2025-01-25 星期六 Vol-2025-022
1. 巴基斯坦加强社交媒体监管,VPN与审查制度成焦点
2. PCLOB政治化或威胁美欧关键数据隐私协议
3. Pwn2Own Automotive 2025黑客大赛落幕:49个零日漏洞获88.6万美元奖金
4. 亚洲六国联手打击网络奴役,揭露诈骗者秘密帝国
5. Let's Encrypt将停止证书到期通知,用户需采取应对措施
6. 黑客利用虚假恶意软件生成器感染18,000名“脚本小子”
7. phpMyAdmin漏洞CVE-2025-24530曝光,黑客可利用恶意表格触发XSS攻击
8. Microsoft Outlook零点击RCE漏洞(CVE-2025-21298)PoC曝光,CVSS评分9.8
9. Kubernetes曝严重RCE漏洞,攻击者可完全控制Windows节点
10. FBI发出警告:朝鲜IT工作者窃取公司源代码实施勒索
11. 黑客利用CSS隐藏恶意脚本,大规模抢占网络资源
12. 2024年俄罗斯数据泄露事件减少,但泄露量激增至4.38亿条
政策法规
1. 巴基斯坦加强社交媒体监管,VPN与审查制度成焦点
【SecurityLab网站1月24日报道】巴基斯坦政府提出了一项加强社交媒体监管的法案,引发反对派和民众的强烈批评。法案提议成立社交网络保护和监管办公室,以封锁“非法和攻击性内容”,并要求平台向该机构注册。传播虚假信息将被视为刑事犯罪,最高可判处三年监禁和200万卢比(约7,150美元)罚款。此举被视为对言论自由的压制,尤其是在2024年选举期间封锁X平台后,许多民众通过VPN绕过限制。前总理伊姆兰·汗的支持者利用社交媒体组织抗议活动,反对派指责政府试图通过新法律压制批评声音。尽管记者和人权活动人士反对,但鉴于政府占多数,法案通过几乎不可避免。政府称此举旨在打击虚假信息,但批评者认为这是加强对社会和媒体控制的尝试。
2. PCLOB政治化或威胁美欧关键数据隐私协议
【The Record网站1月25日报道】特朗普政府要求隐私与公民自由监督委员会(PCLOB)所有民主党成员辞职的决定,可能危及美欧之间的《跨大西洋数据隐私框架》(TDPF)。该协议旨在保护欧美商业数据流动,PCLOB在其中扮演关键角色,确保美国情报机构的数据收集符合欧盟法律标准。欧盟依赖PCLOB的独立性和运作能力来保障欧洲公民数据的保护。如果PCLOB被削弱或无法运作,将破坏欧盟对TDPF的信任,进而影响美国公司在欧洲的业务。专家警告,若TDPF崩溃,美国云服务将被迫依赖其他机制,可能导致部分公司退出欧洲市场。PCLOB的独立性受到威胁,已引发对美欧数据流动未来的担忧。
安全事件
3. Pwn2Own Automotive 2025黑客大赛落幕:49个零日漏洞获88.6万美元奖金
【BleepingComputer网站1月24日报道】Pwn2Own Automotive 2025黑客大赛圆满结束,安全研究人员通过利用49个零日漏洞,共获得886,250美元奖金。本次比赛聚焦汽车软件和产品,包括电动汽车充电器、汽车操作系统(如Android Automotive OS、Automotive Grade Linux和BlackBerry QNX)以及车载信息娱乐系统(IVI)。所有目标设备均运行最新操作系统并安装了所有安全更新。比赛首日,研究人员展示了16个零日漏洞,获得382,750美元;次日利用23个漏洞,两次入侵特斯拉充电器,赢得335,500美元;最后一天演示了10个漏洞,获得168,000美元。Summoning Team的Sina Kheirkhah以30.5个Pwn大师积分夺冠,赢得222,250美元。Synacktiv、PHP Hooligans等团队分获其他奖项。供应商需在90天内修复漏洞,之后趋势科技将公开披露细节。
4. 亚洲六国联手打击网络奴役,揭露诈骗者秘密帝国
