新闻速览
•国家网络安全通报中心提醒:重点防范10个境外恶意网址
•2月份勒索软件攻击创历史新高,边缘设备成主要目标
•中等严重性漏洞也致命:ChatGPT SSRF漏洞一周引发超万次攻击
•热门GitHub Action遭遇供应链攻击,2.3万代码库受影响
•Apache Tomcat严重漏洞曝光30小时即遭利用,专家呼吁紧急更新
•无补丁可用:停产十年的Edimax摄像头成为Mirai僵尸网络新目标
•PyPI恶意包伪装成时间工具窃取云访问凭证,已被下载逾1.4万次
•Cloudflare引入后量子密码学扩展零信任网络访问解决方案
•报价提高70亿美元,Alphabet将斥资300亿美元收购云安全公司Wiz
特别关注
国家网络安全通报中心提醒:重点防范10个境外恶意网址
中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等,对中国国内联网单位和互联网用户构成重大威胁。
相关恶意网址和恶意IP归属地主要涉及:美国、荷兰、英国等。主要情况如下:
(一)恶意地址:ret.6bc.us
(关联IP地址:173.109.82.78)
(二)恶意地址:morphed.ru
(关联IP地址:34.219.59.42)
(三)恶意地址:cinskw.net
(关联IP地址:15.197.148.33)
(四)恶意地址:superyou.zapto.org
(关联IP地址:44.209.47.121)
(五)恶意地址:oeihefoeaboeubfuo.ru
(关联IP地址:44.200.87.10)
(六)恶意地址:pywolwnvd.biz
(关联IP地址:34.219.59.42)
(七)恶意地址:hacked13.no-ip.info
(关联IP地址:104.36.180.25)
(八)恶意地址:donate.v2.xmrig.com
(关联IP地址:178.128.242.134)
(九)恶意地址:z.totonm.com
(关联IP地址:193.62.37.224)
(十)恶意地址:anam0rph.su
(关联IP地址:18.141.10.107 )
国家网络安全通报中心建议:对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件;及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问;向公安机关及时报告,配合开展现场调查和技术溯源。
原文链接:
热点观察
2月份勒索软件攻击创历史新高,边缘设备成主要目标
根据Bitdefender最新研究,2025年2月勒索软件攻击数量创下历史新高,共记录962起攻击事件,较去年同期的425起显著增加。其中,勒索软件即服务(RaaS)团伙Clop独占335起,是上月攻击量的三倍。
研究表明,Clop等勒索软件团伙正采取机会主义策略,不再针对特定公司或行业,而是集中攻击边缘网络设备中新发现的软件漏洞。这些组织特别关注具有高风险通用漏洞评分系统(CVSS)的漏洞,这些漏洞允许攻击者通过远程代码执行(RCE)控制系统。研究人员表示,在漏洞公开披露后不到24小时内,威胁行为者就会启动自动扫描器,扫描互联网并建立对易受攻击系统的远程访问,然后在确定目标后对受害者进行手动深入入侵,并使用’借用系统工具’技术来逃避检测。这种延迟意味着实际的勒索软件攻击或数据窃取可能会在数周甚至数月后发生。
为保护自身安全,Bitdefender建议组织优先修补被积极利用的漏洞,通过CISA KEV目录了解已知漏洞,采用灵活的补丁策略以快速响应,并主动搜索网络中的隐藏威胁。此外,端点检测和响应(EDR)或扩展检测和响应(XDR)等高级检测系统对缓解勒索软件组织带来的潜在威胁至关重要。
原文链接:
网络攻击
中等严重性漏洞也致命:ChatGPT SSRF漏洞一周引发超万次攻击
网络安全公司Veriti最新研究报告揭示,OpenAI的ChatGPT基础设施中的一个漏洞(CVE-2024-27564)正被黑客积极利用。这个被归类为中等严重性的服务器端请求伪造(SSRF)漏洞,已成为真实网络攻击的武器。
研究发现,仅从一个恶意IP地址发起的攻击在一周内就达到了10,479次。更令人担忧的是,约35%的组织由于安全系统配置错误(包括入侵防御系统IPS、Web应用防火墙WAF和传统防火墙)而缺乏足够保护。研究特别指出金融行业是这些攻击的主要目标。这主要归因于银行和金融科技公司对AI驱动服务和API集成的高度依赖,使它们容易受到可能危及内部资源和敏感数据的SSRF攻击。
