HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周五将五个影响苹果、Craft CMS 和 Laravel Livewire 的安全漏洞添加到其已知被利用漏洞（KEV）目录中，并敦促联邦机构在 2026 年 4 月 3 日前修复这些漏洞。 以下是已遭利用的漏洞： CVE – 2025 – 31277（CVSS 评分：8.8）：苹果 WebKit 中的一个漏洞，在处理恶意制作的网页内容时可能导致内存损坏。（2025 年 7 月已修复） CVE – 2025 – 43510（CVSS 评分：7.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致进程间共享内存发生意外变化。（2025 年 12 月已修复） CVE – 2025 – 43520（CVSS 评分：8.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致系统意外终止或写入内核内存。（2025 年 12 月已修复） CVE – 2025 – 32432（CVSS 评分：10.0）：Craft CMS 中的代码注入漏洞，远程攻击者可借此执行任意代码。（2025 年 4 月已修复） CVE – 2025 – 54068（CVSS 评分：9.8）：Laravel Livewire 中的代码注入漏洞，在特定场景下，未经身份验证的攻击者可借此实现远程命令执行。（2025 年 7 月已修复） 谷歌威胁情报小组（GTIG）、iVerify 和 Lookout 报告称，存在一款代号为 DarkSword 的 iOS 漏洞利用工具包，利用上述三个苹果漏洞以及另外三个缺陷，来部署 GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER 等恶意软件家族进行数据窃取，在此之后，这三个苹果漏洞被列入 KEV 目录。 据 Orange Cyberdefense SensePost 称，自 2025 年 2 月起，未知威胁行为者就将 CVE – 2025 – 32432 作为零日漏洞进行利用。从那时起，被追踪为 Mimo（又名 Hezb）的入侵组织也被观察到利用该漏洞来部署加密货币挖矿程序和住宅代理软件。 列表中的最后一个漏洞 CVE – 2025 – 54068，其被利用情况最近被 Ctrl – Alt – Intel 威胁研究团队标记，这是伊朗国家支持的黑客组织 MuddyWater（又名 Boggy Serpens）发动攻击的一部分。 本周早些时候发布的一份报告中，帕洛阿尔托网络 Unit 42 指出，该对手持续针对中东地区的外交和关键基础设施，包括能源、海事和金融领域，以及全球其他战略目标。 Unit 42 表示：“虽然社会工程仍然是其主要特征，但该组织也在不断提升其技术能力。其多样的工具集包括结合了反分析技术以实现长期潜伏的人工智能增强型恶意软件植入程序。这种社会工程与快速开发工具的结合，形成了强大的威胁态势。” Unit 42 还称：“为支持其大规模的社会工程活动，Boggy Serpens 使用了一个定制的基于网络的编排平台。该工具使操作人员能够在对发件人身份和目标列表保持精细控制的同时，实现大规模电子邮件的自动发送。” 该组织隶属于伊朗情报和安全部（MOIS），主要专注于网络间谍活动，不过它还通过采用 DarkBit 勒索软件身份，与针对以色列理工学院的破坏性行动有关联。 MuddyWater 攻击手法的一个显著特点是，在鱼叉式网络钓鱼攻击中使用劫持的政府和企业官方账户，并滥用信任关系来规避基于信誉的拦截系统并传播恶意软件。 在 2025 年 8 月 16 日至 2026 年 2 月 11 日期间，针对阿联酋一家未具名的国家海洋和能源公司的持续攻击活动中，该威胁行为者据称发动了四轮不同的攻击，导致部署了包括 GhostBackDoor 和 Nuso（又名 HTTP_VIP）在内的各种恶意软件家族。