HackerNews 编译，转载请注明出处： 一款名为 SSHStalker 的新型 Linux 僵尸网络被记录在案，它使用 IRC（互联网中继聊天）通信协议进行命令与控制（C2）操作。 IRC 协议发明于 1988 年，在 20 世纪 90 年代达到普及顶峰，成为当时基于文本的群聊和私聊主流即时通信方案。技术社区至今仍认可其优势：实现简单、兼容性强、带宽需求低，且无需图形用户界面（GUI）。 SSHStalker 僵尸网络未采用现代 C2 框架，而是依赖经典 IRC 机制（如多款基于 C 语言开发的僵尸程序、多服务器 / 多频道冗余设计），优先保障弹性、规模和低成本，而非隐蔽性与技术新颖性。 威胁情报公司 Flare 的研究人员指出，该思路也体现在 SSHStalker 的其他运营特征中：例如使用易被检测的 SSH 扫描、1 分钟周期的定时任务（cron jobs），以及大量 15 年前的漏洞（CVE）利用程序。 Flare 表示：“我们实际发现的是一个‘噪音大’、拼接而成的僵尸网络工具包，融合了老式 IRC 控制、主机端编译二进制文件、大规模 SSH 攻陷、基于 cron 的持久化手段。换言之，其运营逻辑是‘规模优先’，更看重可靠性而非隐蔽性。” SSHStalker 通过自动化 SSH 扫描和暴力破解实现初始入侵，使用一个伪装成热门开源网络发现工具 nmap 的 Go 语言二进制程序。被攻陷的主机会被用于扫描更多 SSH 目标，形成类似蠕虫的僵尸网络传播机制。 Flare 发现了一个包含近7000次僵尸程序扫描结果的文件，这些扫描均发生在一月份，且主要针对 Oracle 云基础设施中的云托管提供商。 SSHStalker 感染主机后，会下载 GCC 工具在受害设备上编译载荷，以提升可移植性和规避检测能力。首批载荷为内置硬编码 C2 服务器和频道的 C 语言 IRC bot 程序，将新受害主机接入僵尸网络的 IRC 基础设施。 接着，恶意软件会获取名为 GS 和 bootbou 的压缩包，其中包含用于编排和执行序列的僵尸程序变体。持久化通过每 60 秒执行一次的 cron 任务实现，该任务启动看门狗式更新机制，检查主 bot 进程是否运行，若被终止则重新启动。 该僵尸网络还包含针对 2009-2010 年版 Linux 内核的 16 个 CVE 漏洞利用程序。这些程序用于在前期暴力破解获得低权限用户访问权限后，进行权限提升。 盈利方面，Flare 发现该僵尸网络会窃取 AWS 密钥并进行网站扫描。同时还内置加密货币挖矿工具包，例如高性能以太坊挖矿程序 PhoenixMiner。该僵尸网络还具备分布式拒绝服务（DDoS）攻击能力，但研究人员表示暂未观测到相关攻击。事实上，SSHStalker 的 bot 程序目前仅连接 C2 后进入空闲状态，表明现阶段可能处于测试或囤积访问权限阶段。 Flare 尚未将 SSHStalker 归因于特定的威胁组织，但指出其与 Outlaw/Maxlas 僵尸网络生态系统存在相似性，并关联多项罗马尼亚相关线索。 该威胁情报公司建议在生产服务器上部署针对编译器安装和执行的监控方案，并对 IRC 风格的出站连接设置警报。来自异常路径且执行周期短的 cron 任务也是重要的危险信号。 缓解建议包括禁用 SSH 密码认证、从生产环境镜像中移除编译器、实施出口过滤以及限制从“/dev/shm”目录执行文件。         消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一种先前未被记录的、功能丰富的恶意软件框架的详细信息，该框架代号为VoidLink，专门设计用于长期、隐蔽地访问基于Linux的云环境。 根据Check Point Research的一份新报告，这款云原生的Linux恶意软件框架包含一系列自定义加载器、植入程序、rootkit和模块化插件，使其操作者能够随时间推移增强或改变其功能，并在目标变化时进行”转向”。该框架于2025年12月首次被发现。 这家网络安全公司在今日发布的分析报告中称：”该框架包含多项专注于云的功能和模块，专为在云和容器环境中长时间稳定运行而设计。VoidLink的架构极其灵活且高度模块化，围绕一个自定义插件API构建，该API的灵感似乎源自Cobalt Strike的Beacon对象文件方法。默认情况下，超过30个插件模块均使用此API。” 