5th域安全微讯早报【20250125】022期
5th域安全微讯早报【20250125】022期
网空闲话 网空闲话plus 2025-01-25 01:02
2025-01-25 星期六Vol-2025-022
今日热点导读
1.
巴基斯坦加强社交媒体监管,
VPN
与审查制度成焦点
-
PCLOB
政治化或威胁美欧关键数据隐私协议 -
Pwn2Own Automotive 2025
黑客大赛落幕:
49
个零日漏洞获
88.6
万美元奖金
4.
亚洲六国联手打击网络奴役,揭露诈骗者秘密帝国
- Let’s Encrypt
将停止证书到期通知,用户需采取应对措施
6.
黑客利用虚假恶意软件生成器感染
18,000
名“脚本小子”
-
phpMyAdmin
漏洞
CVE-2025-24530
曝光,黑客可利用恶意表格触发
XSS
攻击 -
Microsoft Outlook
零点击
RCE
漏洞(
CVE-2025-21298
)
PoC
曝光,
CVSS
评分
9.8 -
Kubernetes
曝严重
RCE
漏洞,攻击者可完全控制
Windows
节点 -
FBI
发出警告:朝鲜
IT
工作者窃取公司源代码实施勒索
11.
黑客利用
CSS
隐藏恶意脚本,大规模抢占网络资源
- 2024
年俄罗斯数据泄露事件减少,但泄露量激增至
4.38
亿条
备注: 更多资讯信息,欢迎订阅!
资讯详情
政策法规
1.
巴基斯坦加强社交媒体监管,
VPN
与审查制度成焦点
【
SecurityLab
网站
1
月
24
日报道】巴基斯坦政府提出了一项加强社交媒体监管的法案,引发反对派和民众的强烈批评。法案提议成立社交网络保护和监管办公室,以封锁“非法和攻击性内容”,并要求平台向该机构注册。传播虚假信息将被视为刑事犯罪,最高可判处三年监禁和
200
万卢比(约
7,150
美元)罚款。此举被视为对言论自由的压制,尤其是在
2024
年选举期间封锁
X
平台后,许多民众通过
VPN
绕过限制。前总理伊姆兰·汗的支持者利用社交媒体组织抗议活动,反对派指责政府试图通过新法律压制批评声音。尽管记者和人权活动人士反对,但鉴于政府占多数,法案通过几乎不可避免。政府称此举旨在打击虚假信息,但批评者认为这是加强对社会和媒体控制的尝试。
- PCLOB
政治化或威胁美欧关键数据隐私协议
【
The Record
网站
1
月
25
日报道】特朗普政府要求隐私与公民自由监督委员会(
PCLOB
)所有民主党成员辞职的决定,可能危及美欧之间的《跨大西洋数据隐私框架》(
TDPF
)。该协议旨在保护欧美商业数据流动,
PCLOB
在其中扮演关键角色,确保美国情报机构的数据收集符合欧盟法律标准。欧盟依赖
PCLOB
的独立性和运作能力来保障欧洲公民数据的保护。如果
PCLOB
被削弱或无法运作,将破坏欧盟对
TDPF
的信任,进而影响美国公司在欧洲的业务。专家警告,若
TDPF
崩溃,美国云服务将被迫依赖其他机制,可能导致部分公司退出欧洲市场。
PCLOB
的独立性受到威胁,已引发对美欧数据流动未来的担忧。
安全事件
- Pwn2Own Automotive 2025
黑客大赛落幕:
49
个零日漏洞获
88.6
万美元奖金
【
BleepingComputer
网站
1
月
24
日报道】
Pwn2Own Automotive 2025
黑客大赛圆满结束,安全研究人员通过利用
49
个零日漏洞,共获得
886,250
美元奖金。本次比赛聚焦汽车软件和产品,包括电动汽车充电器、汽车操作系统(如
Android Automotive OS
、
Automotive Grade Linux
和
BlackBerry QNX
)以及车载信息娱乐系统(
IVI
)。所有目标设备均运行最新操作系统并安装了所有安全更新。比赛首日,研究人员展示了
16
个零日漏洞,获得
382,750
美元;次日利用
23
个漏洞,两次入侵特斯拉充电器,赢得
335,500
美元;最后一天演示了
10
个漏洞,获得
168,000
美元。
Summoning Team
的
Sina Kheirkhah
以
30.5
个
Pwn
大师积分夺冠,赢得
222,250
美元。
Synacktiv
、
PHP Hooligans
等团队分获其他奖项。供应商需在
90
天内修复漏洞,之后趋势科技将公开披露细节。
4.
