HackerNews 编译，转载请注明出处： 周二，美国能源部负责网络安全的最高官员表示，该部门计划首次发布一项战略计划，阐述其将如何更好地保护国家电网。 网络安全、能源安全与应急响应办公室（CESER）代理主任亚历克斯・菲茨西蒙斯称，该计划旨在补充近期发布的国家网络安全战略，重点聚焦于能源部将如何增强能源行业的 “安全弹性”。 菲茨西蒙斯表示，与私营部门建立伙伴关系的重要性以及强化合作的方式，将是这份战略计划的核心内容。 “私营企业在很大程度上负责保护自身网络，我们必须与之合作，” 菲茨西蒙斯在华盛顿特区举行的麦克拉里网络峰会上说道，“我们必须能够及时向他们提供可行的信息，以便他们保障自己网络的安全。” 菲茨西蒙斯还提到，该计划将着力研究如何通过最佳方式投资人工智能，以抵御对手部署的人工智能驱动的攻击性网络武器。 菲茨西蒙斯称：“我们必须在网络防御方面对人工智能进行投资，相关信息和技术将用于保障并强化关键能源基础设施，尤其是那些可能在未来冲突中涉及的国防关键能源基础设施。” “所有这些强化措施和信息技术，有助于我们应对网络和实体安全事件，并从中吸取经验教训，为能源行业及时提供可行的信息，这就是 CESER 战略计划的核心要点。” 在小组讨论结束后，记者在走廊上询问战略计划何时发布，菲茨西蒙斯只回答了 “很快”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ANY.RUN 的分析师发现，利用微软 OAuth 设备授权授予流程的钓鱼活动数量急剧上升，仅一周内就检测到超过 180 个恶意 URL。 与传统的凭据窃取不同，该技术会将受害者引导至合法的微软身份验证页面，这使得安全运营中心（SOC）极难实时发现入侵行为。 OAuth 设备码流程最初是为输入受限设备设计的，例如智能电视、会议室系统这类难以展示完整浏览器登录页面的设备。攻击者将这一合法机制挪作他用，实施基于令牌的账号劫持，可完全绕过多因素认证（MFA）。 OAuth 设备码滥用攻击链路 攻击链路始于威胁行为者发起微软设备授权请求，生成两个值：user_code（展示给受害者的、人类可识别的短字符串），以及 device_code（仅由攻击者持有的内部会话令牌）。 沙箱中暴露的攻击链路 随后受害者会被引导至钓鱼页面，这类页面通常伪装成 DocuSign 的文档通知，要求受害者复制验证码，并前往 microsoft [.] com/devicelogin 页面完成输入。 带有验证码的伪造 DocuSign 页面 由于该目标地址是真实的微软域名，受害者不会发现任何异常，通常会正常完成 MFA 验证。通过输入验证码，受害者在不知情的情况下授权了攻击者发起的登录会话，攻击者随后即可获取有效的 OAuth 访问令牌和刷新令牌 —— 全程无需获取受害者的密码。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Anthropic 于 2026 年 1 月使用其 Claude Opus 4.6 AI 模型在 Firefox 中发现了 22 个安全漏洞。Mozilla 已在 Firefox 148 版本中修复了这些问题。 研究人员表示，AI 模型如今已能够独立发现高严重级别的软件缺陷。他们在两周内识别出 22 个 Firefox 漏洞，其中 14 个为高严重级别，数量接近 2025 年 Firefox 修复的所有高严重级别漏洞的五分之一，这表明 AI 具备在复杂软件中快速检测关键安全风险的能力。 2025 年末，Anthropic 在 Firefox 上对 Claude Opus 4.6 进行了评估，测试其识别复杂、高影响安全漏洞的能力。起初，该模型成功复现了旧版 Firefox 中许多已公开的历史 CVE 漏洞。随后，研究人员让 Claude 从 JavaScript 引擎开始，寻找此前未被报告过的新漏洞。在二十分钟内，Claude 就识别出一个释放后重用（Use After Free）漏洞，研究团队对其进行了验证，并向 Mozilla 提交了该漏洞及建议补丁。