这些发现反映了威胁行为者的关注点正从Windows系统转向已成为云服务和关键业务基石的Linux系统。VoidLink处于积极维护和演进中，评估认为其与中国有关联的威胁行为者有关。 作为一个使用Zig编程语言编写的”云优先”植入程序，该工具包能够检测主要的云环境，即亚马逊网络服务、谷歌云、微软Azure、阿里云和腾讯云，并能识别自身是否运行在Docker容器或Kubernetes Pod中，从而调整其行为。它还能收集与云环境以及Git等流行源代码版本控制系统相关的凭证。 瞄准这些服务表明，VoidLink很可能专门针对软件开发人员设计，意图窃取敏感数据或利用获得的访问权限发起供应链攻击。 其他部分功能列举如下： 利用LD_PRELOAD、可加载内核模块和eBPF隐藏自身进程的类Rootkit功能。 用于扩展功能的进程内插件系统。 支持多种命令与控制信道，如HTTP/HTTPS、WebSocket、ICMP和DNS隧道。 在被攻陷主机之间形成点对点或网状网络。 一个基于Web的中文控制面板，允许攻击者远程控制植入程序、动态创建定制版本、管理文件、任务和插件，并执行从侦察、持久化到横向移动和防御规避（通过清除恶意活动痕迹）的整个攻击周期的不同阶段。 VoidLink支持37个插件，涵盖反取证、侦察、容器、权限提升、横向移动等类别，使其成为一个功能全面的后渗透利用框架： 反取证：根据关键字擦除或编辑日志和shell历史记录，并对文件进行时间戳篡改以阻碍分析。 云：辅助进行Kubernetes和Docker发现与权限提升、容器逃逸，并探测配置错误。 凭证窃取：收集凭证和密钥，包括SSH密钥、Git凭证、本地密码资料、浏览器凭证与Cookie、令牌和API密钥。 横向移动：使用基于SSH的蠕虫进行横向传播。 持久化：通过滥用动态链接器、cron作业和系统服务来建立持久化访问。 侦察：收集详细的系统和环境信息。 Check Point将其描述为”令人印象深刻”且”远比典型的Linux恶意软件先进”，并指出VoidLink具有一个处理C2通信和任务执行的核心协调器组件。 它还融合了大量反分析功能以规避检测。除了能够标记各种调试器和监控工具外，一旦检测到任何篡改迹象，它还能自我删除。它还具备自我修改代码功能，可在运行时解密受保护的代码区域，并在不使用时将其加密，从而绕过运行时内存扫描器。 此外，该恶意软件框架会枚举受感染主机上安装的安全产品和加固措施，以计算风险评分并制定全面的规避策略。例如，这可能涉及在高风险环境中放慢端口扫描速度并进行更精确的控制。 Check Point指出：”开发者展现出高水平的技术专长，熟练掌握包括Go、Zig、C和React等现代框架在内的多种编程语言。此外，攻击者拥有对复杂操作系统内部原理的深入了解，从而能够开发出先进而复杂的解决方案。VoidLink旨在尽可能自动化地实现规避，对环境进行画像并选择最合适的策略在其中运作。结合内核模式的技巧和庞大的插件生态系统，VoidLink使其操作者能够以自适应的隐秘方式在云环境和容器生态系统中活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款名为GoBruteforcer的高复杂度 Go 语言僵尸网络，正针对全球范围内的 Linux 服务器发起猛烈攻击，通过暴力破解手段尝试获取 FTP、MySQL、PostgreSQL 及 phpMyAdmin 等公网暴露服务的弱密码。  Check Point Research近期记录到该恶意软件的 2025 年变种版本，其技术水平较之前版本实现大幅升级，已成功攻陷数万台服务器。 该僵尸网络采用模块化感染链架构，核心组件包含网页后门、下载器、互联网中继聊天（IRC）僵尸程序以及暴力破解模块。 据切克波因特的分析数据显示，全球超5 万台公网暴露服务器或面临高布鲁特福瑟攻击风险，目前有近 570 万台 FTP 服务器、223 万台 MySQL 服务器及 56 万台 PostgreSQL 服务器在默认端口上暴露。 人工智能生成服务器配置成攻击推手 本轮GoBruteforcer攻击浪潮的爆发，主要源于两大关键因素：一是大量运维人员直接复用人工智能生成的服务器部署示例，这类配置模板普遍存在通用用户名与弱默认密码问题；二是 XAMPP 等老旧网站集成环境仍被广泛使用，其搭载的各类服务缺乏基础加固措施。 