HackerNews 编译，转载请注明出处： 思科修复了两个高危 Secure FMC 漏洞，攻击者可利用其获取受管理防火墙的 root 权限。 思科修复了其 Secure Firewall Management Center（FMC）中的两个最高危漏洞，可导致攻击者获取 root 权限。思科 Secure FMC 是用于思科防火墙的集中管理平台。 管理员可通过统一 Web 或 SSH 界面配置、监控和控制多台防火墙。通过 FMC，管理员可统一管理入侵防御（IPS）、应用控制、URL 过滤、高级恶意软件防护、日志、报表及整体网络安全态势。 第一个漏洞编号为 CVE-2026-20079（CVSS 评分 10.0），属于认证绕过漏洞。 该漏洞位于思科 Secure FMC 的 Web 界面，允许未认证远程攻击者绕过认证，发送构造的 HTTP 请求执行脚本，进而获取底层操作系统 root 权限。 安全公告称：“思科 Secure FMC 软件 Web 界面存在漏洞，可允许未认证远程攻击者绕过认证，在受影响设备上执行脚本，获取底层操作系统 root 权限。”“该漏洞源于启动时创建的不当系统进程。攻击者可向受影响设备发送构造的 HTTP 请求利用该漏洞。成功利用可使攻击者执行多种脚本与命令，获取设备 root 权限。” 第二个漏洞编号为 CVE-2026-20131（CVSS 评分 10.0），属于远程代码执行漏洞。 该漏洞位于思科 Secure FMC Web 界面，允许未认证远程攻击者利用不安全的 Java 反序列化，发送构造的序列化对象，以 root 身份执行任意代码。 公告称：“思科 Secure FMC 基于 Web 的管理界面存在漏洞，可允许未认证远程攻击者以 root 身份在受影响设备上执行任意 Java 代码。”“该漏洞源于对用户提供的 Java 字节流进行不安全反序列化。攻击者可向受影响设备的 Web 管理界面发送构造的 Java 序列化对象进行利用。成功利用可使攻击者在设备上执行任意代码，并将权限提升至 root。” CVE-2026-20131 同时影响思科 Security Cloud Control（SCC）防火墙管理组件。 思科 PSIRT 表示，目前未发现这两个漏洞的公开 PoC 或在野利用。 该网络设备巨头表示，这些漏洞无可用缓解方案，必须打补丁。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，今年早些时候，一个俄语系威胁行为者利用商用生成式人工智能工具，入侵了全球 55 个国家的 600 多台 Fortinet FortiGate 防火墙设备。 亚马逊威胁情报团队在周五发布的报告中表示，此次攻击活动发生在 1 月中旬至 2 月中旬，利用的是薄弱的安全配置，而非高级技术漏洞。 这些黑客高度依赖多种商用 AI 服务生成攻击计划、自动化脚本并管理行动，使得研究人员口中的 “中低技术水平攻击者” 实现了以往只有大型、更复杂组织才能达到的攻击规模。 报告称：“商用 AI 服务能够降低网络攻击能力的技术准入门槛。”亚马逊未说明此次行动中使用了哪些 AI 工具。 研究人员表示，此次攻击背后的行为者似乎以牟利为目的，目前未知其与任何国家级黑客组织有关联。该行动属于机会主义攻击，并非针对特定行业，而是依靠自动化大规模扫描寻找存在漏洞的系统。受入侵设备分布在多个地区，包括南亚、拉丁美洲、加勒比地区、西非、北欧和东南亚。 亚马逊发现了大量俄语文档，其中包含 AI 生成的攻击计划、操作清单和定制代码，这些代码可将攻击行动的几乎所有阶段自动化，从最初的网络扫描到入侵后的信息上报。 攻击目标为 FortiGate 防火墙，这是广泛使用的安全设备，用于帮助机构管理网络流量和远程访问。 亚马逊表示，这些入侵并未利用新发现的漏洞。相反，攻击者定位的是存在暴露管理入口和弱身份认证的设备。 攻击者获取权限后，窃取了完整的设备配置，其中包含密码和网络架构详情。他们利用这些信息进一步深入内部系统。在部分案例中，攻击者获取了机构的 Active Directory 环境访问权限，并将目标对准备份系统，研究人员称这一行为可能是在为后续勒索软件攻击做准备。 