该威胁行为者武器库中的其他一些知名工具包括 UDPGangster 和 LampoRAT（又名 CHAR）。 Unit 42 表示：“Boggy Serpens 最近的活动体现了其威胁态势的成熟，该组织将其既定方法与更完善的持续运营机制相结合。通过使其开发渠道多样化，纳入 Rust 等现代编程语言和人工智能辅助工作流程，该组织创建了并行路径，确保维持高运营节奏所需的冗余性。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 警告美国政府机构，要保护其 Wing FTP 服务器，防范一个已在攻击中被积极利用的漏洞，该漏洞可能被用于远程代码执行攻击链条。 Wing FTP 服务器是一款跨平台的 FTP 服务器软件，通过其内置的 SFTP 和网络服务器，还能实现安全文件传输。开发者称，他们的文件传输软件在全球拥有超过 10000 家客户，其中包括美国空军、索尼、空客、路透社和丝芙兰。 这个被追踪为 CVE – 2025 – 47813 的安全漏洞，使得低权限的威胁行为者能够在未打补丁的服务器上获取该应用程序完整的本地安装路径。 CISA 解释称：“Wing FTP 服务器在 UID cookie 中使用长值时，存在生成包含敏感信息的错误消息漏洞。” 开发者于 2025 年 5 月在 Wing FTP 服务器 v7.4.4 版本中修复了此漏洞，同时修复的还有一个严重的远程代码执行（RCE）漏洞（CVE – 2025 – 47812）以及一个可用于窃取用户密码的信息泄露漏洞（CVE – 2025 – 27889）。 此前，在有关该 RCE 漏洞的技术细节公开一天后，攻击者就开始利用它，该漏洞也因此被标记为已在实际攻击中被利用。 发现并报告这些漏洞的安全研究员朱利安・阿伦斯（Julien Ahrens），于 6 月还分享了 CVE – 2025 – 47813 的概念验证利用代码，并表示攻击者可能将其与 CVE – 2025 – 47812 作为同一攻击链条的一部分来利用。 周二，CISA 将 CVE – 2025 – 47813 列入其被积极利用漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦民用行政部门（FCEB）机构在两周内保护好他们的系统。 虽然 BOD 22 – 01 仅针对联邦机构，但美国网络安全机构鼓励所有安全防护人员，包括私营部门的人员，尽快为其服务器打补丁，以应对正在发生的攻击。 CISA 在周一警告称：“这类漏洞是恶意网络行为者常用的攻击途径，对联邦机构构成重大风险。” “请按照供应商说明采取缓解措施，遵循 BOD 22 – 01 中关于云服务的适用指导；若无法采取缓解措施，则停止使用该产品。” 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）于周一将三个安全漏洞添加至其已知被利用漏洞（KEV）目录，依据是存在被主动利用的证据。 漏洞列表如下： ·     CVE-2021-22054（CVSS 评分：7.5）——Omnissa Workspace One UEM（前身为 VMware Workspace One UEM）中的服务器端请求伪造（SSRF）漏洞，允许拥有 UEM 网络访问权限的恶意行为者在未认证情况下发送请求，并获取敏感信息。 ·     CVE-2025-26399（CVSS 评分：9.8）——SolarWinds Web Help Desk 的 AjaxProxy 组件中存在的不可信数据反序列化漏洞，攻击者可借此在主机上执行命令。 ·     CVE-2026-1603（CVSS 评分：8.6）——Ivanti Endpoint Manager 中存在的使用替代路径或通道的身份认证绕过漏洞，允许远程未认证攻击者泄露特定存储的凭据数据。 