HackerNews 编译，转载请注明出处： 本周三，美国与欧洲的执法机构联合捣毁了一个提供数千台家用路由器访问权限的网络犯罪平台。 SocksEscort 代理网络允许网络犯罪分子购买受恶意软件感染的路由器的访问权限。犯罪分子可通过受感染的路由器转发其网络活动，以此隐藏自身的地理位置与 IP 地址。 美国司法部表示，2020 年至 2026 年间，SocksEscort 提供了覆盖 163 个国家、约 36.9 万个不同 IP 地址的访问权限；截至今年 2 月，该平台仍上架了约 8000 个 IP 地址，其中 2500 个位于美国境内。 七个国家的执法机构共计查封了 34 个域名，关停了 23 台服务器。美国官方还冻结了价值 350 万美元的加密货币。 在针对 SocksEscort 采取行动的同时，美国联邦调查局（FBI）于周四发布了关于名为 AVRecon 的恶意软件的紧急警报，警告公众该恶意软件的攻击目标为路由器与物联网设备。 威胁行为者 “会入侵路由器、安装 AVRecon 恶意软件，随后通过 SocksEscort 住宅代理服务，将受感染设备的访问权限作为住宅代理出售”。 欧洲刑警组织指出，设备感染该恶意软件后，机主完全不会知晓自己的 IP 地址正被滥用。 欧洲刑警组织执行主任凯瑟琳・德・博勒表示，SocksEscort 这类代理服务 “为犯罪分子提供了发起攻击、传播非法内容、规避检测所需的数字掩护”。 德・博勒在声明中称：“通过拆除这一基础设施，执法机构捣毁了一项为全球范围网络犯罪提供支撑的服务。” 美国官方对支撑 SocksEscort 运作的多个美国境内域名执行了查封令。 法庭文件显示，SocksEscort 网站与数十种不同的网络诈骗相关，包括虚假失业保险申领、加密货币盗窃以及美国银行账户劫持。 据称，SocksEscort 的运营者通过该服务非法获利超 570 万美元。 奥地利、法国、荷兰的执法机构关停了 SocksEscort 的服务器，保加利亚、德国、匈牙利、罗马尼亚的官方也参与了这项始于 2025 年 6 月的调查。美国司法部指出，Lumen 旗下的 Black Lotus Labs、Shadowserver 基金会等私营机构也提供了协助。 Black Lotus Labs 发布了关于 AVRecon 与 SocksEscort 的专项公告，称过去几年间，该平台 “每周平均波及约 2 万名独立受害者，相关通信通过平均 15 个命令与控制（C2）节点进行转发”。 该公司曾在 2023 年表示，AVRecon 僵尸网络是其见过的针对家用 / 办公路由器的最大僵尸网络之一。 一名 FBI 官员向科技媒体 The Register 透露，SocksEscort 拥有 12.4 万名用户，官方计划利用查封的服务器追踪其他网络犯罪活动。 近年来，美国与欧洲的执法机构加大了僵尸网络的捣毁力度，以遏制网络犯罪与国家级攻击活动。自 2021 年以来，QakBot、911 S5、IPStorm、KV、DanaBot、Anyproxy、5socks 等多个僵尸网络均已受到执法机构的查处。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Juniper 网络 PTX 系列路由器所搭载的 Junos OS Evolved 网络操作系统存在一处高危漏洞，可能未经身份验证的攻击者可利用该漏洞以 root 权限远程执行代码。 PTX 系列路由器是高性能核心与对等互联路由器，专为高吞吐量、低延迟和规模化场景设计。 该系列路由器广泛应用于互联网服务提供商、电信运营商以及云网络场景。 该安全漏洞编号为 CVE-2026-21902，由 “本机异常检测” 框架中的权限配置错误导致，该框架本应仅通过内部路由接口向内部进程开放。 但 Juniper 网络在安全公告中说明，该缺陷可使攻击者通过外部开放端口访问该框架。 由于该服务以 root 身份运行且默认启用，成功利用漏洞后，内网中的攻击者无需身份验证即可完全控制设备。 该漏洞影响 PTX 系列路由器上 25.4R1-S1-EVO 和 25.4R2-EVO 之前的 Junos OS Evolved 版本。 更早版本也可能受影响，但厂商不对已停止工程支持或已终止生命周期（EoL）的版本进行评估。 25.4R1-EVO 之前的版本以及标准（非 Evolved）Junos OS 版本不受 CVE-2026-21902 影响。 Juniper 网络已在 25.4R1-S1-EVO、25.4R2-EVO 和 26.2R1-EVO 版本中提供修复。 Juniper 网络安全事件响应团队（SIRT）表示，在发布安全公告时，尚未发现该漏洞被恶意利用的情况。 