亚洲六国联手打击网络奴役,揭露诈骗者秘密帝国
【
SecurityLab
网站
1
月
24
日报道】澜沧江
–
湄公河执法合作(
LMLEC
)倡议自
2024
年启动以来,柬埔寨、老挝、缅甸、泰国、越南和中国六国联手打击网络诈骗营地,成功解救了数千名被剥削的受害者。这些营地以高薪工作为诱饵,诱骗人们进入后没收护照,并以暴力威胁强迫其从事技术支持诈骗、投资诈骗和爱情诈骗等活动。受害者因债务束缚难以逃脱,生活条件恶劣,甚至有人因逃跑而丧生。
2024
年,
LMLEC
行动逮捕了
7
万名嫌疑人,解救了
160
多名受害者,并制止了由诈骗资金资助的武器走私计划。中国积极参与打击行动,因约
10
万中国公民成为此类奴役的受害者。
LMLEC
计划进一步深化情报共享和联合行动,重点清除缅甸和泰国边境的苗瓦底市诈骗营地。
- Let’s Encrypt
将停止证书到期通知,用户需采取应对措施
【
SecurityLab
网站
1
月
24
日报道】
Let’s Encrypt
宣布自
2025
年
6
月
4
日起将停止发送证书到期通知。这一决定基于多个原因,包括用户普遍采用自动续订系统、隐私保护需求以及降低运营成本。
Let’s Encrypt
表示,维护通知服务需要存储大量电子邮件地址,与其隐私原则相悖,同时每年耗费数万美元,这些资金可用于基础设施开发。对于仍需接收通知的用户,
Let’s Encrypt
建议使用第三方服务,如
Red Sift Certificates Lite
,该工具可免费监控多达
250
个证书。尽管这一变化可能对部分用户造成不便,但随着自动化工具和第三方解决方案的普及,用户仍可通过适应变化来有效管理证书到期问题。
6.
黑客利用虚假恶意软件生成器感染
18,000
名“脚本小子”
【
BleepingComputer
网站
1
月
24
日报道】一名威胁行为者通过传播虚假的
XWorm RAT
(远程访问木马)构建器,成功感染了全球
18,459
台设备,主要受害者是技能较低的黑客(即“脚本小子”)。这些黑客通过
GitHub
、
Telegram
、
YouTube
等渠道下载了木马化的恶意软件构建器,误以为可以免费使用
XWorm RAT
,但实际上其设备被植入了后门程序。该恶意软件会窃取
Discord
令牌、系统信息、浏览器数据(如密码和
Cookie
),并支持
56
个危险命令,包括屏幕截图、文件加密和进程终止等。
CloudSEK
研究人员利用内置的终止开关和硬编码
API
令牌,向受感染设备发送卸载命令,成功清除了部分设备的恶意软件,但由于速率限制和设备离线问题,仍有部分设备受到感染。研究人员提醒用户不要信任未签名软件,尤其是来自不可信来源的工具,并建议仅在测试环境中使用恶意软件构建器。
漏洞预警
- phpMyAdmin
漏洞
CVE-2025-24530
曝光,黑客可利用恶意表格触发
XSS
攻击
【
CybersecurityNews
网站
1
月
24
日报道】
phpMyAdmin
(一款广泛使用的
MySQL
数据库管理工具)中发现了一个中等严重性的跨站脚本(
XSS
)漏洞,编号为
CVE-2025-24530
。该漏洞影响
5.2.2
之前的所有
5.x
版本,与“检查表”功能相关。攻击者可通过制作恶意表名或数据库名,注入未正确清理的
JavaScript
代码,从而在用户与功能交互时触发
XSS
攻击。此漏洞可能导致未经授权的操作、会话劫持或数据泄露,威胁数据库的完整性和机密性。尽管漏洞利用需要用户交互,但对公开访问的
phpMyAdmin
实例尤为危险。
phpMyAdmin
团队已发布修复补丁,建议用户升级至
5.2.2
或更高版本。对于无法立即更新的用户,可通过
IP
白名单或限制访问等额外安全措施降低风险。
- Microsoft Outlook
零点击
RCE
漏洞(
CVE-2025-21298
)
PoC
曝光,
CVSS
评分
9.8
【
CybersecurityNews
网站
1
月
24
日报道】网络安全专家
Matt Johansen
披露了一个影响
Microsoft Outlook
的零点击远程代码执行(
RCE
)漏洞,编号为
CVE-2025-21298
,
CVSS
评分高达
9.8
。该漏洞位于
ole32.dll
组件的
UtOlePresStmToContentsStm
函数中,因双重释放错误导致内存损坏,攻击者可通过发送包含恶意
OLE
对象的
RTF
文件触发漏洞,无需用户交互即可执行任意代码。该漏洞影响从
Windows 10
到
Windows 11
的多个版本以及
2008
