本文預計閱讀時間 19分鐘

漏洞預警方面，思科近期警告其ISE和CCP產(chǎn)品存在公開漏洞代碼，思科IMC攻擊者可利用漏洞提升權限訪問內(nèi)部服務。此外，思科Nexus儀表盤存在嚴重漏洞，可能導致攻擊者冒充受管設備。另一方面，數(shù)千臺華碩路由器受隱秘后門影響，威脅持久。CISA發(fā)布公告，涵蓋工控系統(tǒng)（ICS）漏洞及攻擊風險，并警告ConnectWise ScreenConnect漏洞可能被積極利用。

安全事件方面，俄羅斯相關APT組織對烏克蘭基礎設施部署新型數(shù)據(jù)擦除Wiper惡意軟件，烏克蘭則聲稱對俄羅斯圖波列夫戰(zhàn)機制造商發(fā)動黑客反擊。同時，數(shù)百萬Android設備被Badbox 2.0僵尸網(wǎng)絡控制，嚴重Linux漏洞導致全球大量系統(tǒng)密碼哈希泄露。

風險預警方面，制造業(yè)和醫(yī)療保健領域勒索軟件激增，農(nóng)業(yè)和食品行業(yè)攻擊活動增多；勒索軟件和USB攻擊正在重創(chuàng)OT系統(tǒng)；35,000個聯(lián)網(wǎng)太陽能發(fā)電系統(tǒng)易受網(wǎng)絡攻擊；PLAY勒索軟件組織自2022年以來已攻擊900個組織；新版本的CHAOS RAT瞄準WINDOWS和LINUX系統(tǒng)。

產(chǎn)業(yè)動態(tài)方面，近四分之一的工業(yè)企業(yè)報告稱，網(wǎng)絡攻擊造成的損失超過500萬美元；人工智能成為企業(yè)勒索軟件防御的關鍵角色。

2025年6月4日，思科已發(fā)布補丁，修復其身份服務引擎 (ISE) 和客戶協(xié)作平臺 (CCP) 解決方案中的三個帶有公開漏洞代碼的漏洞。這三個漏洞中最嚴重的是一個嚴重的靜態(tài)憑證漏洞，編號為CVE-2025-20286，由GMO Cybersecurity的Kentaro Kawane在思科ISE中發(fā)現(xiàn)。思科ISE是一款基于身份的策略實施軟件，可在企業(yè)環(huán)境中提供端點訪問控制和網(wǎng)絡設備管理。該漏洞是由于在云平臺上部署思科ISE時憑證生成不當，導致不同部署之間共享憑證。

資料來源：

http://i1.bdi3.sbs/w/LuwEKD

2025年6月5日，思科集成管理控制器 (IMC)中存在一個重大漏洞，允許惡意行為者獲取提升的權限并在未經(jīng)適當授權的情況下訪問內(nèi)部服務。該漏洞對依賴思科服務器管理基礎設施的企業(yè)網(wǎng)絡構成了重大風險，可能使攻擊者能夠破壞關鍵系統(tǒng)和敏感數(shù)據(jù)。思科IMC漏洞 (CVE-2025-20261) 屬于權限提升漏洞，利用管理控制器Web界面中的身份驗證和授權機制的弱點。攻擊者可以利用不正確的輸入驗證和不充分的訪問控制來繞過安全限制并以管理權限執(zhí)行命令。該漏洞影響用于系統(tǒng)配置和監(jiān)控的 RESTful API 端點，允許未經(jīng)授權的用戶操縱服務器設置并訪問受限的功能。

資料來源：

https://cybersecuritynews.com/cisco-imc-privilege-escalation-vulnerability/

2025年6月5日，可能是國家黑客，正在利用成千上萬個華碩路由器構建一個能夠承受固件補丁和重啟的僵尸網(wǎng)絡。研究人員報告稱，大約有9000個路由器已經(jīng)被滲透，這個數(shù)字還在增加。GreyNoise是一家安全公司，他們在周二警告稱，攻擊者利用已知和之前未公開的漏洞組合來攻擊路由器，包括一個被識別為CVE-2023-39780的命令注入漏洞。所涉及的攻擊手法表明“這是一個資源豐富且能力強大的對手”，可能正在構建一個可運行的中繼盒。華碩在最近的固件升級中解決了CVE-2023-39780。然而，如果在修補之前已經(jīng)被攻破的機器，除非管理員驗證SSH設置并從其中移除攻擊者的密鑰，否則可能仍然包含后門。對于潛在的妥協(xié)，GreyNoise建議進行完整的工廠重置。

