FreeBuf早报 | 美国参议员指控微软“养寇自重”;SaaS史上最严重供应链攻击
全球网络安全事件频发:微软因十年漏洞遭指控;Salesloft供应链攻击暴露企业数据;AMD/Intel CPU隔离缺陷致虚拟机泄密;苹果警告间谍软件威胁;Cursor编辑器默认设置存风险;恶意Chrome扩展窃取Meta凭证;NVIDIA工具修复权限提升漏洞;SonicWall防火墙遭阿基拉勒索软件利用;CISA警告Dassault高危漏洞。 2025-9-12 08:58:11 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

全球网安事件速递

1. 微软疑似出现重大网络安全过失:美国参议员指控微软“养寇自重”

微软因十年未修复的安全漏洞导致医疗系统遭勒索攻击,被参议员指控"纵火后兜售消防服务"。其默认RC4加密技术助长黑客入侵,200亿美元安全业务被批双重收费。事件暴露微软安全文化缺陷,威胁国家安全,可能重塑行业安全标准。【外刊-阅读原文

2. SaaS史上最严重供应链攻击:Salesloft Drift数据泄露事件深度剖析,700+企业遭殃

2025年Salesloft Drift数据泄露事件暴露SaaS供应链安全致命弱点:UNC6395组织通过GitHub入侵窃取OAuth令牌,导致700多家企业数据暴露,凸显第三方集成监管、令牌管理和检测响应系统性失效,警示企业需构建零信任架构与供应链风险管理体系。【外刊-阅读原文

3. AMD与英特尔CPU隔离缺陷漏洞可使虚拟机突破隔离

新型VMSCAPE攻击利用CPU分支预测隔离缺陷,使恶意虚拟机窃取宿主机敏感数据,影响AMD Zen和英特尔Coffee Lake等多款处理器。研究团队发现虚拟化环境中硬件防护不足,通过污染BPU状态诱导QEMU推测执行泄露数据。Linux已发布补丁,建议VMEXIT时使用IBPB指令清除恶意条目,性能影响1%-51%。【外刊-阅读原文

4. 苹果警告:多起雇佣间谍软件攻击瞄准用户设备

苹果警告高复杂性雇佣间谍软件攻击,主要针对记者、政要等高风险人群,如NSO集团的"飞马"软件。攻击耗资巨大且难以检测,苹果已向150国用户发警报。建议启用锁定模式并遵循基本安全措施,如更新系统、启用双重认证等。高风险用户应寻求专家协助。【外刊-阅读原文

5. AI代码编辑器Cursor漏洞:恶意仓库可触发静默代码执行

Cursor AI编辑器默认禁用安全设置,导致打开恶意仓库时静默执行代码,引发供应链攻击风险。AI编程工具还面临提示词注入等威胁,传统漏洞如认证绕过、SQL注入等加剧风险,需将安全视为基石。【外刊-阅读原文

6. 恶意Chrome扩展程序窃取Meta平台登录凭证

恶意Chrome扩展"Madgicx Plus"伪装成Meta广告工具,窃取Facebook和Instagram登录令牌,针对数字营销人员。通过钓鱼网站传播,绕过安全策略,劫持会话,威胁中小企业广告账户安全。建议审计扩展权限,隔离广告工作流。【外刊-阅读原文

7. NVIDIA NVDebug工具漏洞可导致攻击者权限提升

NVIDIA紧急修复NVDebug工具三个高危漏洞(CVE-2025-23342/43/44),涉及权限提升、代码执行等风险,CVSS最高8.2分。用户须立即升级至1.7.0+版本防范攻击。【外刊-阅读原文

8. PyInstaller工具漏洞预警,可致攻击者执行任意Python代码

PyInstaller 6.0.0之前版本存在本地权限提升漏洞(CVE-2025-59042),攻击者可利用引导过程执行任意代码。需满足特定条件,如未启用字节码加密等。建议升级至6.0.0或6.10.0版本,或加强目录权限控制。【外刊-阅读原文

9. SonicWall防火墙旧漏洞遭到阿基拉勒索软件利用,发起多向量攻击

阿基拉勒索软件组织利用SonicWall防火墙高危漏洞CVE-2024-40766发起攻击,结合SSLVPN默认用户组风险、MFA滥用及密码继承问题获取权限。建议用户立即修复漏洞、启用MFA并监控访问。【外刊-阅读原文

10. CISA紧急通告:Dassault Systèmes高危漏洞正遭活跃利用

CISA警告DELMIA Apriso存在高危反序列化漏洞(CVE-2025-5086,CVSS 9.0),可致远程代码执行,已发现野外攻击。攻击者通过SOAP请求注入恶意对象,达索系统已发布补丁,建议立即更新。【外刊-阅读原文

优质文章推荐

1. 新型网络攻击技术剖析:Electron 劫持与无服务器 C2 通道的隐蔽对抗

新型网络攻击利用Electron等框架寄生合法应用,滥用云服务实现无服务器C2通信,隐蔽性极强。防御需多管齐下:强化代码校验、监控异常行为、分析云流量模式,结合UEBA和沙箱检测应对跨平台、无文件化攻击。【阅读原文

2. 应急响应 | 利用PCHunter分析恶意软件

PCHunter通过数字签名校验和进程分析,有效识别并清除恶意软件如NjRat,但无法保证100%清理,需结合其他工具和方法增强安全性。【阅读原文

3. CrushFTP身份验证绕过漏洞(CVE-2025-54309)复现

CrushFTP 10.8.5及11.3.4_23前版本存在AS2验证漏洞,攻击者可绕过认证创建管理员账户。复现使用Python脚本模拟HTTPS请求,成功创建用户htbadmin并登录。修复方案为升级至安全版本。【阅读原文

漏洞情报精华

1. 宏景eHR designateTask.do SQL注入漏洞

https://xvi.vulbox.com/detail/1966407442183098368

2. 金和OA AcceptGetSourceFileName.aspx SQL注入漏洞

https://xvi.vulbox.com/detail/1966391586615070720

3. 金和OA AcceptGetFileNameEdit.aspx SQL注入漏洞

https://xvi.vulbox.com/detail/1966379977658208256

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/448385.html
如有侵权请联系:admin#unsafe.sh