HackerNews 编译，转载请注明出处： MongoDB 官方警告 IT 管理员立即修复一个严重漏洞（CVE-2025-14847），该漏洞可被攻击者远程利用，直接执行任意代码并控制服务器。 漏洞成因在于长度参数处理不一致，无需认证、无需用户交互即可发动低复杂度攻击。受影响版本覆盖 MongoDB 8.2.0–8.2.2、8.0.0–8.0.16、7.0.0–7.0.26、6.0.0–6.0.26、5.0.0–5.0.31、4.4.0–4.4.29，以及所有 4.2、4.0、3.6 系列。 官方给出的安全版本为：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。若暂时无法升级，应立即关闭 zlib 压缩功能，即在启动 mongod/mongos 时通过 networkMessageCompressors 或 net.compression.compressors 参数显式排除 zlib。 MongoDB 安全团队周五公告称：“攻击者可在无需认证的情况下，利用服务端 zlib 实现缺陷返回未初始化的堆内存。强烈建议尽快升级。” MongoDB 是全球主流的非关系型数据库，数据以 BSON（二进制 JSON）文档形式存储，客户超 6.25 万家，包括数十家《财富》500 强企业。此前，美国网络安全与基础设施安全局（CISA）曾将 MongoDB 组件 mongo-express 的远程代码执行漏洞（CVE-2019-10758）列入“已知被利用漏洞”清单，并要求联邦机构限期修复。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 2025 年 Pwn2Own 爱尔兰站比赛的首日，安全研究人员成功利用了 34 个独特的零日漏洞，并获得了 52.25 万美元的现金奖励。 当天的亮点是来自 DDOS 团队的 Bongeun Koo 和 Evangelos Daravigkas，他们通过串联 8 个零日漏洞，从 WAN 接口入侵了威联通（QNAP）Qhora-322 以太网无线路由器，并进一步获取了威联通 TS-453E 网络附加存储（NAS）设备的访问权限。凭借这一成功尝试，他们赢得了 10 万美元奖金，目前以 8 分位列 “破解大师（Master of Pwn）” 排行榜第二名。 Synacktiv 团队、Summoning 团队的 Sina Kheirkhah、DEVCORE 团队以及 Rapid7 的 Stephen Fewer 也各获 4 万美元奖金，他们分别成功获取了群晖（Synology）BeeStation Plus、群晖 DiskStation DS925+、威联通 TS-453E 和 Home Assistant Green 的 root 权限。 STARLabs、PetoWorks 团队、ANHTUD 团队和 Ierae 的研究人员先后四次攻克佳能（Canon）imageCLASS MF654Cdw 多功能激光打印机；STARLabs 还入侵了 Sonos Era 300 智能音箱，赢得 5 万美元；ANHTUD 团队则利用飞利浦（Phillips）Hue Bridge 的漏洞，获得 4 万美元奖金。 Summoning 团队的 Sina Kheirkhah 和 McCaulay Hudson 通过组合两个零日漏洞构成攻击链，获取了群晖 ActiveProtect Appliance DP320 的 root 权限，再获 5 万美元奖金。 Summoning 团队在比赛首日共赢得 10.25 万美元，以 11.5 分位居 “破解大师” 排行榜榜首。 零日倡议组织（Zero Day Initiative，ZDI）举办此类赛事，旨在在威胁 actors 利用漏洞前识别目标设备中的安全缺陷，并与受影响厂商协调进行负责任的漏洞披露。在 Pwn2Own 活动中被利用的零日漏洞，厂商将有 90 天时间发布安全更新，之后趋势科技（Trend Micro）旗下的 ZDI 才会公开披露这些漏洞。 2025 年 Pwn2Own 爱尔兰站黑客大赛涵盖八个类别，目标设备包括旗舰智能手机（苹果 iPhone 16、三星 Galaxy S25、谷歌 Pixel 9）、即时通讯应用、智能家居设备、打印机、家庭网络设备、网络存储系统、监控设备以及可穿戴技术（包括 Meta 的雷朋智能眼镜和 Quest 3/3S 头显）。 