CVE-2025-26399 被加入目录之前，微软和 Huntress 曾报告称，威胁行为者正在利用 SolarWinds Web Help Desk 中的安全漏洞获取初始访问权限。该活动据信由 Warlock 勒索软件团伙实施。 另一方面，CVE-2021-22054 于 2025 年 3 月被 GreyNoise 标记为正在与其他产品中的多个 SSRF 漏洞一起被利用，属于一场协同攻击活动的一部分。 目前尚无关于 CVE-2026-1603 在野外如何被武器化的详细信息。截至本文撰写时，Ivanti 的安全公告尚未更新以反映该漏洞已被利用的状态。 为应对活跃威胁带来的风险，美国联邦行政部门（FCEB）机构被下令在 2026 年 3 月 12 日前为 SolarWinds Web Help Desk 应用修复程序，并在 2026 年 3 月 23 日前完成其余两个漏洞的修复。 CISA 表示：“此类漏洞是恶意网络行为者常用的攻击向量，对联邦机构构成重大风险。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将VMware Aria Operations漏洞（CVE-2026-22719）列入已知被利用漏洞（KEV）目录，标记该漏洞正被攻击者利用。 博通公司亦警告称注意到相关利用报告，但无法独立核实。VMware Aria Operations是企业监控平台，用于追踪服务器、网络及云基础设施性能与健康状况。 该漏洞最初于2026年2月24日披露并修复，VMware VMSA-2026-0001公告评级为”重要”，CVSS评分8.1。CISA要求联邦民用机构在2026年3月24日前修复此问题。 博通在公告更新中表示：”注意到CVE-2026-22719野外潜在利用报告，但无法独立确认其有效性。”目前该漏洞利用技术细节尚未公开。 据博通说明，CVE-2026-22719为命令注入漏洞，未经身份验证的攻击者可执行任意命令。”恶意未认证攻击者可能在VMware Aria Operations支持辅助产品迁移过程中利用此问题执行任意命令，导致远程代码执行。” 博通于2月24日发布安全补丁，并为无法立即打补丁的组织提供临时缓解方案。该方案为名为”aria-ops-rce-workaround.sh”的shell脚本，需以root权限在每个Aria Operations设备节点执行，用于禁用迁移过程中可能被滥用的组件。 管理员被建议尽快应用安全补丁或实施缓解措施，尤其在该漏洞正被主动利用的情况下。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将影响 Digiever DS-2105 Pro 网络硬盘录像机（NVR）的安全漏洞（CVE-2023-52163，CVSS 8.8）列入“已知被利用漏洞”目录，并指出已有活跃攻击证据。 该漏洞属于命令注入类，可在认证后实现远程代码执行。CISA 公告称：“Digiever DS-2105 Pro 存在缺失授权漏洞，攻击者可通过 time_tzsetup.cgi 注入命令。” Akamai 与 Fortinet 的多份报告显示，该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出，由于设备已进入生命周期终止（EoL）状态，CVE-2023-52163 及其伴随的任意文件读取漏洞（CVE-2023-52164，CVSS 5.1）均未获得官方补丁。 成功利用需先登录设备并发送特制请求。在补丁缺失的情况下，用户应避免将设备暴露于互联网，并立即修改默认口令。 CISA 同时要求联邦文职行政机构（FCEB）在 2025 年 1 月 12 日前采取缓解措施或停用该产品，以抵御持续威胁。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将 Synacor Zimbra 协作套件（ZCS）的一个漏洞（漏洞编号：CVE-2025-27915）添加至其已知被利用漏洞（KEV）目录中。 