年至
2025
年的服务器版本。微软已在
1
月补丁周期中修复该漏洞,建议用户立即更新系统。对于无法立即修补的用户,建议禁用
Outlook
中的
RTF
预览功能作为临时缓解措施。
Johansen
还提供了
KQL
脚本以帮助检测漏洞利用迹象。
- Kubernetes
曝严重
RCE
漏洞,攻击者可完全控制
Windows
节点
【
CybersecurityNews
网站
1
月
24
日报道】
Kubernetes
中发现了一个严重远程代码执行(
RCE
)漏洞,编号为
CVE-2024-9042
。该漏洞由
Akamai
安全研究员
Tomer Peled
发现,影响
Kubernetes
的测试版“日志查询”功能。攻击者可通过构造恶意
HTTP GET
请求,利用日志查询
API
中的命令注入漏洞,在集群内的所有
Windows
节点上以
SYSTEM
权限执行任意
PowerShell
命令,从而完全控制受影响的节点。漏洞影响
Kubernetes v1.32.v1.31.0
至
v1.31.4
、
v1.30.0
至
v1.30.8
及
v1.29.12
及更早版本。
Kubernetes
已发布修补版本(
v1.32.1
、
v1.31.5
、
v1.30.9
、
v1.29.13
),建议管理员立即升级。此外,可通过禁用日志查询功能、限制
API
访问权限及监控日志等缓解措施降低风险。尽管尚未发现主动攻击,但由于漏洞利用简单,未修补的系统可能很快成为攻击目标。
风险预警
- FBI
发出警告:朝鲜
IT
工作者窃取公司源代码实施勒索
【
CybersecurityNews
网站
1
月
24
日报道】美国联邦调查局(
FBI
)揭露,朝鲜
IT
工作者通过伪装成远程工作人员,潜入西方公司窃取源代码并实施勒索。这些被称为“
IT
战士”的朝鲜特工利用虚假身份、被盗凭证和人工智能技术获得远程职位,进而访问公司系统并窃取敏感数据,尤其是托管在
GitHub
等平台上的源代码。他们以泄露源代码为威胁,要求受害者支付加密货币赎金。这种新型攻击结合了勒索软件和内部威胁的特点,无需部署恶意软件即可实施敲诈。
FBI
指出,朝鲜
IT
工作者已通过工资欺诈和勒索手段在过去六年中获利至少
8800
万美元。为应对这一威胁,
FBI
建议企业实施最小特权原则、加强招聘身份验证、采用数据丢失预防工具,并监控网络异常活动。
FBI
敦促受影响企业通过其互联网犯罪投诉中心(
IC3
)及时报告相关事件。
11.
黑客利用
CSS
隐藏恶意脚本,大规模抢占网络资源
【
SecurityLab
网站
1
月
24
日报道】全球
500
多个政府和大学网站遭到一种新型
JavaScript
攻击,攻击者通过在
DOM
中创建隐藏链接,利用
CSS
技术将用户重定向至第三方资源。该攻击自
1
月
20
日被发现,但截至
1
月
22
日,尚未有威胁检测系统识别到该活动。攻击者通过黑帽
SEO
技术提升第三方资源排名,使用的
CSS
样式使链接对用户不可见,但仍可被搜索引擎索引。恶意脚本托管在
scriptapi[.]dev
域名下,影响包括
WordPress
、
ASP.NET
、
vBulletin
等流行平台。专家建议网站管理员更新插件、实施内容安全策略(
CSP
)、使用子资源完整性(
SRI
)检查脚本完整性、监控
DOM
更改并部署
Web
应用防火墙(
WAF
)以防范此类攻击。
- 2024
年俄罗斯数据泄露事件减少,但泄露量激增至
4.38
亿条
【
SecurityLab
网站
1
月
24
日报道】根据
DLBI
服务的研究,
2024
年俄罗斯个人数据泄露量同比增长
70%
,达到
4.38
亿条,其中包括
2.27
亿个电子邮件地址。尽管数据泄露事件从
2023
年的
445
起减少至
382
起,但泄露的数据量显著增加。
Roskomnadzor
的数据也显示,
2024
年报告了
135
起泄露事件,涉及
7.1
亿条记录,而
2023
年为
168
起事件和
3
亿条记录。专家指出,攻击者正通过更精细的规划提高攻击效率,导致泄露数据量持续增长。电子商务行业仍是泄露事件最多的领域(
148
起),其次是娱乐资源(
33
起)和医疗服务(
7%
)。
DLBI
指出,小型企业因资源有限更易成为攻击目标,而乌克兰攻击者主要通过漏洞利用或窃取管理员凭证实施攻击。
往期推荐
5th域安全微讯早报【20250120】017期2025-01-20
5th域安全微讯早报【20250121】018期2025-01-21
5th域安全微讯早报【20250122】019期2025-01-22