HackerNews 编译，转载请注明出处： 2026 年 2 月 10 日，微软 Word 一款高危零日漏洞被披露，漏洞编号为 CVE-2026-21514，可使攻击者绕过核心安全防护机制。 该漏洞已遭在野主动利用，CVSS 3.1 基础评分为 7.8 分，时序评分为 7.2 分。 CVE-2026-21514 利用了微软 Word 基于不可信输入处理安全决策时的缺陷，漏洞分类为 CWE-807。 该漏洞可专门绕过微软为防范恶意 COM/OLE 控件而部署的对象链接与嵌入（OLE）缓解措施。 此类 OLE 控件可支持文档嵌入外部对象并与之交互，而校验机制缺失使攻击者能够绕过防护措施。 攻击向量与利用原理 该漏洞攻击向量为本地（AV:L），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R）。 攻击者需制作特制 Office 文档，通过钓鱼邮件或其他社会工程学手段诱骗受害者打开。 漏洞利用范围未扩大（S:U），即受漏洞影响的组件不会超出其安全权限范围影响其他资源。 与传统会触发安全告警的宏攻击不同，CVE-2026-21514 可完全绕过此类防护。 用户打开恶意文档时，漏洞利用程序会直接执行，不会弹出常规的 “启用内容” 提示或保护视图告警。 该漏洞利用代码成熟度为可利用（E:F），表明有效利用代码已存在并应用于真实攻击。 该漏洞影响多款 Office 版本，包括微软 365 企业版应用（32 位与 64 位）、Office LTSC 2021/2024 版，以及 Mac 版 Office LTSC 2021/2024。 微软已通过 Windows 版即点即用更新、Mac 系统 16.106.26020821 版本推送官方修复程序。 美国网络安全和基础设施安全局（CISA）要求联邦机构在 2026 年 3 月 3 日前完成该漏洞修复，足见其高危性。 机构应立即部署可用安全更新，部署邮件过滤规则拦截可疑 Office 文档，并对用户开展非邀约附件打开安全培训。 完成补丁修复前，可通过组策略设置限制 OLE 对象执行。 谷歌威胁情报团队与微软内部安全团队的安全研究人员合作发现并修复了该威胁。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Gemini MCP 工具存在一个高危零日漏洞，使用户在无需任何身份验证的情况下暴露于远程代码执行（RCE）攻击。 该漏洞追踪编号为 ZDI-26-021 / ZDI-CAN-27783，通用漏洞标识符为CVE-2026-0755，其 CVSS v3.1 最高评分为 9.8 分，反映了其易被利用且危害程度高的特性。 根据趋势科技零日计划（ZDI）的一份新公告，该漏洞影响了开源工具 gemini-mcp-tool，该工具用于实现 Gemini 模型与模型上下文协议（MCP）服务的集成。 漏洞概述 在公告中，涉事厂商及产品均标注为 Gemini MCP Tool / gemini-mcp-tool。该漏洞的核心成因是 execAsync 方法对用户输入数据处理不当。 该函数未对用户输入进行充分验证与净化，便直接将其传入系统调用。 远程攻击者可以利用此命令注入漏洞，在目标底层系统上执行任意代码，且代码执行权限与服务账户权限一致。 由于攻击媒介是基于网络的，且无需事先身份验证或用户交互，因此暴露于公网或共享环境的风险特别高。 该漏洞最初于 2025 年 7 月 25 日通过第三方平台报告给相关厂商。 ZDI 在 2025 年 11 月跟进漏洞修复进展，在未获得充分反馈的情况下，于 2025 年 12 月 14 日告知供应商其打算将此案例作为零日漏洞进行公告披露。 该漏洞的协同公开披露及安全公告更新工作于 2026 年 1 月 9 日完成。 截至公告发布时，厂商尚未推出官方补丁及修复更新。因此，该漏洞的缓解措施选项有限。 