資料來源：

2025年6月5日，思科發(fā)布了高嚴重性安全公告（ID：cisco-sa-ndfc-shkv-snQJtjrp），涉及其Nexus Dashboard Fabric Controller（NDFC）中的關鍵SSH 主機密鑰驗證漏洞，漏洞編號為 CVE-2025-20163。該漏洞的 CVSS 3.1 基本評分為 8.7，可能允許未經(jīng)身份驗證的遠程攻擊者冒充思科 NDFC 管理的設備，對數(shù)據(jù)中心基礎設施構成重大風險。該漏洞的根源在于SSH主機密鑰驗證不足（CWE-322：無實體身份驗證的密鑰交換），這使得攻擊者能夠對與NDFC管理設備的SSH連接執(zhí)行中間人 (MitM) 攻擊。通過利用這一點，威脅行為者可以攔截敏感流量并獲取用戶憑證，從而可能獲得對關鍵網(wǎng)絡資源的未經(jīng)授權的訪問。

資料來源：

https://gbhackers.com/critical-cisco-nexus-dashboard-vulnerability/

2025年6月3日，CISA發(fā)布了三項關鍵的工業(yè)控制系統(tǒng) (ICS) 警告，警告各組織注意影響施耐德電氣和三菱電機工業(yè)自動化產(chǎn)品的嚴重漏洞。這些警告強調(diào)了可利用的漏洞，這些漏洞可能導致關鍵基礎設施部門（包括能源、商業(yè)設施和關鍵制造部門）的遠程代碼執(zhí)行、身份驗證繞過和拒絕服務攻擊。這些漏洞的 CVSS 評分范圍為4.6至9.3，其中兩個漏洞被歸類為可遠程利用且攻擊復雜度較低，對依賴這些工業(yè)控制系統(tǒng)作為運營技術環(huán)境的全球組織構成直接風險。最嚴重的漏洞編號為CVE-2023-4041，CVSS v4評分為9.3，影響施耐德電氣所有版本的Wiser AvatarOn 6K Freelocate和Wiser Cuadro H 5P Socket產(chǎn)品。

資料來源：

2025年6月3日，CISA向美國聯(lián)邦機構發(fā)出警報，稱黑客正在利用最近修補的ScreenConnect漏洞，這可能導致在服務器上執(zhí)行遠程代碼。該機構警告稱，影響華碩路由器和Craft內(nèi)容管理系統(tǒng) (CMS) 的另外四個安全問題也正在被積極利用。

資料來源：

http://22.bdi3.sbs/w/hJoLUR

2025年6月5日，思科Talos團隊披露了一起破壞性惡意軟件攻擊，該攻擊使用了此前未知的名為“PathWiper”的擦除器。這一令人擔憂的進展凸顯了烏克蘭關鍵基礎設施面臨的持續(xù)網(wǎng)絡威脅。此次攻擊被高度肯定地歸咎于一名與俄羅斯關系密切的高級持續(xù)性威脅 (APT) 攻擊者。報告總結道：“盡管俄烏戰(zhàn)爭曠日持久，但擦除器惡意軟件變種的持續(xù)演變凸顯了烏克蘭關鍵基礎設施面臨的持續(xù)威脅。 ”

資料來源：

http://z1.bdi1.sbs/w/wcUOil

2025年6月4日，烏克蘭國防部情報總局（GUR）聲稱其對俄羅斯航空航天和國防公司圖波列夫進行了黑客攻擊，該公司負責研發(fā)俄羅斯的超音速戰(zhàn)略轟炸機。據(jù)烏克蘭新聞媒體報道，GUR內(nèi)部消息人士稱，軍事情報黑客侵入了圖波列夫的系統(tǒng)并竊取了4.4 GB的機密信息。被盜數(shù)據(jù)包括圖波列夫人員的個人數(shù)據(jù)、內(nèi)部通信（包括公司管理層交換的信息）、采購文件、工程師和設計師的簡歷以及閉門會議記錄。

資料來源：

http://a2.bdi1.sbs/w/IqIVQN

2025年6月6日，美國聯(lián)邦調(diào)查局警告稱，數(shù)百萬運行開源版Android操作系統(tǒng)的物聯(lián)網(wǎng) (IoT) 設備都是Badbox 2.0僵尸網(wǎng)絡的一部分。網(wǎng)絡犯罪分子正在利用僵尸網(wǎng)絡進行廣告欺詐和點擊欺詐。此外，受感染設備的訪問權限和使用權也通過住宅代理服務出售，從而為惡意軟件傳播、DDoS 攻擊、賬戶接管攻擊、虛假賬戶創(chuàng)建等提供便利?！癇adbox 2.0威脅尤其引人注目，很大程度上是因為其行動的開放性。有了后門，受感染的設備可以被指令執(zhí)行威脅行為者開發(fā)的任何網(wǎng)絡攻擊。

