CISA将SysAid高危XXE误差纳入已知被使用目录

首页 > 清静研究 > 清静转达 > 清静简讯

CISA将SysAid高危XXE误差纳入已知被使用目录

宣布时间 2025-07-24

1. CISA将SysAid高危XXE误差纳入已知被使用目录

7月23日，美国网络清静与基础设施清静局（CISA）克日将影响SysAid IT支持软件的两个高危清静误差列入已知被使用误差（KEV）目录，要求联邦机构在2025年8月12日前完成修复。此次涉及的两个误差（CVE-2025-2775和CVE-2025-2776）均由watchTowr Labs研究职员Sina Kheirkhah和Jake Knott于5月披露，CVSS评分达9.3级，属于严重级别。两者均因XML外部实体（XXE）引用限制不当，导致攻击者可通过Checkin处置惩罚功效和服务器URL处置惩罚功效实验治理员账户接受及敏感文件窃取。手艺剖析显示，这些误差允许攻击者注入恶意XML实体，触发服务器端请求伪造（SSRF）攻击。更危险的是，当与CyberArk去年发明的下令注入误差（CVE-2024-36394）结适时，可能升级为远程代码执行（RCE）。SysAid已在3月初宣布的24.4.60 build 16版本中修复这三个误差，其中包括另一个预认证XXE误差（CVE-2025-2777）。只管现在尚未明确CVE-2025-2775/2776的现实攻击细节及威胁行为者身份，CISA仍基于自动使用证据将其纳入KEV目录。

https://thehackernews.com/2025/07/cisa-warns-sysaid-flaws-under-active.html

2. 黑客伪造美国政府网站实验垂纶攻击针对教育事情者

7月24日，网络清静领域曝光一起针对美国教育系统的网络垂纶攻击运动，黑客通过伪造政府网站窃取教育事情者敏感信息，引刊行业高度关注。BforeAI旗下PreCrime实验室的威胁研究职员发明，多个模拟美国教育部G5拨款治理系统主页和登录门户的恶意域名正在活跃，这些域名通过视觉设计克隆、虚伪登录表单及JavaScript凭证窃取手艺，试图诱骗教育机构、拨款治理员及供应商输入账号密码。G5系统作为联邦拨款资金分派的焦点平台，涉及学生援助等要害项目，其用户笼罩学校、州政府机构及非营利组织。此次攻击的特殊性在于，攻击者不但复制了官方网站（g5.gov）的界面，还通过Cloudflare CDN服务隐藏域名真实性，使用其揭晓的SSL证书增强垂纶页面的正当性。研究职员指出，这些域名注册于以滥用合规政策著名的Hello Internet Corp，且接纳analytics.php等剧本模拟登录流程，通过DOM操作混淆自动化检测，最终将受害者指导至/verify/端点举行二次垂纶或绕过多因素认证。PreCrime实验室已确认六个具有诱骗性的域名，并于7月15日向美国能源部（DOE）提交报告。

https://www.darkreading.com/threat-intelligence/department-of-education-site-phishing-scheme

3. Clorox起诉Cognizant过失致网络攻击，索赔超3.8亿美元

7月23日，消耗品巨头高乐氏（Clorox）克日对全球IT服务提供商Cognizant提起诉讼，指控其因重大过失导致2023年8月爆发严重网络攻击。凭证诉讼文件，Cognizant自2013年起为高乐氏提供IT运营支持，包括服务台治理和身份验证服务，但其在要害清静流程中保存系统性失职。事务因由于2023年8月11日，黑客通过社会工程攻击多次致电Cognizant服务台，冒充高乐氏员工要求重置密码及多因素认证（MFA）。只管高乐氏明确要求必需验证身份方可执行操作，Cognizant客服职员却未核实来电者身份，直接重置了员工账户及MFA凭证。更严重的是，攻击者随后以相同手段骗取IT清静员工的特权账户会见权限，导致攻击扩散至焦点网络。此次入侵被归因于与"Scattered Spider"组织相关的黑客整体，该整体曾以类似手法攻击英国玛莎百货等企业。此次攻击导致高乐氏公司网络周全瘫痪，生产系统停摆，引发大规模产品欠缺和供应链中止。据估算，直接调解用度达4900万美元，而营业中止、销售额损失及声誉损害等综合损失高达3.8亿美元。

https://www.bleepingcomputer.com/news/security/hackers-fooled-cognizant-help-desk-says-clorox-in-380m-cyberattack-lawsuit/

