HackerNews

HackerNews 编译，转载请注明出处： 疑似俄罗斯通过 Signal 发起的钓鱼攻击 targeting 德国官员，利用信任获取账户访问权限及敏感政治通信内容。 新一轮针对欧洲政治领导层的网络行动再次凸显：现代间谍活动越来越依赖欺骗手段，而非技术漏洞。德国当局最近的调查指出，这是一场通过 Signal 消息平台开展的大规模钓鱼活动，且有强烈迹象表明俄罗斯参与其中。 据多方报道 [1, 2, ...

HackerNews 编译，转载请注明出处： 知名研究员Haifei Li发现一份疑似利用未修补Adobe Reader零日漏洞的PDF文件，正寻求网络安全社区协助调查这一复杂的PDF利用程序。 Haifei Li是资深安全研究员，过去二十年曾在Fortinet、微软、McAfee和Check Point任职，也是基于沙盒的零日漏洞检测系统Expmon的创始人兼开发者。 Expmon检测到这一新型Reader利用程序，分析显示该PDF“作为初始利用程序，具备收集和泄露各类信息的能力，可能随后执行远程代码执行（RCE）和沙箱逃逸（SBX）利用”。 研究员认为该PDF利用零日漏洞，因为攻击已确认对最新版Adobe Reader有效。 虽然Li确认已识别的利用程序会从受入侵系统收集用户及其他数据，但未能复现完整攻击链，获取可能用于沙箱逃逸或远程代码执行的额外载荷。 SecurityWeek已联系Adobe，但考虑到公司仅在4月7日左右收到利用详情，评估可能需要一定时间。 针对该潜在零日的利用程序已提交至Expmon和VirusTotal。VirusTotal上识别的一份样本于2025年11月提交，表明该漏洞至少已被利用4个月。 一位审查该利用程序的威胁情报分析师指出，恶意PDF包含俄语诱饵，并提及俄罗斯油气行业的时事。 Adobe近年来多次致谢Li报告Reader和Acrobat漏洞，包括关键代码执行缺陷。然而，对于2024年发现的Reader漏洞CVE-2024-41869，在Li报告发现明显试图武器化该漏洞的PDF后，Adobe未确认野外利用。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： RSAC研究人员发现一种高成功率绕过苹果Apple Intelligence AI安全协议的方法。 Apple Intelligence是深度集成于iOS、iPadOS和macOS的个人智能系统，结合生成式AI与个人上下文。它主要通过紧凑的端侧大语言模型在苹果芯片上直接处理任务，利用用户独特上下文（消息、照片和日程）为系统级写作工具和Siri等功能提供支持。对于更复杂的推理，它通过私有云计算将请求卸载至苹果专用云基础设施上的更大基础模型。 RSAC研究团队对Apple Intelligence进行了安全审查，试图绕过端侧大语言模型的输入输出过滤器（用于阻止恶意输入和防止不良输出）及内部防护栏以影响其行为。 为此，他们结合两种对抗技术。第一种是Neural Execs——一种已知的提示注入攻击，使用”乱码”输入欺骗AI执行攻击者定义的任意任务，这些输入作为通用触发器无需针对不同载荷重新制作。 第二种方法是Unicode操纵。研究人员通过将恶意输出文本反向书写并使用Unicode从右至左覆盖功能，成功绕过内容限制。”本质上，我们将恶意/冒犯性英文输出文本反向编码，使用Unicode技巧强制大语言模型正确渲染，”研究人员解释。 结合两种方法可使攻击者强制端侧Apple Intelligence大语言模型生成冒犯性内容，或更关键地，操纵与Apple Intelligence集成的第三方应用中的私有数据和功能，如健康数据或个人媒体。 该攻击经100个随机提示测试，成功率达76%。研究人员估计，10万至100万用户已安装可能易受此类攻击的应用。 “RSAC估计，截至2025年12月，消费者手中已有至少2亿台支持Apple Intelligence的设备，苹果应用商店已出现使用Apple Intelligence的应用——因此它已成为高价值目标，”研究人员指出。 苹果于2025年10月接到通知，据RSAC研究，防护措施已在近期iOS 26.4和macOS 26.4中推出。研究人员尚未发现恶意利用的证据。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲铁路旅行公司Eurail正在通知超过30万人，其个人信息在2025年12月的数据泄露事件中被盗。 该事件最初于1月披露，当时公司警告称可能持有Eurail通票的客户受到影响。黑客入侵这家荷兰公司的网络后，窃取了包含基本身份和联系信息的文件。 2月，一名黑客在明网网络犯罪网站上吹嘘从Eurail的AWS S3、Zendesk和GitLab实例窃取约1.3TB数据，包括源代码、支持工单和数据库备份。黑客声称窃取了数百万Eurail/Interrail客户的个人信息，与旅行公司的谈判已失败。 3月初，Eurail确认黑客一直在暗网出售被盗数据，并在其Telegram频道发布了样本数据集。