資料來源：

http://42.bdi3.sbs/w/xsUwWF

2025年6月2日，兩個嚴重的本地信息泄露漏洞影響著全球數(shù)百萬個Linux系統(tǒng)，可能允許攻擊者通過核心轉儲操作提取敏感密碼數(shù)據(jù)。Qualys威脅研究部門 (TRU) 披露了兩個針對主流Linux發(fā)行版核心轉儲處理程序的競爭條件漏洞。第一個漏洞CVE-2025-5054影響Ubuntu的Apport崩潰報告系統(tǒng)；第二個漏洞CVE-2025-4598影響systemd-coredump，它是Red Hat Enterprise Linux 9和10以及Fedora發(fā)行版使用的默認核心轉儲處理程序。這兩個漏洞都利用了競爭條件，允許本地攻擊者操縱SUID（設置用戶 ID）程序并獲得對生成的核心轉儲的未經(jīng)授權的讀取訪問權限。

資料來源：

https://cybersecuritynews.com/linux-vulnerabilities-expose-password-hashes/

2025年6月5日，霍尼韋爾披露，已公開記錄了1929起勒索軟件攻擊，其中71%發(fā)生在八個垂直行業(yè)，其中制造業(yè)、建筑業(yè)、醫(yī)療保健業(yè)和科技公司受到的影響最大。社區(qū)情報報告指出，勒索軟件攻擊往往更具機會性，通常會在不同行業(yè)中形成正常的攻擊分布。然而，針對農(nóng)業(yè)和食品生產(chǎn)組織的攻擊正在呈指數(shù)級增長?；裟犴f爾在其《社區(qū)情報》報告中指出，第四季度受攻擊最多的行業(yè)是建筑業(yè)和制造業(yè)，分別占所有事件總數(shù)的21%。其次是科技和醫(yī)療保健行業(yè)，分別占所有報告事件總數(shù)的17%。農(nóng)業(yè)和食品生產(chǎn)行業(yè)占8%，能源和運輸物流行業(yè)占7%。報告中，電信行業(yè)受影響最小，僅占所有記錄事件總數(shù)的3%。

資料來源：

http://m1.bdi3.sbs/w/BpSLHB

2025年6月4日，霍尼韋爾《2025年網(wǎng)絡威脅報告》基于部署于全球工業(yè)場所的監(jiān)控工具數(shù)據(jù)，指出通過USB設備傳播的勒索軟件、木馬和惡意軟件正對工業(yè)系統(tǒng)造成越來越大的壓力。報告強調(diào)，維持關鍵基礎設施運行的運營技術（OT）環(huán)境面臨持續(xù)且嚴重的風險。研究人員記錄到，2024年末至2025年初，勒索軟件勒索案件數(shù)量增加了46%。Cl0p勒索軟件組織尤其活躍。僅在2025年第一季度，霍尼韋爾就在全球追蹤到2,472名勒索軟件受害者，而2024年記錄的事件數(shù)量為6,130起。與USB相關的威脅也在增加?；裟犴f爾響應團隊處理的每四起事件中，就有一起涉及USB即插即用事件。這些事件通常涉及有人插入驅動器，從而將惡意軟件傳播到系統(tǒng)中。像W32.Ramnit這樣的蠕蟲病毒（一種最初與銀行欺詐有關的憑證竊取木馬）出現(xiàn)在工業(yè)網(wǎng)絡中，其檢測量增加了3000%。

資料來源：

http://91.bdi1.sbs/w/5TXtUl

2025年6月4日，F(xiàn)orescout Research Vedere Labs 發(fā)現(xiàn)，近35,000臺太陽能設備（包括來自42家供應商的逆變器、數(shù)據(jù)記錄器和網(wǎng)關）暴露在互聯(lián)網(wǎng)上，且管理界面存在漏洞。通過使用Shodan搜索引擎進行識別，這些設備對全球電網(wǎng)構成了嚴重的網(wǎng)絡安全風險，尤其是當太陽能等可再生能源成為能源基礎設施不可或缺的一部分時。暴露的設備帶來重大電網(wǎng)安全風險，歐洲占據(jù)這些暴露系統(tǒng)的76%的份額，主要是德國和希臘，而亞洲則占17%。研究結果凸顯了日益嚴重的威脅形勢，攻擊者可以利用這些系統(tǒng)進行僵尸網(wǎng)絡集成或作為敏感網(wǎng)絡的入口點，從而可能破壞已經(jīng)在應對可再生能源整合挑戰(zhàn)的電網(wǎng)的穩(wěn)定。

