安全热点周报:邮件远程代码执行漏洞遭利用,用于攻击日本机构
安全热点周报:邮件远程代码执行漏洞遭利用,用于攻击日本机构
奇安信 CERT 2025-05-06 09:05
| 安全资讯导视 |
|---|
|
• 《数据安全技术 数据安全风险评估方法》等6项网络安全国家标准发布 |
|
• 美情报机构利用网络攻击中国大型商用密码产品提供商事件调查报告发布 |
|
• 秘鲁政府网站疑因网络攻击瘫痪,3300万公民个人数据或泄露 |
PART01
新增在野利用
1.Langflow 身份认证绕过漏洞(CVE-2025-3248)****
5月5日,CISA 将 Langflow 身份认证绕过漏洞(CVE-2025-3248)添加到其已知被利用漏洞(KEV)目录中,并指出有证据显示该漏洞存在主动利用。
研究人员在 Langflow(一款用于构建代理型 AI 工作流的流行工具)中发现了一个值得关注的代码注入漏洞 CVE-2025-3248 。该漏洞易于利用,允许未经身份验证的远程攻击者完全入侵 Langflow 服务器。
如今,“代理人工智能”(Agentic AI)已无处不在,一个充满活力的人工智能工具生态系统也随之兴起。其中最受欢迎的工具之一是 Langflow,这是一个由 DataStax 和 IBM 支持的开源项目,在 GitHub 上拥有超过 5 万颗星。Langflow 是一个基于 Python 的 Web 应用程序,它提供了可视化界面来构建 AI 驱动的代理和工作流。
过去曾有针对 Langflow 的报告指出存在一些高危安全漏洞(CVE-2024-7297、CVE-2024-48061、CVE-2024-42835 和 CVE-2024-37014),但这些 CVE 似乎存在问题。Langflow 为任何经过身份验证的用户提供“远程代码执行功能”,因为它允许用户修改和执行其可视化组件背后的 Python 代码。此外,它在设计上不支持代码执行沙盒。这些 CVE 似乎假设 Langflow 的配置未经身份验证,或者攻击者已经拥有凭据。
建议所有 Langflow 用户升级到至少 1.3.0 版本,或限制其网络访问。根据 Censys 的数据,互联网上已有 500 多个 Langflow 暴露实例。
该漏洞代码存在于两年前的 Langflow 最早版本中,根据测试,1.3.0 之前的大多数版本似乎都可被利用。补丁将易受攻击的端点置于身份验证之后。从技术上讲,该漏洞仍然可以被利用将权限从普通用户提升到 Langflow 超级用户。
作为一般做法,建议在将任何新开发的 AI 工具暴露到互联网时务必谨慎。如果必须将其暴露到外部,请考虑将其置于独立的 VPC 中和/或置于 SSO 之后。只需在某个云实例上对这些工具进行一次错误/影子 IT 部署,就足以造成数据泄露。
参考链接:
Unsafe at Any Speed: Abusing Python Exec for Unauth RCE in Langflow AI
2.**Commvault Command Center 路径遍历漏洞(CVE-2025-34028)&Commvault Web Server 未指定漏洞(CVE-2025-3928)****
5月2日,CISA 将影响 Commvault 指挥中心的最高严重性安全漏洞添加到其已知被利用的漏洞 (KEV) 目录中,距该漏洞公开披露仅一周多一点。
该漏洞编号为 CVE-2025-34028(CVSS 评分:10.0),是一个路径遍历漏洞,影响 11.38 Innovation Release 版本,涵盖 11.38.0 至 11.38.19 版本。该漏洞已在 11.38.20 和 11.38.25 版本中得到修复。Commvault 命令中心包含一个路径遍历漏洞,允许远程、未经身份验证的攻击者执行任意代码。该漏洞本质上允许攻击者上传 ZIP 文件,当在目标服务器上解压缩时,可能导致远程代码执行。
网络安全公司 watchTowr Labs 因发现并报告该漏洞而受到赞誉,该公司表示问题出在一个名为“deployWebpackage.do”的端点上,该端点会触发预先认证的服务器端请求伪造 (SSRF),最终导致在使用包含恶意 .JSP 文件的 ZIP 存档文件时执行代码。
