黑客正在使用Wing FTP Server的严重RCE误差

首页 > 清静研究 > 清静转达 > 清静简讯

黑客正在使用Wing FTP Server的严重RCE误差

宣布时间 2025-07-14

1. 黑客正在使用Wing FTP Server的严重RCE误差

7月13日，网络清静领域曝出针对Wing FTP Server的严重远程代码执行误差（CVE-2025-47812），该误差因CVSS 10分的最高危评级引刊行业高度关注。作为支持多协议（FTP/FTPS/SFTP/HTTP/S）的跨平台文件传输解决计划，Wing FTP Server默认以root（Linux）或SYSTEM（Windows）权限运行，且缺乏权限隔离机制，导致误差被使用时可直接造成服务器完全失控。误差泉源在于软件对空字节的处置惩罚缺陷。MITRE清静通告指出，7.4.4版本前的产品未对用户和治理员Web界面中的会话文件举行充分验证，攻击者可通过注入含特殊字符的用户名，将恶意Lua代码植入会话文件。当受害者会见特定页面或执行目录操作时，恶意代码便会以系统最高权限触发，形成无需物理接触的远程代码执行链。尤为危险的是，纵然启用默认禁用的匿名FTP账户，攻击者仍可绕过字符串处置惩罚机制实验攻击，实现从通俗用户权限到系统治理员权限的纵向提权。该误差手艺细节于6月30日果真后，7月1日即泛起真实攻击案例。

https://securityaffairs.com/179861/hacking/wing-ftp-server-flaw-actively-exploited-shortly-after-technical-details-were-made-public.html

2. Google Gemini 误差可挟制电子邮件摘要举行网络垂纶

7月13日，清静研究职员披露Google Gemini for Workspace保存新型网络垂纶误差，攻击者可通过隐藏在电子邮件正文中的恶意指令，诱使AI工具天生看似正当的垂纶内容。该误差使用Gemini的摘要生乐成能，通过手艺手段绕过古板清静检测，成为继2024年提醒注入攻击后，针对天生式AI的又一重大清静挑战。据Mozilla GenAI误差赏金妄想研究员Marco Figueroa披露，攻击者可通过HTML/CSS手艺将恶意指令嵌入邮件正文，通过设置字体巨细为0、颜色为白色，使指令在Gmail客户端中完全不可见。当用户请求Gemini天生邮件摘要时，AI会剖析并执行这些隐藏指令，天生包括虚伪清静忠言、垂纶链接或支持电话号码的内容。例如，在Figueroa提供的案例中，Gemini天生了"您的Gmail密码已泄露，请连忙拨打支持电话处置惩罚"的虚伪警报，此类信息极易被用户误以为是Google官方通知。该攻击的隐藏性体现在三个方面：无需附件或链接即可触发、使用用户对AI摘要的信托、通过视觉隐藏规避邮件内容筛查。

https://www.bleepingcomputer.com/news/security/google-gemini-flaw-hijacks-email-summaries-for-phishing/

3. Gravity Forms遭供应链攻击，官方渠道下载文件被植入后门

7月11日，全球约百万个网站使用的WordPress高级表单插件Gravity Forms遭遇严重供应链攻击，其官方网站提供的手动装置包被植入恶意后门，导致部分下载版本保存远程代码执行危害。据清静公司PatchStack披露，攻击者通过改动插件焦点文件common.php，在7月10日至11日时代向会见gravityapi.org域名的服务器发送站点元数据（包括URL、治理路径、主题插件版本等敏感信息），并吸收base64编码的恶意载荷，最终在网站目录天生伪装成WordPress系统文件的"bookmark-canonical.php"，实现无需身份验证的远程代码执行。此次事务影响规模普遍，涉及Gravity Forms 2.9.11.1和2.9.12版本的手动下载及Composer装置方法。攻击者使用该后门不但窃取数据，更直接在受熏染网站添加治理员账户，完全控制目的系统。值得注重的是，通过Gravity Forms官方API服务举行的自动更新和附加组件装置未受影响，但手动下载渠道成为攻击入口�？⒊蘎ocketGenius在事后报告中确认，恶意代码会阻断正常更新流程并一连毗连外部服务器，建议所有近期通过手动方法装置或更新插件的用户连忙重新装置官方清洁版本，并检查网站是否保存异常治理员账户。

https://www.bleepingcomputer.com/news/security/wordpress-gravity-forms-developer-hacked-to-push-backdoored-plugins/