研究人员发现，该僵尸网络在暴力破解的凭证列表中，大量使用 “appuser”“myuser” 等通用运维用户名，而这些用户名恰好是大型语言模型在生成数据库配置示例时最常推荐的默认名称。 切克波因特的调查显示，高布鲁特福瑟使用的凭证列表，与一个包含 1000 万条泄露密码的数据库存在约2.44% 的重合度。 尽管这一匹配成功率看似较低，但庞大的暴露服务基数，使得暴力破解攻击对威胁行为体而言具备极高的经济效益。谷歌 2024 年《云威胁态势报告》指出，在遭攻陷的云环境中，47.2% 的初始入侵路径均源于弱密码或缺失身份验证机制，这也印证了此类攻击手段的可行性。 僵尸网络的命令与控制服务器会下发包含 200 组凭证的列表用于暴力破解任务，且攻击配置文件每周会更新数次。 密码列表的生成逻辑十分固定，仅基于 375-600 个常用弱密码构成基础库，再衍生出 “appuser1234”“operatoroperator” 等基于用户名变体的密码组合。 相较于 2023 年首次被记录的早期版本，2025 年变种版本实现多项重大技术升级：其 IRC 僵尸程序组件已完全基于 Go 语言重构，并使用加布勒混淆工具（Garbler）进行深度代码混淆，彻底取代了原先基于 C 语言的开发架构。 该恶意软件还新增进程伪装技术，通过调用prctl系统调用将自身进程名修改为 “init”，并对二进制文件进行覆盖处理，以此躲避安全检测。 研究人员还发现一个以加密货币敛财为目标的攻击活动，威胁行为体在攻陷服务器后，会部署额外的 Go 语言工具集，其中包含针对波场（TRON）及币安智能链的挖矿程序与钱包窃取工具。 在一台被攻陷的服务器上，调查人员提取到一个包含约 2.3 万个波场钱包地址的文件，并通过链上交易数据分析证实，这批攻击已成功实现经济收益。 该僵尸网络通过多重机制保障自身的抗打击能力：内置备用 C2 服务器地址、基于域名的故障恢复路径，以及将已感染主机升级为分发节点或 IRC 中继服务器的功能。 IRC 僵尸程序模块每日可完成两次更新，暴力破解组件则通过与系统架构匹配的 Shell 脚本下载，并在执行前校验文件的 MD5 哈希值，确保恶意程序未被篡改。 攻击兼具广谱性与针对性 GoBruteforcer的攻击活动同时具备广谱扫射与定向行业打击的双重特征。通用型攻击活动会组合使用通用运维用户名与标准弱密码发起试探；而专项攻击任务则会采用 “cryptouser”“appcrypto” 等加密货币相关用户名，或 “wpuser” 这类针对 WordPress 系统的专属凭证。 该恶意软件还会针对性攻击 XAMPP 集成环境 —— 这一热门开发工具通常默认启用 FTP 服务，并将 FTP 根目录映射到公网可访问的网页路径，存在严重安全隐患。 僵尸网络的架构设计具备高效攻击能力，受感染主机每秒可扫描约 20 个 IP 地址，且在 FTP 攻击任务执行期间，能将带宽消耗控制在较低水平：出站流量约 64 千比特 / 秒，入站流量约 32 千比特 / 秒。 攻击线程池的规模会根据目标服务器的 CPU 架构动态调整：64 位系统上会运行 95 个并发暴力破解线程，32 位系统则会适配为更少的线程数。 该恶意软件还具备智能目标筛选能力，会主动排除私有网络、云服务商网段及美国国防部 IP 地址范围，以此降低被安全监测系统发现的概率。 防护建议 企业可通过以下措施降低GoBruteforcer攻击风险：实施强密码策略、关闭不必要的公网暴露服务、部署多因素身份验证机制，以及持续监测异常登录尝试行为。 相关威胁指标（IOC） 类型 指标内容 描述 网络地址 190.14.37[.]10 命令与控制服务器（活跃端点） 网络地址 93.113.25[.]114 命令与控制服务器（活跃端点） 网络地址 fi.warmachine[.]su 命令与控制服务器 网络地址 xyz.yuzgebhmwu[.]ru 命令与控制服务器（活跃端点） 网络地址 pool.breakfastidentity[.]ru 命令与控制服务器 网络地址 pandaspandas[.]pm 命令与控制服务器（列表中重复出现） 网络地址 my.magicpandas[.]fun 命令与控制服务器 文件哈希（SHA-256） 7423b6424b26c7a32ae2388bc23bef386c30e9a6acad2b63966188cb49c283ad IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） 8fd41cb9d73cb68da89b67e9c28228886b8a4a5858c12d5bb1bffb3c4addca7c IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） bd219811c81247ae0b6372662da28eab6135ece34716064facd501c45a3f4c0d IRC 僵尸程序（ARM 架构） 文件哈希（SHA-256） b0c6fe570647fdedd72c920bb40621fdb0c55ed217955557ea7c27544186aeec IRC 僵尸程序（ARM64 架构） 文件哈希（SHA-256） ab468da7e50e6e73b04b738f636da150d75007f140e468bf75bc95e8592468e5 暴力破解模块（x86 架构） 文件哈希（SHA-256） 4fbea12c44f56d5733494455a0426b25db9f8813992948c5fbb28f38c6367446 暴力破解模块（x64 架构） 文件哈希（SHA-256） 64e02ffb89ae0083f4414ef8a72e6367bf813701b95e3d316e3dfbdb415562c4 暴力破解模块（ARM 架构） 文件哈希（SHA-256） c7886535973fd9911f8979355eae5f5abef29a89039c179842385cc574dfa166 暴力破解模块（ARM64 架构） 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年初以来，麒麟勒索软件组织每月声称入侵超过40名受害者，其数据泄露网站上的帖子数量在6月份达到了100例的高峰。 根据思科Talos汇编的数据，美国、加拿大、英国、法国和德国是受麒麟影响最严重的国家。这些攻击主要针对制造业（23%）、专业和科学服务（18%）以及批发贸易（10%）等领域。 麒麟附属组织发起的攻击可能利用了暗网上泄露的管理凭证，通过VPN接口进行初始访问，随后对域控制器和成功入侵的端点执行RDP连接。 在下一阶段，攻击者进行了系统侦察和网络发现操作以绘制基础设施地图，并执行了Mimikatz、WebBrowserPassView.exe、BypassCredGuard.exe和SharpDecryptPwd等工具，以促进从各种应用程序中获取凭证，并使用Visual Basic脚本将数据外泄到外部SMTP服务器。 Talos表示：”通过Mimikatz执行的命令针对一系列敏感数据和系统功能，包括清除Windows事件日志、启用SeDebugPrivilege、从Chrome的SQLite数据库提取保存的密码、恢复之前登录的凭证，以及获取与RDP、SSH和Citrix相关的凭证和配置数据。” 进一步分析发现，威胁行为者使用mspaint.exe、notepad.exe和iexplore.exe来检查文件中的敏感信息，以及使用名为Cyberduck的合法工具将感兴趣的文件传输到远程服务器，同时掩盖恶意活动。 研究发现，被盗凭证使得攻击者能够进行权限提升和横向移动，他们滥用提升后的访问权限来安装多种远程监控和管理（RMM）工具，例如AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist和ScreenConnect。Talos表示无法确定这些程序是否用于横向移动。 为了规避检测，该攻击链包括执行PowerShell命令来禁用AMSI、关闭TLS证书验证并启用Restricted Admin，此外还运行dark-kill和HRSword等工具来终止安全软件[citation:1。主机上还部署了Cobalt Strike和SystemBC以实现持久远程访问。 感染的最终阶段是启动麒麟勒索软件，该软件会加密文件并在每个加密文件夹中投放赎金记录，但在之前会清除事件日志并删除由Windows卷影复制服务（VSS）维护的所有卷影副本。 这一发现与一起复杂的麒麟攻击事件相吻合，该攻击将其Linux勒索软件变体部署在Windows系统上，并将其与合法的IT工具和自带易受攻击驱动（BYOVD）技术结合使用，以绕过安全屏障。 