思科防火墙零日漏洞遭国家支持组织攻击
发布时间 2025-11-111. 思科防火墙零日漏洞遭国家支持组织攻击
11月7日,思科于2025年9月25日发布安全更新,修复CVE-2025-20362(允许未经身份验证访问受限URL)和CVE-2025-20333(允许经身份验证远程代码执行)两个高危漏洞。二者关联后,远程未经身份验证的攻击者可完全控制未打补丁的ASA和FTD防火墙系统,导致设备重启循环及拒绝服务(DoS)攻击。同日,美国网络安全与基础设施安全局(CISA)发布紧急指令,要求联邦机构在24小时内保护思科防火墙设备,并强制断开已停止支持(EoS)的ASA设备与联邦网络的连接。威胁监控服务Shadowserver追踪发现,互联网上暴露的易受攻击ASA和FTD实例超过34,000个,9月未修补防火墙数量接近50,000个。思科指出,这些攻击与2024年ArcaneDoor攻击活动同属一个国家支持的组织(微软追踪为STORM-1849/UAT4356),该组织曾利用CVE-2024-20353和CVE-2024-20359漏洞入侵全球政府网络,部署Line Dancer内存shellcode加载器和Line Runner后门恶意软件以维持持久性。2025年11月5日,思科发现新攻击变种,针对运行相同漏洞影响的ASA/FTD软件版本的设备,导致未打补丁设备意外重启。
https://www.bleepingcomputer.com/news/security/cisco-actively-exploited-firewall-flaws-now-abused-for-dos-attacks/
2. Rhysida勒索团伙泄露Gemini Group近2TB数据
11月6日,与俄罗斯关联的Rhysida勒索软件团伙近日在暗网泄露美国制造业巨头Gemini Group近2TB敏感数据,涉及170余万个文件,包括员工薪资、休假余额、社会安全号码、健康保险详情、客户名单及内部财务文件等。此次泄露使1400余名员工面临身份盗窃、欺诈及人身安全威胁风险,同时暴露福特、丰田、通用汽车等核心客户的供应链信息,可能引发信任危机与法律追责。Gemini Group总部位于密歇根州,作为一级供应商在美国和墨西哥设有18个分支机构,年营收3亿美元,主营塑料挤出成型、金属模具制造等业务,是汽车行业关键供应商。10月底,Rhysida团伙在暗网发布声明,称窃取其重要数据后给予一周宽限期,最终公开1.9TB数据集,涵盖实习生名单、采购报告、发票及员工个人照片等。
https://cybernews.com/security/gemini-group-rhysida-data-leak/
3. 华盛顿邮报遭Clop勒索攻击,Oracle零日漏洞波及全球
11月6日,《华盛顿邮报》近日确认成为Clop勒索软件组织最新攻击目标,该团伙利用Oracle E-Business Suite(EBS)平台零日漏洞发起大规模攻击,目前已波及全球数百家组织且影响持续扩大。作为亚马逊创始人杰夫·贝佐斯旗下媒体,该报因知名度被Clop在暗网泄露网站顶部置顶,并单独以黄色字体标注"警告",威胁若不支付赎金将通过BitTorrent磁力链接公开被盗数据。Oracle EBS作为全球数千企业使用的核心业务管理系统,涉及客户、供应商、制造、物流等多流程管理。此次攻击源于EBS软件的关键零日漏洞,谷歌研究人员早在2025年7月已追踪到该漏洞,但Oracle直至10月2日才正式报告,且首次紧急补丁失败,直至10月11日才发布有效修复,导致客户在数日内处于易受攻击状态。Clop团伙此次攻击延续其惯用策略:通过暗网泄露页面施压受害者,此前曾利用MOVEit、Fortra GoAnywhere等文件传输程序漏洞发动多次大规模攻击。
https://cybernews.com/security/washington-post-clop-oracle-ebs-victim-zero-day-hack/
4. 朝鲜黑客利用谷歌工具针对韩国用户实施精准攻击