目前尚不清楚该漏洞是在何种情况下被利用的,但这一发展使其成为继 CVE-2025-3928(CVSS 评分:8.7)之后在现实世界攻击中被武器化的第二个 Commvault 漏洞,CVE-2025-3928 是 Commvault Web 服务器中的一个未指定问题,允许远程、经过身份验证的攻击者创建和执行 Web shell。
该公司上周透露,此次攻击活动影响了少数客户,但指出并未发生未经授权访问客户备份数据的情况。
鉴于 CVE-2025-34028 的积极利用,建议应用必要的补丁,以保护其网络的安全。
参考链接:
https://thehackernews.com/2025/05/commvault-cve-2025-34028-added-to-cisa.html
3.Qualitia Active! Mail 缓冲区溢出漏洞(CVE-2025-42599)****
4月28日,Active! Mail 零日远程代码执行漏洞在针对日本大型组织的攻击中被积极利用。
Active!mail 是一个基于网络的电子邮件客户端,最初由 TransWARE 开发,后来被 Qualitia 收购,这两家公司都是日本公司。虽然 Active! 并不像 Gmail 或 Outlook 那样在世界范围内得到广泛使用,但它经常被用作大型企业、大学、政府机构和银行的日语环境中的群件组件。据该供应商称,Active! 已被超过 2,250 个组织采用,拥有超过 11,000,000 个帐户,是该国商业网络邮件市场的重要参与者。
上周晚些时候,Qualitia 发布了一份安全公告,关于一个基于堆栈的缓冲区溢出漏洞,漏洞编号为 CVE-2025-42599,影响所有版本的 Active!,包括所有受支持的操作系统平台上的“BuildInfo:6.60.05008561”。如果远程第三方发送恶意制作的请求,则有可能执行任意代码或触发拒绝服务 (DoS) 条件。
尽管 Qualitia 提到正在调查该漏洞是否已被利用,但日本 CERT 已确认其处于活跃的利用状态,并敦促所有用户尽快更新至 Active!Mail 6 BuildInfo: 6.60.06008562。日本网络托管和 IT 服务 (SMB) 提供商 Kagoya Japan 上周末报告了数起外部攻击,导致其暂时停止服务。网络托管和 IT 服务提供商 WADAX 也报告了类似的服务中断,据称是因有人试图利用漏洞而导致的。
Macnica 安全研究员 Yutaka Sejiyama 称,至少有 227 台暴露在互联网上的 Active! 服务器可能受到这些攻击,其中 63 台在大学使用。
无法立即应用安全更新的用户可以配置 Web 应用程序防火墙 (WAF) 以启用 HTTP 请求正文检查,并在 multipart/form-data 标头的大小超过某个阈值时阻止它们。
参考链接:
https://www.bleepingcomputer.com/news/security/active-mail-rce-flaw-exploited-in-attacks-on-japanese-orgs/
4.**Broadcom Brocade Fabric OS 代码注入漏洞(CVE-2025-1976)****
4月28日,CISA 警告称,Broadcom Brocade Fabric OS 存在漏洞,该漏洞在攻击中被积极利用。
Broadcom Brocade Fabric OS 是一款专用操作系统,运行在该公司的 Brocade 光纤通道交换机上,用于管理和优化存储区域网络 (SAN)。
4月初,博通披露了一个影响 Fabric OS 9.1.0 至 9.1.1d6 版本的任意代码执行漏洞,漏洞编号为 CVE-2025-1976。该漏洞可允许用户执行任何现有的 Fabric OS 命令,或者还可用于修改 Fabric OS 本身,包括添加自己的子程序。尽管实现这一漏洞首先需要对具有管理员权限的角色进行有效访问,但博通表示,该漏洞已被积极利用于攻击中。
目前,尚无关于这个漏洞如何被利用、攻击规模有多大以及幕后黑手的详细信息。
CVE-2025-1976 已在 Brocade Fabric OS 9.1.1d7 版本中得到解决。最新分支 9.2.0 不受此漏洞影响。建议受影响客户尽快更新补丁版本。
参考链接:
https://www.bleepingcomputer.com/news/security/cisa-tags-broadcom-fabric-os-commvault-flaws-as-exploited-in-attacks/
PART02
安全事件
1.秘鲁政府网站疑因网络攻击瘫痪,3300万公民个人数据或泄露
5月4日SecurityLab消息,秘鲁政府门户网站Gob.pe疑因网络攻击瘫痪多天,黑客组织Rhysida宣布对此负责,并声称窃取了3300万公民的个人敏感数据,包括护照、税务、医疗及警务记录等。Rhysida在暗网门户以5比特币(约48.8万美元)出售数据,并设5月9日为支付赎金截止日。秘鲁政府否认网站遭受攻击,声称只是”技术维护”。
原文链接:
https://www.securitylab.ru/news/558980.php
2.美情报机构利用网络攻击中国大型商用密码产品提供商事件调查报告
4月28日中国网络空间安全协会公众号消息,中国网络空间安全协会发布调查报告揭露,美国情报机构在2024年对中国大型商用密码产品提供商发起网络攻击,企图破坏我国关键基础设施安全,国家互联网应急中心(CNCERT)发现并处置了这一恶意行径。调查报告显示,攻击者利用该提供商的客户关系管理系统零日漏洞进行攻击入侵,并在该系统和产品及项目代码管理系统植入特种木马程序,窃取了客户及合同信息、项目信息等大量商业秘密信息。
原文链接:
https://mp.weixin.qq.com/s/kzdSrLdejED3MxSKtszUnA
3.英国地方住房协会发生数据泄露事件,保险赔偿超5800万元
4月25日Inside Housing消息,英国沃特福德社区住房协会(WCH)因一起内部过失数据泄露事件遭用户起诉,目前已由保险公司赔偿了600万英镑(约合人民币5843万元)。2020年3月,WCH一名员工误将一封包含3544名租户及员工个人数据(包括性取向和种族等敏感信息)的电子邮件发送给3167名收件人。按照其三份保险的组合式保障体系,WCH的保险赔付额度高达1100万英镑(约合人民币1.07亿元),但是理赔过程中有一份500万英镑的保险因失误未能及时理赔,该协会成功起诉失误方,由对方负责支付该额度的理赔。
原文链接:
https://www.insidehousing.co.uk/news/high-court-rules-landlord-entitled-to-additional-6m-indemnity-from-insurance-broker-after-data-breach-91450
PART03
政策法规
1.七部门联合发布《终端设备直连卫星服务管理规定》
4月30日,国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部、海关总署、市场监管总局、广电总局联合发布《终端设备直连卫星服务管理规定》。该文件要求,终端设备直连卫星服务提供者应当落实网络安全等级保护、通信网络安全防护、数据分类分级保护和商用密码应用安全性评估等制度,采取必要措施保障数据和个人信息安全。终端设备直连卫星服务提供者应当建立反电信网络诈骗内部控制机制和安全责任制度,开展终端设备直连卫星服务涉诈风险安全评估。提供具有舆论属性或者社会动员能力的终端设备直连卫星服务的,应当按照国家有关规定开展安全评估。开通终端设备直连卫星服务,应当建立电信新业务安全评估制度,并具备相应的技术保障措施。
原文链接:
https://www.cac.gov.cn/2025-04/30/c_1747719075774684.htm
2.《数据安全技术 数据安全风险评估方法》等6项网络安全国家标准发布
4月30日,国家市场监督管理总局、国家标准化管理委员会发布的2025年第10号《中华人民共和国国家标准公告》,由全国网络安全标准化技术委员会归口的6项国家标准正式发布。6项标准包括《数据安全技术 数据安全风险评估方法》《数据安全技术 敏感个人信息处理安全要求》《网络安全技术 网络安全保险应用指南》《网络安全技术 生成式人工智能服务安全基本要求》《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》《网络安全技术 生成式人工智能数据标注安全规范》。
原文链接:
https://www.tc260.org.cn/front/postDetail.html?id=20250430142612
3.《可信数据空间 技术架构》技术文件正式发布
4月30日,全国数据标准化技术委员会发布《可信数据空间 技术架构》技术文件。该文件规范了可信数据空间技术架构,明确了可信数据空间在国家数据基础设施中的定位,描述了可信数据空间作为一种数据流通利用基础设施的核心技术特征、最小功能集合以及关键业务流程,适用于指导地方、行业、领域、企业开展可信数据空间的规划、建设、运营和管理。该文件专设单章规定了安全要求,包括数字合约安全、数据产品安全、空间运营安全三部分。
原文链接:
https://www.nda.gov.cn/sjj/ywpd/szkjyjcss/0430/ff808081-960ee580-0196-8636bb64-04ce.pdf
4.中国气象局等发布《人工智能气象应用服务办法》
4月29日,中国气象局、国家互联网信息办公室发布部门联合规章《人工智能气象应用服务办法》。该文件提出,发展人工智能气象应用服务应当坚持总体国家安全观,统筹发展和安全,将促进创新和依法治理相结合,对人工智能气象应用服务实行包容审慎和分类分级监管。该文件明确人工智能气象应用服务提供者的权利和义务,规定了算法备案和安全评估、人工智能生成合成内容标识、算法安全审核、网络安全、数据安全、信息发布审核、投诉举报等制度。
原文链接:
https://www.cma.gov.cn/images/pdfjs/web/viewer.html?file=https://www.cma.gov.cn/zfxxgk/gknr/flfgbz/gz/202504/W020250429613208378185.pdf
5.《网络安全标准实践指南——个人信息保护合规审计要求》公开征求意见
4月28日,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——个人信息保护合规审计要求(征求意见稿)》,现公开征求意见。该文件提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的总体要求、内容方法和实施流程,适用于指导个人信息处理者开展个人信息保护合规审计工作,也可为专业机构开展个人信息保护合规审计提供参考。
原文链接:
https://www.tc260.org.cn/upload/2025-04-28/1745827789863092922.pdf
6.国家数据局印发《构建数据基础制度更好发挥数据要素作用2025年工作要点》
4月28日,国家数据局印发《构建数据基础制度更好发挥数据要素作用2025年工作要点》。该文件主要包括四方面内容,其中第四方面要求,建立安全可控、弹性包容的数据要素治理制度方面,推动《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》落地落实,逐步构建更加完善的数据流通安全治理体系,支持数据流通安全技术应用创新,依法依规培育数据流通安全服务市场。
原文链接:
https://www.nda.gov.cn/sjj/swdt/sjdt/0428/20250428132338848329482_pc.html
7.美国国会通过《删除法案》,首个联邦AI监管法案即将出台
4月28日,美国国会众议院通过《删除法案》(TAKE IT DOWN Act),其此前在参议院通过,现提交给特朗普总统签署。该法案全称为《应对网页及网站中深度伪造引发的性剥削工具法案》,明确将人工智能生成的信息内容纳入监管范围,旨在打击未经当事人同意传播裸照、私密视频等隐私内容,以及通过深度伪造技术合成色情内容的行为。法案强调“同意拍摄”不等于“同意传播”,要求网络平台建立快速响应机制,明确心理损害可作为定罪依据,并通过引入公共利益例外和司法审查加以平衡,进一步强化了平台责任和受害者救济。
原文链接:
https://www.congress.gov/119/bills/s146/BILLS-119s146es.pdf
往期精彩推荐
安全热点周报:黑客精心设计 Craft CMS 漏洞链,用于零日攻击窃取数据
安全热点周报:零日漏洞瞄准 iPhone,苹果紧急发布安全补丁
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!