Aggregator

Nearly $270M Cut From CISA Despite Mounting Foreign Cyberthreats
Congress is proposing cuts of nearly $270 million from the Cybersecurity and Infrastructure Security Agency's budget for fiscal year 2026, reducing funding for threat hunting and vulnerability management as officials warn foreign adversaries are escalating cyber operations targeting U.S. systems.

Breach Affected More Than a Dozen Healthcare Clients, 2.5M Patients
Electronic health records vendor Veradigm agreed to pay $10.5 million to settle consolidated class action litigation involving a December 2024 hacking incident discovered in mid-2025 that affected more than a dozen healthcare provider clients and about 2.5 million of their patients.

Decentralization and Sprawl Complicate University IT Programs
Several Ivy League universities - including Harvard and Princeton - experienced hacks in 2025 through unpatched enterprise software and sophisticated social engineering campaigns, showing that even the nation's wealthiest universities are vulnerable.

Acting Director Says Agency Has Stabilized After Major Staff Losses Throughout 2025
After a year of internal upheaval and budget strain, CISA's acting director told Congress the agency is now stabilized and will launch targeted 2026 initiatives, even as lawmakers weigh steep funding cuts that could limit its cyber defense capabilities across federal networks.

Вас не видят, потому что вас блокируют.

A vulnerability has been found in Oracle Communications Diameter Signaling Router up to 8.2.2 and classified as critical. Affected is an unknown function of the component IDIH. The manipulation leads to xml external entity reference. This vulnerability is traded as CVE-2020-10683. It is possible to initiate the attack remotely. There is no exploit available. The affected component should be upgraded.

Financial institutions now have a concrete method for deciding where post-quantum cryptography belongs on their security roadmaps. New research coordinated by Europol sets out a scoring framework that helps banks rank systems and business use cases based on quantum risk and the time required to migrate them. The goal is practical prioritization, and the paper is aimed at security teams that need to move from planning into execution. The research responds to a growing operational … More →

The post A new framework helps banks sort urgent post-quantum crypto work from the rest appeared first on Help Net Security.

HackerNews 编译，转载请注明出处：  密码管理器 LastPass 警告称，当前正发生一起冒充该服务的钓鱼攻击活动，攻击者试图窃取用户的主密码（Master Password）。 LastPass 表示，这一钓鱼活动大约始于 2026 年 1 月 19 日。攻击者通过冒充 LastPass 官方发送电子邮件，声称系统即将进行紧急维护，并要求用户在 24 小时内备份其密码库。 这些邮件使用了涉及基础设施更新、密码库安全以及“错过截止期限”等主题词，诱骗受害者泄露主密码。 LastPass 在警告中写道： “LastPass 威胁情报、缓解与升级团队提醒客户注意一项于 2026 年 1 月 19 日左右开始的活跃钓鱼活动。这些钓鱼邮件来自多个电子邮箱地址，使用不同的主题行，声称 LastPass 即将进行维护，并敦促用户在接下来的 24 小时内备份其密码库。已知的发件地址和主题行列表如下。” 钓鱼攻击手法 该活动通过钓鱼邮件中的链接，声称可帮助用户备份 LastPass 密码库。 链接首先指向一个托管在 Amazon S3 上的钓鱼页面： group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf 随后重定向至一个伪造的 LastPass 网站： mail-lastpass[.]com 攻击者特意选择在美国假期周末发起攻击，以利用人员配置不足的时机，延缓安全团队的发现和响应。 LastPass 的应对与提醒 LastPass 强调，官方绝不会要求用户提供主密码，并敦促用户对任何可疑邮件保持警惕。公司正在努力关闭恶意域名，并请求用户将可疑邮件转发至 [email protected]。 此外，LastPass 还分享了相关的入侵指标，包括： 伪造域名 IP 地址 发件人信息 钓鱼邮件主题行 报告总结称： “该活动发生在美国假期周末，这是威胁行为者常用的策略，目的是利用人员减少的情况，延迟被发现并拉长应对时间。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

SANTA CLARA, Calif., Jan 22, 2026 – Recently, International Data Corporation (IDC) released the report “China Large Language Model (LLM) Security Assessment Platform Vendor Technology Evaluation” (Doc#CHC53839325, October 2025). NSFOCUS was selected for this report based on its proven product performance and LLM security assessment methodology. With a comprehensive capability matrix built across model security, data […]

The post NSFOCUS AI-Scan Gains Recognition from Authoritative Institution appeared first on NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks..

