Aggregator

Web指纹识别是网络安全攻防的关键技术，本文解析指纹识别技术现状，剖析Wappalyzer等主流工具，并展望AI大模型驱动的未知资产识别，助力企业精准防护，提升安全能力

HackerNews 编译，转载请注明出处：   一项针对DeepSeek苹果iOS版移动应用的最新审计发现，该应用存在严重安全漏洞，最主要的问题是其在网络传输过程中未对敏感数据进行加密，可能导致数据被拦截或篡改，带来安全隐患。   此次评估由网络安全公司NowSecure进行，审计结果显示，DeepSeek应用不仅未遵循最佳安全实践，还收集了大量用户和设备数据。   “DeepSeek iOS应用在互联网传输部分注册信息和设备数据时未进行加密，”NowSecure指出，“这使得这些数据在网络流量中暴露于被动和主动攻击之下。”   进一步拆解分析表明，该应用在用户数据加密方面存在多个安全漏洞，包括使用不安全的对称加密算法（3DES）、硬编码的加密密钥以及重复使用初始化向量（IV），增加了数据泄露的风险。   此外，DeepSeek的数据传输至由字节跳动旗下云计算和存储平台Volcano Engine管理的服务器，而字节跳动正是TikTok的母公司。   “DeepSeek iOS应用完全禁用了iOS平台级别的安全防护机制——App Transport Security（ATS），该机制旨在防止敏感数据通过未加密渠道传输。”NowSecure警告称，“由于该防护被关闭，应用会在互联网上传输未加密的数据。”   这一发现进一步加剧了外界对该人工智能（AI）聊天机器人服务的担忧。尽管DeepSeek在多个市场迅速登顶iOS和Android应用商店榜单，但其安全性问题仍然备受争议。   网络安全公司Check Point的报告显示，黑客正利用DeepSeek的AI引擎，以及阿里巴巴Qwen和OpenAI ChatGPT，开发信息窃取工具、生成不受限制的内容，并优化大规模垃圾信息分发的脚本。   “随着攻击者运用越狱等高级技术绕过防护措施，开发信息窃取软件、进行金融诈骗和垃圾邮件分发，企业亟需实施主动防御措施，以应对AI技术被滥用带来的安全威胁。”Check Point表示。   本周早些时候，美联社披露，DeepSeek官方网站将用户登录信息发送至中国移动，而该公司已被美国政府禁止在美运营。   与TikTok类似，DeepSeek的中国背景引发美国政界担忧，部分议员正推动在政府设备上全面禁用该应用，理由是其可能向中国政府提供用户数据。   值得注意的是，澳大利亚、意大利、荷兰、台湾和韩国等多个国家，以及印度和美国的政府机构（包括国会、NASA、海军、五角大楼和德州政府）均已禁止在政府设备上使用DeepSeek。   与此同时，DeepSeek的迅速走红也让其成为恶意攻击的目标。中国网络安全公司XLab向《环球时报》透露，该应用上月底遭遇了持续性的分布式拒绝服务（DDoS）攻击，攻击源包括Mirai僵尸网络hailBot和RapperBot。   此外，网络犯罪分子也在利用DeepSeek的热度设立仿冒页面，传播恶意软件、虚假投资骗局和加密货币诈骗，进一步加剧了该应用面临的安全风险。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in Zeroboard 4.1 Pl2. It has been classified as critical. This affects an unknown part. The manipulation of the argument _zb_path leads to improper privilege management. This vulnerability is uniquely identified as CVE-2002-1704. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

A vulnerability, which was classified as problematic, has been found in Apple tvOS. Affected by this issue is some unknown functionality of the component Web Handler. The manipulation leads to denial of service. This vulnerability is handled as CVE-2025-24166. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Apple watchOS. This affects an unknown part of the component Web Handler. The manipulation leads to denial of service. This vulnerability is uniquely identified as CVE-2025-24166. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Apple iOS and iPadOS and classified as problematic. This vulnerability affects unknown code of the component Web Handler. The manipulation leads to denial of service. This vulnerability was named CVE-2025-24166. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

