤蜂窝运营商，调取手机用户的历史及实时行踪记录。 该新功能不会影响用户向应急救援人员共享位置信息，也不会限制用户自主向各类应用授权共享位置数据。 该功能初期将面向运行 iOS 26.3 或更高版本的 iPhone Air、iPhone 16e 以及 iPad Pro (M5) Wi-Fi + Cellular 机型用户开放。 “蜂窝网络可根据您的设备所连接的基站来判断您的位置，”苹果在周一发布的博客文章中说明。 根据博文介绍，开启此功能后，蜂窝网络将仅能识别“您设备所在的大致区域，而无法获得更精确的位置信息（例如具体街道地址）”。 苹果虽未明确阐述推出此功能的具体缘由，但该公司近年来持续将自身塑造为消费者隐私保护的领军者，并通过一系列更新赋予用户对其个人数据更大的控制权。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。 Fortinet 已开始已开始逐步推送针对某款正遭攻击的高危 FortiOS 漏洞的修复补丁。该漏洞编号为 CVE-2026-24858（CVSS 评分为 9.4），可允许攻击者通过单点登录（SSO）绕过身份认证。它影响 FortiOS、FortiManager 和 FortiAnalyzer，Fortinet ，Fortinet 正在调查其他产品是否受影响。 安全公告中写道：“FortiOS、FortiManager 及 FortiAnalyzer 中存在一项‘使用替代路径或通道进行身份验证绕过’的漏洞（CWE-288）。若相关设备启用了 FortiCloud SSO 认证，则拥有 FortiCloud 账户及已注册设备的攻击者，可能借此登录到其他账户下的已注册设备。”“请注意，FortiCloud SSO 登录功能在出厂默认设置中处于关闭状态。然而，当管理员通过设备图形界面（GUI）将其注册至 FortiCare 时，若未在注册页面手动关闭‘允许使用 FortiCloud SSO 进行管理登录’选项，则该功能将会在注册完成后自动启用。” Fortinet 强调，FortiCloud SSO 登录功能默认禁用。仅当管理员通过 GUI 将设备注册至 FortiCare，或在注册时明确启用 FortiCloud SSO 管理登录选项后，该功能才会激活。 这家网络安全厂商证实，已有两个恶意 FortiCloud 账户利用该漏洞发起攻击，相关账户已于 2026 年 1 月 22 日被封禁。为遏制漏洞滥用，FortiCloud SSO 服务在 1 月 26 日被临时禁用，并于 1 月 27 日重新启用。目前，该服务会阻止运行易受攻击版本的设备登录，用户必须将设备升级至受支持的版本，方可继续使用 FortiCloud SSO 认证。 该公司仍在调查其他产品（如 FortiWeb 和 FortiSwitch Manager）是否受此漏洞影响。 Fortinet 提供了临时应对方案：由于 FortiCloud SSO 现已禁止来自运行漏洞版本的设备登录，因此客户端并非必须禁用 SSO。但作为额外防护，管理员仍可通过 GUI 或CLI，在 FortiOS、FortiProxy、FortiManager 和 FortiAnalyzer 上手动禁用 FortiCloud SSO，直至系统完成全面修补。 上周，Fortinet 确认已修复的设备也遭到了绕过 FortiCloud SSO 的攻击。他们通过自动化手段修改防火墙设置、添加用户、启用 VPN 并窃取配置文件，其攻击模式与 2025 年 12 月利用严重 FortiCloud SSO 漏洞的攻击模式相似。 Arctic Wolf 研究人员报告称，自 2026 年 1 月 15 日起观测到一个新的自动化攻击集群，该集群专门针对 FortiGate 设备。攻击者创建通用账户以维持访问权限、启用 VPN 访问并窃取防火墙配置。此活动与 2025 年 12 月那起涉及管理员 SSO 登录和配置窃取的攻击活动类似。Arctic Wolf 已部署相应检测机制，并持续监控这一持续演变的威胁。 2025年12月，Fortinet 披露了两个严重的 SSO 认证绕过漏洞，编号为 CVE-2025-59718 和 CVE-2025-59719，其本质是加密签名验证不当问题。 Arctic Wolf 警告称，在补丁发布数日后，攻击者就已开始利用 Fortinet 产品中的这两个严重漏洞。 Arctic Wolf 研究人员检测到，攻击者在 2025 年 12 月 12 日便开始利用这些严重的 Fortinet 认证绕过漏洞，此时距补丁发布仅三天。攻击涉及在 FortiGate 设备上进行恶意 SSO 登录，主要目标是来自多家托管服务提供商的管理员账户。获取访问权限后，攻击者随即通过 GUI 导出设备配置文件。这些文件中包含哈希加密后的凭证信息，攻击者可尝试离线破解，从而增加了系统被进一步入侵的风险。 近期的入侵事件显示，恶意 SSO 登录源自少数几家托管服务提供商，且常针对 cloud-init@mail.io 账户。在成功通过 SSO 访问后，攻击者会迅速通过 GUI 导出防火墙配置，并创建用于维持访问权限的次级管理员账户。这些操作均在数秒内完成，表明攻击高度自动化。 Fortinet 证实，即便已针对 CVE-2025-59718 和 CVE-2025-59719 完成修补的设备，也未能幸免。该公司在观察到已完全更新的设备仍遭登录利用后，发现了一条新的攻击路径。修复工作正在进行中，安全公告即将发布，所有基于 SAML 的 SSO 实现均可能受影响。 该公司发布的公告中写道：“近期，少量客户报告其设备出现了异常登录活动，这与先前的问题极为相似。然而，在过去24小时内，我们确认了多起攻击案例，其目标设备在受攻击时均已升级至最新版本，这表明存在新的攻击路径。” “Fortinet 产品安全团队已识别该问题，公司正在制定修复方案。待修复范围与具体时间表确定后，将发布正式安全公告。需要强调的是，尽管目前仅观测到 FortiCloud SSO 遭利用的案例，但此问题影响所有 SAML SSO 部署场景。”       消息来源:securityaffairs ： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文