Gladinet加密漏洞致9家机构被远程攻击
发布时间 2025-12-151. Gladinet加密漏洞致9家机构被远程攻击
12月11日,黑客正利用Gladinet CentreStack和Triofox产品中未记录的加密算法漏洞实施攻击。该漏洞源于AES加密算法的自定义实现存在硬编码密钥缺陷,GladCtrl64.dll文件中存储的加密密钥和初始化向量(IV)源自两个静态的100字节中文字符串,在所有产品安装中完全相同。攻击者可提取这些密钥解密访问票据含文件路径、用户凭证等信息,或伪造票据冒充用户获取系统文件。具体攻击路径显示,威胁行为者通过"filesvr.dn"处理程序利用漏洞,将访问票据的时间戳设置为9999年实现永久有效,随后请求web.config文件获取machineKey,最终通过ViewState反序列化触发远程代码执行。Huntress安全团队监测发现,至少9家医疗、技术等行业的机构遭此攻击,攻击者还结合了旧漏洞CVE-2025-30406扩大破坏。Gladinet已发布紧急更新,并建议用户升级后立即轮换机器密钥。
https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/
2. ConsentFix攻击绕过MFA劫持微软账户
12月11日,网络安全公司Push Security发现一种名为“ConsentFix”的新型ClickFix攻击变种,该攻击通过滥用Azure CLI OAuth应用程序,在无需密码或多因素身份验证(MFA)的情况下劫持Microsoft账户。攻击始于受害者访问被入侵的合法网站,这些网站通过Google搜索针对特定关键词排名靠前。网站页面会显示伪造的Cloudflare Turnstile验证码小部件,要求用户输入有效企业邮箱地址,攻击者脚本会过滤机器人、分析师及未列入目标的用户。通过验证的用户将看到类似ClickFix的交互页面,引导其执行“验证人类身份”的操作。用户点击页面中的“登录”按钮后,会被重定向到合法的微软Azure登录页面。若用户已登录微软账户,只需选择自己的账户;若未登录,则需在微软官方页面完成正常身份验证。完成登录后,微软会将用户重定向到本地主机页面,此时浏览器地址栏会显示包含Azure CLI OAuth授权码的URL。当用户按照指示将该URL粘贴到恶意页面时,攻击者即可通过Azure CLI OAuth应用获取完整的账户访问权限。
https://www.bleepingcomputer.com/news/security/new-consentfix-attack-hijacks-microsoft-accounts-via-azure-cli/
3. PayPal订阅功能遭滥用致诈骗邮件泛滥
12月14日,近期,诈骗分子滥用PayPal的“订阅”计费功能,向用户发送伪装成合法PayPal邮件的诈骗信息。这类邮件声称“自动付款失效”,实则嵌入虚假购买通知,如声称用户购买了索尼设备、MacBook或iPhone等昂贵商品,并附有1300至1600美元不等的付款记录及“客服电话”。邮件通过“mailto:service@paypal.com”地址发送,且通过了DKIM、SPF及DMARC等邮件安全认证,直接来自PayPal官方服务器,因此能绕过垃圾邮件过滤器,极具欺骗性。诈骗分子通过修改客户服务URL字段,将虚假信息嵌入合法邮件模板。例如,URL中可能包含域名、付款金额及“取消或咨询”电话号码,并夹杂Unicode字符以粗体或特殊字体显示,试图规避关键词检测。通过测试发现,当商家暂停订阅用户时,PayPal会自动发送通知邮件,而诈骗者可能利用订阅元数据处理漏洞或旧平台接口,在URL字段中注入无效文本,从而生成诈骗邮件。这些邮件可能被转发至未注册PayPal订阅的用户。
https://www.bleepingcomputer.com/news/security/beware-paypal-subscriptions-abused-to-send-fake-purchase-emails/
4. 亲俄VolkLocker勒索软件漏洞或致免费解密