在问题分类处理过程中，Claude 又发现了数十个额外的崩溃问题，最终在近 6000 个 C++ 文件中提交了总计 112 份独立报告。 “在就双方流程进行技术讨论并分享了一些我们手动验证过的其他漏洞后，他们鼓励我们批量提交所有发现，无需逐一验证，即便我们不确定所有崩溃测试用例都存在安全影响。”Anthropic 发布的报告中写道。“到这项工作结束时，我们扫描了近 6000 个 C++ 文件，并提交了总计 112 份独立报告，其中包括上述高、中严重级别的漏洞。” 大多数问题，包括高、中严重级别的漏洞，均已在 Firefox 148 中修复，剩余补丁计划在未来版本中发布。 Mozilla 对此次合作表示赞赏，并已开始在内部尝试使用 AI 辅助安全研究。该项目表明，AI 在快速检测和报告关键软件缺陷方面的能力正在不断提升。 为测试 Claude Opus 4.6 利用漏洞的能力，研究人员向其提供此前提交给 Mozilla 的漏洞，要求其生成可正常运行的漏洞利用程序。Claude 进行了数百次尝试，演示了读取和写入本地文件的攻击，消耗了约 4000 美元的 API 额度。它仅在两个案例中成功生成了可运行的漏洞利用程序，这表明尽管该模型擅长发现漏洞，但利用漏洞的难度和成本要高得多。 “我们以不同的起点运行了数百次测试，花费了约 4000 美元的 API 额度。尽管如此，Opus 4.6 仅能在两个案例中将漏洞真正转化为可利用程序。这告诉我们两件事。” 报告继续写道。“第一，Claude 发现这类漏洞的能力远强于利用漏洞的能力。第二，识别漏洞的成本比为其制作利用程序低一个数量级。然而，Claude 能够自动开发出简单的浏览器漏洞利用程序，即便仅在少数案例中成功，这一事实仍令人担忧。” 成功生成的漏洞利用程序较为 “简陋”，且仅在禁用了沙箱等安全功能的受控测试环境中有效，这意味着其在现实环境中的影响有限。尽管如此，Claude 能够自动生成哪怕是最基础的浏览器漏洞利用程序，凸显出随着 AI 辅助攻击能力提升所带来的潜在风险。 “这些早期由 AI 实现漏洞利用开发的迹象表明，防御方必须加快发现与修复的流程。” 报告总结道。“根据我们的经验，当 Claude 能够使用另一个工具检查自身输出时效果最好。我们将这类工具称为‘任务验证器’：一种可信的方法，用于确认 AI 代理的输出是否真正达成目标。任务验证器在代理分析代码库时提供实时反馈，使其能够深度迭代直至成功。任务验证器帮助我们发现了上述 Firefox 漏洞，并且在另一项研究中，我们发现它们对修复漏洞同样有用。” Mozilla 表示，AI 辅助分析还发现了另外 90 个 Firefox 漏洞，其中大部分已修复，包括传统模糊测试所遗漏的逻辑错误，这凸显了 AI 在安全领域日益重要的作用。 “发现的规模体现了将严谨工程与新型分析工具相结合以实现持续改进的力量。我们认为这明确证明，大规模 AI 辅助分析是安全工程师工具箱中一项强大的新工具。”Mozilla 表示。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子越来越多地利用合法的管理软件发起攻击，这使得他们的恶意活动更难被发现。 这些行为者不再仅仅依赖定制的计算机病毒，而是滥用合法的员工监控工具来隐藏在企业网络中。 通过使用旨在跟踪员工生产力的软件，他们可以控制系统并窃取敏感数据，而不会触发标准的安全警报。 这种策略使他们能够融入正常的日常流量中，绕过通常用于拦截已知恶意程序的防御措施。 在最近的攻击活动中，主要使用的工具是“Net Monitor for Employees Professional”和“SimpleHelp”。 尽管这些应用程序是为提供有用的 IT 支持和员工监督而设计的，但黑客已经将其用于恶意目的。 Net Monitor for Employees Professional 控制台界面（来源：Huntress） 他们利用这些软件的强大功能（例如查看屏幕、管理文件和运行命令）来控制计算机。这实际上将一款标准的办公工具变成了远程控制网络的危险武器。 Huntress 分析师在 2026 年初发现了这种特定活动，并指出攻击者利用这些工具维持长期访问权限。 