思科防火墙零日缝隙遭国度支持组织攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

思科防火墙零日缝隙遭国度支持组织攻击

颁布功夫 2025-11-11

1. 思科防火墙零日缝隙遭国度支持组织攻击

11月7日，思科于2025年9月25日颁布安全更新，建复CVE-2025-20362（允许未经身份验证接见受限URL）和CVE-2025-20333（允许经身份验证远程代码执行）两个高危缝隙。二者关联后，远程未经身份验证的攻击者可齐全节造未打补丁的ASA和FTD防火墙系统，导致设备沉启循环及回绝服务（DoS）攻击。同日，美国网络安全与基础设施安全局（CISA）颁布垂危指令，要求联国机构在24幼时内�；に伎品阑鹎缴璞�，并强造断开已终场支持（EoS）的ASA设备与联国网络的衔接。威胁监控服务Shadowserver追踪发现，互联网上露出的易受攻击ASA和FTD事俘超过34,000个，9月未建补防火墙数量靠近50,000个。思科指出，这些攻击与2024年ArcaneDoor攻击活动同属一个国度支持的组织（微软追踪为STORM-1849/UAT4356），该组织曾利用CVE-2024-20353和CVE-2024-20359缝隙入侵全球当局网络，部署Line Dancer内存shellcode加载器和Line Runner后门恶意软件以维持悠久性。2025年11月5日，思科发现新攻击变种，针对运行一样缝隙影响的ASA/FTD软件版本的设备，导致未打补丁设备意表沉启。

https://www.bleepingcomputer.com/news/security/cisco-actively-exploited-firewall-flaws-now-abused-for-dos-attacks/

2. Rhysida勒索团伙泄露Gemini Group近2TB数据

11月6日，与俄罗斯关联的Rhysida勒索软件团伙近日在暗网泄录国造作业巨头Gemini Group近2TB敏感数据，涉及170余万个文件，蕴含员工薪资、休假余额、社会安全号码、健全保险详情、客户名单及内部财政文件等。这次泄露使1400余名员工面对身份偷窃、诓骗及人身安全威胁风险，同时露出福特、丰田、通用汽车等主题客户的供给链信息，可能引发信赖�；胨痉ㄗ吩�。Gemini Group总部位于密歇根州，作为一级供给商在美国和墨西哥设有18个分支机构，年营收3亿美元，主营塑料挤出成型、金属模具造作等业务，是汽车行业关键供给商。10月底，Rhysida团伙在暗网颁布申明，称窃取其沉要数据后赐与一周宽期限，最终公开1.9TB数据集，涵盖实习生名单、采购汇报、发票及员工幼我照片等。

https://cybernews.com/security/gemini-group-rhysida-data-leak/

3. 华盛顿邮报遭Clop勒索攻击，Oracle零日缝隙波及全球

11月6日，《华盛顿邮报》近日确认成为Clop勒索软件组织最新攻击指标，该团伙利用Oracle E-Business Suite（EBS）平台零日缝隙提议大规模攻击，目前已波及全球数百家组织且影响持续扩大。作为亚马逊首创人杰夫·贝佐斯旗下媒体，该报因驰名度被Clop在暗网泄露网站顶部置顶，并单独以黄色字体标注"忠告"，威胁若不支付赎金将通过BitTorrent磁力链接公开被盗数据。Oracle EBS作为全球数千企业使用的主题业务治理系统，涉及客户、供给商、造作、物流等多流程治理。这次攻击源于EBS软件的关键零日缝隙，谷歌钻研人员早在2025年7月已追踪到该缝隙，但Oracle直至10月2日才正式汇报，且初次垂危补丁失败，直至10月11日才颁布有效建复，导致客户在数日内处于易受攻击状态。Clop团伙这次攻击一连其惯用战术：通过暗网泄露页面施压受害者，此前曾利用MOVEit、Fortra GoAnywhere等文件传输法式缝隙发起屡次大规模攻击。

https://cybernews.com/security/washington-post-clop-oracle-ebs-victim-zero-day-hack/

