HackerNews 编译，转载请注明出处： 一个新披露的名为 “PolyShell” 的漏洞，影响所有 Magento 开源版以及 Adobe Commerce 2 稳定版的安装，攻击者利用该漏洞可实现未授权代码执行和账户接管。 目前尚无迹象表明该漏洞已在实际中被主动利用，但电商安全公司 Sansec 警告称，“漏洞利用方法已在流传”，预计很快就会出现自动化攻击。 Adobe 已发布修复程序，但仅在 2.4.9 版本的第二个测试版中可用，这使得正式发布版本仍存在漏洞风险。Sansec 表示，Adobe 提供了 “一种能在很大程度上减少影响的示例网络服务器配置”，然而大多数店铺依赖其托管服务提供商的设置。 在本周发布的一份报告中，Sansec 指出，该安全问题源于 Magento 的 REST API 在处理购物车商品的自定义选项时接受文件上传。 研究人员解释道：“当产品选项类型为‘文件’时，Magento 会处理一个嵌入的 file_info 对象，该对象包含经过 Base64 编码的文件数据、MIME 类型和文件名。文件会被写入服务器上的 pub/media/custom_options/quote/ 目录。” Sansec 称，“PolyShell” 得名于它使用的一种多用途文件，该文件既可以当作图像，又能当作脚本运行。 根据网络服务器的配置不同，该漏洞可通过存储型跨站脚本（XSS）实现远程代码执行（RCE）或账户接管，Sansec 分析的大多数店铺都受此影响。 “Sansec 调查了所有已知的 Magento 和 Adobe Commerce 店铺，发现许多店铺的上传目录文件处于可暴露状态。” 在 Adobe 向正式发布版本推送补丁之前，建议店铺管理员采取以下措施： 限制对 pub/media/custom_options/ 目录的访问 确认 Nginx 或 Apache 规则是否切实阻止了对该目录的访问 扫描店铺，查找是否有上传的恶意脚本、后门程序或其他恶意软件 BleepingComputer 已联系 Adobe，询问何时能提供针对 “PolyShell” 漏洞的安全更新，但截至发布时，尚未收到回复。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 为信用社与银行提供营销及合规解决方案的服务商Marquis本周披露，去年公开的一起数据泄露事件实际影响约67.2 万人。 这家总部位于得克萨斯州的公司于 2025 年 8 月发现，黑客已入侵其系统。 在去年 12 月发布的通知中，该公司称攻击者窃取了姓名、住址、社会安全号码、出生日期、纳税人识别号等个人信息，以及支付卡号等财务信息。这些数据是Marquis代其服务的 700 家银行及信用社中的数十家机构存储的。 Marquis在首次披露泄露事件时，并未公布受影响总人数。此前根据其向美国各州监管部门提交的各州受影响人数，以及涉事金融机构自行披露的数据，外界估算至少有 78 万人受影响。 数据安全机构 Comparitech 在 2026 年 2 月曾预估，受影响人数或高达 160 万。 但Marquis本周向缅因州总检察长办公室证实，实际受影响人数仅略超 67.2 万。 若 67.2 万为真实受影响人数，则此前部分银行与信用社公布的数字可能存在重复统计 —— 部分用户在多家机构均开立账户。 目前尚无网络犯罪团伙宣称对Marquis攻击事件负责，但 Comparitech 此前报道，爱荷华州一家信用社曾发布泄露通知（现已删除），称Marquis支付了赎金，这家金融科技公司尚未对此予以证实。 Marquis未立即回应《安全周刊》要求其证实或否认该说法的问询。 Marquis此前表示，此次攻击利用了SonicWall 防火墙漏洞。在该公司发现攻击期间，Akira 勒索软件组织正加紧利用 SonicWall 防火墙漏洞实施入侵。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ubuntu 的 CVE-2026-3888 漏洞使得攻击者能够通过 systemd 定时机制漏洞获取 root 权限，该漏洞对 Ubuntu 桌面版 24.04 及更高版本造成严重影响。 Qualys 的研究人员在 Ubuntu 桌面版 24.04 及更高版本中发现了一个高危漏洞，编号为 CVE-2026-3888（通用漏洞评分系统（CVSS）得分为 7.8）。攻击者可以利用 systemd 清理过程中的一个定时问题，将权限提升至 root，从而有可能完全控制存在漏洞的系统。 该漏洞依赖于一个 10 至 30 天的清理窗口期，但最终可能导致整个系统被攻陷。它源于 snap-confine 对特权执行的管理方式，以及 systemd-tmpfiles 删除旧临时文件的机制。 安全公告中写道：“Qualys 威胁研究小组发现了一个本地提权（LPE）漏洞，该漏洞影响 Ubuntu 桌面版 24.04 及更高版本的默认安装。这个漏洞（CVE-2026-3888）允许无特权的本地攻击者通过两个标准系统组件 snap-confine 和 systemd-tmpfiles 的相互作用，将权限提升至完全的 root 访问权限。” “虽然利用该漏洞需要特定的基于时间的窗口（10 至 30 天），但最终结果是主机系统被完全攻陷。” CVE-2026-3888 影响 Ubuntu 的 snap 系统，涉及两个组件：snap-confine 和 systemd-tmpfiles。snap-confine 用于设置安全的应用程序环境，而 systemd-tmpfiles 则用于清理临时文件。漏洞发生的过程如下：攻击者等待一个关键文件夹被删除，然后用恶意文件重新创建该文件夹。当 snap-confine 随后初始化沙盒时，它会以 root 权限挂载这些文件，从而实现权限提升。该漏洞被评定为高危（CVSS 评分为 7.8），攻击需要本地访问权限并把握好时间，但可能导致整个系统被攻陷，影响系统的保密性、完整性和可用性。 Qualys 发布的报告中写道：“虽然 CVSS 评分反映出该漏洞严重性为高，但由于攻击链中固有的时间延迟机制，攻击复杂度也很高。在默认配置中，systemd-tmpfiles 计划删除 /tmp 中的陈旧数据。攻击者可以通过操纵这些清理周期的时间来利用这一点。具体而言，攻击向量包括： 在下一次沙盒初始化期间，snap-confine 会以 root 权限绑定挂载这些文件，从而允许在特权环境中执行任意代码。” 攻击者必须等待系统的清理守护进程（Ubuntu 24.04 中为 30 天；更高版本中为 10 天）删除 snap-confine 所需的关键目录。 一旦该目录被删除，攻击者就用恶意有效载荷重新创建该目录。 多个 snapd 版本易受 CVE-2026-3888 漏洞影响。运行 Ubuntu 桌面版 24.04 及更高版本的系统应立即更新到已打补丁的版本（2.73 及更高版本）。低于 2.75 的上游版本也受到影响。虽然较旧的 Ubuntu 版本默认情况下不受此漏洞影响，但建议安装补丁，以降低非标准配置下的风险。 此外，研究人员还在 uutils coreutils 软件包中发现了一个单独的漏洞，并在 Ubuntu 25.10 发布前与 Ubuntu 安全团队合作将其修复。 安全公告继续指出：“rm 实用程序中的一个竞态条件允许无特权的本地攻击者在 root 拥有的 cron 执行期间用符号链接替换目录项。成功利用此漏洞可能导致以 root 身份任意删除文件，或者通过针对 snap 沙盒目录进一步提升权限。该漏洞在 Ubuntu 25.10 公开发布前已被报告并缓解。Ubuntu 25.10 中的默认 rm 命令已恢复为 GNU coreutils，以立即降低此风险。此后，上游修复已应用于 uutils 代码库。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了另一个复杂的 iOS 漏洞利用工具包，并找到证据表明它已被国家支持的黑客和商业间谍软件供应商使用。 一个被追踪为 UNC6353 的俄罗斯国家支持的间谍组织，在针对乌克兰的攻击中使用了这个 iOS 漏洞利用工具包。 3 月初，谷歌和 iVerify 分享了关于 Coruna 的详细信息，这是一个功能强大的漏洞利用工具包，针对 iOS 13 至 17.2.1 版本中的 23 个漏洞，其中包括近十几个零日漏洞。 