360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧
360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧
360漏洞云 2025-04-15 10:09
近日,360漏洞云情报平台发布2025年3月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。
月报数据显示,
2025年3月全网捕获漏洞4279例,较2024年同期增长30.8%,近期漏洞披露速率显著加快。
3月漏洞风险分布呈现明显分层,其中,高危及以上漏洞占比达49.1%,中危漏洞占比45.9%,呈现“中高危主导、长尾潜伏”特征。
这本质是漏洞杀伤力与防御纵深的深度博弈:
严重漏洞凭借“跨层穿透”能力和“持久化潜伏”特性可快速突破边界防护、横向渗透至核心业务层,形成“单点突破-纵向提权-横向扩散”的链式杀伤。
从人工深度运营漏洞类型分布来看,SQL注入漏洞成为核心风险,这表明数据层安全仍是深度运营的重点方向。值得注意的是内存安全漏洞(UAF)与权限管理类漏洞,此类漏洞通常利用难度大但危害性极强(如导致RCE或权限提升),需结合逆向分析与漏洞链建模深度评估潜在影响。对此,建议针对SQL注入等数据层漏洞建立标准化修复框架,同时对UAF等底层漏洞开展专项技术攻关,系统性提升复杂漏洞的运营效率。
360漏洞情报服务在这些漏洞利用的第一时间,均以最快速的方式提供了临时应急方案,以便用户快速应对攻击威胁,漏洞信息和修复方案均可在情报平台查阅。
360漏洞云情报安全专家深度研判2025年3月爆发的4000余条安全漏洞,综合分析漏洞的破坏性、漏洞利用条件、漏洞利用结果等,评估出需要重点关注的安全漏洞。摘要信息如下,漏洞情报订阅客户可登录平台查看漏洞详情及修复建议。
1. Google Chrome 逻辑缺陷漏洞
|
漏洞编号 |
LDYVUL-2025-00037330 CVE-2025-2783 |
|
漏洞等级 |
高危 |
|
漏洞类型 |
逻辑缺陷 |
|
漏洞时间 |
2025-03-27 01:16:33 |
2.CrushFTP 身份验证缺陷漏洞
|
漏洞编号 |
LDYVUL-2025-00037324 CVE-2025-2825 |
|
漏洞等级 |
严重 |
|
漏洞类型 |
身份验证缺陷 |
|
漏洞时间 |
2025-03-27 00:29:17 |
3.Vite 未授权 访问控制不当漏洞
|
漏洞编号 |
LDYVUL-2025-00036250 CVE-2025-30208 |
|
漏洞等级 |
高危 |
|
漏洞类型 |
访问控制不当 |
|
漏洞时间 |
2025-03-25 13:15:24 |
4.Vercel Next.Js 权限管理不当漏洞
|
漏洞编号 |
LDYVUL-2025-00034667 CVE-2025-29927 |
|
漏洞等级 |
严重 |
|
漏洞类型 |
权限管理不当 |
|
漏洞时间 |
2025-03-22 01:11:12 |
5.Microsoft Windows File Explorer 访问控制不当漏洞
|
漏洞编号 |
LDYVUL-2025-00030080 CVE-2025-24071 |
|
漏洞等级 |
中危 |
|
漏洞类型 |
访问控制不当 |
|
漏洞时间 |
2025-03-13 00:36:29 |
6.Apache OFBiz 代码注入漏洞
|
漏洞编号 |
LDYVUL-2025-00029311 CVE-2025-26865 |
|
漏洞等级 |
严重 |
|
漏洞类型 |
代码注入 |
|
漏洞时间 |
2025-03-11 17:25:16 |
