CISA将SysAid高危XXE缝隙纳入已知被利用目录

首页 > 安全钻研 > 安全传递 > 安全简讯

CISA将SysAid高危XXE缝隙纳入已知被利用目录

颁布功夫 2025-07-24

1. CISA将SysAid高危XXE缝隙纳入已知被利用目录

7月23日，美国网络安全与基础设施安全局（CISA）近日将影响SysAid IT支持软件的两个高危安全缝隙列入已知被利用缝隙（KEV）目录，要求联国机构在2025年8月12日前实现建复。这次涉及的两个缝隙（CVE-2025-2775和CVE-2025-2776）均由watchTowr Labs钻研人员Sina Kheirkhah和Jake Knott于5月披露，CVSS评分达9.3级，属于严沉级别。两者均因XML表部实体（XXE）引用限度不当，导致攻击者可通过Checkin处置职能和服务器URL处置职能执行治理怨厮户收受及敏感文件窃取。技术分析显示，这些缝隙允许攻击者注入恶意XML实体，触发服务器端要求伪造（SSRF）攻击。更危险的是，当与CyberArk去年发现的号令注入缝隙（CVE-2024-36394）结应时，可能升级为远程代码执行（RCE）。SysAid已在3月初颁布的24.4.60 build 16版本中建复这三个缝隙，其中蕴含另一个预认证XXE缝隙（CVE-2025-2777）。只管目前尚未明确CVE-2025-2775/2776的现实攻击细节及威胁行为者身份，CISA仍基于自动利用证据将其纳入KEV目录。

https://thehackernews.com/2025/07/cisa-warns-sysaid-flaws-under-active.html

2. 黑客伪造美国当局网站执行垂钓攻击针对教育工作者

7月24日，网络安全领域曝光一路针对美国教育系统的网络垂钓攻击活动，黑客通过伪造当局网站窃取教育工作者敏感信息，引刊行业高度关注。BforeAI旗下PreCrime尝试室的威胁钻研人员发现，多个仿照美国教育部G5拨款治理系统主页和登录门户的恶意域名在活跃，这些域名通过视觉设计克隆、虚伪登录表单及JavaScript凭证窃取技术，试图诱骗教育机构、拨款治理员及供给商输入账号密码。G5系统作为联国拨款资金分配的主题平台，涉及学生增援等关键项目，其用户覆盖学堂、州当局机构及非投机组织。这次攻击的特殊性在于，攻击者不仅复造了官方网站（g5.gov）的界面，还通过Cloudflare CDN服务暗藏域名真实性，利用其宣告的SSL证书加强垂钓页面的合法性。钻研人员指出，这些域名注册于以滥用合规政策闻名的Hello Internet Corp，且选取analytics.php等剧本仿照登录流程，通过DOM操作混合自动化检测，最终将受害者疏导至/verify/端点进行二次垂钓或绕过多成分认证。PreCrime尝试室已确认六个拥有糊弄性的域名，并于7月15日向美国能源部（DOE）提交汇报。

https://www.darkreading.com/threat-intelligence/department-of-education-site-phishing-scheme

3. Clorox告状Cognizant错误致网络攻击，索赔超3.8亿美元

7月23日，消费品巨头高乐氏（Clorox）近日对全球IT服务提供商Cognizant提告状讼，指控其因沉大错误导致2023年8月产生严沉网络攻击。凭据诉讼文件，Cognizant自2013年起为高乐氏提供IT运营支持，蕴含服务台治理和身份验证服务，但其在关键安全流程中存在系统性失职。事务起因于2023年8月11日，黑客通过社会工程攻击屡次致电Cognizant服务台，假意高乐氏员工要求沉置密码及多成分认证（MFA）。只管高乐氏明确要求必须验证身份方可执行操作，Cognizant客服人员却未核事反电者身份，直接沉置了员工账户及MFA凭证。更严沉的是，攻击者随后以一样伎俩骗取IT安全员工的特权账户接见权限，导致攻击扩散至主题网络。这次入侵被归因于与"Scattered Spider"组织有关的黑客集体，该集体曾以类似手法攻击英国玛莎百货等企业。这次攻击导致高乐氏公司网络全面瘫痪，出产系统停摆，引发大规模产品欠缺和供给链中断。据估算，直接补救用度达4900万美元，而业务中断、销售额损失及名誉侵害等综合损失高达3.8亿美元。

https://www.bleepingcomputer.com/news/security/hackers-fooled-cognizant-help-desk-says-clorox-in-380m-cyberattack-lawsuit/

