Aggregator

向量数据库成就云上LLM智能跃迁，却也悄然埋下数据泄露隐患，安全风险不容忽视！

向量数据库成就云上LLM智能跃迁，却也悄然埋下数据泄露隐患，安全风险不容忽视！

HackerNews 编译，转载请注明出处： Sensata Technologies（简称 Sensata）在上周末遭受了一次勒索软件攻击，部分公司网络被加密，运营受到扰乱。 在向美国证券交易委员会（SEC）提交的 8-K 表格中，Sensata 表示此次攻击发生在 4 月 6 日星期日，并涉及数据泄露。 “此次事件暂时影响了 Sensata 的运营，包括发货、收货、制造生产以及各种其他支持功能，”通知中写道。 Sensata 是一家工业技术公司，开发、制造和销售各种传感器及传感器解决方案，以及电气保护组件和系统。 该公司产品主要用于汽车、航空航天和工业应用领域。2023 年，Sensata 报告的年收入为 40 亿美元。 Sensata 表示，公司已采取立即行动，加快受网络攻击影响的关键功能的恢复进程。然而，公司无法提供完成这一工作的具体时间表。 在外部网络安全专家的协助下进行的初步调查确认，黑客已从公司网络中窃取了数据。 数据泄露与勒索软件的常见策略 数据泄露是勒索软件攻击者常用的策略，用于勒索受害者、增加支付赎金的压力，并制造法律和监管上的复杂性。 目前，Sensata 正在确定此次攻击中被盗的文件，并将根据调查结果通知受影响的个人和监管机构。 公司预计此次事件对其截至今年 6 月 30 日的当前季度财务结果不会产生重大影响。 然而，Sensata 承认，随着对安全事件的全面范围和影响的进一步了解，这一预期可能会发生变化。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability classified as problematic was found in MongoDB mongosh up to 2.3.8. This vulnerability affects unknown code of the component Control Character Handler. The manipulation leads to improper neutralization of escape, meta, or control sequences. This vulnerability was named CVE-2025-1693. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in MongoDB mongosh up to 2.2.x. Affected by this issue is some unknown functionality of the file C:\node_modules\ of the component File Handler. The manipulation leads to untrusted search path. This vulnerability is handled as CVE-2025-1756. An attack has to be approached locally. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in MongoDB mongosh up to 2.3.8. This issue affects some unknown processing of the component Control Character Handler. The manipulation leads to injection. The identification of this vulnerability is CVE-2025-1691. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in MongoDB mongosh up to 2.3.8. Affected is an unknown function of the component Control Character Handler. The manipulation leads to improper neutralization of escape, meta, or control sequences. This vulnerability is traded as CVE-2025-1692. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Autodesk Navisworks Freedom, Navisworks Simulate and Navisworks Manage 2025. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component DWFX File Handler. The manipulation leads to out-of-bounds read. This vulnerability is known as CVE-2025-1659. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Autodesk Navisworks Freedom, Navisworks Simulate and Navisworks Manage 2025. This affects an unknown part of the component DWFX File Handler. The manipulation leads to out-of-bounds read. This vulnerability is uniquely identified as CVE-2025-1658. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical was found in Autodesk Navisworks Freedom, Navisworks Simulate and Navisworks Manage 2025. This vulnerability affects unknown code of the component DWFX File Handler. The manipulation leads to buffer overflow. This vulnerability was named CVE-2025-1660. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