今年，ZDI 还扩展了移动设备类别的攻击向量，新增手机 USB 端口 exploitation，要求参赛者通过物理连接入侵已锁屏的手机。不过，蓝牙、Wi-Fi 和近场通信（NFC）等传统无线协议仍是有效的攻击途径。 比赛次日，安全研究人员将继续针对网络附加存储、打印机、智能家居和监控系统类别的设备，以及移动设备类别中的三星 Galaxy S25 发起攻击。 正如 8 月宣布的那样，ZDI 将首次为演示 “零点击” WhatsApp 漏洞的安全研究人员提供 100 万美元奖励 —— 该漏洞需实现无需用户交互即可执行代码。 Meta 与威联通、群晖共同赞助了此次 Pwn2Own 爱尔兰站比赛，赛事于 10 月 21 日至 24 日在爱尔兰科克举行。 在去年的 Pwn2Own 爱尔兰站活动中，安全研究人员因发现 70 多个零日漏洞获得 107.875 万美元奖金，其中越南电信网络安全公司（Viettel Cyber Security）凭借在威联通、Sonos 和利盟（Lexmark）设备中发现的漏洞斩获 20.5 万美元。 2026 年 1 月，ZDI 将重返东京汽车世界技术展，举办第三届 Pwn2Own 汽车专项赛，特斯拉将再次作为赞助商参与。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 就其 Omada 网关设备中的两个命令注入漏洞发布警告，这些漏洞可能被攻击者利用以执行任意操作系统命令。 Omada 网关作为集成路由器、防火墙、VPN 网关功能的全栈解决方案推向市场，主要面向中小型企业，其普及率正持续上升。 尽管这两个安全问题被触发后会导致相同结果，但其中仅有一个漏洞（编号 CVE-2025-6542）的风险等级为 “高危”，CVSS 评分为 9.3，远程攻击者无需身份验证即可利用该漏洞。 另一个漏洞编号为 CVE-2025-6541，风险评分较低，为 8.6。但该漏洞仅在攻击者能够登录 Web 管理界面的情况下才可被利用。 TP-Link在安全公告中表示：“无论是已登录 Web 管理界面的用户，还是远程未认证攻击者，都可能在 Omada 网关上执行任意操作系统命令。” 该公司进一步补充：“攻击者可能在设备的底层操作系统上执行任意命令。” 这两个漏洞所带来的风险极为严重，可能导致设备被完全攻陷、数据被盗、攻击者横向渗透至其他设备，以及实现持久化控制。 TP-Link已发布修复这两个问题的固件更新，并强烈建议使用受影响设备的用户安装这些修复程序，且在升级后检查配置，确保所有设置均保持符合预期的状态。 在另一份公告中，TP-Link还就另外两个严重漏洞发出警告，这些漏洞在特定条件下可能允许攻击者通过身份验证后执行命令注入，或获取 root 权限。 第一个漏洞编号为 CVE-2025-8750（CVSS 评分：9.3），属于命令注入漏洞，持有管理员密码、能够登录 Omada Web 门户的攻击者可利用该漏洞。 第二个漏洞编号为 CVE-2025-7851（CVSS 评分：8.7），攻击者可利用该漏洞在底层操作系统上获取具有 root 权限的 Shell 访问，但权限范围受 Omada 自身权限限制。 CVE-2025-8750 与 CVE-2025-7851 影响上文表格中列出的所有 Omada 网关型号。值得注意的是，最新发布的固件已修复上述全部四个漏洞。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心漏洞概况 近 7.6 万台 WatchGuard Firebox 网络安全设备暴露在公共网络中，且仍受一个严重漏洞（CVE-2025-9242）影响。该漏洞允许远程攻击者在无需身份验证的情况下执行代码。 Firebox 设备是网络防御核心枢纽，负责控制内部与外部网络间的流量。其通过策略管理、安全服务、虚拟专用网络（VPN）以及 WatchGuard Cloud 提供的实时可见性实现防护功能。 全球受影响设备分布 据 “影子服务器基金会”（The Shadowserver Foundation）的扫描数据，目前全球共有 75,835 台易受攻击的 Firebox 设备，主要集中在欧洲和北美地区。