黑客利用 SolarWinds WHD 漏洞部署数字取证与应急响应工具并实施攻击
HackerNews 编译,转载请注明出处: 黑客正利用 SolarWinds 网络帮助台(WHD)漏洞,将合法工具用于恶意用途,其中包括 Zoho ManageEngine 远程监控与管理工具。 攻击者针对至少三家机构发起攻击,同时利用 Cloudflare 隧道实现持久化驻留,并使用 Velociraptor 网络应急响应工具作为命令与控制(C2)信道。 该恶意活动由 Huntress Security 研究人员于上周末发现,研究人员认为这是自 1 月 16 日起、利用近期公开的 SolarWinds WHD 漏洞发起的攻击行动的一部分。 Huntress Security 表示:“2026 年 2 月 7 日,公司安全运营中心分析师 Dipo Rodipe 调查了一起 SolarWinds 网络帮助台被利用的案件,威胁攻击者快速部署Zoho Meetings 与 Cloudflare tunnels 实现持久化驻留,并使用 Velociraptor 工具实施命令与控制。” 该网络安全公司称,攻击者利用了 CVE-2025-40551 与 CVE-2025-26399 两处漏洞,其中 CVE-2025-40551 已于上周被美国网络安全和基础设施安全局(CISA)标记为遭在野攻击利用。 这两处安全漏洞均被评定为高危等级,攻击者可利用其在目标主机上实现无需认证的远程代码执行。 值得注意的是,微软安全研究人员也 “观测到威胁攻击者利用暴露在公网的 SolarWinds Web Help Desk(WHD)实例实施多阶段入侵”,但未证实是否利用了上述两处漏洞。 攻击链与工具部署 攻击者获取初始访问权限后,通过从 Catbox 文件托管平台获取的 MSI 安装包,安装了 Zoho ManageEngine Assist 代理程序。 攻击者将该工具配置为无人值守访问模式,并将受攻陷主机注册至绑定匿名质子邮箱的Zoho Assist 账号。 该工具被用于直接操控主机键盘操作及活动目录(AD)侦察。 攻击者还通过该工具部署Velociraptor ,其 MSI 安装包从 Supabase 存储桶获取。 Velociraptor 是一款合法的数字取证与应急响应(DFIR)工具,Cisco Talos 团队近期曾发出警示,称该工具正被滥用于勒索软件攻击。 在 Cisco Talos 观测到的攻击中,该数字取证与应急响应平台被用作命令与控制(C2)框架,通过 Cloudflare 边缘计算节点与攻击者通信。 研究人员指出,攻击者使用了过时的 0.73.4 版 Velociraptor ,该版本存在权限提升漏洞,可被用于提升主机操作权限。 威胁攻击者还从 Cloudflare 官方 GitHub 仓库安装了 Cloudflared 客户端,将其作为备用隧道访问通道,实现命令与控制信道冗余。 在部分攻击场景中,攻击者还通过名为 TPMProfiler 的计划任务实现持久化驻留,该任务可借助 QEMU 虚拟机开启 SSH 后门。 攻击者还通过修改注册表禁用 Windows Defender 杀毒软件与防火墙,确保后续恶意载荷的下载不会被拦截。 研究人员称:“在禁用 Defender 约一秒后,威胁攻击者便下载了全新的 VS Code 可执行文件。” 来源:Huntress 安全更新与缓解措施 建议系统管理员将 SolarWinds 网络帮助台升级至 2026.1 及以上版本,关闭该产品管理界面的公网访问权限,并重置与该产品相关的所有凭证。 Huntress Security 还公布了 Sigma 规则与攻击指标,可用于 Zoho Assist、Velociraptor、Cloudflared、VS Code 隧道活动、静默 MSI 安装及编码 PowerShell 执行。 微软与 Huntress 均未将此次攻击归为特定威胁组织,除微软将受攻陷环境描述为 “高价值资产” 外,双方均未披露目标相关信息。 消息来源:bleepingcomputer.com: 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