公司还表示不存储银行或信用卡信息，也不存储护照视觉副本。 上周，Eurail向多个美国州检察长办公室提交泄露通知，披露攻击中姓名和护照号码被盗。公司告诉俄勒冈州检察长办公室，数据泄露仅影响308,777人，正在向可能受影响个人发送书面通知。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰医疗软件供应商ChipSoft遭受勒索软件攻击，被迫下线其面向患者和医疗机构的网站及数字服务。 ChipSoft是荷兰大型电子健康记录（EHR）系统供应商，其旗舰平台HiX被众多荷兰医院使用。 本周早些时候，Reddit用户报道称这家医疗行业数字解决方案开发商遭遇网络安全事件。当地媒体证实，ChipSoft向医疗机构发布的内部备忘录显示公司遭网络攻击，警告”可能存在未授权访问”。 据报道，该IT服务提供商向医疗中心运营商保证正在采取一切措施”尽可能限制不利影响”，同时建议他们在清理完成前断开与其系统的连接。 昨日，荷兰医疗网络安全计算机应急响应小组（Z-CERT）宣布ChipSoft遭受勒索软件事件影响。该机构表示正与公司及医疗机构合作，识别影响并协助恢复。 作为预防措施，ChipSoft禁用了所有与其Zorgportaal、HiX Mobile和Zorgplatform数字医疗服务的连接。 虽然荷兰部分媒体称大多数面向患者的系统正常运行，但也有多份报告称各医院相同系统无法使用。已确认的系统中断报告涉及Weert的Sint Jans Gasthuis、Roermond的Laurentius、Venlo的VieCuri医院以及Almere的Flevo医院。 BleepingComputer已联系ChipSoft询问事件详情，但截至发稿未获回复。 针对医疗IT系统提供商的网络攻击对威胁行为体极具破坏性和牟利性，因为这些公司运营多个医疗中心的信息枢纽，管理大量敏感数据。 上月，医疗IT公司CareCloud披露数据泄露事件，暴露敏感数据并导致数小时服务中断。2026年3月初，Cognizant的医疗IT公司TriZetto Provider Solutions遭受数据泄露，超过340万人的敏感信息外泄。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 运营全球最大比特币ATM网络之一的Bitcoin Depot披露，上月系统遭入侵后，攻击者从其加密钱包窃取价值366.5万美元的比特币。 该公司管理着全球超过2.5万台比特币ATM和BDCheckout网点，2025年营收达6.15亿美元。 据美国证券交易委员会文件披露，公司于3月23日发现攻击，此前检测到部分IT系统存在可疑活动。 虽然公司立即采取措施控制入侵，但攻击者仍有时间窃取数字资产结算账户凭证，并在其访问被阻止前从Bitcoin Depot钱包转走超过50枚比特币。 Bitcoin Depot表示：”2026年3月23日，公司发现未授权方访问其部分信息技术系统。检测后，公司立即启动事件响应程序，聘请外部网络安全专家并通知执法部门。结果，未授权行为体未经批准从公司控制的钱包转移约50.903枚比特币，截至报告日价值约366.5万美元。公司进一步认为，事件仅限于公司企业环境，未影响客户平台、部门、系统、数据或环境。” 公司已就入侵通知执法部门，并聘请外部网络安全专家协助调查。 虽然公司持有网络攻击保险，但Bitcoin Depot表示这可能无法覆盖攻击直接导致的所有损失。 “2026年4月6日，公司仍认定该事件具有重大影响，鉴于潜在后果，包括声誉损害、法律、监管和响应成本，”公司补充。 “公司持有可能覆盖网络安全事件相关某些损失的保险，但无法保证该保险足以收回此次事件导致的任何或全部损失。” 去年，Bitcoin Depot还就2024年数据泄露通知近2.6万人，该事件源于威胁行为体入侵系统窃取受影响个人信息的攻击（包括全名、地址、出生日期、驾照号码、邮箱地址和电话号码）。 2024年12月，美国比特币ATM运营商Byte Federal披露类似事件，导致影响5.8万名客户的数据泄露。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。 微软Defender安全研究团队今日发布的报告中表示：“该缺陷允许同一设备上的应用绕过安卓安全沙箱，获取私有数据的未授权访问。” EngageLab SDK提供推送通知服务，据其网站介绍，旨在基于开发者已追踪的用户行为发送”及时通知”。集成至应用后，该SDK可发送个性化通知并驱动实时互动。 这家科技巨头称，大量使用该SDK的应用属于加密货币和数字钱包生态系统，受影响钱包应用安装量超过3000万。若计入基于同一SDK构建的非钱包应用，安装量突破5000万。 微软未透露应用名称，但指出所有检测到使用漏洞版本SDK的应用已从Google Play商店移除。经2025年4月负责任披露后，EngageLab于2025年11月发布5.2.1版本修复该漏洞。 