超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下

近期，安全研究人员发现，超过1.2万个GFI KerioControl防火墙实例暴露于一个高危的远程代码执行漏洞CVE-2024-52875（CVSS评分：8.8）的威胁之下。

KerioControl是一款面向中小型企业的网络安全套件，提供VPN、带宽管理、报告和监控、流量过滤、防病毒保护以及入侵防御等功能。CVE-2024-52875于2024年12月中旬被发现，可能导致危险的一键远程代码执行攻击。GFI软件于2024年12月19日发布了补丁版本的安全更新以修复此问题。尽管已经警告存在主动利用行为，但威胁监控服务机构Shadowserver基金会最新报告称，目前仍有12,229台KerioControl防火墙暴露于利用CVE-2024-52875漏洞的攻击之下。

由于该漏洞的概念验证代码已公开,攻击门槛较低，即使是低技术水平的黑客也可能加入恶意活动。该漏洞源于对用户输入的不当过滤，具体来说，应用程序没有正确过滤/删除换行符(LF)字符。这可被利用执行HTTP响应拆分攻击，进而可能导致反射型跨站脚本(XSS)甚至远程代码执行(RCE)攻击。安全专家强烈建议未应用安全更新的用户立即安装于2025年1月31日发布的KerioControl 9.4.5补丁2版本。

网络安全研究人员近日公开了一个SonicWall防火墙漏洞的完整利用细节，该漏洞CVE-2024-53704允许攻击者绕过某些SonicOS SSLVPN应用程序的身份验证机制，使得远程攻击者在未经身份验证的情况下劫持活跃的SSL VPN会话，从而获取受害者网络的未经授权访问权限。

研究人员已开发出一个利用该漏洞的攻击代码，证实了SonicWall之前对其可被利用性的担忧。攻击者只需向SSL VPN身份验证端点发送一个特制的会话Cookie，其中包含一串经过Base64编码的空字节，即可触发会话验证的错误处理，从而登出受害者并接管会话。一旦接管会话，攻击者就能读取用户的虚拟办公室书签、获取VPN客户端配置设置、打开到内部网络的VPN隧道，并访问私有网络资源。

该漏洞影响SonicOS 7.1.x(至7.1.1-7058)、7.1.2-7019和8.0.0-8035等多个版本，这些版本运行在第六代和第七代多款防火墙以及SOHO系列设备上。SonicWall已在SonicOS 8.0.0-8037及更高版本、7.0.1-5165及更高版本、7.1.3-7015及更高版本、6.5.5.1-6n及更高版本中修复了该漏洞。由于现在有了公开的利用代码，漏洞被利用的风险大大增加。建议管理员尽快安装相关更新，以防止黑客劫持VPN会话、窃取数据和渗透内部网络。

近日，研究人员在备受欢迎的在线数据集和预训练模型仓库Hugging Face Hub上发现了两个含有恶意代码的机器学习模型。一旦开发人员下载并在本地机器上执行其中一个模型,恶意payload会检查所在系统是Windows、Linux还是使用Mach内核(如macOS)。根据检查结果,它会使用不同的编程逻辑创建反向shell，连接到一个硬编码的IP地址。

Hugging Face Hub是一个在线平台，软件开发者和研究人员可在此找到、共享和协作机器学习模型，这些模型提供可嵌入软件应用的功能函数。机器学习模型的数学表示可以用各种数据序列化格式存储,其中之一叫做pickle。Pickle是一个流行的Python模块。被发现的两个恶意模型使用PyTorch格式存储，该格式使用pickle模块进行序列化和反序列化,实际上是一个带有PyTorch包装器的压缩pickle文件。该模型利用被称为"NullifAI"的防御规避技术,有效利用了pickle文件中序列化代码的执行来允许恶意代码执行。

目前，Hugging Face安全团队已移除了这些恶意模型，并改进了Picklescan对损坏pickle文件的检测能力。研究人员指出，虽然这些模型没有使用常见的规避技术，但它们更像是测试新攻击方法的概念验证模型。

随着DeepSeek在人工智能领域的持续走红，不法分子开目前监测数据显示，该木马主要在境外传播。但仍需要提醒广大用户——尤其是需要部署或测试DeepSeek的IT从业人员注意外部应用的来源可信度。始利用其市场热度作为攻击诱饵。近日，360安全大脑就监测到了一款木马，伪装成深受欢迎的 DeepSeek工具，内部实则隐藏了危害性极大的后门功能。

经分析，该木马基于Electron框架构建，并集成了反调试和虚拟机检测能力，能够规避常规的安全分析环境。木马在执行前会悄然下载并部署特定版本的Node.js环境，通过多重加密验证及解密手段对关键组件进行保护。同时，木马还会直接从云端获取并解密远程恶意载荷以实现动态更新和远控操作。

目前监测数据显示，该木马主要在境外传播。但仍需要提醒广大用户——尤其是需要部署或测试DeepSeek的IT从业人员注意外部应用的来源可信度。除了提高自身安全意识及警惕性外，还建议安装具有足够安全功能的浏览器对访问的页面进行安全性鉴定。同时，安装并启用安全软件，对下载的文件进行安全扫描。以此来确保系统得到全方位的安全防护。

近日，黑客Gloomer声称成功入侵了OmniGPT这款流行的人工智能聊天机器人和生产力平台，泄露了3万多名用户的电子邮件地址、电话号码，以及超过3400万条用户对话记录。泄露的数据包括用户与聊天机器人之间交换的消息、上传文件的链接，其中一些文件包含凭证、账单信息和API密钥。

根据专业网络安全媒体Hackread.com研究团队的分析，泄露的聊天记录涉及用户与聊天机器人讨论技术和开发主题的对话。除了消息日志，泄露的数据还包括存储在OmniGPT服务器上的文件上传链接，其中可能包含敏感信息，如办公项目、大学作业、市场分析报告、WhatsApp聊天记录截图、警方核查证明等个人和商业相关文档。如果黑客的说法属实，这将是迄今为止最大规模的人工智能对话数据泄露事件之一，可能导致用户遭受身份盗窃、网络钓鱼诈骗和财务欺诈等风险。

OmniGPT是一款整合了ChatGPT-4、Claude 3.5、Perplexity、Google Gemini和Midjourney等多种先进大语言模型的平台，旨在提高工作效率。它提供数据加密、团队协作工具、文档管理、图像分析和WhatsApp集成等功能。如果此次数据泄露事件得到确认，OmniGPT可能面临严重的法律和监管挑战，尤其是在欧洲地区，他们可能会因违反GDPR而受到重罚。目前，OmniGPT尚未就此次被指控的数据泄露事件发表官方回应。

尽管DeepSeek在技术创新和普及方面表现出色，但是美国纽约州长 Kathy Hochul 近日宣布， 出于安全考虑，该州已禁止在政府发放的设备和网络上使用DeepSeek的应用程序，并声称这一决定源于对该应用可能带来的外国监视和审查风险的日益严重担忧。

根据纽约州网络安全负责人Colin Ahern的说法， Hochul 州长已指示州政府机构在上周末开始移除该应用程序。据《华尔街日报》报道，作为禁令的一部分，纽约州雇员将被禁止在由州信息技术服务办公室管理的所有设备和网络上下载该应用程序。

该禁令涵盖任何政府发放的设备，但不包括州雇员的个人设备。此举效仿了美国针对其他我国应用采取的类似行动。纽约州的这一决定可能为美国其他州树立先例，引发关于在技术进步、数据隐私和国家安全之间寻求平衡的更广泛讨论。

在备受瞩目的巴黎AI行动峰会（Paris AI Action Summit）上，美国和英国拒绝签署关于“包容和可持续”AI的宣言。该宣言得到了包括中国和印度在内的60个国家的支持。