ZDI 建议严格限制对 Gemini MCP 工具的访问权限，确保其不直接暴露于互联网，且仅允许可信网络及可信用户进行交互。 管理员还需对运行 gemini-mcp-tool 的系统进行监控，重点排查可疑进程执行及异常对外连接情况，此类现象可能意味着漏洞已被成功利用。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软日前发布了紧急安全更新，用于修复一个已在野外被积极利用的Office零日漏洞，该漏洞编号为CVE-2026-21509，影响Office 2016至2024多个版本以及Microsoft 365 应用。 该漏洞属于安全机制绕过类型，波及Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024以及企业版Microsoft 365 Apps。 根据微软的安全公告，漏洞成因在于“Microsoft Office的一项安全决策依赖了不可信的输入，使得攻击者能够借此在本地绕过安全防护。”公告确认该漏洞已被在野利用，并指出：“攻击者需要向用户发送恶意Office文件并诱使其打开。” 本次更新修复了一个可绕过Microsoft 365和Office中OLE安全保护的缺陷，该缺陷会将用户暴露于存在漏洞的COM/OLE控件。 微软已确认Office的预览窗格不受此漏洞影响，且无法作为攻击入口。不过，该公司并未披露关于利用此漏洞的攻击的技术细节。 微软正在努力解决Microsoft Office 2016和2019中的该漏洞，并宣布将尽快发布安全更新。 微软也提供了临时缓解方案以降低风险： Office 2021及更高版本在重启应用程序后，可通过服务端修复自动获得保护。 对于Office 2016和2019版本，用户需要等待并安装即将发布的安全更新，或者立即手动修改注册表来禁用存在隐患的COM/OLE控件。具体操作涉及添加特定的COM 兼容性注册表项，并在其中设置兼容性标志DWORD值。微软提醒，在修改注册表前务必进行备份，修改后需重启Office应用程序才能使防护生效。   消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Wiz 发布的新发现，Gogs 中存在一个高严重性且未修复的安全漏洞正遭到主动利用，已有超过700个可通过互联网访问的实例被入侵。 该漏洞编号为 CVE-2025-8110（CVSS 评分：8.7），是这一基于 Go 语言的自托管 Git 服务在其文件更新 API 中存在的一个文件覆写案例。据称，针对该问题的修复程序目前正在开发中。Wiz公司表示，他们是在2025年7月调查一名客户机器上的恶意软件感染时，意外发现了这个零日漏洞。 根据 CVE.org 上的漏洞描述：”Gogs 中 PutContents API 对符号链接的处理不当，允许本地代码执行。“ 这家云安全公司指出，CVE-2025-8110 实际上是对一个先前已修复的远程代码执行漏洞（CVE-2024-55947，CVSS 评分：8.7）的绕过。该漏洞允许攻击者向服务器上的任意路径写入文件，并获取服务器的 SSH 访问权限。CVE-2024-55947 已于 2024 年 12 月由维护者修复。 Wiz 表示，攻击者可以利用 Git（以及因此的 Gogs）允许在 git 仓库中使用符号链接，并且这些符号链接可以指向仓库外的文件或目录这一事实，来绕过 Gogs 为解决 CVE-2024-55947 而实施的修复。此外，Gogs 的 API 允许在常规 Git 协议之外修改文件。 因此，攻击者可以利用这种未能妥善处理符号链接的缺陷，通过一个四步过程实现任意代码执行： 创建一个标准的 git 仓库。 提交一个指向敏感目标的单个符号链接。 使用 PutContents API 向该符号链接写入数据，导致系统跟随链接并覆写仓库外的目标文件。 