Python JSON Logger库漏洞曝光:4300万安装面临RCE风险
发布时间 2025-03-131. Python JSON Logger库漏洞曝光:4300万安装面临RCE风险
3月10日,近日,Python JSON Logger 库中披露了一个严重漏洞(GHSA-wmxh-pxcx-9w24),CVSS v3 严重性等级为8.8/10,可能导致约4300万个安装面临远程代码执行(RCE)攻击风险。该漏洞源于未注册的依赖项“msgspec-python313-pre”,攻击者可利用此漏洞在执行受影响版本(3.2.0和3.2.1)的日志实用程序的系统上执行任意代码。该漏洞是依赖混淆攻击的典型例子,利用软件供应链中的漏洞。尽管没有证据表明在漏洞窗口期间发生了恶意利用,但该库的广泛采用放大了潜在影响。成功利用该漏洞将使攻击者获得对系统的完全控制权。缓解措施包括发布v3.3.0版本,完全消除了msgspec-python313-pre依赖性,并与安全研究员协调转移有争议的软件包名称的所有权。安全团队建议立即升级到v3.3.0,无法立即更新的组织应审核其Python环境。此漏洞凸显了Python生态系统在平衡可用性和安全性方面面临的持续挑战,并促使主要开源社区重新审视依赖管理实践。
https://cybersecuritynews.com/popular-python-library-vulnerability/
2. 超过300个关键基础设施组织受到Medusa勒索软件攻击
3月12日,CISA、FBI和多州信息共享与分析中心(MS-ISAC)联合发布公告称,截至2025年2月,Medusa勒索软件行动已影响美国300多个关键基础设施领域的组织,涉及医疗、教育、法律、保险、技术和制造业等多个行业。为防御Medusa勒索软件攻击,建议组织采取缓解措施,包括修补安全漏洞、分段网络、过滤网络流量等。Medusa勒索软件团伙自2021年1月出现,2023年开始活跃,已在全球造成400多名受害者,并通过泄密网站和黑暗勒索门户网站向受害者施压要求支付赎金。该团伙采用勒索软件即服务(RaaS)运营和联盟模式,招募初始访问经纪人以获得对潜在受害者的初始访问权。此外,多个恶意软件家族和网络犯罪行动都自称是Medusa,导致关于Medusa勒索软件的报道出现混淆。上个月,CISA和FBI还发布了关于Ghost勒索软件攻击的联合警报,称多个行业领域的受害者都受到了攻击。
https://www.bleepingcomputer.com/news/security/cisa-medusa-ransomware-hit-over-300-critical-infrastructure-orgs/
3. 朝鲜APT37组织推出新型Android间谍软件KoSpy
3月12日,一种名为“KoSpy”的新型Android间谍软件与朝鲜威胁组织APT37(又名“ScarCruft”)有关,该组织通过至少五个恶意应用程序渗透到Google Play和第三方应用商店APKPure。这些应用程序伪装成文件管理器、安全工具和软件更新程序,针对韩语和英语用户。一旦激活,KoSpy会从Firebase Firestore数据库中检索加密配置文件,连接到命令和控制服务器,并运行各种数据收集功能,如拦截短信和通话记录、实时追踪GPS位置、窃取文件、录制音频和视频等。尽管这些应用程序已从Google Play和APKPure中移除,但用户仍需手动卸载并使用安全工具扫描设备。Google Play Protect能够阻止已知的恶意应用程序,帮助防范KoSpy。谷歌已确认所有KoSpy应用已从Google Play中删除,相应的Firebase项目也已被撤下。使用区域语言表明这是有针对性的恶意软件,Google Play Protect会自动保护Android用户免受已知版本的恶意软件侵害。
https://www.bleepingcomputer.com/news/security/new-north-korean-android-spyware-slips-onto-google-play/
4. Mozilla警告:Firefox用户需更新浏览器以避免安全风险
3月12日,Mozilla近期警告Firefox用户,务必将其浏览器更新到最新版本,以避免因公司的一个根证书即将到期而可能导致的中断和安全风险。该根证书用于签署包括Firefox本身及Mozilla项目附加组件在内的内容,将于2025年3月14日到期。为确保正常使用附加组件并避免安全风险,用户需将浏览器更新至Firefox 128(2024年7月发布)或更高版本,以及“扩展支持版本”(ESR)用户的ESR 115.13或更高版本。这些风险包括恶意插件可能绕过安全保护泄露用户数据、不受信任的证书可能允许用户访问欺诈或不安全的网站,以及密码泄露警报可能停止工作等。用户可通过浏览器菜单检查并确认版本,此操作也会自动触发更新检查。该问题影响所有平台上的Firefox,但iOS除外。Mozilla建议用户更新到最新版本以确保浏览器安全高效,并为遇到问题的用户设置了支持线程。同时,基于Firefox的浏览器如Tor、LibreWolf和Waterfox的用户也应确保运行的是基于Firefox 128及更高版本的版本。
https://www.bleepingcomputer.com/news/software/mozilla-warns-users-to-update-firefox-before-certificate-expires/
5. 日本遭“MirrorFace”APT攻击,利用Windows Sandbox逃避检测
3月12日,日本国家警察厅和国家网络安全事件准备和战略中心发布了一份安全公告,警告日本组织面临来自“MirrorFace”这一APT10子组织的高级持续性威胁攻击。该组织利用Windows Sandbox和Visual Studio Code执行恶意活动,并使用了名为“LilimRAT”的定制恶意软件,专门设计在Windows Sandbox中运行,以逃避主机系统上安全工具的检测。攻击者通过启用Windows Sandbox、创建自定义配置文件和在隔离环境中执行恶意软件等复杂的多阶段攻击流程,在受感染系统上保持持久性并最大限度地减少活动痕迹。由于Windows Sandbox默认禁用且Windows Defender在其中也默认禁用,为攻击者提供了一个不安全的操作环境。安全专家建议保持Windows Sandbox禁用状态,监控相关进程,限制管理权限,并实施AppLocker策略,以防止未经授权执行Windows Sandbox。
https://cybersecuritynews.com/mirrorface-apt-hackers-exploited-windows-sandbox-visual-studio-code/
6. Facebook警告:FreeType字体库高危漏洞需紧急升级
3月12日,Facebook近日发出警告,指出在FreeType 2.13及以上版本中存在一个高危漏洞(CVE-2025-27363),可能导致任意代码执行,且已有报告称该漏洞正在被积极利用进行攻击。FreeType是一个广泛使用的开源字体渲染库,安装在包括Linux、Android等多个系统和服务中。该漏洞在尝试解析TrueType GX和可变字体文件相关的字体子字形结构时发生越界写入,存在于FreeType 2.13.0及以下版本中,但已在2.13.0版本的更新中得以修复。尽管最新的易受攻击版本已有两年历史,但旧的库版本在软件项目中可能长期存在,因此软件开发人员和项目管理员需尽快升级到最新版本FreeType 2.13.3,以避免潜在的安全风险。Facebook表示,他们发现此漏洞后进行了报告,旨在加强每个人的在线安全,并致力于保护用户的私人通信。考虑到FreeType的广泛应用,尽快解决该漏洞对于保障网络安全至关重要。
https://www.bleepingcomputer.com/news/security/facebook-discloses-freetype-2-flaw-exploited-in-attacks/
京公网安备11010802024551号