SolarWinds 紧急修复 Web Help Desk 四大高危漏洞
HackerNews 编译,转载请注明出处: SolarWinds 发布了安全更新,修复其 Web Help Desk 产品中存在的多个安全漏洞,其中包含四项可导致身份验证绕过及远程代码执行(RCE)的高危漏洞。 相关漏洞详情列表如下: · CVE-2025-40536(CVSS 评分:8.1):安全控制绕过漏洞。未经认证的攻击者可借此访问某些受限制的功能。 · CVE-2025-40537(CVSS 评分:7.5):硬编码凭证漏洞。攻击者可利用预设的“client”用户账户访问管理功能。 · CVE-2025-40551(CVSS 评分:9.8):不可信数据反序列化漏洞。可导致远程代码执行,使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40552(CVSS 评分:9.8):认证绕过漏洞。未经认证的攻击者可利用此漏洞执行特定操作与方法。 · CVE-2025-40553(CVSS 评分:9.8):不可信数据反序列化漏洞。可导致远程代码执行,使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40554(CVSS 评分:9.8):认证绕过漏洞。攻击者可利用此漏洞调用 Web Help Desk 内部的特定操作。 前三个漏洞由 Horizon3.ai 的 Jimi Sebree 发现并上报,后三个漏洞则由 watchTowr 的 Piotr Bazydlo 发现,相关贡献均已获官方确认。所有漏洞均已在其 Web Help Desk 2026.1 (WHD 2026.1) 版本中得到修复。 “CVE-2025-40551 和 CVE-2025-40553 均为高危不可信数据反序列化漏洞,” Rapid7 表示。“远程未授权攻击者可通过这两个漏洞在目标系统上实现远程代码执行,还能执行任意操作系统命令等恶意载荷。” “反序列化导致的远程代码执行是攻击者常用的高可靠攻击途径,且这两个漏洞均支持未授权利用,因此危害程度极大。” 该网络安全公司补充道,尽管 CVE-2025-40552 和 CVE-2025-40554 被归类为身份认证绕过漏洞,但同样可能被用以实现 RCE,从而产生与其他两个反序列化 RCE 漏洞同等的破坏性影响。 近年来,SolarWinds 已多次发布补丁修复 Web Help Desk 软件中的漏洞,包括 CVE-2024-28986、CVE-2024-28987、CVE-2024-28988 及 CVE-2025-26399。值得注意的是,CVE-2025-26399 修复的是 CVE-2024-28988 的补丁绕过漏洞,而 CVE-2024-28988 本身也是 CVE-2024-28986 的补丁绕过漏洞。 2024 年末,美国网络安全和基础设施安全局(CISA)已将 CVE-2024-28986 和 CVE-2024-28987 列入其“已知被利用漏洞”(KEV)目录,并指出已有确凿证据表明这些漏洞正遭在野利用。 Horizon3.ai 的 Sebree 在分析 CVE-2025-40551 的文章中描述称,该漏洞是又一个源于 AjaxProxy 功能的反序列化漏洞。 攻击者若要实现远程代码执行,需执行以下一系列操作: · 建立有效会话并提取关键值。 · 创建一个 LoginPref 组件。 · 设置该 LoginPref 组件的状态,以获取文件上传功能的访问权限。 · 利用 JSONRPC 桥接,在后台构造恶意的 Java 对象。 · 触发这些恶意 Java 对象。 鉴于 Web Help Desk 过往漏洞曾被恶意利用,相关用户需尽快将此服务台与 IT 服务管理平台升级至最新版本。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
SolarWinds 修复 Serv-U 三款高危漏洞,可被用于远程代码执行