HackerNews 编译，转载请注明出处： 黑客在披露后数小时内开始利用 OttoKit（原名 SureTriggers）插件中的一个高危漏洞，该漏洞允许绕过认证。 强烈建议用户立即将 OttoKit/SureTriggers 升级到最新版本 1.0.79，该版本于本月初发布。 OttoKit WordPress 插件允许用户无需编写代码即可连接插件和外部工具（如 WooCommerce、Mailchimp 和 Google Sheets），并自动化发送邮件、添加用户或更新客户关系管理（CRM）系统等任务。统计数据显示，该产品在 100,000 个网站上处于活跃状态。 昨天，Wordfence 披露了 OttoKit 中的一个认证绕过漏洞，编号为 CVE-2025-3102。该漏洞影响所有版本的 SureTriggers/OttoKit，最高版本为 1.0.78。 漏洞源于 authenticate_user() 函数中缺少对空值的检查，该函数负责处理 REST API 认证。如果插件未配置 API 密钥，则存储的 secret_key 将保持为空，从而可能被利用。 攻击者可以通过发送一个空的 st_authorization 头来绕过检查，从而获得对受保护 API 端点的未授权访问权限。 本质上，CVE-2025-3102 允许攻击者在无需认证的情况下创建新的管理员账户，这可能导致网站被完全接管的高风险。 Wordfence 在 3 月中旬收到了来自安全研究员 “mikemyers” 的漏洞报告，该研究员因此发现获得了 1,024 美元的赏金。 插件供应商于 4 月 3 日收到完整的漏洞利用细节，并于同一天通过版本 1.0.79 发布了修复补丁。 然而，黑客迅速抓住了这一机会，利用管理员更新插件的延迟来利用该安全问题。 WordPress 安全平台 Patchstack 的研究人员警告称，在漏洞披露后仅数小时，就记录到了首次实际利用尝试。 “攻击者迅速利用了这一漏洞，首次记录的尝试发生在我们将其作为 vPatch 添加到数据库后仅四小时，”Patchstack 报告称。 “这种快速的漏洞利用突显了在此类漏洞公开披露后立即应用补丁或缓解措施的紧迫性，”研究人员表示。 威胁行为者尝试使用随机的用户名/密码和电子邮件地址组合创建新的管理员账户，这是任务自动化的迹象。 如果您正在使用 OttoKit/SureTriggers，请尽快升级到版本 1.0.79，并检查日志以查看是否有意外的管理员账户或其他用户角色、插件/主题安装、数据库访问事件以及安全设置的修改。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

