网络空间安全动态(202527期)
编者按:网安动向热讯,本期有十点值得关注:一是工信部:推动工业互联网与人工智能协同赋能加快推进6G技术研发;二是工信部:组织开展“人工智能+软件”行动,加速软件智能化进程;三是美白宫发布AI行动计划;四是美参议院通过年度《情报授权法案》强化电信网络安全;五是特朗普宣布700亿美元的AI和能源投资计划;六是美五角大楼要求禁止任用中国工程师参与军方项目技术支持;七是英伟达、AMD将恢复向中国销售AI芯片;八是欧盟与摩尔多瓦深化数字合作,强化网络与混合威胁防御;九是英NCSC启动漏洞研究计划,加强与外部专家的合作;十是新加坡推出三大举措,助力企业在可信生态中保护数据并部署AI。
数据前沿快讯,本期有四点值得关注:一是中央网信办就《数据安全技术 电子产品信息清除技术要求》强制性国家标准(征求意见稿)公开征求意见;二是国家数据局:推动数据产业向“全域发展”转变;三是香港与澳门数据保护监管机构签署隐私保护合作谅解备忘录;四是全球首个跨境数据空间标准IEEE P1988正式启动。
网安事件聚焦,本期有两方面内容建议关注:一是APT攻击与勒索软件攻击呈现显著升级态势。夜鹰组织利用微软Exchange漏洞攻击中国军工与科技领域;泰国劳工部遭网络攻击,系统全面受损;韩国信用担保机构SGI遭勒索软件攻击,核心系统瘫痪三天;俄罗斯酒业巨头Novabev遭勒索软件攻击,2000多家门店被迫暂停营业。二是数据泄露行业主要集中在科技和医疗等拥有海量核心数据的领域。美跨国科技巨头戴尔公司遭黑客入侵,1.3TB数据遭泄露;美两诊所遭网络攻击,超330万患者信息被泄露。
网安风险警示,本期有七点建议关注:一是思科ISE和ISE-PIC中存在满分漏洞;二是施耐德电气披露影响其EcoStruxure IT DataCenter Expert软件的多个漏洞;三是微软SharePoint Server中存在远程代码执行漏洞;四是多功能网络安全解决方案HPE Networking Instant On安全网关接入点设备中存在漏洞;五是VMware多个产品中存在高危漏洞;六是CrushFTP零日漏洞被用于劫持服务器;七是BadBox 2.0恶意软件感染全球数百万物联网设备。
一、网安动向热讯
(一)工信部:推动工业互联网与人工智能协同赋能加快推进6G技术研发
7月18日,工业和信息化部信息通信发展司司长谢存在国新办新闻发布会上表示,工信部将持续统筹推进“建、用、研”,进一步推动信息通信业高质量发展。抓好网络建设与升级,持续提升5G和千兆光网覆盖深度与广度,加快推进5G-A、万兆光网试点部署,深入推进“信号升格”专项行动,加快构建全国一体化算力网络体系。抓好应用落地与推广,深入实施5G规模化应用“扬帆”行动升级方案、“5G+工业互联网”512工程升级版和标识“贯通”三年行动,推动工业互联网与人工智能协同赋能。抓好技术创新与攻关,加速丰富5G-A产品体系,推动高品质网络落地部署,加快推进6G技术研发,前瞻布局和培育面向6G的应用产业生态。抓好开放政策研究与实施,有序推进增值电信业务对外开放,加强政策宣贯实施,优化服务管理,支持更多外资企业参与试点。(信息来源:工信微报)
(二)工信部:组织开展“人工智能+软件”行动,加速软件智能化进程
7月18日,工业和信息化部信息通信发展司司长谢存在国新办新闻发布会上表示,下一步,工信部将着力推动电子信息制造业数字化转型,推动新型储能高质量发展,推进2025年度视听系统典型案例征集,加强智慧健康养老产品和服务、智能体育典型案例宣传与推广,促进消费电子产品稳优势、育新机。推动软件和信息技术服务业进一步提质增效,组织开展“人工智能+软件”行动,加速软件智能化进程。聚力打造优质开源项目,深入推进以贡献为导向的开源人才评价,营造更具吸引力、包容性和创造力的开源生态。(信息来源:工信微报)