HackerNews 编译,转载请注明出处: SolarWinds 修复了其 Serv-U 文件传输解决方案中的三个关键漏洞,这些漏洞可能允许远程代码执行。 第一个漏洞,追踪编号为 CVE-2025-40549(CVSS 评分 9.1),是一个影响 Serv-U 的路径限制绕过问题。拥有管理员权限的攻击者可利用此漏洞在目录上执行代码。公告中写道:”Serv-U 中存在一个路径限制绕过漏洞,若被滥用,可能使拥有管理员权限的恶意行为者具备在目录上执行代码的能力。””滥用此问题需要管理员权限。在 Windows 系统上,由于路径和主目录处理方式的差异,该漏洞评级为中等。” 该公司修复的第二个漏洞,追踪编号为 CVE-2025-40548(CVSS 评分 9.1),是一个访问控制缺陷,可导致远程代码执行漏洞。公告中写道:”Serv-U 中存在一个缺失的验证过程,若被滥用,可能使拥有管理员权限的恶意行为者具备执行代码的能力。””滥用此问题需要管理员权限。在 Windows 部署环境中,由于服务默认通常在权限较低的服务账户下运行,该风险被评为中等。SolarWinds 指出,CVE-2025-40547 和 CVE-2025-40548 在 Windows 系统上仅具有中等严重性,因为受影响的服务通常在低权限账户下运行。 第三个漏洞,CVE-2025-40547(CVSS 评分 9.1),是 Serv-U 中的一个逻辑错误漏洞。拥有管理员权限的攻击者可利用此漏洞执行任意代码。这些漏洞影响 SolarWinds Serv-U 15.5.2.2.102 版本,该公司已发布 15.5.3 版本来解决这些问题。 消息来源:securityaffairs; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客使用恶意版本的 KeePass 和 SolarWinds 软件分发 RomCom RAT
被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量,开展一系列新的攻击活动。黑莓威胁研究和情报团队在分析最近关于RomComRAT报告中发现的网络工件时,察觉到了这些活动,该报告称通过仿冒版本的高级IP扫描仪软件针对乌克兰军事机构。 RomCom在其活动中模仿了以下产品:SolarWinds网络性能监视器,KeePass开源密码管理器和PDF Reader Pro。 RomCom黑客正在积极部署针对乌克兰受害者和全球英语目标的新运动。根据TOS,英国受害者可能是一个新的目标,而乌克兰仍然是主要焦点。这是基于两个恶意网站的服务条款 (TOS) 和新创建的命令和控制 (C2) 的SSL证书。 为了应对攻击,RomCom黑客执行以下简化方案:从供应商处获取原始合法HTML代码进行欺骗,注册类似于合法域的恶意域,木马化合法应用程序,将恶意捆绑包上传到欺骗网站,向受害者部署有针对性的钓鱼电子邮件,或者使用其他感染者载体。 11月1日,该团队又有了另一项发现。RomCom黑客发起了一场新的攻击活动,滥用名为KeePass的流行密码管理器。当有人从假冒但看起来合法的KeePass网站下载应用程序时,攻击者会将一个名为“KeePass-2.52”的恶意捆绑包投放到受害者的计算机上。 RomCom RAT,古巴勒索软件和工业间谍有明显的联系。工业间谍是一个相对较新的勒索软件组织,于2022年4月出现。然而,考虑到目标的地理位置和特征,结合当前的地缘政治局势,目前尚不清楚RomCom黑客的真正动机是否纯粹是网络犯罪。 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/2005/ 消息来源:BlackBerry,封面来自网络,译者:Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
SolarWinds 黑客利用 iOS 零日漏洞渗透政府官员使用的 iPhone