研究人员观察到，入侵者不仅监视用户，还积极地为更具破坏性的攻击做准备。 通过建立这种隐蔽的立足点，攻击者可以在 IT 团队不知情的情况下执行技术命令并禁用安全措施。 这种静默访问通常会导致尝试部署“Crazy”勒索软件（一种文件锁定病毒）以及窃取加密货币。 规避技术和持久性 攻击者竭力伪装其在受感染机器上的存在，以避免被清除。他们经常将恶意文件重命名，使其看起来像重要的 Microsoft 服务。 例如，监控代理通常注册为“OneDriveSvc”和“OneDriver.exe”之类的名称，试图欺骗用户，让他们误以为这是一个无害的云存储进程。 图片 时间线（来源：Huntress） 这个简单的技巧帮助恶意软件在不引起怀疑的情况下保持活跃。 为了进一步确保能够留在网络中，攻击者安装了 SimpleHelp 作为备用入口点。这种冗余机制意味着，即使其中一个工具被发现并移除，另一个工具也能让他们再次入侵。 他们还配置了该软件，使其监视屏幕上的特定词语，例如“钱包”或“币安”。这样，当用户打开银行应用程序时，他们就能立即收到警报，从而确保在最佳时机窃取资金。 为了防止此类攻击，企业必须严格限制哪些用户可以安装软件，并应在所有远程账户上强制执行多因素身份验证 (MFA)。 安全团队还应定期审核系统，查找未经授权的远程管理工具，并监控禁用防病毒程序的尝试。 最后，检查模仿合法服务的异常程序名称对于及早发现此类入侵至关重要。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域出现了两种复杂的勒索软件家族：BQTLock 和 GREENBLOOD。它们采用截然不同的策略来破坏企业运营并勒索受害者。 虽然典型的勒索软件攻击通常遵循可预测的模式，即立即加密，但这些新型勒索软件展现了策略上的危险演变。 BQTLock 优先考虑隐蔽性和间谍活动，在文件被锁定之前，就能有效地将初始感染转化为数据泄露风险。 相反，GREENBLOOD 的设计目标是极致速度，它利用 Go 编程语言在执行后几分钟内即可加密系统并删除取证证据。 这些威胁的攻击途径在操作目标上存在显著差异。 BQTLock 在早期阶段的运行方式很像一个隐蔽的监视工具，它会将自身深度嵌入到合法的系统进程中，以避免触发安全警报。 这使得攻击者能够长期保持访问权限并窃取敏感信息而不被立即发现。 相比之下，GREENBLOOD 采用“突袭式”攻击策略，利用快速的 ChaCha8 加密技术瞬间瘫痪网络，同时通过基于 TOR 的泄露站点施加压力。 这种双重性给防御者带来了复杂的挑战，他们现在必须同时应对缓慢的间谍活动和高速的破坏。 Any.Run 分析师在最近的沙箱测试中发现了这些不同的行为，并指出有效的遏制措施需要在加密发生之前发现攻击。 借助 ANY.RUN 交互式沙箱，分析师能够实时观察完整的攻击行为链。查看 BQTLock 的完整执行链 BQTLock 攻击在沙箱中完全暴露（来源：Any.Run） 在 ANY.RUN 交互式沙箱中，勒索软件的行为和清理活动在执行过程中即可被观察到，从而能够在攻击最关键的阶段进行早期检测。 他们的研究强调，早期行为指标（例如意外的进程注入或快速的文件修改）通常是造成重大损害之前唯一可用的预警信号。查看 GREENBLOOD 的完整攻击链。 GREENBLOOD 在沙箱中暴露（来源：Any.Run） 通过在受控环境中观察这些攻击链，安全团队可以从被动恢复转向主动遏制，在威胁站稳脚跟之前将其阻止。 BQTLock 的规避和持久化机制 BQTLock 的独特之处在于其高度技术化的感染链，旨在绕过标准防御。恶意软件执行后不会立即勒索设备。 相反，它会将 Remcos 有效载荷直接注入到 Windows 核心进程 explorer.exe 中。 这种技术使恶意代码能够伪装成合法的系统活动，有效地绕过信任标准操作系统进程的传统防病毒工具。 通过这种隐蔽的方式，攻击者可以在网络中自由穿梭并提升权限而不引起注意。 为了确保对受感染机器的控制权，BQTLock 使用 fodhelper.exe 绕过用户帐户控制 (UAC)。 这种特殊操作会在未经用户许可的情况下授予恶意软件更高的管理员权限。 