【SecurityLab网站1月24日报道】澜沧江-湄公河执法合作(LMLEC)倡议自2024年启动以来,柬埔寨、老挝、缅甸、泰国、越南和中国六国联手打击网络诈骗营地,成功解救了数千名被剥削的受害者。这些营地以高薪工作为诱饵,诱骗人们进入后没收护照,并以暴力威胁强迫其从事技术支持诈骗、投资诈骗和爱情诈骗等活动。受害者因债务束缚难以逃脱,生活条件恶劣,甚至有人因逃跑而丧生。2024年,LMLEC行动逮捕了7万名嫌疑人,解救了160多名受害者,并制止了由诈骗资金资助的武器走私计划。中国积极参与打击行动,因约10万中国公民成为此类奴役的受害者。LMLEC计划进一步深化情报共享和联合行动,重点清除缅甸和泰国边境的苗瓦底市诈骗营地。
5. Let's Encrypt将停止证书到期通知,用户需采取应对措施
【SecurityLab网站1月24日报道】Let's Encrypt宣布自2025年6月4日起将停止发送证书到期通知。这一决定基于多个原因,包括用户普遍采用自动续订系统、隐私保护需求以及降低运营成本。Let's Encrypt表示,维护通知服务需要存储大量电子邮件地址,与其隐私原则相悖,同时每年耗费数万美元,这些资金可用于基础设施开发。对于仍需接收通知的用户,Let's Encrypt建议使用第三方服务,如Red Sift Certificates Lite,该工具可免费监控多达250个证书。尽管这一变化可能对部分用户造成不便,但随着自动化工具和第三方解决方案的普及,用户仍可通过适应变化来有效管理证书到期问题。
6. 黑客利用虚假恶意软件生成器感染18,000名“脚本小子”
【BleepingComputer网站1月24日报道】一名威胁行为者通过传播虚假的XWorm RAT(远程访问木马)构建器,成功感染了全球18,459台设备,主要受害者是技能较低的黑客(即“脚本小子”)。这些黑客通过GitHub、Telegram、YouTube等渠道下载了木马化的恶意软件构建器,误以为可以免费使用XWorm RAT,但实际上其设备被植入了后门程序。该恶意软件会窃取Discord令牌、系统信息、浏览器数据(如密码和Cookie),并支持56个危险命令,包括屏幕截图、文件加密和进程终止等。CloudSEK研究人员利用内置的终止开关和硬编码API令牌,向受感染设备发送卸载命令,成功清除了部分设备的恶意软件,但由于速率限制和设备离线问题,仍有部分设备受到感染。研究人员提醒用户不要信任未签名软件,尤其是来自不可信来源的工具,并建议仅在测试环境中使用恶意软件构建器。
漏洞预警
7. phpMyAdmin漏洞CVE-2025-24530曝光,黑客可利用恶意表格触发XSS攻击
【CybersecurityNews网站1月24日报道】phpMyAdmin(一款广泛使用的MySQL数据库管理工具)中发现了一个中等严重性的跨站脚本(XSS)漏洞,编号为CVE-2025-24530。该漏洞影响5.2.2之前的所有5.x版本,与“检查表”功能相关。攻击者可通过制作恶意表名或数据库名,注入未正确清理的JavaScript代码,从而在用户与功能交互时触发XSS攻击。此漏洞可能导致未经授权的操作、会话劫持或数据泄露,威胁数据库的完整性和机密性。尽管漏洞利用需要用户交互,但对公开访问的phpMyAdmin实例尤为危险。phpMyAdmin团队已发布修复补丁,建议用户升级至5.2.2或更高版本。对于无法立即更新的用户,可通过IP白名单或限制访问等额外安全措施降低风险。
8. Microsoft Outlook零点击RCE漏洞(CVE-2025-21298)PoC曝光,CVSS评分9.8
【CybersecurityNews网站1月24日报道】网络安全专家Matt Johansen披露了一个影响Microsoft Outlook的零点击远程代码执行(RCE)漏洞,编号为CVE-2025-21298,CVSS评分高达9.8。该漏洞位于ole32.dll组件的UtOlePresStmToContentsStm函数中,因双重释放错误导致内存损坏,攻击者可通过发送包含恶意OLE对象的RTF文件触发漏洞,无需用户交互即可执行任意代码。该漏洞影响从Windows 10到Windows 11的多个版本以及2008年至2025年的服务器版本。微软已在1月补丁周期中修复该漏洞,建议用户立即更新系统。对于无法立即修补的用户,建议禁用Outlook中的RTF预览功能作为临时缓解措施。Johansen还提供了KQL脚本以帮助检测漏洞利用迹象。
