HackerNews 编译，转载请注明出处： 黑客正利用 Gladinet 公司旗下 CentreStack 与 Triofox 产品中的零日漏洞（漏洞编号 CVE-2025-11371）发起攻击。该漏洞可使本地攻击者在无需身份验证的情况下，访问系统文件。 目前已有至少三家企业成为攻击目标。尽管官方补丁尚未发布，但用户可通过临时缓解措施降低风险。 CentreStack 与 Triofox 是 Gladinet 推出的企业级文件共享与远程访问解决方案，支持企业将自有存储资源用作 “私有云”。据厂商介绍，CentreStack “已被来自 49 个国家的数千家企业采用”。 此次发现的零日漏洞 CVE-2025-11371 属于 “本地文件包含漏洞”（Local File Inclusion，LFI），影响 CentreStack 与 Triofox 的默认安装配置，且所有版本（包括最新版本 16.7.10368.56560）均存在该漏洞。 托管式网络安全平台 Huntress 的研究人员于 9 月 27 日发现了这一安全问题 —— 当时有黑客成功利用该漏洞获取了目标设备的 “机器密钥”（machine key），并实现了远程代码执行。 进一步分析显示，黑客通过该 LFI 漏洞读取了系统中的 Web.config 配置文件，并从中提取出机器密钥。随后，黑客利用另一处老旧的 “反序列化漏洞”（漏洞编号 CVE-2025-30406），通过 ViewState（ASP.NET框架中的状态管理机制）实现了 “远程代码执行”（Remote Code Execution，RCE）—— 即远程操控目标设备。 值得注意的是，CentreStack 与 Triofox 中的 CVE-2025-30406 反序列化漏洞早在今年 3 月就已被黑客在实际攻击中利用。该漏洞的根源是软件中存在 “硬编码机器密钥”（即密钥被固定写入代码，无法修改），黑客一旦获取该密钥，即可在受影响系统上执行远程代码。 Huntress 在报告中表示：“经后续分析发现，黑客利用了这一无需身份验证的本地文件包含漏洞（CVE-2025-11371），从应用程序的 Web.config 文件中获取机器密钥，再通过上述 ViewState 反序列化漏洞实现远程代码执行。” Huntress 已就该漏洞联系 Gladinet 公司。厂商确认已知晓此漏洞，并表示正在通知用户采取临时规避措施，直至正式补丁发布。 研究人员已向受攻击的企业客户提供了缓解方案，并公开了以下针对 CVE-2025-11371 的防护建议： 找到路径为 “C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config” 的配置文件，禁用其中 “UploadDownloadProxy 组件” 的 “temp handler”（临时处理器）功能； 在该 Web.config 文件中定位并删除定义 “temp handler” 的代码行 —— 该行代码指向 “t.dn”。 上述代码行是触发漏洞的关键：黑客正是通过该功能利用本地文件包含漏洞发起攻击，因此删除该行代码可有效阻止 CVE-2025-11371 漏洞被利用。 研究人员同时提醒，这些缓解措施 “可能会对平台的部分功能产生影响”，但能确保漏洞不会被黑客利用。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）与Mandiant在周四发布的一份新报告中表示，自2025年8月9日起，甲骨文公司电子商务套件（EBS）软件的一个安全漏洞遭到零日漏洞利用，可能已影响到数十家机构。 谷歌云威胁情报首席分析师John Hultquist在接受The Hacker News采访时表示：“我们仍在评估这一事件的范围，但相信已有数十家组织受到影响”，“过去一些Cl0p的数据勒索行动中受害者多达数百家。不幸的是，这类大规模零日攻击活动正在成为网络犯罪的常态。” 这次活动带有Cl0p勒索软件团伙的典型特征。攻击者组合利用了多个不同漏洞，其中包括一个编号为CVE-2025-61882（CVSS评分9.8）的零日漏洞，用以入侵目标网络并窃取敏感数据。谷歌称，其发现可疑活动可追溯至2025年7月10日，但这些早期尝试的成功程度尚不明确。Oracle此后已发布补丁修复漏洞。 