CISA漏洞目录竟成勒索攻击灵感？28%漏洞被利用；新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览

•TikTok和Reddit等社交平台在英国受调查，涉嫌侵犯儿童隐私

•CISA漏洞目录竟成勒索攻击“灵感”？28%漏洞被利用

•CISA警告:思科小型企业路由器漏洞遭在野利用

•针对物联网和路由器的漏洞攻击扫描激增91%，威胁级别创新高

•火狐浏览器修改用户条款，回应数据使用权争议

•俄罗斯电信运营商Beeline遭DDoS攻击，用户网络一度中断

•新型网络钓鱼活动滥用微软SharePoint部署Havoc后门

•沃达丰试用量子安全技术保护智能手机浏览

•安恒信息发布恒脑・DeepSeek 安全垂域一体机

近日，英国隐私监管机构英国信息专员办公室(ICO)宣布对TikTok、Reddit和Imgur三家社交媒体平台展开调查,原因是这些平台的"推荐系统"可能导致未成年用户接触不当或有害内容。ICO表示,将审查这些平台如何使用儿童个人信息,以及它们采取何种年龄核实措施,以确保向儿童用户提供适龄内容。

据悉，ICO 在 2021 年通过了一项儿童行为准则要求平台采取“年龄保证措施”，包括估算儿童的年龄并保护他们免受潜在有害内容侵害的工具。ICO强调,这是一个隐私保护的优先领域,将继续采取行动确保儿童信息权利得到维护,并将就进一步行动提供更新。据悉，监管机构将与通信监管机构Ofcom密切合作,后者负责执行《在线安全法案》。

ICO 正在寻找任何违反数据保护法的行为。去年4月,ICO曾因TikTok未经父母同意收集13岁以下儿童信息,对其处以1270万英镑的罚款。

原文链接：

https://www.infosecurity-magazine.com/news/ico-tiktok-investigation-use/

GreyNoise 本周发布的年度"大规模互联网利用报告"披露,去年勒索软件团伙在攻击中利用了美国网络安全与基础设施安全局(CISA)已知漏洞利用目录（KEV）中28%的安全漏洞。KEV 计划旨在改善美国公共部门的补丁管理,但数据显示它也在无意中影响了私营部门。攻击者将KEV作为有用工具来规划攻击，是因为该目录记录了他人成功利用的漏洞,显示它们是否被用于勒索软件攻击,并通常提供相关文档解释利用方式。

GreyNoise的一份报告发现,虽然部分漏洞，如Cleo Harmony远程代码执行漏洞(CVE-2024-50623)和Progress Kemp LoadMaster命令执行漏洞(CVE-2024-1212)，是在大规模利用后才被添加到目录；但在大多数情况下,一旦发现确认的利用行为,漏洞通常会在一两周内被列入 CISA 目录。

报告发现,至少 40%去年被利用的漏洞存在至少四年,部分漏洞可追溯至 20 世纪 90 年代。研究人员呼吁立即采取具体措施应对这些持续威胁。同时,报告建议用户考虑更换Ivanti、D-Link和VMware等产品的供应商,因为这些产品存在较高的零日漏洞利用风险,且供应商处理安全补丁的做法令人失望。

原文链接：

https://www.theregister.com/2025/02/28/cisa_kev_list_ransomware/

美国网络安全与基础设施安全局(CISA)发出紧急警告,思科小型企业RV系列路由器存在一个严重的命令注入漏洞(CVE-2023-20118),该漏洞正在被活跃利用。

该漏洞存在于思科已停产的RV016、RV042、RV042G、RV082、RV320和RV325路由器的基于Web的管理界面中,源于对HTTP数据包中用户输入的不当验证(CWE-77),允许经过身份验证的攻击者以root权限执行任意命令。虽然需要管理员凭证才能利用该漏洞,但一旦凭证被泄露或内部威胁存在,攻击者就可能注入恶意负载、绕过授权控制访问未经授权的数据,并在网络中持续活动以实现横向移动或数据窃取。

