Ivanti漏洞被利用进行链式攻击，英国NHS医疗数据面临风险

汇能云安全 2025-05-30 01:00

5月30日，星期五，您好！中科汇能与您分享信息安全快讯：

01

威胁行为者冒充知名电子签名平台发起钓鱼攻击，窃取企业数据

网络犯罪分子正越来越多地利用电子签名平台DocuSign发起复杂的钓鱼活动，旨在窃取企业凭证和敏感数据。DocuSign拥有全球1.6亿客户，包括95%的财富500强企业和超过10亿用户，该平台已成为威胁行为者利用其广泛认可品牌信任度的理想攻击媒介。

Welivesecurity分析师指出，钓鱼攻击现已成为19%数据泄露的初始访问载体，其中60%涉及人为因素。
这些攻击通常表现为带有令人信服的DocuSign品牌的欺骗性电子邮件，完整呈现用户在日常业务操作中习惯信任的黄色”审阅文档”按钮。网络犯罪分子不再仅仅创建虚假电子邮件，而是注册合法的DocuSign账户并利用该平台的API发送伪装成知名品牌和企业实体的真实信封，旨在增加检测难度，因为当恶意负载和合法业务通信都来自经过验证的DocuSign服务器时，安全系统难以区分二者。

02

OneDrive文件选择器漏洞让应用获取用户云存储完整访问权限

网络安全公司Oasis Security最新研究揭示，Microsoft OneDrive文件选择器在处理权限时存在严重缺陷，导致包括ChatGPT、Slack、Trello和ClickUp在内的数百个流行网络应用程序可能获取比用户意识到的更多数据访问权限。

问题出在OneDrive文件选择器请求OAuth权限的方式上。当用户选择上传或下载单个文件时，系统并非仅限制访问用户选择的特定文件，而是向连接的应用程序授予对整个OneDrive的广泛读取或写入权限。这意味着应用程序可能能够查看或修改用户云存储中的所有内容，并长期保持这种访问权限。

OneDrive的同意屏幕虽然暗示只有选定的文件会被访问，但实际上应用程序获得了对整个云盘的全面权限。更令人担忧的是，旧版OneDrive文件选择器（6.0至7.2版）使用过时的认证流程，将敏感访问令牌暴露在不安全的位置。即使是最新的8.0版本，仍以明文形式将这些令牌存储在浏览器会话存储中。

03

工信部等三部门印发《电子信息制造业数字化转型实施方案》

日前，工业和信息化部、国家发展改革委、国家数据局联合印发《电子信息制造业数字化转型实施方案》（以下简称《实施方案》），着力拓展电子信息制造业数字化转型、智能化升级的广度和深度，巩固电子信息制造业稳增长内生动力，不断提升电子信息技术和产品对其他行业数字化转型赋能力度，助力推动新型工业化和制造强国建设。 

《实施方案》明确提出，到2027年，规模以上电子信息制造业企业关键工序数控化率超过85%，典型场景解决方案全面覆盖，服务能力明显增强。到2030年，建立较为完备的电子信息制造业数据基础制度体系，形成一批标志性智能产品，数字服务和标准支撑转型的环境基本完善，向全球价值链高端延伸取得新突破。

04

网络安全初创公司Horizon3.ai启动新一轮融资，有望筹集1亿美元

提供自动化渗透测试等工具的网络安全初创公司Horizon3.ai，正寻求在新一轮融资中筹集1亿美元资金，目前已锁定至少7300万美元，该公司本周在SEC文件中披露了这一消息。

Horizon3.ai成立于2019年，由前美国特种作战网络操作人员、企业家和网络安全专家组成，专注于开发自主威胁检测工具，帮助组织抵御日益增长的AI驱动自动化攻击。今年2月，公司宣布年收入同比增长101%，超额完成第四季度150%的销售目标。

据知情人士透露，此轮融资由NEA领投，估值可能超过7.5亿美元。公司预计将完成全部1亿美元融资目标，年度经常性收入约为3000万美元。这是NEA在不到一个月内的第二笔重大网络安全投资，此前NEA在4月宣布以8亿美元估值领投Veza的1.08亿美元融资。

05

恶意软件藏身AI模型，专门针对阿里巴巴AI实验室用户

网络安全公司ReversingLabs近日发现，黑客正通过在人工智能和机器学习模型中隐藏恶意代码的新手法传播恶意软件。研究人员在Python包索引（PyPI）平台上发现了三个恶意软件包，它们伪装成阿里云AI实验室服务的Python SDK，专门针对阿里巴巴AI实验室的用户。

这些名为 aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk 和 aliyun-ai-labs-sdk 的恶意包实际上没有任何AI功能。一旦安装，它们会秘密释放一个信息窃取程序。该恶意代码被隐藏在PyTorch模型内部。PyTorch模型本质上是压缩的Pickle文件，而Pickle是Python中常用的数据保存和加载格式，但由于可以在其中隐藏恶意代码，因此存在安全风险。

这些恶意包从5月19日开始在PyPI上可用，虽然不到24小时就被移除，但已被下载约1600次。窃取的信息包括被感染计算机的基本详情和.gitconfig文件，后者通常包含开发人员的敏感信息。