攻击背景与手法 Cl0p又名Graceful Spider，自2020年活跃以来，曾多次利用零日漏洞发动大规模攻击，目标包括Accellion旧版文件传输设备（FTA）、GoAnywhere MFT、Progress MOVEit MFT和Cleo LexiCom等软件。以往 FIN11 黑客组织发起的钓鱼邮件活动通常是 CL0P 勒索软件部署的前奏，但谷歌表示，此次发现该文件加密恶意软件的操控者似乎是另一个不同的黑客组织。 2025 年 9 月 29 日，新一轮攻击正式展开，攻击者利用数百个被盗的第三方机构账户（这些账户分属不同组织）向企业高管发起大规模钓鱼邮件攻击。据称，这些账户的凭证是在地下论坛购买的，很可能来自信息窃取恶意软件日志。 邮件中声称攻击者已入侵目标机构的甲骨文电子商务套件应用并窃取敏感数据，要求对方支付一笔未指明金额的赎金，否则将泄露被盗信息。截至目前，此次攻击事件的受害者尚未出现在 CL0P 的数据泄露网站上，这与该组织以往的攻击模式一致 —— 通常会等待数周后才公布受害者名单。 攻击者在攻击过程中综合运用了服务器端请求伪造、回车换行注入、身份验证绕过及可扩展样式表语言模板注入等多种技术手段，以获取目标甲骨文电子商务套件服务器的远程代码执行权限并建立反向 shell。 技术细节 谷歌表示，2025 年 8 月前后，发现某威胁行为者利用 “/OA_HTML/SyncServlet” 组件的漏洞实现远程代码执行，并最终通过模板预览功能触发可扩展样式表语言负载。目前已发现该负载中嵌入了两条不同的 Java 负载链： GOLDVEIN.JAVA：这是名为 “金脉”（GOLDVEIN）的下载器的 Java 变种（该下载器的 PowerShell 版本最早于 2024 年 12 月在多起克利奥软件产品漏洞利用事件中被发现），能够从命令与控制服务器接收第二阶段负载。 SAGEGIFT：这是一款为甲骨文 WebLogic 服务器定制的 Base64 编码加载器，用于启动内存驻留型投放器 SAGELEAF，进而安装恶意 Java servlet 过滤器 SAGEWAVE，该过滤器可用于安装一个加密压缩包，其中包含未知的后续阶段恶意软件（不过其主要负载与 FIN11 黑客组织的 GOLDTOMB 后门程序中的命令行界面模块存在部分重合）。 此外，还观察到威胁行为者通过电子商务套件的 “applmgr” 账户执行各类侦察命令，并通过运行 GOLDVEIN.JAVA 的 Java 进程启动 bash 进程执行相关命令。 值得注意的是，2025 年 7 月事件响应过程中发现的部分攻击痕迹，与 2025 年 10 月 3 日 “分散的 LAPSUS$ 猎人” 电报群泄露的一个漏洞利用程序存在重合。但谷歌表示，目前尚无足够证据表明该网络犯罪团伙参与了此次攻击活动。 战略评估 GTIG 指出，从此次攻击投入的资源规模来看，发起初始入侵的威胁行为者很可能在攻击前投入了大量资源进行研究。 这家科技巨头表示，目前尚未正式将此次系列攻击归属于某个已知威胁组织，但强调攻击者使用 CL0P 名号这一行为值得关注。不过，有迹象表明该威胁行为者与 CL0P 存在关联。谷歌还指出，此次攻击中使用的后期利用工具与此前疑似 FIN11 组织攻击活动中使用的恶意软件（如 GOLDVEIN 和 GOLDTOMB）存在重合，且用于发送近期勒索邮件的一个被盗账户此前曾被 FIN11 组织使用过。 声明中提到：“先利用广泛使用的企业级应用程序中的零日漏洞，数周后发起大规模品牌化勒索活动，这一模式是 FIN11 组织的典型攻击特征，该模式具有战略优势，可能也会被其他威胁行为者借鉴。” “针对存储敏感数据的面向公众的应用程序及设备发起攻击，可能会提高数据窃取效率，因为威胁行为者无需投入时间和资源进行横向渗透。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zimbra 零日漏洞详情 Zimbra 协作套件（Zimbra Collaboration）中一个现已修复的安全漏洞，于今年早些时候被作为零日漏洞（指未被厂商发现、未修复的漏洞）利用，攻击者借此针对巴西军方发起网络攻击。 该漏洞编号为CVE-2025-27915，CVSS 漏洞评分（衡量漏洞严重程度的标准）为 5.4，本质是 Zimbra 经典网页客户端（Classic Web Client）中的存储型跨站脚本漏洞（XSS） 。