CISA忠告Oracle高危缝隙正被积极利用

首页 > 安全钻研 > 安全传递 > 安全简讯

CISA忠告Oracle高危缝隙正被积极利用

颁布功夫 2025-11-25

1. CISA忠告Oracle高危缝隙正被积极利用

11月21日，美国网络安全和基础设施安全局（CISA）近日颁布严沉忠告，要求联国民事行政部门（FCEB）机构必须在2025年12月12日前建复Oracle Identity Manager的CVE-2025-61757缝隙。该缝隙被追踪为“零日缝隙”，已被现实用于攻击，春联国企业组成沉大风险。CVE-2025-61757是Oracle Identity Manager REST API中存在的身份验证前远程代码执行缝隙，由Searchlight Cyber分析师Adam Kues和Shubham Shahflaw发现并披露。缝隙源于攻击者可通过在URL蹊径中增长“--public-access”或类似参数，糊弄安全过滤器将受�；ざ说闶游山蛹�，从而绕过身份验证直接接见Groovy剧本编译端点。攻击者可利用Groovy的注解处置职能，在编译时注入恶意代码实现远程执行，无需任何身份验证。Oracle已于2025年10月21日颁布安全更新建复该缝隙，但CISA强调，该缝隙因技术门槛低、利用单一，极易被威胁行为者急剧复造利用。

https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/

2. 俄有关攻击借3D市场传StealC V2窃密软件

11月24日，与俄罗斯有关的网络攻击活动正通过CGTrader等3D模型市场传布StealC V2信息窃取恶意软件。攻击者利用Blender开源3D软件个性，将恶意Python代码嵌入.blend文件中。当用户启用Blender的自动运行职能时，打开含恶意剧本的角色绑定文件会触发自动加载，该剧本通过Cloudflare Workers域获取恶意软件加载器，进而下载PowerShell剧本，最终从攻击者节造的IP地址检索两个ZIP存档。这些压缩文件解压至%TEMP%文件夹，并在启动目录搁置LNK文件实现悠久化，同时部署StealC主窃取器及辅助Python窃取器形成冗余备份。Morphisec公司指出，本次攻击使用的StealC为今年早些时辰Zscaler分析的第二个重要版本的最新变种。新版StealC扩大了数据窃取能力，支持从23种以上浏览器、100余个加密钱币钱包扩大/利用、Telegram、Discord等通讯工具、VPN及邮件客户端窃取数据，并建设更新的UAC绕过机造。

https://www.bleepingcomputer.com/news/security/malicious-blender-model-files-deliver-stealc-infostealing-malware/

3. ClickFix攻击利用图像隐写术传布恶意软件

11月24日，近期，钻研人员发现ClickFix攻击出现新变种，攻击者通过真切的Windows更新动画和图像隐写术在全屏浏览器页面执行社会工程攻击。该攻击自10月1日起活跃，以实现"关键安全更新"或"人为验证"为钓饵，诱导用户在Windows号令提醒符中粘贴并执行攻击者通过JavaScript自动复造到剪贴板的恶意号令。新变种选取先进隐写技术，将恶意软件有效载荷编码于PNG图像的像素数据中，通过特定色彩通路在内存中沉建并解密。攻击流程蕴含多阶段执行：首先使用mshta原生二进造文件执行恶意JS代码，随后通过PowerShell和.NET法式集从加密图像中提取shellcode。Stego Loader的清单资源中蕴含AES加密的blob，性质是嵌入PNG文件的shellcode，需通过自界说C#代码沉建。威胁行为者还选取动态躲避战术"ctrampoline"，通过入口点函数挪用万个空函数滋扰分析。

https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/

4. SitusAMC数据泄露事务波及顶级银行客户

11月24日，房地产融资服务巨头SitusAMC于2025年11月12日发现数据泄露事务，该公司为花旗集团、摩根士丹利、摩根大通等1500家客户提供抵押贷款发放、服务及合规等后盾运营支持，年营收约10亿美元。经初措施查确认，这次事务导致企业客户及终端用户数据泄露，具体蕴含与业务关系有关的管帐纪录、司法和谈等企业数据，以及部门客户的客户幼我信息。事务功夫线显示，SitusAMC在11月12日收到安全警报后，于15日实现初措施查确认缝隙性质，16日起头通知住宅用户，至22日完玉成数客户奉告。公司强调业务运营未受影响，系统未发现加密恶意软件部署痕迹。首席执行官迈克尔·弗兰科暗示，公司正通过直接沟通渠路向受影响客户提供持续更新，并专一于分析受影响数据领域。这次事务涉及数据复杂性较高，具体受影响客户数量及数据规模仍在调查中。只管事务涉及多家银行业巨头，但公司未披露具体受影响机构名单。

https://www.bleepingcomputer.com/news/security/real-estate-finance-services-giant-situsamc-breach-exposes-client-data/

5. Shai-Hulud供给链攻击沉创npm生态

11月24日，近期，威胁组织Shai-Hulud在npm注册表提议大规模供给链攻击，通过木马化Zapier、ENS Domains、PostHog等492个驰名软件包，窃取开发者及CI/CD团队的机密信息并加密上传至GitHub。攻击利用被盗守护者账户批改package.json注入恶意剧本，结合TruffleHog工具执行窃密，GitHub已检测到27,600条有关条款。这次攻击出现指数级扩散特点：Wiz云安全平台发现350个涉案守护者账户，每30分钟新增约1,000个存储库。恶意软件蕴含setup_bun.js和10MB的bun_environment.js，执行五阶段攻击流程：窃取GitHub/npm令牌、云平台密钥等机密，并在满足特定前提（如无法认证GitHub、获取令牌失败）时覆盖用户主目录。攻击影响深远：ENS Domains等工具包被入侵，影响以太坊地址解析、ENS智能合约交互等主题职能。GitHub虽持续删除攻击者创建的Sha1-Hulud，但威胁行为者仍急剧沉建。

https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/

6. 哈佛大学遭语音垂钓攻击致校友数据泄露

11月24日，哈佛大学堂友事务和发展系统11月18日遭逢语音网络垂钓攻击，导致学生、校友、捐赠者、员工及教人员工幼我信息泄露。据该校副校长克拉拉·杰林科娃和校友事务与发展副校长吉姆·胡森披露，泄露数据涵盖电子邮件地址、电话号码、家庭/办公地址、活动出席纪录、捐赠详情及与大学筹款和校友参加有关的幼我信息，但未蕴含社会保险号码、密码、支付卡信息或财政信息。这次事务影响领域宽泛，涉及校友及其配偶/伴侣/遗孀、捐赠者、在校生及毕业生家长、部门在校学生和教人员工。哈佛大学已当即采取措施解除攻击者系统接见权限，并与法律部门及第三方网络安全专家合作调查。11月22日，学堂向可能受影响的幼我发送数据泄露通知，提醒警惕异常通讯，出格是要求提供密码、社保号或银行信息的电话、短信或邮件。这是哈佛大学近期第二起数据安全事务。10月中旬，Clop勒索软件团伙曾宣称利用Oracle E-Business Suite零日缝隙入侵该校系统。

https://www.bleepingcomputer.com/news/security/harvard-university-discloses-data-breach-affecting-alumni-donors/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研