具体分布如下： 美国：24,500 台（数量最多） 德国：7,300 台 意大利：6,800 台 英国：5,400 台 加拿大：4,100 台 法国：2,000 台 漏洞技术细节与影响范围 漏洞披露与评级：WatchGuard 于 9 月 17 日在安全公告中披露 CVE-2025-9242，将其评为严重级别，风险评分达 9.3 分（满分 10 分）。 漏洞本质：该漏洞是 Fireware 操作系统 “iked” 进程中的 “越界写入” 问题，而 “iked” 进程负责处理 IKEv2 协议的 VPN 协商。 攻击方式：攻击者无需身份验证，只需向易受攻击的 Firebox 设备发送特制的 IKEv2 数据包，即可迫使设备向非预期的内存区域写入数据，进而触发漏洞。 受影响版本：仅影响满足以下两个条件的 Firebox 设备： 使用 IKEv2 VPN 且配置动态网关对等体 系统版本为 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3，或 2025.1 官方修复建议 优先升级版本：厂商建议将设备升级至以下任一安全版本： 2025.1.1 12.11.4 12.5.13 12.3.1_Update3（版本号 B722811） 老旧版本处理：11.x 系列版本已终止支持，不再提供安全更新，使用该系列版本的用户需升级至仍受支持的版本。 临时缓解方案：仅配置 “分支机构 VPN” 且使用静态网关对等体的设备，可参考厂商文档，通过 IPSec 和 IKEv2 协议加固连接，作为临时防护措施。 当前风险状态 10 月 19 日，影子服务器基金会检测到 75,955 台易受攻击的 Firebox 防火墙。其发言人向 BleepingComputer 表示，此次扫描结果可信度高，数据反映的是真实部署设备，暂未包含蜜罐（用于诱捕攻击者的模拟设备）。 目前尚无 CVE-2025-9242 被主动利用的报告，但厂商强烈建议尚未安装安全更新的管理员尽快为设备打补丁。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet和Ivanti宣布了2025年10月的周二补丁更新，修复了其产品中的许多漏洞。 Fortinet发布了29个新的安全公告，涵盖30多个漏洞。其中几个漏洞被标记为“高危”，包括CVE-2025-54988，该漏洞影响FortiDLP，原因是其使用了Apache Tika。Tika存在一个严重漏洞，允许攻击者读取敏感数据，或向内部资源或第三方服务器发送恶意请求。 FortiDLP还受到CVE-2025-53951和CVE-2025-54658的影响，攻击者可以通过发送特殊构造的请求，将权限提升到LocalService或Root。 FortiOS修复了一个允许已认证攻击者执行系统命令的权限提升漏洞，该漏洞编号为CVE-2025-58325。 另一个高危问题是CVE-2024-33507，影响FortiIsolator，允许远程攻击者使用特殊构造的Cookie使已登录的管理员注销（未认证攻击者），或获得写入权限（已认证攻击者）。 FortiClientMac的LaunchDaemon组件中存在一个权限提升问题，被标记为CVE-2025-57741。 最后一个高危问题是CVE-2025-49201，影响FortiPAM和FortiSwitchManager，允许攻击者通过暴力攻击绕过认证。 FortiOS、FortiPAM、FortiProxy、FortiClientMac、FortiClientWindows、FortiADC、FortiDLP、FortiSwitchManager、FortiManager、FortiAnalyzer、FortiSRA、FortiRecorder、FortiTester、FortiVoice、FortiWeb、FortiSASE、FortiSOAR和FortiSIEM等产品还修复了中危和低危漏洞。 这些漏洞可能被利用来执行任意代码、DLL劫持、获取敏感数据、绕过安全功能、造成拒绝服务（DoS）条件、进行XSS攻击、重定向用户以及提升权限。 目前没有证据表明这些漏洞已在野外被利用。许多问题是由Fortinet内部发现的。 