其成因是对 ICS 日历文件中的 HTML 内容过滤不充分，最终可导致攻击者执行任意代码。 美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述指出：“当用户查看包含恶意 ICS 条目（指 ICS 文件中的特定内容块）的电子邮件时，嵌入在<details>标签内、通过ontoggle事件触发的 JavaScript 代码会被执行。” 这种漏洞利用方式使得攻击者能在受害者的会话（即用户当前登录状态）中运行任意 JavaScript 代码，进而可能实施未授权操作 —— 例如设置邮件过滤器，将受害者的邮件重定向至攻击者控制的邮箱地址。最终，攻击者可对受害者账号执行多种未授权操作，包括邮件劫持与数据窃取。 漏洞修复与真实攻击案例 Zimbra 已于 2025 年 1 月 27 日发布的版本（9.0.0 Patch 44、10.0.13、10.1.5）中修复了该漏洞。不过，当时 Zimbra 发布的安全公告中，并未提及该漏洞已被用于真实世界的攻击活动。 但据网络安全公司 StrikeReady Labs 于 2025 年 9 月 30 日发布的报告显示，已监测到的真实攻击活动中，身份不明的威胁 actor（指发起攻击的个人或组织）通过伪造利比亚海军礼宾办公室的身份，向巴西军方发送包含恶意 ICS 文件的邮件，利用上述漏洞发起攻击。 该恶意 ICS 文件中包含一段 JavaScript 代码，其功能相当于一个 “全能数据窃取器”：可将受害者的账号凭证（如用户名密码）、电子邮件、联系人信息及共享文件夹数据窃取至外部服务器（域名为 “ffrk [.] net”）；同时会搜索受害者邮箱中特定文件夹内的邮件，并添加名为 “Correo” 的恶意 Zimbra 邮件过滤规则，将这些邮件自动转发至邮箱 “spam_to_junk@proton.me”。 为躲避检测，这段恶意脚本还被设计了两种反侦察机制：一是隐藏邮箱界面中的部分元素，避免被用户察觉；二是设置 “触发条件”—— 仅当距离上次执行已超过 3 天时才会启动（防止频繁运行导致暴露）。 相关攻击模式与 Zimbra 回应 目前尚不清楚此次针对巴西军方的攻击背后的具体组织，但今年早些时候，网络安全公司 ESET 曾披露，代号为APT28的俄罗斯高级持续性威胁组织（APT，指具备长期潜伏、精准攻击能力的黑客组织），曾利用包括 Roundcube、Horde、MDaemon 及 Zimbra 在内的多款网页邮件系统中的 XSS 漏洞，获取未授权访问权限。 此外，其他黑客组织（如Winter Vivern、UNC1151，后者又名 “Ghostwriter”）也采用过类似攻击手法（利用 XSS 漏洞）实施凭证窃取。 最新更新 在《黑客新闻》（The Hacker News）获取的一份声明中，Zimbra 表示其调查未发现该漏洞被用于针对巴西实体发起攻击的证据，并强调：“所有运行 2025 年 1 月及之后发布的版本（9.0.0 Patch 44、10.0.13、10.1.5）的 Zimbra 协作套件（ZCS）实例均不受该漏洞影响，不存在持续风险。” 目前《黑客新闻》已联系 StrikeReady Labs 寻求进一步置评，若收到回复将对报道进行补充更新。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，思科（Cisco）与网络安全机构就一场攻击活动发出警报：某 “高级威胁行为者” 正利用此前未被发现的思科高危漏洞发起持续攻击。借助这些漏洞，攻击者可实现权限提升，并以 “根用户（root）” 身份在防火墙设备上执行远程代码。 网络安全搜索引擎 Censys警告称，其检测到 192,038 台可通过互联网访问的思科路由器与交换机（运行 IOS 或 IOS XE 系统）暴露在外，且这些设备均启用了 SNMP（简单网络管理协议，Simple Network Management Protocol）服务。 Censys 在安全公告中表示：“我们建议立即排查所有启用 SNMP 服务的设备，确认其是否已安装补丁或采取缓解措施。鉴于该漏洞的高危属性及当前正被利用的现状，相关处置工作需紧急推进。” 上周，思科披露了其产品线中存在的多个高危漏洞，涉及 SNMP 服务及思科安全防火墙产品（包括自适应安全设备 Adaptive Security Appliance、思科安全防火墙威胁防御系统 Cisco Secure Firewall Threat Defense 等软件）。 SNMP 协议主要用于设备的远程管理与监控。此次发现的漏洞可被已通过远程认证的攻击者滥用：根据攻击者拥有的权限不同，其可通过漏洞导致设备 “拒绝服务（DoS）”，或直接以根用户身份执行远程代码。 尽管思科防火墙中的漏洞风险等级更高，但暴露在外的 SNMP 服务可通过外部扫描轻易被发现 —— 攻击者也能借助物联网（IoT）搜索引擎，轻松定位到这些暴露的服务。 此次特定的 SNMP 漏洞影响范围包括未打补丁的思科 IOS 及 IOS XE 软件，涉及的硬件设备包括思科 Catalyst 9300 系列交换机与 Meraki MS390 交换机。且该漏洞对所有旧版本的 SNMP 协议均存在影响。 美国网络安全与基础设施安全局（CISA）上周发布指令，强制要求各政府机构在24 小时内为相关设备安装补丁。 CISA 上周指出：“此次攻击活动波及范围广泛，给目标网络带来重大风险。” 目前，思科已发布紧急软件更新以修复上述漏洞，且暂无其他可替代的临时缓解方案（即除安装官方补丁外，无其他办法规避漏洞风险）。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Fortra 公司 GoAnywhere MFT（托管文件传输）软件中的一个最高严重级别漏洞（CVE-2025-10035）。该漏洞允许攻击者在无需身份验证的情况下远程注入命令。 供应商（Fortra）于 9 月 18 日披露了此漏洞，但该公司在一周前就已知晓相关情况，且未透露该漏洞的发现方式，也未说明其是否已被用于攻击活动。 CVE-2025-10035 是 GoAnywhere 托管文件传输软件 “许可证服务端程序（License Servlet）” 中存在的反序列化漏洞。“持有伪造有效许可证响应签名的攻击者” 可利用该漏洞注入命令。 尽管 Fortra 的安全公告尚未更新，未纳入该漏洞已被用于攻击活动的相关信息，但安全研究机构 WatchTowr Labs 表示，他们已获得 “可靠证据”，证明 Fortra GoAnywhere 的 CVE-2025-10035 漏洞正被作为零日漏洞（指未被供应商修复就已被利用的漏洞）利用。 WatchTowr 的报告中写道：“我们已获得可靠证据，证明早在 2025 年 9 月 10 日，就有人在实际攻击中利用 Fortra GoAnywhere 的 CVE-2025-10035 漏洞。” 研究人员指出：“这比 Fortra 于 2025 年 9 月 18 日发布公开公告的时间早了 8 天。” “这也解释了为何 Fortra 后来决定发布有限的入侵指标（IOCs），目前我们强烈建议防御人员立即改变对（漏洞相关）时间线和风险的认知。” WatchTowr 证实，其分析的数据中包含与漏洞利用及后门账户创建相关的堆栈跟踪信息，具体攻击行为包括： 利用该未授权反序列化漏洞实现远程命令执行； 创建名为 “admin-go” 的后门管理员账户； 通过该账户创建网络用户，以获取 “合法” 访问权限； 上传并执行多个二级有效载荷（恶意代码）。 从 WatchTowr 在报告末尾公布的入侵指标可知，相关有效载荷的文件名为 “zato_be.exe” 和 “jwunst.exe”。 其中，“jwunst.exe” 本是远程访问工具 SimpleHelp 的合法二进制文件，但在此次攻击中，攻击者滥用该文件对已攻陷的终端实现持久化手动控制。 研究人员还指出，攻击者执行了 “whoami/groups” 命令（该命令可显示当前用户账户及所属的 Windows 用户组），并将执行结果保存到文本文件 “test.txt” 中，以便后续窃取该文件。 通过这种操作，威胁攻击者能够确认被攻陷账户的权限，并寻找在已入侵环境中横向移动（即从一个受感染设备扩散到其他设备）的机会。 已观测到的漏洞利用痕迹 CVE-2025-10035 漏洞已观测到的利用痕迹来源：WatchTowr Labs BleepingComputer（科技媒体）已联系 Fortra，请求其就 WatchTowr 的发现发表评论，但截至目前尚未收到回复。 