权限提升后，它会建立自动运行持久性，确保恶意访问在系统重启后仍然存在。 这种牢固的访问权限使攻击者能够进入第二阶段：窃取凭据并捕获屏幕截图，从而最大限度地提高勒索的筹码。 BQTLock 窃取凭据（来源：Any.Run） 建议安全专业人员关注行为监控，而不仅仅是静态文件签名。 检测 explorer.exe 和 fodhelper.exe 之间的特定交互可以作为针对此恶意软件的高保真警报。 入侵指标 (IOC)（来源：Any.Run） 此外，各组织应确保其威胁情报源已更新，以便识别与这些新型恶意软件家族相关的独特命令行参数和基础架构，从而防止重复感染。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁研究人员在发现一个配置错误的开放目录后，进而查获一台正处于运行状态的命令与控制服务器，该服务器完整部署了 BYOB 框架。 该服务器 IP 地址为 38 [.] 255 [.] 43 [.] 60，监听 8081 端口，经核查正分发恶意载荷，可在 Windows、Linux 及 macOS 系统上建立持久化远程访问。 该基础设施由美国 Hyonix 公司托管，内含完整的投放器、加载器及后渗透模块套件，可支持攻击者持续控制受感染设备。该框架通过一个精心设计的多阶段感染链运作，能巧妙规避安全检测，同时提供危险的监视与控制功能。 暴露的开放目录泄露了 BYOB 后渗透工具包的完整架构，该工具包采用三阶段感染流程。 第一阶段以 359 字节的小型投放器启动，该投放器通过 Base64 编码、Zlib 压缩及 Marshal 反序列化实现多层混淆，以此规避特征码检测系统。 该投放器会获取第二阶段组件 ——2KB 大小的加载器，该加载器会扫描环境变量中的 VirtualBox 特征、核查运行进程中是否存在 VMware、Hyper-V、XenServer 等虚拟化软件，以此完成反虚拟机检测。 环境验证安全后，加载器会获取最终恶意载荷 ——123KB 的远程访问木马，该木马可与命令控制服务器建立加密 HTTP 通信，并按需加载额外监控模块。 Hunt.io 分析师在通过自研 AttackCapture 工具开展主动威胁狩猎时，发现了该暴露的恶意基础设施。其系统监测到这台运行中的命令与控制服务器存在典型开放目录特征，进而锁定该恶意基础设施。 对捕获样本的分析表明，该框架至少自2024年3月便开始运作，意味着这场持续活动已进行了约十个月。该基础设施存在刻意的地理分布设计，节点覆盖新加坡、巴拿马及美国多个地区，可见背后威胁行为者具备完善的攻击规划及资源调配能力。 BYOB框架展现出令人担忧的跨平台能力，在多类型计算环境中均能造成严重威胁。该框架针对不同操作系统定制了 7 种独立持久化机制，可确保恶意程序在设备重启及清理操作后仍能留存。 在 Windows 系统中，其会创建伪装为 “Java-Update-Manager” 的注册表运行项、在启动文件夹中放置 URL 快捷方式文件、创建每小时执行一次的计划任务，还会部署 Windows 管理规范订阅以实现事件触发式执行。 针对 Linux 系统，通过恶意 crontab 条目实现持久化；针对 macOS 设备，则通过 LaunchAgent 属性列表文件实现用户登录时自动执行。 这些冗余的持久化手段使得清除工作异常困难，大大增加了会有至少一种机制逃过检测的可能性。 后渗透监控功能 除建立访问权限外，BYOB 恶意载荷还可通过模块化组件实现全面监控功能，攻击者可根据目标按需加载对应组件。 键盘记录模块针对不同平台定制钩子功能：Windows 系统使用 pyHook，类 Unix 系统使用 pyxhook，可捕获每一次按键及当前活动窗口名称，以此明确密码、信用卡号等敏感信息输入时对应的应用场景。 数据包嗅探模块通过原始套接字在 IP 层拦截网络流量，解析报文头提取源地址、目的地址、协议信息及载荷数据，可获取明文传输的凭证及内部网络通信内容。 Outlook电子邮件收集模块是最危险的组件之一。它利用Windows COM自动化接口，无需认证即可编程访问已登录的Microsoft Outlook。