在这篇博文中，Wallarm深入探讨了这一被忽视的风险，揭示了如何绕过AI限制以及这对AI安全的未来意味着什么。

HackerNews 编译，转载请注明出处： Cloudflare 在其 R2 对象存储平台中试图封堵一个网络钓鱼 URL 时出现失误，引发了一场大规模故障，导致多个服务在近一个小时内瘫痪。 Cloudflare R2 是一种类似于亚马逊 S3 的对象存储服务，旨在提供可扩展、耐用且低成本的数据存储。它提供免费的数据检索、S3 兼容性、跨多个地点的数据复制以及 Cloudflare 服务集成。 故障发生在昨天，当时一名员工响应了一起关于 Cloudflare R2 平台中网络钓鱼 URL 的滥用报告。然而，该员工并未封堵特定端点，而是错误地关闭了整个 R2 网关服务。 Cloudflare 在事后分析中解释道：“在一次常规的滥用补救过程中，由于处理投诉时的失误，意外禁用了 R2 网关服务，而非与报告相关的特定端点/存储桶。” “这是多个系统级控制（首先是）和操作员培训的失败。” 该事件持续了 59 分钟，从世界协调时 08:10 到 09:09，除了 R2 对象存储本身外，还影响了以下服务： Stream – 视频上传和流媒体传输 100% 失败。 Images – 图像上传/下载 100% 失败。 Cache Reserve – 操作 100% 失败，导致源请求增加。 Vectorize – 查询失败 75%，插入、更新和删除操作 100% 失败。 Log Delivery – 延迟和数据丢失：与 R2 相关的日志数据丢失高达 13.6%，非 R2 交付作业的数据丢失高达 4.5%。 Key Transparency Auditor – 签名发布和读取操作 100% 失败。 还有一些间接影响的服务出现了部分故障，例如 Durable Objects，由于恢复后的重新连接，其错误率增加了 0.09%；Cache Purge 错误增加了 1.8%（HTTP 5xx），延迟飙升了 10 倍；Workers & Pages 的部署失败率为 0.002%，仅影响具有 R2 绑定的项目。 Cloudflare 指出，人为错误以及缺乏诸如高影响操作的验证检查等防护措施是此次事件的关键原因。 这家互联网巨头现已实施了即时修复措施，例如在滥用审查界面中移除关闭系统的能力，以及在管理 API 中对内部账户的服务禁用进行限制。 未来还将实施的额外措施包括改进账户配置、更严格的访问控制，以及对高风险操作的双人审批流程。 2024 年 11 月，Cloudflare 曾经历另一次长达 3.5 小时的显著故障，导致服务中 55% 的日志不可逆丢失。 那次事件是由 Cloudflare 日志处理管道中的一个关键组件被错误配置引发的级联故障。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

