HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二警告北美和欧洲的企业，需加强系统防护以应对一种新的Interlock勒索软件变种。 该双重勒索组织于2024年秋季首次出现在勒索软件领域，已知针对各种关键基础设施组织和行业，包括医疗保健、教育、技术、政府和制造业。 “这些行为者本质上是机会主义且受经济利益驱动，采用各种手段渗透并破坏受害者提供基本服务的能力。”CISA表示。 “Interlock勒索软件是一个鲜明的例子，展示了当今勒索软件组织变得多么危险和不可预测，”Swimlane的首席安全自动化架构师Nick Tausek表示。 “尽管他们直到2024年底才被发现，但该组织一直非常活跃，并对像DaVita和Kettering Health这样的医疗机构发起了高调攻击。”Tausek说。 今年5月，Interlock成为头条新闻，原因是它声称对中西部医疗集团Kettering Health长达数周的勒索软件攻击负责，该攻击迫使其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序。 JavaScript转向PHP FBI表示，已观察到Interlock通过入侵合法网站进行路过式下载（drive-by download）来获得对其受害者的初始访问权限，将恶意载荷伪装成虚假的Google Chrome或Microsoft Edge浏览器更新，这对勒索软件行为者而言是一种非典型方法。 该组织还以使用“ClickFix社会工程技术”而闻名，例如，通过虚假的reCAPTCHA诱骗用户执行Interlock远程访问木马（RAT）。 “验证码包含指示用户打开Windows运行窗口、粘贴剪贴板内容，然后执行恶意Base64编码的PowerShell进程。”公告称。 该警告发布不到一周前，The DFIR Report和Proofpoint的联合研究发现该组织正在使用其先前识别的基于JavaScript的Interlock RAT的“一种新的、更具弹性的变种”。 这种新变种转而使用PHP，似乎是2025年6月首次出现的、新的大规模Kongtuke FileFix恶意软件活动的一部分。 Interlock Kongtube FileFix 恶意软件活动 链接的JavaScript首先提示用户点击验证码以“验证您是人类”，然后是“验证步骤”，要求打开运行命令并粘贴剪贴板内容。粘贴后，它会执行一个PowerShell脚本，最终导致Interlock RAT感染。图片来自The DFIR Report和Proofpoint。 Tausek解释说，Interlock的独特之处在于其战术多样性。 “该组织曾使用ClickFix攻击冒充IT工具渗透网络，部署远程访问木马（RAT）来传播恶意软件，并且最近采用了双重勒索策略以最大化对受害者的压力。” 安全研究人员观察到的Interlock勒索软件变种与Rhysidia威胁组织使用的变种有相似之处，表明Interlock可能是经验丰富的俄罗斯相关组织Rhysida团伙的一个分支。 World Secrets Blog 已观察到该组织同时使用RAT和CobaltStrike工具快速建立远程命令与控制中心（C2），然后通常会下载PowerShell来安装某种信息窃取程序（如LumanStealer）以及键盘记录器二进制文件，以“窃取凭据进行横向移动和权限提升”。 Interlock会部署针对Windows和Linux操作系统的勒索软件加密器，同时也常用AnyDesk进行远程文件传输。 在加密受害者的文件（使用.interlock或.1nt3rlock文件扩展名）后，该团伙会发送一张便条，指示受害者访问其“Worldwide Secrets Blog”洋葱地址以进行联系并用比特币支付赎金。 “您的网络已被入侵，我们已获取您最重要的文件。”Interlock在5月对Kettering Health写道，威胁称除非支付未公开的赎金，否则将公布其声称从Kettering网络中窃取的1TB数据。 Broadcom在2024年10月对该勒索软件团伙的分析报告中指出，其“警告受害者不要修改文件、使用恢复软件或重启系统，因为这些行为可能导致不可逆转的损害。”Broadcom还表示，Interlock受害者通常只有96小时进行谈判。 根据Cybernews的Ransomlooker工具，自今年1月以来，该组织已声称至少攻击了35名勒索软件受害者，其中约一半的攻击发生在过去六周内。 “这些攻击的范围和频率突显了现代威胁行为者变得多么具有适应性。攻击现在来自多个向量，通常是同时进行，组织必须做好准备，”Tausek告诉Cybernews。 CISA建议组织通过实施强大的端点检测和响应（EDR）工具及能力来加固系统，包括修补暴露的系统、采用多因素认证和进行网络分段。 Tuasek表示，除了定期修补、网络分段和其他主动防御措施外，“同样关键的是让员工具备识别社会工程尝试的意识，以免导致系统被入侵。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）已将编号为 CVE-2025-6543 的 Citrix NetScaler 漏洞纳入其 已知被利用漏洞目录（KEV Catalog）。该漏洞为内存溢出类型（CVSS 评分 9.2），当 NetScaler ADC 或 NetScaler Gateway 配置为网关（含 VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器时，可能引发非预期控制流并导致服务拒绝（DoS），破坏系统可用性。 受影响版本包括： NetScaler ADC 13.1-FIPS 及 NDcPP 版本低于 13.1-37.236-FIPS and NDcPP NetScaler ADC 与 Gateway 14.1 版本低于 14.1-47.46 NetScaler ADC 与 Gateway 13.1 版本低于 13.1-59.19 根据 BOD 22-01 指令（降低已知被利用漏洞重大风险），联邦民事行政部门（FCEB）机构需在截止日期前修复漏洞以防范攻击。CISA 要求联邦机构最晚于 2025 年 7 月 21 日完成修复，同时强烈建议私营企业自查并修复此漏洞。 历史关联行动： 2024 年 1 月，CISA 曾将另两个 Citrix NetScaler 漏洞 CVE-2023-6548（代码注入）和 CVE-2023-6549（缓冲区溢出）纳入 KEV 目录。Citrix 当时警告称，未修复设备上已发现针对这两项零日漏洞的攻击，敦促用户立即安装更新版本。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全企业Check Point研究人员发现微软Windows存在高危零日漏洞，该漏洞已被长期活跃的黑客组织用于攻击非洲和中东政府目标。微软于6月补丁日紧急修复该漏洞（编号CVE-2025-33053），该漏洞现已被美国网络安全和基础设施安全局列入高危漏洞目录，严重性评分达8.8分（满分10分）。 该漏洞存在于Windows内置的Web分布式创作与版本管理（WebDAV）组件中。该HTTP协议扩展允许用户远程管理服务器文件，广泛用于文档管理系统及协作平台。攻击者可通过精心构造的URL链接触发漏洞，当用户点击恶意链接时，攻击者即可远程执行代码。 Check Point在调查2025年3月土耳其某大型国防机构遭攻击事件时首次发现该漏洞利用。攻击始于伪装成军事装备损坏PDF文档的.url快捷文件，该文件疑似通过钓鱼邮件传播，使黑客能静默执行其远程服务器代码。攻击链中部署了名为Horus加载器和Horus代理的定制化工具，具备间谍活动与安全工具规避能力。 经技术溯源，Check Point将攻击归因于黑客组织Stealth Falcon（又名FruityArmor）。该组织至少自2012年起活跃，长期针对中东和非洲地区的政府及国防部门实施网络间谍活动。其攻击特点包括：获取零日漏洞利用工具、开发定制化恶意载荷、使用鱼叉式钓鱼邮件攻击土耳其、卡塔尔、埃及和也门的高价值目标。 Check Point在技术报告中指出：“Stealth Falcon持续进化，通过结合零日漏洞利用、合法工具、多阶段加载器和定制化植入程序，构建出极具韧性的攻击链条。”该组织展现出专业级APT组织的资源投入和技术特征，其最新攻击活动再次印证了这种威胁演进趋势。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦网络防御部门发出警告，称黑客正瞄准数据管理巨头Commvault客户的云环境。这家总部位于新泽西的公司此前披露，微软在2月通报了一起由某未具名国家背景威胁组织引发的数据泄露事件，该事件导致“部分客户用于验证M365环境的应用程序凭证”遭窃取。 周四晚间，美国网络安全和基础设施安全局（CISA）发布通告称，Commvault正在“监测针对其微软Azure云托管应用的网络威胁活动”，认为“该活动可能是针对多家SaaS厂商云应用的大规模攻击行动组成部分，攻击者利用默认配置与高权限设置实施入侵”。 CISA指出，威胁组织可能“窃取了Commvault旗下Metallic微软365备份SaaS解决方案托管的客户密钥”。