4. 朝鲜黑客利用谷歌工具针对韩国用户执行精准攻击

11月10日，据韩国网络安全公司Genians披露，朝鲜黑客组织通过滥用谷歌"查找中心"工具执行精准攻击，重要针对韩国用户。攻击者首先通过KakaoTalk接触潜在指标，利用仿冒韩国国税局、警方等机构的垂钓信息，诱导用户执行含数字署名的MSI恶意附件。该附件通过嵌套的install.bat和error.vbs剧本造作"说话包谬误"假象，现实触发AutoIT剧本成立悠久化接见。攻击链中，恶意剧本从C2节点下载RemcosRAT、QuasarRAT等远程接见木马，实现键盘纪录、凭证窃取及二次有效载荷植入。攻击者利用被盗的谷歌账户登录"查找中心"，定位指标安卓设备的GPS坐标，选择受害者户表活动、应急响应难题时段提议攻击。通过远程沉置号令擦除设备数据，执行三次擦除操作确保设备持久无法复原，同时劫持已入侵的KakaoTalk PC会话向联系人传布病毒。攻击者通过窃取Google/Naver账户凭证，批改安全设置并断根入侵日志，实现荫蔽悠久化节造。技术分析显示，攻击与KONNI活动集群有关联，持久针对教育、当局、加密钱币等领域。

https://www.bleepingcomputer.com/news/security/apt37-hackers-abuse-google-find-hub-in-android-data-wiping-attacks/

5. 俄罗斯公民认可参加多起Yanluowang勒索攻击

11月10日，据美国司法部披露，俄罗斯公民Aleksey Olegovich Volkov（别号“chubaka.kor”“nets”）已签署认罪和谈，认可在2021年7月至2022年11月期间作为“初始接见代理”（IAB），为针对至少八家美国公司的Yanluowang勒索软件攻击提供网络入侵服务。Volkov通过入窃祗业网络获取接见权限后，将其销售给勒索软件组织，后者部署勒索软件加密数据并索要30万至1500万美元不等的比特币赎金。FBI调查显示，Volkov的身份通过多维度证据链被锁定：法律部门通过服务器搜查令复原了谈天纪录、被盗数据、网络凭证及Yanluowang邮箱证据；结合其Apple iCloud账户、加密钱币买卖纪录及社交媒体账号追踪到其俄罗斯护照及电话号码信息。谈天纪录进一步揭示，Volkov与代号“CC-1”的同谋约定，以提供受害者凭证为前提分得赎金比例，最终从150万美元赎金中获取分成。此表，其苹果账户内文件显示与LockBit勒索团伙存在关联，暗示更宽泛的犯罪网络。Volkov面对犯法转移身份、贩卖接见信息等11项指控，最高刑期达53年，并被要求向受害者赔偿超910万美元。

https://www.bleepingcomputer.com/news/security/yanluowang-initial-access-broker-pleaded-guilty-to-ransomware-attacks/

6. 盛行的JavaScript库expr-eval存在远程代码执行缝隙

11月10日，盛行JavaScript库expr-eval被曝存在严沉安全缝隙（CVE-2025-12735），该库在NPM平台每周下载量超80万次，被超过250个项目使用。美国网络安全和基础设施安全局（CISA）将其严沉水平评定为“严沉”，CVSS评分达9.8。该缝隙由安全钻研员Jangwoo Choe发现，源于库在处置Parser.evaluate()函数时未对传入的变量/高低文对象进行充分验证。攻击者可机关恶意函数对象，在解析过程中触发远程代码执行（RCE），从而齐全节造受影响系统或窃取敏感信息。CERT协调中心（CERT-CC）忠告，此缝隙可能导致软件行为被篡改或系统数据泄露。expr-eval最初由Matthew Crumley开发，是用于运行时安全解析用户数学表白式的轻量级工具，宽泛利用于在线推算器、教育工具、金融系统及AI/NLP场景中的数学表白式解析。缝隙不仅影响原始expr-eval库（不变版6年前颁布），还波及其活跃分支expr-eval-fork，该分支在NPM每周下载量超8万次。建复规划已随expr-eval-fork v3.0.0版本颁布，建议受影响项目当即迁徙至该版本。

https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研