该问题在4.5.4版本中被识别，被描述为意图重定向漏洞。安卓中的意图指用于向另一应用组件请求操作的消息对象。 意图重定向发生在脆弱应用发送的意图内容被利用其可信上下文（即权限）操纵时，以获取受保护组件的未授权访问、暴露敏感数据或在安卓环境内提升权限。 攻击者可通过设备上通过其他方式安装的恶意应用利用该漏洞，访问集成SDK应用关联的内部目录，导致敏感数据的未授权访问。 尚无证据表明该漏洞曾被恶意利用。尽管如此，建议集成该SDK的开发者尽快更新至最新版本，尤其考虑到上游库中即使是微小缺陷也可能产生连锁影响，波及数百万设备。 微软表示：”此案例显示第三方SDK中的弱点可能产生大规模安全影响，尤其在数字资产管理等高价值领域。应用日益依赖第三方SDK，形成庞大且往往不透明的供应链依赖。当集成暴露导出组件或依赖跨应用边界未验证的信任假设时，这些风险会增加。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 洛杉矶警察局周二宣布，黑客入侵了洛杉矶市律师办公室数字存储系统，该系统包含敏感警务文件。 洛杉矶警察局称，这些文件是此前已解决或和解的民事案件中，在证据开示阶段移交的材料。据洛杉矶警察局新闻稿，此次入侵未突破任何洛杉矶警察局系统或网络。 新闻稿称：”我们非常重视这一事件，正与洛杉矶市律师办公室合作，获取受影响文件以了解数据泄露的全部范围。洛杉矶警察局致力于保护其敏感人员和调查信息。” 洛杉矶市律师办公室发言人声明称，办公室于3月20日发现入侵。声明称，黑客访问了”市律师办公室用于向对方律师和诉讼当事人传输证据的第三方工具”。 声明称：”市律师办公室已确认，没有其他市政应用或系统涉及此次事件。信息自包含于此应用中，与任何部门记录或系统无链接或访问权限。” 声明称，办公室正与执法部门及外部取证专家合作调查，并与市信息技术局（ITA）合作审查涉及的数据。 声明称：”我们的调查正在继续，以确定工具中存在哪些信息，我们将根据审查结果采取适当行动通知任何受影响方。” 根据加州法律，警察记录通常被视为机密。 洛杉矶市律师办公室未立即回应置评请求。 《洛杉矶时报》报道，据称 featuring 被盗材料信息的社交媒体帖子（部分已被删除）显示，有7.7TB数据可供下载，超过33.7万份文件被访问。被盗材料包括包含证人姓名、医疗信息、未编辑刑事投诉和调查文件的记录。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Horizon3.ai报告，Apache ActiveMQ Classic中潜伏13年的远程代码执行（RCE）漏洞可与旧漏洞链接以绕过认证。 Apache ActiveMQ是开源消息和集成模式服务器，作为处理消息队列的中间件代理，广泛应用于众多行业。ActiveMQ Classic是该代理的原始版本。 新发现的漏洞编号CVE-2026-34197，允许攻击者通过Jolokia API调用管理操作，诱使代理检索远程配置文件并执行操作系统命令。 据Horizon3.ai称，该安全缺陷是CVE-2022-41678的绕过方案——该漏洞允许攻击者通过调用特定JDK MBean将Web shell写入磁盘。修复方案添加了一个标志，允许通过Jolokia调用每个ActiveMQ MBean的所有操作。代码执行问题出现在运行时设置代理间桥接的操作中。 然而，该漏洞的利用还需针对ActiveMQ的VM传输功能——该功能设计用于在应用程序内嵌入代理，导致客户端和代理在同一JVM内直接通信。 如果VM传输URI引用不存在的代理，ActiveMQ会创建一个，并接受指示其加载可能包含攻击者提供URL的配置参数。 通过链接这两种机制，攻击者可诱使代理检索并运行Spring XML配置文件，”实例化所有bean定义，导致远程代码执行”，Horizon3.ai表示。 该网络安全公司还指出，在某些部署中，可通过利用CVE-2024-32114实现无需认证的RCE——该漏洞将Jolokia API暴露给未经认证的用户。 “CVE-2024-32114是ActiveMQ 6.x中的独立漏洞，/api/*路径（包括Jolokia端点）被无意中从Web控制台的安全约束中移除。这意味着在ActiveMQ 6.0.0至6.1.1版本中，Jolokia完全无需认证，”Horizon3.ai解释。 新发现的安全缺陷已在ActiveMQ Classic 5.19.4和6.2.3版本中修复，建议用户尽快更新部署。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新OpenSSL更新修复了七处漏洞，其中包括一个可导致敏感数据泄露的缺陷。 该数据泄露问题编号CVE-2026-31790，评级为”中等严重性”，影响使用RSASVE密钥封装建立秘密加密密钥的应用程序。问题在于OpenSSL有时未能正确验证加密是否成功，但仍可能返回”成功”消息，将未初始化内存缓冲区的数据暴露给攻击者。 “未初始化缓冲区可能包含应用程序进程先前执行的敏感数据，导致敏感数据泄露给攻击者，”OpenSSL开发者在公告中解释。 该安全漏洞影响3.6、3.5、3.4、3.3和3.0版本，OpenSSL 1.0.2和1.1.1不受影响。 其余漏洞均被评为”低严重性”，多数可被利用导致应用程序崩溃和拒绝服务（DoS）条件。其中两处缺陷理论上可能导致任意代码执行，但一处影响不常见的OpenSSL配置，另一处涉及发送特制的1GB X.509证书。 OpenSSL开发者1月发布的更新修复了12处漏洞，包括一个可被利用实现远程代码执行的高严重性缺陷。目前OpenSSL的高严重性漏洞已较为罕见，2025年仅发现一处。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trellix深入分析了Masjesu僵尸网络的内部运作，这是一个用于分布式拒绝服务（DDoS）攻击的僵尸网络，已感染多种物联网设备。 Masjesu自2023年起活跃，其运营者主要在Telegram上宣传，声称能够发动数百GB规模的DDoS攻击。运营者的帖子同时针对中文和英文用户，”表明其服务继续瞄准中美客户”。目前该运营者的Telegram频道拥有超过400名订阅者，但僵尸网络用户群似乎更大，因最初推广该僵尸网络的频道已被平台以违反政策为由关闭。 攻击来源国家分析显示，Masjesu感染的大多数设备位于越南，但巴西、印度、伊朗、肯尼亚和乌克兰也有大量设备被感染。“数据强烈表明攻击来自多个自治系统，涉及各种网络，而非僵尸网络完全托管于单一虚拟专用服务器（VPS）提供商，”Trellix指出。 近期分析的Masjesu样本显示，其可针对多种架构，包括i386、MIPS、ARM、SPARC、PPC、68K（摩托罗拉68000）和AMD64。该僵尸网络通过D-Link路由器、GPON路由器、华为家庭网关、MVPower DVR、Netgear路由器、UPnP服务及其他物联网设备的漏洞传播。 在受感染设备上，恶意软件绑定硬编码TCP端口的套接字为运营者提供远程访问，并加固自身以实现持久化。恶意软件将敏感字符串（包括命令控制域名、端口、文件夹名和进程名）加密存储在查找表中，运行时解密。 为实现持久化，Masjesu首先分叉新进程，将原始可执行路径重命名为模拟合法Linux动态链接器的路径和功能。然后创建cron作业每15分钟运行重命名的可执行文件，将进程转为后台守护进程，并重命名以显示为合法系统组件。 恶意软件还终止常用进程（如wget和curl），锁定共享临时文件夹，可能为防止其他僵尸网络感染。为传播，它扫描互联网随机IP地址寻找可感染的脆弱设备。 Masjesu使用多个命令控制域名和备用IP，在套接字连接上配置60秒接收超时，客户端解密接收数据。根据服务器接收的数据，僵尸网络可发动多种DDoS攻击，包括UDP、TCP、VSE、GRE、RDP、OSPF、ICMP、IGMP、TCP_SYN、TCP-ACK、TCP-ACKPSH和HTTP洪水攻击。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 马萨诸塞州布罗克顿的Signature Healthcare医院在遭受网络攻击导致严重中断后，被迫分流救护车。 Signature Healthcare运营着拥有200张床位的布罗克顿社区医院，以及雇佣150多名医生、遍布15个地点的Signature医疗集团。 该医疗机构周一报告应对一起网络安全事件。住院护理和急诊 walk-in 服务保持开放，但救护车交通周二仍在分流。 “发现网络部分可疑活动后，我们立即启动事件响应程序。我们转入停机程序以确保高质量患者护理和安全，”Signature Healthcare声明。 虽然手术和程序未受影响，但化疗输液服务已取消，患者已收到Signature医疗集团和紧急护理诊所可能出现延误的通知。 其部分零售药店周一关闭，周二重新开放咨询，但无法配药。 该组织未确认是否为勒索软件攻击，攻击者动机仍不清楚。尚无已知勒索软件组织宣称对Signature Healthcare攻击负责，但此类网络犯罪团伙通常在谈判停滞或失败后才在网站上点名受害者，以施压支付赎金。 近年来，全球众多医疗机构遭受破坏性网络攻击。部分导致影响数十万甚至数百万人的数据泄露，部分事件甚至可能导致患者死亡，包括美国、德国和英国。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司Anthropic宣布推出名为”Project Glasswing”的网络安全新计划，将使用其前沿模型Claude Mythos的预览版发现和修复安全漏洞。 该模型将由包括AWS、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达和Palo Alto Networks在内的少数组织使用，共同保护关键软件。 Anthropic表示，成立该计划是因其通用前沿模型展现出”超越除最熟练人类外所有人的软件漏洞发现和利用能力”的编码水平。