该声明承诺“促进AI的可及性以缩小数字鸿沟”，并“确保AI是开放、包容、透明、伦理、安全、可靠和值得信赖的”。声明还呼吁“使AI对人类和地球可持续发展”，并保护“人权、性别平等、语言多样性、消费者权益和知识产权”。

英国表示，只有符合国家利益的倡议才会得到政府的支持，而美国则批评欧洲对AI的“过度监管”。美国副总统JD Vance在峰会上发表演讲，警告全球领导人和科技行业高管，过度监管可能会阻碍快速发展的人工智能产业，直接反驳了欧洲遏制AI风险的努力。美国在特朗普总统的领导下，主张不干预的政策以促进创新，而欧洲则通过严格的法规确保安全和责任。

苹果公司近日发布了一项安全更新，修复了一个可能已被"极其复杂的攻击"利用的漏洞。该漏洞被跟踪为CVE-2025-24200，可能允许攻击者通过物理方式绕过USB受限模式，从而在锁定设备上获取用户数据。

USB受限模式是一项安全功能，旨在加大黑客解锁用户手机的难度。启用后，iPhone的Lightning端口在设备锁定一小时内只允许充电，未经授权的人无法连接锁定的iPhone来访问其数据。苹果表示，这些攻击针对特定个人，但未透露更多细节。

修复此漏洞的更新适用于iPhone XS及更新机型、iPad Pro（13英寸）、第三代及更新iPad Pro （12.9英寸）、第一代及更新iPad Pro （11英寸）、第三代及更新iPad Air、第七代及更新iPad，以及第五代及更新iPad mini。用户应尽快安装更新，可通过设置检查是否为最新软件版本。

苹果本月还修复了另一个可用于攻击iPhone用户的零日漏洞CVE-2025-24085，Apple指出此问题可能已针对 iOS 17.2 之前的 iOS 版本被积极利用，恶意应用程序可能能够提升权限，此问题已通过改进内存管理解决释放后使用问题。已在 visionOS 2.3、iOS 18.3 和 iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3 中修复。

思科公司否认了Kraken勒索软件组织最近声称的有关数据泄露事件，表示泄露的凭证来自于2022年一起已解决的安全事件。

此前，Kraken勒索软件组织在其暗网泄露网站上发布了一些敏感信息，声称从思科内部网络窃取。根据报道，泄露的数据包含了思科Windows Active Directory环境中的用户名、域名、相对标识符(RID)、密码哈希值等，包括管理员账户、普通用户账户、域控制器服务账户和关键的Kerberos票证授予票证(krbtgt)账户。分析人士认为，攻击者可能使用了Mimikatz、pwdump或hashdump等凭证转储工具从系统内存中提取这些信息。除了泄露数据，攻击者还留下了威胁性言论。

对此，思科公司发表官方声明，否认了Kraken组织的指控，并指出泄露的凭证来自2022年5月发生的一起已公开的安全事件。当时，攻击者通过社交工程手段绕过多因素身份验证，获取了一名员工的VPN访问权限，但未能访问关键内部系统。

国务院总理李强日前签署国务院令，公布《公共安全视频图像信息系统管理条例》（以下简称《条例》），自2025年4月1日起施行。

《条例》旨在规范公共安全视频系统管理，维护公共安全，保护个人隐私和个人信息权益，共34条，主要规定了以下内容：严格规范建设，严禁非法乱建；明确县级以上地方人民政府加强统筹规划，避免重复建设，政府有关部门、经营管理单位按照规划、标准建设公共安全视频系统；除负有经营管理责任、安全防范义务的部门、单位或者个人为维护公共安全所必需建设外，其他任何单位或者个人不得在公共场所安装图像采集设备设施；禁止在民宿、宿舍、更衣室等能够拍摄、窥视、窃听他人隐私的区域、部位安装图像采集设备设施；明确在军事禁区、军事管理区以及国家机关等涉密单位周边安装图像采集设备设施的，应当事先征得相关涉密单位同意。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除