黑客正在利用Wing FTP Server的严重RCE漏洞
发布时间 2025-07-141. 黑客正在利用Wing FTP Server的严重RCE漏洞
7月13日,网络安全领域曝出针对Wing FTP Server的严重远程代码执行漏洞(CVE-2025-47812),该漏洞因CVSS 10分的最高危评级引发行业高度关注。作为支持多协议(FTP/FTPS/SFTP/HTTP/S)的跨平台文件传输解决方案,Wing FTP Server默认以root(Linux)或SYSTEM(Windows)权限运行,且缺乏权限隔离机制,导致漏洞被利用时可直接造成服务器完全失控。漏洞根源在于软件对空字节的处理缺陷。MITRE安全公告指出,7.4.4版本前的产品未对用户和管理员Web界面中的会话文件进行充分验证,攻击者可通过注入含特殊字符的用户名,将恶意Lua代码植入会话文件。当受害者访问特定页面或执行目录操作时,恶意代码便会以系统最高权限触发,形成无需物理接触的远程代码执行链。尤为危险的是,即使启用默认禁用的匿名FTP账户,攻击者仍可绕过字符串处理机制实施攻击,实现从普通用户权限到系统管理员权限的纵向提权。该漏洞技术细节于6月30日公开后,7月1日即出现真实攻击案例。
https://securityaffairs.com/179861/hacking/wing-ftp-server-flaw-actively-exploited-shortly-after-technical-details-were-made-public.html
2. Google Gemini 漏洞可劫持电子邮件摘要进行网络钓鱼
7月13日,安全研究人员披露Google Gemini for Workspace存在新型网络钓鱼漏洞,攻击者可通过隐藏在电子邮件正文中的恶意指令,诱使AI工具生成看似合法的钓鱼内容。该漏洞利用Gemini的摘要生成功能,通过技术手段绕过传统安全检测,成为继2024年提示注入攻击后,针对生成式AI的又一重大安全挑战。据Mozilla GenAI漏洞赏金计划研究员Marco Figueroa披露,攻击者可通过HTML/CSS技术将恶意指令嵌入邮件正文,通过设置字体大小为0、颜色为白色,使指令在Gmail客户端中完全不可见。当用户请求Gemini生成邮件摘要时,AI会解析并执行这些隐藏指令,生成包含虚假安全警告、钓鱼链接或支持电话号码的内容。例如,在Figueroa提供的案例中,Gemini生成了"您的Gmail密码已泄露,请立即拨打支持电话处理"的虚假警报,此类信息极易被用户误认为是Google官方通知。该攻击的隐蔽性体现在三个方面:无需附件或链接即可触发、利用用户对AI摘要的信任、通过视觉隐藏规避邮件内容筛查。
https://www.bleepingcomputer.com/news/security/google-gemini-flaw-hijacks-email-summaries-for-phishing/
3. Gravity Forms遭供应链攻击,官方渠道下载文件被植入后门
7月11日,全球约百万个网站使用的WordPress高级表单插件Gravity Forms遭遇严重供应链攻击,其官方网站提供的手动安装包被植入恶意后门,导致部分下载版本存在远程代码执行风险。据安全公司PatchStack披露,攻击者通过篡改插件核心文件common.php,在7月10日至11日期间向访问gravityapi.org域名的服务器发送站点元数据(包括URL、管理路径、主题插件版本等敏感信息),并接收base64编码的恶意载荷,最终在网站目录生成伪装成WordPress系统文件的"bookmark-canonical.php",实现无需身份验证的远程代码执行。此次事件影响范围广泛,涉及Gravity Forms 2.9.11.1和2.9.12版本的手动下载及Composer安装方式。攻击者利用该后门不仅窃取数据,更直接在受感染网站添加管理员账户,完全控制目标系统。值得注意的是,通过Gravity Forms官方API服务进行的自动更新和附加组件安装未受影响,但手动下载渠道成为攻击入口。开发厂商RocketGenius在事后报告中确认,恶意代码会阻断正常更新流程并持续连接外部服务器,建议所有近期通过手动方式安装或更新插件的用户立即重新安装官方干净版本,并检查网站是否存在异常管理员账户。