06

“AyySSHush”僵尸网络入侵超9000台华硕路由器，建立不死后门

复杂僵尸网络活动”AyySSHush”已经在全球范围内入侵了超过9000台华硕路由器，建立了能够在固件更新和重启后依然存在的持久性后门访问。这一隐蔽行动于2025年3月首次被发现，展示了黑客组织的高级技术，通过利用认证漏洞和路由器的合法功能来维持长期控制，而无需部署传统恶意软件。

攻击者采用多阶段利用技术，首先对华硕路由器界面进行暴力登录尝试，随后利用两个此前未公开的认证绕过漏洞。获得特权访问后，威胁行为者利用CVE-2023-39780（华硕路由器固件中的一个经过认证的命令注入漏洞）执行任意系统命令。
关键的攻击载荷通过POST请求到 /start_apply.htm的oauth_google_refresh_token 参数，注入命令启用带宽SQL日志功能。攻击者随后在非标准TCP端口53282上启用SSH访问，并注入其公共SSH密钥，这一配置更改利用存储在非易失性内存中的官方华硕设置，使其在固件升级后仍然存在。

07

数据经纪巨头LexisNexis遭遇数据泄露，超36.4万用户敏感信息泄露

数据经纪公司 LexisNexis Risk Solutions 近日披露了一起严重数据泄露事件，影响超过36.4万人。该公司在向美国缅因州总检察长提交的文件中表示，这起始于2024年12月25日的数据泄露事件，使黑客能够从公司用于软件开发的第三方平台获取消费者的敏感个人数据。

LexisNexis证实，一名身份不明的黑客入侵了公司的GitHub账户。被窃取的数据包括姓名、出生日期、电话号码、邮寄和电子邮件地址、社会安全号码以及驾照号码等敏感信息。该公司表示于2025年4月1日收到”一个声称已获取某些信息的未知第三方”的报告，但未透露是否收到黑客的勒索要求。

作为数十亿美元数据经纪行业的一部分，LexisNexis利用大量消费者信息帮助企业检测潜在欺诈交易，并对潜在客户进行风险评估和尽职调查。该公司的数据还被执法机构用于获取嫌疑人的个人信息，如姓名、家庭住址和通话记录。

08

XenServer VM Tools for Windows严重安全缺陷允许攻击者执行任意代码

XenServer VM Tools for Windows被发现存在三个严重安全缺陷，允许攻击者在客户操作系统中执行任意代码并提升权限，影响所有9.4.1版本之前的XenServer VM Tools for Windows。

这些安全缺陷源于Windows PV驱动程序中用户可访问设备的过度权限，具体影响三个核心组件：XenCons、XenIface和XenBus。这些组件没有安全描述符，因此非特权用户可以完全访问。
这些缺陷使Windows客户操作系统内的非特权用户能够将权限提升至客户内核级别。攻击者可以利用这些缺陷以系统级权限执行任意代码，潜在地危及敏感数据，安装恶意软件，或将被入侵的虚拟机用作网络内横向移动的跳板。

09

Cisco Duo推出安全优先IAM解决方案，应对AI时代身份威胁

Cisco Systems通过其Duo部门推出了全新的Duo身份与访问管理(IAM)解决方案，旨在应对AI时代日益加剧的身份攻击威胁。据Cisco Talos事件响应数据显示，2024年60%的安全事件与身份相关，使其成为黑客的首要攻击目标。

与传统IAM解决方案将安全视为可选功能不同，Duo IAM采用”安全优先”的创新方法，在其可信多因素认证(MFA)基础上构建额外保护层。该解决方案专为抵御现代身份威胁而设计，允许组织安全管理其整个身份基础设施。

Duo IAM包含一个新的用户目录，简化了用户身份(包括用户名、电子邮件和角色)的存储和资源访问管理。该目录与现有Duo功能(如单点登录和多因素认证)配合，使用户通过一个登录页面即可安全访问数百个应用程序。新解决方案还引入了先进的钓鱼防护功能，包括”完全无密码”认证，”邻近验证”等。Duo IAM还与Cisco身份智能集成，允许组织实时监控身份风险并主动响应。

10

Ivanti漏洞被利用进行链式攻击，英国NHS医疗数据面临风险

据荷兰网络安全公司EclecticIQ报告，黑客正在利用Ivanti Endpoint Manager Mobile（EPMM）的安全漏洞发起恶意攻击活动，目标包括英国、美国、德国、爱尔兰、斯堪的纳维亚、韩国和日本等多国组织。

在英国，伦敦大学学院医院NHS基金会信托和南安普顿大学医院NHS基金会信托这两家国家医疗服务体系（NHS）机构可能成为受害者，患者数据有可能被泄露。此类攻击可能导致”未经授权访问高度敏感的患者记录”，包括员工电话号码、IMEI号码和认证令牌等技术数据。

这次攻击涉及两个Ivanti EPMM漏洞的链式利用：CVE-2025-4427（CVSS评分5.3）和CVE
-2025-4428（CVSS评分7.2）。当这两个漏洞被链式利用时，攻击者可以通过CVE-2025-4427绕过认证，然后利用CVE-2025-4428实现远程代码执行，造成严重影响。Ivanti于5月13日发布了补丁，而安全公司WatchTowr在5月15日发布了技术分析和概念验证利用代码。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除