Coruna 被视为首个大规模针对 iOS 设备的漏洞利用工具包，UNC6353 在针对乌克兰的水坑攻击中使用了它，随后因其具备窃取加密货币的能力，也被出于经济利益的组织利用。 周三，iVerify、谷歌和 Lookout 分享了 UNC6353 使用的第二个大规模利用 iOS 漏洞的工具包的详细信息。该工具包名为 “暗剑”（DarkSword），它针对苹果移动平台的六个漏洞，只需极少的用户交互就能完全攻陷设备。 “暗剑” 与 Coruna 共享基础设施，且在针对乌克兰的水坑攻击中被使用，这表明它们同属一个威胁行为者的武器库。 用人工智能防御对抗人工智能攻击 谷歌还发现证据表明，“暗剑” 已被商业监视供应商使用，其中包括一个被追踪为 UNC6748 的组织，用于针对沙特阿拉伯、土耳其和马来西亚的攻击。 “暗剑” 完全用 JavaScript 编写，首先利用 Safari 漏洞实现远程代码执行（RCE），接着进行沙盒逃逸，然后利用内核漏洞注入并执行 JavaScript 代码以提升权限并最终执行有效载荷。 观察到的攻击是通过在独立新闻机构顿巴斯新闻（News of Donbas）的网站以及文尼察第七行政上诉法院的官方网站中注入恶意 iframe 来实施的。 完整的攻击链 被攻击的漏洞包括 CVE – 2025 – 31277、CVE – 2025 – 43529、CVE – 2025 – 14174、CVE – 2025 – 43510、CVE – 2025 – 43520 和 CVE – 2026 – 20700。 CVE – 2025 – 31277 和 CVE – 2025 – 43529 是两个 WebContent 进程的即时编译（JIT）问题，可导致任意内存读 / 写原语，“暗剑” 在攻击初始阶段利用了这些问题。 然后，它针对 CVE – 2026 – 20700，以绕过可信路径只读（TPRO）和指针认证码（PAC）保护并实现任意代码执行。该漏洞在 2 月作为零日漏洞被修复。 接下来，攻击链针对 CVE – 2025 – 14174，这是 ANGLE 中的一个越界写入漏洞，结合 PAC 绕过，通过 GPU 进程逃离 Safari 的沙盒。CVE – 2025 – 43529 和 CVE – 2025 – 14174 在 12 月被修复。 从 GPU 进程开始，攻击利用 CVE – 2025 – 43510 针对 XNU 内核，这是一个写时复制漏洞，可在 mediaplaybackd 守护进程中提供任意内存读 / 写原语，然后利用这些原语利用 CVE – 2025 – 43520 实现内核权限提升。 强大的信息窃取能力 Lookout 解释说，最终的有效载荷是一个由众多模块组成的编排器，使攻击者能够从受感染设备中窃取敏感信息。 它的目标包括密码、照片、WhatsApp 和 Telegram 消息、短信、联系人、通话记录、浏览器数据（cookie、历史记录和密码）、已安装的应用程序、Wi – Fi 数据和密码、苹果健康数据、日历和便签、已连接账户的信息以及加密货币钱包。 Lookout 指出：“这种恶意软件非常复杂，似乎是一个专业设计的平台，通过访问高级编程语言能够快速开发模块。这一额外步骤表明，在开发这种恶意软件时投入了大量精力，考虑到了可维护性、长期开发和可扩展性。” 这家网络安全公司还指出，“暗剑” 针对加密货币的攻击能力表明，UNC6353 可能已将其能力扩展到金融盗窃领域，或者它从一开始就是一个出于经济利益的威胁行为者。UNC6353 使用的 Coruna 漏洞利用工具包并未针对加密货币钱包。 数百万部 iPhone 可能受影响 安全研究人员警告称，苹果已经为 Coruna 和 “暗剑” 所针对的所有漏洞推出了补丁，但仍有数亿台设备可能面临攻击。 iVerify 表示：“我们估计，‘暗剑’漏洞利用链仍然影响着相当一部分 iPhone 用户。具体来说，运行 iOS 18.4 至 18.6.2 版本的用户中有 14.2%（约 2.2152 亿台设备）被认为存在漏洞。” 这家网络安全公司指出，如果目标漏洞可用于攻击低于 18.4 版本和高于 26.x 版本的 iOS 系统，受影响设备的数量可能会高得多。 iVerify 解释说：“基于所有 iOS 18 版本都易受该攻击链中大多数漏洞影响的假设，大约 18.99% 的用户（2.96244 亿）可能会受到影响。” 