/
FortiGate设备遭攻击者利用入侵网络并窃取服务账户凭证
网络安全研究人员发现新型攻击活动,威胁行为者滥用FortiGate下一代防火墙作为入侵受害者网络的入口点。攻击者利用最近披露的安全漏洞或弱凭证来提取包含服务账户凭证和网络拓扑信息的配置文件。该攻击活动主要针对医疗保健、政府和托管服务提供商环境。攻击者通过已知漏洞或配置错误入侵FortiGate设备,创建管理员账户并设置防火墙策略,随后提取LDAP凭证进行横向移动。
思科警告两个新的SD-WAN漏洞遭恶意利用
思科确认攻击者正在利用Catalyst SD-WAN Manager中的两个新漏洞进行攻击。CVE-2026-20122漏洞(CVSS评分7.1)允许经过身份验证的远程攻击者覆写本地文件系统中的任意文件,CVE-2026-20128漏洞(CVSS评分5.5)可能让本地攻击者获得数据收集代理用户权限。思科强烈建议客户立即升级到修复版本。
Cisco确认两个Catalyst SD-WAN Manager漏洞遭到恶意利用
思科披露其Catalyst SD-WAN Manager存在两个正遭受野外积极攻击的安全漏洞。CVE-2026-20122漏洞允许经认证的远程攻击者覆写任意文件,CVE-2026-20128漏洞可让本地攻击者获取DCA用户权限。思科已在上月发布补丁修复这些漏洞,建议用户立即更新至修复版本,并采取限制网络访问、部署防火墙保护等安全措施。
Android芯片零日漏洞遭活跃攻击
谷歌警告,高通芯片组中的零日漏洞CVE-2026-21385正遭到野外主动利用。该漏洞影响超过200种芯片组,可导致内存损坏和系统控制权被夺取。虽然已有修复程序,但设备制造商和运营商的更新延迟使企业面临风险。同时,谷歌发现针对苹果iOS设备的Coruna攻击套件,包含23个漏洞利用程序,被用于乌克兰水坑攻击等活动。
900多个Sangoma FreePBX实例遭Web Shell攻击感染
影子服务器基金会披露,超过900个Sangoma FreePBX实例仍被Web Shell感染,攻击者利用命令注入漏洞CVE-2025-64328发起攻击。受感染实例中401个位于美国,其余分布在巴西、加拿大、德国和法国等国。该高危漏洞影响17.0.2.36及以上版本,已在17.0.3版本中修复。美国网络安全机构已将此漏洞列入已知被利用漏洞目录,建议用户尽快更新至最新版本。
软件漏洞武器化速度创历史新高
VulnCheck报告显示,尽管去年仅不到1%的软件漏洞在实际环境中被利用,但这些漏洞的武器化速度和规模达到前所未有的水平。研究人员追踪到超过14400个与约10500个独特CVE相关的攻击,同比增长16.5%。大部分增长与AI生成的概念验证代码有关,但研究人员警告许多AI生成代码无法正常运行。超过50%与勒索软件相关的CVE首先被识别为零日漏洞。
思科SD-WAN零日漏洞CVE-2026-20127自2023年起被利用获取管理员权限
思科Catalyst SD-WAN控制器和管理器中发现最高严重级别安全漏洞CVE-2026-20127,CVSS评分10.0分,自2023年起遭恶意利用。该漏洞允许未认证远程攻击者绕过身份验证获取管理员权限。澳大利亚网络安全中心发现威胁行为者UAT-8616利用此零日漏洞入侵SD-WAN系统,创建恶意对等设备加入网络管理平面。攻击者还利用CVE-2022-20775提升至root权限。CISA已将两个漏洞加入已知被利用漏洞目录,要求联邦机构24小时内修复。
GitHub Codespaces存在RoguePilot漏洞,可致GitHub令牌泄露
研究人员发现GitHub Codespaces存在名为RoguePilot的AI驱动型安全漏洞,攻击者可在GitHub问题中注入恶意Copilot指令来控制代码仓库。该漏洞属于被动提示注入攻击,当用户从恶意问题启动Codespace时,隐藏在HTML注释中的恶意指令会被AI助手自动执行,导致敏感的GITHUB_TOKEN泄露到攻击者控制的服务器。微软已修复此漏洞。
四个热门VS Code扩展存在漏洞,1.28亿安装量面临攻击风险
应用安全公司OX Security发现,四个广泛使用的VS Code扩展存在严重安全漏洞,累计下载量达1.28亿次,可能导致文件窃取、远程代码执行和本地网络侦察。这些漏洞包括Live Server的关键级漏洞、Code Runner的高危漏洞等,攻击者可通过恶意链接或文件触发攻击,威胁开发者工作站安全。
SSHStalker僵尸网络通过暴力破解攻陷7000台Linux服务器
新发现的SSHStalker僵尸网络通过暴力破解弱SSH密码认证,已入侵至少七千台Linux服务器,其中一半位于美国。该僵尸网络使用可追溯至2009年的未修补Linux漏洞进行攻击,融合了IRC战术与现代自动化技术。研究人员建议禁用SSH密码认证,改用密钥认证或VPN保护,并实施暴力破解限制和监控措施来防范此类攻击。
荷兰数据保护局遭遇Ivanti零日攻击后主动报告数据泄露
荷兰数据保护局确认在1月29日遭受攻击,黑客利用Ivanti终端管理器移动版漏洞进行攻击。此次攻击影响了数据保护局和司法委员会的员工,可能泄露的个人数据包括姓名、商务邮箱地址和电话号码。所有受影响人员已被直接通知。荷兰网络安全机构正在监控相关漏洞,政府首席信息官办公室也在评估对中央政府的潜在风险。专家警告这类面向互联网的边缘设备极易成为攻击目标。
SSHStalker僵尸网络利用IRC控制服务器攻击Linux系统
网络安全研究人员披露了名为SSHStalker的新型僵尸网络,该网络使用IRC协议进行命令控制。该工具集结合了隐蔽助手和Linux遗留漏洞利用,包含日志清理器和rootkit组件,维护着大量2009-2010年Linux 2.6.x时代的漏洞库。SSHStalker通过SSH扫描器自动批量入侵系统并加入IRC频道,但与其他僵尸网络不同,它保持休眠状态而非立即进行后续攻击,可能用于未来的战略访问。威胁行为者疑似来自罗马尼亚。
SolarWinds Web Help Desk遭利用:攻击者实施远程代码执行多阶段入侵
微软发现攻击者利用互联网暴露的SolarWinds Web Help Desk实例进行多阶段入侵,获得初始访问权限并在组织网络中横向移动。攻击可能利用了最新披露的漏洞或之前已修补的漏洞进行远程代码执行。攻击者成功利用漏洞后,下载Zoho ManageEngine组件建立持久远程控制,枚举敏感域用户,通过DLL侧加载技术窃取凭据,甚至进行DCSync攻击获取密码哈希。
电信运营商对中国盐台风攻击反击措施仍秘而不宣
美国参议员要求AT&T和Verizon高管就盐台风网络攻击事件作证,质疑运营商拒绝公开安全评估报告。CheckPoint发现新中国网络间谍组织"苋菜龙",疑似与APT-41关联。乌克兰警方逮捕四名银行欺诈嫌犯,涉案金额超30万美元。SmarterMail曝出多个高危漏洞被用于勒索攻击。法国发生第三起针对加密货币高管家属的绑架案。
SolarWinds服务漏洞遭大范围攻击,已列入美国重点监控清单
SolarWinds Web Help Desk服务中的一个严重漏洞CVE-2025-40551已被美国网络安全和基础设施安全局(CISA)添加到已知被利用漏洞目录中。该漏洞源于不可信数据的反序列化问题,可让攻击者在目标系统上实现远程代码执行。SolarWinds在1月底披露了包括此漏洞在内的6个安全漏洞,均具有高危或严重等级。研究人员表示该漏洞易于利用且无需身份验证,敦促用户尽快更新至2026.1版本。
CISA将被积极利用的SolarWinds Web Help Desk远程代码执行漏洞列入KEV目录
美国网络安全和基础设施安全局(CISA)周二将影响SolarWinds Web Help Desk的严重安全漏洞添加到已知被利用漏洞目录中,标记为正在被攻击中积极利用。该漏洞编号CVE-2025-40551,评分9.8分,属于不可信数据反序列化漏洞,可能导致远程代码执行。CISA表示,攻击者可在无需身份验证的情况下利用此漏洞在主机上运行命令。
开源AI成全球安全隐患,研究人员警告
安全研究人员发现,开源AI部署可能比商业AI提供商面临更大的安全风险。研究显示,全球130个国家共有175,108台Ollama主机暴露在互联网上,大部分运行相同的AI模型,形成了易受攻击的单一文化生态。这些暴露的实例缺乏安全防护措施,具备工具调用和视觉功能,且没有集中监管。研究人员警告,一旦出现零日漏洞,可能同时影响大量系统,建议将AI基础设施按照关键基础设施标准进行安全管理。
Ivanti移动端点管理器遭遇两个零日漏洞攻击
Ivanti修复了其端点管理器移动版(EPMM)产品中两个已被利用的关键零日漏洞,延续了企业IT供应商1月份安全事件的严峻态势。这两个漏洞编号为CVE-2026-1281和CVE-2026-1340,CVSS评分均为9.8分,允许未经身份验证的远程代码执行。Ivanti表示已知少数客户的解决方案在披露时已被攻击利用。漏洞可能导致横向移动、配置更改和攻击者获得管理员权限,还可能泄露个人信息和设备位置数据。
vm2库沙箱逃逸漏洞致任意代码执行风险
热门Node.js库vm2被曝出严重沙箱逃逸漏洞CVE-2026-22709,CVSS评分9.8分。该漏洞源于Promise处理程序的不当清理,攻击者可利用此漏洞逃脱沙箱并在底层操作系统执行任意代码。漏洞已在3.10.2版本中修复,但这是该库近年来遭遇的一系列沙箱逃逸漏洞之一。维护者建议用户及时更新并考虑使用isolated-vm等更安全的替代方案。
VMware vCenter Server严重漏洞遭野外攻击,补丁发布一年多仍有企业未修复
安全研究人员发现,攻击者正在利用VMware vCenter Server的一个关键漏洞CVE-2024-37079进行攻击,该漏洞CVSS评分高达9.8分。尽管Broadcom在2024年6月就发布了补丁,但仍有系统未及时更新。漏洞存在于DCERPC协议实现中,可被远程利用执行恶意代码。美国网络安全局已将此漏洞列入已知被利用漏洞目录,要求联邦机构在2月13日前完成修复。
京公网安备 11010802021500号
