Fortra GoAnywhere MFT高危误差遭活跃使用

首页 > 清静研究 > 清静转达 > 清静简讯

Fortra GoAnywhere MFT高危误差遭活跃使用

宣布时间 2025-09-29

1. Fortra GoAnywhere MFT高危误差遭活跃使用

9月26日，黑客正起劲使用Fortra GoAnywhere治理文件传输软件中的最高严重性误差CVE-2025-10035提倡攻击。该误差源于允许证Servlet的反序列化缺陷，允许未经身份验证的攻击者通过伪造允许证响应署名远程注入下令，实现预授权远程代码执行。Fortra于9月18日正式披露该误差，但现实早在9月10日便已保存野外使用证据。WatchTowr Labs清静研究职员证实，攻击者自9月10日起已使用此零日误差，比官方通告提前8天。误差使用历程中，攻击者会建设名为"admin-go"的后门治理员账户，并上传"zato_be.exe"和"jwunst.exe"（正当远程会见工具SimpleHelp的恶意滥用版本）等有用载荷，网络用户权限信息并生涯至test.txt文件，为横向移动做准备。Fortra建议系统治理员连忙升级至修复版本7.8.4或7.6.3，并接纳缓解步伐：消除GoAnywhere治理控制台的公共互联网袒露，检查日志中"SignedObject.getObject"过失以确认是否受影响。

https://www.bleepingcomputer.com/news/security/maximum-severity-goanywhere-mft-flaw-exploited-as-zero-day/

2. 马里兰州交通部MDOT遭Rhysida勒索软件攻击

9月25日，美国马里兰州交通部（MDOT）遭遇与俄罗斯有关的Rhysida勒索软件团伙攻击，该组织通过暗网博客宣布被盗数据截图，包括护照、身份证件、配景视察、社会包管卡及犯法配景信息，并索要30比特币（约330万美元）赎金。MDOT作为马里兰州交通焦点治理机构，羁系州交通治理局（MTA）、港务局、航空治理局等六大部分，其运营的华盛顿-巴尔的摩交通系统年客流量超6700万人次。凭证MDOT官方通知，攻击仅影响MTA部分系统，焦点服务仍正常运行，但部分公交车实时数据中止。视察确认保存数据丧失，详细涉及员工及旅客敏感信息，可能引发身份偷窃和社会包管诓骗危害。研究团队剖析显示，被盗数据还包括内部财务报告和预算文件，但因MDOT预算透明度较高，此类文件私人信息危害较低。Rhysida团伙自2023年头最先活跃，已攻击超220个组织，被溯源至俄罗斯或独联体国家，与Vice Society勒索软件团伙保存手艺关联及收益分成。现在，MDOT正团结执法机构及第三方网络清静专家视察事务，但尚未明确数据泄露全貌。

https://cybernews.com/security/hackers-claim-maryland-transportation-rhysida/

3. 德州卡车司机数据泄露：超万名司机敏感信息遭袒露

9月25日，德克萨斯州AJT Compliance, LLC公司运营的驾驶员合规平台“DOT SHIELD”爆发大规模数据泄露事务，袒露凌驾一万名卡车司机的小我私家文件，涉及药物测试、雇佣条约、配景视察等高度敏感信息。经Cybernews研究团队视察，泄露泉源在于该公司使用的Amazon S3存储桶被过失设置为公共读取和列表权限，导致凌驾18,000张社会包管卡照片、23,000张驾照图像、责任包管卡、车辆磨练效果等文件外泄。这些数据自2022年起一连上传，部分敏感文件在视察时代仍被自动上传。受影响司机主要来自德克萨斯州或受雇于该州注册的物流公司。作为美国物流重镇，德州拥有超21.2万名重型卡车司机及7.272万名轻型卡车司机，此次泄露可能影响该州约10%的卡车司机。泄露的敏感信息若落入不法分子手中，可能被用于开设信用账户、偷取社保福利或实验人肉搜索等诓骗行为，对受害者造成严重身份偷窃危害。AJT Compliance在收到匿名举报后确认存储桶设置过失，并已通过认真任披露修复误差，确保数据清静。

