知名汽车品牌系统漏洞致客户数据泄露及车辆远程控制风险
发布时间 2025-08-131. 知名汽车品牌系统漏洞致客户数据泄露及车辆远程控制风险
8月11日,近日,在美国拥有超1000家经销店的某未公开名称的大型汽车制造商被曝存在严重安全漏洞,其经销商使用的在线门户网站存在身份验证缺陷,导致客户数据泄露及车辆远程控制风险。该漏洞由知名安全研究员Eaton Zveare发现并报告,已于2025年2月修复。Zveare通过修改门户网站代码,成功绕过登录安全机制创建了"国家管理员"账户,从而获得"无限制访问权限"。攻击者可借此获取数千名客户的私人信息,包括个人数据、财务信息及车辆识别码(VIN)。更严峻的是,通过VIN或客户姓名,黑客可远程控制车辆功能,如解锁车门,甚至存在被窃贼利用的潜在风险。尽管Zveare未测试车辆启动功能,但漏洞已足以构成重大安全隐患。此次事件暴露的系统缺陷远超客户数据层面。凭借管理员权限,研究人员还可查看所有经销商的财务数据,并实时追踪租赁或代步车的位置。Zveare在Defcon安全会议上演示漏洞时强调,根本问题源于简单的身份验证设计缺陷,"基础环节出错会导致整个系统崩溃"。
https://hackread.com/carmaker-portal-flaw-hackers-unlock-cars-steal-data/
2. 荷兰关键组织遭Citrix NetScaler零日漏洞攻击
8月11日,荷兰国家网络安全中心(NCSC)近日发出严重警告,指出Citrix NetScaler设备中存在的CVE-2025-6543漏洞已被用于入侵该国多个关键组织,攻击者利用该漏洞实现了远程代码执行并清除入侵痕迹,造成重大安全风险。该漏洞源于内存溢出错误,可导致受影响的NetScaler ADC和Gateway设备出现控制流异常或拒绝服务。值得注意的是,攻击早于补丁发布,NCSC证实,至少自5月初起,该漏洞便被作为零日漏洞利用,较Citrix 6月25日发布安全公告提前近两个月。攻击者手法先进,不仅通过漏洞实现远程代码执行,还刻意清除入侵痕迹以掩盖行为。荷兰公共检察机关(OM)披露,其系统因该漏洞遭受严重破坏,导致运营中断,直至上周才逐步恢复电子邮件等核心服务。NCSC评估,此次攻击针对多个重要组织,凸显漏洞的实际危害性。为应对威胁,NCSC强调必须立即升级至受支持版本,并建议安装补丁后执行以下操作:通过命令终止所有活动会话,清除持久会话。
https://www.bleepingcomputer.com/news/security/netherlands-citrix-netscaler-flaw-cve-2025-6543-exploited-to-breach-orgs/
3. 超2.9万台未修补Exchange服务器暴露高风险漏洞
8月11日,近日,超过29,000台未修补的Microsoft Exchange服务器因高严重性漏洞(CVE-2025-53786)持续暴露于网络攻击风险中,该漏洞可能使攻击者通过伪造令牌或API调用在云环境中横向移动,最终导致混合云及本地域的完全入侵。据安全威胁监控平台Shadowserver 8月10日扫描结果,全球仍有29,098台未修补服务器,其中美国(7,200余台)、德国(6,700余台)、俄罗斯(2,500余台)为重灾区。该漏洞影响Exchange Server 2016、2019及订阅版(混合配置模式),其原理在于允许已获取本地Exchange管理权限的威胁行为者,通过操纵可信令牌或API调用无痕提升云环境权限,微软将其标记为“更可能被利用”的高危漏洞。尽管目前尚未发现实际攻击案例,但微软4月发布的修补程序仍未被广泛采用,导致风险持续累积。针对这一威胁,美国网络安全与基础设施安全局(CISA)迅速行动,于微软披露漏洞次日发布紧急指令25-02,要求所有联邦民事行政部门(FCEB)机构在美国东部时间周一上午9点前完成修复。
https://www.bleepingcomputer.com/news/security/over-29-000-exchange-servers-unpatched-against-high-severity-flaw/
4. Curly COMrades网络间谍组织针对东欧目标实施新型恶意软件攻击