趋势科技表示：”攻击者滥用了合法工具，特别是通过Atera Networks的远程监控和管理（RMM）平台安装AnyDesk，并使用ScreenConnect执行命令。他们滥用Splashtop来最终执行勒索软件。” “他们使用专门的凭证提取工具专门针对Veeam备份基础设施，在部署勒索软件有效负载之前，系统地从多个备份数据库获取凭证，以破坏组织的灾难恢复能力。” 除了使用有效账户入侵目标网络外，部分攻击还采用了鱼叉式网络钓鱼和托管在Cloudflare R2基础设施上的ClickFix式虚假CAPTCHA页面，来触发恶意有效负载的执行。据评估，这些页面会投放获取初始访问权限所必需的信息窃取程序以收集凭证。 攻击者采取的一些关键步骤如下： 部署SOCKS代理DLL以促进远程访问和命令执行 滥用ScreenConnect的远程管理功能来执行发现命令，并运行网络扫描工具以识别潜在的横向移动目标 针对Veeam备份基础设施以获取凭证 使用”eskle.sys”驱动程序作为BYOVD攻击的一部分来禁用安全解决方案、终止进程并逃避检测 部署PuTTY SSH客户端以促进向Linux系统的横向移动 使用跨多个系统目录的SOCKS代理实例，通过COROXY后门混淆命令与控制（C2）流量 使用WinSCP安全传输Linux勒索软件二进制文件到Windows系统 使用Splashtop Remote的管理服务（SRManager.exe）直接在Windows系统上执行Linux勒索软件二进制文件 趋势科技研究人员指出：”Linux勒索软件二进制文件提供了跨平台能力，使攻击者能够使用单个有效负载影响环境中的Windows和Linux系统。” “更新的样本加入了Nutanix AHV检测功能，将目标扩展至超融合基础设施平台。这证明了威胁行为者除了传统的VMware部署之外，也对现代企业虚拟化环境的适应。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国电脑制造商 Framework 生产的约 20 万台 Linux 电脑系统在出厂时附带了已签名的 UEFI 外壳组件，这些组件可能被利用来绕过安全启动保护。 攻击者可以利用这一漏洞加载引导工具包（如 BlackLotus、HybridPetya 和 Bootkitty），这些工具包可以规避操作系统级别的安全控制，并在操作系统重新安装后仍然存在。 强大的 mm 命令根据固件安全公司 Eclypsium 的说法，问题出在 Framework 随系统提供的合法签名的 UEFI 外壳中包含了一个 “内存修改”（mm）命令。 该命令提供对系统内存的直接读 / 写访问，旨在用于低级诊断和固件调试。然而，它也可以通过针对 gSecurity2 变量来破坏安全启动信任链，gSecurity2 变量是验证 UEFI 模块签名过程中的一个关键组件。 mm 命令可以被滥用，用 NULL 覆盖 gSecurity2，从而有效地禁用签名验证。 Eclypsium 表示：“一旦确定了地址，mm 命令就可以用 NULL 覆盖安全处理程序指针，或者将其重定向到一个总是返回‘成功’而不进行任何验证的函数。”“这个命令会将包含安全处理程序指针的内存位置写入零，从而有效地禁用所有后续模块加载的签名验证。” 研究人员还指出，这种攻击可以通过启动脚本自动化，以在重启后仍然存在。 约 20 万台受影响的系统Framework 是一家美国硬件公司，以设计模块化且易于维修的笔记本电脑和台式机而闻名。 危险的 mm 命令的存在并非是因为被攻击，而更像是一个疏忽。在得知这个问题后，Framework 开始着手修复这些漏洞。 Eclypsium 的研究人员估计，这个问题已经影响了大约 20 万台 Framework 电脑： Framework 13（第 11 代英特尔），计划在 3.24 版本中修复 Framework 13（第 12 代英特尔），已在 3.18 版本中修复，计划在 3.19 版本中进行 DBX 更新 Framework 13（第 13 代英特尔），已在 3.08 版本中修复，已在 3.09 版本中发布 DBX 更新 Framework 13（英特尔酷睿 Ultra），已在 3.06 版本中修复 Framework 13（AMD Ryzen 7040），已在 3.16 版本中修复 Framework 13（AMD Ryzen AI 300），已在 3.04 版本中修复，计划在 3.05 版本中进行 DBX 更新 Framework 16（AMD Ryzen 7040），已在 3.06（测试版）中修复，已在 3.07 版本中发布 DBX 更新 Framework 台式机（AMD Ryzen AI 300 MAX），已在 3.01 版本中修复，计划在 3.03 版本中进行 DBX 更新 建议受影响的用户应用可用的安全更新。