HackerNews 编译，转载请注明出处： SAP NetWeaver是用于运行和连接SAP与非SAP应用程序的开发平台。 上周，SAP披露了其Visual Composer组件的元数据上传器（Metadata Uploader）中的漏洞。该漏洞允许远程攻击者在未认证的情况下向暴露实例上传任意可执行文件，实现代码执行并完全控制系统。 包括ReliaQuest、watchTowr和Onapsis在内的多家网络安全公司确认该漏洞正被用于攻击，威胁行为者利用其在易受攻击的服务器上部署网页后门程序。 SAP发言人向BleepingComputer表示，已知悉攻击尝试，并于2024年4月8日发布临时缓解方案，随后在4月25日发布修复CVE-2025-31324的安全更新。SAP称目前未发现攻击影响客户数据或系统的案例。 研究人员证实，大量存在漏洞的SAP Netweaver服务器暴露于互联网，成为攻击主要目标。 Shadowserver Foundation发现427台暴露服务器，警告其存在巨大的攻击面且利用后果严重。多数漏洞系统位于美国（149台）、印度（50台）、澳大利亚（37台）、中国（31台）、德国（30台）、荷兰（13台）、巴西（10台）和法国（10台）。 网络安全搜索引擎Onyphe则指出，目前有1,284台漏洞服务器在线暴露，其中474台已被植入网页后门。Onyphe首席技术官Patrice Auffret向BleepingComputer透露：“约20家《财富》500强/全球500强企业存在漏洞，其中多家已遭入侵。” 研究人员发现攻击者使用名为“cache.jsp”和“helper.jsp”的网页后门，但Nextron Research指出其也采用随机文件名以增加检测难度。尽管受影响服务器总量不大，但由于SAP NetWeaver广泛应用于大型企业与跨国公司，风险仍然显著。 建议用户根据SAP公告应用最新安全更新。若无法立即更新，可采取以下临时措施： 限制对/developmentserver/metadatauploader 端点的访问 若未使用Visual Composer，考虑彻底关闭该组件 将日志转发至SIEM系统并扫描servlet路径下的未授权文件 RedRays已发布针对CVE-2025-31324的扫描工具，可协助大型环境中的风险定位。 BleepingComputer已就漏洞活跃利用问题联系SAP，将在获得回应后更新报道。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了Ruby网络服务器接口Rack中的三个安全漏洞。若被成功利用，攻击者可在特定条件下未授权访问文件、注入恶意数据并篡改日志。 网络安全厂商OPSWAT标记的漏洞如下： CVE-2025-27610（CVSS评分：7.5）：路径遍历漏洞，攻击者若确定文件路径，可访问指定根目录下的所有文件。 CVE-2025-27111（CVSS评分：6.9）：对回车换行符（CRLF）序列的不当中和及日志输出过滤漏洞，可操纵日志条目并扭曲日志文件。 CVE-2025-25184（CVSS评分：5.7）：对CRLF序列的不当中和及日志输出过滤漏洞，可篡改日志条目并注入恶意数据。 成功利用这些漏洞可使攻击者掩盖攻击痕迹、读取任意文件并注入恶意代码。 OPSWAT在提供给《The Hacker News》的报告中称：“CVE-2025-27610尤其严重，未认证攻击者可借此获取配置文件、凭证等敏感信息，导致数据泄露。”该漏洞源于托管静态内容（如JavaScript、样式表、图片）的中间件Rack::Static未清理用户提供的路径。当:root参数未明确定义时，Rack默认将当前工作目录（Dir.pwd）设为网络根目录。若:root与:urls配置不当，攻击者可通过路径遍历访问敏感文件。 缓解措施包括升级至最新版本、移除Rack::Static的使用，或确保root:指向仅含公开文件的目录。 与此同时，Infodraw媒体中继服务（MRS）被发现存在关键漏洞（CVE-2025-43928，CVSS评分：9.8），攻击者可通过登录页用户名参数的路径遍历漏洞读取或删除任意文件。 Infodraw是以色列移动视频监控解决方案提供商，其设备被多国执法部门、私家调查、车队管理及公共交通用于传输音视频和GPS数据。