博通修复了VMware ESX产品中三个被积极利用的零日漏洞
发布时间 2025-03-051. 博通修复了VMware ESX产品中三个被积极利用的零日漏洞
3月4日,博通近期发布了安全更新,旨在修复VMware ESX产品中存在的三个严重零日漏洞,漏洞编号分别为CVE-2025-22224、CVE-2025-22225和CVE-2025-22226,这些漏洞影响了包括VMware ESXi、vSphere、Workstation、Fusion、Cloud Foundation和Telco Cloud Platform在内的多个产品。这些漏洞由微软威胁情报中心的研究人员发现,其中CVE-2025-22224为VMCI堆溢出漏洞,CVSS评分为9.3;CVE-2025-22225为VMware ESXi任意写入漏洞,CVSS评分为8.2;CVE-2025-22226为HGFS信息泄露漏洞,CVSS评分为7.1。攻击者若拥有特权管理员或根访问权限,可利用这些漏洞实现虚拟机沙盒逃逸。博通通过VMSA-2025-0004安全公告确认了这些漏洞的存在,并指出它们已被广泛利用。公司强调,已成功入侵虚拟机并获得特权访问的攻击者,可利用这些漏洞进一步访问虚拟机管理程序本身。然而,博通目前尚未披露关于具体攻击或背后威胁行为者的详细信息。
https://securityaffairs.com/174911/security/vmware-fixed-three-actively-exploited-zero-days-in-esx-products.html
2. Eleven11bot僵尸网络感染8.6万台物联网设备发动DDoS攻击
3月4日,一种名为“Eleven11bot”的新型僵尸网络恶意软件已感染超过86,000台物联网设备,主要是安全摄像头和网络视频录像机(NVR),用于发动分布式拒绝服务(DDoS)攻击。该僵尸网络与伊朗有松散联系,已针对电信服务提供商和在线游戏服务器发起攻击。诺基亚研究人员发现了该僵尸网络,并与威胁监控平台GreyNoise分享了详细信息。据Shadowserver Foundation报告,受感染的设备大多位于美国、英国、墨西哥、加拿大和澳大利亚。Eleven11bot的攻击量已达到每秒数亿个数据包,持续时间通常为数天。该恶意软件通过强制使用弱或常见的管理员凭据、利用已知默认凭据以及扫描暴露的Telnet和SSH端口来传播。GreyNoise建议防御者将相关IP地址添加到黑名单中,并监控可疑登录尝试。为确保安全,建议物联网设备运行最新固件版本,禁用不必要的远程访问功能,并更改默认管理员帐户凭据。此外,定期检查设备是否达到使用寿命终点并用新型号替换至关重要。
https://www.bleepingcomputer.com/news/security/new-eleven11bot-botnet-infects-86-000-devices-for-ddos-attacks/
3. 多语言恶意软件Sosano针对阿联酋关键组织发起攻击
3月4日,一种针对阿拉伯联合酋长国航空、卫星通信和关键交通组织的多语言恶意软件正在被未知威胁行为者利用。该软件名为Sosano,提供后门功能,允许攻击者在受感染设备上建立持久性并远程执行命令。Proofpoint于2024年10月发现了这一活动,指出其与伊朗盟友TA451和TA455的行动有相似之处,但此次活动重点在于网络间谍活动。该恶意软件通过特制文件,包含多种文件格式,逃避基于单一格式分析的安全软件检测。攻击始于印度电子公司发送的鱼叉式网络钓鱼电子邮件,包含恶意URL和ZIP存档,内含伪装成XLS的LNK文件和两个多语言PDF文件。PDF文件包含HTA代码和隐藏ZIP档案,触发Sosano后门。Sosano后门与命令和控制服务器建立连接,等待文件操作、shell命令执行等命令。防御此类威胁需采取多管齐下方法,包括电子邮件扫描、用户教育和能够检测多种文件格式的安全软件。阻止危险文件类型也是明智之举。
https://www.bleepingcomputer.com/news/security/new-polyglot-malware-hits-aviation-satellite-communication-firms/
4. 麒麟勒索软件组织攻击日本癌症治疗中心,泄露30万患者数据
3月4日,日本宇都宫中央诊所(UCC)癌症治疗中心于2月10日遭到麒麟勒索软件组织的黑客攻击,导致30万名患者的敏感健康信息泄露,医院系统也无法使用。该组织在其暗网博客上发布了被盗信息,包括患者姓名、生日、性别、地址、电话号码、电子邮件地址、医疗信息等,并嘲讽患者使用UCC的服务可能会导致敏感数据泄露。UCC官员敦促客户警惕诈骗信息,并设立了热线电话供患者获取更多信息。麒麟组织自2025年初以来一直在加强攻击,采用勒索软件即服务(RaaS)模式运作,以对受害者使用双重勒索手段而闻名。该组织过去12个月的网络攻击活动不断,总受害者数量已达191次。麒麟组织涉嫌通过窃取Google Chrome凭证以及秘密逃避或禁用端点检测和响应(EDR)系统来利用受害者,利用了著名的“Citrix Bleed”零日漏洞。
https://cybernews.com/news/cancer-hospital-breach-is-claimed-by-qilin-gang-in-new-ransomware-low/
5. Zhong Stealer恶意软件通过客服感染金融科技公司
3月4日,名为“Zhong Stealer”的新型恶意软件已在中国出现,它通过利用客户支持聊天这一意想不到的切入点潜入企业,主要目标是金融科技公司,但其适应性极强,可针对任何依赖客户支持团队的行业。该恶意软件利用人性的弱点,如紧迫感、困惑和沮丧,通过精心策划的骗局诱导客服人员打开包含恶意ZIP文件的附件。Zhong Stealer能够下载其他组件进行攻击,并在受感染系统中保持持久性,通过添加注册表项或使用计划任务重新启动自身,难以彻底消除。其主要目标是收集凭证和浏览器扩展数据,窃取敏感的商业和个人数据,并将信息发送回位于香港的命令和控制服务器。为保护企业免受Zhong Stealer侵害,可使用ANY.RUN沙箱等工具对可疑文件进行分析,查看实时恶意软件行为,立即识别威胁,并在员工打开文件之前主动检查文件,以防止感染。
https://hackread.com/chinese-zhong-stealer-infects-fintech-customer-support/
6. 大规模网络安全漏洞致3.5万网站遭劫持重定向至赌博平台
3月3日,一起大规模网络安全漏洞事件于2月20日爆发,超过35,000个网站遭到攻击,用户浏览器窗口被恶意脚本完全劫持并重定向至中文赌博平台“Kaiyun”。c/side安全研究人员发现,攻击者通过在受影响网站的源代码中插入简单脚本标签,加载其他恶意代码,这些代码利用设备检测技术并设置500-1000毫秒随机延迟以逃避安全扫描。最令人担忧的是,恶意脚本注入全屏iframe代码,替换原始网站内容为赌博平台。攻击通过多个代码执行阶段进行,使用JavaScript函数检测用户设备类型,有针对性地投放恶意内容,并创建元视口标签确保恶意内容填满整个屏幕。部分攻击变种还实施基于地区的过滤机制,根据用户IP地址显示不同内容。安全专家推测此次攻击与Megalayer漏洞有关,建议网站所有者审核源代码、阻止恶意域、定期检查文件修改、实施内容安全策略限制,并使用工具执行频繁站点扫描以发现恶意注入,从而保护平台免受类似攻击。
https://cybersecuritynews.com/35000-websites-hacked-to-inject-malicious-scripts/
京公网安备11010802024551号