在补丁尚未可用的情况下，防止物理访问等二级保护措施至关重要。另一个临时缓解措施是通过 BIOS 删除 Framework 的 DB 密钥。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）中的提权漏洞已在针对性攻击中被利用。 谷歌本周发布了2025年9月的安卓补丁集，共修复了111个独特的CVE漏洞，其中包括被利用的零日漏洞。 这两个被利用的漏洞都是提权问题，分别影响安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）。 “有迹象表明以下漏洞可能正在受到有限的针对性利用：CVE-2025-38352、CVE-2025-48543，”谷歌的公告中写道。 Linux内核漏洞的修复已于7月宣布，该漏洞与POSIX CPU计时器的处理有关，存在竞争条件。所有主要发行版似乎都已修复了该漏洞。 尽管在谷歌发出最新警告之前没有关于该漏洞被利用的报告，但该漏洞是由谷歌威胁分析小组（TAG）的Benoît Sevens报告的，这表明它可能在间谍软件攻击中被利用。 谷歌的公告没有提供关于安卓运行时安全缺陷的详细信息，除了它影响安卓开源项目（AOSP）13、14、15和16版本。 安卓Runtime零日漏洞已在2025-09-01安全补丁级别中得到解决，该补丁级别还解决了框架、系统和Widevine DRM中的其他58个漏洞。 谷歌警告说，其中最严重的是系统组件中的一个高危远程代码执行缺陷（CVE-2025-48539），该缺陷可以在不需要额外权限的情况下被利用。 更新到2025-09-05安全补丁级别的设备还将获得Linux内核漏洞的修复，以及影响Linux内核和Arm、Imagination Technologies、联发科、高通组件的其他51个问题的修复。 本月，谷歌为Pixel设备发布了一轮新的安全更新，解决了这些设备特有的23个漏洞，以及安卓2025年9月安全公告中识别的所有漏洞。 安卓公告中描述的所有漏洞也已通过Wear OS、Pixel Watch和汽车操作系统更新得到解决。Wear OS和Pixel Watch更新分别包含针对另外两个和一个安全缺陷的修复。 建议用户在其设备可用2025-09-05安全补丁级别时尽快进行更新。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球数百万台Linux系统（包括运行关键服务的系统）现存在一个易于利用的新型sudo漏洞，可能允许未经授权的用户在Ubuntu、Fedora等服务器上以root权限执行命令。 sudo是Linux系统中允许用户以root或超级用户身份运行命令的实用程序。Stratascale网络安全研究单元（CRU）团队发现了两个影响sudo的关键漏洞。 安全研究人员警告称，任何用户都能快速获取无限制的系统访问权限。攻击者可利用此漏洞以root身份执行任意命令，完全接管系统。 该漏洞首次出现在2023年6月发布的1.9.14版本中，已在2025年6月30日发布的最新sudo版本1.9.17p1中修复。漏洞利用已在Ubuntu和Fedora服务器上验证成功，但可能影响更多系统。 报告指出：“这些漏洞可能导致受影响系统的权限提升至root级别。” 研究人员敦促管理员尽快安装最新sudo软件包，因为目前没有其他解决方案。 “默认sudo配置存在漏洞，”Stratascale网络安全研究单元的Rich Mirch解释道。 研究人员已公开概念验证代码，其他团队也成功复现了该漏洞。 漏洞涉及sudo的chroot功能 关键漏洞存在于sudo中较少使用的chroot选项中。该选项用于修改特定进程的根工作目录，限制其对文件系统的访问。 虽然本意是将用户限制在其主目录内，但漏洞允许用户突破限制并提升权限。