(三)全国网安标委就多项国家标准公开征求意见
7月16日消息,全国网络安全标准化技术委员会就多项网络安全相关国家标准公开征求意见。涉及的相关标准包括:一是涉及网络安全事件应对与关键信息基础设施保护的标准,包括《网络安全技术事件调查原则和过程》《网络安全技术关键信息基础设施安全监测预警实施指南》和《网络安全技术关键信息基础设施安全主动防御实施指南》。二是关于网络安全产品与系统的相关标准,包括《网络安全技术网络安全产品互联互通第5部分:行为信息格式》《网络安全技术网络安全产品互联互通第6部分:功能接口》《网络安全技术电子邮件系统安全技术规范》和《网络安全技术网络存储安全技术要求》。三是涵盖网络安全评估与开发的标准,包括《网络安全技术网络安全等级保护测评机构能力要求和评估规范》《网络安全技术信息系统安全保障评估框架第2部分:安全保障要求》和《网络安全技术软件安全开发能力评估准则》。(信息来源:全国网安标委网站)
(四)全国网安标委下达9项网络安全推荐性国家标准计划
7月18日消息,全国网络安全标准化技术委员会正式下达《网络安全技术 网络安全产品互联互通 第4部分:威胁信息格式》等9项推荐性国家标准计划。新计划覆盖关键信息基础设施安全、产品协同防御、数据安全管理等领域,旨在强化网络安全技术体系的协同性和主动防御能力。根据通知要求,各工作组及项目牵头单位需协同推进标准起草,并通过网安标委官网公开征集社会意见。(信息来源:信息安全与通信保密杂志社)
(五)美白宫发布AI行动计划
7月24日消息,美白宫发布AI国家行动计划,旨在通过全面战略部署,确保美国在全球AI领域的绝对主导地位。该文件依据特朗普1月23日签署的《消除美国AI领导地位障碍》(14179号行政命令)制定,围绕“加速AI创新、大力建设AI基础设施、领导国际AI外交与安全”三大支柱提出超90项联邦政策行动。计划要求简化对数据中心、半导体制造设施和能源基础设施的项目许可流程。特朗普政府还将与美科技公司合作,向盟友提供“全套AI出口套餐”—AI模型、硬件和软件,以确保美技术成为全球标准。该计划还提出限制各州对AI过度监管的策略:建议美联邦机构在拨付AI相关资金时,必须考虑各州的AI监管环境。白宫科技办公室主任Michael Krastios表示,行动计划中概述的所有政策都可在未来6个月到1年内执行。(信息来源:财联社)
(六)美参议院通过年度《情报授权法案》强化电信网络安全
7月16日消息,美参议院情报委员会批准了2025财年《情报授权法案》,首度对美电信行业设定基础网络安全要求,以加强针对美电信网络的数字间谍活动的防御。本次立法建立了覆盖18个情报机构的统一标准,要求电信服务供应商必须达到最低安全防护水平,包括端点加固、流量监测和应急响应能力;并为美情报社区安排了数十亿美元的年度预算,同时为各部门制定了明确的政策指导条款。此前众议院已通过口头表决,指定国家电信和信息管理局为通信网络安全的领导机构。(信息来源:TheRecord网)
(七)特朗普宣布700亿美元的AI和能源投资计划
7月16日消息,美总统特朗普在宾夕法尼亚州匹兹堡的“宾州能源与创新峰会”上正式宣布了总额700亿美元的AI与能源基础设施投资计划。计划将重点覆盖新建数据中心、扩展电力产能、升级公共电网等关键设施,并辅以AI培训项目与学徒制安排,以支持技术人才培养和运营需求。此次投资为公共与私营合作的资金组合,计划将于2025年至2027年间分阶段实施,首批项目包括的电网升级及数据中心施工已在16个美联邦指定站点启动。(信息来源:国际金融报)
(八)美五角大楼要求禁止任用中国工程师参与军方项目技术支持