鉴于 CVE-2025-10035 漏洞正被积极利用，建议尚未采取应对措施的系统管理员将 GoAnywhere MFT 升级至修复版本，可选择最新版本 7.8.4 或长期支持版本（Sustain Release）7.6.3。 其中一项缓解措施（指在无法立即修复时降低风险的临时手段）是移除 GoAnywhere 管理控制台（GoAnywhere Admin Console）的公网访问权限。 Fortra 还建议管理员检查日志文件，查看是否存在包含 “SignedObject.getObject” 字符串的错误信息，以此判断自身的 GoAnywhere 实例是否已受到影响。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科发布了安全更新，以修复其 Cisco IOS 和 IOS XE 软件 中一个正在被利用的高危零日漏洞。 该漏洞编号为 CVE-2025-20352，源于受影响 IOS 和 IOS XE 软件中 简单网络管理协议（SNMP）子系统的栈缓冲区溢出缺陷，凡是启用 SNMP 的设备都可能受影响。 根据思科通报，经过身份验证的低权限远程攻击者可以利用此漏洞在未打补丁的设备上触发 拒绝服务（DoS）攻击。而高权限攻击者则可能通过在受影响的 Cisco IOS XE 系统上以 root 用户身份执行代码，从而获得对系统的完全控制。 思科在周三的安全公告中指出：“攻击者可以通过向受影响设备发送特制的 SNMP 数据包（可通过 IPv4 或 IPv6 网络），来利用这一漏洞。” 思科产品安全事件响应团队（PSIRT）已确认，在部分本地管理员凭据泄露后，攻击者已在野外成功利用该漏洞。思科强烈建议客户立即升级至修复版本以解决该问题。 目前，除了应用思科发布的补丁外，没有其他解决方法。思科表示，如果管理员无法立刻升级，可以暂时通过 限制 SNMP 访问仅限可信用户 来降低风险。 思科在公告中强调：“要彻底修复该漏洞并避免未来的风险，思科强烈建议客户升级到公告中指明的修复软件版本。” 除了此次零日漏洞，思科今天还修复了另外 13 个安全漏洞，其中包括两个已公开概念验证（PoC）利用代码的漏洞： CVE-2025-20240：一个 Cisco IOS XE 的反射型跨站脚本（XSS）漏洞，未经身份验证的远程攻击者可利用它从受影响设备窃取 Cookie。 CVE-2025-20149：一个拒绝服务漏洞，允许经过身份验证的本地攻击者迫使受影响设备重启。 此外，今年 5 月，思科还修复了一处 IOS XE 的最高严重等级漏洞，该漏洞影响无线局域网控制器（WLC），攻击者可利用系统内置的 硬编码 JSON Web Token (JWT)，在未经身份验证的情况下远程接管设备。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司紧急修复了影响iOS、iPadOS和macOS系统的安全漏洞CVE-2025-43300。该零日漏洞已被黑客在真实攻击中利用，其本质是ImageIO图像处理框架中的越界写入漏洞。攻击者可通过构造恶意图片文件触发内存损坏。 苹果在安全公告中指出：“处理恶意图像文件可能导致内存损坏。苹果确认收到报告，显示该漏洞可能已被用于针对特定目标的极其复杂攻击。”公司已通过改进边界检查机制修复该问题。 以下系统版本包含漏洞修复补丁： iOS 18.6.2与iPadOS 18.6.2：适用于iPhone XS及后续机型、13英寸iPad Pro、12.9英寸iPad Pro（第3代及后续）、11英寸iPad Pro（第1代及后续）、iPad Air（第3代及后续）、iPad（第7代及后续）、iPad mini（第5代及后续） iPadOS 17.7.10：适用于12.9英寸iPad Pro（第2代）、10.5英寸iPad Pro及第6代iPad macOS Ventura 13.7.8：适用于运行Ventura系统的Mac设备 macOS Sonoma 14.7.8：适用于运行Sonoma系统的Mac设备 macOS Sequoia 15.6.1：适用于运行Sequoia系统的Mac设备 苹果未透露漏洞攻击的技术细节。此次修复使苹果2025年已修补的实战利用零日漏洞数量增至七个，此前修复的漏洞包括：CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201及CVE-2025-43200。         