Ivanti宣布为Endpoint Manager Mobile（EPMM）和Neurons for MDM中的漏洞提供补丁。Ivanti还发布了Endpoint Manager的安全公告，为本月早些时候披露的漏洞提供缓解选项。 在EPMM中，Ivanti修复了三个高危漏洞，这些漏洞可被具有管理员权限的认证攻击者利用来执行任意代码。公司还修复了一个中危问题，允许认证攻击者在磁盘上写入数据。 在Neurons for MDM中，Ivanti修复了两个高危问题。其中一个漏洞允许具有管理员权限的认证攻击者“注销任意设备，使目标设备从统一端点管理器UI中消失”。第二个问题是多因素认证（MFA）绕过漏洞，可被远程认证攻击者利用。 Neurons for MDM还修复了一个中危漏洞，允许远程未认证攻击者通过API端点访问敏感用户信息。 Ivanti也表示，没有证据表明这些漏洞正在野外被利用。 然而，Ivanti和Fortinet的产品漏洞经常成为威胁行为者的攻击目标，因此他们的客户应尽快应用可用的补丁。         消息来源： securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：     今天是微软2025年9月的“周二补丁日”，包括针对81个漏洞的安全更新，其中包含两个公开披露的零日漏洞。 此次“周二补丁日”还修复了9个“严重”漏洞，其中5个是远程代码执行漏洞，1个是信息泄露漏洞，2个是权限提升漏洞。 以下是每个漏洞类别的漏洞数量： – 41个权限提升漏洞 – 2个安全功能绕过漏洞 – 22个远程代码执行漏洞 – 16个信息泄露漏洞 – 3个拒绝服务漏洞 – 1个欺骗漏洞 当BleepingComputer报道“周二补丁日”的安全更新时，我们只计算在“周二补丁日”发布的更新。 因此，漏洞数量不包括本月早些时候修复的三个Azure漏洞、一个Dynamics 365 FastTrack实施资产漏洞、两个Mariner漏洞、五个Microsoft Edge漏洞和一个Xbox漏洞。 要了解更多关于今天发布的非安全更新的信息，您可以查看我们关于Windows 11 KB5065426和KB5065431累积更新以及Windows 10 KB5065429更新的专门文章。 修复两个公开披露的零日漏洞 本月的“周二补丁日”修复了Windows SMB服务器和Microsoft SQL服务器中的两个公开披露的零日漏洞。微软将零日漏洞定义为在没有官方修复程序的情况下公开披露或正在被利用的漏洞。 这两个公开披露的零日漏洞是： · CVE-2025-55234 – Windows SMB权限提升漏洞 微软修复了一个通过中继攻击利用的SMB服务器权限提升漏洞。 “根据配置，SMB服务器可能容易受到中继攻击。成功利用这些漏洞的攻击者可以执行中继攻击，并使用户受到权限提升攻击。”微软解释道。 微软表示，Windows已经包括了一些设置，以增强SMB服务器对中继攻击的防护，包括启用SMB服务器签名和SMB服务器扩展保护认证（EPA）。 然而，启用这些功能可能会导致与旧设备和实现的兼容性问题。 微软建议管理员在SMB服务器上启用审核，以确定在完全强制执行这些加固功能时是否会遇到任何问题。 “作为2025年9月9日及以后发布的Windows更新的一部分（CVE-2025-55234），启用了对SMB服务器签名以及SMB服务器EPA的SMB客户端兼容性的审核支持。”微软解释道。 微软没有将该漏洞归因于任何研究人员，目前尚不清楚该漏洞是在何处被披露的。 · CVE-2024-21907 – VulnCheck：CVE-2024-21907 Newtonsoft.Json对异常条件的不当处理 微软修复了Newtonsoft.Json中的一个已知漏洞，该漏洞是作为Microsoft SQL Server的一部分包含的。 “CVE-2024-21907解决了Newtonsoft.Json在13.0.1版本之前的异常条件处理不当漏洞。”微软解释道。 “传递给JsonConvert.DeserializeObject方法的精心制作的数据可能会触发StackOverflow异常，导致拒绝服务。根据该库的使用情况，未经身份验证的远程攻击者可能能够导致拒绝服务条件。” “记录的SQL Server更新包含了修复此漏洞的Newtonsoft.Json更新。” 