建议用户更新到 iOS 26.3.1 和 18.7.6 版本，这是包含针对 “暗剑” 漏洞利用工具包中所有漏洞补丁的最新平台版本。 在沙特阿拉伯、土耳其和马来西亚的攻击 在过去五个月里，谷歌识别出在 “暗剑” 成功攻击中投放的三个有效载荷，即 GhostBlade、GhostKnife 和 GhostSaber。 这家互联网巨头表示，2025 年 11 月，UNC6748 利用 “暗剑”，通过一个以 Snapchat 为主题的网站，在水坑攻击中针对沙特阿拉伯用户。所使用的恶意软件 Ghostknife 是一个 JavaScript 后门，具备强大的信息窃取能力。 11 月下旬，商业监视供应商 PARS Defense 在针对土耳其用户的攻击中使用了 “暗剑”，并于 2025 年 1 月在针对马来西亚用户的攻击中再次使用。 这些攻击中的有效载荷是 GhostSaber，这是一个 JavaScript 后门，能够进行文件渗出、设备和账户枚举、数据窃取以及执行任意 JavaScript 代码。 UNC6353 自 2025 年 12 月开始使用 “暗剑” 针对乌克兰发动攻击，投放了 GhostBlade 恶意软件，该软件具备信息窃取功能但没有后门能力，这与 iVerify 和 Lookout 的发现一致。 谷歌解释说：“UNC6748、PARS Defense 和 UNC6353 在漏洞利用交付实现方面存在显著的异同。我们评估，每个行为者都在‘暗剑’开发者的一组基本逻辑基础上构建了自己的交付机制，并根据自身需求进行了调整。” 谷歌还指出，虽然 UNC6353 使用的 “暗剑” 漏洞利用工具包仅针对运行 iOS 18.4 – 18.6 版本的设备，但 UNC6748 和 PARS Defense 使用的变体也针对 iOS 18.7 版本。 Lookout 指出：“利用受感染合法网站的水坑攻击本质上是零点击攻击，因为目标受害者可能本来就经常访问恶意网站。即使需要引诱用户访问该网站，社会工程防御培训也无效，因为感染网址是合法的。” 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份保护公司奥拉（Aura）证实，有未经授权方获取了近 90 万条包含姓名和电子邮箱地址的客户记录。 该公司称，此次事件由一起针对其员工的语音网络钓鱼攻击引发，导致 2 万名现有客户和 1.5 万名前客户的敏感数据泄露。 本周，奥拉公司在一份通报中表示，这些数据源自其 2021 年收购的一家公司所使用的营销工具，泄露的信息有限。 奥拉是一家面向消费者的数字安全公司，提供身份盗窃防护、信用与欺诈监测以及针对网络钓鱼的在线安全工具，将自身定位为一站式在线保护服务提供商。 本周早些时候，威胁组织 “闪亮猎人”（ShinyHunters）在其数据勒索网站上宣称实施了此次攻击，并表示他们窃取了 12GB 包含客户个人身份信息（PII）以及公司数据的文件。 该威胁行为者泄露了所窃取的文件，并表示尽管他们给出了各种机会和条件，奥拉公司仍 “未能与他们达成协议”。 闪亮猎人网站上泄露的奥拉公司数据 来源：BleepingComputer 据奥拉公司称，遭泄露的客户信息包括全名、电子邮箱地址、家庭住址和电话号码。该公司强调，社会安全号码（SSN）、账户密码以及财务信息并未泄露。 “我是否已遭泄露”（Have I Been Pwned，HIBP）服务对泄露数据进行了分析，并将其添加到自身数据库中，同时指出客户服务评论和 IP 地址也被曝光。HIBP 还表示，此次事件中曝光的电子邮箱地址，90% 已因过往安全事件存在于其数据库中。 BleepingComputer 就 HIBP 报告称受影响账户略超 90.1 万个与奥拉公司数据存在差异一事向奥拉询问，奥拉公司表示自家数据准确。 这是因为 2021 年收购公司时继承了通过该营销工具收集的数据。然而，数据库中仅有 3.5 万名奥拉客户。该公司拒绝对 “闪亮猎人” 的说法或所谓的奥克塔（Okta）单点登录系统遭入侵一事进一步置评。 目前，奥拉公司正与外部网络安全专家合作开展深入内部审查，并向 BleepingComputer 证实已通知执法部门。 奥拉公司告知我们，很快将向所有受影响人员发送个性化通知。