9. Kubernetes曝严重RCE漏洞,攻击者可完全控制Windows节点
【CybersecurityNews网站1月24日报道】Kubernetes中发现了一个严重远程代码执行(RCE)漏洞,编号为CVE-2024-9042。该漏洞由Akamai安全研究员Tomer Peled发现,影响Kubernetes的测试版“日志查询”功能。攻击者可通过构造恶意HTTP GET请求,利用日志查询API中的命令注入漏洞,在集群内的所有Windows节点上以SYSTEM权限执行任意PowerShell命令,从而完全控制受影响的节点。漏洞影响Kubernetes v1.32.v1.31.0至v1.31.4、v1.30.0至v1.30.8及v1.29.12及更早版本。Kubernetes已发布修补版本(v1.32.1、v1.31.5、v1.30.9、v1.29.13),建议管理员立即升级。此外,可通过禁用日志查询功能、限制API访问权限及监控日志等缓解措施降低风险。尽管尚未发现主动攻击,但由于漏洞利用简单,未修补的系统可能很快成为攻击目标。
风险预警
10. FBI发出警告:朝鲜IT工作者窃取公司源代码实施勒索
【CybersecurityNews网站1月24日报道】美国联邦调查局(FBI)揭露,朝鲜IT工作者通过伪装成远程工作人员,潜入西方公司窃取源代码并实施勒索。这些被称为“IT战士”的朝鲜特工利用虚假身份、被盗凭证和人工智能技术获得远程职位,进而访问公司系统并窃取敏感数据,尤其是托管在GitHub等平台上的源代码。他们以泄露源代码为威胁,要求受害者支付加密货币赎金。这种新型攻击结合了勒索软件和内部威胁的特点,无需部署恶意软件即可实施敲诈。FBI指出,朝鲜IT工作者已通过工资欺诈和勒索手段在过去六年中获利至少8800万美元。为应对这一威胁,FBI建议企业实施最小特权原则、加强招聘身份验证、采用数据丢失预防工具,并监控网络异常活动。FBI敦促受影响企业通过其互联网犯罪投诉中心(IC3)及时报告相关事件。
11. 黑客利用CSS隐藏恶意脚本,大规模抢占网络资源
【SecurityLab网站1月24日报道】全球500多个政府和大学网站遭到一种新型JavaScript攻击,攻击者通过在DOM中创建隐藏链接,利用CSS技术将用户重定向至第三方资源。该攻击自1月20日被发现,但截至1月22日,尚未有威胁检测系统识别到该活动。攻击者通过黑帽SEO技术提升第三方资源排名,使用的CSS样式使链接对用户不可见,但仍可被搜索引擎索引。恶意脚本托管在scriptapi[.]dev域名下,影响包括WordPress、ASP.NET、vBulletin等流行平台。专家建议网站管理员更新插件、实施内容安全策略(CSP)、使用子资源完整性(SRI)检查脚本完整性、监控DOM更改并部署Web应用防火墙(WAF)以防范此类攻击。
12. 2024年俄罗斯数据泄露事件减少,但泄露量激增至4.38亿条
【SecurityLab网站1月24日报道】根据DLBI服务的研究,2024年俄罗斯个人数据泄露量同比增长70%,达到4.38亿条,其中包括2.27亿个电子邮件地址。尽管数据泄露事件从2023年的445起减少至382起,但泄露的数据量显著增加。Roskomnadzor的数据也显示,2024年报告了135起泄露事件,涉及7.1亿条记录,而2023年为168起事件和3亿条记录。专家指出,攻击者正通过更精细的规划提高攻击效率,导致泄露数据量持续增长。电子商务行业仍是泄露事件最多的领域(148起),其次是娱乐资源(33起)和医疗服务(7%)。DLBI指出,小型企业因资源有限更易成为攻击目标,而乌克兰攻击者主要通过漏洞利用或窃取管理员凭证实施攻击。
2025-01-20
2025-01-21
2025-01-22
2025-01-23
2025-01-24