研究人员还分析了从该攻击者基础设施中获取的定制工具，包括凭证提取、VPN 自动化和大规模扫描脚本。代码呈现出明显的 AI 辅助生成特征：在标准环境下可正常运行，但在异常场景中频繁失效。 报告指出：“该威胁行为者一旦尝试超出简单自动化攻击路径之外的操作，大多会失败。”报告提到，已打补丁的系统或基础防御措施多次迫使该组织放弃攻击行动。在某些情况下，攻击者自己的文档也承认目标防护过强，无法利用。 亚马逊表示，自身的云基础设施未卷入这些攻击。 研究人员警告称，此类攻击活动的数量可能会继续上升。他们补充道：“机构应做好准备，无论是高水平还是低水平攻击者，其利用 AI 增强的威胁活动都将持续增多。” 研究人员此前已发出警告，人工智能正在重塑网络攻击的实施方式。 谷歌在 11 月表示，国家级支持的黑客组织正在试验能够在执行过程中使用大语言模型的恶意软件，使恶意代码可以实时自适应调整，并有可能规避检测。 近期有研究人员报告称，与朝鲜、伊朗相关的高水平攻击者正在使用谷歌的 Gemini AI 系统提升攻击行动效率、优化恶意软件开发并收集目标情报。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现 WatchGuard Fireware OS 存在一个严重漏洞（CVSS4.0 评分 9.3），攻击者可利用该漏洞远程执行任意代码。 该漏洞编号为 CVE-2025-9242，属于越界写入漏洞，影响两类场景：一是使用 IKEv2 协议的移动用户 VPN；二是配置了动态网关对等体、且使用 IKEv2 协议的分支机构 VPN（BOVPN）。 WatchGuard 在安全公告中指出，即便 Firebox 安全平台此前配置过上述 VPN 及 IKEv2 网关对等体，仍可能存在漏洞风险。 该漏洞影响以下 Fireware OS 版本，包含提及的最高版本： 11.10.2 至 11.12.4_Update1 12.0 至 12.11.3 2025.1 WatchGuard Firebox 是一款下一代防火墙（NGFW），承担安全网关职能，可控制外部网络与可信网络间的流量，还集成了入侵防御、反垃圾邮件、内容过滤等高级功能。 该设备部署方式灵活，可作为物理设备、云端服务或虚拟机使用。 Shadowserver 基金会表示，依据 10 月 17 日的 IP 数据扫描结果，目前可能有超过 7.1 万台设备存在该漏洞。 该漏洞详情已在美国国家漏洞数据库（NVD）上线，WatchGuard 也已发布相关安全公告。 若 Firebox 仅配置了 “指向静态网关对等体的分支机构 VPN 隧道”，且设备所有者无法立即将系统升级至修复漏洞的 Fireware OS 版本，WatchGuard 已提供临时规避方案。 WatchGuard 在公告中还指出，鉴于针对各类厂商暴露 VPN 的攻击愈发频繁，建议将 BOVPN 安全访问策略配置为更窄的范围，以处理传入的 VPN 流量。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁追踪者关注到一场新行动，目标直指Fortinet FortiGate防火墙设备，其管理接口暴露在公共互联网上。 “该行动涉及在防火墙管理接口上进行未授权的管理员登录、创建新账户、通过这些账户进行SSL VPN认证，以及进行各种其他配置更改。”网络安全公司Arctic Wolf在上周发布的分析中表示。 据信，恶意活动始于2024年11月中旬，未知威胁行为者通过未授权访问受影响防火墙的管理接口来更改配置，并使用DCSync提取凭证。 目前尚不清楚确切的初始访问向量，但鉴于受影响组织和固件版本的“压缩时间线”，已“高度确信”这很可能是利用零日漏洞所致。 受影响设备的固件版本介于2024年2月和10月发布的7.0.14和7.0.16之间。 该行动已观察到从2024年11月16日左右开始的四个不同攻击阶段，允许攻击者从漏洞扫描和侦察进展到配置更改和横向移动。 “与合法防火墙活动相比，这些活动的突出之处在于，它们广泛使用了来自少数不寻常IP地址的jsconsole接口。”Arctic Wolf研究人员表示。 “鉴于入侵之间的手法和基础设施存在细微差异，可能有多个人或团体参与了此次行动，但jsconsole的使用是贯穿始终的共同线索。” 简而言之，这些数字入侵涉及攻击者登录防火墙管理接口以进行配置更改，包括将输出设置从“标准”更改为“更多”，作为早期侦察工作的一部分，然后在2024年12月初进行更广泛的更改，创建新的超级管理员账户。 据说这些新创建的超级管理员账户随后被用来为每台设备设置多达六个新的本地用户账户，并将它们添加到受害者组织先前为SSL VPN访问创建的现有组中。在其他事件中，现有账户被劫持并添加到具有VPN访问权限的组中。 “还观察到威胁行为者创建新的SSL VPN门户，并直接向其中添加用户账户。”Arctic Wolf指出。“在进行必要更改后，威胁行为者与受影响设备建立了SSL VPN隧道。所有隧道的客户端IP地址均来自少数几家VPS托管提供商。” 该行动以对手利用SSL VPN访问权限，通过称为DCSync的技术提取凭证以进行横向移动告终。不过，目前尚无法了解他们的最终目标，因为他们在攻击进入下一阶段之前就被清除了。 为缓解此类风险，至关重要的是，组织不要将防火墙管理接口暴露在互联网上，并限制对可信用户的访问。 网络安全 “此次行动中的受害者并不局限于任何特定行业或组织规模。”该公司表示。“受害者组织概况的多样性，加上自动化登录/注销事件的出现，表明此次行动的针对性是机会主义的，而非有意识、有方法地针对。” Fortinet确认新零日漏洞 Fortinet已发布有关FortiOS和FortiProxy中新的关键认证绕过漏洞的详细信息（CVE-2024-55591，CVSS评分：9.6），该公司表示该漏洞被用来劫持防火墙和入侵企业网络。 “一个认证绕过使用替代路径或通道的漏洞[CWE-288]，影响FortiOS和FortiProxy，可能允许远程攻击者通过向Node.js websocket模块发送精心构造的请求来获得超级管理员权限。”该公司在2025年1月14日发布的咨询中表示。 该缺陷影响以下版本： FortiOS 7.0.0至7.0.16（升级至7.0.17或更高版本） FortiProxy 7.0.0至7.0.19（升级至7.0.20或更高版本），以及 FortiProxy 7.2.0至7.2.12（升级至7.2.13或更高版本） 它还表示，该漏洞已被未知威胁行为者利用来创建管理员和本地用户账户、设置新的用户组或把新创建的本地用户添加到现有SSL VPN用户组，并更改防火墙策略，这与Arctic Wolf的发现相呼应。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据Cyber Security News消息，网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF 提供商，包括 Akamai、Cloudflare、Fastly 和 Imperva，并极有可能导致拒绝服务（DoS）攻击、勒索软件攻击，甚至是全面的应用程序入侵。 研究人员发现，漏洞导致的错误配置影响了涉及财富1000强公司相关的14多万个域。其中，3.6万个后端服务器有 8000 个域名与之相连，这些对潜在的攻击者开放，容易受到 DDoS 攻击。 根据分析，有近 40% 的 “财富 100 强 “企业和 20%  “财富 1000 强 “企业都受到了影响，这凸显了错误配置的普遍性。 一些全球知名企业，包括摩根大通、Visa、英特尔、伯克希尔·哈撒韦和联合健康等，都被发现受到了影响。比如，例如，研究团队的发现迅速披露了直接影响摩根大通主网站 chase.com 的问题；对伯克希尔·哈撒韦子公司 BHHC 拥有的一个网域进行的 20 秒钟拒绝服务攻击试验，展示了该漏洞的严重性。 根据 Zafran 的技术分析，缺陷在于现今 WAF 提供商的双重功能，它们也作为内容交付网络 (CDN) 运行，以增强网络可靠性和缓存。