消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WinRAR文件压缩工具的维护者已发布更新，修复一个被积极利用的零日漏洞。该漏洞编号为CVE-2025-8088（CVSS评分：8.8），被描述为影响该工具Windows版本的路径遍历缺陷，攻击者可制作恶意存档文件利用该漏洞实现任意代码执行。 WinRAR在公告中表示：“解压文件时，旧版WinRAR（包括Windows版RAR、UnRAR、便携式UnRAR源代码及UnRAR.dll）可能被诱骗采用特制存档中定义的路径，而非用户指定路径。”ESET研究人员Anton Cherepanov、Peter Košinár和Peter Strýček因发现并报告该安全缺陷获得致谢，漏洞已在2025年7月31日发布的WinRAR 7.13版中修复。 目前尚不清楚该漏洞在真实攻击中如何被武器化及攻击者身份。2023年，另一个WinRAR漏洞（CVE-2023-38831，CVSS评分：7.8）曾遭中俄多股威胁力量大量利用，包括零日攻击。俄罗斯网络安全供应商BI.ZONE上周报告称，有迹象表明被追踪为Paper Werewolf（又名GOFFEE）的黑客组织可能同时利用了CVE-2025-8088和CVE-2025-6218（2025年6月修复的WinRAR Windows版目录遍历漏洞）。值得注意的是，攻击发生前，2025年7月7日，名为“zeroplayer”的威胁行为体在俄语暗网论坛Exploit.in上以8万美元标价兜售所谓的WinRAR零日漏洞利用程序。怀疑Paper Werewolf组织可能购得该利用程序并发动攻击。 WinRAR在针对CVE-2025-6218的警报中说明：“旧版WinRAR及相关组件中，包含任意代码的特制存档可在解压过程中操控文件路径。利用此漏洞需用户交互，可能导致文件写入预期目录之外。攻击者可借此将文件植入敏感位置（如Windows启动文件夹），最终可能导致系统下次登录时意外执行代码。”据BI.ZONE描述，攻击者于2025年7月通过携带陷阱存档的网络钓鱼邮件针对俄罗斯组织，触发CVE-2025-6218及可能的CVE-2025-8088漏洞，实现非目标目录文件写入和代码执行，同时向受害者展示诱饵文档作为干扰。 BI.ZONE解释：“漏洞成因在于创建RAR存档时可包含含相对路径的备用数据流文件。这些数据流可携带任意有效载荷。解压此类存档或直接从存档打开附件时，备用数据流会被写入磁盘任意目录，形成路径遍历攻击。”该漏洞影响WinRAR 7.12及更早版本，7.13版已彻底修复。 攻击中使用的恶意负载之一是.NET加载程序，其设计目的是将系统信息发送至外部服务器并接收加密.NET程序集等额外恶意软件。BI.ZONE补充：“Paper Werewolf使用C#加载程序获取受害者计算机名，将其嵌入生成链接发送至服务器以获取有效载荷。该组织通过反向Shell中的套接字与控制服务器通信。” RomCom组织同步利用漏洞 斯洛伐克安全公司ESET观察到亲俄组织RomCom将CVE-2025-8088作为零日漏洞利用，这是该组织继CVE-2023-36884（2023年6月）、CVE-2024-9680和CVE-2024-49039（2024年10月）后第三次使用零日漏洞。研究人员确认：“成功利用尝试投放了RomCom组织使用的多种后门，包括SnipBot变种、RustyClaw和Mythic代理。此轮攻击针对欧洲和加拿大的金融、制造、国防及物流企业。” 攻击利用的恶意存档包含一个良性文件及多个用于路径遍历的备用数据流（ADS）。邮件使用简历主题诱骗收件人打开附件。解压存档会触发恶意DLL执行，同时攻击者在Windows启动目录设置快捷方式（LNK）文件实现用户登录时持久化。该DLL负责解密嵌入式Shellcode，为后续部署Mythic代理（SnipBot/SingleCamper变种）和RustyClaw铺路。RustyClaw会获取并执行另一有效载荷——名为MeltingClaw（又名DAMASCENED PEACOCK）的下载器，该程序曾用于投放ShadyHammock或DustyHammock后门。 