The post NSFOCUS AI-Scan Gains Recognition from Authoritative Institution appeared first on Security Boulevard.

HackerNews 编译，转载请注明出处： Cloudflare 已修复其 ACME 验证逻辑中的一项漏洞，该漏洞可能允许攻击者绕过安全检查并访问受保护的源站服务器。 Cloudflare 表示，其 ACME HTTP-01 验证流程中存在缺陷，问题出在Cloudflare 边缘节点对 /.well-known/acme-challenge/ 路径请求的处理方式上。该公司称，未发现该漏洞被恶意利用的迹象。 ACME 是一种用于让证书颁发机构验证域名所有权的协议。在 HTTP-01 验证方式下，CA 会访问一个包含一次性令牌的特定 URL；如果返回内容匹配，即可签发证书。按设计，该过程只应允许访问这一精确路径，而不能访问其他任何资源。 漏洞是如何被发现的 研究人员在测试部署在 Cloudflare 之后、且 WAF 仅允许特定来源访问的应用时发现，对/.well-known/acme-challenge/{token}的请求绕过了 WAF，并直接到达源站服务器。 在演示主机上的测试证实了这一行为： 对普通路径的访问会返回 Cloudflare 的拦截页面； 而对 ACME 路径的访问，即使没有真实的令牌，也会返回由源站生成的响应。 研究人员通过自定义主机名创建了一个稳定、处于待验证状态的 HTTP-01 令牌，从而能够在全球范围内可靠地测试 WAF 的行为。 潜在风险与影响 当 Cloudflare 的 WAF 允许 /.well-known/acme-challenge/... 路径绕过防护时，信任边界从 WAF 转移到了源站。演示应用显示了由此带来的多种风险，包括： Spring / Tomcat 端点泄露敏感的环境变量 Next.js SSR 页面暴露运行和运维细节 PHP 路由因本地文件包含漏洞暴露文件 此外，账户级 WAF 规则在该路径上被忽略，使基于请求头的攻击成为可能，例如 SSRF、SQL 注入和缓存投毒。 Cloudflare 已于 2025 年 10 月 27 日 修复该问题，恢复了对该路径的一致性 WAF 防护。 研究人员的警告 安全研究机构 FearsOff 在报告中指出： “当用于检查请求头的 WAF 规则被跳过时，许多漏洞类型就重新获得了通往源站的通道：例如遗留代码中基于请求头的 SQL 拼接、通过 X-Forwarded-Host 或 X-Original-URL 实现的 SSRF 和主机混淆、当缓存因请求头变化而产生的缓存键投毒、利用 X-HTTP-Method-Override 的方法覆盖技巧，以及通过自定义请求头触发的调试开关。显而易见的问题是——还有多少应用对请求头的信任程度超出应有范围？又有多少应用依赖 WAF 来充当这种信任与互联网之间的防线？” AI 时代下的 WAF 绕过风险 报告还强调，随着 AI 驱动攻击的发展，这类 WAF 绕过漏洞的危险性正在上升。AI 能够迅速发现并利用暴露的路径，将多个小漏洞串联成大规模攻击。与此同时，防御方也在使用 AI 进行攻击模拟和防御部署，使强健、全面的 WAF 防护变得愈发关键。 报告总结称： “在 AI 驱动攻击不断演进的背景下，这类 WAF 绕过漏洞显得尤为紧迫。由机器学习驱动的自动化工具可以快速枚举并利用诸如 /.well-known/acme-challenge/ 这样的暴露路径，在大规模环境中探测特定框架的弱点或配置错误。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom 已修复一个严重安全漏洞（编号 CVE-2026-22844），该漏洞可能导致远程代码执行。 云端视频会议与在线协作平台 Zoom 发布了安全更新，修复了多个漏洞，其中包括存在于 Zoom Node 多媒体路由器中的命令注入漏洞。该漏洞编号为 CVE-2026-22844，CVSS 评分高达 9.9，攻击者可借此在远程执行任意代码。 Zoom 在安全公告中表示： “在 5.2.1716.0 版本之前的 Zoom Node 多媒体路由器（MMR）中存在一项命令注入漏洞，可能允许会议参与者通过网络访问对 MMR 执行远程代码。使用 Zoom Node Meetings Hybrid 或 Meeting Connector 部署的客户，建议其管理员尽快更新至最新可用的 MMR 版本。” 该漏洞由 Zoom 攻防安全团队发现。 