本周热点概览

威胁通告

• Elastic Kibana原型污染致任意代码执行漏洞（CVE-2025-25014）通告

 

热点资讯

• 基于凭证的网络攻击发生后需采取的七个步骤
• 微软为新帐户设置默认密钥，150亿用户获无密码支持
• 俄罗斯COLDRIVER黑客组织利用LOSTKEYS恶意软件窃取敏感数据
• curl项目遭遇AI生成的虚假漏洞报告攻击
• Webmin严重漏洞允许远程攻击者提升权限并执行代码
• iOS出现新严重漏洞，仅需一行代码即可导致iPhone崩溃
• 声破攻击链：利用漏洞接管SonicWall设备
• 微软Telnet服务器惊现0Click重大漏洞
• CVE-2025-21756：Linux内核漏洞如何导致完全root权限利用，PoC发布
• Luna Moth勒索黑客冒充IT服务台大面积入侵美国公司

 

威胁通告

1.Elastic Kibana原型污染致任意代码执行漏洞（CVE-2025-25014）通告

【标签】CVE-2025-25014

【发布时间】2025-05-10 23:00:00 GMT

【概述】

近日，绿盟科技CERT监测到Elastic发布安全公告，修复了Elastic Kibana原型污染致任意代码执行漏洞（CVE-2025-25014）；由于Kibana中存在原型污染问题，具有特定角色权限的攻击者可通过构造特制的文件上传和特定的HTTP请求绕过验证机制，从而在受影响的系统上执行任意代码。CVSS评分9.1，请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

热点资讯

1.基于凭证的网络攻击发生后需采取的七个步骤

【标签】网络攻击

【概述】

如今，黑客们发起网络攻击不是横冲直撞的直接闯入，而是采用更隐秘的登录方式。网络犯罪分子会使用有效的凭证，绕过安全系统，同时在监控工具面前显得合法。这个问题很普遍；谷歌Cloud报告称，47%的云数据泄露是由于凭证保护薄弱或不存在造成的，而IBM X-Force将全球近三分之一的网络攻击归咎于账户泄露。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRN5

 

2.微软为新帐户设置默认密钥，150亿用户获无密码支持

【标签】密钥

【概述】

微软宣布重大账户安全升级：新用户注册将默认启用无密码登录。继2023年为消费者账户推出通行密钥（Passkey）支持后，微软进一步调整策略，强制新账户采用防钓鱼认证方式。微软身份认证部门负责人Joy Chik与安全副总裁Vasu Jakkal表示：“全新微软账户现默认无密码。新用户可通过多种无密码方式登录账户，且无需设置密码。现有用户可前往账户设置删除密码。”

【参考链接】

    https://ti.nsfocus.com/security-news/79vRNb

 

3.俄罗斯COLDRIVER黑客组织利用LOSTKEYS恶意软件窃取敏感数据

【标签】LOSTKEYS

【概述】

网络安全研究人员发现了一个复杂的恶意软件活动，该活动被认为是俄罗斯威胁行为者COLDRIVER（也被称为Star Blizzard或Callisto）发起的。新发现的恶意软件被称为LOSTKEYS，自2025年初以来，一直被观察到针对欧洲和北美的外交机构、国防承包商和关键基础设施组织。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRNk

 

4.curl项目遭遇AI生成的虚假漏洞报告攻击

【标签】DDoS

【概述】

curl项目正与大量由AI生成的虚假漏洞报告作斗争，curl作者Daniel Stenberg认为这是针对该项目的DDoS攻击。Stenberg称至今没有看到一份AI帮助下完成的漏洞报告是有效的。5月4日的一份安全报告令Stenberg倍感崩溃，因为报告引用了不存在的函数，而且不适用于当前版本。甚至还有安全报告包含了AI提示命令。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRNf

 

5.Webmin严重漏洞允许远程攻击者提升权限并执行代码

【标签】CVE-2025-2774

【概述】

Webmin是一种广泛使用的基于web的系统管理工具，它存在一个严重的安全漏洞，允许远程攻击者升级特权并以root级别访问执行代码。该漏洞被命名为CVE-2025-2774，对运行受影响软件版本的服务器构成严重风险，可能导致整个系统受到威胁。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRNd

 

6.iOS出现新严重漏洞，仅需一行代码即可导致iPhone崩溃

【标签】CVE-2025-24091

【概述】

iOS中的一个严重漏洞可能允许恶意应用程序仅使用一行代码即可永久禁用iPhone。该漏洞的编号为CVE-2025-24091，利用操作系统的Darwin通知系统触发无限重启循环，导致设备“变砖”，需要进行完整的系统还原。iOS Darwin通知漏洞

【参考链接】

    https://ti.nsfocus.com/security-news/79vRN8

 

7.声破攻击链：利用漏洞接管SonicWall设备

【标签】SonicBoom

【概述】

网络安全研究人员发现了一种危险的新利用技术，被称为“SonicBoom攻击链”，它允许黑客绕过认证并夺取对SonicWall安全移动接入（SMA）设备的管理控制权。这种攻击利用了最近披露的漏洞组合，这些漏洞已经在现实世界的攻击中被发现。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRNe

 

8.微软Telnet服务器惊现0Click重大漏洞

【标签】0Click

【概述】

近日，微软Telnet服务器被发现存在一个极其严重的0Click漏洞，该漏洞使得攻击者能够完全绕过身份验证机制，甚至无需有效凭据就有可能获得管理员访问权限，严重威胁到组织的信息安全。这一漏洞主要影响从Windows 2000到Windows Server 2008 R2的旧版Microsoft操作系统，尽管这些系统较为陈旧，但仍有不少组织出于对旧版应用程序或基础设施的依赖而继续使用。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRNa

 

9.CVE-2025-21756：Linux内核漏洞如何导致完全root权限利用，PoC发布

【标签】CVE-2025-21756

【概述】

在最近的分析中，安全研究员Michael Hoefler揭露了CVE-2025-21756的完整细节，这是一个影响Linux内核vsock子系统的释放后使用 (UAF)漏洞。最初只是简单的代码调整——修改了几行vsock_remove_sock()的行为——最终阻止了一条通往本地特权提升 (LPE)和内核代码执行的复杂路径。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRN7

 

10.Luna Moth勒索黑客冒充IT服务台大面积入侵美国公司

【标签】Luna Moth

【概述】

Luna Moth，内部称为Silent Ransom Group，他们之前曾发起BazarCall活动，以便为Ryuk获取公司网络的初始访问权限，后来又发起Conti勒索软件攻击。2022年3月，随着Conti开始关闭，BazarCall威胁组织从Conti集团中分离出来，成立了一个名为Silent Ransom Group（SRG）的新组织。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRNl