D-Link停产路由器现高危命令注入漏洞
发布时间 2026-01-071. D-Link停产路由器现高危命令注入漏洞
1月6日,近期,多款已停产的D-Link DSL网关路由器被发现存在高危命令注入漏洞CVE-2026-0625。该漏洞源于CGI库中输入清理不当,导致dnscfg.cgi端点易受攻击,未经身份验证的攻击者可利用DNS配置参数执行远程命令,最终实现远程代码执行。漏洞情报公司VulnCheck于2025年12月15日向D-Link报告此问题,此前Shadowserver基金会蜜罐已捕获到相关攻击迹象,且攻击技术未见公开记录。经确认,受影响设备型号及固件版本包括:DSL-526B(≤2.01)、DSL-2640B(≤1.07)、DSL-2740R(<1.17)、DSL-2780B(≤1.01.14)。这些产品自2020年起已停止销售,D-Link明确表示不会为其提供固件更新修复漏洞,建议用户立即停用并替换为受支持型号。D-Link强调,停产设备将不再接收固件更新、安全补丁或维护,建议用户将已停产设备更换为供应商积极支持的型号,或部署在非关键网络,并使用最新可用固件及严格安全设置,以降低安全风险。
https://www.bleepingcomputer.com/news/security/new-d-link-flaw-in-legacy-dsl-routers-actively-exploited-in-attacks/
2. 新型VVS Stealer恶意软件持续威胁Discord用户
1月6日,一种名为VVS Stealer(或VVS $tealer)的新型Python恶意软件自2025年4月起持续针对Discord用户发起攻击,其内部运作机制近期由Palo Alto Networks Unit 42团队首次披露。该恶意软件以PyInstaller包形式传播,可在任意Windows设备无依赖运行,无需额外配置。攻击核心聚焦于窃取Discord令牌,这种数字密钥可让黑客绕过密码直接访问用户账户,进而读取私信、获取账单及信用卡信息。其攻击流程极具迷惑性:通过伪造"致命错误"弹窗诱导用户重启电脑,随后注入恶意代码修改Discord文件,将恶意脚本植入应用文件夹,实现实时网络流量监控。更危险的是,它还能截获备份代码、多因素认证(MFA)设置,甚至在用户修改密码时拦截登录凭证。它同时针对Chrome、Edge、Brave、Opera等主流浏览器,窃取保存密码、Cookie、自动填充数据,并截取桌面截图。该恶意软件采用订阅制销售模式,在Telegram平台以每周10欧元或终身199欧元的价格售卖,被宣传为"终极窃取工具"。
https://hackread.com/vvs-stealer-malwar-discord-system-errors/
3. 英国沃里克郡学校遭网络攻击致停课
1月6日,英国沃里克郡纽尼顿的海厄姆巷学校因网络攻击导致IT系统全面瘫痪,被迫于2026年1月5日及6日停课,学生因此获得延长版圣诞假期。此次事件造成学校电话、电子邮件、服务器及管理系统完全无法访问,校方根据外部专家建议作出停课决定,目前调查仍在进行中。校长迈克尔·甘农在致家长信中表示,学校正与教育部网络事件响应小组及所属多学院信托机构英格兰中部学院信托机构的IT专家密切合作,全面调查并解决问题。作为预防措施,所有教职员工和学生被要求在另行通知前停止使用学校系统,包括谷歌课堂和SharePoint。已登录系统的学生被告知无需担忧,但封锁访问权限是确保调查期间最大安全性的必要措施。学校在1月3日发布的早期通知中明确指出,此次事件涉及"任何数字服务"的中断,并承认存在监管合规问题。根据2018年数据保护法及GDPR要求,学校已在72小时内向信息专员办公室(ICO)报告事件,并将与当地政府数据保护官员合作履行义务。
https://www.theregister.com/2026/01/06/nuneaton_school_cyberattack/