若无法立即打补丁，厂商建议使用防火墙过滤规则或访问控制列表（ACL），仅允许受信任网络访问受漏洞影响的端点。 管理员也可通过以下命令完全禁用存在漏洞的服务： ‘request pfe anomalies disable’ Juniper 网络的设备常被云数据中心、大型企业等高带宽需求的服务商使用，因此极易成为高级黑客的攻击目标。 2025 年 1 月，名为 J‑magic 的恶意软件活动针对半导体、能源、制造和 IT 行业的 Juniper VPN 网关，部署在收到 “魔术包” 后激活的网络嗅探恶意软件。 2024 年 12 月，Juniper 网络 Smart 路由器成为 Mirai 僵尸网络攻击目标，被纳入分布式拒绝服务（DDoS）攻击集群。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zyxel 修复了多款路由器中的一处高危漏洞，该漏洞可使未认证攻击者在受影响设备上远程执行命令。 Zyxel 修复了编号为 CVE-2025-13942（CVSS 评分 9.8）的高危远程代码执行漏洞，该漏洞影响十余款路由器型号。 多款 Zyxel  CPE、光纤 ONT 及无线扩展器的 UPnP 功能存在命令注入漏洞，攻击者可通过构造的 UPnP 请求执行操作系统命令。 远程利用该漏洞需要同时开启 WAN 访问和存在漏洞的 UPnP 功能，而 WAN 访问在默认状态下是关闭的。 厂商发布的通告中写道：“部分 4G LTE/5G NR CPE、DSL / 以太网 CPE、光纤 ONT 及无线扩展器固件版本的 UPnP 功能存在命令注入漏洞，远程攻击者可通过发送特制的 UPnP SOAP 请求在受影响设备上执行操作系统命令。” “需要注意的是，这些设备的 WAN 访问默认为关闭状态，仅当 WAN 访问和存在漏洞的 UPnP 功能均被开启时，才能远程实施攻击。” CVE-2026-1459 影响多款 Zyxel DSL / 以太网 CPE 路由器型号，包括运行指定固件版本及更早版本的 DX5401-B1、EMG3525-T50B、EMG5523-T50B、VMG3625-T50B/C 和 VMG8623-T50B。 Zyxel 计划于 2026 年 3 月为所有受影响型号发布补丁固件。 该中国台湾厂商还修复了影响多款合勤 CPE、光纤 ONT、安全路由器及无线扩展器的其他漏洞。 CVE-2025-11847 和 CVE-2025-11848 是 IP 设置与网络唤醒 CGI 组件中的空指针解引用漏洞，已认证管理员可通过构造的 HTTP 请求触发拒绝服务。 CVE-2025-13943 和 CVE-2026-1459 是日志下载与 TR-369 证书功能中的认证后命令注入漏洞，可实现操作系统命令执行。 所有这些漏洞的 WAN 访问均默认为关闭状态，成功利用需要已泄露的管理员凭据。 普渡大学研究人员 Tiantai Zhang 披露了 CVE-2025-11845、CVE-2025-11846、CVE-2025-11847 和 CVE-2025-11848 漏洞。 Víctor Fresco 报告了 CVE-2025-13942 和 CVE-2025-13943 漏洞，Watchful IP 披露了 CVE-2026-1459 漏洞。 官方敦促用户立即更新受影响路由器，以防被漏洞利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 操作中继盒（ORB）网络已成为威胁行为者用于躲避全球安全团队追踪、掩盖网络攻击的最高级工具之一。 这类隐蔽的网状网络由被攻陷的物联网设备、SOHO（小型办公 / 家庭办公）路由器与虚拟专用服务器组成，协同运作以掩盖恶意活动的真实来源。 ORB 网络通过多个中继节点转发攻击流量，使防护方极难追溯恶意活动源头，给网络安全专业人员带来重大挑战。 2026 年 2 月新加坡网络安全局披露，国家级背景组织 UNC3886 针对该国四大电信运营商 M1、SIMBA Telecom、Singtel、StarHub 发起定向攻击，该威胁由此引发高度关注。 攻击者利用边界防火墙中的零日漏洞，部署高级 rootkit 工具规避检测系统，并维持对关键基础设施的持久访问权限。 Team Cymru 研究人员证实，ORB 网络为攻击者提供了传统手段无法比拟的多项战略优势。 这类网络如同私人住宅代理服务，可让恶意流量与家庭及企业宽带的合法用户流量无缝混杂。 这使得封堵操作风险极高，防护方在试图拦截攻击时，可能会意外中断正常服务。 攻击基础设施与前置部署策略 ORB 网络的抗打击能力源于其分布式架构与动态组成特性。