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已责令美国政府机构对其服务器采取防护措施，以应对 Zimbra 协作套件（ZCS）中一个正在遭主动利用的漏洞。Zimbra 是一款广受欢迎的电子邮件与协作软件套件，全球数亿人在使用，其中包括数千家企业和数百家政府机构。 该漏洞编号为 CVE – 2025 – 66376，已于 11 月初修复。这个严重级别的安全漏洞源于经典用户界面（Classic UI）中的一个存储型跨站脚本（XSS）弱点，远程未认证攻击者可通过滥用电子邮件 HTML 中的层叠样式表（CSS）@import 指令加以利用。 虽然 Synacor（Zimbra 背后的公司）并未透露 CVE – 2025 – 66376 攻击成功后的具体影响，但该漏洞很可能被用于通过恶意的基于 HTML 的电子邮件执行任意 JavaScript 代码，这有可能让攻击者劫持用户会话，并在被攻陷的 Zimbra 环境中窃取敏感数据。 周三，CISA 将该漏洞列入其在实际环境中遭利用的漏洞目录，并依据 2021 年 11 月发布的《约束性操作指令》（BOD）22 – 01，要求联邦政府行政部门（FCEB）机构在 4 月 1 日前的两周内对其服务器进行安全防护。 尽管 BOD 22 – 01 仅适用于联邦机构，但美国这家网络安全机构还是鼓励包括私营部门在内的所有组织尽快修复这个正被主动利用的漏洞。 CISA 警告称：“按照供应商说明采取缓解措施，针对云服务遵循 BOD 22 – 01 的相关指导，若无法实施缓解措施，则停止使用该产品。这类漏洞是恶意网络行为者常用的攻击途径，会给联邦机构带来重大风险。” 遭受攻击的 Zimbra 服务器 Zimbra 的安全漏洞经常成为攻击目标，近年来，这些漏洞已被利用，致使全球数千台易受攻击的电子邮件服务器遭到入侵。 例如，早在 2022 年 6 月，Zimbra 的身份验证绕过和远程代码执行漏洞就被利用，导致 1000 多台服务器被入侵。 从 2022 年 9 月开始，黑客利用 Zimbra 协作套件中的一个零日漏洞，在获取被攻陷服务器的远程代码执行权限后，两个月内入侵了近 900 台服务器。 俄罗斯政府支持的黑客组织 “冬季蝰蛇”（Winter Vivern）也曾利用反射型跨站脚本漏洞，入侵北约相关国家政府的 Zimbra 网络邮件门户，以及政府官员、军事人员和外交官的邮箱。 最近，威胁行为者在零日攻击中利用 Zimbra 的另一个跨站脚本漏洞（CVE – 2025 – 27915）执行任意 JavaScript 代码，从而能够设置电子邮件过滤器，将邮件重定向到攻击者控制的服务器。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 1 月下旬起，“联锁”（Interlock）勒索软件团伙就在零日攻击中，利用思科安全防火墙管理中心（FMC）软件中一个极其严重的远程代码执行（RCE）漏洞。 “联锁” 勒索软件活动于 2024 年 9 月浮出水面，与 ClickFix 以及多起恶意软件攻击有关，在这些攻击中，他们在英国多所大学的网络中部署了一款名为 “NodeSnake” 的远程访问木马。 “联锁” 团伙还宣称对针对达维塔（DaVita）、凯特林健康（Kettering Health）、德克萨斯理工大学系统以及明尼苏达州圣保罗市的攻击负责。最近，IBM X – Force 研究人员报告称，“联锁” 团伙的操作者部署了一种名为 “Slopoly” 的新恶意软件变种，很可能是利用生成式人工智能工具创建的。 思科于 3 月 4 日修复了这个安全漏洞（CVE – 2026 – 20131），并警告称，该漏洞可能让未经身份验证的攻击者在未打补丁的设备上以 root 权限远程执行任意 Java 代码。 亚马逊威胁情报团队周三报告称，在该漏洞被修复前，“联锁” 勒索软件团伙已针对企业防火墙，利用这个安全防火墙管理中心的漏洞发动攻击长达一个多月。 亚马逊综合安全首席信息安全官 CJ・摩西表示：“在查找该漏洞当前或过往的利用情况时，我们的研究发现，‘联锁’团伙从 2026 年 1 月 26 日起就开始利用这个漏洞，比其公开披露时间早了 36 天。