7月16日消息,美国防部长皮特·赫格塞斯宣布,将对五角大楼的数字体系开展为期两周的全面审查,以确保中国工程师没有参与国防部任何云服务合同的工作。此次事件源于美调查媒体ProPublica发布的一篇文章,其中透露,在美国“数字护卫”的监督下,微软曾安排中国工程师参与美军云计算系统的相关工作。由于美国防部要求处理敏感数据的人员必须是美国公民或永久居民,微软的外籍员工不得直接访问敏感云系统,因此依赖于全球劳动力的微软建立了“数字护卫”计划,雇佣在美拥有安全许可的员工,负责听取执行海外工程师的指令,并将工程师的命令复制粘贴至系统中。文章称,这些“数字护卫”通过分包商雇佣,持有安全许可,但普遍缺乏技术能力,难以评估中国工程师的工作是否存在网络安全隐患。微软方面在报道发布后迅速做出反应,宣布停止任用中国工程师向美军方提供技术支持。(信息来源:观察者网)
(九)英伟达、AMD将恢复向中国销售AI芯片
7月16日,超微半导体(AMD)称,公司计划重启向中国出口MI308芯片。AMD发言人表示,美商务部告知其MI308产品的许可申请将进入审查程序。除AMD外,英伟达也宣布将恢复H20芯片在中国的销售,并将面向中国市场上新完全兼容的GPU产品。此次解禁的两款芯片均是为中国市场量身定制的“合规版”产品。而这一政策逆转距离今年4月的出口禁令仅隔三个月。当时美国以国家安全为由,暂停了英伟达H20、AMD MI308等“特供版”AI芯片的对华销售,引发全球科技产业链震动。业内人士指出,美商务部并未完全取消许可制度,只是针对当前型号放宽限制。(信息来源:中国电子报)
(十)欧盟与摩尔多瓦深化数字合作,强化网络与混合威胁防御
7月16日消息,欧盟委员会宣布与摩尔多瓦深化数字合作协议,重点聚焦网络安全、虚假信息防范和跨境通信便利化。欧盟授权摩尔多瓦使用其网络安全储备,以确保该国在9月议会选举前具备应对重大网络事件的能力。在数字互联方面,欧盟委员会欢迎摩尔多瓦加入“漫游”区,未来摩尔多瓦与欧盟用户之间的电话、短信和数据通信将不再产生额外费用。此外,摩尔多瓦被列入欧盟“受信任电子签名第三国名单”,这有助于提高双边商业文书互认的效率。为增强摩尔多瓦抵御外来虚假信息的能力,欧盟还支持欧洲数字媒体观察站FACT在摩尔多瓦设立新中心。(信息来源:IndustrialCyber网)
(十一)欧盟发布未成年人数字保护指南并拟推出平台用户年龄验证应用程序
7月18日消息,欧盟委员会提出保护未成年人数字保护指南,旨在为儿童和青少年创建一个更安全的在线环境,并具体化《数字服务法案》中的相关规定。指南针对上网成瘾、网络霸凌、有害内容、陌生人接触等风险提出防范措施。在年龄验证方面,欧盟委员会拟推出平台用户年龄验证应用程序。此款应用将成为数字身份证系统的重要组成部分,可在不披露其他个人信息的前提下验证用户是否年满18岁,预计该系统将于2026年底推出。欧盟委员会副主席汉娜·维尔库宁宣布,法国、意大利、西班牙、希腊和丹麦将参与该应用的试点。(信息来源:欧时大参)
(十二)英NCSC启动漏洞研究计划,加强与外部专家的合作
7月17日消息,英国家网络安全中心(NCSC)宣布启动新的“漏洞研究计划”,旨在加强与外部网络安全专家的合作,提升对软、硬件系统中潜在漏洞的识别与理解能力。参与计划的研究人员将根据NCSC提出的任务目标,针对特定产品进行漏洞挖掘、评估现有缓解措施,并披露发现的漏洞。此外,研究人员还需向NCSC提交其在研究过程中使用的工具及技术方法细节,以帮助建立一套系统化的漏洞研究实践框架。NCSC表示,未来计划扩大研究方向,引入更多具备新兴技术专长的专家,特别是在AI驱动的漏洞发现等前沿领域。(信息来源:BleepingComputer网)