受影响产品 该漏洞影响以下产品版本： Node Meeting Connector（MC） 的 MMR 模块 版本 低于 5.2.1716.0 Node Meetings Hybrid（ZMH） 的 MMR 模块 版本 低于 5.2.1716.0 Zoom 表示，目前尚未发现该漏洞在现实环境中被利用的迹象。 相关历史漏洞 2025 年 8 月，Zoom 曾修复另一个严重安全漏洞 CVE-2025-49457（CVSS 评分 9.6），该漏洞存在于 Windows 版 Zoom 客户端中。 攻击者可在无需身份验证的情况下，通过网络访问方式利用该漏洞实现权限提升。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  近日发现的一款高度复杂的 Linux 恶意软件框架 VoidLink，被评估为由单一开发者在AI模型辅助下完成。 这一判断来自 Check Point Research 的最新发现。研究人员指出，恶意软件作者在操作安全上的失误泄露了其开发来源线索。最新分析使 VoidLink 成为首批主要由 AI 生成的高级恶意软件实例之一。 Check Point 表示：“这些材料清楚地表明，该恶意软件主要通过 AI 驱动的开发方式完成，并在不到一周内形成首个可运行的植入体。”截至 2025 年 12 月初，其代码量已超过 88,000 行。 VoidLink 于上周首次被公开披露。这是一套以 Zig 语言编写、功能丰富的恶意软件框架，专门用于对 Linux 云环境实施长期、隐蔽的控制。研究人员认为该恶意软件源自一个与中国有关的开发环境。截至目前，其具体用途尚不明确，也未发现任何真实世界中的感染案例。 AI 辅助开发的证据 云安全公司 Sysdig 的后续分析最早指出，该工具包可能是在一名具备深厚内核开发经验和红队背景的人类操控下，借助大语言模型完成的，并提出了四项关键证据： 调试输出过度系统化，且在所有模块中格式完全一致 诱饵响应模板中嵌入了典型 LLM 训练示例占位符（如 “John Doe”） API 版本命名高度统一，全部为 _v3（如 BeaconAPI_v3、docker_escape_v3、timestomp_v3） 类模板化的 JSON 响应，几乎涵盖所有可能字段 Sysdig 指出：“最可能的情况是，一名精通中文的高技能开发者利用 AI 加速开发过程（生成样板代码、调试日志和 JSON 模板），同时由其本人提供安全专业知识和整体架构设计。” Check Point 周二发布的报告进一步印证了这一假设，称其发现的痕迹表明：AI 不仅被用于编写代码，还被用来构建、执行和测试整个框架，使一个概念在极短时间内转化为可用工具。 VoidLink 项目的高层开发模式 Check Point 将 VoidLink 的开发方式描述为一种“规格驱动开发”（Spec Driven Development, SDD）：“在这种工作流中，开发者首先明确要构建什么，然后制定计划、拆分任务，最后才让 AI 代理来执行实现。” 研究人员认为，威胁行为者在 2025 年 11 月下旬启动了 VoidLink 项目，并使用了一款名为 TRAE SOLO 的编码代理来完成任务。这一判断基于在其服务器上发现的 TRAE 生成的辅助文件，这些文件与源代码一同被复制，后来在一个暴露的开放目录中泄露。 此外，Check Point 还发现了多份用中文撰写的内部规划材料，内容涉及冲刺计划、功能拆分和编码规范，具有明显的 LLM 生成特征——结构清晰、格式统一、细节极其完善。其中一份详细的发展计划文档创建于 2025 年 11 月 27 日。 这些文档被重新用作 LLM 的执行蓝图，指导其构建并测试恶意软件。Check Point 复现了开发者使用的 TRAE IDE 工作流程，发现模型生成的代码与 VoidLink 源码高度相似。 代码与规范的高度一致 Check Point 指出：“将代码标准化指令与恢复出的 VoidLink 源码进行比对后，可以看到惊人的一致性。代码约定、结构和实现模式几乎完全吻合，几乎可以确定：整个代码库正是按照这些指令编写的。” 这一案例再次表明，AI 和 LLM 虽然未必为攻击者带来全新的能力，但正在显著降低网络犯罪的门槛。即便是单个个体，也能在极短时间内构想、创建并迭代复杂系统，实施以往只有国家级行为体才能完成的高级攻击。 AI 正在重塑网络威胁的经济学 Check Point Research 的研究经理 Eli Smadja 在接受《The Hacker News》采访时表示：“VoidLink 代表了高级恶意软件创建方式的一次真正转变。令人震惊的不只是其复杂性，而是它被构建出来的速度。