CVE-2025-27915 是 Zimbra 协作套件（9.0-10.1 版本）中存在的一种存储型跨站脚本（XSS）漏洞，由 ICS 文件中 HTML 过滤不充分所致。当受害者打开包含恶意 ICS 条目（日历数据交换格式）的电子邮件时，JavaScript 代码会通过<ontoggle>事件执行，攻击者借此可劫持会话、设置邮件重定向并窃取数据。 StrikeReady 公司的研究人员发现，威胁行为者利用恶意 iCalendar（.ICS）文件，通过零日攻击（指漏洞未被公开且无补丁修复时发起的攻击） exploiting 了 Zimbra 协作套件中的 CVE-2025-27915 漏洞。ICS 文件原本用于共享日历数据，而在今年早些时候，该文件被恶意利用以向目标系统植入 JavaScript 有效负载。 StrikeReady 发布的报告指出：“2025 年初，一个显示来自 193.29.58.37 的发送方伪造利比亚海军礼宾办公室的身份，向巴西军方发起攻击，利用的正是 Zimbra 协作套件中的零日漏洞 CVE-2025-27915。此次攻击借助了恶意 ICS 文件，这是一种常用的日历格式文件。” 美国网络安全与基础设施安全局：Zimbra 零日攻击事件详情 研究人员在分析大小超过 10KB 且嵌入了混淆 JavaScript 代码的 ICS 文件时，发现了这些攻击行为。 该恶意脚本以 Zimbra 网页邮件系统为攻击目标，窃取用户凭证、电子邮件、联系人及共享文件夹等信息，并将数据泄露至ffrk.net网站。此脚本采用多种规避检测技术：恶意代码延迟 60 秒执行、活动时间限制为 3 天、隐藏用户界面痕迹，且会强制闲置用户登出以窃取数据。研究人员还发现，该脚本通过多个立即调用函数表达式（IIFEs）实现异步运行。 以下是该恶意软件具备的功能： 注入隐藏表单字段，在无可见界面提示的情况下捕获用户名和密码； 窃取在认证表单中输入的凭证信息； 跟踪输入操作（鼠标 / 键盘），若用户处于闲置状态，则终止会话以实施数据窃取； 调用 Zimbra SOAP 接口枚举文件夹并提取电子邮件； 定期（约每 4 小时）将捕获的邮件内容上传至攻击者服务器； 创建名为 “Correo” 的邮件转发规则，将邮件重定向至某个质子邮箱（ProtonMail）地址； 收集认证相关数据及备份令牌并发送给攻击者； 提取通讯录、通讯组列表及共享文件夹中的内容； 注入后延迟 60 秒释放有效负载，以规避快速检测； 限制全功能活动时长为 3 天，之后需进入冷却期； 隐藏或移除界面元素，最大限度减少入侵痕迹； 以多个独立代码块异步运行，拆分执行流程以增加分析难度。 StrikeReady 尚未确定此次攻击的具体实施组织，但指出仅有少数资源充足的行为体具备发起零日攻击的能力。研究人员发现，此次攻击所采用的战术、技术与程序（TTPs，网络攻击领域常用术语，指攻击方的行动模式）与白俄罗斯 APT 组织 UNC1151 的攻击手法存在相似之处。 根据《第 22-01 号具有约束力的行动指令：降低已知被利用漏洞的重大风险》（BOD 22-01）的要求，美国联邦民事执行部门（FCEB）所属机构必须在截止日期前修复已发现的漏洞，以防范利用目录中所列漏洞发起的攻击。专家还建议私营机构核查该漏洞目录，并及时修复自身基础设施中存在的相关漏洞。 美国网络安全与基础设施安全局要求联邦机构于 2025 年 10 月 28 日前完成该漏洞的修复工作。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，网络安全专家和科技公司对一次广泛的软件供应链入侵事件发出警报。这次事件涉及“Shai-Hulud”——一种自我复制的蠕虫，被用于感染500多个嵌入在各种软件中的包。 本周，美国联邦政府发布警告，称发生了一起黑客事件，攻击者入侵了数百个开发人员用于构建软件的包。美国网络安全与基础设施安全局（CISA）表示，黑客在获得初始访问权限后，“部署了恶意软件来扫描环境中的敏感凭证”。攻击者的目标是 GitHub 个人访问令牌（PATs）和主要云服务的应用程序接口（API）密钥。 随后，恶意软件被用来窃取凭证，将其上传到公共代码库，并利用自动化流程快速传播，将恶意代码注入到其他包中。 CISA敦促所有机构对使用 npm 包生态系统的软件进行全面审查，重点检查可能受到影响的特定文件。该机构补充说，所有开发者的凭证都应及时更换，并且要警惕异常的网络行为。 GitHub 安全研究高级总监表示，他们于9月14日接到“Shai-Hulud”攻击的通知，并追踪到事件源自某个未具名维护者的账户被攻破。 René-Corail 在周一解释称：“由于这种蠕虫结合了自我复制功能与窃取多种秘密（不仅仅是 npm 令牌）的能力，如果不是 GitHub 与开源维护者及时采取行动，这可能会引发无休止的攻击浪潮。” GitHub 表示，在事件发生后，公司立即将500个受感染的包从 npm 注册库中移除，以防止恶意软件进一步传播。同时，GitHub 阻止了包含妥协指标（IoC）的新包上传，以切断自我复制的传播模式。 René-Corail 写道：“此类入侵破坏了对开源生态系统的信任，直接威胁到整个软件供应链的完整性与安全性。它们也凸显了为什么需要提高认证与安全发布的标准，以增强 npm 生态系统抵御未来攻击的能力。” 被污染的“构建模块” 网络安全公司 Wiz 的首席安全研究员 在接受 Recorded Future News 采访时表示，开发者日常依赖大量的小型软件构建模块（即“包”）来完成工作。 在这起事件中，黑客在部分构建模块中植入了恶意代码。他指出，这并非罕见情况。但这次的恶意代码会搜索“秘密”信息，例如密码、令牌和配置文件，有时甚至暴露原本应保持私密的项目。 McCarthy 强调：“这次事件的独特之处，也是更糟糕的地方在于，恶意代码还会尝试传播。它会检查其运行的每台机器，寻找该机器所控制的其他包。一旦找到，就会更新这些新包，使其同样带有恶意代码。这是一个供应链软件蠕虫，而且是我们在这个生态系统中首次见到成功的案例。” 这种供应链攻击的危险之处在于，一旦秘密信息泄露，攻击者就能迅速冒充服务、进入内部系统并篡改代码。由于攻击是自动扩散的，一个被攻陷的点可能会迅速演变成大规模的灾难。 McCarthy 还补充说，这次攻击的起点源于一起早前的秘密信息泄露事件，这也说明了秘密一旦暴露会带来持久的风险，以及组织必须立即采取应对措施的紧迫性。 “Shai-Hulud”事件是本月发生的第二起大规模开源安全事故，目前研究人员仍在不断发现更多遭到破坏的 npm 包。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在发现一个正在被野外积极利用的安全漏洞后，联邦文职行政分支（FCEB）机构被建议在2025年9月25日之前更新其Sitecore实例。 该漏洞被追踪为CVE-2025-53690，其CVSS评分为9.0（满分10.0），表明其严重性为关键级别。 “Sitecore体验管理器（XM）、体验平台（XP）、体验商务（XC）和托管云包含一个涉及使用默认机器密钥的不可信数据反序列化漏洞，”美国网络安全与基础设施安全局（CISA）表示。 “该漏洞允许攻击者利用暴露的ASP.NET机器密钥来实现远程代码执行。” 谷歌旗下的Mandiant发现了这一正在被积极利用的ViewState反序列化攻击，该活动利用了2017年及更早版本的Sitecore部署指南中暴露的一个示例机器密钥。威胁情报团队并未将该活动与任何已知的威胁行为者或组织联系起来。 “攻击者对被入侵产品和被利用漏洞的深入了解体现在他们从最初的服务器入侵到权限提升的过程中，”研究人员Rommel Joven、Josh Fleischer、Joseph Sciuto、Andi Slok和Choon Kiat Ng表示。 微软在2025年2月首次记录了公开披露的ASP.NET机器密钥的滥用情况，该科技巨头观察到有限的利用活动可以追溯到2024年12月，当时未知的威胁行为者利用这些密钥来传递Godzilla后利用框架。 