全球VPN设备正遭大规模暴力破解攻击！攻击者动用280万IP地址疯狂试探Palo Alto、Ivanti等设备凭证。

HackerNews 编译，转载请注明出处： 软件供应商 Trimble 警告称，黑客正在利用 Cityworks 反序列化漏洞远程执行 IIS 服务器上的命令，并部署 Cobalt Strike 信标以获取初始网络访问权限。 Trimble Cityworks 是一款以地理信息系统（GIS）为核心的资产管理和工单管理软件，主要面向地方政府、公用事业和公共工程组织。该产品帮助市政当局和基础设施机构管理公共资产、处理工单、办理许可和执照、进行资本规划和预算等。 该漏洞被追踪为 CVE-2025-0994，是一个高严重性（CVSS v4.0 评分为 8.6）的反序列化问题，允许经过身份验证的用户对客户的微软互联网信息服务（IIS）服务器执行远程代码攻击。 Trimble 表示，已调查客户关于黑客利用该漏洞未经授权访问客户网络的报告，表明该漏洞正在被积极利用。 美国网络安全和基础设施安全局（CISA）已发布协调公告，警告客户立即保护其网络免受攻击。 CVE-2025-0994 漏洞影响 Cityworks 15.8.9 之前的版本和 Cityworks with office companion 23.10 之前的版本。 最新版本 15.8.9 和 23.10 分别于 2025 年 1 月 28 日和 29 日发布。 管理本地部署的管理员必须尽快应用安全更新，而云托管实例（CWOL）将自动接收更新。 Trimble 警告称，一些本地部署可能具有过度特权的 IIS 身份权限，这些权限不应以本地或域级管理员权限运行。此外，一些部署的附件目录配置不正确。供应商建议将附件根文件夹限制为仅包含附件。 在完成上述所有三个操作后，客户可以恢复 Cityworks 的正常运行。 虽然 CISA 尚未分享该漏洞的利用方式，但 Trimble 已发布利用该漏洞的攻击的入侵指标（IOC）。这些 IOC 表明，威胁行为者部署了多种远程访问工具，包括 WinPutty 和 Cobalt Strike 信标。 微软还于昨日警告称，威胁行为者正在利用在线暴露的 ASP.NET 机器密钥，通过 ViewState 代码注入攻击入侵 IIS 服务器以部署恶意软件。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 惠普企业（HPE）在 2023 年 5 月遭到俄罗斯国家支持的黑客组织 Cozy Bear（也称为 Midnight Blizzard、APT29 和 Nobelium）攻击后，正在通知员工其数据被盗。该组织被认为隶属于俄罗斯对外情报局（SVR），还与 2020 年 SolarWinds 供应链攻击等其他重大事件有关。 根据向新罕布什尔州和马萨诸塞州总检察长办公室提交的文件，HPE 上个月开始向至少 16 名员工发送数据泄露通知信，这些员工的驾照、信用卡号码和社会安全号码等信息被盗。HPE 在信中表示：“HPE 的取证调查确定，某些个人的个人信息可能已被未经授权访问。”并称“2025 年 1 月 29 日，HPE 开始根据适用法律向受影响的个人发出通知。” 当被问及此次数据泄露影响的员工人数时，HPE 发言人表示：“只有少数 HPE 团队成员的邮箱被访问，涉及的信息仅限于这些邮箱中的内容。” HPE 首次披露此次事件是在 2024 年 1 月 29 日的 SEC 文件中，当时公司表示，2023 年 12 月 12 日被告知，疑似俄罗斯黑客在 2023 年 5 月利用被盗账号入侵了其基于云的 Office 365 邮箱环境。HPE 当时表示：“我们确定，这个国家级黑客从 2023 年 5 月开始访问并窃取了 HPE 少数邮箱中的数据，这些邮箱属于我们网络安全、市场、业务部门和其他职能部门的个人。我们认为该国家级黑客是 Midnight Blizzard，也称为 Cozy Bear。” HPE 还表示，被访问的数据仅限于用户邮箱中的信息，并将继续调查并按要求发出适当通知。 同一伙黑客还入侵了 SharePoint 服务器。在 SEC 文件中，HPE 补充说，Office 365 事件可能与 2023 年 5 月的另一起入侵事件有关，当时威胁行为者访问了公司的 SharePoint 服务器并窃取了文件。 HPE 此前曾遭入侵。2018 年，中国黑客入侵了 HPE 的网络，并利用该访问权限入侵了客户的设备。2021 年，HPE 披露其 Aruba Central 网络监控平台的数据存储库被入侵，导致威胁行为者获取了有关受监控设备及其位置的信息。 更近的事件。2024 年 2 月和 2025 年 1 月，HPE 开始调查其他潜在安全漏洞，此前威胁行为者 IntelBroker 声称窃取了 HPE 的凭证、源代码和其他敏感信息。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度中央银行印度储备银行（RBI）表示，将为印度的银行引入一个专用的“bank.in”互联网域名，以打击数字金融欺诈行为。 “这一举措旨在减少网络安全威胁和诸如网络钓鱼之类的恶意活动，并简化安全金融服务，从而增强对数字银行和支付服务的信任，”RBI在今日发布的一份声明中表示。 为此，印度银行技术发展与研究研究所（IDRBT）将担任唯一的注册机构。域名注册预计将于2025年4月开始。 RBI还表示，计划为金融部门的其他非银行实体推出一个单独的专用域名“fin.in”。 作为增强在线支付信任的更广泛努力的一部分，RBI还表示将推出跨境无卡（CNP）在线交易的额外身份验证因素（AFA）。 AFA，也称为多因素身份验证（MFA），指的是使用多个因素来验证用户身份的过程，在这种情况下，是通过卡片、预付工具和移动银行渠道完成的数字交易。 “这将在海外商家启用AFA的情况下，提供额外的安全层，”RBI表示。 然而，值得注意的是，RBI并未强制规定AFA的具体因素。印度的数字支付生态系统在很大程度上采用了基于短信的一次性密码（OTP）作为AFA。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Perform malware scan analysis of on-prem servers using AWS services Challenges with on-premises malware detection It can be difficult for security teams to continuously monitor all on-premises servers due to budget and resource constraints....

The post drs-malware-scan: Perform file-based malware scan on your on-prem servers with AWS appeared first on Penetration Testing Tools.

Amnesiac Amnesiac is a post-exploitation framework designed to assist with lateral movement within active directory environments. Amnesiac is being developed to bridge a gap on Windows OS, where post-exploitation frameworks are not readily available...

The post Amnesiac: lateral movement within active directory environments appeared first on Penetration Testing Tools.

DIAL Workloads on the cloud provide equal opportunities for hackers as much as they do for internal teams. Cloud-native companies are open to attacks from both outside forces and from within. With the ever-growing...

The post DIAL: centralised security misconfiguration detection framework appeared first on Penetration Testing Tools.

A vulnerability was found in WSO2 Oauth Plugin up to 1.0 on Jenkins. It has been rated as problematic. This issue affects some unknown processing of the file config.xml of the component Controller File System Handler. The manipulation leads to information disclosure. The identification of this vulnerability is CVE-2023-30527. The attack can only be initiated within the local network. There is no exploit available.

A vulnerability classified as critical has been found in Assembla Merge Request Builder Plugin up to 1.1.13 on Jenkins. Affected is an unknown function. The manipulation leads to permission issues. This vulnerability is traded as CVE-2023-30521. The attack needs to be done within the local network. There is no exploit available.