出于网络安全能力及可能被滥用的担忧，Anthropic选择不公开发布该模型。 据称Mythos预览版已在各大操作系统和网页浏览器中发现数千个高严重性零日漏洞，包括OpenBSD中一个已修复的27年历史漏洞、FFmpeg中一个16年历史的缺陷，以及一个内存安全虚拟机监控器中的内存损坏漏洞。 Anthropic强调的一个案例中，Mythos预览版据称自主开发出网页浏览器利用程序，串联四个漏洞逃离渲染器和操作系统沙箱。Anthropic还在预览版的系统卡中指出，该模型解决了一个企业网络攻击模拟，而人类专家需要10小时以上才能完成。 最令人瞩目的发现是，Mythos预览版遵循评估研究人员的指令，成功逃离提供的安全”沙箱”计算机，显示出绕过自身防护的”潜在危险能力”。 该模型并未止步于此，还进一步采取一系列额外行动，包括设计多步骤利用程序从沙箱系统获取广泛互联网访问权限，并向正在公园吃三明治的研究人员发送电子邮件。 “此外，在一个令人担忧且未经要求的展示成功的努力中，它将其利用细节发布到多个难以找到但技术上公开的网站，”Anthropic表示。 该公司指出，Project Glasswing是在敌对行为体采用相同能力之前，将前沿模型能力用于防御目的的”紧急尝试”。Anthropic还承诺提供高达1亿美元的Mythos预览版使用额度，以及400万美元直接捐赠给开源安全组织。 “我们并未明确训练Mythos预览版具备这些能力，”Anthropic表示。”相反，它们是代码、推理和自主性普遍改进的下游结果。使模型在修补漏洞方面显著更有效的相同改进，也使其在利用漏洞方面显著更有效。” Mythos的消息上月泄露，因人为失误，模型详情被无意存储在公开可访问的数据缓存中。草稿材料将其描述为迄今为止构建的最强大、最有能力的AI模型。数日后，Anthropic遭遇第二次安全疏漏，意外暴露了近2000个源代码文件及Claude Code相关的超过50万行代码，持续约三小时。 该泄露还导致发现一个安全问题：当AI编码代理被呈现由超过50个子命令组成的命令时，可绕过某些防护。该问题已于上周在Claude Code 2.1.90版本中正式修复。 AI安全公司Adversa表示：”Claude Code是Anthropic的旗舰AI编码代理，在开发者机器上执行shell命令，当命令包含超过50个子命令时，会静默忽略用户配置的安全拒绝规则。配置’永不运行rm’的开发者会看到rm单独运行时被阻止，但如果在50个无害语句前运行相同的’rm’，则不受限制。安全策略悄然消失。” “安全分析消耗token。Anthropic的工程师遇到性能问题：检查每个子命令会冻结UI并消耗计算资源。他们的修复方案：50个后停止检查。他们用安全换取速度，用安全换取成本。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯全国银行应用和支付系统发生大规模故障，导致客户数小时内无法刷卡支付、提取现金或使用移动银行服务。据The Record Media报道，该事件影响包括Sberbank、VTB、Alfa-Bank、T-Bank和Gazprombank在内的主要银行，波及莫斯科等多个地区。 俄罗斯网站CNews报道：”VTB、Sberbank、T-Bank和Alfa-Bank的合计客户群达全国数千万人。显然，故障规模巨大，影响俄罗斯大部分地区。投诉数以千计。例如，仅一小时内就有超过3300起关于Sberbank故障的投诉。过去12小时内，35%的投诉来自莫斯科，圣彼得堡和斯维尔德洛夫斯克地区各占8%，新西伯利亚和车里雅宾斯克地区分别为7%和5%。” 媒体报道称，此次故障发生在俄罗斯收紧互联网控制、限制应用并打击VPN使用之际。 《基辅独立报》报道：”4月3日，根据在线追踪数据和客户报告，俄罗斯主要银行面临电子服务大规模中断。此次故障发生在俄罗斯政府日益收紧国内互联网访问控制之际，对流行应用施加限制并寻求遏制虚拟专用网络（VPN）的使用。” 4月3日的临时故障影响Sberbank并蔓延至其他主要银行，包括VTB Bank和T-Bank。从莫斯科时间上午10点左右开始，客户面临移动应用、转账和ATM取款问题，迫使许多商家仅接受现金，并在各城市造成长队。 俄罗斯国家支付卡系统表示，中断源于一家银行的技术故障，未影响资金。《生意人报》报道将其与Sberbank故障关联，可能在限制VPN计划后不久因VPN使用而恶化。 《基辅独立报》继续报道：”此次大规模故障发生在俄罗斯数字发展部长Maksut Shadayev于3月30日表示政府将努力’减少VPN使用’后不到一周——VPN是俄罗斯公民绕过网络审查的少数剩余方式之一。据报道，Shadayev在普京总统下令后，要求电信运营商和数字平台对使用VPN服务的用户收费并封禁。” 当地安全专家推测，封禁VPN可能导致4月3日的银行故障，在接受《生意人报》采访时将其描述为可能的”误伤”。自乌克兰战争爆发以来，俄罗斯当局稳步收紧网络审查，近月来限制加速。3月初，克里姆林宫引入白名单系统，在移动互联网中断期间仅允许访问选定的、多为亲政府网站。互联网关闭变得更加频繁，官方理由为针对乌克兰无人机攻击的安全措施。 The Record Media还报道，故障还影响公共交通，莫斯科地铁和郊区火车转门无法刷卡，迫使工作人员让乘客免费通过以避免拥挤。 截至周一，许多网站上的相关报道已基本消失。独立媒体称，俄罗斯互联网监管机构Roskomnadzor已下令各平台删除将银行故障与其VPN封禁努力关联的内容。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Noma Security最新研究显示，Grafana AI组件处理信息的方式存在漏洞，可能允许攻击者绕过应用防护并泄露企业信息。 Grafana是一款开源分析和可视化应用，从各种来源摄取数据，通常对企业数据拥有广泛访问权限，包括财务指标、基础设施、客户信息和遥测数据。 新发现的GrafanaGhost漏洞允许攻击者绕过客户端保护和安全防护栏，将私有数据链接至外部服务器，在后台无需用户交互即可暴露敏感信息。 攻击者可通过在用户与条目日志交互时针对Grafana的AI功能利用该弱点。后台恶意提示触发问题，将Grafana转变为外泄载体。 为发动攻击，威胁行为体需制作指向外部资源的路径。经Grafana处理后，条目日志为攻击者提供对企业环境的访问权限。 随后，攻击者使用隐藏在外部上下文中的间接提示，指示Grafana的AI助手忽略其防护栏并渲染外部图像，迫使系统确认外部URL。 当AI助手尝试渲染图像时，会向攻击者服务器发出请求，受害者数据作为URL参数一并发送。”系统尝试显示图像时数据即泄露，”Noma表示。 该网络安全公司发现，问题在于攻击者可通过猜测数据结构和模型”伪造任何使用Grafana的公司路径”。此外，攻击者可使用应用数据存储中保存提示的位置。 从那里，攻击者可通过制作相应提示，滥用Grafana通过图像标签外泄数据。虽然Grafana设有阻止从外部域加载图像的保护措施，但验证图像URL的函数存在缺陷，可被利用绕过保护。 AI模型也设有防止注入包含图像Markdown提示的防护栏，但Noma发现关键词”intent”可用于绕过保护，向模型发出指令合法的讯号。 “将这些发现串联起来，我们实现了零用户交互的自动数据外泄。数据外泄完全在后台进行。对数据团队、DevSecOps或CISO而言，这看起来像是数据可视化的平常一天，”Noma指出，并补充Grafana在接到通知后立即修复了这些弱点。 BeyondTrust副首席信息安全官Bradley Smith表示，使用间接提示注入通过渲染内容外泄数据是众所周知的攻击向量，针对加固Grafana部署的可利用性尚不明确。 “实际可利用性很大程度上取决于部署细节：AI功能是否启用、是否存在出口控制、环境如何处理外部数据摄取。这不是Grafana的通用绕过；而是演示当AI组件处理不受信任输入且缺乏足够架构控制时可能发生的情况，”Smith表示。 Acalvio首席执行官Ram Varadarajan表示，GrafanaGhost表明AI的广泛采用已将防御转移到应用层之外，需要网络级URL阻断和加固AI以防范提示注入。 “最终，该漏洞证明边界控制不足。保护AI驱动工具的唯一方式是从监控代理被告知的内容，转向对其实际行为进行运行时行为监控，”Varadarajan表示。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。 该漏洞编号CVE-2026-0740，目前正遭攻击利用。据WordPress安全公司Defiant称，其Wordfence防火墙过去24小时已拦截超过3600次攻击。 Ninja Forms是一款拥有超60万次下载的流行WordPress表单构建器，让用户无需编码即可使用拖放界面创建表单。其文件上传扩展同属该套件，服务9万客户。 CVE-2026-0740漏洞严重性评分9.8（满分10分），影响Ninja Forms文件上传3.3.26及之前版本。 据Wordfence研究人员称，该缺陷源于对目标文件名文件类型/扩展名缺乏验证，允许未经认证的攻击者上传任意文件（包括PHP脚本），还可操纵文件名实现路径遍历。 Wordfence解释：”该函数在易受攻击版本的移动操作前，未对目标文件名进行任何文件类型或扩展名检查。这意味着不仅可上传安全文件，还可上传.php扩展名文件。由于未使用文件名清理，恶意参数还便于路径遍历，允许将文件甚至移动到网站根目录。” “这使未经认证的攻击者能够上传任意恶意PHP代码，然后访问文件以在服务器上触发远程代码执行。” 利用的潜在后果严重，包括部署Web shell和完全接管网站。 发现与修复 该漏洞由安全研究员Sélim Lanouar（whattheslime）发现，于1月8日提交至Wordfence漏洞赏金计划。 验证后，Wordfence同日向供应商披露完整细节，并通过防火墙规则向客户推送临时缓解措施。 经补丁审查及2月10日的部分修复后，供应商于3月19日发布3.3.27版本的完整修复。 鉴于Wordfence每日检测到数千次利用尝试，强烈建议Ninja Forms文件上传用户优先升级至最新版本。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用开源平台Flowise中的最高严重性漏洞CVE-2025-59528执行任意代码。Flowise用于构建自定义大语言模型应用和代理系统。 该漏洞允许在无任何安全检查的情况下注入JavaScript代码，去年9月公开披露时警告称，成功利用可导致命令执行和文件系统访问。 问题出在Flowise的CustomMCP节点，该节点允许配置设置连接外部模型上下文协议（MCP）服务器，并不安全地评估用户的mcpServerConfig输入。在此过程中，它可在未先验证安全性的情况下执行JavaScript。 开发者在Flowise 3.0.6版本中修复了该问题。最新当前版本为3.1.1，两周前发布。 Flowise是一款开源低代码平台，用于构建AI代理和基于大语言模型的工作流。它提供拖放界面，让用户将组件连接成驱动聊天机器人、自动化和AI系统的管道。 其用户群体广泛，包括从事AI原型开发的开发者、使用无代码工具集的非技术用户，以及运营客户支持聊天机器人和知识库助手的公司。 漏洞情报公司VulnCheck安全研究员Caitlin Condon在LinkedIn宣布，其Canary网络检测到CVE-2025-59528的利用活动。 Condon警告：”今天清晨，VulnCheck的Canary网络开始首次检测到CVE-2025-59528的利用活动，这是Flowise（开源AI开发平台）中CVSS评分10分的任意JavaScript代码注入漏洞。” 虽然活动目前看似有限，源自单一Starlink IP，但研究人员警告称，目前约有1.2万至1.5万个Flowise实例暴露于互联网。 然而，尚不清楚其中有多少比例是易受攻击的Flowise服务器。 Condon指出，观察到的CVE-2025-59528相关活动之外，还涉及CVE-2025-8943和CVE-2025-26319——两者同样影响Flowise，且均已观察到野外主动利用。 目前，VulnCheck仅向其客户提供利用样本、网络签名和YARA规则。 建议Flowise用户尽快升级至3.1.1版本，或至少3.0.6版本。如无需外部访问，还应考虑将实例从公共互联网移除。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet周末紧急发布补丁，修复FortiClient企业管理系统（EMS）中已被作为零日利用的漏洞。 该关键级别漏洞编号CVE-2026-35616（CVSS评分9.1），被描述为访问控制不当问题，可被利用实现远程代码执行（RCE）。 据Fortinet公告，远程攻击者可向易受攻击的FortiClient EMS发送特制请求触发该漏洞。成功利用无需认证。 “Fortinet已观察到该漏洞遭野外利用，”公司警告。 周六，Fortinet宣布为FortiClient EMS 7.4.5和7.4.6版本提供热修复程序，并指出7.2版本不受影响。公司还发布了关于如何下载应用热修复程序及验证修复是否完成的详细说明。 “即将发布的FortiClientEMS 7.4.7也将包含对此问题的修复。与此同时，上述热修复程序足以完全防止该漏洞，”Fortinet表示。 公司将发现并报告该漏洞归功于”Defused”。据该网络安全公司称，该漏洞允许未经认证的攻击者绕过API认证和授权。 “本周早些时候观察到该漏洞遭野外利用后，Defused通过负责任披露向Fortinet报告，”该网络安全公司周六表示。 非营利组织Shadowserver基金会称，已观察到约2000个可从互联网访问的FortiClient EMS实例。这些实例可能面临利用新零日漏洞及CVE-2026-21643的攻击风险——后者是最近修补的SQL注入漏洞，已被利用超过一周。 攻击面管理公司WatchTowr称，自3月31日起观察到利用活动，”似乎是全面升级前的早期探测”。 WatchTowr首席执行官兼创始人Benjamin Harris表示：”令人失望的是更大的图景。这是几周内FortiClient EMS第二个未经认证的漏洞。因此，运行FortiClient EMS并暴露于互联网的组织应再次将其视为应急响应情况，而非周二早上才处理的事情。立即应用热修复。攻击者已经领先。” 周一，美国网络安全机构CISA将CVE-2026-35616加入其已知被利用漏洞（KEV）目录，敦促联邦机构在4月9日前完成修补。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，网络犯罪团伙Storm-1175（以部署Medusa勒索软件载荷闻名）一直在高速攻击中利用N日和零日漏洞。 该网络犯罪团伙迅速转向针对新安全漏洞以获取受害者网络访问权限，部分漏洞在一天内即被武器化，某些情况下甚至在补丁发布前一周就开始利用。 