两个月后，Gladinet的CentreStack中一个类似的零日漏洞（被追踪为CVE-2025-30406，CVSS评分：9.0）开始被利用。该漏洞源于一个保护不当的machineKey，可能会使可访问互联网的服务器暴露于远程代码执行攻击。 2025年5月，ConnectWise披露了一个影响ScreenConnect的不当身份验证漏洞（CVE-2025-3935，CVSS评分：8.1），并称该漏洞已被一个国家级威胁行为者在野外利用，以针对一小部分客户进行ViewState代码注入攻击。 就在7月，名为Gold Melody的初始访问代理（IAB）被归因于一个利用泄露的ASP.NET机器密钥以获取组织的未经授权访问并将其出售给其他威胁行为者的活动。 在Mandiant记录的攻击链中，CVE-2025-53690被武器化以实现面向互联网的Sitecore实例的初始入侵，随后部署了一系列开源和定制工具，以协助侦察、远程访问和活动目录侦察。 使用公开可用部署指南中指定的示例机器密钥传递的ViewState有效载荷是一个名为WEEPSTEEL的.NET程序集，它能够收集系统、网络和用户信息，并将详细信息泄露回攻击者。该恶意软件借鉴了一些来自名为ExchangeCmdPy.py的开源Python工具的功能。 利用获得的访问权限，攻击者被发现会建立立足点、提升权限、保持持久性、进行内部网络侦察，并在网络中横向移动，最终导致数据被盗。在这些阶段使用的一些工具如下： – EarthWorm：用于通过SOCKS进行网络隧道 – DWAgent：用于持久远程访问和活动目录侦察，以识别目标网络中的域控制器 – SharpHound：用于活动目录侦察 – GoTokenTheft：用于列出系统上活跃的唯一用户令牌、使用用户令牌执行命令以及列出所有正在运行的进程及其关联的用户令牌 – 远程桌面协议（RDP）：用于横向移动 攻击者还被观察到创建本地管理员账户（asp$和sawadmin），以转储SAM/SYSTEM蜂巢，试图获取管理员凭证访问权限并通过RDP促进横向移动。 “随着管理员账户被入侵，之前创建的asp$和sawadmin账户被删除，这表明攻击者转向了更稳定和隐蔽的访问方法，”Mandiant补充道。 为了应对这一威胁，建议组织轮换ASP.NET机器密钥、锁定配置，并扫描其环境以寻找入侵迹象。 “CVE-2025-53690的后果是，某个地方的一个积极的威胁行为者显然使用了在产品文档中公开披露的静态ASP.NET机器密钥来获取暴露的Sitecore实例的访问权限，”VulnCheck安全研究副总裁Caitlin Condon告诉《黑客新闻》。 “该零日漏洞既源于不安全的配置本身（即使用静态机器密钥），也源于公开曝光——正如我们以前多次看到的那样，威胁行为者肯定会阅读文档。即使是稍微怀疑自己可能受到影响的防御者也应该立即轮换他们的机器密钥，并确保尽可能地，他们的Sitecore安装不会暴露在公共互联网上。” watchTowr的主动威胁情报负责人Ryan Dewhurst表示，该问题源于Sitecore客户从官方文档中复制和粘贴示例密钥，而不是生成独特、随机的密钥。 “任何使用这些已知密钥的部署都容易受到ViewState反序列化攻击，这是一条直接通往远程代码执行（RCE）的捷径，”Dewhurst补充道。 “Sitecore已确认新部署现在会自动生成密钥，并且所有受影响的客户都已收到通知。影响范围尚不清楚，但这个漏洞具有通常定义严重漏洞的所有特征。更广泛的影响尚未显现，但终将会。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）要求联邦机构于9月11日前修复影响苹果手机、iPad及MacBook的高危漏洞CVE-2025-43300。苹果公司8月21日声明称：“已收到报告，该漏洞可能已被用于针对特定目标个体的极其复杂的攻击。”