限时重磅开启！不限权重，京东卡已备好，速来领取！

HackerNews 编译，转载请注明出处： 执法机构宣布，他们追踪到了 SmokeLoader 恶意软件的客户，并拘留了至少五名个人。 “在一系列协调行动中，由名为‘Superstar’的运营商管理的 Smokeloader 按安装付费僵尸网络的客户面临了诸如逮捕、搜查住所、逮捕令或‘敲门谈话’等后果，”欧洲刑警组织在一份声明中表示。 据称，Superstar 运营了一项按安装付费的服务，使客户能够通过该加载器作为渠道，向受害者的机器部署下一阶段的恶意载荷。 根据欧洲执法机构的说法，该僵尸网络提供的访问权限被用于各种目的，包括键盘记录、网络摄像头访问、勒索软件部署和加密货币挖掘。 此次行动是名为“终局行动”（Operation Endgame）的持续协调行动的一部分，该行动去年导致了与多个恶意软件载荷器（如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot）相关的在线基础设施被拆解。 加拿大、捷克共和国、丹麦、法国、德国、荷兰和美国参与了此次后续行动，旨在针对网络犯罪生态系统的“需求侧”。 网络安全 据欧洲刑警组织称，当局通过之前查获的一个数据库追踪到注册的客户，将他们的在线身份与现实中的个人联系起来，并传唤他们接受询问。据信，有部分嫌疑人选择配合调查，并允许检查他们的个人设备以收集数字证据。 “一些嫌疑人以更高的价格转售从 SmokeLoader 购买的服务，从而为调查增加了额外的趣味性，”欧洲刑警组织表示。“一些嫌疑人曾以为他们已不在执法机构的监控范围内，但最终意识到他们仍然是目标。” 恶意软件载荷器的多种形式 这一发展与 Broadcom 旗下的赛门铁克披露的一项网络钓鱼活动的细节相吻合，该活动利用 Windows 屏保（SCR）文件格式在受害者的机器上分发基于 Delphi 的恶意软件载荷器 ModiLoader（又名 DBatLoader 和 NatsoLoader）。 这也与一项隐蔽的网络活动相吻合，该活动诱使用户运行恶意的 Windows 安装程序（MSI）文件以部署另一种名为 Legion Loader 的载荷器恶意软件。 “此次活动使用了一种称为‘粘贴劫持’（pastejacking）或‘剪贴板劫持’的方法，因为用户被指示将内容粘贴到运行窗口中，”Palo Alto Networks Unit 42 表示，并补充称，它利用了多种伪装策略，通过 CAPTCHA 页面规避检测，并将恶意软件下载页面伪装成博客网站。 网络钓鱼活动也成为了 Koi Loader 的分发渠道，后者随后用于下载和执行一种名为 Koi Stealer 的信息窃取工具，作为多阶段感染序列的一部分。 “像 Koi Loader 和 Koi Stealer 这样的恶意软件利用了反虚拟机（Anti-VM）能力，突显了现代威胁规避分析师、研究人员和沙箱的检测和分析的能力，”eSentire 在上个月发布的一份报告中表示。 不仅如此，最近几个月再次见证了 GootLoader（又名 SLOWPOUR）的回归，它通过谷歌的赞助搜索结果传播，这一技术最早于 2024 年 11 月初被发现。 攻击针对在谷歌上搜索“保密协议模板”的用户，提供虚假广告，点击后会重定向到一个网站（“lawliner[.]com”），要求用户输入电子邮件地址以接收文档。 “在用户输入电子邮件后不久，他们会收到来自 lawyer@skhm[.]org 的电子邮件，其中包含一个链接，指向他们请求的 Word 文档（DOCX），”一位名为 GootLoader 的安全研究人员表示，他多年来一直密切监控该恶意软件载荷器。 “如果用户通过了所有关卡，他们将下载一个压缩的 JavaScript 文件。当用户解压并执行 JavaScript 文件时，相同的 GootLoader 行为就会发生。” 还发现了一种名为 FakeUpdates（又名 SocGholish）的 JavaScript 下载器，它通常通过社会工程伎俩传播，诱使用户安装伪装成 Google Chrome 等网络浏览器合法更新的恶意软件。 “攻击者利用受损资源分发恶意软件，将恶意 JavaScript 注入易受攻击的网站以识别主机、执行资格检查，并显示虚假的更新页面，”谷歌表示。“恶意软件通常通过驱动下载分发。恶意 JavaScript 作为下载器，传递额外的恶意软件。” 这种虚假浏览器更新的攻击路径也被观察到分发另外两种名为 FAKESMUGGLES 的 JavaScript 恶意软件家族，它因使用 HTML 走私技术传递下一阶段载荷（如 NetSupport Manager）而得名，以及 FAKETREFF，它与远程服务器通信以检索额外的载荷（如 DarkGate）并发送基本的主机信息。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Chris Krebs and SentinelOne Targeted as Trump Still Trumpets 2020 Election Lies
The White House said President Trump has ordered a probe into former Cybersecurity and Infrastructure Security Agency Director Chris Krebs' government service, revoked any security clearances he holds and suspended security clearances issued to his employer, SentinelOne.

Also: PoisonSeed Phishing Campaign, FTX Clients Face Reimbursement Hurdle
This week, Trump administration disbanded a Justice Department crypto unit, the U.S. Securities and Exchange Commission will review crypto guidance, Usual pledged up to $16M in bug bounties, a PoisonSeed phishing campaign, FTX repayment plan troubles and a Coinbase 2FA error.

Also, Oracle Denies Cloud Breach, Blames Hack on Obsolete Servers
This week, Port of Seattle notified victims, Oracle blamed hack on obsolete servers, Google and Microsoft released April patches, WK Kellogg breached, six arrested in Spain for AI-investment scam, Scattered Spider's "King Bob" pleaded guilty, SmokeLoader users busted.

California Health Plan With 6 Million Members Blames Software Configuration Error
Blue Shield of California is notifying health plan members that their protected health information was potentially shared for nearly three years with Google for advertising purposes because of the way Google Analytics online tracking tools were configured on the insurer's websites.

3 Key Strategies for Security Leaders for Managing On-Premises and Cloud Identities
Machine identities now outnumber human identities 45:1, creating new security risks in an increasingly digital world. As organizations expand across hybrid and multi-cloud environments, fragmented identities become harder to manage, requiring proactive strategies to enhance security and governance.

Lowering Machine Identity Risks in AI, ML and Bot Workflows
While AI, ML and bot workflows boost efficiency, they also expand the attack surface. Over-permissioned identities, exploitable vulnerabilities and AI misuse pose significant security risks. AI-driven security tools can mitigate these risks by detecting anomalies and automating threat response.