当后端服务器不能正确检查流量时，这种架构设计就会出现漏洞，让攻击者绕过 WAF 保护，直接攻击后端基础设施。比如，攻击者可以通过将外部域映射到后端 IP 地址来利用这一漏洞。 这一发现凸显了 WAF/CDN 解决方案在设计和实施过程中存在的系统性缺陷。 有效的 WAF 通常是面向公众的网络应用程序的主要或唯一防御层，因此这种错误配置尤其令人担忧。 最近的趋势表明，攻击者越来越多地瞄准配置不佳的网络应用程序。  此外，针对暴露在外的网络应用程序的云勒索软件攻击也越来越常见。 此类攻击造成的经济损失通常十分惊人，例如，一次持续一小时的 DDoS 攻击会给金融组织造成大约 180 万美元的损失，而类似的宕机时间给大型披萨连锁店造成的损失可能高达 190 万美元。 缓解措施 为了防范与这种 WAF 错误配置相关的风险，Zafran 概述了几种缓解策略： IP 白名单（源 IP 访问控制列表）： 只允许 CDN 提供商的 IP 地址访问后端服务器。 这种方法虽然简单，但并非万无一失； 自定义标头中的预共享密钥： 使用带有预共享密钥的自定义 HTTP 标头来验证流量。 虽然短期内有效，但这需要定期轮换密钥； 双向TLS（mTLS）：采用客户端认证来验证服务器和 CDN。 这是最安全的方法，但需要专门的工具，可能并非所有常用的负载均衡器都支持这些工具。 Zafran 从 2024 年 8 月 23 日开始启动了为期 90 天的协调披露流程，以通知受影响的公司。该团队向 Visa、英特尔、摩根大通、伯克希尔·哈撒韦公司的 BHHC 和联合健康报告了该漏洞。值得注意的是，摩根大通和联合健康已经解决了这个问题，防止了潜在的漏洞利用。     转自Freebuf，原文链接：https://www.freebuf.com/news/417317.html 封面来源于网络，如有侵权请联系删除

作为后量子时代的标志性产品，谷歌首个抗量子加密浏览器Chrome 124的发布意外引发了网络安全业界的骚乱。 该Chrome版本默认启用全新的抗量子安全传输层安全(TLS)密钥封装机制X25519Kyber768，用于保护用户免受即将到来的量子破解威胁。然而，这项新技术却由于兼容性问题导致TLS连接中断，很多用户无法正常连接访问网站、服务器和多家安全厂商的防火墙。 “先存储，后解密”攻击 早在去年8月，谷歌就开始测试代号“Kyber768”的抗量子密钥协商算法，并计划将其整合至最新的Chrome版本中。理论上，Kyber768可以保护基于TLS 1.3和QUIC连接的Chrome流量，使其免遭未来量子计算机的破解。经过数月的兼容性和性能影响测试，我们决定在Chrome 124桌面版本中启用混合式抗量子TLS密钥交换，”谷歌Chrome安全团队解释道：“这项技术可以保护用户流量免受‘先存储，后解密’（黑客大量收集囤积加密的网络流量数据，等未来量子计算机成熟后进行解密）攻击的威胁。” “先存储，后解密”攻击是数据安全面临的一个巨大潜在威胁。为了防范此类攻击，许多企业已经开始在其网络架构中加入抗量子加密技术。苹果、Signal和谷歌等科技巨头均已率先采用了抗量子算法。 大量防火墙、服务器、网络设备产生兼容问题 然而，根据系统管理员们的反馈，自上周Google Chrome 124和微软Edge 124桌面版推出以来，一些网络应用、防火墙和服务器产品在执行Client Hello TLS握手时会断开连接。 “该问题似乎影响了服务器处理客户端问候消息中的额外数据的能力，”一位管理员表示：“同样的问题也出现在了新版Edge浏览器上，似乎与派拓网络（Palo Alto Networks）防火墙产品的的SSL解密功能存在冲突。” 据报道，该兼容性问题的影响面非常大，多个供应商（例如Fortinet、SonicWall、Palo Alto Networks、AWS）的安全设备、防火墙、网络中间件和各种网络设备都遭遇了类似的兼容性问题。 值得注意的是，这些错误并非源于Google Chrome本身的漏洞，而是由于部分网站服务器和网络设备未能正确实现传输层安全(TLS)协议，无法处理用于抗量子加密的更大ClientHello消息。 