AI 使得看似单一行为者也能在数天内规划、开发并迭代一个复杂的恶意软件平台——而这在过去需要协调的团队和大量资源。这清楚地表明，AI 正在改变网络威胁的规模和成本结构。” “第五波”网络犯罪 在本周发布的一份白皮书中，Group-IB 将 AI 描述为正在推动网络犯罪演进的“第五波”，为复杂攻击提供现成工具。 报告指出，自 2019 年以来，暗网论坛中包含 AI 关键词的帖子增长了 371%。威胁行为者正在兜售诸如 Nytheon AI 等“无伦理限制”的暗黑 LLM、越狱框架，以及合成身份工具包——包括 AI 视频演员、声音克隆，甚至生物特征数据集，最低仅售 5 美元。 Group-IB 总结称：“AI 已将网络犯罪工业化。过去需要高技能和时间的事情，如今可以被购买、自动化，并在全球范围内扩展。” 前国际刑警组织网络犯罪主管、现任独立战略顾问 Craig Jones 也指出：“AI 并未创造新的犯罪动机——金钱、杠杆和访问权限仍是核心驱动力——但它极大提升了这些动机被实现的速度、规模和复杂程度。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，尽管遭遇了执法部门的严厉打击，全球最危险的勒索软件组织之一 LockBit 仍然发布了其最新版本 5.0。 该组织的行动仍在持续推进，并展示出针对不同计算机系统和平台的全新变种。 近期泄露的材料和截图为安全专家提供了一个深入了解该犯罪组织如何管理攻击行动、以及如何与协助其在网络中传播恶意软件的加盟者协同运作的窗口。 核心功能基本不变，运营照常推进 在执法机构发起的重大打击行动 “克洛诺斯行动（Operation Cronos）”之后，LockBit 最新版本在核心设计和功能上基本没有变化。 不过，安全研究人员注意到其界面出现了一些轻微的外观变化，例如加入了节日主题装饰，这在一定程度上表明该组织依然毫不在意执法压力，持续运作。 该组织依旧维持着一套高度成熟的基础设施，用于管理与受害者的谈判流程，并在全球范围内、跨多个行业和领域协调实施攻击。 加盟体系仍在运转 Flare 分析师指出，LockBit 的加盟者计划仍在持续招募新合作伙伴，尽管该组织的声誉已因执法行动而受损。 许多网络犯罪分子已不愿再与 LockBit 合作，但该组织的运作方式仿佛执法打击从未发生过一样。 这种“韧性”展示了犯罪组织在遭受重大破坏后，依然能够迅速适应并维持其商业模式的能力。 LockBit 的快速恢复能力，也凸显了安全团队在打击有组织勒索软件行动时面临的长期挑战。 LockBit 5.0 的多平台攻击策略 LockBit 5.0 最令人担忧的方面在于，其攻击目标已扩展至多个操作系统和虚拟化环境。 安全研究人员获取的最新恶意软件样本显示，在 2026 年 1 月 14 日发现了四种不同的变种： LB_Black：针对传统 Windows 系统 LB_Linux：针对 Linux 环境 LB_ESXi：针对 虚拟化基础设施（VMware ESXi） LB_ChuongDong：另一种已发现的变种 这种多样化策略表明，LockBit 正在战略性地转向企业级环境，尤其是广泛使用虚拟机和云基础设施的组织。 对防御方的意义 这些最新样本的曝光，为安全团队提供了最新的入侵指标，有助于防御工作。 组织现在可以利用这些技术细节，识别自身网络是否遭遇过 LockBit 5.0 的攻击。深入理解这些变种，将帮助网络安全专业人员制定更有效的检测规则和防护策略。 此外，泄露的加盟者控制面板材料清晰展示了 LockBit 如何： 管理勒索赎金支付 制定加盟者行为规则 审核并吸纳新的合作伙伴 这些信息为外界提供了前所未有的视角，揭示了 “勒索软件即服务” 商业模式的具体运作方式。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

На смену слепому доверию к партнёрам пришла жёсткая необходимость контролировать риски.

作者：Isabel Straw、Akhil Polamarasetty、Mustafa Jaafar 译者：知道创宇404实验室翻译组 原文链接：https://arxiv.org/html/2601.12593v1 摘要 随着医疗技术的互联性日益增强，依赖植入式或可穿戴医疗设备的人际暴力（IPV）受害者成为一个极易受伤害的群体。尽管医疗技术创新和“居家健康”生态系统发展迅速，但医疗设备网络...

互联网大厂、车企、游戏、Web3、AI 等热门赛道大厂悉数在列，简历直推负责人！