11月10日,据韩国网络安全公司Genians披露,朝鲜黑客组织通过滥用谷歌"查找中心"工具实施精准攻击,主要针对韩国用户。攻击者首先通过KakaoTalk接触潜在目标,利用仿冒韩国国税局、警方等机构的钓鱼信息,诱导用户执行含数字签名的MSI恶意附件。该附件通过嵌套的install.bat和error.vbs脚本制造"语言包错误"假象,实际触发AutoIT脚本建立持久化访问。攻击链中,恶意脚本从C2节点下载RemcosRAT、QuasarRAT等远程访问木马,实现键盘记录、凭证窃取及二次有效载荷植入。攻击者利用被盗的谷歌账户登录"查找中心",定位目标安卓设备的GPS坐标,选择受害者户外活动、应急响应困难时段发起攻击。通过远程重置命令擦除设备数据,执行三次擦除操作确保设备长期无法恢复,同时劫持已入侵的KakaoTalk PC会话向联系人传播病毒。攻击者通过窃取Google/Naver账户凭证,修改安全设置并清除入侵日志,实现隐蔽持久化控制。技术分析显示,攻击与KONNI活动集群相关联,长期针对教育、政府、加密货币等领域。
https://www.bleepingcomputer.com/news/security/apt37-hackers-abuse-google-find-hub-in-android-data-wiping-attacks/
5. 俄罗斯公民承认参与多起Yanluowang勒索攻击
11月10日,据美国司法部披露,俄罗斯公民Aleksey Olegovich Volkov(别名“chubaka.kor”“nets”)已签署认罪协议,承认在2021年7月至2022年11月期间作为“初始访问代理”(IAB),为针对至少八家美国公司的Yanluowang勒索软件攻击提供网络入侵服务。Volkov通过入侵企业网络获取访问权限后,将其出售给勒索软件组织,后者部署勒索软件加密数据并索要30万至1500万美元不等的比特币赎金。FBI调查显示,Volkov的身份通过多维度证据链被锁定:执法部门通过服务器搜查令恢复了聊天记录、被盗数据、网络凭证及Yanluowang邮箱证据;结合其Apple iCloud账户、加密货币交易记录及社交媒体账号追踪到其俄罗斯护照及电话号码信息。聊天记录进一步揭示,Volkov与代号“CC-1”的同谋约定,以提供受害者凭证为条件分得赎金比例,最终从150万美元赎金中获取分成。此外,其苹果账户内文件显示与LockBit勒索团伙存在关联,暗示更广泛的犯罪网络。Volkov面临非法转移身份、贩卖访问信息等11项指控,最高刑期达53年,并被要求向受害者赔偿超910万美元。
https://www.bleepingcomputer.com/news/security/yanluowang-initial-access-broker-pleaded-guilty-to-ransomware-attacks/
6. 流行的JavaScript库expr-eval存在远程代码执行漏洞
11月10日,流行JavaScript库expr-eval被曝存在严重安全漏洞(CVE-2025-12735),该库在NPM平台每周下载量超80万次,被超过250个项目使用。美国网络安全和基础设施安全局(CISA)将其严重程度评定为“严重”,CVSS评分达9.8。该漏洞由安全研究员Jangwoo Choe发现,源于库在处理Parser.evaluate()函数时未对传入的变量/上下文对象进行充分验证。攻击者可构造恶意函数对象,在解析过程中触发远程代码执行(RCE),从而完全控制受影响系统或窃取敏感信息。CERT协调中心(CERT-CC)警告,此漏洞可能导致软件行为被篡改或系统数据泄露。expr-eval最初由Matthew Crumley开发,是用于运行时安全解析用户数学表达式的轻量级工具,广泛应用于在线计算器、教育工具、金融系统及AI/NLP场景中的数学表达式解析。漏洞不仅影响原始expr-eval库(稳定版6年前发布),还波及其活跃分支expr-eval-fork,该分支在NPM每周下载量超8万次。修复方案已随expr-eval-fork v3.0.0版本发布,建议受影响项目立即迁移至该版本。
https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/
京公网安备11010802024551号