攻击者可通过增减被攻陷设备快速扩容网络，使其极难被彻底关停。 安全团队发现并封堵一个节点后，威胁行为者只需替换为新节点，即可保证攻击活动持续进行，不受重大影响。 ORB 网络的极高危险性在于，攻击者会在实际攻击发起数月前就完成节点前置部署。 攻击者提前搭建这类中继基础设施，可在保障操作安全的前提下，开展侦察与目标边界探测。 攻击者通过地理上靠近目标的节点转发流量，绕过地理围栏管控，使其行为在安全监控系统中更显合法。 安全专家建议机构部署主动威胁狩猎、行为分析与零信任安全模型，抵御这类高级网络攻击。定期更新路由器、监控网络流量、接入高级威胁情报仍是核心防护措施。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球约有13,000台MikroTik路由器被劫持，组成了一个僵尸网络，用于通过垃圾邮件活动传播恶意软件。这成为了MikroTik设备驱动的僵尸网络列表中的最新案例。 “该活动利用了配置错误的DNS记录，从而绕过电子邮件安全防护技术。”网络安全公司Infoblox的研究员David Brunsdon在其上周发布的技术报告中指出，“这个僵尸网络利用全球范围内的MikroTik路由器发送恶意邮件，这些邮件被伪装成来自合法域名的邮件。” 此次行动被命名为“Mikro Typo”，其调查始于2024年11月底发现的一起恶意软件传播活动。该活动利用与货运发票相关的诱饵，诱使收件人打开一个ZIP文件，从而触发恶意软件。 ZIP文件中包含一个经过混淆的JavaScript文件，该文件会进一步运行一个PowerShell脚本，从而与位于IP地址62.133.60[.]137的命令与控制（C2）服务器建立连接。尽管入侵路由器的具体方式尚不明确，但多个固件版本受到了影响，其中包括存在CVE-2023-30799漏洞的版本。这是一个高危权限提升漏洞，可能被攻击者利用以执行任意代码。 “无论这些设备是如何被入侵的，攻击者似乎都在MikroTik设备上植入了一个脚本，启用SOCKS（安全套接字）功能，使设备能够作为TCP转发器运行。”Brunsdon解释道，“启用SOCKS后，每台设备实际上变成了一个代理服务器，从而掩盖了恶意流量的真实来源，使其更难被追踪。” 更令人担忧的是，这些代理的使用无需身份验证，这意味着其他威胁行为者可以利用这些设备或整个僵尸网络，将其用于各种恶意活动，包括分布式拒绝服务（DDoS）攻击和网络钓鱼活动。 此次恶意软件传播活动还被发现利用了20,000个域名的发件人策略框架（SPF）TXT记录配置错误。攻击者通过这些配置错误，能够以这些域名的名义发送邮件，并绕过各种电子邮件安全防护机制。具体而言，这些SPF记录被配置为极其宽松的“+all”选项，这使得原本用于安全防护的机制形同虚设。这也意味着任何设备（如被劫持的MikroTik路由器）都可以在电子邮件中伪装成合法域名。 建议MikroTik设备所有者保持路由器固件的最新状态，并更改默认账户凭证，以防止被攻击者利用。“鉴于如此多的MikroTik设备被劫持，该僵尸网络能够发起广泛的恶意活动，从DDoS攻击到数据盗窃和网络钓鱼。”Brunsdon指出，“SOCKS4代理的使用进一步增加了检测和缓解的难度，凸显了采取强有力安全措施的必要性。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： VulnCheck最新发现，针对四信（Four-Faith）部分路由器的高危漏洞CVE-2024-12856（CVSS评分7.2）已被实际利用于攻击中。该漏洞为操作系统命令注入漏洞，影响F3x24和F3x36两款路由器型号。 尽管漏洞严重性相对较低，需远程攻击者成功认证后才可触发，但若路由器默认凭据未更改，则可能导致未经授权的命令执行。 VulnCheck报告指出，不明攻击者利用默认凭据触发CVE-2024-12856漏洞，通过反向Shell实现远程持久访问。攻击源自IP地址178.215.238[.]91，该地址此前曾用于攻击四信路由器的另一漏洞CVE-2019-12168，最近一次攻击活动发生在2024年12月19日。 VulnCheck研究员Jacob Baines指出，通过HTTP协议的/apply.cgi端点可对F3x24和F3x36路由器发起攻击。在修改系统时间时，adj_time_year参数存在命令注入漏洞。Censys数据显示，目前超过15000台四信路由器直接暴露于互联网，且攻击可能始于2024年11月初。 截至目前，尚未有关于此漏洞补丁可用性的具体信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞，该漏洞尚未得到CVE编号，也没有在 DigiEver DS-2105 Pro NVR 中修补。 僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。 TXOne 研究员 Ta-Lun Yen 记录了该活动所利用的漏洞之一，并于去年在罗马尼亚布加勒斯特举行的 DefCamp 安全会议上进行了展示。该研究员当时表示，该问题影响了多台 DVR 设备。 Akamai 的研究人员观察到，僵尸网络在 11 月中旬开始利用该漏洞，但发现证据表明该活动至少从 9 月份就开始活跃。 除了 DigiEver 漏洞之外，新的 Mirai 恶意软件变种还针对TP-Link 设备上的CVE-2023-1389和 Teltonika RUT9XX 路由器上的 CVE-2018-17532。 针对 DigiEver NVR 的攻击 被用来攻击 DigiEver NVR 的漏洞是一个远程代码执行 (RCE) 缺陷，黑客的目标是“/cgi-bin/cgi_main.cgi”URI，该 URI 会不正确地验证用户输入。 这允许远程未经身份验证的攻击者通过某些参数（例如 HTTP POST 请求中的 ntp 字段）注入“curl”和“chmod”等命令。 Akamai 表示，它所看到的基于 Mirai 的僵尸网络发起的攻击与 Ta-Lun Yen 演示中描述的攻击类似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加 cron 作业实现持久性。 一旦设备受到攻击，就会利用漏洞集和凭证列表进行分布式拒绝服务 (DDoS) 攻击或传播到其他设备。 Akamai 表示，新的 Mirai 变种因使用 XOR 和 ChaCha20 加密以及针对包括 x86、ARM 和 MIPS 在内的广泛系统架构而著称。 Akamai 评论道：“尽管采用复杂的解密方法并不是什么新鲜事，但它表明基于 Mirai 的僵尸网络运营商的策略、技术和程序正在不断发展。” 研究人员表示：“这一点尤其值得注意，因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码版本中包含的回收代码中的原始字符串混淆逻辑。” 研究人员指出，该僵尸网络还利用了 Teltonika RUT9XX 路由器中的漏洞CVE-2018-17532以及影响 TP-Link 设备的漏洞CVE-2023-1389 。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/C-qEWotE2KDXBxKH2kMMyQ 封面来源于网络，如有侵权请联系删除

E安全消息，如果正在进行的调查发现TP-Link路由器用于网络攻击并构成国家安全风险，美国政府考虑从明年开始禁止TP-Link路由器。据《华尔街日报》报道，美国司法部、商务部和国防部正在调查这个问题，商务部的一个办公室已经发出了传票。近年来，TP-Link在美国SOHO路由器（针对家庭和小型办公场所）市场份额已增长到大约65%。外媒报道这种增长是通过以低于制造成本的价格销售设备来实现的，这也是司法部正在调查的问题。目前超过300家美国互联网服务提供商将TP-Link设备作为家庭用户的默认互联网路由器。《华尔街日报》表示，TP-Link路由器也出现在包括国防部、美国国家航空航天局（NASA）和美国缉毒局（DEA）在内的多个政府机构的网络中。 TP-Link美国子公司的一位发言人告诉《华尔街日报》：“我们欢迎任何与美国政府合作的机会，以证明我们的安全实践完全符合行业安全标准，并展示我们对美国市场、美国消费者以及应对美国国家安全风险的承诺。” TP-Link路由器僵尸网络被用于密码喷射攻击微软10月份的一份报告，称被黑客入侵的SOHO路由器僵尸网络（被跟踪为Quad7、CovertNetwork-1658或xlogin，由中国威胁行为者操作）主要由TP-Link设备组成。随后美国展开了调查。“微软将受感染的小型办公室和家庭办公室（SOHO）路由器网络跟踪为 CovertNetwork-1658。TP-Link制造的SOHO路由器构成了该网络的大部分。“该公司表示。“微软评估，多个中国威胁行为者使用从CovertNetwork-1658密码喷射操作中获得的凭据来执行计算机网络利用（CNE）活动。” 12月16日，《纽约时报》报道称，拜登政府计划禁止中国电信在美国的最后活跃业务。 2022年1月，美国联邦通信委员会（FCC）以“重大国家安全关切”为由撤销了中国电信美洲的许可证。 2022年11月，FCC禁止销售五家中国公司（即华为技术、中兴通讯、海能达通信、杭州海康威视数字技术、大华科技）制造的通信设备，原因是“对国家安全构成不可接受的风险”。 2020年6月，FCC正式将华为和中兴通讯列为对美国通信网络完整性构成国家安全威胁的实体。   转自E安全，原文链接：https://mp.weixin.qq.com/s/smrntN8VGSmp_t03JXaibA 封面来源于网络，如有侵权请联系删除

