https://onapsis.com/blog/sap-security-patch-day-october-2025/
SAP发布10月安全更新,修复13项漏洞,其中最严重的CVE-2025-42944(CVSS 10.0)存在于NetWeaver AS Java中,源于RMI-P4模块的不安全反序列化,攻击者可在无需登录的情况下通过开放端口提交恶意载荷,实现任意系统命令执行,完全控制服务器。此次更新在原有修复基础上新增JVM级过滤机制(jdk.serialFilter),防止敏感类被反序列化。此外,SAP还修复了打印服务目录遍历漏洞(CVE-2025-42937,CVSS 9.8)与供应商关系管理系统的任意文件上传漏洞(CVE-2025-42910,CVSS 9.0)。尽管暂无在野利用迹象,研究者提醒企业应立即部署补丁,以防高危远程入侵风险。
https://claroty.com/team82/research/roaring-access-exploiting-a-pre-auth-root-rce-on-sixnet-rtus
研究人员披露,Red Lion SixTRAK与VersaTRAK系列RTU存在两处最高评分漏洞(CVE-2023-42770、CVE-2023-40151),可被未认证攻击者绕过验证并以根权限执行任意命令,影响能源、水务、交通等工业控制场景。厂商与CISA已发布通告并提供修补建议;建议用户尽快打补丁、启用设备用户认证并阻断对受影响设备的TCP访问以降低被链式利用的风险。
研究人员披露,代号“Zero Disco”的攻击利用Cisco IOS/IOS XE中的SNMP栈溢出漏洞CVE-2025-20352(CVSS 7.7)在未打补丁的旧设备(9400、9300、3750G 等)上部署Linux根套件。入侵者通过构造的SNMP包触发代码执行,随后在IOSd内存植入钩子、设置包含“disco”字样的通用密码、并通过UDP控制器开启后门、禁用日志与篡改配置时间戳以维持隐蔽性。攻击还伴随对修改版Telnet漏洞(基于CVE-2017-3881)的尝试。厂商已在上月发布补丁,但研究者指出该活动利用零日真实攻击且主要针对未启用EDR的旧Linux系统。
https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding
Google威胁情报组(GTIG)发现,朝鲜国家级黑客组织UNC5342自2025年2月起在“Contagious Interview”行动中采用“EtherHiding”技术,通过智能合约在以太坊和币安智能链上隐藏并投递恶意代码。这是首次发现国家级攻击者使用该方法。该技术可将载荷嵌入区块链智能合约中,凭借匿名性和抗下架性实现隐蔽传播。攻击者伪装成招聘人员,诱骗开发者在“面试考核”中运行JavaScript下载器,加载名为“JADESNOW”的模块,从区块链中提取第三阶段载荷“InvisibleFerret”,用于长期间谍活动。该恶意程序可窃取浏览器中保存的凭证、信用卡及加密钱包信息。专家警告,此举使攻击追踪与防御难度显著提升,并建议企业强化浏览器策略与下载限制。
微软近日成功阻止一系列由威胁组织“Vanilla Tempest”(又称 Vice Society、VICE SPIDER)发起的Rhysida勒索软件攻击。该组织通过伪造的Teams安装网站(如teams-install[.]top等)和恶意广告投放传播伪造的“MSTeamsSetup.exe”文件,利用签名恶意证书分发Oyster后门(又名Broomstick或CleanUpLoader)。微软在10月初吊销了200余个用于签署假安装包的证书,从而中断攻击链。Oyster后门可为攻击者提供远程访问、文件窃取及命令执行能力。Vanilla Tempest自2021年起活跃,主要针对教育、医疗、IT和制造业部门实施勒索和数据窃取。此次行动显示微软持续强化其生态系统中针对恶意签名和假冒应用的防护措施。