CISA于次日将该漏洞列入“已知被利用漏洞目录”，并给出8.8分（满分10分）的高危评级。 苹果未回应漏洞具体利用方式的问询。安全研究机构Qualys经理马尤雷什·达尼解释称，该漏洞存在于苹果ImageIO框架中——这是iOS、iPadOS和macOS系统处理多格式图像的核心组件。“此漏洞属于零点击攻击，用户无需任何操作即可触发。恶意构造的图像文件可通过消息、邮件或网页内容传播。”达尼表示。 两周前的黑帽安全会议上，Censys研究员艾丹·霍兰德指出：因苹果系统自动拦截未知发件人链接，攻击者已转向利用恶意图片作为突破口。2025年苹果已修复多个零日漏洞，多数被归因于复杂间谍软件供应商。多家相关企业因针对苹果系统的定向攻击面临国际制裁与诉讼。达尼补充称，2023年的BLASTPASS攻击链（CVE-2023-41064与CVE-2023-41061）同样针对ImageIO框架，用于部署NSO集团的飞马间谍软件。 Tenable高级研究工程师萨特南·纳兰表示，苹果极少在安全公告中使用“极其复杂的攻击”这类表述。他指出：“虽然普通用户成为攻击目标的可能性较低，但风险始终存在。苹果希望公众重视威胁并立即采取行动。”       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，网络安全和基础设施安全局（CISA）和美国海岸警卫队（USCG）分析师对一家关键基础设施组织开展了威胁狩猎行动，旨在探测潜在恶意活动。CISA官网发布了专项报告，虽未发现实际入侵证据，但识别出6类高风险安全缺陷，威胁者可利用这些漏洞突破网络防御。缓解措施与NIST网络安全性能目标（CPGs）及MITRE ATT&CK框架对齐。 核心安全风险与潜在影响 1、在多台主机上共享且以明文形式存储的本地管理员账户 详细信息：CISA 发现了一些本地管理员账户，这些账户使用非唯一密码，并且这些账户在许多主机上被共享。每个账户的凭证以明文形式存储在批处理脚本中。这些经过授权的脚本被配置为创建具有本地管理员权限的用户账户，然后设置相同的、永不过期的密码——这些密码以明文形式存储在脚本中。 潜在影响：在许多主机上以明文脚本形式存储本地管理员凭证，增加了广泛未经授权访问的风险，而使用非唯一密码则便于在网络中横向移动。能够访问包含这些批处理脚本的工作站的恶意行为者可以通过在文件系统中搜索诸如“net user /add”之类的字符串，识别包含用户名和密码的脚本，并获取这些本地管理员账户的密码，从而移动。 2、IT 和运营技术环境之间网络隔离配置不足 详细信息：在评估客户 IT 和运营技术（OT）环境之间的互连性时，CISA 发现 OT 环境未正确配置。具体来说，标准用户账户可以直接从 IT 主机访问监督控制与数据采集（SCADA）虚拟局域网（VLAN）。 潜在影响：OT 网络隔离配置不足、网络访问控制（NAC）不足，以及 IT 网络中的非特权用户使用其凭证访问关键 SCADA VLAN [T1078]，带来了安全和安全风险。鉴于 SCADA 和 HVAC 系统控制物理过程，这些系统的入侵可能会产生现实世界的后果，包括对人员安全、基础设施完整性和设备功能的风险。 3、日志记录不足和实施不足 详细信息：由于该组织的事件日志系统不足以进行此类分析，CISA 无法按照既定的狩猎计划对每一个 MITRE ATT&CK®程序进行狩猎。 潜在影响：缺乏全面且详细的日志记录，以及未建立正常网络行为的基线，阻碍了 CISA 进行彻底的行为和异常检测。这一限制妨碍了对某些 TTPs（如利用本地工具的攻击技术、使用有效账户 [T1078] 以及其他复杂威胁行为者使用的 TTPs）的搜索。 5、IIS服务器sslFlags配置错误： 详细信息：CISA 发现一个 HTTPS 绑定配置为 sslFlags=“0”，这使得 IIS 保持在其旧版“每个 IP 地址一个证书”的模式中。该模式禁用了现代证书管理功能，而且由于必须在“SSL 设置”中单独启用或通过添加 来启用相互传输层安全（TLS）（客户端证书认证），因此该绑定默认情况下禁用了客户端证书强制执行。