7.Apache 软件基金会 Tomcat 未授权 路径遍历漏洞
|
漏洞编号 |
LDYVUL-2025-00029270 CVE-2025-24813 |
|
漏洞等级 |
严重 |
|
漏洞类型 |
路径遍历 |
|
漏洞时间 |
2025-03-11 10:45:16 |
8.Elastic Kibana 需授权 代码注入漏洞
|
漏洞编号 |
LDYVUL-2025-00028496 CVE-2025-25015 |
|
漏洞等级 |
严重 |
|
漏洞类型 |
代码注入 |
|
漏洞时间 |
2025-03-05 19:07:37 |
9.VMware ESXi等多个产品 越界写入漏洞
|
漏洞编号 |
LDYVUL-2025-00027979 CVE-2025-22224 |
|
漏洞等级 |
高危 |
|
漏洞类型 |
越界写入 |
|
漏洞时间 |
2025-03-04 21:00:07 |
360漏洞云情报3月监测到,勒索攻击与数据勒索已形成高度产业化的犯罪生态。
印度塔塔科技(Tata Technologies)遭勒索软件组织 “猎手国际” 攻击,该组织声称窃取 1.4TB 数据,涉及超 73 万份文件并威胁公开数据。
英国豪华汽车制造商捷豹路虎遭遇严重数据泄露事件。暗网论坛消息称,威胁行为者 “Rey” 入侵其内部系统并泄露约 700 份内部文件,涵盖专有源代码、车辆开发日志、跟踪数据集及员工数据库等敏感信息,可能引发钓鱼攻击或凭证填充攻击。
Fortinet防火墙的两个漏洞(CVE-2024-55591 和 CVE-2025-24472)遭勒索软件利用,多家企业网络被黑。攻击者有针对性地加密存储敏感数据文件服务器且在窃取数据后才启动加密。
这些事件凸显勒索软件即服务(RaaS)模式下攻击者的专业化分工与工具复用能力。攻击者通过供应链漏洞(如GitHub Action攻击)、云服务配置错误(AWS S3泄露)及零日漏洞(如WebKit漏洞)等路径渗透目标,实施数据加密与双重勒索,甚至以暗网数据兜售、工业间谍等衍生手段牟利。
另外,2025年3月网络安全事件揭示数据泄露已呈常态化趋势,企业面临法律追责与监管处罚的双重压力。
美国新泽西州健康科技公司 ESHYFT 发生严重数据泄露事件。因配置错误的 AWS S3 存储桶,29个州、超过 86000 名医疗工作者的敏感信息被公开暴露。
315 晚会曝光获客软件公司利用信息黑洞疯狂窃取个人隐私。这些获客软件公司可根据关键词在短视频平台评论区扫描,强行抓取用户电话、微信账号等个人信息,还能窃取竞争对手直播带货数据。
黑客宣称入侵了 Oracle Cloud 的联邦单点登录服务器,导致 600 万云用户的认证数据和加密密码泄露,
引发人们对 Oracle云服务安全信任的质疑。
这些事件显示,攻击者利用技术漏洞与人为疏失的组合拳,迫使企业承担数据泄露连带责任。
数据泄露常态化倒逼企业从被动防御转向主动治理,亟需通过技术加固(如多因素认证、实时监测)与流程优化(如供应链审计、员工培训)降低合规风险,并建立跨部门应急机制以应对监管调查与诉讼危机。更多热点安全事件及政策要闻请关注月报完整版。
360漏洞云情报
360漏洞云情报广源采集全网10000+信息源,结合安全大模型自动化分析和安全专家人工深度研判,并基于攻防场景下的独家行业分类标准,实现对全量漏洞数据的标准化分析,帮助客户实现对漏洞风险的精准感知和高效处置。
漏洞情报月报是360漏洞云情报团队为订阅客户打造的专属增值服务,汇集每月高活跃漏洞信息、安全热点事件、漏洞安全趋势、国内外政策要闻及安全专家解读。成为漏洞情报订阅客户,还可第一时间接收定向漏洞情报推送,查阅关注漏洞的详情及修复方案。欢迎添加安全专家,订阅漏洞情报服务,领取每月报告。