4. UAC-0184利用Viber平台对乌发动多阶段网络攻击
1月5日,据安全研究显示,与俄罗斯相关的威胁行为者UAC-0184(别名Hive0156)正通过Viber即时通讯平台向乌克兰军方及政府实体投递伪装成文档的恶意ZIP压缩包,持续开展高强度情报搜集活动。该组织自2024年初由乌克兰计算机应急响应小组首次记录以来,已从利用Signal、Telegram传播恶意软件演变为以Viber为初始入侵载体,形成更隐蔽的攻击链。攻击流程呈现多阶段特征:恶意ZIP包内含多个Windows快捷方式文件(.LNK),伪装成Microsoft Word/Excel官方文档诱骗用户打开。这些LNK文件表面展示诱饵文档降低受害者警惕,后台则通过PowerShell脚本从远程服务器静默下载第二个ZIP包,执行Hijack Loader加载器。该加载器采用DLL侧加载和模块堆叠技术,在内存中重构并部署,规避安全工具检测。随后,加载器通过CRC32哈希值扫描环境中的安全软件(如卡巴斯基、Avast、BitDefender等),并建立计划任务实现持久性。最终,通过注入“chime.exe”进程隐蔽执行Remcos远程访问木马,使攻击者获得终端管理、负载执行、活动监控及数据窃取能力。
https://cybersecuritynews.com/whatsapp-device-fingerprinting/
5. WhatsApp多设备加密漏洞致操作系统指纹识别风险
1月5日,Meta旗下拥有超30亿月活跃用户的即时通讯应用WhatsApp,其端到端加密的多设备功能长期存在元数据泄露隐患,使攻击者能够通过设备指纹识别精准投递恶意软件。近期研究显示,尽管Meta已实施部分修复措施,但透明度不足的问题仍引发安全社区关注。WhatsApp多设备架构下,发送方与接收方设备建立独立会话,采用设备本地生成的唯一加密密钥。密钥ID实现差异会暴露设备操作系统类型(如Android或iOS),攻击者可被动查询WhatsApp服务器获取会话密钥,无需用户交互即可识别操作系统,进而向Android设备定向部署漏洞利用程序,同时规避iOS设备以保持隐蔽性。为应对此风险,WhatsApp已将Android签名预密钥ID分配方式改为在整个24位范围内随机取值,阻断该攻击路径。然而,iOS一次性预密钥仍具区分度,其ID起始值较低且每隔几天递增,而Android使用完全随机范围,修复后工具仍能可靠检测操作系统。这种差异使高级持续性威胁可利用WhatsApp作为隐蔽传播渠道,查询过程不触发用户通知。
https://cybersecuritynews.com/whatsapp-device-fingerprinting/
6. Everest勒索软件攻击Bolttech窃取186GB敏感数据
1月5日,近日,与俄罗斯关联的Everest勒索软件组织宣称已从全球保险基础设施平台Bolttech窃取约186GB高度敏感数据,并要求该公司支付赎金。该组织在暗网泄露网站发布信息称,窃取内容包括员工和代理账户(电子邮件、姓名、角色、标识符)、客户信息、联系详情、保单数据、抵押贷款记录、电话号码、被保险财产地址、财务参数及内部运营标识符,并附照片样本佐证。网站设有倒计时器,威胁若本周晚些时候未获回复,将公开全部数据。研究团队分析后指出,数据滥用风险严峻:客户及员工的个人身份信息可能被用于网络钓鱼、身份画像分析;保单标识符或被用于提交欺诈性索赔。若数据包含完整地址,人肉搜索风险将进一步加剧。Everest组织自2021年首次被识别以来,已成为最具攻击性的勒索软件团伙之一。过去12个月内Everest已侵害超100家组织,近期还攻击了巴西石油巨头巴西国家石油公司及运动品牌Under Armour。
https://cybernews.com/security/everest-hack-bolttech-ransom-data/
京公网安备11010802024551号