该漏洞于2024年被公开披露。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe警告称，其Commerce和Magento开源平台存在一个严重的安全漏洞，如果被成功利用，可能会使攻击者能够接管客户账户。 该漏洞被追踪为CVE-2025-54236（也称为SessionReaper），其CVSS评分为9.1（满分10.0），被描述为一个不当输入验证漏洞。Adobe表示，目前尚未发现有针对该漏洞的野外利用情况。 “潜在攻击者可以通过Commerce REST API在Adobe Commerce中接管客户账户。”Adobe在今天发布的一份咨询报告中表示。 该问题影响以下产品和版本： Adobe Commerce（所有部署方式）： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 – 2.4.4-p15及更早版本 Adobe Commerce B2B： – 1.5.3-alpha2及更早版本 – 1.5.2-p2及更早版本 – 1.4.2-p7及更早版本 – 1.3.4-p14及更早版本 – 1.3.3-p15及更早版本 Magento开源： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 自定义属性可序列化模块： – 0.1.0至0.4.0版本 除了发布针对该漏洞的热修复程序外，Adobe还表示，已部署网络应用防火墙（WAF）规则，以保护使用Adobe Commerce云基础设施的商家免受可能的利用尝试。 “SessionReaper是Magento历史上更严重的漏洞之一，可与2015年的Shoplift、2019年的Ambionics SQLi、2022年的TrojanOrder和2024年的CosmicSting相提并论。”电子商务安全公司Sansec表示。 这家总部位于荷兰的公司表示，已成功复现了利用CVE-2025-54236的一种可能方式，但指出还有其他可能的途径可以利用该漏洞。 “该漏洞遵循去年CosmicSting攻击的熟悉模式。”它补充道，“该攻击结合了恶意会话和Magento REST API中的嵌套反序列化漏洞。” “特定的远程代码执行向量似乎需要基于文件的会话存储。然而，我们建议使用Redis或数据库会话的商家也立即采取行动，因为有多种方式可以滥用这个漏洞。” Adobe还发布了修复程序，以修复ColdFusion中的一个关键路径遍历漏洞（CVE-2025-54261，CVSS评分：9.0），该漏洞可能导致任意文件系统写入。它影响所有平台上的ColdFusion 2021（更新21及更早版本）、2023（更新15及更早版本）和2025（更新3及更早版本）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）中的提权漏洞已在针对性攻击中被利用。 谷歌本周发布了2025年9月的安卓补丁集，共修复了111个独特的CVE漏洞，其中包括被利用的零日漏洞。 这两个被利用的漏洞都是提权问题，分别影响安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）。 “有迹象表明以下漏洞可能正在受到有限的针对性利用：CVE-2025-38352、CVE-2025-48543，”谷歌的公告中写道。 Linux内核漏洞的修复已于7月宣布，该漏洞与POSIX CPU计时器的处理有关，存在竞争条件。所有主要发行版似乎都已修复了该漏洞。 尽管在谷歌发出最新警告之前没有关于该漏洞被利用的报告，但该漏洞是由谷歌威胁分析小组（TAG）的Benoît Sevens报告的，这表明它可能在间谍软件攻击中被利用。 谷歌的公告没有提供关于安卓运行时安全缺陷的详细信息，除了它影响安卓开源项目（AOSP）13、14、15和16版本。 安卓Runtime零日漏洞已在2025-09-01安全补丁级别中得到解决，该补丁级别还解决了框架、系统和Widevine DRM中的其他58个漏洞。 谷歌警告说，其中最严重的是系统组件中的一个高危远程代码执行缺陷（CVE-2025-48539），该缺陷可以在不需要额外权限的情况下被利用。 