12月13日,亲俄黑客组织CyberVolk推出的勒索软件即服务(RaaS)VolkLocker存在重大实现缺陷,使受害者可能无需支付赎金即可恢复文件。据SentinelOne研究,该软件在二进制文件中硬编码了主密钥,且该密钥以明文形式存储于受感染机器的%TEMP%文件夹中,受害者可通过提取该密钥尝试解密。VolkLocker采用AES-256 GCM加密,每个文件使用随机12字节nonce作为初始化向量,加密后附加.locked或.cvolk扩展名并删除原始文件。然而,由于所有文件共享同一主密钥且密钥未被删除,该漏洞显著削弱了其勒索能力。CyberVolk总部位于印度,自2024年起活跃,曾对反俄或支持乌克兰的实体发起DDoS和勒索攻击。2025年8月,该组织以VolkLocker 2.x版本回归,同时针对Linux/VMware ESXi和Windows系统,并引入Golang定时器功能,若超时或输入错误密钥,将擦除用户文档、下载、图片和桌面文件夹。RaaS定价按操作系统架构划分:单一系统800-1100美元,双系统1600-2200美元,购买者可通过Telegram构建机器人定制加密器并获取有效载荷。同年11月,该组织还推出500美元的远程访问木马和键盘记录器。
https://www.bleepingcomputer.com/news/security/cybervolks-ransomware-debut-stumbles-on-cryptography-weakness/
5. CISA更新KEV目录,要求联邦机构2026年初修复漏洞
12月13日,美国网络安全和基础设施安全局(CISA)近日将CVE-2025-14174(Google Chromium越界内存访问漏洞)和CVE-2018-4063(Sierra Wireless AirLink ALEOS无限制上传漏洞)补充至已知可利用漏洞(KEV)目录。CVE-2025-14174是Google Chrome 143.0.7499.110版本前Mac系统存在的ANlge图形库漏洞。该漏洞源于Metal渲染器对GL_UNPACK_IMAGE_HEIGHT值的错误计算,当图像高度超过缓冲区容量时,会触发越界内存访问,导致内存损坏、程序崩溃甚至任意代码执行。谷歌已通过安全更新修复此漏洞,并确认该漏洞已在现实攻击中被利用。值得注意的是,谷歌未公开技术细节,但GitHub提交记录显示漏洞与缓冲区溢出直接相关。另一漏洞CVE-2018-4063则影响Sierra Wireless AirLink ES450固件4.9.3的upload.cgi组件。经身份验证的攻击者可发送特制HTTP请求,在设备Web服务器上传并执行恶意代码,实现远程代码执行。该漏洞自2018年披露以来,因未及时修复仍被CISA纳入目录。
https://securityaffairs.com/185639/security/u-s-cisa-adds-google-chromium-and-sierra-wireless-airlink-aleos-flaws-to-its-known-exploited-vulnerabilities-catalog.html
6. 反盗版联盟ACE捣毁印度百万级访客盗版平台
12月12日,由迪士尼、华纳兄弟、Netflix等50余家影视网络巨头支持的创意与娱乐联盟(ACE)近期在印度发起大规模反盗版行动,成功捣毁当地最受欢迎的流媒体盗版服务之一MKVCinemas及其25个相关域名。该平台在2024-2025年间吸引超1.424亿访客,为数百万用户提供免费电影电视资源。ACE通过刑事移送、民事诉讼及停止令行动,迫使位于印度比哈尔邦的运营商停止运营并移交域名控制权,所有MKVCinemas网站现已重定向至ACE的“合法观看”门户,切断盗版内容传播路径。此次行动还关闭了一款广泛使用的文件克隆工具,该工具通过隐藏云存储媒体文件来源,帮助印度及印尼用户绕过下架措施,两年内获2.314亿次访问,成为盗版内容分发的关键技术支撑。美国电影协会执行副总裁拉里萨·克纳普强调,ACE将持续追查非法运营,维护安全可持续的市场环境。
https://www.bleepingcomputer.com/news/security/mkvcinemas-streaming-piracy-service-with-142m-visits-shuts-down/
京公网安备11010802024551号