日本计算机紧急响应小组（CERT）警告称 ，黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令，甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞，但目前暂无完整的修复补丁，预计将在2024年12月18日发布，因此在此之前用户将面临比较严重的风险。 上述三个零日漏洞在2024年11月13日被发现，包括信息泄露、远程任意操作系统命令执行和导致防火墙禁用的漏洞。 具体如下： CVE-2024-45841：敏感资源上的不当权限配置，导致低权限用户可以访问关键文件。 CVE-2024-47133：认证的管理员用户可以在设备上注入并执行任意操作系统命令，利用配置管理中的输入验证不充分漏洞。 CVE-2024-52464：固件中的未记录特性或后门可导致远程攻击者在无需认证的情况下，关闭设备防火墙并修改设置。 受影响的设备：这些漏洞影响UD-LT1和UD-LT1/EX设备，前者是为多功能连接解决方案设计的混合LTE路由器，而后者是工业级版本。 最新可用的固件版本v2.1.9仅解决了CVE-2024-52564漏洞，I-O Data表示其他两个漏洞的修复将在计划于2024年12月18日发布的v2.2.0版本中提供。比较糟糕的消息是，已经有客户因为这些漏洞而遭到黑客攻击。 I-O Data安全公告指出，“已收到使用混合LTE路由器UD-LT1和UD-LT1/EX的客户的咨询，这些客户报告了来自外部来源的潜在未经授权访问。” 在安全更新发布之前，I-O Data 建议用户实施以下缓解措施： 禁用所有互联网连接方式的远程管理功能，包括WAN端口、调制解调器和VPN设置。 仅限VPN连接的网络访问，以防止未经授权的外部访问。 将默认的“访客”用户的密码更改为超过10个字符的更复杂的密码。 定期监控和验证设备设置，以尽早检测未经授权的更改，并在检测到泄露时将设备重置为出厂默认设置并重新配置。 不过国内的企业用户不需要太过担心，因为I-O DATA UD-LT1和UD-LT1/EX LTE路由器主要在日本市场销售，旨在支持NTT Docomo和KDDI等多个运营商，并兼容该国的主要MVNO SIM卡。     转自Freebuf，原文链接：https://www.freebuf.com/news/417010.html 封面来源于网络，如有侵权请联系删除

D-Link 发布了一则安全公告，涉及多款报废 (EOL) 和服务终止 (EOS) 路由器型号，包括 DSR-150、DSR-150N、DSR-250 和 DSR-250N。该公告强调了一个堆栈缓冲区溢出漏洞，该漏洞可能允许未经认证的用户执行远程代码。此关键问题影响运行固件版本 3.13 至 3.17B901C 的这些传统路由器的所有硬件版本。 自 2024 年 5 月 1 日起，D-Link 不再支持或修补这些型号。根据公告，“达到 EOL/EOS 的产品不再接收设备软件更新和安全补丁，D-Link 美国公司也不再提供支持”。 报告的漏洞是堆栈缓冲区溢出，这是一个常见但严重的漏洞，可导致远程代码执行（RCE）。这使得攻击者有可能在没有验证的情况下完全控制设备。受影响的型号包括 DSR-150： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-150N：所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250N：所有硬件版本，固件版本 3.13 至 3.17B901C。 鉴于漏洞的严重性，D-Link 已声明不会为这些型号提供固件更新或补丁，因为它们的支持生命周期已经结束。 D-Link 强烈建议用户淘汰和更换这些路由器。该公司强调：“D-Link 美国公司建议退役和更换已达到 EOL/EOS 的 D-Link 设备。”继续使用不支持的设备会使网络暴露于关键漏洞，增加数据泄露的风险。 对于不确定其设备是否受影响的用户，D-Link 建议通过公告中提供的旧版网站链接检查其型号和固件版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/302053 封面来源于网络，如有侵权请联系删除