思科防火墙零日误差遭国家支持组织攻击

宣布时间 2025-11-11

1. 思科防火墙零日误差遭国家支持组织攻击


11月7日,思科于2025年9月25日宣布清静更新,修复CVE-2025-20362(允许未经身份验证会见受限URL)和CVE-2025-20333(允许经身份验证远程代码执行)两个高危误差。二者关联后,远程未经身份验证的攻击者可完全控制未打补丁的ASA和FTD防火墙系统,导致装备重启循环及拒绝服务(DoS)攻击。同日,美国网络清静与基础设施清静局(CISA)宣布紧迫指令,要求联邦机构在24小时内掩护思科防火墙装备,并强制断开已阻止支持(EoS)的ASA装备与联邦网络的毗连。威胁监控服务Shadowserver追踪发明,互联网上袒露的易受攻击ASA和FTD实例凌驾34,000个,9月未修补防火墙数目靠近50,000个。思科指出,这些攻击与2024年ArcaneDoor攻击运动同属一个国家支持的组织(微软追踪为STORM-1849/UAT4356),该组织曾使用CVE-2024-20353和CVE-2024-20359误差入侵全球政府网络,安排Line Dancer内存shellcode加载器和Line Runner后门恶意软件以维持长期性。2025年11月5日,思科发明新攻击变种,针对运行相同误差影响的ASA/FTD软件版本的装备,导致未打补丁装备意外重启。


https://www.bleepingcomputer.com/news/security/cisco-actively-exploited-firewall-flaws-now-abused-for-dos-attacks/


2. Rhysida勒索团伙泄露Gemini Group近2TB数据


11月6日,与俄罗斯关联的Rhysida勒索软件团伙克日在暗网泄露美国制造业巨头Gemini Group近2TB敏感数据,涉及170余万个文件,包括员工薪资、休假余额、社会清静号码、康健包管详情、客户名单及内部财务文件等。此次泄露使1400余名员工面临身份偷窃、诓骗及人身清静威胁危害,同时袒露福特、丰田、通用汽车等焦点客户的供应链信息,可能引发信托危急与执法追责。Gemini Group总部位于密歇根州,作为一级供应商在美国和墨西哥设有18个分支机构,年营收3亿美元,主营塑料挤出成型、金属模具制造等营业,是汽车行业要害供应商。10月尾,Rhysida团伙在暗网宣布声明,称窃取其主要数据后给予一周脱期期,最终果真1.9TB数据集,涵盖实习生名单、采购报告、发票及员工小我私家照片等。


https://cybernews.com/security/gemini-group-rhysida-data-leak/


3. 华盛顿邮报遭Clop勒索攻击,Oracle零日误差波及全球


11月6日,《华盛顿邮报》克日确认成为Clop勒索软件组织最新攻击目的,该团伙使用Oracle E-Business Suite(EBS)平台零日误差提倡大规模攻击,现在已波及全球数百家组织且影响一连扩大。作为亚马逊首创人杰夫·贝佐斯旗下媒体,该报因着名度被Clop在暗网泄露网站顶部置顶,并单独以黄色字体标注"忠言",威胁若不支付赎金将通过BitTorrent磁力链接果真被盗数据。Oracle EBS作为全球数千企业使用的焦点营业治理系统,涉及客户、供应商、制造、物流等多流程治理。此次攻击源于EBS软件的要害零日误差,谷歌研究职员早在2025年7月已追踪到该误差,但Oracle直至10月2日才正式报告,且首次紧迫补丁失败,直至10月11日才宣布有用修复,导致客户在数日内处于易受攻击状态。Clop团伙此次攻击延续其习用战略:通过暗网泄露页面施压受害者,此前曾使用MOVEit、Fortra GoAnywhere等文件传输程序误差发动多次大规模攻击。


https://cybernews.com/security/washington-post-clop-oracle-ebs-victim-zero-day-hack/