8月12日,网络安全公司Bitdefender近日披露,一个疑似支持俄罗斯利益的APT组织Curly COMrades自2024年中期以来,针对格鲁吉亚政府机构、司法部门及摩尔多瓦能源公司展开网络间谍活动。该组织采用自主研发的三阶段.NET恶意软件MucorAgent,通过复杂的攻击链实现持久化渗透,其技术特征与地缘政治动机引发业界关注。研究显示,Curly COMrades的核心工具MucorAgent被设计为隐形后门,具备执行AES加密PowerShell脚本、将结果回传C2服务器的能力。其攻击链通过劫持Windows组件对象模型(COM)对象实现,并大量依赖curl.exe进行数据外泄和通信。尽管未发现与已知俄罗斯APT组织的直接关联,但该组织对东欧关键基础设施的定向攻击,与俄罗斯联邦地缘战略存在显著一致性。该组织的持久化机制颇具创新性:通过劫持.NET Framework的NGEN组件,将恶意代码植入看似不活跃的计划任务。攻击者还部署Resocks、自定义SOCKS5服务器及SSH+Stunnel组合进行流量混淆,甚至通过CurlCat工具利用libcurl库和特殊Base64编码,将恶意流量伪装成合法网站通信。
https://www.bleepingcomputer.com/news/security/curly-comrades-cyberspies-hit-govt-orgs-with-custom-malware/
5. 全球人力巨头Manpower遭RansomHub勒索攻击,14.5万人数据泄露
8月12日,全球人力资源服务巨头Manpower近日披露一起重大数据泄露事件,影响范围波及近14.5万名个人。此次事件源于2024年12月29日至2025年1月12日期间,身份不明的攻击者未经授权侵入其系统,可能获取了包含社会安全号码、地址、联系信息、护照扫描件等敏感数据的文件。作为万宝盛华集团(ManpowerGroup)旗下子公司,Manpower在全球拥有超过2700个办事处,服务超10万家客户,2024年营收达179亿美元。事件暴露源于2025年1月20日,该公司兰辛办公室IT系统中断引发调查。随后,Manpower确认攻击者在此期间持续访问其网络,并于7月28日开始向受影响个体发出通知。为应对危机,该公司已强化IT安全措施,与联邦调查局(FBI)合作追查攻击者,并通过Equifax为受害者提供免费信用监控及身份盗窃保护服务。值得注意的是,勒索软件组织RansomHub公开宣称对此次攻击负责,声称窃取约500GB数据,包括客户数据库、财务报表、人力资源分析、机密合同等核心资料。尽管Manpower未明确承认支付赎金,但RansomHub已从其暗网泄密站点移除相关条目,暗示可能存在赎金交易。
https://www.bleepingcomputer.com/news/security/manpower-staffing-agency-discloses-data-breach-after-attack-claimed-by-ransomhub/
6. 黑客袭击荷兰实验室,窃取50万名患者数据
8月12日,荷兰近日发生一起重大数据泄露事件,影响超过48.5万名宫颈癌筛查计划参与者。据荷兰人口筛查协会(BDO)通报,7月3日至6日期间,位于莱斯韦克的Eurofins Scientific子公司临床诊断实验室NMDL遭不明威胁行为者入侵,导致参与者姓名、地址、出生日期、公民服务号码(BSN)、检测结果及医疗提供者信息等敏感数据被盗,少数受害者电子邮件和电话号码亦被窃取。尽管实验室在8月6日才向当局报告,但BDO已暂停其服务并启动独立IT安全调查,同时强调其他实验室将接管筛查结果处理,确保公民继续参与项目。此次事件暴露出第三方服务机构的安全漏洞。当地报道指出黑客可能窃取了过去三年使用该实验室的其他患者数据,总量达300GB,实际影响范围或远超初步统计。目前,荷兰当局正逐一通知受害者,BDO亦警告其可能面临身份盗窃或欺诈风险。
https://www.infosecurity-magazine.com/news/hackers-raid-dutch-lab-steal-data/
京公网安备11010802024551号