Gladinet加密缝隙致9家机构被远程攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

Gladinet加密缝隙致9家机构被远程攻击

颁布功夫 2025-12-15

1. Gladinet加密缝隙致9家机构被远程攻击

12月11日，黑客正利用Gladinet CentreStack和Triofox产品中未纪录的加密算法缝隙执行攻击。该缝隙源于AES加密算法的自界说实现存在硬编码密钥缺点，GladCtrl64.dll文件中存储的加密密钥和初始化向量（IV）源自两个静态的100字节中文字符串，在所有产品装置中齐全一样。攻击者可提取这些密钥解密接见单据含文件蹊径、用户凭证等信息，或伪造单据假意用户获取系统文件。具体攻击蹊径显示，威胁行为者通过"filesvr.dn"处置法式利用缝隙，将接见单据的功夫戳设置为9999年实现永远有效，随后要求web.config文件获取machineKey，最终通过ViewState反序列化触发远程代码执行。Huntress安全团队监测发现，至少9家医疗、技术等行业的机构遭此攻击，攻击者还结合了旧缝隙CVE-2025-30406扩大粉碎。Gladinet已颁布垂危更新，并建议用户升级后当即轮换机械密钥。

https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/

2. ConsentFix攻击绕过MFA劫持微软账户

12月11日，网络安全公司Push Security发现一种名为“ConsentFix”的新型ClickFix攻击变种，该攻击通过滥用Azure CLI OAuth利用法式，在无需密码或多成分身份验证（MFA）的情况下劫持Microsoft账户。攻击始于受害者接见被入侵的合法网站，这些网站通过Google搜索针对特定关键词排名靠前。网站页面会显示伪造的Cloudflare Turnstile验证码幼部件，要求用户输入有效企业邮箱地址，攻击者剧本会过滤机械人、分析师及未列入指标的用户。通过验证的用户将看到类似ClickFix的交互页面，疏导其执杏装验证人类身份”的操作。用户点击页面中的“登录”按钮后，会被沉定向到合法的微软Azure登录页面。若用户已登录微软账户，只需选择自己的账户；若未登录，则需在微软官方页面实现正常身份验证。实现登录后，微软会将用户沉定向到本地主机页面，此时浏览器地址栏会显示蕴含Azure CLI OAuth授权码的URL。当用户依照批示将该URL粘贴到恶意页面时，攻击者即可通过Azure CLI OAuth利用获取齐全的账户接见权限。

https://www.bleepingcomputer.com/news/security/new-consentfix-attack-hijacks-microsoft-accounts-via-azure-cli/

3. PayPal订阅职能遭滥用致诳骗邮件泛滥

12月14日，近期，诳骗分子滥用PayPal的“订阅”计费职能，向用户发送假装成合法PayPal邮件的诳骗信息。这类邮件宣称“自动付款失效”，实则嵌入虚伪采办通知，如宣称用户采办了索尼设备、MacBook或iPhone等昂贵商品，并附有1300至1600美元不等的付款纪录及“客服电话”。邮件通过“mailto:service@paypal.com”地址发送，且通过了DKIM、SPF及DMARC蹬资件安全认证，直接来自PayPal官方服务器，因而能绕过垃圾邮件过滤器，极具糊弄性。诳骗分子通过批改客户服务URL字段，将虚伪信息嵌入合法邮件模板。例如，URL中可能蕴含域名、付款金额及“取缔或征询”电话号码，并同化Unicode字符以粗体或特殊字体显示，试图躲避关键词检测。通过测试发现，当商家暂停订阅用户时，PayPal会自动发送通知邮件，而诳骗者可能利用订阅元数据处置缝隙或旧平台接口，在URL字段中注入无效文本，从而天生诳骗邮件。这些邮件可能被转发至未注册PayPal订阅的用户。

https://www.bleepingcomputer.com/news/security/beware-paypal-subscriptions-abused-to-send-fake-purchase-emails/