谷歌威胁分析团队指出,在针对西欧政府官员的渗透活动中,SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。周三的这份报告,披露本次攻击还利用了通过领英(LinkedIn)向政府官员发送的信息。若受害者在 iPhone 上访问了特定的链接,就会被重定向至带有初始恶意负载的域名。 在满足多项“验证检查”后,SolarWinds 黑客会利用 CVE-2021-1879 漏洞来下载最终的有效载荷,并将之用于绕过某些安全防护措施。 比如关闭同源防护策略(Same-Origin-Policy)、或其它能够防止恶意脚本在本地网络上搜集数据的安全功能。 如此一来,攻击者便能够利用收集自谷歌、微软、领英、脸书、雅虎等网站手机的身份验证信息,并将之发送到受黑客控制的 IP 地址。 不过 Maddie Stone 和 Clement Lecigne 写道:“受害者需要通过 Safari 访问精心制作的网站,才会被黑客成功渗透其 cookie ”。 庆幸的是,苹果已于今年 3 月修复了该漏洞。如果你运行受影响的 iOS 12.4 – 13.7 版本,还请及时为设备打上补丁。 此外通过使用支持站点隔离功能的浏览器(比如 Chrome 或 Firefox),亦可避免此类“同源策略”攻击。 最后,尽管谷歌没有披露幕后黑手的真实身份,但 ArsTechnica 已将攻击者确定为 Nobelium(与 2019 年 SolarWinds 黑客攻击事件背后是同一团队)。 (消息及封面来源:cnBeta)
Serv-U 套件发现远程代码执行漏洞 SolarWinds 敦促客户尽快打补丁
SolarWinds 公司敦促客户尽快安装补丁,以修复 Serv-U 远程代码执行漏洞。目前已经有相关证据表明该漏洞被“单一威胁行为者”利用,并且已经对少部分客户发起了攻击。 在本周五发布的公告中,SolarWinds 公司表示:“微软提供的相关证据表明已经有少量、针对性的客户受到影响。 尽管目前 SolarWinds 还无法预估有多少客户可能直接受到该漏洞的影响。据现有的证据,没有其他 SolarWinds 产品受到此漏洞的影响。SolarWinds 目前无法直到可能受影响客户的身份”。 该漏洞被追踪为 CVE-2021-35211,主要影响 SolarWinds 旗下的 Serv-U Managed File Transfer 和 Serv-U Secure FTP 两款产品,被远程攻击者利用之后可以指定任意代码。SolarWinds 表示:“如果环境中没有启用SSH,那么该漏洞就不存在”、 微软威胁情报中心(MSTIC)和微软进攻性安全研究团队在今年 5 月发布的 Serv-U 15.2.3 HF1 中发现的这个漏洞,并确认影响到之前发布的所有版本。 SolarWinds 已通过发布 Serv-U 15.2.3 版热修复(HF)2 解决了微软报告的安全漏洞。该公司补充道,SolarWinds 旗下的其他产品和 N-able 产品(包括 Orion Platform 和 Orion Platform 模组)均不受 CVE-2021-35211 的影响。 这家位于美国的软件公司警告说:“SolarWinds在2021年7月9日星期五发布了一个热修复程序,我们建议所有使用Serv-U的客户立即安装这个修复程序,以保护您的环境”。SolarWinds提供了更多信息,说明如何查找您的环境在微软报告的攻击中是否受到损害。 (消息及封面来源:cnBeta)
负责 SolarWinds 最高官员:现有行动不足以阻止俄罗斯的下一轮攻击
美国白宫负责应对大规模 SolarWinds 黑客事件的最高官员表示,拜登政府针对俄罗斯的全面措施本身不太可能阻止莫斯科针对美国的恶意网络活动,而且没有否认发起大规模漏洞的黑客仍然潜伏在美国网络中的可能。 在接受 CNN 采访的时候,副国家安全顾问安妮·纽伯格(Anne Neuberger)表示将俄罗斯黑客驱逐出美国政府网络并对他们的恶意行为进行全面评估,需要时间、更全面的对话以及对美国网络安全的根本变化。 在拜登政府首次指责俄罗斯的外国情报机构对美国政府网络进行了有史以来最严重的破坏后一周,Neuberger 没有否认这些黑客仍然在美国网络中活跃,并明确表示她还没有看到俄罗斯在网络空间的恶意行为有重大改变。 