資料來源：

http://g2.bdi1.sbs/w/zhy887

2025年6月6日，美國和澳大利亞當局的聯(lián)合警告稱，Play勒索軟件在過去三年中已經(jīng)攻擊了大約900個組織。Play勒索軟件組織采用雙重勒索模式。受害者被要求通過@gmx[.]de或@web[.]de郵箱地址聯(lián)系該組織，并以加密貨幣支付贖金。如果受害者拒絕，Play攻擊者會威脅將竊取的數(shù)據(jù)發(fā)布到其托管在Tor網(wǎng)絡上的泄密網(wǎng)站上。lay勒索軟件團伙依靠竊取的憑證并利用FortiOS、Microsoft Exchange以及RDP和VPN等面向外部的服務中的已知漏洞，獲得了對目標基礎設施的初始訪問權。最近，與Play相關的威脅參與者還利用了新的SimpleHelp漏洞 ( CVE-2024-57727 ) 來遠程執(zhí)行惡意代碼，從而擴大了其攻擊手段，并在2025年擴大了攻擊范圍。

資料來源：

http://a2.bdi3.sbs/w/qKtRsX

2025年6月5日，Acronis TRU研究人員在最近的攻擊中發(fā)現(xiàn)了針對Linux和Windows的Chaos RAT新變種。Chaos RAT最初發(fā)現(xiàn)于2022年，并于2024年進化，新的樣本于2025年出現(xiàn)。TRU還發(fā)現(xiàn)了該RAT網(wǎng)頁面板中存在一個可導致遠程代碼執(zhí)行的嚴重漏洞。最新變種似乎會誘騙受害者下載一個偽造的Linux網(wǎng)絡故障排除工具，從而進一步擴展其感染方法。Chaos RAT是一款基于Golang語言的開源遠程訪問工具 (RAT)，旨在跨Windows和Linux系統(tǒng)運行。該RAT的設計靈感源自Cobalt Strike和Sliver等工具。它包含一個管理面板，攻擊者可以在其中創(chuàng)建有效載荷、管理會話并控制受感染的設備。雖然基于Golang的惡意軟件通常比C++版本更大、更慢，但它更容易跨平臺支持，開發(fā)速度更快，因此對網(wǎng)絡犯罪分子極具吸引力。

資料來源：

2025年6月6日，卡巴斯基和VDC Research最近聯(lián)合發(fā)布的一項名為“利用專用解決方案保障運營技術安全”的研究，深入分析了當前運營技術（OT）網(wǎng)絡安全的現(xiàn)狀。該研究基于對能源、公用事業(yè)、制造、交通運輸?shù)刃袠I(yè)的250多位決策者的調(diào)研，揭示了影響工業(yè)企業(yè)的關鍵商業(yè)與技術趨勢，并分析了應對這些挑戰(zhàn)最有效的實施策略。報告中指出：大多數(shù)工業(yè)組織估計其因網(wǎng)絡攻擊造成的財務損失超過100萬美元，近四分之一的企業(yè)報告損失超過500萬美元，部分企業(yè)甚至損失高達1000萬美元以上。

資料來源：

近四分之一的工業(yè)企業(yè)報告稱，網(wǎng)絡攻擊造成的損失超過500萬美元

2025年6月6日，Delinea的報告顯示，盡管支付贖金的受害者越來越少，但勒索軟件攻擊事件仍在持續(xù)增加。全球69%的組織機構已成為勒索軟件的受害者，其中27%的組織機構遭受過不止一次攻擊。雖然只有57%的組織機構支付了贖金，低于2024年的76%，但隨著威脅行為者轉向勒索等其他手段，攻擊的頻率和影響持續(xù)增長，85%的勒索軟件受害者面臨數(shù)據(jù)泄露的威脅。研究人員認為，威脅行為者未來將使用GenAI模仿員工、客戶和供應商的寫作風格，以提高網(wǎng)絡釣魚攻擊的成功率。

資料來源：

https://www.helpnetsecurity.com/2025/06/06/ransomware-threats-concern/

安帝科技丨ANDISEC