利用此漏洞不需要为用户定义任何sudo规则。 研究人员表示：“因此，如果安装了易受攻击的版本，任何本地非特权用户都可能将权限提升至root。” 要利用此漏洞，攻击者需要在用户指定的根目录下创建文件，并欺骗sudo加载任意共享库。该文件定义了系统如何解析用户账户、组、主机名、服务等。 sudo维护者已确认该问题，并在1.9.17p1版本中弃用了chroot选项。 他们在公告中表示：“攻击者可利用sudo的chroot选项以root身份运行任意命令，即使他们未被列入sudoers文件。” Mirch的脚本演示了非特权攻击者如何创建临时目录、添加授予root权限的函数文件、编译恶意共享库，然后通过chroot选项欺骗sudo以提升的权限执行它。这样，攻击者就能完全控制系统。 由于chroot选项会降低环境安全性，建议管理员避免使用该功能。 数百万系统可能受此漏洞影响。德国媒体heise.de甚至发现，德国某大型云托管提供商新安装的Ubuntu虚拟机仍然存在漏洞，尽管补丁已经发布。 消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现两个本地权限提升（LPE）漏洞，攻击者可借此在主流Linux发行版中获取root权限。Qualys披露的两处漏洞如下： CVE-2025-6018：SUSE 15的可插拔认证模块（PAM）配置缺陷，允许普通用户获取“活跃用户权限”（allow_active） CVE-2025-6019：通过udisks守护进程，利用libblockdev漏洞将活跃用户权限提升至root Qualys威胁研究部门高级经理Saeed Abbasi指出：“这类现代‘本地到root’漏洞利用技术，彻底消除了普通登录用户与完全控制系统之间的安全屏障。攻击者通过串联udisks合法功能（如循环挂载）和PAM/环境特性，能在数秒内突破polkit的allow_active信任区，获取root控制权。” 漏洞细节 CVE-2025-6018存在于openSUSE Leap 15和SUSE Enterprise 15的PAM配置中，致使远程SSH等普通会话被误判为物理在场操作，从而授予本应受限的polkit操作权。 CVE-2025-6019则影响默认安装于多数Linux发行版的udisks服务，结合前漏洞可让攻击者获得完整root权限。Abbasi强调：“尽管名义上需要‘allow_active’权限，但udisks几乎预装在所有Linux系统中。而包括本次PAM漏洞在内的技术，进一步削弱了权限壁垒。” 攻击后果 获取root权限后，攻击者能完全控制系统：关闭安全防护（如EDR）、植入持久后门、篡改配置，并将受控设备作为渗透内网的跳板。 影响范围与验证 Qualys已开发概念验证（PoC）代码，确认漏洞影响Ubuntu、Debian、Fedora及openSUSE Leap 15等主流发行版。其中openSUSE/SUSE同时受两漏洞影响，其他发行版主要面临CVE-2025-6019风险。 修复方案 立即安装补丁：各发行版已推送libblockdev安全更新（如Debian/Ubuntu需升级至libblockdev≥2.30或3.3.1） 临时缓解措施： 修改polkit规则，将org.freedesktop.udisks2.modify-device操作的allow_active=yes设为auth_admin 非必要场景可关闭udisks服务：systemctl mask udisks2.service 关联漏洞披露 Linux PAM维护者同时修复高危路径遍历漏洞CVE-2025-6020（CVSS 7.8）。该漏洞存在于pam_namespace模块（≤1.7.0版本），允许本地用户通过符号链接攻击和竞争条件提权至root。缓解方案包括禁用pam_namespace或确保其不操作用户可控路径。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告称，近期出现的新型远程访问木马（RAT）“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究，攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。 