覆写 “.git/config” 文件（特别是 sshCommand 配置）以执行任意命令。 至于在此次攻击活动中部署的恶意软件，据评估是基于 Supershell 的有效负载。Supershell 是一个开源命令与控制框架，常被中国黑客组织使用，能够建立到攻击者控制服务器（”119.45.176[.]196″）的反向 SSH shell。 Wiz 称，利用 CVE-2025-8110 的攻击者在感染后本可以采取措施删除或在客户云工作负载上留下的已创建仓库（例如 “IV79VAew / Km4zoh4s“），但他们并没有这么做。这种粗心大意表明这可能是一场”打了就跑”式的攻击活动。 总体而言，互联网上暴露着大约 1,400 个 Gogs 实例，其中超过 700 个已显示出被入侵的迹象，特别是存在由8个字符随机组成的所有者/仓库名称。所有已识别的仓库均创建于 2025年7月10日 左右。 研究人员 Gili Tikochinski 和 Yaara Shriki 表示：”这表明单一的攻击者，或者可能是一组都使用相同工具的攻击者，应对所有感染负责。“ 鉴于该漏洞目前没有修复补丁，用户必须禁用公开注册功能，限制其暴露在互联网上，并扫描实例中是否存在具有8字符随机名称的仓库。 此次披露之际，Wiz 同时警告，威胁行为者正将泄露的 GitHub 个人访问令牌作为高价值入口点，用以获取对受害者云环境的初始访问权限，甚至利用它们实现从 GitHub 到云服务提供商控制平面的跨云横向移动。 当前的核心问题是，拥有通过 PAT 获得的基本读取权限的威胁行为者，可以利用 GitHub 的 API 代码搜索功能，发现直接嵌入在工作流 YAML 代码中的密钥名称。更复杂的是，如果被利用的 PAT 具有写入权限，攻击者就可以执行恶意代码并清除其恶意活动的痕迹。 研究员 Shira Ayal 表示：”攻击者利用被盗的 PAT 在代码库中发现 GitHub Action Secrets 的名称，并在新创建的恶意工作流中使用这些名称来执行代码并获取 CSP 密钥。我们还观察到威胁行为者将密钥外泄到他们控制的一个 Webhook 端点，完全绕过了 Action 日志。“ 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型 iOS 零日漏洞攻击链被证实与某雇佣军间谍软件相关联，该软件可对高风险目标用户的设备实施隐秘监听。 攻击者串联起多个此前未被发现的系统漏洞，目标用户只需在苹果浏览器（Safari）中点击一个链接，就能让间谍软件完整植入其苹果手机。 此次攻击主要针对公民社会人士与政治相关目标。这一事件也凸显出，资金雄厚的间谍软件供应商正不断将浏览器及系统内核漏洞武器化，用于开展长期秘密监听活动。 攻击始于一个一次性恶意链接，这类链接通常通过加密通讯软件发送。当目标用户在苹果浏览器中打开该链接时，浏览器会加载一款漏洞利用程序，该程序会触发一个远程代码执行漏洞，此漏洞后续被编号为 CVE – 2023 – 41993 并完成修复。 攻击的第一阶段会借助通用漏洞利用框架，实现对苹果浏览器渲染进程的任意读写操作，随后进一步获取苹果移动操作系统新版中的原生代码执行权限。自 2021 年起，多个监听技术供应商及国家背景黑客组织均复用该框架，可见可复用漏洞组件已形成活跃的地下交易市场。 苹果浏览器被攻破后，攻击进入威力更强的第二阶段。攻击者利用编号为 CVE – 2023 – 41991 与 CVE – 2023 – 41992 的两个内核漏洞，突破苹果浏览器的沙箱限制并提升操作权限。这一步操作会向名为 “猎物猎手”（PREYHUNTER）的第三阶段恶意负载开放内核内存的读写权限。 “猎物猎手” 包含 “辅助模块” 和 “监控模块” 两大组件。前者可完成受害设备校验、躲避安全分析等操作；后者能执行早期监听任务，比如进行网络电话录音、记录键盘输入、拍摄摄像头画面等，且执行这些操作时会隐藏相关通知，避免被用户察觉。 