黑客利用Sitecore零日漏洞CVE-2025-53690部署后门
发布时间 2025-09-081. 黑客利用Sitecore零日漏洞CVE-2025-53690部署后门
9月4日,威胁行为者通过旧版Sitecore部署中的零日漏洞CVE-2025-53690发起攻击,该漏洞源于2017年前Sitecore指南中公开的示例ASP.NET机器密钥被生产环境重复使用,导致ViewState反序列化漏洞引发远程代码执行(RCE)。攻击者针对含未经验证ViewState字段的“/sitecore/blocked.aspx”端点,在IIS网络服务账户下执行恶意“_VIEWSTATE”负载,部署WeepSteel侦察后门。该恶意软件可窃取系统、进程、磁盘及网络信息,伪装成标准ViewState响应外传,并执行whoami、ipconfig等侦察命令。攻击进入多阶段扩展:黑客部署Earthworm网络隧道、Dwagent远程访问工具及7-Zip压缩工具,创建本地管理员账户(如“asp$”)、转储SAM/SYSTEM凭据,并通过GoTokenTheft进行令牌模拟提升权限。为维持持久性,攻击者禁用账户密码过期、授予RDP权限,并将Dwagent注册为系统服务。Sitecore联合Mandiant发布安全公告,建议管理员立即替换web.config中所有静态值为唯一新密钥,并加密元素,同时强调定期轮换静态机器密钥作为长期安全措施。
https://www.bleepingcomputer.com/news/security/hackers-exploited-sitecore-zero-day-flaw-to-deploy-backdoors/
2. 菲律宾东南大学数据库涉嫌泄露,学生数据被出售
9月3日,一名威胁行为者入侵了菲律宾东南大学 (USeP),并在暗网论坛上出售其数据库。USeP 是一所著名的州立大学,位于菲律宾棉兰老岛的达沃市。作为该地区重要的公共研究和教育机构,该校掌握着大量师生数据。此次入侵事件泄露了敏感信息,对涉案人员构成风险。威胁行为者声称,被入侵的数据库大小超过 20MB,包含一个 SQL 文件,包含超过 175,000 行数据。据称,泄露的信息包括大量学生的个人身份信息 (PII),例如全名、电子邮件地址、电话号码、家庭住址和学业详情。论坛帖子列出了许多据称被泄露的数据库表,表明发生了全面的数据泄露事件。据称,被入侵的表包括:编辑请求、已注册、全球的、图片、监控、位置、请求表、请求表12、请求表旧、studrecords、系统日志、交易、尝试、用户。
https://dailydarkweb.net/university-of-southeastern-philippines-database-allegedly-breached-student-data-for-sale/
3. SAP S/4HANA高危漏洞CVE-2025-42957遭野外利用
9月5日,研究人员警告称,SAP S/4HANA存在一个严重的代码注入漏洞CVE-2025-42957,该漏洞正在被野外攻击利用,以攻破暴露的服务器。该漏洞源于SAP S/4HANA中RFC公开功能模块的ABAP代码注入问题,允许低权限身份验证用户注入任意代码、绕过授权并完全接管SAP系统。供应商SAP已于2025年8月11日修复此漏洞,并将其评定为严重漏洞,CVSS评分高达9.9分。然而,部分系统尚未应用该安全更新,这些未修补的系统已成为黑客攻击的目标。据SecurityBridge报告,CVE-2025-42957目前仍在野外被积极利用,尽管利用程度有限。SecurityBridge于2025年6月27日发现该漏洞并负责任地向SAP报告,还协助开发了补丁。但由于受影响组件的开放性以及ABAP代码的公开性,技术高超的威胁行为者能够轻松逆向工程补丁,自行发现漏洞。该漏洞的潜在后果包括数据盗窃、数据操纵、代码注入、通过创建后门账户提升权限、凭证盗窃以及通过恶意软件、勒索软件等方式中断运营。SecurityBridge还制作了视频演示如何利用该漏洞在SAP服务器上运行系统命令。
https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/
4. Wealthsimple披露数据泄露事件,超300万客户受影响
