FreeBuf早报 | 一加手机OxygenOS存在权限绕过漏洞;微软修复高危Entra ID漏洞
文章总结了近期全球网络安全事件,包括一加手机权限漏洞、微软Azure Entra ID高危漏洞、超微BMC固件安全缺陷、Zloader木马升级攻击、Shai-Hulud蠕虫感染npm仓库等多起重大安全事件及修复建议。 2025-9-24 08:30:21 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

全球网安事件速递

1. 一加手机OxygenOS存在权限绕过漏洞,攻击者可窃取短信并绕过MFA保护(CVE-2025-10184)

一加OxygenOS存在关键漏洞CVE-2025-10184,允许任意应用无需权限读取短信/彩信数据,影响多款机型,可能泄露MFA令牌。漏洞源于安卓框架错误配置,暂无官方补丁,建议切换MFA方式、使用加密通信并谨慎安装应用。【外刊-阅读原文

2. 微软修复CVSS 10.0分高危Entra ID漏洞CVE-2025-55241

微软修复Azure Entra ID高危漏洞(CVE-2025-55241),攻击者可仿冒全局管理员跨租户接管系统。漏洞利用未公开的"Actor tokens"绕过安全措施且无日志记录,暴露云身份信任机制缺陷。专家呼吁加强独立可观测性以防范系统性风险。【外刊-阅读原文

3. 超微BMC固件曝两处漏洞,恶意固件可绕过信任根安全机制

超微主板管理控制器固件曝两处漏洞(CVE-2025-7937/6198),攻击者可绕过签名验证机制植入恶意镜像,完全控制BMC系统。研究显示超微此前修复不彻底,硬件信任根安全声明存疑。【外刊-阅读原文

4. Zloader木马再次升级:通过DNS隧道和WebSocket C2实现更隐蔽的攻击

Zloader恶意软件升级回归,从银行木马演变为勒索软件跳板,增强反分析、DNS隧道和WebSocket C2功能,提升隐蔽性与横向移动能力,精准攻击高价值目标,成为勒索团伙初始访问工具。【外刊-阅读原文

5. CISA警告:Shai-Hulud自复制蠕虫已入侵npm仓库500多个软件包

CISA警告"Shai-Hulud"自复制蠕虫已感染500多个npm包,窃取开发者凭证并通过依赖链传播。建议立即审计依赖项、轮换凭证、启用MFA、监控异常流量,并固定安全版本以遏制供应链攻击。【外刊-阅读原文

6. ClaimPix数据泄露事件:10TB保险记录、车辆数据及法律文件暴露

网络安全研究员发现ClaimPix平台10TB未加密数据库泄露,含510万份敏感保险和车辆记录,包括个人信息、VIN码和法律委托书,可能导致VIN克隆、保险欺诈等风险。企业已修复漏洞,建议加强数据加密和访问控制。【外刊-阅读原文

7. 伊朗APT组织"Nimbus Manticore"加强对欧洲的网络间谍活动

伊朗APT组织"Nimbus Manticore"加强对西欧电信、航空航天和国防企业的攻击,采用定制化钓鱼和新型恶意软件技术,展现国家级攻击者的隐蔽性与资源实力。【外刊-阅读原文

8. 历时11个月,Windows Hello长期漏洞终获修复

Windows 11 24H2版本曾因Windows Hello面部识别故障限制升级,经11个月修复后已解除限制。微软建议用户尽快更新,同时透露25H2版本将沿用24H2架构,无重大新功能。【外刊-阅读原文

9. 攻击者利用IMDS服务获取云环境初始访问权限

攻击者利用IMDS漏洞窃取云凭证,通过SSRF或配置不当渗透云环境。IMDSv1易受攻击,IMDSv2增强安全但仍需防范。建议强制使用IMDSv2、限制端点访问、最小化IAM权限,并监控异常请求以快速响应攻击。【外刊-阅读原文

10. 警惕携带混淆JS代码的虚假在线测速应用

网络安全研究人员发现新型恶意软件伪装成测速工具等应用,通过捆绑Node.js环境和混淆JS代码窃取数据。该软件利用计划任务持久化,每12小时执行恶意负载,收集系统信息并执行远程代码,采用高级混淆技术逃避检测。【外刊-阅读原文

优质文章推荐

1. 攻防Java常见组件:打点思路、指纹识别

政企系统Java组件漏洞成红队突破口,Nacos、Spring Boot、Swagger等暴露敏感路径,通过指纹识别、未授权访问、数据篡改等手段可渗透核心业务。实战案例揭示路由API漏洞链,需警惕多级目录风险,历史漏洞组合攻击危害极大。【阅读原文

2. 契约锁电子签章系统(pdfverifier远程代码执行)QVD-2025-27432代码分析

契约锁电子签章系统存在高危漏洞,攻击者可利用OFD文件解析缺陷实现路径穿越,覆盖热加载补丁文件执行任意代码,影响4.0.x至5.3.x版本。漏洞利用需满足特定条件,如已安装补丁包且部署在Linux环境。【阅读原文

3. 互联网跨境企业应用安全架构指南

《互联网跨境企业应用安全架构指南》提供了一套全球化业务的安全架构落地方法论,涵盖业务需求、架构逻辑、工程技术、运营服务和团队建设五大层级。核心包括:业务驱动的安全BP机制、威胁建模与控制验证、策略即代码嵌入CI/CD、供应链安全管理(SBOM/SLSA)、AI/LLM安全治理及全球数据主权合规。通过SDL和DevSecOps实现安全左移,构建自动化测试与运营体系,并配套人才梯队和文化建设,确保安全与业务动态平衡。【阅读原文

漏洞情报精华

1. 孚盟云 GetPrdTemplate SQL注入漏洞

https://xvi.vulbox.com/detail/1970768049330065408

2. 孚盟云 DeletePrdTemplate SQL注入漏洞

https://xvi.vulbox.com/detail/1970729368875569152

3. 孚盟云 SendMail SQL注入漏洞

https://xvi.vulbox.com/detail/1970686486269530112

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/450139.html
如有侵权请联系:admin#unsafe.sh