安全研究员Tim Philipp Schäfers表示：“该漏洞允许未认证攻击者读取系统任意文件（例如使用用户名’../../../../’），且存在任意文件删除漏洞。”该漏洞影响MRS的Windows和Linux版本，目前未修复。比利时与卢森堡的受影响系统已下线。 Schäfers建议：“受影响组织应立即将应用下线（因厂商未提供补丁且漏洞可能被近期利用）。若无法下线，需通过VPN或IP白名单加强防护。”     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年第一季度，多达159个CVE编号被标记为实际遭到利用，高于2024年第四季度的151个。 VulnCheck在与《The Hacker News》共享的报告中表示：“我们持续观察到漏洞被快速利用的现象，28.3%的漏洞在其CVE公开后1天内即遭利用。”这意味着有45个安全漏洞在公开当天就被武器化用于真实攻击。另有14个漏洞在1个月内被利用，还有45个漏洞在一年内遭到滥用。 VulnCheck表示，大部分被利用漏洞存在于内容管理系统（CMS），其次是网络边缘设备、操作系统、开源软件和服务器软件。具体分类如下： 内容管理系统（CMS）（35个） 网络边缘设备（29个） 操作系统（24个） 开源软件（14个） 服务器软件（14个） 该时期被攻击的主要厂商及产品包括：微软Windows（15个漏洞）、博通VMware（6个）、Cyber PowerPanel（5个）、Litespeed Technologies（4个）和TOTOLINK路由器（4个）。 VulnCheck指出：“平均每周披露11.4个KEV漏洞，每月53个。虽然CISA KEV本季度新增80个漏洞，但其中仅有12个此前没有公开的利用证据。”在159个漏洞中，25.8%被发现正在等待或接受NIST国家漏洞数据库（NVD）分析，3.1%被赋予新的“延期”状态。 根据Verizon最新发布的《2025年数据泄露调查报告》，作为数据泄露初始访问途径的漏洞利用量增长34%，占所有入侵事件的20%。谷歌旗下Mandiant收集的数据也显示，漏洞利用连续第五年成为最常观察到的初始感染途径，而窃取凭证已超越钓鱼攻击成为第二大初始访问途径。 Mandiant表示：“在确定初始感染途径的入侵事件中，33%始于漏洞利用。这比2023年（漏洞利用占入侵初始途径的38%）有所下降，但与2022年（32%）基本持平。”尽管攻击者试图逃避检测，防御者在识别入侵方面的能力仍在持续提升。 全球驻留时间中位数（即攻击者从入侵到被检测到在系统中停留的天数）达到11天，较2023年增加1天。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，朝鲜国家支持的黑客组织Kimsuky发起了新型恶意攻击，利用微软远程桌面服务（RDS）的BlueKeep漏洞（CVE-2019-0708）对日韩重点行业实施系统渗透。该行动被安实验室安全应急中心（ASEC）命名为Larva-24005。 韩国网络安全公司ASEC披露：“部分系统的初始入侵途径确认为RDP协议漏洞（BlueKeep，CVE-2019-0708）利用。尽管在受控系统发现RDP漏洞扫描工具，但尚未发现实际使用证据。” 技术漏洞分析： CVE-2019-0708（CVSS评分9.8）是远程桌面服务中的高危可蠕虫漏洞，允许未认证攻击者远程执行代码，进而安装任意程序、访问数据甚至创建具备完全权限的新账户。微软已于2019年5月发布补丁修复该漏洞，但攻击者仍需通过RDP协议向目标系统发送特制请求方可利用。 攻击链扩展分析： 除BlueKeep外，攻击者还采用钓鱼邮件作为第二入侵向量，利用Equation Editor漏洞（CVE-2017-11882，CVSS评分7.8）触发恶意负载。渗透成功后，攻击者部署名为MySpy的信息窃取器及RDPWrap工具，并修改系统配置开启RDP访问权限。 攻击终局阶段： 最终投放KimaLogger和RandomQuery等键盘记录器实施按键捕获。ASEC确认，自2023年10月以来，攻击活动主要针对韩国软件、能源及金融行业，日本同为重灾区。该组织其他已知目标国家包括美国、中国、德国等13国。 