两位熟悉SolarWinds漏洞内部调查的消息人士告诉CNN,尽管政府努力修补被利用的漏洞,但来自俄罗斯 SVR 情报机构的黑客可能仍然保持对美国网络的访问。其中一个消息源表示:“我不相信他们已经离开了,他们仍在哪里,可能正在筹划和进行着各种活动”。 在被问及情况是否真的如此时候,Neuberger 表示需要对 SVR 进行全面的“评估”。她表示:“想要真正塑造一个国家对网络的掌控力,你必须要摸清他们对价值和成本的计算。SVR 是一个复杂、持久的行为者。他们作为俄罗斯情报收集的一部分,作为其恶性影响任务的一部分,发挥着作用。而我们知道,要塑造这种计算方式,不会只是一个行动”。 曾在特朗普政府时期担任国家安全局网络安全负责人的 Neuberger 说:“SolarWinds 的漏洞促使拜登政府进行了为期两个月的审查,发现整个联邦政府的网络安全存在‘重大漏洞’,这是一个‘令人不快’的惊喜”。Neuberger 说:”显然,我们之前的战略没有发挥作用,因为我们看到[俄罗斯]网络活动的增长。 (消息及封面来源:cnBeta)
拜登政府的国家网络安全“梦之队”已初具规模
在 SolarWinds 软件更新打包服务器遭遇黑客攻击,并且对政企客户造成了巨大的威胁之后,拜登政府也终于下决心组建一支网络安全领域的专业队伍。周一的时候,有外媒报道称,拜登总统已任命两位前国家安全局资深人员,担任美国政府的高级网络安全职务,其中还包括了首位国家网络总监(National Cyber Director)。 今年早些时候发生的针对美国科技巨头 SolarWinds 公司的黑客入侵 + 后门程序植入事件,目前已知至少波及到了 9 家联邦机构。 在周一宣布的人事任命中,包括了奥巴马执政时期的前国家安全局官员、美国网络司令部发起者之一的 Jen Easterly,他已被提名为国土安全部旗下的网络安全咨询部门(CISA)的新负责人。 此外拜登任命了前国家安全局副局长 John“Chris”Inglis 为国家网络总监,这个新职务由国会在去年年底时设立,旨在监督和负责民政与国防机构的网络安全和相关预算。 预计他将与一月份被任命为国家安全委员会网络安全副顾问的 Anne Neuberger 紧密合作,作为 NSA 的前高管,后者也是网络安全的第一负责人,比如协助政府应对 SolarWinds 攻击和 Exchange 邮件服务器黑客事件。 最后,拜登提名了前奥巴马时代的网络安全政策助理秘书 Rob Silvers 来担任国土安全部的战略、政策和计划副部长(近期也有被选至 CISA 的最高职位)。 上述信息由《华盛顿邮报》最先披露,不过 Jen Easterly 和 Rob Silvers 的提名仍需通过参议员的确认。 (消息及封面来源:cnBeta)
Spectre / Meltdown 补丁或严重影响 SolarWinds 的 AWS 基础架构
外媒 1 月 15 日消息,IT 管理软件和监控工具供应商 SolarWinds 通过分析发现,Spectre / Meltdown 补丁使其亚马逊网络服务( AWS )基础设施的性能严重下降。 据悉,SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示,在亚马逊重启 SolarWinds 使用的 PV 实例后,CPU 使用率跃升至 25% 左右。 与此同时,SolarWinds 对其 EC2 HVM 实例的性能也进行了监控,发现在 Amazon 推出 Meltdown 的补丁时性能开始下降,并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示,结果并不可观,比如 Kafka 集群的数据包速率降低了 40%,而 Cassandra 的 CPU 使用率则猛增了 25%。 不过 SolarWinds 表示,目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平,但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。