该模块可连接已完成身份验证的 Outlook 会话，搜索收件箱内容、提取含特定关键词的邮件、统计邮件总数，再执行全量提取操作。这种能力对依赖电子邮件处理关键业务通信、财务信息和内部文档的企业环境构成严重威胁。 此外，该框架还包含进程操纵功能，允许攻击者终止安全软件、枚举运行中的程序，并自动阻止任务管理器等防护工具启动。 对该基础设施的分析，还揭露了攻击活动规模及牟利模式的更多高危细节。 已发现的 5 个命令与控制节点中，有 2 个同时部署了 BYOB 框架与 XMRig 加密货币挖矿软件，可见该基础设施具备双重用途，既能通过挖矿实现被动牟利，又能维持远程访问能力。远程访问工具包部署与加密货币挖矿相结合的模式，表明背后是利益驱动型威胁行为者，旨在从受感染设备中获取多重收益。 主服务器自 2023 年 12 月起便暴露远程桌面协议端口，且存在多台 Web 服务器同时运行于不同端口的异常配置，种种迹象均表明这是专用攻击基础设施，而非合法商业用途。     消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项大语言模型劫持攻击行动正大规模针对暴露的大语言模型及 MCP 开展攻击，以实现商业化牟利。 据Pillar Security报告，在此次大规模大语言模型劫持行动中，网络犯罪分子正批量搜寻、劫持暴露的大语言模型及 MCP 端点，并将其商业化牟利。该攻击行动被命名为 “Operation Bizarre Bazaar”，针对暴露或未受保护的人工智能端点发起攻击，实现劫持系统资源、转售应用程序接口访问权限、窃取数据及横向渗透至内部系统等目的。 攻击主要针对自托管的AI基础设施，包括：暴露了默认端口的服务、未设置身份验证的API接口、面向公网的开发或测试环境，以及缺乏访问控制的MCP服务器。 Pillar公司解释称：“被入侵的大语言模型端点会产生高额成本（推理计算成本高昂）、泄露企业敏感数据，还会为攻击者提供横向渗透的机会。” “Operation Bizarre Bazaar”涉及三个环环相扣的组成部分：一个扫描器（即自动扫描互联网寻找暴露系统的僵尸网络基础设施）、一个验证器（与名为silver.inc的实体关联，负责验证发现的端点是否可利用），以及一个市场（名为“统一LLM API网关”，同样由silver.inc控制）。 扫描发现目标后，silver.inc 会在 2 至 8 小时内通过系统化应用程序接口测试，对目标端点进行验证。监测显示，威胁行为者会枚举目标模型功能并评估其响应质量。 Pillar指出，这个黑市提供对超过30种大型语言模型的访问权限。该交易市场部署在荷兰的抗攻击基础设施上，在 Discord 及 Telegram 平台进行推广，交易支持加密货币或 PayPal 支付。 Pillar已监测到超过35,000次与该行动相关的攻击会话，平均每天高达972次。“持续的高频攻击活动表明，攻击者是系统性针对暴露的人工智能基础设施发起攻击，而非随机性扫描。”报告强调。 已被确认遭利用的系统类型包括：11434端口上未设认证的Ollama实例、8000端口上暴露的OpenAI兼容API、无访问控制的MCP服务器、分配了公网IP的开发环境，以及缺乏认证或速率限制的生产环境聊天机器人。 Pillar指出，该行动由一个代号为“Hecker”（亦化名Sakuya、LiveGamer101）的威胁行为者运营，其基础设施与nexeonai.com服务存在重叠，暗示可能存在关联。 “攻击者会选择阻力最小的路径，即无防护门槛的端点。即便是面向公网的人工智能服务，也可通过速率限制、使用额度管控及行为监测抵御随机性滥用；对于内部服务，防护逻辑更简单：非必要不暴露，需定期扫描外部攻击面，确认无违规暴露情况。”Pillar建议道。 此外，该公司还发现了另一个很可能由不同攻击者发起、目标迥异的侦察活动，专门针对MCP服务器。“到一月底，总攻击流量的60%都来自这类针对MCP的侦察行动，”报告补充道。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。 Fortinet 已开始已开始逐步推送针对某款正遭攻击的高危 FortiOS 漏洞的修复补丁。