此处密钥指代连接应用与服务器的唯一验证代码。Commvault在3至5月间的多篇博客中解释称，此次泄露“影响少量与微软存在业务交集的客户”，但强调黑客从未触及该公司存储保护的客户备份数据，并表示正与CISA及FBI协作处理，已对受影响客户实施凭证轮换等处置措施。 CISA在公告中同步给出防护建议清单，包括监控日志、更换凭证等操作指引。该机构特别提到，近期已将Commvault漏洞CVE-2025-3928纳入已知被利用漏洞目录，并“持续联合合作机构调查恶意活动”。Commvault早前透露，取证调查发现攻击者“利用零日漏洞实施入侵”，并附有该漏洞的公告链接。 针对为何选择周四发布公告的质询，CISA拒绝置评。Commvault发言人回应称：“CISA此次警示内容无新增信息，所有情况均已在5月4日公告中披露，当前仅为情况重申。”微软则未回应关于攻击方国家归属、具体受害企业及数据风险等问询。 曾调查类似事件的BeyondTrust现场首席技术官詹姆斯·莫德指出，此类事件凸显第三方特权访问的风险隐患：“他们的漏洞终将成为你的漏洞。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）就消息应用TeleMessage的漏洞发出警告。该应用近期因特朗普前国家安全顾问迈克·沃尔茨（Mike Waltz）的使用引发关注——沃尔茨在担任国安顾问期间因两起通信事故陷入争议。 首先是在“信号门”事件中，他误将记者拉入国家安全高层讨论也门军事行动的Signal群聊；随后又被发现使用名为TeleMessage Signal的应用，再度引发安全隐患。这些事件最终导致沃尔茨被解职。 以色列公司TeleMessage（现属美国俄勒冈州Smarsh通信集团）主要为用户提供WhatsApp、Telegram和Signal等即时通讯工具的消息存档服务。在沃尔茨使用该应用曝光后，调查发现其已被美国政府内部采用，且存在严重安全风险。 黑客声称窃取了TeleMessage旗下Signal、WhatsApp、微信和Telegram克隆应用的私聊与群组记录。尽管未获取政府官员消息，但攻击证实TeleMessage存档的聊天日志未加密，可被威胁分子轻易获取。Smarsh公司已暂停所有TeleMessage服务配合调查。 安全研究员Micah Lee分析TeleMessage源代码发现：其定制版Signal应用”TM SGNL”虽宣称支持端到端加密，但实际在应用与消息存档服务器间采用明文传输。这一漏洞（现获CVE编号CVE-2025-47729）使攻击者可获取明文聊天记录，包括加密货币公司Coinbase的Telegram私密对话及数百名海关与边境保护局员工名单。 CISA已将CVE-2025-47729纳入已知被利用漏洞（KEV）目录。美国联邦机构需在21天内修补该漏洞，其他组织也应优先处理。鉴于漏洞存在于服务器端，CISA建议用户停用TeleMessage服务作为主要防护措施。国家漏洞数据库明确指出该漏洞已被在野利用。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于本周一将两个高危安全漏洞纳入其“已知被利用漏洞”（KEV）目录。这两个漏洞分别影响博科（Broadcom Brocade）光纤通道操作系统和Commvault Web服务器，已有证据表明其已被主动利用。 具体漏洞信息如下： CVE-2025-1976（CVSS评分：8.6） 博科光纤通道操作系统（Fabric OS）的代码注入漏洞，允许拥有管理员权限的本地用户以root权限执行任意代码。 CVE-2025-3928（CVSS评分：8.7） Commvault Web服务器中未公开具体细节的漏洞，允许经过身份验证的远程攻击者创建并执行Web Shell。 关于Commvault漏洞，该公司在2025年2月的安全公告中指出：“利用此漏洞需要攻击者已通过身份验证获取Commvault软件环境内的用户凭证。未经认证的访问无法利用此漏洞。对于软件用户而言，这意味着您的环境必须同时满足：(i) 可通过互联网访问；(ii) 已通过其他途径被入侵；(iii) 攻击者持有合法用户凭证。” 该漏洞影响以下Windows和Linux版本： 11.36.0 – 11.36.45（已在11.36.46修复） 11.32.0 – 11.32.88（已在11.32.89修复） 11.28.0 – 11.28.140（已在11.28.141修复） 11.20.0 – 11.20.216（已在11.20.217修复） 针对CVE-2025-1976漏洞，博科公司表示由于IP地址验证缺陷，拥有管理员权限的本地用户可在Fabric OS 9.1.0至9.1.1d6版本中通过root权限执行任意代码，该漏洞已在9.1.1d7版本修复。