CISA近日警告称,攻击者正积极利用Adobe Experience Manager(AEM)中的严重漏洞(CVE-2025-54253)发起攻击。该漏洞源自AEM Forms在JEE 6.5.23及更早版本中的配置缺陷,允许未认证的攻击者绕过安全机制并执行远程代码。成功利用该漏洞无需用户交互,攻击复杂度低。该漏洞于2025年4月由Searchlight Cyber的研究员发现,并报告给Adobe,但Adobe在90天内未及时修复该漏洞,直至2025年8月发布补丁。CISA将此漏洞列入“已知利用的漏洞目录”,并要求联邦机构在11月5日前完成修复。CISA还建议所有组织尽快修补该漏洞,尤其是在私有部门,避免此类漏洞成为攻击目标。
2025年10月16日,BleepingComputer报道指出,超过26.6万台F5 BIG-IP设备暴露于远程攻击风险,可能遭遇严重的网络攻击。这些设备广泛应用于企业数据中心中,负责管理应用程序流量和负载均衡。然而,多个F5 BIG-IP版本中存在未修复的高危漏洞,黑客可以通过这些漏洞远程执行恶意命令,危及企业的网络安全。该问题源自F5 BIG-IP系统中的多个漏洞,其中最严重的漏洞允许未经授权的攻击者绕过身份验证,执行任意代码,获取敏感信息或破坏设备操作。F5公司已发布安全更新,建议用户立即安装补丁以修复这些安全问题。报告显示,尽管F5已经发布了补丁,仍有大量设备未及时更新,继续暴露于潜在的攻击风险中。F5警告称,攻击者可以利用这些漏洞发动大规模的网络攻击,目标不仅包括金融机构和大型企业,也可能波及政府和医疗组织。网络安全专家提醒,及时更新F5 BIG-IP设备及其他关键基础设施的安全补丁,是防范此类远程攻击的关键措施。
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015
2025年10月17日,网络安全研究人员披露了一项已修复的WatchGuard Fireware漏洞(CVE-2025-9242),该漏洞可能允许未经身份验证的远程攻击者执行任意代码,严重威胁VPN服务的安全。该漏洞影响了多个版本的Fireware OS,包括11.10.2至12.11.3和2025.1,CVSS评分高达9.3。攻击者可以通过利用该漏洞,在VPN隧道建立过程中的IKE_SA_AUTH阶段触发缓冲区溢出,从而实现远程代码执行。漏洞的根源在于“ike2_ProcessPayload_CERT”函数中,缺少对客户端身份缓冲区长度的检查,攻击者能够利用这一点覆盖内存并执行任意命令。尽管服务器会进行SSL证书验证,但验证是在漏洞代码执行之后进行的,这使得攻击者能够在未经身份验证的情况下触发漏洞。该漏洞不仅影响企业级网络安全,还为勒索软件团伙提供了潜在的攻击机会,因为攻击无需身份验证且能够远程执行代码,严重威胁到暴露在互联网中的边界设备。为解决这一问题,WatchGuard已在最新版本中修复了此漏洞,用户应尽快更新以避免被攻击。
Seqrite实验室发现"丝绸诱饵行动"网络活动,攻击者伪装求职者发送恶意简历.LNK文件,针对中国金融科技企业。攻击链包含多阶段载荷、计划任务持久化和ValleyRAT木马,具备数据窃取和反检测能力,C2服务器位于美国。
https://www.ithome.com/0/890/556.htm
2022 年 3 月 25 日起,美国安局利用某境外品牌手机短信服务漏洞,秘密网攻控制国家授时中心多名工作人员的手机终端,窃取手机内存储的敏感资料。2023 年 4 月 18 日起,美国安局多次利用窃取的登录凭证,入侵国家授时中心计算机,刺探该中心网络系统建设情况。2023 年 8 月至 2024 年 6 月,美国安局专门部署新型网络作战平台,启用 42 款特种网攻武器,对国家授时中心多个内部网络系统实施高烈度网攻,并企图横向渗透至高精度地基授时系统,预置瘫痪破坏能力。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