这些不支持X25519Kyber768算法的网络设备，不会尝试降级至经典加密方案，而是直接拒绝使用Kyber768算法建立的连接。 TLS连接中断问题的解决方法 一个名为tldr.fail的网站专门分享了有关抗量子ClientHello消息如何导致服务器连接错误的信息，并为开发者提供了修复漏洞的指南。 网站管理员也可以通过在Chrome浏览器中启用“chrome://flags/#enable-tls13-kyber”标记来手动测试服务器的兼容性。启用后，管理员可以尝试连接到自己的服务器，并查看是否会产生“ERR_CONNECTION_RESET”错误。 受影响的Google Chrome用户可以访问“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持来暂时规避该问题。 系统管理员还可以通过以下方式进行修复：在“软件>策略>Google>Chrome”路径下禁用“PostQuantumKeyAgreementEnabled”企业策略；或者联系网络设备供应商，获取适用于其服务器或中间件的更新补丁，以使其兼容抗量子加密标准。 微软也发布了相关信息，指导用户如何通过Edge浏览器组策略控制此功能。 需要注意的是，从长远来看，TLS协议终究需要采用抗量子安全密码。谷歌未来也将移除Chrome企业策略中禁用混合式Kyber支持的选项。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gAIVGiENWMgkqyUJQefHRg 封面来源于网络，如有侵权请联系删除

Volexity 安全研究人员警告说，疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的0day漏洞已有两周多的时间。 Palo Alto Networks于周五披露了该漏洞，警告称其已意识到有限的野外利用情况，并承诺在未来两天内提供补丁。 该安全缺陷被追踪为CVE-2024-3400（CVSS 评分为 10/10），被描述为命令注入问题，允许未经身份验证的攻击者以 root 权限在受影响的防火墙上执行任意代码。 据供应商称，所有运行 PAN-OS 版本 10.2、11.0 和 11.1 且启用了 GlobalProtect 网关和设备遥测的设备都容易受到攻击。其他 PAN-OS 版本、云防火墙、Panorama 设备和 Prisma Access 不受影响。 “Palo Alto Networks 已意识到有人恶意利用此问题。我们正在以“MidnightEclipse 行动”的名义跟踪此漏洞的初始利用，因为我们非常有信心地评估，迄今为止我们分析的已知利用仅限于单个攻击者。”该公司在博客文章中表示。 Volexity 将CVE-2024-3400 漏洞归因于一个有国家背景的黑客，追踪编号为“UTA0218”，攻击者似乎能力很强，“有一个明确的剧本，说明如何进一步实现其目标”。 “Volexity 评估认为，根据开发和利用此类性质的漏洞所需的资源、攻击者针对的受害者类型以及安装 Python 后门和所显示的功能，UTA0218 很可能是国家支持的黑客组织，意图进一步访问受害者网络。”该网络安全公司指出。 该公司目前无法将该活动与先前已知的黑客组织联系起来。 目前尚不清楚这种利用的范围有多广泛，但 Volexity 表示，“有证据表明，潜在的侦察活动涉及更广泛的利用，旨在识别易受攻击的系统”。 该网络安全公司表示，自 3 月 26 日以来，UTA0218 已成功利用0day漏洞攻击多个组织。在两个实例中，攻击者还注入了一个名为 Upstyle 的基于 Python 的后门，并用它来执行其他命令。 “成功利用设备后，UTA0218 从他们控制的远程服务器下载了额外的工具，以便于访问受害者的内部网络。他们迅速在受害者的网络中横向移动，提取敏感凭证和其他文件，以便在入侵期间和之后可能进行访问。”Volexity 解释道。 攻击链 研究人员发现攻击在防火墙上创建了一个 cron 作业，以持续从远程服务器获取文件并执行其内容。