防御建议： 1、立即验证CVE-2019-0708补丁状态 2、强化RDP访问控制策略 3、部署邮件安全网关过滤恶意附件 4、监控异常RDP连接行为 5、定期审计系统日志寻找入侵痕迹 据MITRE ATT&CK框架分析，本次攻击活动涉及T1190（漏洞利用）、T1204（用户执行）、T1059（命令执行）等战术阶段，符合APT组织典型作战模式。目前相关IoC指标已纳入主流威胁情报平台。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf研究人员警告，自2025年1月以来，威胁分子持续利用编号CVE-2021-20035（CVSS评分7.1）的漏洞攻击SonicWall安全移动接入（Secure Mobile Access，SMA）设备。 该漏洞本质是SMA100管理界面存在的操作系统命令注入缺陷。远程认证攻击者可利用该漏洞以’nobody’用户身份注入任意指令，最终可能导致任意代码执行。 安全公告明确指出：”SMA100管理界面特殊元素中和处理不当，致使远程认证攻击者能以’nobody’用户身份注入任意指令，存在代码执行风险。” 受影响的设备型号包括SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v系列。厂商已于2021年9月发布补丁。攻击者可通过该漏洞发起拒绝服务（DoS）攻击瘫痪设备。 本周，美国网络安全与基础设施安全局（CISA）将该漏洞纳入已知被利用漏洞目录（KEV），并命令联邦机构须于2025年5月7日前完成修复。 SonicWall同步更新安全公告，确认该漏洞已在真实攻击中被利用。Arctic Wolf监测发现，2025年1月至4月间，针对SMA 100系列设备的攻击活动持续活跃，攻击者旨在窃取VPN凭证。 攻击特征分析： 1、利用默认超级管理员账户（admin@LocalDomain）实施入侵 2、多数设备仍使用默认弱密码”password” 3、即使已完整打补丁设备，若密码管理不当仍可能沦陷 Arctic Wolf在技术报告中强调：”本次攻击活动最显著特征是攻击者利用设备本地超级管理员账户实施入侵，该账户默认密码’password’存在严重安全隐患。” 报告同步披露了完整危害指标（IoCs）。 防护建议： 1、严格限制VPN访问权限 2、禁用所有闲置账户 3、强制启用多因素认证（MFA） 4、重置SMA防火墙所有本地账户密码 监测显示，攻击者主要针对未及时修改默认凭证的设备展开渗透。Arctic Wolf持续监控攻击态势，敦促所有使用SonicWall SMA设备的企业立即实施应急响应措施。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Atlassian和Cisco本周宣布为其产品中的多个高危漏洞提供补丁，其中包括可导致远程代码执行的缺陷。 Atlassian发布了七项更新，修复了Bamboo、Confluence和Jira中影响第三方依赖项的四个高危漏洞，其中部分漏洞早在近六年前就已公开披露。针对Bamboo数据中心与服务器版、Jira数据中心与服务器版以及Jira服务管理数据中心与服务器版的修复程序，解决了Netplex Json-smart中未经认证即可被利用的拒绝服务（DoS）问题。该安全缺陷编号为CVE-2024-57699。 针对Jira及Jira服务管理的安全更新还修复了一个可导致DoS的XXE（XML外部实体注入）漏洞，编号为CVE-2021-33813。 Confluence数据中心与服务器版修复了两个漏洞，包括Netty应用框架中的DoS漏洞（编号CVE-2025-24970），以及libjackson-json-java库中的XXE漏洞（CVE-2019-10172）。 Atlassian未提及这些漏洞在现实中被利用的情况。 周三，Cisco为Webex App、安全网络分析系统（Secure Network Analytics）和Nexus Dashboard中的三个安全缺陷提供了补丁。 Webex App修复了一个高危漏洞（编号CVE-2025-20236）。攻击者可诱使用户点击特制会议邀请链接并下载任意文件，从而远程执行任意代码。针对安全网络分析系统7.5.0、7.5.1和7.5.2版本的更新修复了一个中危问题，该漏洞允许经过认证的攻击者获取具有root权限的shell访问。 