这可不是普通的漏洞利用，‘联锁’团伙掌握了一个零日漏洞，这让他们在防御者察觉之前，就有一周时间抢先入侵各机构。” 思科在 3 月 4 日发布了一份安全公告，披露了思科安全防火墙管理中心软件 Web 界面的一个漏洞。周三，思科在发布公告后通过电子邮件向 BleepingComputer 表示：“我们感谢亚马逊在这件事上的合作，并且已在安全公告中更新了最新信息。我们强烈敦促客户尽快升级，并参考我们的安全公告以获取更多详细信息和指导。” 自今年年初以来，思科还修复了其他几个在实际中被当作零日漏洞利用的安全漏洞。例如，1 月，它修复了一个严重级别的思科 AsyncOS 零日漏洞，自 11 月起，该漏洞就被用于入侵安全电子邮件设备；同时，思科还修复了一个关键的统一通信远程代码执行漏洞，这个漏洞也在零日攻击中被利用。 上个月，思科修复了另一个严重级别的漏洞，该漏洞被当作零日漏洞利用，用于绕过 Catalyst SD – WAN 身份验证，攻击者借此能够攻陷控制器，并在目标网络中添加恶意的非法对等节点。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 GNU InetUtils Telnet 守护进程（telnetd）的严重安全漏洞，未经认证的远程攻击者可利用此漏洞以提升的权限执行任意代码。 该漏洞编号为 CVE – 2026 – 32746，通用漏洞评分系统（CVSS）得分 9.8（满分 10 分）。它被描述为在 LINEMODE 设置本地字符（SLC）子选项处理程序中的一次越界写入，从而导致缓冲区溢出，最终为代码执行创造条件。 以色列网络安全公司 Dream 于 2026 年 3 月 11 日发现并报告了该漏洞，称其影响截至 2.7 版本的所有 Telnet 服务实现。预计该漏洞的修复程序不迟于 2026 年 4 月 1 日推出。 Dream 在一份警报中表示：“未经认证的远程攻击者可在初始连接握手期间（即任何登录提示出现之前）发送特制消息来利用此漏洞。成功利用该漏洞可导致以 root 权限执行远程代码。只需对端口 23 发起一次网络连接，就足以触发该漏洞。无需凭证、用户交互，也无需特殊网络位置。” 据 Dream 称，SLC 处理程序在 Telnet 协议握手期间处理选项协商。但鉴于该漏洞可在认证前触发，攻击者在建立连接后，能立即通过发送特制协议消息来利用此漏洞。 如果 telnetd 以 root 权限运行，成功利用该漏洞可能导致系统完全被攻陷。这反过来可能为各种后续攻击行为打开大门，包括部署持久后门、数据渗出，以及以被攻陷主机为支点进行横向移动。 Dream 安全研究员阿迪尔・索尔表示：“未经认证的攻击者通过连接到端口 23 并发送带有多个三元组的特制 SLC 子选项即可触发该漏洞。无需登录，在登录提示出现前的选项协商期间就会触发此漏洞。溢出会破坏内存，并可被转化为任意写入。实际上，这可能导致远程代码执行。由于 telnetd 通常以 root 权限运行（例如在 inetd 或 xinetd 下），成功利用该漏洞将使攻击者完全控制系统。” 在修复程序推出前，如果不必要，建议禁用该服务；在必要情况下，不以 root 权限运行 telnetd；在网络边界和基于主机的防火墙级别封锁端口 23 以限制访问，并隔离 Telnet 访问。 此次漏洞披露距离另一个影响 GNU InetUtils telnetd 的严重安全漏洞（CVE – 2026 – 24061，CVSS 得分：9.8）披露近两个月，据美国网络安全与基础设施安全局称，该漏洞已在实际环境中被主动利用。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。 朗多克斯僵尸网络最早于去年下半年被详细披露，至少从 2025 年 3 月起就已活跃，当时安全研究人员观察到与之相关的首次攻击尝试。 自 2025 年 4 月起，该僵尸网络的运营者开始进行系统性的漏洞扫描，大多采用 “霰弹枪” 式的方法来入侵设备。 到 10 月时，它已针对 56 个漏洞发起攻击，其中包括一些未分配 CVE 编号的漏洞，12 月，有人发现它在攻击 React2Shell。 