(十三)新加坡推出三大举措,助力企业在可信生态中保护数据并部署AI
7月16日消息,在2025年个人数据保护峰会上,新加坡数字发展和信息部部长Josephine Teo宣布三项关键举措,旨在构建安全、可信的数字生态系统。三项举措主要内容为:一是推出新版“全球AI保障沙盒”,新加坡在巴黎AI行动峰会上启动的全球人工智能保障试点项目基础上,进一步拓展形成了“全球AI保障沙盒”。扩展后的沙盒覆盖范围显著升级,不仅纳入代理型人工智能等新兴AI原型的测试,还针对性应对数据泄露、即时注入攻击等前沿风险。二是发布新版《隐私增强技术(PETs)采用指南》,旨在降低企业技术落地门槛。指南包含PETs用例评估工具和实施清单。三是将数据保护信任标志升级为新的国家标准(SS 714:2025),使其与全球数据保护基准和国际最佳实践接轨。(信息来源:赛博研究院)
二、数据前沿快讯
(十四)中央网信办就《数据安全技术 电子产品信息清除技术要求》强制性国家标准(征求意见稿)公开征求意见
7月21日消息,中央网信办就《数据安全技术 电子产品信息清除技术要求》强制性国家标准(征求意见稿)公开征求意见,要求厂商在手机、平板、电脑等电子产品中强制预置“一键清除”功能,确保用户能便捷彻底删除个人数据;该标准针对不同存储介质设定了差异化覆写要求,规定手机、平板和固态硬盘数据至少覆写2次,机械硬盘至少覆写3次以上,以实现数据不可恢复,清除范围覆盖应用程序、媒体文件、缓存、备份数据、系统配置(含账号密码及生物识别信息)、NFC绑定卡片及加密密钥等全部7类用户数据。(信息来源:中国网安)
(十五)国家数据局:推动数据产业向“全域发展”转变
7月22日,国家数据局举办2025中国国际大数据产业博览会新闻发布会。围绕培育壮大数据产业,国家数据局副局长余英在发布会上表示,国家数据局将多措并举,进一步优化产业规划布局,推动数据产业从“单点突破”向“全域发展”转变。下半年,国家数据局计划布局建设一批数据产业集聚区试点,支持和引导有条件的地区,立足资源禀赋和产业基础,打造协同互补、特色鲜明、优势突出、具有较强竞争力和示范带动性的数据产业集聚区,发挥产业区域聚集和规模效应,探索多元化数据产业培育发展路径。同时,国家数据局也正在组织相关研究力量,开展全国数据产业规模测算工作,为政策供给和产业发展提供决策参考。围绕高质量数据集建设和数据标注产业培育等重点方向,余英表示,将充分发挥有效市场和有为政府的作用,以制度创新释放数据要素活力,以设施建设保障数据流通共享,着力打造“数据标注+高质量数据集+模型+应用场景+市场化价值化”的闭环生态,推进数据要素市场化配置改革和“人工智能+”行动同向发力、同频共振。(信息来源:中国经济网)
(十六)香港与澳门数据保护监管机构签署隐私保护合作谅解备忘录
7月16日消息,澳门特区政府个人资料保护局与香港个人资料私隐专员公署签署合作谅解备忘录,深化双方在个人资料私隐保障方面的协作和交流,共同推进香港、澳门,乃至粤港澳大湾区数字经济高质量发展。根据备忘录,港澳合作范围包括执法、教育及培训方面的工作交流经验、良好行事方式、协力促进大湾区内有序安全的个人资料跨境流动,以及在调查或执法方面互相提供协助等。(信息来源:人民日报)
(十七)全球首个跨境数据空间标准IEEE P1988正式启动
7月16日消息,在“2025数据空间创新发展研讨会”上,下一代互联网国家工程中心联合国际数据空间协会(IDSA)、IEEE标准协会共同正式启动IEEE P1988跨境数据空间国际标准的构建。作为全球首个面向跨境数据空间架构的国际标准项目,IEEE P1988聚焦数据在跨组织、跨地域之间的安全流通和可信交互,定义了一套通用的数据空间模型与接口协议,涵盖数据共享、访问控制、身份管理、审计追踪等关键能力。技术架构层面,IEEE P1988基于IDSA国际数据空间架构和DSP连接协议,融合IPv6虚拟专网以及数据沙箱、隐私计算和区块链等多重数据保护能力,形成一个支持分布式部署、灵活接入、安全可控的数据互联平台。目前,该标准已在多个行业场景中陆续开展试点验证。(信息来源:下一代互联网工程中心)
三、网安事件聚焦
(十八)夜鹰组织利用微软Exchange漏洞攻击中国军工与科技领域
7月22日消息,网络安全研究人员披露了一个名为夜鹰(NightEagle,又称APT-Q-95)的未记录威胁组织,该组织利用微软Exchange服务器漏洞实施攻击,其攻击链包含零日漏洞利用,主要针对我国的高科技、芯片半导体、量子技术、人工智能和军事领域的实体机构,核心目的是窃取情报。据奇安信红雨滴团队报告,该组织自2023年开始活跃,其网络基础设施更换速度极快。根据攻击活动集中在北京时间晚9点至次日凌晨6点的特征,研究人员推断该组织很可能来自北美地区。(信息来源:FreeBuf)
(十九)泰国劳工部遭网络攻击,系统全面受损
7月18日消息,泰国劳工部证实,其官方网站遭黑客入侵并篡改。黑客组织Devman在暗网上声称对此次事件负责,称已在泰国劳工部网络环境内潜伏逾43天,窃取了超300 GB敏感数据,加密了约2000台笔记本,控制了98台Linux服务器和50多台Windows服务器,并彻底清除了Active Directory环境。泰国劳工部表示,虽然网站已通过备份文件恢复,但该部数字基础设施遭受了无法弥补的损害,将暂停核心业务职能。目前,泰国政府已启动应急响应,正与国家网络安全局和国际合作伙伴调查该事件。(信息来源:泰国劳工部网站)
(二十)韩国信用担保机构SGI遭勒索软件攻击,核心系统瘫痪三天
7月17日消息,韩国信用担保机构首尔保证保险株式会社(SGI)遭勒索软件攻击,导致其核心系统持续瘫痪三天,住房抵押贷款、消费贷款等担保服务中断,仅当天就有约合4300万美元的租赁贷款因无法担保被迫延期发放。据报道,此次攻击可能由勒索软件组织“Gunra”发起。该组织通过未知路径入侵SGI内网,不仅加密了关键业务文件,还禁用了安全软件并删除了系统备份,导致恢复工作异常艰难。本次攻击是否涉及数据窃取,目前尚无公开信息。(信息来源:勒索病毒头条)
(二十一)俄罗斯酒业巨头Novabev遭勒索软件攻击,2000多家门店被迫暂停营业
7月18日消息,俄罗斯酒业巨头Novabev在公告中证实遭勒索软件攻击,导致其部分核心IT基础设施瘫痪,旗下超2000家连锁门店被迫暂停营业,销售系统和线上服务全面中断,物流发货等均受到影响。根据《福布斯》估算,Novabev每天的系统宕机或将造成约合260万至380万美元收入损失。Novabev是俄罗斯最大的烈酒生产与经销集团,旗下拥有Beluga、Belenkaya等知名伏特加品牌。目前尚未有勒索组织公开对此次事件负责。Novabev方面尚未披露是否存在数据泄露、加密或破坏。(信息来源:TheRecord网)
(二十二)美跨国科技巨头戴尔公司遭黑客入侵,1.3TB数据遭泄露
7月22日消息,勒索软件组织World Leaks声称入侵了美跨国科技巨头戴尔公司,并泄露1.3TB数据,内含超40万份文件。研究人员对泄露文件列表分析发现,数据源自戴尔的全球网络,覆盖美洲、欧洲、亚太等地区系统。数据内容丰富,包含员工文件夹、软件工具、基础设施脚本以及备份数据等。戴尔回应称,确认有黑客入侵了其用于产品演示和测试的内部“解决方案中心”,强调该系统与客户及合作伙伴网络隔离,并非服务基础设施部分。戴尔表示,黑客获取数据多为合成、公开或与内部脚本和测试输出有关,虽然其未使用“数据泄露”这一表述,但暗示存在未经授权的访问行为,目前调查仍在进行中。(信息来源:HackRead网)