此外，sslFlags 不控制协议或加密套件的选择，可能会接受过时的协议或弱加密套件。 潜在影响：sslFlags 配置错误可能会使威胁行为者尝试中间人攻击 [T1557]，以拦截客户端与 IIS 服务器之间传输的凭证和数据。此外，由于未启用客户端证书强制执行，使服务器面临风险，未经授权或恶意的客户端可能会冒充合法用户，从而在未经适当授权的情况下访问敏感资源。 6、SQL连接字符串集中化： 详细信息：CISA 查看了生产服务器上的 machine.config 文件，发现该文件配置了一个集中式数据库连接字符串 LocalSqlServer，用于配置文件和角色提供程序。这种配置意味着，除非在每个应用程序的 web.config 文件中进行覆盖，否则服务器上的每个 ASP.NET 站点都将连接到同一个结构化查询语言（SQL）Express 或 aspnetdb 数据库，并共享相同的凭证，CISA 发现 machine.config 文件将 minRequiredPasswordLength 设置为少于 15 个字符，而 15 个字符是 CISA 推荐的密码。 潜在影响：使用集中式数据库方法会增加风险，因为该中央 SQL 数据库服务器的一个漏洞或配置错误可能会危及依赖该服务器的所有应用程序。这会形成一个单一故障点，可能会被攻击者利用。此外，将最小密码长度设置为少于 15 个字符，更容易受到各种形式的暴力攻击，这可能会导致数据泄露、数据篡改或数据库丢失。 缓解措施 尽管在这次行动中未发现恶意活动，但建议关键基础设施组织审查并实施本通告中列出的缓解措施，以防止潜在的入侵行为，更好地保护美国的国家基础设施。这些缓解措施按重要性顺序列出，如下所示： 1、不要以明文形式存储密码或凭证。相反，应使用安全的密码和凭证管理解决方案，例如加密的密码保险库、托管服务账户或部署工具的内置安全功能。 确保所有凭证在静止状态和传输过程中均被加密。实施严格的访问控制并定期进行审计，以安全地管理访问凭证的脚本或工具。 使用代码审查和自动化扫描工具检测并消除主机或工作站上存在的明文凭证实例。 强制执行最小权限原则，仅授予用户和进程完成其功能所必需的访问权限。 2、避免共享本地管理员账户凭证。相反，应使用诸如微软本地管理员密码解决方案（LAPS）之类的工具为每个账户分配独特且复杂的密码，这些工具可以自动化密码管理和轮换。 3、对所有管理访问（包括本地和域账户）以及远程访问方式（如远程桌面协议（RDP）和虚拟专用网络（VPN）连接）强制实施多因素认证（MFA）。 4、实施并强制执行严格政策，仅使用从 IT 网络隔离且配备防网络钓鱼 MFA 的加固型跳板主机来访问工业控制系统（ICS）/OT 网络，并确保常规工作站（即用于访问 IT 网络和应用程序的工作站）不能用于访问 ICS/OT 网络。 5、在所有系统（包括工作站、服务器、网络设备和安全设备）上实施全面（即覆盖范围广）且详细的日志记录。 确保日志记录信息，如身份验证尝试、带有参数的命令行执行以及网络连接等。 按照组织政策和合规要求，将日志保留适当期限，以便进行彻底的历史分析，并将日志聚合到带外的集中位置，例如安全信息事件管理（SIEM）工具中，以防止日志被篡改并便于高效分析。 验证安全控制 除了应用缓解措施外，CISA 和 USCG 建议根据 MITRE ATT&CK 企业框架中描述的威胁行为，对组织的安全计划进行测试和验证。CISA 和 USCG 建议测试现有的安全控制清单，以评估它们对本通告中描述的 ATT&CK 技术的性能。 选择本通告关联的ATT&CK技术（如T1021.001）； 对齐现有防护工具检测能力； 模拟攻击验证防护性能； 调整安全策略（人员/流程/技术）。       完整版英文报告详见：CISA； 中文版翻译报告链接：seebug 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文