https://www.bleepingcomputer.com/news/security/wordpress-gravity-forms-developer-hacked-to-push-backdoored-plugins/
4. 美国阿拉巴马州加登代尔市遭INC Ransom勒索攻击
7月11日,美国阿拉巴马州加登代尔市政府近日陷入数据安全危机,其敏感信息被曝出现在暗网论坛上。知名勒索组织INC Ransom宣称已窃取该市约50GB数据,包括市政合同、财务记录、客户信息、人力资源档案及事故报告等机密资料,并将其列入泄密网站以施压支付赎金。尽管攻击者尚未提供数据样本或截图验证真实性,但此次事件已引发对市民身份盗用风险及市政系统安全性的担忧。加登代尔市作为伯明翰北部郊区、人口超1.6万的城镇,若数据泄露属实,可能成为网络犯罪分子进一步渗透政府网络的关键跳板。INC Ransom组织自2023年7月活跃以来,已形成"多重勒索"模式,不仅加密数据,更以公开泄露为威胁,迫使受害者就范。据暗网监控工具Ransomlooker统计,该团伙过去一年内攻击至少176家机构,受害者遍布医疗、教育、政府及企业领域。
https://cybernews.com/security/gardendale-alabama-ransomware-attack/
5. 麒麟勒索软件强势崛起,利用Fortinet漏洞致81家机构受攻击
7月12日,近日勒索软件领域迎来重大变局,麒麟(Qilin)组织凭借47.3%的活跃度激增,以81起新增案件超越传统劲旅,成为全球最活跃的勒索软件即服务(RaaS)团伙。该组织自诞生以来已累计攻击超310个目标,其技术演进与战略转型正重塑网络安全威胁格局。麒麟的快速扩张源于对关键基础设施漏洞的系统性利用。2025年5-6月间,该组织将攻击焦点对准未修补的Fortinet安全设备,尤其针对FortiGate和FortiProxy设备中的CVE-2024-21762(身份验证绕过)与CVE-2024-55591(远程代码执行)漏洞。尽管前者已于2025年2月发布补丁,但全球数万台设备仍暴露在攻击面下,为麒麟提供了自动化部署的绝佳入口。攻击链显示,威胁行为者通过特制请求触发漏洞,无需凭据即可建立网络立足点,随后释放采用Rust与C语言编写的模块化恶意载荷,实施持久化控制与横向渗透。技术分析揭示,麒麟的威胁模型已突破传统勒索范畴,构建起涵盖垃圾邮件、DDoS攻击、PB级数据存储及心理战工具的完整犯罪生态。其独创的"呼叫律师"功能通过模拟法律谈判场景,对受害者施加心理压力,显著提升赎金协商效率。这种多维度攻击模式使其迅速填补LockBit、BlackCat等解散组织留下的市场空白,吸引大量附属团队加盟。
https://cybersecuritynews.com/qilin-emerged-as-the-most-active-group/
6. 黑客借合法Mac工具植入ZuRu木马,重点针对开发者群体
7月11日,安全机构SentinelOne近日发布警报,揭示黑客正通过污染搜索引擎结果的方式,将植入ZuRu木马的篡改版Mac工具推送给用户,最新攻击目标瞄准跨平台SSH客户端Termius。此次攻击延续了针对开发者常用工具的恶意软件传播模式,凸显macOS平台面临的供应链安全威胁持续升级。被篡改的Termius安装包内含新版macOS.ZuRu后门病毒。该木马安装后会在后台静默运行,建立持久化访问通道,不仅能够远程下载有害组件,还可执行攻击者指令,功能涵盖文件传输、系统侦察、进程操控及指令反馈等。值得注意的是,攻击者要求受害系统至少为2023年10月发布的Sonoma 14.1或更新版本,暗示其可能针对较新的macOS环境优化攻击代码。技术分析显示,此次攻击中篡改的Termius包含持久性下载器,可获取并解码开源渗透工具Khepri,通过恶意域名建立命令控制通道。恶意代码执行时会同步启动木马加载器与正版应用,确保用户难以察觉异常。安全专家评估认为,此类攻击主要针对"缺乏有效终端防护"的环境,尤其是依赖搜索引擎下载软件的开发者群体。
https://cybernews.com/security/hackers-hide-mac-trojan-in-legitimate-applications/
京公网安备11010802024551号