感染过程与 “猎物猎手” 的运行机制 其套接字的简化配置代码如下： 以下为攻击链中涉及的漏洞详情表： 漏洞编号 漏洞类型 涉及组件 / 开发商 在攻击链中的作用 造成后果 CVE – 2023 – 41993 远程代码执行漏洞 苹果浏览器 / 苹果移动操作系统 初步攻破浏览器 获取浏览器进程的代码执行权限 CVE – 2023 – 41992 沙箱突破 + 本地权限提升漏洞 系统内核 / 苹果移动操作系统 突破苹果浏览器沙箱限制 获取系统级代码执行权限 CVE – 2023 – 41991 本地权限提升漏洞 系统内核 / 苹果移动操作系统 提升内核权限并实现持久化驻留 支持间谍软件对内核进行读写操作 这种精心设计的分阶段攻击模式，再加上攻击者获取的内核级操作权限，足以看出当前漏洞开发者、非法中间商与间谍软件运营者已形成成熟的黑色产业链。他们相互勾结，让针对苹果移动设备的监听攻击既能隐秘实施，又能长期持续。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 谷歌发布 Chrome 安全更新，修复了两个漏洞，其中包括一个编号为 CVE-2025-13223 的高危 V8 类型混淆漏洞 —— 该漏洞已被野外活跃利用。 Chrome V8 引擎是谷歌开发的开源 JavaScript 及 WebAssembly 引擎（采用 C++ 编写），为谷歌 Chrome 浏览器、Node.js 等应用程序提供代码执行支持。 类型混淆漏洞是指软件将某块内存错误解读为其他类型对象的安全问题。这种混淆可能导致攻击者破坏内存数据、崩溃程序或执行恶意代码，在浏览器等 C/C++ 开发的应用中较为常见 —— 这类语言较弱的内存安全性为漏洞利用提供了可能。 攻击者可通过构造恶意 HTML 页面触发该漏洞，实现代码执行或导致程序崩溃。 该漏洞影响版本号低于 142.0.7444.175 的谷歌 Chrome 浏览器中的 V8 脚本引擎。 美国国家标准与技术研究院（NIST）在安全公告中指出：“谷歌 Chrome 142.0.7444.175 版本之前的 V8 引擎存在类型混淆漏洞，远程攻击者可通过构造恶意 HTML 页面潜在利用此漏洞实施堆破坏。（Chromium 安全等级：高危）” 公告同时明确：“谷歌已知悉 CVE-2025-13223 漏洞存在野外利用样本。” 该漏洞由谷歌威胁分析小组（TAG）的克莱芒・勒西涅（Clément Lecigne）于 2025 年 11 月 12 日报告。谷歌 TAG 团队主要负责调查国家级黑客组织及商业间谍软件供应商发起的攻击活动，此次漏洞大概率已被某类威胁行为者用于野外攻击。与往常一致，谷歌未披露该漏洞相关攻击事件的具体细节。 此外，谷歌还修复了另一个 V8 类型混淆漏洞 CVE-2025-13224，该漏洞由谷歌通过其 “Big Sleep” 安全机制于 2025 年 10 月 9 日自行发现。 用户应根据自身操作系统，将 Chrome 浏览器更新至 142.0.7444.175 或 142.0.7444.176 版本，并重启浏览器以应用修复补丁。 CVE-2025-13223 是 2025 年以来谷歌修复的第七个被野外活跃利用的 Chrome 零日漏洞，其余已修复的零日漏洞包括： CVE-2025-10585：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 CVE-2025-6558：谷歌 Chrome 138.0.7204.157 版本之前的 ANGLE 组件及 GPU 模块存在不可信输入验证不充分问题，远程攻击者可通过构造恶意 HTML 页面潜在实现沙箱逃逸。 CVE-2025-5419：谷歌 Chrome 浏览器早期版本的 V8 JavaScript 引擎存在越界读写漏洞，攻击者可通过构造恶意 HTML 页面触发堆破坏，该漏洞已被野外活跃利用。 