思科已确认这些路由器由于停产状态将不会获得补丁,导致全球约有5万台设备面临风险。尽管目前尚未发现与该漏洞相关的勒索软件活动,但CISA强调其对关键基础设施构成"重大风险"。为降低攻击面,思科建议立即采取以下缓解措施:对RV320和RV325路由器禁用远程管理;对RV016、RV042、RV042G和RV082型号阻止端口443和60443。

原文链接：

https://cybersecuritynews.com/cisa-cisco-small-business-routers/

互联网连接设备遭受漏洞扫描攻击的情况在过去一年中急剧上升。根据F5实验室在2025年2月的"传感器情报系列"报告中汇总的最新数据,2024年针对漏洞的扫描活动比前一年增长了高达91%,这是近年来观察到的最大同比增幅,远远超过2022年至2023年仅5%的增长。

这一前所未有的激增并非局限于某个特定漏洞或攻击向量。尽管F5实验室的研究人员最初怀疑大规模扫描CVE-2023-1389可能会扭曲数据,但进一步分析发现,即使排除这一特定威胁,总体流量仍显示出91%的增长。2025年初的数据也没有显示出放缓的迹象,这可能意味着互联网连接设备面临的威胁水平进入了一个新常态。

令家庭用户和企业同样担忧的是,攻击集中针对物联网设备和消费级路由器。报告显示,42%的与CVE相关流量专门针对这些设备。TP-Link Archer AX21路由器漏洞(CVE-2023-1389)连续第六个月主导扫描活动。

原文链接：
https://cybersecuritynews.com/routers-under-attack/#google_vignette

Firefox浏览器在推出新的使用条款引发了重大争议后，在"正式化"的用户协议中做了修订。争议的焦点是一项特定条款,该条款授予Mozilla"非独家的、免版税的、全球范围内的许可",可使用通过Firefox输入或上传的信息。批评者将此解读为Mozilla试图主张对用户数据的所有权,并可能将其货币化,用于人工智能开发或定向广告等目的。Mozilla驳斥了这些解读,称新条款并不意味着用户数据处理方式有任何变化。

面对激烈的批评,Mozilla阐明了自己的意图,并对有争议的措辞提供了进一步解释,同时还修改了该条款,使用更清晰的措辞:

• 原始条款:"当您通过Firefox上传或输入信息时,您特此授予我们一项非独家的、免版税的、全球范围内的许可,可使用该信息帮助您根据使用Firefox的情况浏览、体验和与在线内容互动。"

• 修订后条款:"您授予Mozilla运行Firefox所需的权利。这包括按照Firefox隐私声明所述处理您的数据。它还包括一项非独家的、免版税的、全球范围内的许可,目的是按照您在Firefox中输入内容的要求进行操作。这并不赋予Mozilla对该内容拥有任何所有权。"

Mozilla重申,该条款并未授予他们对用户数据的所有权,或在现有隐私声明范围之外使用数据的权利。Mozilla强调,用户数据不会发送给第三方人工智能公司,任何共享给广告商的数据都是去标识化或汇总过的。

原文链接：

https://hackread.com/mozilla-tweaks-firefox-terms-over-data-use-language/

3月3日，俄罗斯电信运营商Beeline遭到大规模分布式拒绝服务(DDoS)攻击，导致一些用户网络中断。这已是Beeline在近期遭受的第二起重大网络攻击。

Beeline拥有超过4400万订户。在多个网络监测服务和用户投诉之后,Beeline向当地媒体证实了此次攻击。互联网监测服务Downdetector的数据显示,大多数俄罗斯Beeline用户无法访问公司的移动应用程序,部分用户还反映网站瘫痪、通知失败和网络中断。俄罗斯通信监管机构Roskomnadzor表示,在周一的事件后,莫斯科及周边地区的用户大量投诉连接问题。

上月初,一场类似的DDoS攻击曾导致Beeline遭遇大范围服务中断,公司网站和移动应用程序瘫痪,家庭和移动互联网服务也受到影响。此前1月,俄罗斯电信巨头MegaFon也遭遇类似网络中断,被认为是大规模DDoS攻击所致。一位网络安全人士向媒体表示,2月的Beeline攻击和MegaFon事件是今年针对电信行业最大规模的黑客活动。