该漏洞编号为 CVE-2026-24858（CVSS 评分为 9.4），可允许攻击者通过单点登录（SSO）绕过身份认证。它影响 FortiOS、FortiManager 和 FortiAnalyzer，Fortinet ，Fortinet 正在调查其他产品是否受影响。 安全公告中写道：“FortiOS、FortiManager 及 FortiAnalyzer 中存在一项‘使用替代路径或通道进行身份验证绕过’的漏洞（CWE-288）。若相关设备启用了 FortiCloud SSO 认证，则拥有 FortiCloud 账户及已注册设备的攻击者，可能借此登录到其他账户下的已注册设备。”“请注意，FortiCloud SSO 登录功能在出厂默认设置中处于关闭状态。然而，当管理员通过设备图形界面（GUI）将其注册至 FortiCare 时，若未在注册页面手动关闭‘允许使用 FortiCloud SSO 进行管理登录’选项，则该功能将会在注册完成后自动启用。” Fortinet 强调，FortiCloud SSO 登录功能默认禁用。仅当管理员通过 GUI 将设备注册至 FortiCare，或在注册时明确启用 FortiCloud SSO 管理登录选项后，该功能才会激活。 这家网络安全厂商证实，已有两个恶意 FortiCloud 账户利用该漏洞发起攻击，相关账户已于 2026 年 1 月 22 日被封禁。为遏制漏洞滥用，FortiCloud SSO 服务在 1 月 26 日被临时禁用，并于 1 月 27 日重新启用。目前，该服务会阻止运行易受攻击版本的设备登录，用户必须将设备升级至受支持的版本，方可继续使用 FortiCloud SSO 认证。 该公司仍在调查其他产品（如 FortiWeb 和 FortiSwitch Manager）是否受此漏洞影响。 Fortinet 提供了临时应对方案：由于 FortiCloud SSO 现已禁止来自运行漏洞版本的设备登录，因此客户端并非必须禁用 SSO。但作为额外防护，管理员仍可通过 GUI 或CLI，在 FortiOS、FortiProxy、FortiManager 和 FortiAnalyzer 上手动禁用 FortiCloud SSO，直至系统完成全面修补。 上周，Fortinet 确认已修复的设备也遭到了绕过 FortiCloud SSO 的攻击。他们通过自动化手段修改防火墙设置、添加用户、启用 VPN 并窃取配置文件，其攻击模式与 2025 年 12 月利用严重 FortiCloud SSO 漏洞的攻击模式相似。 Arctic Wolf 研究人员报告称，自 2026 年 1 月 15 日起观测到一个新的自动化攻击集群，该集群专门针对 FortiGate 设备。攻击者创建通用账户以维持访问权限、启用 VPN 访问并窃取防火墙配置。此活动与 2025 年 12 月那起涉及管理员 SSO 登录和配置窃取的攻击活动类似。Arctic Wolf 已部署相应检测机制，并持续监控这一持续演变的威胁。 2025年12月，Fortinet 披露了两个严重的 SSO 认证绕过漏洞，编号为 CVE-2025-59718 和 CVE-2025-59719，其本质是加密签名验证不当问题。 Arctic Wolf 警告称，在补丁发布数日后，攻击者就已开始利用 Fortinet 产品中的这两个严重漏洞。 Arctic Wolf 研究人员检测到，攻击者在 2025 年 12 月 12 日便开始利用这些严重的 Fortinet 认证绕过漏洞，此时距补丁发布仅三天。攻击涉及在 FortiGate 设备上进行恶意 SSO 登录，主要目标是来自多家托管服务提供商的管理员账户。获取访问权限后，攻击者随即通过 GUI 导出设备配置文件。这些文件中包含哈希加密后的凭证信息，攻击者可尝试离线破解，从而增加了系统被进一步入侵的风险。 近期的入侵事件显示，恶意 SSO 登录源自少数几家托管服务提供商，且常针对 cloud-init@mail.io 账户。在成功通过 SSO 访问后，攻击者会迅速通过 GUI 导出防火墙配置，并创建用于维持访问权限的次级管理员账户。