CISA将Wing FTP服务器信息泄露漏洞列入KEV目录
发布时间 2026-03-171. CISA将Wing FTP服务器信息泄露漏洞列入KEV目录
3月16日,美国网络安全和基础设施安全局(CISA)近日将Wing FTP服务器漏洞(编号CVE-2025-47813,CVSS评分4.3)正式纳入其已知利用漏洞(KEV)目录。该漏洞属于信息泄露类型,影响Wing FTP Server 7.4.4之前的所有版本,具体存在于loginok.html页面的Web身份验证流程中。根据CISA发布的公告,当攻击者向服务器发送包含超长值的UID cookie时,会触发loginok.html页面返回错误信息,从而泄露服务器的完整本地安装路径。尽管该漏洞无法直接导致远程代码执行,但泄露的文件系统详细信息可能被用于侦察活动,进而辅助实施路径遍历攻击、文件包含攻击等后续攻击手段,对系统安全构成潜在威胁。依据具有约束力的操作指令(BOD)22-01《降低已知漏洞被利用的重大风险》的要求,联邦民事执行委员会(FCEB)下属机构必须在2026年3月30日前完成该漏洞的修复工作,以防范KEV目录中记录的漏洞被恶意利用。
https://securityaffairs.com/189530/security/u-s-cisa-adds-a-flaw-in-wing-ftp-server-to-its-known-exploited-vulnerabilities-catalog.html
2. Laundry Bear APT组织利用DRILLAPP后门攻击乌克兰机构
3月16日,S2 Group旗下情报团队LAB52近日披露,一个名为DRILLAPP的新型后门活动正针对乌克兰组织实施攻击。该活动于2026年2月被发现,与俄罗斯支持的Laundry Bear APT组织(又名UAC-0190、Void Blizzard)存在关联,表明该组织持续对乌克兰进行网络间谍活动。攻击者利用Microsoft Edge浏览器的调试功能规避检测。第一个DRILLAPP变种通过LNK文件传播,在临时文件夹中创建HTML文件,加载来自pastefy.app的混淆脚本。诱饵主题涵盖Starlink安装图像到Come Back Alive慈善请求。浏览器以无头模式执行,启用-no-sandbox、-disable-web-security等参数,自动授予摄像头、麦克风和屏幕捕获权限,无需用户交互。攻击者可通过WebSocket C2服务器进行远程控制,生成设备指纹并检测特定时区。第二个变种将LNK文件替换为CPL文件,诱饵包括武器缴获报告和乌克兰国家审计署南方办公室文件。该变种新增递归文件列表、批量上传和远程文件下载功能。攻击者利用Chrome DevTools Protocol绕过JavaScript下载限制,通过remote-debugging端口修改下载路径并注入脚本模拟用户点击。
https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html
3.医疗机器人公司Intuitive遭钓鱼攻击致数据泄露
3月16日,医疗机器人手术技术公司Intuitive近日宣布,未经授权的攻击者通过钓鱼攻击窃取员工凭证后,成功入侵其部分内部IT业务应用程序。该公司是机器人辅助手术平台的领先制造商,主要产品包括da Vinci手术系统和用于肺活检的Ion腔内系统。泄露的数据包括部分客户业务和联系信息,以及Intuitive员工和企业数据。公司表示,此次网络入侵对其机器人系统平台或使用其系统的医院没有造成运营影响。Intuitive强调,其机器人系统拥有独立的安全协议,与公司内部业务网络相互隔离。Intuitive表示已对其网络基础设施进行分段,所有支持内部IT业务系统、制造运营和数字产品的基础设施均保持独立。由于这种网络分段措施,公司的da Vinci、Ion和数字平台未受此次泄露影响,继续安全运行。医院客户网络与Intuitive网络保持独立,由客户IT团队管理和保护,因此也未受影响。发现入侵后,Intuitive已采取紧急措施控制泄露并展开调查,目前调查仍在进行中。
https://www.theregister.com/2026/03/16/robotics_surgical_biz_intuitive_discloses/
4. 医疗科技巨头Stryker遭黑客攻击致数万设备被擦除
3月16日,医疗技术巨头Stryker近日披露,上周发生的网络攻击仅限于其内部Microsoft环境,攻击者远程擦除了数万台员工设备。该公司周日更新表示,所有医疗设备均可安全使用,但电子订购系统仍离线,客户需通过销售代表手动下单。Stryker强调此次事件并非勒索软件攻击,威胁行为者未在其系统上部署任何恶意软件。攻击者Handala黑客组织声称擦除了超过20万台系统、服务器和移动设备,并窃取了50TB数据,但调查人员未发现数据外泄迹象。攻击发生后,多国Stryker员工投诉其托管设备在一夜之间被远程擦除。部分将个人设备接入公司网络的员工在擦除过程中丢失了个人数据。熟悉攻击的消息人士透露,威胁行为者利用Microsoft云端端点管理服务Intune中的擦除命令,在3月11日UTC时间5:00至8:00之间擦除了近8万台设备。攻击者在入侵管理员账户并创建新的全局管理员账户后执行了此操作。公司正与全球制造基地合作应对潜在运营影响,当前优先事项是恢复供应链系统并恢复客户订单和运输。
https://www.bleepingcomputer.com/news/security/stryker-attack-wiped-tens-of-thousands-of-devices-no-malware-needed/
5. Microsoft Exchange Online故障致用户无法访问邮箱
3月16日,Microsoft近日确认其Exchange Online服务发生故障,导致客户无法访问邮箱和日历。该公司在UTC时间上午6:42承认问题,表示正在调查部分用户通过一种或多种连接方法访问Exchange Online邮箱时遇到的问题。根据Microsoft 365管理中心更新 (EX1253275),Outlook on the web、Outlook桌面客户端、Exchange ActiveSync及其他Exchange Online连接协议均受此故障影响。Microsoft表示遥测数据显示受影响用户的问题已不再发生,工程师继续监控服务健康状况以评估是否需要采取额外措施确保持续恢复,但客户仍报告无法访问电子邮件。故障发生前,Office.com门户网站曾显示"抱歉,出现问题,请尝试刷新页面"的错误信息。Microsoft还在调查另一独立故障,该故障影响Microsoft 365 Copilot网页登录页面及office.com/chat、m365.cloud.microsoft、m365.cloud.microsoft/chat和copilot.cloud.microsoft等Copilot网页客户端。
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-online-outage-blocks-access-to-mailboxes/
6. AWS Bedrock代码解释器漏洞可致敏感数据泄露
3月16日,网络安全研究人员发现Amazon Web Services(AWS) 工具中存在一个漏洞,攻击者可利用该漏洞窃取公司敏感数据。BeyondTrust旗下Phantom Labs的研究人员将调查重点放在AWS Bedrock AgentCore Code Interpreter上。AWS Bedrock是用于构建AI应用程序的平台,而AgentCore Code Interpreter允许聊天机器人编写和运行代码以执行数据分析和计算等任务。为保护系统安全,AWS使用Sandbox模式作为数字隔离室,阻止AI代码与外部世界通信。然而,首席研究员Kinnaird McQuade发现,尽管沙盒阻止了大部分流量,但仍允许DNS查询,特别是A和AAAA记录。研究人员证明,攻击者可将窃取的数据或秘密命令隐藏在这些DNS请求中。团队构建了一个系统,通过这些查询运行数据,与被隔离的AI进行实时双向通信,有效绕过了AWS承诺的安全隔离。AWS建议切换至VPC模式以获得更好控制,并确保AI工具仅拥有最低必要权限。
https://hackread.com/data-leak-risk-in-aws-bedrock-ai-code-interpreter/
京公网安备11010802024551号