Veriti研究人员强调,忽视中等严重性漏洞可能对高价值组织造成代价高昂的错误。为减轻相关风险,研究人员建议安全团队立即审查其IPS、WAF和防火墙配置,积极监控来自已识别恶意IP地址的攻击尝试,并在风险管理策略中优先评估AI相关安全漏洞。
原文链接:
热门GitHub Action遭遇供应链攻击,2.3万代码库受影响
被约2.3万个代码仓库使用的GitHub Action工具”tj-actions/changed-files”近日遭遇供应链攻击,攻击可能导致CI/CD密钥从GitHub Actions构建日志中被窃取。
攻击者于3月14日UTC时间下午4:00向该工具添加了恶意提交,该代码会将CI/CD密钥从Runner Worker进程转储到使用该Action的任何项目的仓库中。如果工作流日志可公开访问,任何人都能读取并窃取暴露的密钥。攻击者修改了Action的代码并追溯更新了多个版本标签,使其引用恶意提交,导致该工具的所有版本都被攻击者控制。根据开发者的最新更新,攻击者入侵了一个由机器人(@tj-actions-bot)使用的GitHub个人访问令牌(PAT),该令牌对工具的仓库具有特权访问权限。恶意代码并未将内存输出传输到远程服务器,而仅使其在公开访问的仓库中可见。
GitHub于3月15日UTC时间下午2:00移除了被入侵的Action,同日晚上10:00,仓库在移除恶意代码后得以恢复。针对可能受影响的用户,tj-actions仓库更新了以下指导:轮换在攻击时间段(3月14-15日)使用的任何密钥;检查”changed-files”部分下的工作流是否有意外输出;如果工作流引用了被入侵的提交SHA,立即更新;确保现在使用标记版本(如v35、v44.5.1)。为防止未来类似入侵导致密钥泄露,GitHub建议所有GitHub Actions固定到特定的提交哈希而非版本标签,并利用GitHub提供的允许列表功能来阻止未授权/不受信任的GitHub Actions。
原文链接:
Apache Tomcat严重漏洞曝光30小时即遭利用,专家呼吁紧急更新
近日,一个影响Apache Tomcat的安全漏洞(CVE-2025-24813)在公开披露仅30小时后就遭到了积极利用。该漏洞影响Apache Tomcat 11.0.0-M1至11.0.2、10.1.0-M1至10.1.34和9.0.0-M1至9.0.98版本。
在特定条件下,这个漏洞可能导致远程代码执行或信息泄露。这些条件包括:默认servlet启用写入功能、支持部分PUT请求、敏感文件上传目标URL是公共上传目标URL的子目录、攻击者知道上传的敏感文件名称,以及敏感文件通过部分PUT上传。成功利用该漏洞可能允许恶意用户通过PUT请求查看敏感文件或向这些文件注入任意内容。如果Tomcat使用基于文件的会话持久化(默认存储位置)且应用程序包含可在反序列化攻击中利用的库,攻击者甚至可能实现远程代码执行。
安全公司Wallarm报告称,该漏洞已在野外遭到利用。攻击者通过PUT请求上传一个序列化的Java会话文件,然后通过GET请求引用恶意会话ID触发反序列化。Wallarm警告,虽然当前的攻击利用会话存储,但更大的问题在于Tomcat对部分PUT请求的处理,这允许攻击者上传几乎任何文件到任何位置。使用受影响版本Tomcat的用户应尽快更新到9.0.99、10.1.35或11.0.3版本以降低潜在威胁。
原文链接:
无补丁可用:停产十年的Edimax摄像头成为Mirai僵尸网络新目标
安全研究人员发现,影响Edimax IC-7100网络摄像头的一个严重的未修补操作系统命令注入漏洞(CVE-2025-1316)自2024年5月以来一直被威胁行为者利用,用于传播Mirai僵尸网络恶意软件变种。
利用该漏洞,攻击者可通过特制请求实现对易受攻击设备的远程代码执行。Akamai研究人员表示,该漏洞利用针对Edimax设备中的/camera-cgi/admin/param.cgi端点,并在param.cgi的ipcamSource选项的NTP_serverName选项中注入命令。虽然武器化该端点需要身份验证,但攻击者正在使用默认凭据(admin:1234)获取未授权访问。研究人员已确认至少两种不同的Mirai僵尸网络变种正在利用该漏洞,其中一种还在运行获取不同架构恶意软件的shell脚本前加入了反调试功能。这些攻击活动的最终目标是将受感染设备纳入一个网络,能够通过TCP和UDP协议对目标发起分布式拒绝服务(DDoS)攻击。