4. 亲俄VolkLocker勒索软件缝隙或致免费解密

12月13日，亲俄黑客组织CyberVolk推出的勒索软件即服务（RaaS）VolkLocker存在沉大实现缺点，使受害者可能无需支付赎金即可复原文件。据SentinelOne钻研，该软件在二进造文件中硬编码了主密钥，且该密钥以明文大局存储于受习染机械的%TEMP%文件夹中，受害者可通过提取该密钥尝试解密。VolkLocker选取AES-256 GCM加密，每个文件使用随机12字节nonce作为初始化向量，加密后附加.locked或.cvolk扩大名并删除原始文件。然而，由于所有文件共享统一主密钥且密钥未被删除，该缝隙显著减弱了其勒索能力。CyberVolk总部位于印度，自2024年起活跃，曾对反俄或支持乌克兰的实体提议DDoS和勒索攻击。2025年8月，该组织以VolkLocker 2.x版本回归，同使仉对Linux/VMware ESXi和Windows系统，并引入Golang按时器职能，若超时或输入谬误密钥，将擦除用户文档、下载、图片和桌面文件夹。RaaS定价按操作系统架构划分：单一系统800-1100美元，双系统1600-2200美元，采办者可通过Telegram构建机械人定造加密器并获取有效载荷。同年11月，该组织还推出500美元的远程接见木马和键盘纪录器。

https://www.bleepingcomputer.com/news/security/cybervolks-ransomware-debut-stumbles-on-cryptography-weakness/

5. CISA更新KEV目录，要求联国机构2026岁首建复缝隙

12月13日，美国网络安全和基础设施安全局（CISA）近日将CVE-2025-14174（Google Chromium越界内存接见缝隙）和CVE-2018-4063（Sierra Wireless AirLink ALEOS无限度上传缝隙）补充至已知可利用缝隙（KEV）目录。CVE-2025-14174是Google Chrome 143.0.7499.110版本前Mac系统存在的ANlge图形库缝隙。该缝隙源于Metal渲染器对GL_UNPACK_IMAGE_HEIGHT值的谬误推算，当图像高度超过缓冲区容量时，会触发越界内存接见，导致内存败坏、法式崩溃甚至肆意代码执行。谷歌已通过安全更新建复此缝隙，并确认该缝隙已在现实攻击中被利用。值妥贴心的是，谷歌未公开技术细节，但GitHub提交纪录显示缝隙与缓冲区溢出直接有关。另一缝隙CVE-2018-4063则影响Sierra Wireless AirLink ES450固件4.9.3的upload.cgi组件。经身份验证的攻击者可发送特造HTTP要求，在设备Web服务器上传并执行恶意代码，实现远程代码执行。该缝隙自2018年披露以来，因未实时建复仍被CISA纳入目录。

https://securityaffairs.com/185639/security/u-s-cisa-adds-google-chromium-and-sierra-wireless-airlink-aleos-flaws-to-its-known-exploited-vulnerabilities-catalog.html

6. 反盗版同盟ACE捣毁印度百万级访客盗版平台

12月12日，由迪士尼、华纳兄弟、Netflix等50余家影视网络巨头支持的创意与娱乐同盟（ACE）近期在印度提议大规模反盗版行动，成功捣毁本地最受迎接的流媒体盗版服务之一MKVCinemas及其25个有关域名。该平台在2024-2025年间吸引超1.424亿访客，为数百万用户提供免费电影电视资源。ACE通过刑事移送、民事诉讼及终场令行动，迫使位于印度比哈尔国的运营商终场运营并移交域名节造权，所有MKVCinemas网站现已沉定向至ACE的“合法旁观”门户，堵截盗版内容传布蹊径。这次行动还关关了一款宽泛使用的文件克隆工具，该工具通过暗藏云存储媒体文件起源，援手印度及印尼用户绕过下架措施，两年内获2.314亿次接见，成为盗版内容分发的关键技术支持。美国电影协会执行副总裁拉里萨·克纳普强调，ACE将持续查究犯法运营，守护安全可持续的市场环境。

https://www.bleepingcomputer.com/news/security/mkvcinemas-streaming-piracy-service-with-142m-visits-shuts-down/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研