快讯 -凯时尊龙

据thehackernews消息，开源漏洞扫描程序 nuclei 被曝存在高危漏洞 cve-2024-43405，cvss 评分为 7.4，影响 3.0.0 之后所有版本。 该漏洞源于签名验证和 yaml 解析器处理换行符及多签名方式差异，让攻击者能向模板注入恶意内容，绕过签名检查，甚至执行恶意代码。nuclei 靠模板扫描找漏洞，支持在主机执行外部代码。云安全公司 wiz 指出，漏洞根源是模板签名验证，其依赖正则表达式致解析冲突，给攻击者可乘之机。

据thehackernews消息，研究人员发现一款名为 firescam 的安卓信息窃取恶意软件，它伪装成 telegram 高级版，通过仿冒俄罗斯热门应用商店 rustore 的 github.io 钓鱼网站进行传播，是一种复杂多面的威胁。 该恶意软件采用多阶段感染流程，先以 dropper apk 形式存在，安装后会进行大量监控活动，将敏感数据外传到 firebase 实时数据库端点。它运用多种混淆和反分析技术，还会关注通知、屏幕状态、交易等诸多情况收集信息，并且能通过多种方式维持隐蔽访问，进行数据窃取等恶意活动。

据darkreading消息，美国财政部遭黑客袭击数周后，近 9000 个 beyondtrust 系统仍暴露于互联网。该漏洞（cve-2024-12356）cvss 评分高达 9.8，波及特权远程访问与远程支持功能，12 月 16 日由 beyondtrust 报告，3 天后入 cisa 清单，月底就有黑客借此攻入美财政部。censys 分析发现，8602 个相关实例联网，72% 在美国，且无法确认是否已修复。beyondtrust 称自托管实例已强制更新，却未明确开放实例情况。

据darkreading消息，苹果公司同意支付 9500 万美元现金和解一起集体诉讼案。该诉讼涉及移动设备用户指控苹果在无意激活 siri 后记录用户对话。诉讼期从 2014年9月17日至去年12月31日。 有原告称提及特定物品后会触发相关广告，还有原告因私下与医疗人员讨论手术而收到相关广告。若和解获批，预计数千万原告可能会为每台启用 siri 的苹果设备获得高达 20 美元赔偿，同时原告律师团可能寻求高达2850万美元的费用及110万美元的开支。苹果虽同意和解，但否认自身存在不当行为。

据cybersecuritynews消息，aws在过去四年里，其 neuron sdk 三次出现相同的远程代码执行（rce）漏洞，暴露出其 python 包安装流程的重大安全疏漏。 2022年4月，长颈鹿安全公司（giraffe security）首次发现该问题，源于 aws 官方安装指令中 “--extra-index-url” 参数隐患，它未限制包仅从指定私有库下载，会搜索默认公共 pypi 库，致恶意包可乘之机。当年aws虽有应对，却未解决根本问题。追溯发现，2020 年其 “torch-neuron” 包就曾暴露类似风险。 2024 年 12 月调查显示漏洞再现，aws未提前在pypi注册新包名。

据cybersecuritynews消息，化工制造商尼基环球有限公司（nikki-universal co. ltd.）遭遇复杂勒索软件攻击。该公司于 2024 年 12 月 27 日确认，其部分服务器电子数据遭加密，勒索软件组织 “猎人国际”（hunters international）宣称是此次攻击的实施者。 此次攻击发生在 2024 年 12 月 22 日，黑客据称窃取了多达 761.8gb 的数据，包含 476342 个文件。“猎人国际” 以激进手段著称，设定 2025 年 1 月 10 日为赎金截止日期，威胁若要求未满足就公开所盗数据。

据cybersecuritynews消息，谷歌安全研究员公开了一个针对 windows 注册表权限提升的关键漏洞（cve-2024-43641）poc。该漏洞影响 windows server 2025、windows 10 及 windows 11 等多个版本，其源于 windows 注册表整数溢出或回绕问题，攻击者可借此执行任意特权代码，x64、arm64 及部分 32 位系统易受攻击。此漏洞属于 “false file immutability”（ffi）类型，由 gabriel landau 在相关会议研究发现。谷歌 project zero 的 mateusz jurczyk 分享了 poc，利用 windows 注册表配置单元内存管理疏忽实现攻击，微软已发布修复补丁。

据cyberdaily消息，勒索软件团伙 kairos 宣称，澳大利亚新南威尔士州的财富管理公司 austin s financial solutions 遭黑客攻击。2024 年 12 月 19 日，kairos 在暗网泄露网站公布了被盗的 147gb 数据，包含员工护照扫描件、工资单、员工合同等文件。austin s financial solutions 未回应置评请求。

2025年1月2日，盛邦安全（股票代码：688651）战略投资星展测控科技股份有限公司，双方将围绕卫星通信、无人飞行装备的安全体系展开深入合作，共同打造面向低空经济的新场景、新应用。国泰君安为本次投融资活动提供财务顾问支持。

据securitybrief消息，exclusive networks 公司宣布将旗下网络安全服务整合，推出 exclusive global solutions（xgs）计划。xgs 成为尊龙凯时平台入口的合作伙伴对接其全球网络安全方案的单一入口，助力拓展专业产品，旗下 ignition technology 等子公司协同发力。该公司年提供超 10000 天专业服务，培训 15000 余名学生，规模庞大。xgs 含全球交易统一、高级咨询、托管安全支持等服务，设全球交易台，还有培训认证能力，超 1800 名技术人员加持。