这些操作均在数秒内完成，表明攻击高度自动化。 Fortinet 证实，即便已针对 CVE-2025-59718 和 CVE-2025-59719 完成修补的设备，也未能幸免。该公司在观察到已完全更新的设备仍遭登录利用后，发现了一条新的攻击路径。修复工作正在进行中，安全公告即将发布，所有基于 SAML 的 SSO 实现均可能受影响。 该公司发布的公告中写道：“近期，少量客户报告其设备出现了异常登录活动，这与先前的问题极为相似。然而，在过去24小时内，我们确认了多起攻击案例，其目标设备在受攻击时均已升级至最新版本，这表明存在新的攻击路径。” “Fortinet 产品安全团队已识别该问题，公司正在制定修复方案。待修复范围与具体时间表确定后，将发布正式安全公告。需要强调的是，尽管目前仅观测到 FortiCloud SSO 遭利用的案例，但此问题影响所有 SAML SSO 部署场景。”       消息来源:securityaffairs ： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员日前发现了一个规模庞大的反向链接非法交易市场，其目的是帮助网络犯罪分子提升恶意网页在搜索引擎结果中的排名。 Fortra公司的威胁情报与研究专家在Telegram和WhatsApp平台上发现了这项名为“HaxorSEO”（亦称“HxSEO”）的黑产服务。该服务通过一份谷歌表格，提供了超过1000个指向事先被攻陷但表面合法的域名的反向链接。 Fortra解释道：“这些域名通常已注册15至20年，售卖时会附带一系列‘信任度’评分，用以宣传所购反向链接在提升搜索引擎排名方面的效果。”“一旦买家付款，该团伙就会将包含恶意地址的反向链接植入目标合法域名，从而大大提高买家达成其恶意目的的成功率。” 攻击者首先通过植入Webshell来控制这些合法网站。随后，购买服务的威胁行为者便可利用这些植入的链接，提升其恶意网站的搜索排名，将毫无戒心的用户诱骗至旨在窃取凭证或分发恶意软件的钓鱼页面。 Fortra指出，在某些案例中，经HxSEO优化后的虚假银行登录页面，其搜索排名甚至超过了它们所仿冒的正规官方网站。 供应商还声称，Haxor还能够通过在垃圾、低权威度的网站上部署垃圾反向链接，来拉低被模仿的合法页面的SEO评分。 低成本，高危害 此项服务每条反向链接的售价低至6美元，并可自动将所需代码注入被攻陷的网站，对威胁行为者而言极具吸引力。报告警告称：“由于在搜索结果中极难甄别这些恶意反向链接，加之其低廉的成本，这必然会导致大规模攻击的发生。” HxSEO市场在列出每条恶意反向链接时，都会附上常见的SEO指标，用以说明对应域名或网页的权威性与强度。 Fortra进一步说明：“页面权威值（PA）、域名权威值（DA）和域名评级（DR）可用于预测该网站用于SEO投毒的效果，其中域名评级（DR）最能体现该域名反向链接档案的‘威力’。” “垃圾邮件评分（SS）则用于评估域名因违规而被惩罚或视为垃圾邮件的风险。该列表通常同时展示100至150个被攻陷的网站，其中被遗忘的学术期刊页面尤为受青睐。” 报告提到，Haxor团队最常利用存在漏洞的PHP组件和WordPress插件，通过各类文件上传及远程代码执行漏洞实施攻击。 用户需提高警惕 尽管搜索引擎持续打击此类恶意行为，但新域名、新反向链接和内容的不间断供应，足以维持像Haxor这类黑产的运转。此外，Fortra表示，购买这些服务的客户可能只需让恶意钓鱼网站上线运行数天或数周，便能达到窃取信息的目的。该威胁情报公司正与相关的域名服务商、网站所有者及搜索引擎合作，以期取缔这些恶意页面。同时，报告也呼吁用户提升自身防范意识。 报告总结并建议道：“用户应对通过搜索引擎访问的网址（尤其是银行登录页面）保持警惕。最佳做法是将网银等敏感登录页面直接添加为书签，而非每次通过搜索引擎查找。” “务必仔细核验网址中的域名是否真实合法，并留意那些带有不易察觉的细微拼写差异的仿冒域名。如若无法确定，应直接联系银行以核实正确的登录页面地址。” 消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文