https://cybernews.com/security/texas-truck-drivers-data-leak/

4. SonicWall SSL VPN装备遭Akira勒索软件一连攻击

9月28日，针对SonicWall SSL VPN装备的Akira勒索软件攻击一连升级，只管账户已启用OTP多因素认证（MFA），但威胁行为者仍能乐成登录。研究职员推测，这可能源于攻击者窃取了OTP种子或使用了2024年9月披露的CVE-2024-40766不当会见控制误差。该误差虽在2024年8月已修复，但攻击者仍通过此前从易受攻击装备中窃取的凭证一连入侵。网络清静公司Arctic Wolf报告指出，攻击者在启用OTP MFA的情形下仍能登录账户，登录实验时多次触发OTP质询后乐成，体现OTP种子可能被盗或保存其他天生有用令牌的要领。SonicWall已将此类攻击与CVE-2024-40766关联，并鞭策治理员重置所有SSL VPN凭证并升级至最新SonicOS固件。

https://www.bleepingcomputer.com/news/security/akira-ransomware-breaching-mfa-protected-sonicwall-vpn-accounts/

5. Medusa勒索软件攻击康卡斯特，834GB数据遭窃

9月29日，Medusa勒索软件组织宣称对全球媒体手艺巨头康卡斯特公司提倡网络攻击，并要求支付120万美元赎金以阻止窃取的834.4GB数据泄露或出售。该组织在暗网泄密网站宣布约20张内部文件截图及包括167,121项文件的清单，涉及精算报告、产品治理数据、包管建模剧本、理赔剖析数据及SQL剧本等敏感信息，路径示例包括Esur_rerating_verification.xlsx、Claim Data Specifications.xlsm等文件，体现已获取包管盘算、客户数据处置惩罚及索赔治理系统权限�？悼ㄋ固刈魑涤蠳BCUniversal的企业，旗下涵盖NBC、Telemundo、举世影业、流媒体平台Peacock及欧洲Sky营业。只管该公司未因大规模网攻成为焦点，但2015年曾有超20万用户凭证在暗网泄露，其时康卡斯特称数据可能源于凭证聚合而非系统直接入侵。Medusa以宣布部分文件证据施压受害者著名。此次攻击中，文件性子指向财务与精算数据集，若属实，康卡斯特或面临羁系审查危害。

https://hackread.com/medusa-ransomware-comcast-data-breach/

6. Notepad++ v8.8.3被披露保存高危DLL挟制误差

9月29日，Notepad++ v8.8.3版本被披露保存高危DLL挟制误差（CVE-2025-56383），CVSS评分达6.5分。该误差源于Notepad++在启动时自动加载特定DLL文件的机制缺陷，攻击者可使用此特征替换受信托的DLL文件（如NppExport.dll），注入恶意代码实现恣意代码执行。手艺剖析显示，攻击者只需将恶意DLL文件安排于Notepad++装置目录的plugins\NppExport\路径下，并确保其导出函数转发至原始DLL文件。当用户启动Notepad++时，程序会优先加载该恶意DLL，在转发正当功效挪用的同时执行恶意代码，形成“功效完整+清静破损”的双重渗透。GitHub已果真看法验证（PoC），包括完整的攻击链演示，验证了误差在外地情形下的可使用性。该误差的攻击影响规模普遍，需外地会见权限或装置路径写入能力，但一旦乐成使用，可实现长期化驻留与权限提升，显著增添供应链攻击、木马化装置程序及内部威胁危害。建议用户连忙升级至修复版本，并按期检查装置目录文件完整性。

https://securityonline.info/dll-hijacking-flaw-cve-2025-56383-found-in-notepad-allowing-arbitrary-code-execution-poc-available/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究