CISA将七个严重漏洞纳入已知可利用漏洞目录
发布时间 2026-05-221. CISA将七个严重漏洞纳入已知可利用漏洞目录
5月21日,美国网络安全和基础设施安全局(CISA)近日将七个严重漏洞正式列入其“已知可利用漏洞”(KEV)目录,已命令联邦机构在2026年6月3日前完成修复工作。具体而言,CVE-2008-4250是Microsoft Windows Server服务中的一个远程代码执行漏洞(CVSS 9.8),影响Windows XP、Server 2003等旧版系统,攻击者可发送特制RPC请求触发缓冲区溢出,无需身份验证即可执行任意代码。CVE-2009-1537(CVSS 9.3)为Microsoft DirectX中的空字节覆盖漏洞,用户打开恶意QuickTime文件即可导致远程代码执行。CVE-2009-3459(CVSS 9.3)是Adobe Acrobat和Reader中的堆缓冲区溢出漏洞,通过恶意PDF文件触发代码执行。CVE-2010-0249与CVE-2010-0806(均CVSS 9.3)均为Internet Explorer中的释放后使用漏洞,攻击者利用恶意网页内容可远程执行代码,其中后者已被APT组织GREF用于零日攻击。CVE-2026-41091(CVSS 7.8)为Microsoft Defender权限提升漏洞,本地攻击者可借此获得更高权限以实现横向移动。CVE-2026-45498(CVSS 6.5)则是Microsoft Defender拒绝服务漏洞,可导致安全服务失效。
https://securityaffairs.com/192508/security/u-s-cisa-adds-microsoft-and-adobe-flaws-to-its-known-exploited-vulnerabilities-catalog.html
2. Chromium漏洞泄露:关闭浏览器仍遭远程代码执行
5月21日,近日,谷歌不慎泄露了Chromium中一个尚未修复的严重漏洞的技术细节。该漏洞允许攻击者在用户关闭浏览器后,仍使恶意JavaScript代码持续在后台运行,进而实现远程代码执行。这一安全隐患最早由安全研究员Lyra Rebane于2022年12月发现并提交,随后在Chromium问题跟踪器上得到确认。该漏洞影响所有基于Chromium的浏览器,涵盖Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi和Arc等主流产品。尽管该问题早在2022年底已被确认,但修复进展极为缓慢。2024年10月,一位谷歌开发人员指出该漏洞仍然存在,并将其描述为“严重问题”。今年2月,该问题一度被标记为已解决,但因故很快被重新开启。随后,漏洞状态更新为通过Chrome漏洞奖励计划(VRP)处理,并于2月12日被标记为“已修复”,然而实际补丁并未发布。Rebane因此获得了1000美元的赏金。5月20日,由于该问题在系统中已被标记为“已修复”且关闭超过14周,Chromium问题跟踪器上的所有访问限制被解除。然而同一天,Rebane在测试中发现,Chrome Dev 150和Edge 148中该漏洞依然存在。
https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/
3. 国际执法行动捣毁“First VPN”服务
5月21日,一项代号不详的重大国际执法行动成功将“First VPN”服务下线。这项以“隐私至上”为卖点、承诺不记录日志且不与执法部门合作的VPN服务,近年来已成为勒索软件团伙、数据窃贼及其他网络犯罪分子的首选匿名工具。欧洲刑警组织于5月19日至20日协调多国力量展开协同行动,在27个国家查获了数十台服务器,逮捕了服务管理员,并在乌克兰进行了搜查,彻底切断了这一长期用于掩护犯罪活动的基础设施。此次行动的特殊价值在于,调查人员不仅关闭了服务,还在其消失前成功入侵了基础设施。这使得执法部门得以获取用户记录、连接数据等关键证据,从而将网络犯罪活动追溯到真实的人和设备。当局捣毁了包括33台服务器在内的网络犯罪基础设施,查封了1vpns.com、1vpns.net、1vpns.org及相关洋葱网站域名,并直接通知了用户。行动成果显著:欧洲刑警组织据此推进了21项调查,分发了83份情报包,并与国际合作伙伴共享了506位用户的信息,预示后续调查将远超VPN本身。
https://securityaffairs.com/192491/cyber-crime/global-law-enforcement-operation-takes-first-vpn-offline.html
4. 北约数据库被叫卖:3.5TB国防人员信息仅售5000美元
5月21日,一名网络犯罪分子近日在地下网络犯罪论坛上发布广告,声称出售容量约3.5TB的“北约数据库+机密文件”档案,引发了对多个盟国机构敏感国防相关联系数据可能已经泄露的广泛担忧。目前尚无独立机构核实该数据集的真实性、来源或完整范围,但样本数据已包含全名、国籍、工作邮箱、电话号码、工作地址、雇主信息、职位名称等个人身份信息。经审查,在攻击者发布的样本中,仅2条记录与北约官员直接相关,其余记录据称属于瑞典皇家理工学院、挪威国防研究机构(FFI)、挪威独立研究机构SINTEF以及土耳其政府关联实体的人员。研究人员指出,数据结构表明数据来源可能并非北约直接遭入侵,而是第三方服务被攻破所致。研究人员警告称,泄露信息将使相关个人及其所在机构面临极高的鱼叉式网络钓鱼攻击风险。攻击者仅以约5000美元出售据称3.5TB的档案。研究人员表示,这可能表明数据缺乏真实性,或存在大量重复数据、未经核实的记录、第三方收集的信息以及窃取者日志来源数据,同时也反映出卖家对独家销售权缺乏信心。
https://cybernews.com/security/nato-defense-data-leak-hacker-forum/
5. CypherLoc恐吓软件:假报警诱导用户拨打诈骗电话
5月20日,安全研究人员发现了一种名为CypherLoc的新型社会工程诈骗手段,该手段利用欺骗性的弹出窗口和虚假警告,诱骗用户相信自己的设备已被入侵,从而促使其联系欺诈性的IT服务台。自2026年初以来,CypherLoc已被用于约280万次攻击。这种攻击通常始于一封钓鱼邮件,通过嵌入在邮件正文或附件中的链接,将受害者引导至恶意网页。初始加载的网页看似无害,只有在检测到缺少安全扫描程序等条件合适时,才会触发恐吓软件。该恐吓软件还运用多种心理战术增强压迫感。它利用音频播放警告声,每当用户试图点击或控制时就会发出提示音,这些额外噪音还会降低浏览器运行速度,使其出现故障甚至崩溃,从而增加分析难度。恶意软件还会获取并显示用户的IP地址,作为一种心理策略,使警告感觉像是针对个人的,以增强恐惧感和紧迫感。此外,用户还会看到登录弹窗,当登录失败时进一步加剧恐慌。攻击过程中,屏幕上会显著显示一个虚假的客服电话号码,并声称这是解决问题的唯一途径。随后,冒充微软支持人员的人工操作员会接管,通过实时对话继续进行诈骗。
https://cybernews.com/security/millions-hit-scareware-attack-fake-it-helpdesks/
6. 思科Secure Workload高危漏洞可致管理员权限被窃
5月21日,思科近日发布了安全更新,以修复其Secure Workload产品中一个最高级别的安全漏洞。Secure Workload(前身为Cisco Tetration)是一款通过零信任微隔离技术帮助管理员减少网络攻击面、阻止横向移动,从而保护业务应用程序安全的产品。该漏洞被追踪为CVE-2026-20223,是由于访问REST API端点时验证和身份验证不足造成的。攻击者若能向受影响的端点发送精心构造的API请求,便可成功利用此漏洞,从而以站点管理员用户的权限跨租户边界读取敏感信息并进行配置更改。思科表示,目前没有临时解决方案或变通措施可以规避此漏洞,本地部署客户需安装软件更新进行修补,而基于云的Secure Workload SaaS部署中该问题已被自动解决。具体修复版本包括:3.10版本需升级至3.10.8.3,4.0版本需升级至4.0.3.17,而3.9及更早版本则需迁移到已修复的版本。思科产品安全事件响应团队(PSIRT)强调,在发布本周安全公告之前,尚未发现该漏洞已被实际利用的证据。
https://www.bleepingcomputer.com/news/security/cisco-max-severity-secure-workload-flaw-gives-hackers-site-admin-privileges/
京公网安备11010802024551号