9月5日,加拿大在线投资管理巨头Wealthsimple披露一起数据泄露事件,攻击者通过入侵第三方编写的软件包,未经授权访问了不到1%客户的个人信息。该公司成立于2014年,总部位于多伦多,管理资产超845亿加元,服务超300万加拿大人,涵盖投资、交易、加密货币、报税、消费和储蓄等金融产品,其Android应用下载量超100万次,iOS应用获超12.6万条评分。据公司声明及向客户发送的违规通知显示,泄露数据包括联系方式、政府身份证信息、财务详情(如账号、IP地址、社会保险号、出生日期),但未涉及资金窃取或密码泄露。公司强调所有客户账户安全,并已通过电子邮件通知受影响用户,提供两年免费信用监控、暗网监控、身份盗窃保护和保险服务,同时建议启用双因素认证、避免密码重复使用,并警惕网络钓鱼攻击。Wealthsimple发言人表示“该事件与Salesforce无关”。公司未披露攻击者具体入侵手段,仅指出漏洞源于第三方软件包。
https://www.bleepingcomputer.com/news/security/financial-services-firm-wealthsimple-discloses-data-breach/
5. Nx“s1ngularity”供应链攻击:AI工具滥用致数千机密泄露
9月6日,近期针对开源构建工具Nx的“s1ngularity”供应链攻击爆发,攻击者通过篡改GitHub Actions工作流在NPM发布含“telemetry.js”恶意软件的Nx包。该恶意软件针对Linux/macOS系统,利用Claude、Q、Gemini等AI工具的LLM提示窃取GitHub令牌、npm令牌、SSH密钥等敏感信息,并上传至“s1ngularity-repository”公共存储库。Wiz事后评估显示,事件分三阶段导致2,180个账户、7,200个存储库泄露,超2,000个唯一机密及20,000个文件暴露,且大量机密仍有效,影响持续扩大。攻击分三阶段:首阶段(8月26-27日)直接影响1,700用户,泄露超2,000机密;次阶段(8月28-29日)攻击者利用泄露的GitHub令牌将私有库转为公共库并重命名,导致480个账户(多为组织)及6,700个存储库受损;末阶段(8月31日)攻击者针对特定组织,通过被控账户发布500个私人存储库。GitHub虽在八小时内删除攻击者库,但数据已被复制。Nx团队事后分析指出,入侵源于拉取请求标题注入及pull_request_target的不安全使用,使攻击者以提升权限运行代码,触发发布管道并泄露npm令牌。
https://www.bleepingcomputer.com/news/security/ai-powered-malware-hit-2-180-github-accounts-in-s1ngularity-attack/
6. VirusTotal揭露SVG文件中的网络钓鱼攻击
9月6日,VirusTotal通过其AI Code Insight平台新增SVG支持后,发现一起利用SVG文件实施的网络钓鱼攻击活动,该活动冒充哥伦比亚司法系统门户网站传播恶意软件。SVG作为可缩放矢量图形格式,可通过元素嵌入HTML和JavaScript,在加载时执行代码,这一特性被威胁行为者滥用。攻击中,SVG文件渲染虚假政府门户网站,显示逼真的下载进度条及案例编号、安全令牌等信任提示,诱导用户下载密码保护的ZIP压缩包,密码直接显示在页面上。经分析,提取的ZIP文件包含伪装成官方司法文件的Comodo Dragon浏览器可执行文件、恶意DLL及两个加密文件。用户运行可执行文件时,恶意DLL会被侧载,进而在系统中安装更多恶意软件。VirusTotal指出,此类攻击因SVG支持复杂交互且防病毒软件检测率低,易逃避传统安全检测。此次事件中,AI Code Insight通过机器学习分析文件行为,识别出SVG中隐藏的JavaScript执行HTML的异常行为,成为揭露攻击的关键。该工具生成的可疑行为摘要帮助研究人员快速定位恶意活动。进一步调查发现,523个先前上传的SVG文件同属该活动,但此前均未被安全软件标记为恶意。
https://www.bleepingcomputer.com/news/security/virustotal-finds-hidden-malware-phishing-campaign-in-svg-files/
京公网安备11010802024551号