在Nexus Dashboard中，Cisco修复了一个中危漏洞，未经认证的远程攻击者可借此验证有效LDAP用户账号的用户名。 Cisco表示目前未发现这些漏洞在现实中被利用。更多信息可查阅该公司安全公告页面。     消息来源：securityweek；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Roller开源、基于Java的博客服务器软件被披露存在一个严重的安全漏洞，该漏洞可能允许恶意行为者即使在用户更改密码后仍能保持未经授权的访问权限。 该漏洞被分配了CVE编号CVE-2025-24859，其CVSS评分为10.0，表明其严重性极高。该漏洞影响Roller的所有版本，包括6.1.4版本。 “Apache Roller在6.1.5版本之前的版本中存在会话管理漏洞，用户更改密码后，活跃的用户会话未能被正确地失效，”项目维护者在一份安全公告中表示。“无论是用户自己还是管理员更改密码，现有的会话仍然保持活跃并可使用。” 成功利用该漏洞可能会使攻击者即使在密码更改后，仍能通过旧会话持续访问应用程序。如果凭证被泄露，该漏洞还可能使攻击者获得不受限制的访问权限。 该问题已在6.1.5版本中得到修复，通过实施集中式会话管理，确保在更改密码或禁用用户时，所有活跃会话都会被失效。 安全研究员孟海宁因发现并报告该漏洞而受到赞誉。 此次漏洞披露发生在Apache Parquet Java库披露另一个关键漏洞（CVE-2025-30065，CVSS评分：10.0）几周之后。如果该漏洞被成功利用，可能会允许远程攻击者在易受攻击的实例上执行任意代码。 上个月，Apache Tomcat的一个关键安全漏洞（CVE-2025-24813，CVSS评分：9.8）在漏洞细节公开后不久便遭到积极利用。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Huntress安全研究人员记录了针对Gladinet CentreStack和Triofox软件关键漏洞的活跃利用情况，其中默认的加密配置导致针对七家组织的攻击，并在大约120个端点上引发了异常活动。 该漏洞被标记为CVE-2025-30406，于4月初被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞（KEV）目录，并且拥有9/10的CVSS严重性评分。 该漏洞源自CentreStack和Triofox配置文件中默认嵌入的硬编码加密密钥，这种错误配置使服务器暴露在远程代码执行攻击之下。 在这种情况下，利用默认密钥可以让攻击者绕过ASPX ViewState保护，并以IIS应用程序池用户的身份执行代码，还可能升级为完全控制整个系统。 Huntress表示，其安全运营中心在4月11日标记了这一异常情况，当时一个内部检测器（专门用于捕捉零日漏洞利用）标记了来自IIS工作进程不规则子进程的异常传出连接。 该公司称，这一初始检测（由源自PowerShell的可疑进程树突出显示）引发了一系列警报，因为恶意软件猎手从失败的ViewState验证和其他在Windows事件日志中可见的指标中拼凑证据。 该公司称，这些漏洞利用遵循了一个众所周知的剧本。一旦确定了易受攻击的服务器，攻击者就会发出精心设计的PowerShell命令来触发漏洞，最终导致远程代码执行。 在一次事件中，Huntress研究人员表示，他们追踪到了一个涉及编码的PowerShell指令的命令序列，该指令旨在下载并执行一个DLL，这种手法在最近针对CrushFTP软件漏洞的攻击中也曾出现。 “根据Shodan的数据显示，目前有几百台易受攻击的服务器暴露在公共互联网上。虽然这个数字相对较小，但立即被攻陷的风险仍然很严重，”Huntress警告说。 Huntress表示，他们观察到攻击者在网络中横向移动，利用MeshCentral等工具维持远程访问。该公司称，黑客还试图添加新的用户账户，执行标准的枚举命令，并使用默认的Impacket脚本。 Gladinet已经发布了补丁，并承认了远程代码执行的风险。 “我们可以确认，Gladinet CentreStack和Triofox的补丁在我们测试的概念验证中是有效的，能够阻止漏洞利用，”Huntress表示。