公司在2025年4月17日的公告中强调：“虽然利用此漏洞需首先获取管理员权限，但该漏洞已在真实环境中被主动利用。攻击者不仅可以执行现有系统命令，还能修改操作系统内核，甚至植入自定义子程序。” 目前，关于这两个漏洞被利用的具体方式、攻击规模及幕后组织的信息尚未公开。CISA建议联邦民事行政部门（FCEB）机构分别于2025年5月17日（Commvault）和5月19日（博科）前完成相关补丁安装。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于周三将一个影响SonicWall Secure Mobile Access（SMA）100系列网关的安全漏洞添加至其”已知被利用漏洞（KEV）目录”，基于此漏洞正被活跃利用的证据。 该高危漏洞编号为CVE-2021-20035（CVSS评分：7.2），属于操作系统命令注入漏洞，可能导致代码执行。 “SMA100管理界面未能正确过滤特殊元素，使得远程认证攻击者能以’nobody’用户身份注入任意命令，可能导致代码执行。”SonicWall在2021年9月发布的公告中表示。该漏洞影响以下版本设备：SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v（ESX、KVM、AWS、Azure）型号。 受影响版本包括： 10.2.1.0-17sv及更早版本（10.2.1.1-19sv及以上版本已修复） 10.2.0.7-34sv及更早版本（10.2.0.8-37sv及以上版本已修复） 9.0.0.10-28sv及更早版本（9.0.0.11-31sv及以上版本已修复） 尽管目前尚不清楚CVE-2021-20035漏洞被利用的具体细节，但SonicWall已更新公告指出”该漏洞可能正在现实中被利用”。 根据要求，联邦民事行政部门（FCEB）机构必须在2025年5月7日前采取必要的缓解措施，以保护其网络免受主动威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全与基础设施安全局（CISA）正在敲定计划，准备在白宫的密切关注下削减人员和开支。白宫一直对CISA的角色不满，认为其在压制保守派观点方面发挥了作用。 据一位直接了解计划进展的消息人士向Recorded Future News透露，该机构计划通过裁掉大约一半的全职员工和40%的合同工，总共裁掉大约1300人。 两位熟悉计划的消息人士称，该机构的国家风险管理中心（NRMC）——作为分析网络和关键基础设施风险的中心枢纽——预计将面临大幅削减。其中一位消息人士称，该办公室的部分系统性风险责任可能会被转移到该机构的网络安全司。 官员们表示，裁员的分配以及具体谁将失去工作仍在决定之中。特朗普政府过去曾在最终决定前改变过方向，消息人士强调，目前关于要削减什么的讨论可能会发生变化。 他们还表示，宣布的时间表尚未确定。 CBS新闻首先报道了CISA计划裁掉1300名员工的消息。CISA的一位发言人拒绝置评。 这一举措正值总统唐纳德·特朗普加大对CISA的审查力度之际，该机构因处理选举干预和虚假信息传播的方式而受到保守派的批评。周三，总统发布了一份备忘录，包括“对CISA过去6年所有活动的全面评估”，并撤销了该机构首任局长克里斯·克雷布斯所持有的安全许可。 参议院国土安全与政府事务委员会主席、肯塔基州共和党参议员兰德·保罗表示，他希望取消该机构，因为他认为该机构审查了保守派观点。 除了NRMC，CISA的利益相关方参与司（SED）——负责协调政府机构、私营公司和非营利组织执行保护关键基础设施特定方面的角色——也在考虑削减对象之列，两位了解当前想法的消息人士称。 据一位熟悉讨论的消息人士称，CISA的地方办事处也在讨论范围之内，其中包括将这些办事处的主任改为政治任命人员。 两位熟悉政府当前计划的消息人士称，CISA的威胁狩猎团队将被削减，但不会被取消。 CISA所在的国土安全部最近扩大了其自愿离职计划，包括提前退休，以及在某些情况下的买断工龄，为那些即将自愿离职的员工提供高达25000美元的一次性付款，4月7日的一份备忘录显示。备忘录称，员工需在周一之前决定是否接受这一提议。 另外，参议院俄勒冈州民主党参议员罗恩·怀登阻止了被选中负责CISA的肖恩·普兰基的提名。怀登昨天宣布，他将搁置这一提名，直到CISA发布一份详细说明该国电信系统安全漏洞的文件。