ESET表示，尽管遥测数据显示无目标沦陷，但此事表明RomCom已持续进化为能吸纳零日漏洞进行定向攻击的成熟威胁力量。“通过利用WinRAR未知零日漏洞，RomCom组织证明其愿投入大量精力和资源开展网络行动。攻击目标行业符合亲俄APT组织的典型利益版图，暗示行动存在地缘政治动机。” 7-Zip修复任意文件写入漏洞 本次披露恰逢7-Zip修复安全漏洞（CVE-2025-55188，CVSS评分：2.7），该漏洞因工具处理符号链接的方式可能被滥用于任意文件写入，进而导致代码执行。问题已在25.01版修复。在可能的攻击场景中，威胁行为体可利用该漏洞篡改敏感文件（如覆盖用户SSH密钥或.bashrc文件）实现未授权访问或代码执行。攻击主要针对Unix系统，但满足额外条件时也可适配Windows。安全研究员“lunbun”指出：“Windows系统上，7-Zip解压进程需具备创建符号链接的权限（例如使用管理员权限解压、Windows处于开发者模式等）。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技敦促其Apex One终端安全解决方案本地版本的用户安装更新，以修复两个0day漏洞。该公司于周二发布的安全公告警告客户，两个被追踪为CVE-2025-54948和CVE-2025-54987的关键漏洞已在至少一起野外攻击中被利用。 这些安全漏洞被称为操作系统命令注入问题，会影响Apex One管理控制台。未经身份验证的远程攻击者可以利用这些漏洞上传恶意代码，并在受影响的系统上执行命令。 CVE-2025-54987被描述为“本质上与CVE-2025-54948相同”，但影响不同的CPU架构。 趋势科技告知客户：“对于这个特定的漏洞，攻击者必须能够访问趋势科技Apex One管理控制台。因此，如果客户将控制台IP地址暴露在外部，应考虑采取诸如源限制之类的缓解措施（如果尚未应用的话）。” 根据公告，漏洞已于8月1日报告给趋势科技，该公司似乎紧急发布了漏洞补丁。 目前尚未分享有关利用CVE-2025-54948和/或CVE-2025-54987的0day攻击的详细信息。 漏洞由台湾网络安全公司CoreCloud Tech的研究员Jacky Hsieh报告。 威胁行为者针对趋势科技产品漏洞发起攻击的情况并不罕见。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 零日计划（Zero Day Initiative）宣布在2025年10月爱尔兰Pwn2Own黑客大赛中设立100万美元专项奖金，悬赏能演示WhatsApp零点击漏洞利用的安全研究人员。该奖金针对无需用户交互即可在WhatsApp上实现远程代码执行的高危漏洞。该通讯平台全球用户超30亿，漏洞潜在影响范围极大。 本届赛事由Meta、群晖科技（Synology）与威联通（QNAP）联合赞助，定于10月21日至24日在爱尔兰科克举行。零日计划在声明中明确表示：“Meta对本届赛事联合赞助充满期待，特别设立100万美元奖金激励零点击漏洞利用演示。同时设立次级奖项覆盖其他WhatsApp漏洞利用形式，详情请查阅‘消息应用’类别规则。去年此类挑战无人尝试，希望今年翻倍的奖金能激发参与热情。” 1、八大攻击目标类别： 移动设备（含三星Galaxy S25、谷歌Pixel 9、苹果iPhone 16旗舰机型） 消息应用（WhatsApp为重点目标） 家用网络设备 智能家居设备 打印机 网络存储系统（NAS） 监控设备 可穿戴技术（含Meta雷朋智能眼镜及Quest 3/3S头显） 2、攻击向量扩展： 移动设备类别新增USB端口攻击路径，要求参赛者通过物理连接突破锁屏手机；同时保留Wi-Fi、蓝牙、近场通信（NFC）等传统无线协议攻击方式。 参赛顺序通过随机抽签决定，注册截止时间为10月16日爱尔兰标准时间下午5时。 漏洞披露机制 参赛者演示的漏洞将在赛事结束后移交厂商，90天内未修复的漏洞由零日计划公开披露。2024年爱尔兰Pwn2Own大赛曾为70余个零日漏洞颁发107.8万美元奖金，越南Viettel安全团队因攻破QNAP存储设备、Lexmark打印机等目标获得20.5万美元奖金。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文