Edimax表示该漏洞影响的是已停产超过10年的旧设备,公司没有计划提供安全补丁。为此安全专家建议用户升级到较新型号,或避免将设备直接暴露在互联网上,更改默认管理员密码,并监控访问日志以发现任何异常活动迹象。
原文链接:
https://thehackernews.com/2025/03/unpatched-edimax-camera-flaw-exploited.html
PyPI恶意包伪装成时间工具窃取云访问凭证,已被下载逾1.4万次
网络安全研究人员近日发现一场针对Python包索引(PyPI)用户的恶意活动,攻击者发布伪装成”时间”相关工具的虚假库,实际暗藏窃取云访问令牌等敏感数据的功能。
软件供应链安全公司ReversingLabs发现了两组共计20个恶意包,累计下载量超过1.41万次。其中下载量最高的包括acloud-client(5,496次)、snapshot-photo(2,448次)、enumer-iam(1,254次)和credential-python-sdk(1,155次)。这些恶意包分为两类:第一类用于将数据上传到威胁行为者的基础设施;第二类则实现了针对阿里云、亚马逊云服务和腾讯云等多种服务的云客户端功能。研究人员指出,攻击者还利用”时间”相关的包来窃取云端密钥。截至发稿时,所有已识别的恶意包已从PyPI中移除。其中三个包(acloud-client、enumer-iam和tcloud-python-test)被列为一个相对流行的GitHub项目accesskey_tools的依赖项,该项目已被分叉42次并获得519颗星。
这一事件再次凸显了软件供应链安全的重要性。开发者在使用第三方包时需格外谨慎,应仔细审查包的来源和依赖关系,并定期监控外部URL,以防止潜在的恶意利用。
原文链接:
行业动态
Cloudflare引入后量子密码学扩展零信任网络访问解决方案
Cloudflare近日宣布其零信任网络访问(ZTNA)解决方案将引入后量子密码学,大幅提升通信安全性。这一升级使组织能够安全地将流量从浏览器路由到应用程序,实现即时的量子安全连接。Cloudflare计划到2025年中期支持所有IP协议,简化企业系统向后量子安全的过渡,无需进行大规模升级。
随着量子计算技术的发展,当前的加密方法面临潜在威胁。美国国家标准与技术研究院(NIST)呼吁在2030年前摒弃传统密码学。Cloudflare CEO Matthew Prince表示,公司长期致力于将后量子安全作为互联网安全的新基准,旨在为客户提供明确的量子安全解决方案过渡路径。
Cloudflare的解决方案可防御”现在收集,未来解密”的攻击,确保当前数据安全不受未来量子计算能力的威胁。组织现在可以在不升级单个系统的情况下访问关键Web应用程序,轻松提高整体安全性。到2025年中期,用户将通过Cloudflare的配置和WARP设备客户端安装获得全面的量子安全保护。
原文链接:
报价提高70亿美元,Alphabet将斥资300亿美元收购云安全公司Wiz
据《华尔街日报》报道,谷歌母公司Alphabet Inc.正处于收购以色列云安全公司Wiz Inc.的最后阶段,交易金额约为300亿美元。知情人士透露,如无意外,这笔交易可能很快达成。若交易达成,这将成为Alphabet和Google历史上最大规模的收购。
Wiz提供的软件平台帮助企业检测云环境中的漏洞和恶意活动,覆盖网络、身份验证、计算、应用程序和机密信息等方面。该平台将所有相关信息集中展示,提供快速洞察和决策支持。其功能还包括基于风险权重的漏洞排序,允许用户根据严重性、暴露度、可利用性、影响范围和业务影响评估漏洞和错误配置。Wiz平台支持AWS、Azure、Google Cloud Platform和Kubernetes API。
截至目前,Wiz已通过七轮融资筹集19亿美元。公司快速增长部分归功于收购策略,包括2023年12月收购以色列网络安全初创公司Raftt,2024年4月收购云安全初创公司Gem Security,以及去年11月收购网络安全初创公司Dazz。去年7月,Alphabet曾以230亿美元报价收购Wiz,但谈判最终破裂。8个月后,Alphabet提高报价至300亿美元,似乎更能打动Wiz的管理团队和投资者。
相关链接: