/
思科修复统一通信系统关键零日漏洞CVE-2026-20045
思科发布补丁修复影响统一通信产品和Webex通话专用实例的严重零日漏洞CVE-2026-20045。该漏洞CVSS评分8.2分,允许未经身份验证的远程攻击者在受影响设备上执行任意命令并提升至root权限。漏洞源于HTTP请求中用户输入验证不当,攻击者可通过发送精心构造的HTTP请求利用此漏洞。思科已发布多个版本的修复程序,美国网络安全局已将此漏洞列入已知被利用漏洞目录。
自动化FortiGate攻击利用FortiCloud单点登录篡改防火墙配置
网络安全公司Arctic Wolf警告发现新的自动化恶意活动集群,攻击者通过利用CVE-2025-59718和CVE-2025-59719漏洞绕过FortiCloud单点登录认证,对Fortinet FortiGate设备进行未经授权的防火墙配置更改。攻击活动包括创建持久化通用账户、修改配置授予VPN访问权限以及窃取防火墙配置文件,所有操作在数秒内完成,表明可能采用了自动化手段。
Mandiant发布NTLMv1破解工具促使企业放弃不安全协议
谷歌旗下Mandiant安全部门发布了一个预计算彩虹表查找工具,可在12小时内用600美元的电脑破解NTLMv1凭据。此举旨在提醒企业这个1990年代的身份验证协议存在严重安全漏洞。尽管微软20多年来一直建议升级到更安全的NTLMv2和Kerberos,但许多组织仍在使用NTLMv1作为遗留应用的后备方案。攻击者经常利用钓鱼邮件等方式针对NTLM哈希值发起攻击,企业应尽快扫描并移除此协议。
Zoom和GitLab发布安全更新,修复远程代码执行等严重漏洞
Zoom和GitLab发布安全更新,修复多个严重安全漏洞。Zoom修复了影响多媒体路由器的关键远程代码执行漏洞CVE-2026-22844,CVSS评分9.9分,可能允许会议参与者进行远程代码执行攻击。GitLab修复了多个高危漏洞,包括可导致拒绝服务攻击和双因素认证绕过的安全缺陷。两家公司均建议用户尽快更新到最新版本以防范潜在威胁。
AI助力托管安全服务商降本增效实战分享
2026年,所有托管安全服务提供商都面临同一难题:警报过多、分析师不足,客户要求以中小企业预算获得CISO级防护。大多数MSSP仍在低效运作,利润微薄。AI正在重塑安全服务交付模式,早期采用者通过AI自动化处理评估、基准测试和报告,团队专注战略而非数据录入,实现双位数利润增长和更快客户导入周期。
Mandiant发布快速凭据破解工具,加速淘汰微软老旧协议
谷歌安全部门Mandiant发布工具可在12小时内破解凭证,旨在加速淘汰微软古老的Net-NTLMv1认证协议。该协议存在凭证盗取风险已超20年但仍在使用。此外,美国海军士兵因向中国出售机密被判16年8个月监禁;24岁男子承认入侵美国最高法院电子文件系统;国际刑警组织在西班牙逮捕34名黑斧犯罪集团成员;美国议员提议限制移民执法局使用面部识别应用。
犯罪分子正利用AI进行情感编程开发恶意软件
Palo Alto Networks Unit 42研究显示,犯罪分子已开始使用AI辅助编程工具开发恶意软件。研究人员发现恶意代码中包含直接调用OpenAI等平台API的证据,用于生成恶意软件和社会工程邮件。虽然AI生成的恶意代码存在幻觉等错误,但威胁确实存在。目前仅约一半企业对AI使用设置了限制,专家建议采用SHIELD框架来管理AI编程风险。
OpenAI修补ChatGPT提示注入漏洞但问题持续恶化
安全研究人员发现OpenAI的ChatGPT服务存在多个漏洞,可导致个人信息泄露。这些漏洞被称为ZombieAgent,是此前ShadowLeak攻击的升级版本。攻击者利用AI模型无法区分系统指令和不可信内容的盲点,通过预构建URL逐字符窃取数据,并滥用ChatGPT的记忆功能实现攻击持久化。尽管OpenAI已多次修补相关漏洞,但新的绕过方法不断出现,暴露了当前AI平台的结构性安全弱点。
黑客利用LinkedIn私信传播RAT恶意软件
网络安全研究人员发现新型钓鱼攻击活动,黑客通过领英私信接触高价值目标,诱导其下载恶意压缩包。攻击利用DLL侧加载技术和开源Python脚本传播远程访问木马,通过合法PDF阅读器加载恶意DLL,在内存中执行shellcode以规避检测。攻击者最终获得受害主机的持久远程访问权限并窃取数据。由于社交媒体私信缺乏安全监控,已成为企业安全防护的薄弱环节,组织需将防御范围扩展至社交媒体平台。
Evelyn窃取器恶意软件滥用VS Code扩展窃取开发者凭据和加密货币
网络安全研究人员披露了一起针对软件开发者的恶意软件攻击活动,攻击者通过武器化微软VS Code扩展生态系统传播名为Evelyn Stealer的新型信息窃取软件。该恶意软件旨在窃取敏感信息,包括开发者凭证和加密货币相关数据。攻击者通过恶意VS Code扩展投放下载器DLL,进而执行窃密载荷,收集剪贴板内容、加密钱包、浏览器凭证等信息并通过FTP传输至远程服务器。此外还发现了MonetaStealer和SolyxImmortal两个新型Python窃密软件家族。