微软称：”Storm-1175从初始访问到数据外泄和Medusa勒索软件部署进展迅速，通常仅需数天，某些情况下24小时内即可完成。该威胁行为体的高运营节奏和识别暴露外围资产的能力已被证明是成功的，近期入侵严重影响医疗组织，以及澳大利亚、英国和美国的教育、专业服务和金融部门。” 微软还观察到Storm-1175运营者链接多个漏洞，通过创建新用户账户、部署远程监控管理软件、窃取凭证、禁用安全软件，然后投放勒索软件载荷，在受感染系统上获得持久化。 10月，微软报告称Storm-1175在Medusa勒索软件攻击中利用最高严重性的GoAnywhere MFT漏洞（CVE-2025-10035）超过一周，该漏洞随后才被修补。 Storm-1175作为零日利用的另一漏洞是CVE-2026-23760，SmarterTools的SmarterMail邮件服务器和协作工具中的认证绕过。 微软补充：”虽然这些近期攻击展示了Storm-1175进化的开发能力或获取漏洞经纪人等新资源的途径，但值得注意的是GoAnywhere MFT此前已被勒索软件攻击者针对，且SmarterMail漏洞据称与先前披露的缺陷相似。这些因素可能有助于促进Storm-1175随后的零日利用活动，该组织仍主要利用N日漏洞。” 在近期活动中，Storm-1175已利用10款软件产品中的16个以上漏洞，包括Microsoft Exchange（CVE-2023-21529）、Papercut（CVE-2023-27351和CVE-2023-27350）、Ivanti Connect Secure和Policy Secure（CVE-2023-46805和CVE-2024-21887）、ConnectWise ScreenConnect（CVE-2024-1709和CVE-2024-1708）。 微软还观察到其利用JetBrains TeamCity（CVE-2024-27198和CVE-2024-27199）、SimpleHelp（CVE-2024-57726、CVE-2024-57727和CVE-2024-57728）、CrushFTP（CVE‑2025‑31161）、SmarterMail（CVE-2025-52691）和BeyondTrust（CVE-2026-1731）的漏洞。 2025年3月，CISA与FBI及多州信息共享与分析中心（MS-ISAC）发布联合公告，警告Medusa勒索软件团伙的攻击已影响美国300多个关键基础设施组织。 2024年7月，微软还将Storm-1175威胁组织与另外三个网络犯罪团伙关联，指其利用VMware ESXi认证绕过漏洞发动Black Basta和Akira勒索软件攻击。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦警察局（BKA）确认两名俄罗斯公民为2019年至2021年间GandCrab和REvil勒索软件组织的领导者。 据BKA披露，31岁的Daniil Maksimovich Shchukin和43岁的Anatoly Sergeevitsch Kravchuk”至少从2019年初至2021年7月”担任这两个勒索软件团伙的头目。 Shchukin多年来以UNKN/UNKNOWN为化名，在网络犯罪论坛发帖并作为勒索软件运营代表发言。 德国当局称，Shchukin和Kravchuk至少参与了130起针对德国企业的勒索案件。攻击后，至少25名受害者向Shchukin及其同伙支付220万美元赎金，而他们造成的总财务损失估计超过4000万美元。 GandCrab于2018年初出现，其头目于2019年6月宣布”退休”，声称已从赎金支付中赚取20亿美元。该头目套现1.5亿美元，声称已投资于合法企业。 不久后，名为REvil的新组织出现，沿用GandCrab建立的联盟模式，通过广告和与网络犯罪分子建立伙伴关系运营。 REvil（又称Sodinokibi）由前GandCrab联盟成员和运营者组成，他们已掌握成功战术并开始应用于自身运营。REvil后来增设公开泄露网站并运营数据拍卖以施压受害者。知名受害者包括多个得克萨斯州地方政府、电脑巨头宏碁，以及影响约1500名下游受害者的Kaseya供应链攻击。 大规模Kaseya黑客事件后，REvil休整两个月，期间执法部门入侵其服务器并开始监控运营。当时记录了多次基础设施中断，2022年1月中旬，俄罗斯逮捕了十余名REvil团伙成员，他们于2025年因信用卡诈骗指控服刑期满后获释。 目前尚不清楚Shchukin或Kravchuk在REvil于2021年覆灭后是否加入其他勒索软件组织。 BKA认为Shchukin和Kravchuk现位于俄罗斯，呼吁公众分享可能有助于确定其下落的任何信息。相关条目也已创建在欧盟头号通缉犯门户网站上。 警方分享了多张照片，包括纹身照片，以帮助追踪这两名威胁行为体并将其绳之以法。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文