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）的安全研究人员指出，Nvidia针对Nvidia容器工具包中一个关键漏洞的补丁存在问题，警告称这种不完整的缓解措施使企业仍然容易受到容器逃逸攻击。 该漏洞被标记为CVE-2024-0132，CVSS评分为9/10，去年9月作为高优先级问题进行了修补，但现在Trend Micro表示，该补丁是“不完整的”，为黑客留下了可乘之机，使他们能够在受影响的系统上执行任意命令、窃取敏感数据或提升权限。 根据Trend Micro的分析，一个精心设计的容器可以利用容器访问宿主文件系统时的检查与实际执行访问之间存在的TOCTOU（检查时到使用时）时间窗口。 这一漏洞使得攻击者能够在容器运行时注入操作，绕过预期的隔离机制，有效地让容器访问或操纵宿主资源。Trend Micro解释说，补丁未能强制执行严格的检查以排除这种竞争条件，这是该漏洞存在的原因。 Trend Micro在其对有缺陷补丁的文档中指出：“利用这些漏洞可能会使攻击者能够访问敏感的宿主数据，或者通过耗尽宿主资源来造成重大运营中断。” “成功利用这些漏洞可能会导致未经授权访问敏感宿主数据、窃取专有AI模型或知识产权、严重的运营中断，以及由于资源耗尽或系统无法访问而导致的长时间停机。” 该公司表示，使用Nvidia容器工具包或在人工智能、云计算或容器化环境中使用Docker的组织直接受到影响，特别是那些使用默认配置或最近版本中引入的特定工具包功能的组织。 “部署人工智能工作负载或基于Docker的容器基础设施的公司可能面临风险。”该公司补充道。 根据Trend Micro的分析，该工具包1.17.3及以下版本存在固有漏洞，而1.17.4版本需要明确启用allow-cuda-compat-libs-from-container功能才可被利用。 此外，Trend Micro还发现了一个与Linux系统上的Docker相关的拒绝服务漏洞。使用bind-propagation配置了多个挂载点的容器（特别是那些带有共享标志的容器）可能会触发Linux挂载表的无限制增长。 Trend Micro表示，由此导致的文件描述符耗尽构成了严重的拒绝服务风险，有效地阻止了容器的创建，并拒绝了通过SSH的远程连接。 该公司敦促企业用户将Docker API的使用限制在授权人员范围内，避免不必要的root级权限，并在Nvidia容器工具包中禁用非必要的功能，除非这些功能是严格必需的。 根据云安全供应商Wiz的文档，该漏洞威胁到超过35%使用Nvidia GPU的云环境，使攻击者能够逃逸容器并控制底层宿主系统。鉴于Nvidia GPU解决方案在云计算和本地人工智能运营中的广泛使用，这一漏洞的影响范围相当广泛。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，日产Leaf电动汽车存在一系列漏洞，攻击者可利用这些漏洞远程入侵车辆，进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司PCAutomotive开展，并在2025年4月1日举办的Black Hat Asia 2025上进行了详细展示。 研究人员以2020年生产的第二代日产Leaf为研究对象，发现其信息娱乐系统的蓝牙功能存在漏洞，可被攻击者利用作为入侵车辆内部网络的入口。攻击者随后能够提升权限，并通过车载通信模块建立命令与控制（C&C）通道，从而通过互联网直接、隐蔽且持续地访问电动汽车。 研究人员展示了攻击者如何利用这些漏洞监视车主，例如跟踪车辆位置、截取信息娱乐系统屏幕截图以及录制车内人员对话。此外，攻击者还能远程操控车辆的多项物理功能，包括车门、雨刷、喇叭、后视镜、车窗、车灯，甚至方向盘，即使车辆处于行驶状态也不例外。 这些漏洞共被分配了八个CVE编号，从CVE-2025-32056到CVE-2025-32063。研究人员表示，漏洞披露流程始于2023年8月，日产在2024年1月确认了这些发现，但直到最近才完成CVE分配。 日产的一位发言人表示：“PCAutomotive就其研究与日产取得了联系。出于安全原因，我们拒绝透露具体的对策或细节。为了我们客户的出行安全和安心，我们将继续开发并推出对抗日益复杂网络攻击的技术。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文