如今，BitSight 表示，由于其开发者密切关注漏洞披露信息，在漏洞被分配 CVE 编号之前就展开攻击，该僵尸网络的攻击漏洞列表已扩充至 174 个不同的漏洞。 此外，朗多克斯僵尸网络已将其攻击策略转变为更具针对性的方式。不再像之前观察到的 “霰弹枪” 方法那样，对同一设备发动多种攻击，而是聚焦于那些更有可能导致感染的特定漏洞。 抵御人工智能威胁 朗多克斯僵尸网络与 Mirai 有诸多相似之处，它也以瞄准弱密码和未经清理的输入来获取初始访问权限而闻名。它与 Mirai 的不同之处在于，其重点在于发动分布式拒绝服务（DDoS）攻击，而非扫描和感染更多设备。 为扩大僵尸网络规模，朗多克斯的运营者利用自身基础设施在互联网上扫描易受攻击的设备，然后部署可躲避检测的植入程序，清除其他恶意软件，找到合适的目录来放置主二进制文件并执行。 BitSight 对该僵尸网络的调查显示，它使用了二十多个 IP 地址用于设备攻击、有效载荷分发和僵尸网络管理，其中包括可能属于受感染系统的住宅 IP。 朗多克斯的运营者不断在其攻击漏洞列表中添加和删除漏洞，曾观察到他们在一天内使用多达 49 个漏洞。然而，大多数漏洞很快就被弃用。 BitSight 指出：“在研究每个漏洞的使用频率时，出现了明显的长尾趋势。虽然平均每个漏洞使用 18 天，但在已识别的 174 个漏洞中，近一半（84 个，占 48%）仅被使用一天。这表明他们尝试各种漏洞，并根据每个漏洞的成功率采取行动。” 据这家网络安全公司称，该僵尸网络的运营者似乎密切关注与漏洞相关的发布信息，至少有一次，他们在漏洞公开披露前两天就利用了该安全缺陷。 BitSight 称，尽管他们紧跟新漏洞信息，但运营者未能正确实施针对这些漏洞的可用攻击手段。 这家网络安全公司还指出，该僵尸网络似乎并未使用 “加载器即服务” 来进行分发，且之前有关朗多克斯具备 P2P 功能的报道似乎并不准确。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果已发布首个 “后台安全改进” 更新，用于修复 iPhone、iPad 和 Mac 上编号为 CVE – 2026 – 20643 的 WebKit 漏洞，且无需进行完整的操作系统升级。 CVE – 2026 – 20643 漏洞可让恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是导航 API 中的一个跨源问题，已通过改进输入验证的方式加以解决。 此漏洞由安全研究员托马斯・埃斯帕赫发现，新更新适用于 iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1 和 macOS 26.3.2 系统。 此次发布是苹果首次通过其新的 “后台安全改进” 功能推送安全修复程序。该功能用于在正常安全更新周期之外，提供小规模的非同步补丁。 苹果解释称：“‘后台安全改进’为 Safari 浏览器、WebKit 框架栈及其他系统库等组件提供轻量级安全更新，这些组件受益于软件更新之间的小型持续性安全补丁。” “在极少数兼容性问题的情况下，‘后台安全改进’更新可能会被暂时移除，然后在后续的软件更新中进行强化。” 过去，苹果的安全更新要求用户安装新的操作系统版本并重启设备。然而，借助 “后台安全改进” 功能，苹果现在可以在后台为特定组件提供小规模更新。 苹果在 iOS 26.1、iPadOS 26.1 和 macOS 26.1 中添加了这一功能，称其旨在快速修复版本发布期间的安全漏洞。 用户可通过设备设置中的 “隐私与安全” 菜单访问该功能。在 iPhone 和 iPad 上，进入 “设置”，然后点击 “隐私与安全”；在 Mac 上，从苹果菜单中选择 “系统设置”，然后点击 “隐私与安全”。 苹果警告称，卸载 “后台安全改进” 更新会移除所有先前应用的后台补丁，将设备恢复到基础操作系统版本（如 iOS 26.3.1），且不包含任何增量安全修复。这实际上会移除通过该功能提供的快速响应安全保护，使设备处于基础安全级别，直到重新应用更新或在未来的完整更新中包含这些更新。 因此，除非基础安全改进在您的设备上引发问题，否则强烈建议不要卸载。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文