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一将五个影响思科、日立 Vantara、微软 Windows 和 Progress WhatsUp Gold 软件的安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 漏洞详情 CVE-2023-20118（CVSS 评分：6.5）：思科小型企业 RV 系列路由器的基于网络的管理界面中的命令注入漏洞，允许经过身份验证的远程攻击者获得根级别权限并访问未经授权的数据（由于路由器已达到使用寿命终点，未进行修补） CVE-2022-43939（CVSS 评分：8.6）：日立 Vantara Pentaho BA Server 中的授权绕过漏洞，源于使用非规范 URL 路径进行授权决策（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2022-43769（CVSS 评分：8.8）：日立 Vantara Pentaho BA Server 中的特殊元素注入漏洞，允许攻击者将 Spring 模板注入属性文件，从而执行任意命令（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2018-8639（CVSS 评分：7.8）：微软 Windows Win32k 中的不正确资源关闭或释放漏洞，允许本地经过身份验证的用户进行权限提升，并在内核模式下运行任意代码（已于 2018 年 12 月修复） CVE-2024-4885（CVSS 评分：9.8）：Progress WhatsUp Gold 中的路径遍历漏洞，允许未经过身份验证的攻击者实现远程代码执行（已于 2024 年 6 月通过版本 2023.1.3 修复） 关于上述漏洞中的一些在野外如何被利用的报告很少，但法国网络安全公司 Sekoia 上周透露，威胁行为者正在利用 CVE-2023-20118 将易受攻击的路由器纳入名为 PolarEdge 的僵尸网络。 至于 CVE-2024-4885，Shadowserver 基金会表示，自 2024 年 8 月 1 日起，已观察到针对该漏洞的利用尝试。GreyNoise 的数据显示，来自中国香港、俄罗斯、巴西、韩国和英国的多达八个独特 IP 地址与该漏洞的恶意利用有关。 最后，CISA 提醒联邦民用执行部门（FCEB）机构在 2025 年 3 月 24 日之前应用必要的缓解措施，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国网络安全和基础设施安全局（CISA）将其已知被利用漏洞（KEV）目录中增加了一个Acclaim Systems USAHERDS漏洞，该漏洞被追踪为CVE-2021-44207（CVSS评分：8.1）。 USAHERDS是由Acclaim Systems开发的基于网络的应用程序，旨在协助美国州政府追踪和管理动物健康和疾病爆发。它是AgraGuard产品套件的一部分，该套件包括USAHERDS、USALIMS、USAPlants、USAFoodSafety和USAMeals，旨在支持农业和食品安全运营。 该漏洞被中国网络间谍组织APT41利用，入侵了多个美国州政府网络。 这个漏洞源于硬编码凭证漏洞，影响了Acclaim USAHERDS网络应用程序7.4.0.1及更早版本。知道静态ValidationKey和DecryptionKey值的攻击者可以利用它们在运行应用程序的系统上执行任意代码。 攻击者可以制作恶意ViewState数据以绕过MAC检查，并触发服务器端代码执行。 “Acclaim USAHERDS网络应用程序7.4.0.1及更早版本，在2021年11月之前构建的版本使用了静态的ValidationKey和DecryptionKey值。”咨询报告中写道。“高风险——知道ValidationKey和DecryptionKey可以用来在运行应用程序的系统上实现远程代码执行。” 安全研究人员Douglas Bienstock来自Mandiant，他向公司报告了这个问题。Acclaim Systems通过在2021年11月发布补丁来解决这个问题，以修复漏洞。 根据《约束性操作指令》（BOD）22-01：减少已知被利用漏洞的重大风险，联邦民事机构必须在截止日期前解决已识别的漏洞，以保护他们的网络不受目录中漏洞被利用的攻击。 专家们还建议私营组织审查目录，并解决其基础设施中的漏洞。 CISA命令联邦机构在2025年1月13日之前修复此漏洞。     消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文