据cybersecuritynews消息，美国卫生与公众服务部（hhs）民权办公室发布拟议规则制定通知（nprm），旨在修改 hipaa 安全规则，强化电子受保护健康信息（ephi）网络安全防护。 此次提议调整意在应对医疗行业日益严峻的网络威胁，更新并强化合规标准。关键更新包括：简化并标准化要求，消除 “必需” 与 “可处理” 实施规范区别；强化风险管理与合规措施，明确现有要求合规期限；制定更强事故应对协议，如 24 小时内通知员工 ephi 访问变更等；增设技术防护、审计问责及其他新规。

据thehackernews消息，网络安全研究人员发现一个 npm 恶意包 “ethereumvulncontracthandler”，伪装成以太坊智能合约漏洞检测库，实则暗中部署 quasar rat 远程访问木马。该包于 2024 年 12 月 18 日发布，已被下载 66 次。其恶意代码经多层混淆，安装后会从远程服务器获取脚本，在 windows 系统上执行部署。

据thecyberexpress消息，印度计算机应急响应小组（cert-in）针对 wordpress 热门插件 wpforms 的高危漏洞 cve-2024-11205 发布警报。该漏洞存在于 1.8.4 至 1.9.2.1 版本，攻击者可借此未经授权执行如退款、取消订阅等操作，对网站的财务、服务及数据安全构成严重威胁。cert-in 建议用户将插件更新至 9.1.2.2 或更高版本以修复漏洞，并提醒用户审查用户权限、启用双重认证、监控网站活动和定期备份等，以降低整体风险，共同守护网络安全。

据cybersecuritynews消息，研究人员发布了针对 windows ldap 关键漏洞（cve-2024-49112）的 poc 利用工具。此漏洞去年 12 月 10 日微软 “补丁星期二” 披露，属高危 rce 漏洞。其源于 ldap 代码整数溢出，攻击者能发送特制 rpc 调用，以此利用该漏洞，致服务器崩溃或执行代码。safebreach labs 的 “ldapnightmare” 工具展示了其严重性。微软已发布补丁修复此漏洞，企业应立即采取行动，应用补丁、监测异常 dns 查询及 cldap 转诊响应等，并可借助 poc 工具检测自身防御能力。

据cybersecuritynews消息，美国标志性摩托车制造商哈雷疑似遭遇重大数据泄露事件。据暗网消息，名为 “888” 的网络犯罪组织宣称已泄露超 66700 名客户的敏感个人信息，包括姓名、地址、电子邮箱、手机号码等，这些数据若属实，可能引发身份盗窃等风险。目前该消息的真实性及损失程度尚未经官方核实，但已引发网络安全专家和客户的高度担忧，哈雷暂未就此发布官方声明。

据cybersecuritynews消息，veritas arctera data insight 软件（7.1 及之前版本）被曝存在漏洞。该漏洞属 sql 注入类型，能让攻击者在后端数据库执行任意 sql 命令，可致数据库记录被非法操作，威胁敏感数据安全。严重程度为中，cvss v3.1 基础评分 6.5，利用前提是攻击者有管理权限。该软件众多版本受到影响，官方建议升级到 7.1.1 版本以应对。

据cybersecuritynews消息，cloudflare 推出了一款开源新工具 h3i，用于 http 3 协议的测试与调试。该工具隶属于 cloudflare 的 quiche 项目，能助力开发者发现并解决 http 3 实施中的问题，保障协议可靠、安全且符合标准。h3i 作为命令行工具和 rust 库，有着易用、高级调试及便于自动化等特点，可简化识别 rfc 违规、确保服务器和客户端妥善处理非标准流量等任务。其关键功能涵盖交互式命令行工具、可利用 qlog 记录和重放、能进行畸形请求测试以及提供用于自动化的 rust 库等。

据cybersecuritynews消息，知名旅游服务提供商托马斯・库克（印度）有限公司遭网络攻击，其 it 基础设施受到冲击。该公司在向孟买证券交易所的监管文件中披露了这一事件，但未明确攻击具体时间。此次攻击致使公司网站出现 503 错误，暂时无法访问，对其线上业务、客户预订及服务等都可能造成影响，目前公司暂未透露攻击性质及客户数据是否受影响等细节。

据cybersecuritynews消息，近期安全审计发现，超 330 万个 pop3 服务以及数量相近的 imap 服务在运行时未启用必要的加密协议，导致用户名和密码易遭拦截。pop3 和 imap 是用于从邮件服务器检索邮件的基础协议，当其在默认端口（如 pop3 的 110 端口、imap 的 143 端口）无加密运行时，会以明文传输用户凭据，这使其成网络攻击者的主要目标。加密至关重要，通过 tls、ssl 等协议能保障邮件客户端与服务器间通信安全。

据cybersecuritynews消息，，一场大规模的网络钓鱼活动致使至少 35 个谷歌浏览器扩展程序被入侵，约 260 万用户受影响。黑客伪装成谷歌浏览器网上应用店开发者支持的官方通知发送欺骗性邮件，诱使扩展程序开发者授予 oauth 权限，借此绕过多重身份验证措施，上传被篡改的扩展程序新版本。受影响的扩展程序涵盖虚拟专用网络工具、人工智能驱动的浏览器集成及生产力插件等。像 “ai assistant”“vpncity” 等知名扩展程序都在受影响之列。目前部分扩展已被处理、下架或修复。