CVE-2025-4664：Chrome 浏览器漏洞，可能导致账户完全被盗取；谷歌已知悉该漏洞存在野外利用样本（注：原文此处疑似笔误，误写为 CVE-2025-5419，已按上下文逻辑修正表述）。 CVE-2025-2783：Windows 平台 Mojo 组件在特定场景下存在句柄处理错误漏洞，由卡巴斯基研究员鲍里斯・拉林（@oct0xor）和伊戈尔・库兹涅佐夫（@2igosha）于 2025 年 3 月 20 日报告。谷歌针对 Windows 版 Chrome 浏览器发布了紧急更新以修复该高危漏洞，该漏洞曾被用于针对俄罗斯境内机构的攻击活动。 CVE-2025-6554：V8 JavaScript 及 WebAssembly 引擎中的类型混淆漏洞。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队周三披露，其监测到某高级威胁攻击者利用思科身份服务引擎与思杰NetScaler应用交付控制器产品中的两个零日安全漏洞，开展旨在投递定制化恶意软件的网络攻击。 亚马逊综合安全首席信息安全官CJ·摩西在向《黑客新闻》提供的报告中指出：”这一发现揭示了威胁攻击者正将焦点集中于关键身份验证与网络访问控制基础设施的趋势——这些系统正是企业实施安全策略和管理全网认证所依赖的核心。” 该攻击活动由其马德波特蜜罐网络捕获，攻击者武器化利用了以下两个漏洞： CVE-2025-5777（思杰出血漏洞2.0）（CVSS评分9.3）：思杰NetScaler ADC和网关中的输入验证缺陷，攻击者可利用此漏洞绕过身份验证（思杰已于2025年6月发布补丁） CVE-2025-20337（CVSS评分10.0）：思科身份服务引擎及思科ISE被动身份连接器的未认证远程代码执行漏洞，可允许攻击者以root权限在底层操作系统执行任意代码（思科已于2025年7月修复） 尽管这两项漏洞已被发现遭主动利用，但亚马逊报告首次揭示了具体攻击细节。 攻击链条深度解析 亚马逊表示，其检测到针对CVE-2025-5777的零日漏洞利用尝试，后续调查更发现攻击者通过CVE-2025-20337向思科ISE设备投递异常载荷。整个攻击活动最终部署了伪装成合法思科ISE组件（IdentityAuditAction）的定制化网页外壳。 摩西强调：”这并非常见的现成恶意软件，而是专为思科ISE环境量身定制的后门程序。”该网页外壳具备深度隐匿能力：完全在内存中运行，通过Java反射机制注入正在执行的线程，同时注册监听器监控Tomcat服务器所有HTTP请求，并采用非标准Base64编码的DES加密以规避检测。 攻击特征与防御建议 亚马逊将此次攻击定性为无差别扫描，并指出攻击者属于”高资源支持型”——其能同时利用多个零日漏洞，表明要么具备高级漏洞研究能力，要么可能获取了未公开漏洞信息。此外，定制化工具的使用反映出攻击者对企业级Java应用、Tomcat内部机制及思科ISE运作原理的深入了解。 这些发现再次表明，威胁攻击者持续瞄准网络边缘设备作为渗透入口。企业亟需通过防火墙或分层访问机制，严格限制对特权管理门户的访问权限。摩西警示：”这些漏洞利用均无需预认证的事实说明，即便是配置完善、精心维护的系统也可能受影响。这凸显了实施全面纵深防御策略、建设能识别异常行为模式的强大检测能力的势在必行。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌Chrome浏览器中的一个关键零日漏洞（编号CVE-2025-2783）已被发现在野利用，这是一次被称为”Operation ForumTroll”的针对性网络间谍行动的一部分。 根据卡巴斯基的最新研究，这些攻击与被称为Mem3nt0 mori（亦称作ForumTroll APT）的黑客组织有关，并且似乎涉及意大利监控软件开发商Memento Labs所打造的工具。 复杂攻击链解析 攻击始于2025年3月，受害者会收到高度个性化的钓鱼邮件，邀请他们参加普里马科夫读书论坛活动。点击这些存在时间极短的恶意链接将直接导致设备感染，无需受害者进行任何额外操作。此次攻击主要针对俄罗斯和白俄罗斯的各类组织，包括大学、研究中心、金融机构及政府机构。 卡巴斯基的分析显示，攻击者部署了一个沙箱逃逸漏洞利用程序，成功攻破了Chrome及其他基于Chromium内核的浏览器。该漏洞源于Windows操作系统在处理”伪句柄”时存在的逻辑缺陷，使得攻击者能够在Chrome浏览器进程中执行任意代码。 谷歌已在Chrome 134.0.6998.177/.178版本中紧急修复了此问题。火狐浏览器开发商后来也在其产品中发现了一个相关问题，并将其标识为CVE-2025-2857予以解决。 与Memento Labs关联的间谍工具 调查人员将”Operation ForumTroll”中使用的恶意工具包追溯至2022年由Mem3nt0 mori发起的攻击活动。这些攻击曾部署一款名为LeetAgent的间谍软件，其功能包括： 远程执行Shellcode和命令 运行后台键盘记录程序 窃取.docx、.xlsx和.pdf等扩展名的文件 进一步的分析还发现了对一款更先进的监控软件平台”Dante”的使用证据。这是Memento Labs（前身为Hacking Team）开发的一款商业产品。Dante恶意软件由Hacking Team早期的远程控制系统套件演变而来，具备全面的反分析技术和加密通信功能。 事件影响与行业响应 卡巴斯基研究人员得出结论，Mem3nt0 mori在ForumTroll攻击活动中利用了基于Dante的组件，这标志着首次在野观察到这款商业监控软件的实际使用。 研究团队表示：”这个漏洞利用确实让我们感到困惑，因为它允许攻击者在未执行任何明显恶意或被禁止操作的情况下，绕过谷歌Chrome的沙箱保护。这都源于Windows操作系统中一个晦涩特性所导致的强大逻辑漏洞。” 此事件凸显了与国家行为体结盟的黑客组织及商业监控软件供应商所带来的持续风险。卡巴斯基敦促安全研究人员检查其他软件及Windows服务，以寻找类似的伪句柄漏洞。 尽管Chrome的新补丁已封堵此漏洞，但该案例再次表明间谍行为体与全球监控软件市场之间存在持续的重叠——这也提醒我们，商业监控工具正在针对性网络行动中不断获得新的生命力。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）发出警告，称黑客正利用 Motex 公司 Lanscope 终端管理器中的一个严重漏洞发起攻击。 该漏洞编号为CVE-2025-61932，安全等级为 “严重”，评分达 9.3 分。其成因是对传入请求的来源验证不当，未经验证的攻击者可通过发送特制数据包，在目标系统上执行任意代码。 Lanscope 终端管理器由日本 Motex 公司开发，该公司是京瓷通信系统的子公司。这款终端管理与安全工具可对桌面设备和移动设备实现统一管控。 该产品通过亚马逊云服务（AWS）提供资产 / 终端管理功能，在日本及亚洲地区尤为普及。 本周早些时候，厂商发布的安全公告强调了安装最新更新的紧迫性，并指出该漏洞被利用的风险已升高。 Motex 在公告中表示：“终端管理器本地客户端程序（以下简称 MR）和检测代理（以下简称 DA）中存在一个漏洞，可能导致远程代码执行。” 该公司证实，部分客户的环境已收到恶意数据包，这表明该漏洞已被作为 “零日漏洞”使用。 Motex 称：“此外，已有客户环境确认收到来自外部的未授权数据包。” 漏洞影响范围与修复版本 CVE-2025-61932 影响 Lanscope 终端管理器9.4.7.2 及以下版本，厂商已在以下版本中修复该漏洞： 9.3.2.7 9.3.3.9 9.4.0.5 9.4.1.5 9.4.2.6 9.4.3.8 9.4.4.6 9.4.5.4 9.4.6.3 9.4.7.3 厂商特别指出，该漏洞仅影响客户端，客户无需升级管理器本身。 目前尚无针对 CVE-2025-61932 的临时解决方案或缓解措施，安装上述更新是解决该安全问题的唯一途径。 Motex 尚未披露已观测到的恶意活动细节。日本计算机应急响应协调中心（JPCERT/CC）也发出警告，称已收到威胁行为者利用 CVE-2025-61932 攻击日本国内机构的相关信息。 BleepingComputer（科技媒体）已联系厂商寻求更多信息，后续将在获得回复后更新报道。 美国官方应对措施 CISA 已于昨日将 CVE-2025-61932 纳入 “已知被利用漏洞目录”（KEV），并为所有受《22-01 号指令》（BOD 22-01）约束的联邦机构及政府组织设定了11 月 12 日的强制补丁安装截止日期。 尽管该指令仅对特定机构具有强制性，但 KEV 目录仍可为私营组织提供安全防护指导。 目前尚未证实 CVE-2025-61932 与日本近期增多的漏洞利用活动存在关联。不过，日本多家知名企业近期披露了数据泄露事件，例如麒麟勒索软件（Qilin ransomware）对朝日啤酒（Asahi brewery）的攻击，以及电商企业 Askul 的漏洞导致零售巨头无印良品（Muji）线上销售受影响。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为体利用思科老旧、未受保护网络设备中一个近期刚修复的远程代码执行漏洞（CVE-2025-20352），部署 Linux rootkit 并获取持久访问权限。 此次攻击所利用的安全问题，影响思科 IOS 和 IOS XE 系统中的简单网络管理协议（SNMP）。若攻击者拥有 root 权限，便可通过该漏洞实现远程代码执行（RCE）。 据网络安全公司趋势科技（Trend Micro）称，攻击目标主要是思科 9400、9300 系列交换机，以及老旧的 3750G 系列设备，这些设备均未部署端点检测与响应解决方案。 在 10 月 6 日更新的 CVE-2025-20352 原始公告中，思科将该漏洞标记为 “已被零日利用”。思科产品安全事件响应团队（PSIRT）表示，已知该漏洞 “已被成功利用”。 趋势科技研究人员将此次攻击行动命名为 “零日迪斯科行动”（Operation Zero Disco），原因是恶意软件会设置一个通用访问密码，其中包含 “disco” 一词。 趋势科技的报告指出，威胁行为体还曾尝试利用 CVE-2017-3881 漏洞。这是一个存在七年之久的漏洞，位于 IOS 和 IOS XE 系统的集群管理协议（Cluster Management Protocol）代码中。 在易受攻击的系统上植入的 rootkit，具备一个 UDP 控制器，该控制器可实现多种功能：监听任意端口、切换或删除日志、绕过 AAA 认证与 VTY 访问控制列表（ACLs）、启用 / 禁用通用密码、隐藏运行配置项，以及重置这些配置项的最后修改时间戳。 研究人员在模拟攻击中证实，攻击者可通过该 rootkit 实现多项操作：禁用日志记录、通过 ARP 欺骗伪装中转站 IP、绕过内部防火墙规则，以及在不同虚拟局域网（VLAN）间横向移动。 尽管新型交换机借助地址空间布局随机化（ASLR）保护，对这类攻击的抵抗力更强，但趋势科技表示，它们并非完全免疫 —— 持续的针对性攻击仍可能导致其被入侵。 研究人员称，rootkit 部署完成后，恶意软件会 “在 IOSd 进程上安装多个钩子（hooks），导致无文件组件在设备重启后消失”。 目前，研究人员已成功恢复该 SNMP 漏洞利用工具的 32 位和 64 位两种变体。 趋势科技指出，当前尚无可靠工具能检测思科交换机是否因这类攻击被入侵。若怀疑设备遭黑客攻击，建议对底层固件和只读存储器（ROM）区域进行深度排查。   消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文