4. 每周下载量达280万次的NPM软件包遭恶意软件习染

7月23日，盛行NPM包"is"被证实遭黑客入侵并植入后门恶意软件。这次攻击源于守护者John Harband的账户通过垂钓攻击被劫持，攻击者在6幼时内未经授权颁布了蕴含恶意代码的3.3.1至5.0.0版本，导致每周超280万次下载的开发工具沦为攻击跳板。该恶意软件被安全团队Socket鉴定为跨平台JavaScript加载器，通过WebSocket成立悠久后门。激活后，恶意法式会窃取主机名、操作系统信息、CPU架构等系统特点，并捕获全数环境变量。更危险的是，其通过动态导入"ws"库成立的WebSocket衔接可将每条接管指令直接视为可执行JavaScript，使攻击者获得交互式远程Shell权限，相当于齐全节造受习染设备。攻击产生后，NPM官方垂危删除恶意版本，但自动更新机造导致部门隔发者在6幼时窗堪②内被动接管了有毒版本。安全专家建议开发团队当即冻结依赖版本，关关自动更新职能，并通过锁文件锁定安全版本；守护者需全面沉置账户密码并轮换所有关联令牌。

https://www.bleepingcomputer.com/news/security/npm-package-is-with-28m-weekly-downloads-infected-devs-with-malware/

5. 法乌结合行动查封俄语黑客论坛XSS.is

7月23日，应巴黎检察院要求，乌克兰警方在欧洲刑警组织协助下，于2025年7月23日扣留了俄语黑客论坛XSS.is的疑似治理员，并正式查封该平台。这一行动标志取持续四年的跨国网络犯罪调查获得关键突破，也反映出国际法律机构对暗网犯罪生态的精准进攻能力。XSS.is作为俄语区最具影响力的网络犯罪论坛之一，自2013年运营以来堆集超5万名注册用户，持久充任恶意软件买卖、勒索软件服务（RaaS）推广及受习染系统接见权限贩卖的枢纽。只管该平台曾于2021年5月颁发不容勒索软件有关会商，但法国司法部门调查显示，其背后团伙仍通过加密通讯渠路持续协调犯法活动，四年间获取至少700万美元犯法利润。这次调查始于2021年7月，由巴黎检察院网络犯罪部门牵头，巴黎警员局网络犯罪大队具体执行。法方通过攻破黑客常用的加密通讯平台Jabber服务器（thesecure.biz），对犯罪团伙通讯执行司法监听，成功截获大量涉及网络攻击、数据勒索的犯罪证据�；谡庑┫咚�，法律机构于2021年11月启动刑事调查，并于2024年9月部署线下行动，最终在乌方共同下实现对论坛治理员的抓捕。

https://www.bleepingcomputer.com/news/security/ukraine-arrests-suspected-admin-of-xss-russian-hacking-forum/

6. 法国就业局再遭数据泄露，影响34万求职者

7月23日，法国就业局（France Travail）于2025年7月13日发显熹“就业”门户网站产生数据泄露事务，影响约34万求职者，成为该机构两年内第二次沉大安全变乱。这次泄露露出的用户信息蕴含姓名、邮政地址、电子邮箱、电话号码、机构标识符及求职状态，但密码与银行细节未被获取。法国网络安全机构（ANSSI）下属的推算机应急响应幼组（CERT-FR）于7月12日率先监测到异常，法国就业局随后于7月22日向用户发送警示邮件，提醒防备网络垂钓攻击。调查显示，泄露源于伊泽尔省某培训组织关联账户遭信息窃取恶意软件（infostealer）入侵。攻击者通过该账户获取了Kairos利用法式的接见权限，该平台用于追踪求职者培训进度，最终导致数据表泄。法国就业局讲话人证实，涉事服务（蕴含就业门户与Kairos系统）已当即关关，并打算于7月24日复原运营。作为补救措施，原定2026年部署的双成分认证（2FA）被提前执行，以强化账户安全。值得关注的是，2024年3月该机构曾因IT系统遭攻击，导致从前20年内注册的4300万用户数据泄露，创下法国公共部门数据泄露规模之最。

https://www.infosecurity-magazine.com/news/france-data-breach-jobseekers/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研