CISA警告Oracle高危漏洞正被积极利用
发布时间 2025-11-251. CISA警告Oracle高危漏洞正被积极利用
11月21日,美国网络安全和基础设施安全局(CISA)近日发布严重警告,要求联邦民事行政部门(FCEB)机构必须在2025年12月12日前修复Oracle Identity Manager的CVE-2025-61757漏洞。该漏洞被追踪为“零日漏洞”,已被实际用于攻击,对联邦企业构成重大风险。CVE-2025-61757是Oracle Identity Manager REST API中存在的身份验证前远程代码执行漏洞,由Searchlight Cyber分析师Adam Kues和Shubham Shahflaw发现并披露。漏洞源于攻击者可通过在URL路径中添加“--public-access”或类似参数,欺骗安全过滤器将受保护端点视为公开可访问,从而绕过身份验证直接访问Groovy脚本编译端点。攻击者可利用Groovy的注解处理功能,在编译时注入恶意代码实现远程执行,无需任何身份验证。Oracle已于2025年10月21日发布安全更新修复该漏洞,但CISA强调,该漏洞因技术门槛低、利用简单,极易被威胁行为者快速复制利用。
https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/
2. 俄相关攻击借3D市场传StealC V2窃密软件
11月24日,与俄罗斯相关的网络攻击活动正通过CGTrader等3D模型市场传播StealC V2信息窃取恶意软件。攻击者利用Blender开源3D软件特性,将恶意Python代码嵌入.blend文件中。当用户启用Blender的自动运行功能时,打开含恶意脚本的角色绑定文件会触发自动加载,该脚本通过Cloudflare Workers域获取恶意软件加载器,进而下载PowerShell脚本,最终从攻击者控制的IP地址检索两个ZIP存档。这些压缩文件解压至%TEMP%文件夹,并在启动目录放置LNK文件实现持久化,同时部署StealC主窃取器及辅助Python窃取器形成冗余备份。Morphisec公司指出,本次攻击使用的StealC为今年早些时候Zscaler分析的第二个主要版本的最新变种。新版StealC扩展了数据窃取能力,支持从23种以上浏览器、100余个加密货币钱包扩展/应用、Telegram、Discord等通讯工具、VPN及邮件客户端窃取数据,并配备更新的UAC绕过机制。
https://www.bleepingcomputer.com/news/security/malicious-blender-model-files-deliver-stealc-infostealing-malware/
3. ClickFix攻击利用图像隐写术传播恶意软件
11月24日,近期,研究人员发现ClickFix攻击出现新变种,攻击者通过逼真的Windows更新动画和图像隐写术在全屏浏览器页面实施社会工程攻击。该攻击自10月1日起活跃,以完成"关键安全更新"或"人工验证"为诱饵,诱导用户在Windows命令提示符中粘贴并执行攻击者通过JavaScript自动复制到剪贴板的恶意命令。新变种采用先进隐写技术,将恶意软件有效载荷编码于PNG图像的像素数据中,通过特定颜色通道在内存中重建并解密。攻击流程包含多阶段执行:首先使用mshta原生二进制文件执行恶意JS代码,随后通过PowerShell和.NET程序集从加密图像中提取shellcode。Stego Loader的清单资源中包含AES加密的blob,本质是嵌入PNG文件的shellcode,需通过自定义C#代码重建。威胁行为者还采用动态规避策略"ctrampoline",通过入口点函数调用万个空函数干扰分析。
https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/
4. SitusAMC数据泄露事件波及顶级银行客户
11月24日,房地产融资服务巨头SitusAMC于2025年11月12日发现数据泄露事件,该公司为花旗集团、摩根士丹利、摩根大通等1500家客户提供抵押贷款发放、服务及合规等后台运营支持,年营收约10亿美元。经初步调查确认,此次事件导致企业客户及终端用户数据泄露,具体包括与业务关系相关的会计记录、法律协议等企业数据,以及部分客户的客户个人信息。事件时间线显示,SitusAMC在11月12日收到安全警报后,于15日完成初步调查确认漏洞性质,16日开始通知住宅用户,至22日完成全部客户告知。公司强调业务运营未受影响,系统未发现加密恶意软件部署痕迹。首席执行官迈克尔·弗兰科表示,公司正通过直接沟通渠道向受影响客户提供持续更新,并专注于分析受影响数据范围。此次事件涉及数据复杂性较高,具体受影响客户数量及数据规模仍在调查中。尽管事件涉及多家银行业巨头,但公司未披露具体受影响机构名单。
https://www.bleepingcomputer.com/news/security/real-estate-finance-services-giant-situsamc-breach-exposes-client-data/
5. Shai-Hulud供应链攻击重创npm生态
11月24日,近期,威胁组织Shai-Hulud在npm注册表发起大规模供应链攻击,通过木马化Zapier、ENS Domains、PostHog等492个知名软件包,窃取开发者及CI/CD团队的机密信息并加密上传至GitHub。攻击利用被盗维护者账户修改package.json注入恶意脚本,结合TruffleHog工具实施窃密,GitHub已检测到27,600条相关条目。此次攻击呈现指数级扩散特征:Wiz云安全平台发现350个涉案维护者账户,每30分钟新增约1,000个存储库。恶意软件包含setup_bun.js和10MB的bun_environment.js,执行五阶段攻击流程:窃取GitHub/npm令牌、云平台密钥等机密,并在满足特定条件(如无法认证GitHub、获取令牌失败)时覆盖用户主目录。攻击影响深远:ENS Domains等工具包被入侵,影响以太坊地址解析、ENS智能合约交互等核心功能。GitHub虽持续删除攻击者创建的Sha1-Hulud,但威胁行为者仍快速重建。
https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/
6. 哈佛大学遭语音钓鱼攻击致校友数据泄露
11月24日,哈佛大学校友事务和发展系统11月18日遭遇语音网络钓鱼攻击,导致学生、校友、捐赠者、员工及教职员工个人信息泄露。据该校副校长克拉拉·杰林科娃和校友事务与发展副校长吉姆·胡森披露,泄露数据涵盖电子邮件地址、电话号码、家庭/办公地址、活动出席记录、捐赠详情及与大学筹款和校友参与相关的个人信息,但未包含社会保障号码、密码、支付卡信息或财务信息。此次事件影响范围广泛,涉及校友及其配偶/伴侣/遗孀、捐赠者、在校生及毕业生家长、部分在校学生和教职员工。哈佛大学已立即采取措施解除攻击者系统访问权限,并与执法部门及第三方网络安全专家合作调查。11月22日,学校向可能受影响的个人发送数据泄露通知,提醒警惕异常通信,特别是要求提供密码、社保号或银行信息的电话、短信或邮件。这是哈佛大学近期第二起数据安全事件。10月中旬,Clop勒索软件团伙曾声称利用Oracle E-Business Suite零日漏洞入侵该校系统。
https://www.bleepingcomputer.com/news/security/harvard-university-discloses-data-breach-affecting-alumni-donors/
京公网安备11010802024551号