4. 朝鲜黑客使用谷歌工具针对韩国用户实验精准攻击


11月10日,据韩国网络清静公司Genians披露,朝鲜黑客组织通过滥用谷歌"查找中心"工具实验精准攻击,主要针对韩国用户。攻击者首先通过KakaoTalk接触潜在目的,使用仿冒韩国国税局、警方等机构的垂纶信息,诱导用户执行含数字署名的MSI恶意附件。该附件通过嵌套的install.bat和error.vbs剧本制造"语言包过失"假象,现实触发AutoIT剧本建设长期化会见。攻击链中,恶意剧本从C2节点下载RemcosRAT、QuasarRAT等远程会见木马,实现键盘纪录、凭证窃取及二次有用载荷植入。攻击者使用被盗的谷歌账户登录"查找中心",定位目的安卓装备的GPS坐标,选择受害者户外运动、应急响应难题时段提倡攻击。通过远程重置下令擦除装备数据,执行三次擦除操作确保装备恒久无法恢复,同时挟制已入侵的KakaoTalk PC会话向联系人撒播病毒。攻击者通过窃取Google/Naver账户凭证,修改清静设置并扫除入侵日志,实现隐藏长期化控制。手艺剖析显示,攻击与KONNI运动集群相关联,恒久针对教育、政府、加密钱币等领域。


https://www.bleepingcomputer.com/news/security/apt37-hackers-abuse-google-find-hub-in-android-data-wiping-attacks/


5. 俄罗斯公民认可加入多起Yanluowang勒索攻击


11月10日,据美国司法部披露,俄罗斯公民Aleksey Olegovich Volkov(又名“chubaka.kor”“nets”)已签署认罪协议,认可在2021年7月至2022年11月时代作为“初始会见署理”(IAB),为针对至少八家美国公司的Yanluowang勒索软件攻击提供网络入侵服务。Volkov通过入侵企业网络获取会见权限后,将其出售给勒索软件组织,后者安排勒索软件加密数据并索要30万至1500万美元不等的比特币赎金。FBI视察显示,Volkov的身份通过多维度证据链被锁定:执法部分通过服务器搜查令恢复了谈天纪录、被盗数据、网络凭证及Yanluowang邮箱证据;团结其Apple iCloud账户、加密钱币生意纪录及社交媒体账号追踪到其俄罗斯护照及电话号码信息。谈天纪录进一步展现,Volkov与代号“CC-1”的同谋约定,以提供受害者凭证为条件分得赎金比例,最终从150万美元赎金中获取分成。别的,其苹果账户内文件显示与LockBit勒索团伙保存关联,体现更普遍的犯法网络。Volkov面临不法转移身份、销售会见信息等11项指控,最高刑期达53年,并被要求向受害者赔偿超910万美元。


https://www.bleepingcomputer.com/news/security/yanluowang-initial-access-broker-pleaded-guilty-to-ransomware-attacks/


6. 盛行的JavaScript库expr-eval保存远程代码执行误差


11月10日,盛行JavaScript库expr-eval被曝保存严重清静误差(CVE-2025-12735),该库在NPM平台每周下载量超80万次,被凌驾250个项目使用。美国网络清静和基础设施清静局(CISA)将其严重水平评定为“严重”,CVSS评分达9.8。该误差由清静研究员Jangwoo Choe发明,源于库在处置惩罚Parser.evaluate()函数时未对传入的变量/上下文工具举行充分验证。攻击者可结构恶意函数工具,在剖析历程中触发远程代码执行(RCE),从而完全控制受影响系统或窃取敏感信息。CERT协调中心(CERT-CC)忠言,此误差可能导致软件行为被改动或系统数据泄露。expr-eval最初由Matthew Crumley开发,是用于运行时清静剖析用户数学表达式的轻量级工具,普遍应用于在线盘算器、教育工具、金融系统及AI/NLP场景中的数学表达式剖析。误差不但影响原始expr-eval库(稳固版6年前宣布),还波及其活跃分支expr-eval-fork,该分支在NPM每周下载量超8万次。修复计划已随expr-eval-fork v3.0.0版本宣布,建议受影响项目连忙迁徙至该版本。


https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/