Cloudflare修复ACME验证漏洞,防止绕过WAF访问源服务器
Cloudflare修复了自动证书管理环境ACME验证逻辑中的安全漏洞,该漏洞可能导致攻击者绕过安全控制直接访问源服务器。漏洞源于边缘网络处理ACME HTTP-01挑战路径请求时的缺陷,未能验证令牌是否与特定主机名的活动挑战匹配,使攻击者能够发送任意请求绕过WAF保护。Cloudflare已于2025年10月27日通过代码更改修复此问题,目前未发现恶意利用证据。
JavaScript代码包中的敏感信息泄露问题依然严重
API密钥泄露及其引发的数据泄露事件屡见不鲜,但为何敏感令牌仍如此容易暴露?研究团队通过扫描500万个应用程序,发现超过42000个暴露的令牌,涵盖334种密钥类型。传统漏洞扫描工具存在明显局限性,特别是在单页应用中。研究揭示了现有密钥检测方法的不足,包括基础设施扫描器、DAST和SAST工具的覆盖盲区,强调需要针对单页应用的自动化密钥检测方案。
AI框架漏洞致企业云环境面临接管风险
网络安全公司Zafran发现开源AI框架Chainlit存在两个易被利用的漏洞,可能导致企业云环境数据泄露甚至被完全接管。这两个漏洞分别为CVE-2026-22218任意文件读取漏洞和CVE-2026-22219服务器端请求伪造漏洞。Chainlit每月下载量达70万次,广泛应用于金融、能源等行业。攻击者可利用这些漏洞窃取API密钥、云凭证等敏感信息,甚至伪造身份令牌接管用户账户。目前官方已发布修复版本2.9.4。
DevOps全生命周期的AI安全防护体系构建
AI正在改变日常生活的方方面面,但使用不安全的AI工具比典型的企业软件更危险。RevolutionCyber首席执行官兼创始人Juliet Okafor在这场主题演讲中,详细解释了如何发现完整的AI生态系统、评估态势和模型风险,以及在运行时实施安全措施。本内容来自InformationWeek和ITPro Today于2025年5月15日举办的"生成式AI:你已经落后"虚拟活动。
软件供应链安全必备工具和策略全解析
软件供应链攻击日益频繁,2022年影响超过1000万人和1700多家机构。现代应用程序越来越依赖预构建框架和库,增加了安全风险。攻击者利用开源组件和第三方集成的漏洞进行渗透。CTO需要采用软件物料清单、软件成分分析、静态应用安全测试等工具,结合威胁建模和风险评估,构建主动防御策略,在不牺牲开发速度的前提下强化供应链安全防护。
StackWarp硬件漏洞破解AMD SEV-SNP保护机制
德国研究人员发现AMD处理器新硬件漏洞StackWarp,影响Zen 1至Zen 5架构。该漏洞可让攻击者在机密虚拟机内执行恶意代码,破坏AMD SEV-SNP安全保护。漏洞编号CVE-2025-29943,通过操控栈指针实现控制流劫持和权限提升。AMD已发布微代码更新修复,建议用户及时安装并考虑临时禁用超线程技术。
2026年CIO十大优先事项指南
随着2026年的到来,首席信息官需要重新审视技术如何帮助企业转型。优先事项包括:加强网络安全韧性和数据隐私保护,整合安全工具平台,确保数据在AI应用中的安全,重塑团队身份认同和员工体验,有效管理ERP迁移成本,构建可扩展的创新架构和数据治理,推进员工技能转型,改善团队沟通,强化敏捷性和信任度,以及应对不断演进的IT架构挑战。
CrashFix恶意Chrome扩展利用浏览器崩溃诱饵传播ModeloRAT木马
网络安全研究人员披露了名为KongTuke的攻击活动,该活动利用伪装成广告拦截器的恶意Chrome扩展故意使浏览器崩溃,诱导受害者运行任意命令以传播未被记录的远程访问木马ModeloRAT。该扩展冒充"NexShield高级网络守护者",实际是uBlock Origin Lite的克隆版本,下载量超过5000次。扩展会显示虚假安全警告,声称浏览器异常停止,诱导用户执行恶意命令。攻击主要针对企业环境中的域加入机器,部署功能完整的Python远程访问木马,具备持久化、命令执行等能力。
StealC恶意软件控制面板安全漏洞暴露威胁行为者操作
网络安全研究人员在StealC信息窃取器的网络控制面板中发现跨站脚本(XSS)漏洞,成功收集到威胁行为者的系统指纹和活跃会话信息。StealC是2023年1月出现的恶意软件即服务(MaaS)模式窃取器,主要通过YouTube平台传播。研究人员利用该漏洞追踪到名为YouTubeTA的客户,其窃取了39万个密码和3000万个cookie,并确定该威胁行为者使用苹果M3处理器设备,位于乌克兰地区。
Java 27 首获后量子混合密钥交换功能提案
计划于9月发布的Java开发工具包JDK 27已确定首个功能特性:为TLS 1.3提供后量子混合密钥交换能力,以增强网络安全。该特性通过结合量子抗性算法与传统算法来防御未来量子计算攻击,使用javax.net.ssl API的应用程序将默认受益于改进算法。JDK 27是非长期支持版本,提供6个月支持。其他可能功能包括加密对象的PEM编码、结构化并发、懒加载常量等。
京公网安备 11010802021500号