原文链接：

https://therecord.media/russian-telecom-beeline-outages-cyber

研究人员近日揭示，一场新发现的网络钓鱼活动正利用ClickFix手法,诱骗受害者执行恶意PowerShell命令,从而在入侵设备上部署Havoc后渗透框架,实现远程访问控制。

攻击者发送钓鱼邮件,声称有"限制通知"需要查看,诱使收件人打开附件HTML文档，并诱导用户手动更新DNS缓存。点击"修复方法"按钮会自动复制一段PowerShell命令到剪贴板,并显示执行说明。该命令会尝试启动攻击者SharePoint服务器上的另一PowerShell脚本。该脚本会检查设备是否在沙箱环境中运行。如果不是,它会修改Windows注册表,标记脚本已在设备上运行,并检查Python是否已安装,如果没有则安装解释器。最后,脚本会从同一SharePoint站点下载并执行Python脚本,以注入DLL的方式部署Havoc后渗透命令与控制框架。

Havoc是一款类似Cobalt Strike的开源后渗透框架,允许攻击者远程控制入侵设备。Havoc被配置通过微软Graph API与攻击者服务器通信,将恶意流量隐藏在合法云服务中,从而规避检测。恶意软件利用SharePoint API在Graph上发送和接收命令,实际上将攻击者的SharePoint账户变成了数据交换系统。

原文链接：

https://www.bleepingcomputer.com/news/security/new-clickfix-attack-deploys-havoc-c2-via-microsoft-sharepoint/

英国电信运营商沃达丰公司正在试用新的量子安全技术，旨在保护智能手机用户在未来的量子攻击中浏览互联网时的安全。

沃达丰透露,它已开发出利用IBM量子安全技术的新概念验证。该技术将在沃达丰的移动数字安全服务Secure Net上进行试验,该服务可在沃达丰的固定和移动网络上防范网络钓鱼、恶意软件和身份盗窃。该概念验证还得到了网络安全公司Akamai的支持。该解决方案将在现有加密算法中实施后量子密码学(PQC)标准。

IBM研究人员共同开发了美国国家标准与技术研究所(NIST)于2024年8月确定的两种PQC标准算法。沃达丰和IBM还是GSMA后量子电信网络工作组的创始成员,该工作组将帮助定义要求、确定依赖关系并制定实施整个电信行业量子安全网络的路线图。除了NIST标准外,金融和电信行业一直走在开发量子安全解决方案的前列,以保护敏感数据免受"Q日"(量子计算机能够破解当前加密方法的那一天)的影响。

原文链接：

https://www.infosecurity-magazine.com/news/vodafone-trials-quantum-safe/

3 月 2 日，安恒信息发布恒脑・DeepSeek 安全垂域一体机。该产品深度融合恒脑安全垂域特性和DeepSeek深度思考能力，实现从“开箱即用”跃迁到“场景落地”，加速行业智能化进程。

根据安恒信息的新闻稿，依托恒脑开放且高度灵活的智能体框架，安恒信息成功打造了业内首个深度融合DeepSeek技术的安全智能体体系。截止发布会当天，恒脑智能体商城已上线功能丰富且实用的50+基于DeepSeek的安全智能体，涵盖安全运营、数据安全、日常办公、IT运维、智能客服及知识搜索等多个场景。

恒脑・DeepSeek 安全垂域一体机包含入门版、标准版、旗舰版三个规格型号，适配不同企业规模、不同行业场景的多样化安全需求。除硬件一体机解决方案，本次发布会还同步发布了软件交付和SaaS化交付方案，全面支持国产化环境，形成了一个全系列、多形态、云地协同、支持异构的全能AI+安全解决方案。据悉，恒脑・DeepSeek安全垂域一体机的应用成效已得到充分验证。

原文链接：

https://mp.weixin.qq.com/s/CZVc_FYUcUfLgHLLERUBZQ