(二十三)美两诊所遭网络攻击,超330万患者信息被泄露
7月22日消息,美马里兰州的安妮·阿伦德尔皮肤病诊所(AAD)与弗吉尼亚州的里士满放射学协会(RAR)分别向美联邦机构报告其网络攻击事件。两起事件共导致超330万患者的受保护健康信息(PHI)被泄露。AAD的攻击持续近三个月,可能泄露了190万人的PHI(包括姓名、地址、医保数据)等;RAR则在2024年短期内遭入侵,影响近142万人,可能泄露的信息包括社会安全号码、医疗信息等。目前上述两机构均面临多起集体诉讼。是否涉及勒索软件及数据滥用仍待进一步确认。(信息来源:GovInfoSecurity网)
四、网安风险警示
(二十四)思科ISE和ISE-PIC中存在满分漏洞
7月17日,思科公司修复了身份服务引擎(ISE)及被动身份连接器(ISE-PIC)中的关键漏洞CVE-2025-20337(CVSS评分10.0)。该漏洞源于对用户提供的输入验证不充分而造成。攻击者可通过提交构建的API请求来利用该漏洞,成功利用可让攻击者获得受影响设备的root权限,并在底层操作系统执行任意代码。目前,思科已为受影响的ISE 3.3和3.4版本发布了紧急补丁(3.3p7,3.4p2),建议用户尽快修复。(信息来源:安帝Andisec)
(二十五)施耐德电气披露影响其EcoStruxure IT DataCenter Expert软件的多个漏洞
7月16日消息,施耐德电气披露了影响其EcoStruxure IT DataCenter Expert(8.3及以下版本)软件的六个严重漏洞,攻击者可利用这些漏洞执行远程代码并获取未授权的系统访问权限,对关键基础设施环境中的运营连续性和数据安全构成重大风险。其中最严重的漏洞为CVE-2025-50121(CVSS评分10.0),允许攻击者通过Web界面创建特制文件夹执行系统命令。其余漏洞编号分别为CVE-2025-50122、CVE-2025-50123、CVE-2025-50124、CVE-2025-50125、CVE-2025-6438,涉及密码生成熵不足、通过主机名操纵实现代码注入以及服务器端请求伪造攻击等。EcoStruxure IT DataCenter Expert是施耐德电气推出的本地化数据中心集中监控解决方案,专为供电、制冷、安防及环境系统而设计。施耐德电气建议组织立即升级到EcoStruxure IT DataCenter Expert 9.0版本。(信息来源:安数网络)
(二十六)微软SharePoint Server中存在远程代码执行漏洞
7月21日消息,微软披露SharePoint Server中存在远程代码执行漏洞CVE-2025-53770(CVSS评分9.8)。该漏洞是CVE-2025-49706的变种,允许未经身份验证的攻击者通过发送恶意数据包执行任意代码。攻击者可通过操纵HTTP请求,利用SharePoint的ToolPane接口(“_layouts/15/ToolPane.aspx”)绕过身份验证,并结合不安全反序列化漏洞CVE-2025-49704实现远程代码执行。根据网络安全公司Eye Security的研究,攻击者利用这一漏洞链(被称为“ToolShell”)可从内存或配置中提取ValidationKey等加密Key数据。一旦获取这些密钥,攻击者就能构造完全有效的ViewState序列化数据,从而进一步获取系统权限。SharePoint是微软开发的协作平台和内容管理系统,广泛应用于企业内部网络环境中,提供了文档管理、信息共享、内容协作等功能。微软建议用户在SharePoint中配置AMSI集成,并在所有SharePoint服务器上部署Defender AV。(信息来源:360漏洞研究所)
(二十七)多功能网络安全解决方案HPE Networking Instant On安全网关接入点设备中存在漏洞
7月21日消息,慧与(HPE,前身为惠普)发布安全更新,修复Instant On接入点设备中存在的高危安全漏洞CVE-2025-37103(CVSS评分9.8)。攻击者可利用该漏洞绕过身份验证,获取受影响系统的管理员权限。HPE同时修复了Instant On接入点设备命令行界面中的认证命令注入漏洞CVE-2025-37102(CVSS评分7.2)。远程攻击者可在提升权限后,以特权用户身份在底层操作系统上执行任意命令。值得注意的是,攻击者可将上述两个漏洞组合利用,形成完整的攻击链:先获取管理员权限,再通过命令行界面注入恶意命令实施后续攻击活动。目前漏洞已在HPE Networking Instant On软件3.2.1.0及以上版本中修复,建议用户尽快安装更新。(信息来源:FreeBuf)
(二十八)VMware多个产品中存在高危漏洞
7月17日,VMware官方披露其多个产品中存在四个高危漏洞,涉及VMXNET3、VMCI、PVSCSI和vSockets等关键虚拟化组件,其中整数溢出漏洞CVE-2025-41236存在于VMXNET3虚拟网络适配器中、整数下溢漏洞CVE-2025-41237存在于VMCI(虚拟机通信接口)中、堆溢出漏洞CVE-2025-41238存在于PVSCSI(半虚拟化SCSI)控制器中、信息泄露漏洞CVE-2025-41239存在于vSockets中。前三个漏洞(CVSS评分均为9.3)可被具备本地管理员权限的攻击者在虚拟机内利用,最终以VMX进程权限在宿主机上实现远程代码执行,严重威胁虚拟化平台的系统安全;CVE-2025-41239(CVSS评分7.1)则由于vSockets组件存在未初始化内存使用问题,可能导致攻击者泄露与其通信进程有关的敏感内存信息。建议受影响的用户尽快应用官方补丁。(信息来源:启明星辰安全简讯)
(二十九)CrushFTP零日漏洞被用于劫持服务器
7月20日消息,CrushFTP警告称,攻击者正积极利用零日漏洞CVE-2025-54309,该漏洞允许攻击者通过Web界面直接获取服务器管理权限。CrushFTP是一款企业级文件传输服务器,广泛用于通过FTP、SFTP、HTTP/S等协议安全共享和管理文件。CrushFTP首席执行官Ben Spink表示,该漏洞首次被发现于7月18日上午9点,但攻击者可能早在7月17日凌晨就开始利用该漏洞。该公司此前针对HTTP(S)协议中AS2相关问题的修复意外阻断了此次零日漏洞的利用路径,然而,攻击者通过逆向工程识别出未被完全修复的漏洞,并针对未更新系统发起定向攻击。CrushFTP建议用户立即更新到最新版本(v10.8.5和v11.3.4_23之后的版本),以避免受到攻击。(信息来源:启明星辰安全简讯)
(三十)BadBox 2.0恶意软件感染全球数百万物联网设备
7月22日消息,美联邦调查局FBI发布重要公告,名为BadBox 2.0的恶意软件已在全球范围内肆虐。Point Wild的Lat61威胁情报团队分析显示,全球222个国家和地区超过100万台设备已遭入侵。该软件通过libanl.so后门库深嵌于固件,恢复出厂设置后仍可运行,通过隐藏广告点击活动牟利,还会在用户不知情时进行点击欺诈、凭证填充等攻击。其主要通过不受监管的供应链传播,常见于低成本智能电视、流媒体盒等设备。用户若发现设备运行缓慢、异常发热或闲置时网络流量异常,可能已被感染。专家建议避免购买无品牌或超低价设备,选择有持续固件支持的制造商。(信息来源:HackRead网)
