CISA强制要求修复GeoServer高危XXE漏洞
发布时间 2025-12-161. CISA强制要求修复GeoServer高危XXE漏洞
12月12日,美国网络安全和基础设施安全局(CISA)近日发布紧急指令,要求联邦民事行政部门(FCEB)机构在2026年1月1日前修复GeoServer开源地理空间服务器中的严重XML外部实体(XXE)注入漏洞(CVE-2025-58360)。该漏洞存在于GeoServer 2.26.1及更早版本,通过未充分清理的XML输入端点处理外部实体引用,使攻击者可实施拒绝服务攻击、窃取敏感文件或执行服务器端请求伪造(SSRF)访问内部系统。Shadowserver组织追踪到2451个暴露的GeoServer实例,而Shodan扫描显示全球超过14000个服务器暴露于公网,存在被大规模利用风险。CISA已将该漏洞列入已知可利用漏洞(KEV)目录,强调其正被积极用于真实攻击,并敦促所有网络防御者优先修复,即使非联邦机构也应遵循供应商指引或停用未打补丁的产品。
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-actively-exploited-geoserver-flaw/
2. 与哈马斯关联的APT组织瞄准中东及摩洛哥政府机构
12月13日,据帕洛阿尔托网络公司Unit 42团队周四发布的报告,与巴勒斯坦武装组织哈马斯关联的黑客组织“灰兔”被指控使用含恶意软件的文档,入侵阿曼、摩洛哥及巴勒斯坦权力机构相关的政府与外交实体。该组织活动始终与哈马斯战略利益保持一致,自2020年起攻击手段日益复杂,发展出基础设施混淆等高级技术,并采用名为AshTag的新型恶意软件从中东关键实体窃取信息。尽管2025年10月加沙停火后其他哈马斯关联黑客活动减少,“灰兔”仍持续活跃。其攻击通常以伪装成涉及土耳其与巴勒斯坦实体关系的合法文档为诱饵,通过感染的PDF文件引导目标下载含恶意负载的RAR压缩包。AshTag恶意软件允许黑客提取文件、下载内容并执行进一步操作,甚至直接通过键盘操控进行数据窃取,研究人员曾发现攻击者从受害者邮箱下载特定外交相关文件。
https://therecord.media/hamas-apt-targeting-government-agencies
3. SoundCloud安全漏洞致2800万用户数据泄露
12月15日,音频流媒体平台SoundCloud近日证实,过去数日的服务中断及VPN连接异常系由安全漏洞引发,攻击者窃取了包含用户信息的数据库。此前四天,大量用户通过VPN访问时遭遇403“禁止访问”错误,引发广泛关注。SoundCloud在声明中披露,其检测到涉及辅助服务仪表板的未经授权活动后,已启动事件响应程序。经调查确认,威胁行为者访问了“有限数据”,但强调未涉及财务数据、密码等敏感信息,仅包含电子邮件地址及公开个人资料中的信息。此次数据泄露影响约20%的用户,按公开数据推算,约2800万个账户受波及。公司表示已阻止所有未经授权的系统访问,并联合第三方网络安全专家采取强化措施,包括改进监控与威胁检测、审查身份访问控制及系统评估。然而,这些安全加固措施导致VPN连接中断,SoundCloud尚未提供恢复时间表。回应之后,平台遭遇拒绝服务攻击,造成服务短暂瘫痪。ShinyHunters勒索团伙可能为此次入侵的幕后黑手。
https://www.bleepingcomputer.com/news/security/soundcloud-confirms-breach-after-member-data-stolen-vpn-access-disrupted/
4. 日本Askul遭勒索攻击致74万客户数据泄露
12月15日,日本电子商务巨头Askul Corporation近日证实,其于10月遭受RansomHouse勒索软件攻击,导致约74万条客户记录被盗,涉及企业客户59万条、个人客户13.2万条、业务合作伙伴1.5万条及高管员工2700条数据。此次事件由RansomHouse组织认领,该组织通过窃取外包合作伙伴管理员账户的凭据实施入侵,该帐户未启用多因素身份验证。攻击者侦察网络后收集身份验证信息,禁用漏洞防御软件如EDR,在多个服务器间移动并获取权限,最终加密数据并清除备份文件,导致IT系统故障,迫使Askul暂停向包括无印良品在内的客户发货。调查显示,攻击者利用多种勒索软件变种绕过更新后的EDR签名,凸显安全防护漏洞。截至12月15日,订单发货仍受影响,系统恢复工作持续进行。Askul已向受影响客户和合作伙伴单独通知,并向日本个人信息保护委员会报告事件,建立长期监控机制以防数据滥用。
https://www.bleepingcomputer.com/news/security/askul-confirms-theft-of-740k-customer-records-in-ransomhouse-attack/
5. 美国700Credit数据泄露事件波及580万人
12月15日,总部位于美国的金融科技公司700Credit近日披露,其超过580万名客户的个人信息在7月发生的数据泄露事件中遭窃取。此次事件源于其集成合作伙伴的系统遭不法分子入侵,攻击者利用未经验证的API漏洞,在5月至10月期间持续窃取约20%的消费者数据,直至700Credit于10月25日通过第三方专家调查发现可疑活动。经调查确认,泄露数据涉及姓名、实际地址、出生日期及社会安全号码(SSN)等高度敏感信息。值得注意的是,合作伙伴在系统被入侵后未及时通知700Credit,导致安全响应延迟。公司披露,攻击者通过API漏洞绕过身份验证机制,直接复制经销商客户网络应用中的记录。700Credit已终止暴露的API接口,并主动代表受影响经销商向联邦贸易委员会(FTC)提交违规通知,同时告知全国汽车经销商协会(NADA)以提升公众意识。为降低受影响个人风险,700Credit通过TransUnion提供12个月免费身份保护及信用监控服务,注册期为90天。
https://www.bleepingcomputer.com/news/security/700credit-data-breach-impacts-58-million-vehicle-dealership-customers/
6. 法国内政部证实电子邮件服务器遭到网络攻击
12月15日,法国内政部长洛朗·努涅斯周五证实,该部门于12月11日至12日夜间遭遇网络攻击,电子邮件服务器遭入侵。攻击者虽能访问部分文档文件,但官方尚未确认数据是否被盗。为应对此次安全漏洞,内政部已升级安全协议并强化信息系统访问控制,同时法国当局已启动调查以确定攻击来源与范围。努涅斯在声明中指出,调查人员正探索多种可能性,包括外国势力干预、活动人士试图展示系统漏洞,或网络犯罪动机。他强调:“攻击确实发生,文件已被访问,我们采取了常规保护措施,但具体原因仍待查明。”作为监管警察、内部安全及移民服务的核心部门,内政部长期成为国家支持黑客与网络犯罪分子的重点目标。分析指出,此次内政部攻击可能与此类国家支持的黑客活动存在关联,但需进一步调查确认。法国当局正结合技术取证与国际情报合作,试图追溯攻击路径。内政部官网已设立专门页面通报事件进展,并呼吁公众保持警惕。
https://www.bleepingcomputer.com/news/security/france-interior-ministry-confirms-cyberattack-on-email-servers/
京公网安备11010802024551号