4. 美国阿拉巴马州加登代尔市遭INC Ransom勒索攻击

7月11日，美国阿拉巴马州加登代尔市政府克日陷入数据清静�；�，其敏感信息被曝泛起在暗网论坛上。着名勒索组织INC Ransom宣称已窃取该市约50GB数据，包括市政条约、财务纪录、客户信息、人力资源档案及事故报告等神秘资料，并将其列入泄密网站以施压支付赎金。只管攻击者尚未提供数据样本或截图验证真实性，但此次事务已引发对市民身份盗用危害及市政系统清静性的担心。加登代尔市作为伯明翰北部郊区、生齿超1.6万的城镇，若数据泄露属实，可能成为网络犯法分子进一步渗透政府网络的要害跳板。INC Ransom组织自2023年7月活跃以来，已形成"多重勒索"模式，不但加密数据，更以果真泄露为威胁，迫使受害者就范。据暗网监控工具Ransomlooker统计，该团伙已往一年内攻击至少176家机构，受害者遍布医疗、教育、政府及企业领域。

https://cybernews.com/security/gardendale-alabama-ransomware-attack/

5. 麒麟勒索软件强势崛起，使用Fortinet误差致81家机构受攻击

7月12日，克日勒索软件领域迎来重大变局，麒麟（Qilin）组织依附47.3%的活跃度激增，以81起新增案件逾越古板劲旅，成为全球最活跃的勒索软件即服务（RaaS）团伙。该组织自降生以来已累计攻击超310个目的，其手艺演进与战略转型正重塑网络清静威胁名堂。麒麟的快速扩张源于对要害基础设施误差的系统性使用。2025年5-6月间，该组织将攻击焦点瞄准未修补的Fortinet清静装备，尤其针对FortiGate和FortiProxy装备中的CVE-2024-21762（身份验证绕过）与CVE-2024-55591（远程代码执行）误差。只管前者已于2025年2月宣布补丁，但全球数万台装备仍袒露在攻击面下，为麒麟提供了自动化安排的绝佳入口。攻击链显示，威胁行为者通过特制请求触发误差，无需凭证即可建设网络驻足点，随后释放接纳Rust与C语言编写的�？榛褚庠睾�，实验长期化控制与横向渗透。手艺剖析展现，麒麟的威胁模子已突破古板勒索领域，构建起涵盖垃圾邮件、DDoS攻击、PB级数据存储及心理战工具的完整犯法生态。其独创的"呼叫状师"功效通过模拟执法谈判场景，对受害者施加心理压力，显著提升赎金协商效率。这种多维度攻击模式使其迅速填补LockBit、BlackCat等驱逐组织留下的市场空缺，吸引大宗隶属团队加盟。

https://cybersecuritynews.com/qilin-emerged-as-the-most-active-group/

6. 黑客借正当Mac工具植入ZuRu木马，重点针对开发者群体

7月11日，清静机构SentinelOne克日宣布警报，展现黑客正通过污染搜索引擎效果的方法，将植入ZuRu木马的改动版Mac工具推送给用户，最新攻击目的瞄准跨平台SSH客户端Termius。此次攻击延续了针对开发者常用工具的恶意软件撒播模式，凸显macOS平台面临的供应链清静威胁一连升级。被改动的Termius装置包内含新版macOS.ZuRu后门病毒。该木马装置后会在后台静默运行，建设长期化会见通道，不但能够远程下载有害组件，还可执行攻击者指令，功效涵盖文件传输、系统侦探、历程操控及指令反响等。值得注重的是，攻击者要求受害系统至少为2023年10月宣布的Sonoma 14.1或更新版本，体现其可能针对较新的macOS情形优化攻击代码。手艺剖析显示，此次攻击中改动的Termius包括长期性下载器，可获取并解码开源渗透工具Khepri，通过恶意域名建设下令控制通道。恶意代码执行时会同步启动木马加载器与正版应用，确保用户难以察觉异常。清静专家评估以为，此类攻击主要针对"缺乏有用终端防护"的情形，尤其是依赖搜索引擎下载软件的开发者群体。

https://cybernews.com/security/hackers-hide-mac-trojan-in-legitimate-applications/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究