更新到2025-09-05安全补丁级别的设备还将获得Linux内核漏洞的修复，以及影响Linux内核和Arm、Imagination Technologies、联发科、高通组件的其他51个问题的修复。 本月，谷歌为Pixel设备发布了一轮新的安全更新，解决了这些设备特有的23个漏洞，以及安卓2025年9月安全公告中识别的所有漏洞。 安卓公告中描述的所有漏洞也已通过Wear OS、Pixel Watch和汽车操作系统更新得到解决。Wear OS和Pixel Watch更新分别包含针对另外两个和一个安全缺陷的修复。 建议用户在其设备可用2025-09-05安全补丁级别时尽快进行更新。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在发现一个正在被野外积极利用的安全漏洞后，联邦文职行政分支（FCEB）机构被建议在2025年9月25日之前更新其Sitecore实例。 该漏洞被追踪为CVE-2025-53690，其CVSS评分为9.0（满分10.0），表明其严重性为关键级别。 “Sitecore体验管理器（XM）、体验平台（XP）、体验商务（XC）和托管云包含一个涉及使用默认机器密钥的不可信数据反序列化漏洞，”美国网络安全与基础设施安全局（CISA）表示。 “该漏洞允许攻击者利用暴露的ASP.NET机器密钥来实现远程代码执行。” 谷歌旗下的Mandiant发现了这一正在被积极利用的ViewState反序列化攻击，该活动利用了2017年及更早版本的Sitecore部署指南中暴露的一个示例机器密钥。威胁情报团队并未将该活动与任何已知的威胁行为者或组织联系起来。 “攻击者对被入侵产品和被利用漏洞的深入了解体现在他们从最初的服务器入侵到权限提升的过程中，”研究人员Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok和Choon Kiat Ng表示。 微软在2025年2月首次记录了公开披露的ASP.NET机器密钥的滥用情况，该科技巨头观察到有限的利用活动可以追溯到2024年12月，当时未知的威胁行为者利用这些密钥来传递Godzilla后利用框架。 两个月后，Gladinet的CentreStack中一个类似的零日漏洞（被追踪为CVE-2025-30406，CVSS评分：9.0）开始被利用。该漏洞源于一个保护不当的machineKey，可能会使可访问互联网的服务器暴露于远程代码执行攻击。 2025年5月，ConnectWise披露了一个影响ScreenConnect的不当身份验证漏洞（CVE-2025-3935，CVSS评分：8.1），并称该漏洞已被一个国家级威胁行为者在野外利用，以针对一小部分客户进行ViewState代码注入攻击。 就在7月，名为Gold Melody的初始访问代理（IAB）被归因于一个利用泄露的ASP.NET机器密钥以获取组织的未经授权访问并将其出售给其他威胁行为者的活动。 在Mandiant记录的攻击链中，CVE-2025-53690被武器化以实现面向互联网的Sitecore实例的初始入侵，随后部署了一系列开源和定制工具，以协助侦察、远程访问和活动目录侦察。 使用公开可用部署指南中指定的示例机器密钥传递的ViewState有效载荷是一个名为WEEPSTEEL的.NET程序集，它能够收集系统、网络和用户信息，并将详细信息泄露回攻击者。该恶意软件借鉴了一些来自名为ExchangeCmdPy.py的开源Python工具的功能。 利用获得的访问权限，攻击者被发现会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终导致数据被盗。在这些阶段使用的一些工具如下： – EarthWorm：用于通过SOCKS进行网络隧道 – DWAgent：用于持久远程访问和活动目录侦察，以识别目标网络中的域控制器 – SharpHound：用于活动目录侦察 – GoTokenTheft：用于列出系统上活跃的唯一用户令牌、使用用户令牌执行命令以及列出所有正在运行的进程及其关联的用户令牌 – 远程桌面协议（RDP）：用于横向移动 攻击者还被观察到创建本地管理员账户（asp$和sawadmin），以转储SAM/SYSTEM蜂巢，试图获取管理员凭证访问权限并通过RDP促进横向移动。 “随着管理员账户被入侵，之前创建的asp$和sawadmin账户被删除，这表明攻击者转向了更稳定和隐蔽的访问方法，”Mandiant补充道。 为了应对这一威胁，建议组织轮换ASP.NET机器密钥、锁定配置，并扫描其环境以寻找入侵迹象。 “CVE-2025-53690的后果是，某个地方的一个积极的威胁行为者显然使用了在产品文档中公开披露的静态ASP.NET机器密钥来获取暴露的Sitecore实例的访问权限，”VulnCheck安全研究副总裁Caitlin Condon告诉《黑客新闻》。 “该零日漏洞既源于不安全的配置本身（即使用静态机器密钥），也源于公开曝光——正如我们以前多次看到的那样，威胁行为者肯定会阅读文档。即使是稍微怀疑自己可能受到影响的防御者也应该立即轮换他们的机器密钥，并确保尽可能地，他们的Sitecore安装不会暴露在公共互联网上。” watchTowr的主动威胁情报负责人Ryan Dewhurst表示，该问题源于Sitecore客户从官方文档中复制和粘贴示例密钥，而不是生成独特、随机的密钥。 “任何使用这些已知密钥的部署都容易受到ViewState反序列化攻击，这是一条直接通往远程代码执行（RCE）的捷径，”Dewhurst补充道。 “Sitecore已确认新部署现在会自动生成密钥，并且所有受影响的客户都已收到通知。影响范围尚不清楚，但这个漏洞具有通常定义严重漏洞的所有特征。更广泛的影响尚未显现，但终将会。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，海康威视HikCentral软件中存在三个漏洞，该软件是广泛应用于视频监控、门禁控制和集成安全运营的集中管理平台。 这三个漏洞分别是： CVE-2025-39245（基础评分4.7）：部分HikCentral Master Lite版本存在CSV注入漏洞，攻击者可通过恶意CSV数据注入可执行命令。 CVE-2025-39246（基础评分5.3）：部分HikCentral FocSign版本存在未加引号的服务路径漏洞，已认证用户可能通过本地访问实现权限提升。 CVE-2025-39247（基础评分8.6）：部分HikCentral Professional版本存在访问控制漏洞，未认证用户可获取管理员权限。 其中，CVE-2025-39247被评定为高风险等级，它允许未经任何认证的用户完全接管HikCentral Professional系统。当攻击者甚至无需登录即可提升其权限时，他们实质上就掌控了整个环境。这为操纵配置、篡改日志甚至关闭关键监控功能开辟了直接路径。 HikCentral是许多组织安全基础设施的核心。公司依赖它来管理监控摄像头、控制建筑物出入并将来自多个设备的数据集成到一个统一的平台中。攻击者可以利用此权限提升漏洞接管这些功能。一旦攻击者提升了权限，他们就可以以管理员身份操作、安装恶意软件、创建隐藏账户或窃取敏感信息。想象一下这样的场景：攻击者在物理入侵期间关闭摄像头、解锁受限门禁或修改审计日志以隐藏证据。这种场景对受影响组织的安全和业务连续性构成了严重威胁。 受影响的版本及修复版本如下： 产品名称 CVE 编号 受影响版本 修复版本 HikCentral Master Lite CVE-2025-39245 V2.2.1 至 V2.3.2 V2.4.0 HikCentral FocSign CVE-2025-39246 V1.4.0 至 V2.2.0 V2.3.0 HikCentral Professional CVE-2025-39247 V2.3.1 至 V2.6.2 及 V3.0.0 V2.6.3/V3.0.1 运行这些版本的组织应将此披露视为一个警示。 就HikCentral而言，风险更高是因为攻击者甚至无需先进行身份验证。他们可以匿名访问系统，利用该漏洞，并立即获得提升的控制权。这种绕过行为削弱了对标准认证过程的所有信任。 厂商已发布修复指南，最好的应对措施是立即应用更新。HikCentral管理员应： 在应用更新的同时加固环境：限制系统的外部暴露。 检查其部署的版本号：如果版本处于受影响范围内，则需要关注。 下载并安装海康威视在其官方安全公告中提供的最新补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文