我们看到攻击者手动管理命令与控制 (C&C) 服务器的访问控制列表，以确保只能从与其通信的设备进行访问。 还观察到 UTA0218 部署了用 Python 编写的反向 shell 和开源 SSH 反向 shell，下载 GOST（GO Simple Tunnel）等反向代理工具，并从受感染的防火墙中窃取配置数据。 在一次攻击中，攻击者使用帕洛阿尔托网络防火墙的高特权服务帐户通过 SMB 和 WinRM 横向移动。随后，UTA0218 窃取了 Active Directory 数据库、关键数据、Windows 事件日志、登录信息、cookie 和浏览器数据，并能够解密存储的凭据。 “没有观察到 UTA0218 在受害者网络内的系统上部署恶意软件或其他持久性方法。被盗的数据确实使攻击者能够有效地破坏所有域帐户的凭据。此外，攻击者获得了访问权限，并可能使用从浏览器数据中获取的有效凭据或 cookie 来访问特定的用户工作站。”Volexity 解释道。 CVE-2024-3400 的补丁预计将于 4 月 14 日发布。与此同时，建议组织在其防火墙上禁用设备遥测，并应用 Palo Alto Networks 在其公告中详细介绍的其他缓解建议。 建议认为自己因该0day漏洞而受到损害的组织收集日志、创建技术支持文件并保留取证工件。他们还应该寻找潜在的横向移动，并应考虑防火墙上的所有敏感数据受到损害。 Palo Alto Networks 和 Volexity 警告称，UTA0218 和其他攻击者对 CVE-2024-3400 的利用可能会在未来几天内激增，这主要是由于补丁尚未推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nxtN-VsXRmSLKEZ_avFeLA 封面来源于网络，如有侵权请联系删除

根据攻击性安全公司Bishop Fox的最新报告，虽然Fortinet已经发布安全更新一个多月，但仍有数十万个FortiGate防火墙的严重漏洞（CVE-2023-27997）未得到修补。 该漏洞是一个远程代码执行漏洞，严重性评分高达9.8分，是由FortiOS中堆栈缓冲区溢出问题造成的。FortiOS是连接所有Fortinet网络组件并将其集成到Security Fabric平台中的操作系统。 漏洞CVE-2023-27997可被利用，允许未经身份验证的攻击者通过在网络上公开的SSL VPN接口在易受攻击的设备上远程执行代码。在6月中旬的一份公告中，Fortinet曾警告称，该漏洞可能已在攻击中被利用。 Fortinet于6月11日解决了该漏洞，然后公开披露，并发布了FortiOS固件版本6.0.17、6.2.15、6.4.13、7.0.12和7.2.5。 Bishop Fox上周五报告称，尽管安全专家呼吁尽快修复漏洞，但仍有超过30万台FortiGate防火墙设备容易受到攻击，并且可以通过公共互联网进行访问。 Bishop Fox研究人员使用Shodan搜索引擎通过搜索返回的特定HTTP响应标头来查找SSL VPN接口暴露的设备。 研究人员查询了489,337个设备，发现并非所有设备都容易受到CVE-2023-27997漏洞（也称为Xortigate）的攻击。经过进一步调查，研究人员发现，所发现的设备中有153,414台已更新为安全的FortiOS版本。 Bishop Fox研究人员表示，这意味着可通过网络访问的FortiGate防火墙中约有33.6万台容易受到攻击，这一数字明显高于此前的查询统计（约25万个）。 Bishop Fox研究人员还发现，许多暴露的FortiGate设备在过去八年里都没有收到更新，其中一些运行的是FortiOS 6，该版本已于去年9月29日终止技术支持。 这些设备容易受到多个严重漏洞的影响，且这些漏洞的PoC都已经公开。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/JkItgi93tJ-8xtSORWQJBQ 封面来源于网络，如有侵权请联系删除