安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出：“Chaos RAT是用Golang编写的开源RAT，支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架，提供可构建载荷、建立会话并控制受感染设备的管理面板”。 虽然这款“远程管理工具”的开发始于2017年，但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动，部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器，接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。 Acronis发现Linux变种已出现在真实攻击中，多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本，通过定期获取恶意软件实现持久化驻留。 早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT，表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示，攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。 该木马的管理面板（用于构建载荷和控制受感染设备）被曝存在命令注入漏洞（CVE-2024-30850，CVSS 8.8分），可与跨站脚本漏洞（CVE-2024-31839，CVSS 4.8分）组合使用，实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。 尽管幕后黑手尚未明确，但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调：“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包，当多个组织使用相同工具时，会极大干扰攻击溯源”。 该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本，旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出：“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全厂商Action1基于对美国国家漏洞数据库（NVD）及CVEdetails.com的深度分析发布《2025年软件漏洞评级报告》显示，2024年Linux与macOS新发现漏洞数量激增。传统上被视为较安全平台的这两大基于UNIX的生态系统均出现异常波动：Linux漏洞数量同比暴增967%至3329个，macOS漏洞总量增长95%至508个。全年新发现漏洞总数达6761个，同比增长61%。 报告同时警示被实际利用的漏洞数量从2023年的101个上升至2024年的198个，增幅达96%。谷歌Chrome浏览器被利用漏洞数从5个飙升至97个（增长1840%），Microsoft Office相关漏洞利用数增长433%至32个，成为推动该趋势的主要因素。 其他关键发现包括：2024年新发现关键漏洞总数达2930个（同比增37%），其中Linux关键漏洞从499个增至851个，MSSQL数据库关键漏洞激增606%至120个；数据库领域新漏洞总量增长213%，关键漏洞激增505%（MySQL漏洞数量翻倍）；浏览器领域新被利用CVE数量增长657%，远程代码执行（RCE）漏洞增加107%。值得关注的是，Linux和macOS的RCE漏洞分别同比下降85%和44%。 “关键漏洞和被利用漏洞的持续增长印证了企业面临的网络安全风险正在升级。”报告强调，“企业必须建立强健的补丁管理流程、提升威胁检测能力、开展供应商与供应链风险评估，并持续优化安全策略。”Action1建议采取以下措施：优先修补操作系统、浏览器等关键系统及存在RCE风险的数据库；加强员工对常用软件风险的教育；确保全软件生态的漏洞管理；第三方软件引入前实施风险评估；部署持续威胁检测工具以维持系统韧性。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文