4. 每周下载量达280万次的NPM软件包遭恶意软件熏染

7月23日，盛行NPM包"is"被证实遭黑客入侵并植入后门恶意软件。此次攻击源于维护者John Harband的账户通过垂纶攻击被挟制，攻击者在6小时内未经授权宣布了包括恶意代码的3.3.1至5.0.0版本，导致每周超280万次下载的开发工具沦为攻击跳板。该恶意软件被清静团队Socket判断为跨平台JavaScript加载器，通过WebSocket建设长期后门。激活后，恶意程序会窃取主机名、操作系统信息、CPU架构等系统特征，并捕获所有情形变量。更危险的是，其通过动态导入"ws"库建设的WebSocket毗连可将每条吸收指令直接视为可执行JavaScript，使攻击者获得交互式远程Shell权限，相当于完全控制受熏染装备。攻击爆发后，NPM官方紧迫删除恶意版本，但自动更新机制导致部分开发者在6小时窗堪②内被动吸收了有毒版本。清静专家建议开发团队连忙冻结依赖版本，关闭自动更新功效，并通过锁文件锁定清静版本；维护者需周全重置账户密码并轮换所有关联令牌。

https://www.bleepingcomputer.com/news/security/npm-package-is-with-28m-weekly-downloads-infected-devs-with-malware/

5. 法乌团结行动查封俄语黑客论坛XSS.is

7月23日，应巴黎审查院请求，乌克兰警方在欧洲刑警组织协助下，于2025年7月23日拘捕了俄语黑客论坛XSS.is的疑似治理员，并正式查封该平台。这一行动标记着一连四年的跨国网络犯法视察取得要害突破，也反应出国际执法机构对暗网犯法生态的精准攻击能力。XSS.is作为俄语区最具影响力的网络犯法论坛之一，自2013年运营以来积累超5万名注册用户，恒久充当恶意软件生意、勒索软件服务（RaaS）推广及受熏染系统会见权限销售的枢纽。只管该平台曾于2021年5月宣布榨取勒索软件相关讨论，但法国司法部分视察显示，其背后团伙仍通过加密通讯渠道一连协调不法运动，四年间获取至少700万美元不法利润。此次视察始于2021年7月，由巴黎审查院网络犯法部分牵头，巴黎警员局网络犯法大队详细执行。法方通过攻破黑客常用的加密通讯平台Jabber服务器（thesecure.biz），对犯法团伙通讯实验司法监听，乐成截获大宗涉及网络攻击、数据勒索的犯法证据�；谡庑┫咚�，执法机构于2021年11月启动刑事视察，并于2024年9月安排线下行动，最终在乌方配合下完成对论坛治理员的抓捕。

https://www.bleepingcomputer.com/news/security/ukraine-arrests-suspected-admin-of-xss-russian-hacking-forum/

6. 法国就业局再遭数据泄露，影响34万求职者

7月23日，法国就业局（France Travail）于2025年7月13日发明其“就业”门户网站爆发数据泄露事务，影响约34万求职者，成为该机构两年内第二次重大清静事故。此次泄露袒露的用户信息包括姓名、邮政地点、电子邮箱、电话号码、机构标识符及求职状态，但密码与银行细节未被获取。法国网络清静机构（ANSSI）下属的盘算机应急响应小组（CERT-FR）于7月12日率先监测到异常，法国就业局随后于7月22日向用户发送警示邮件，提醒提防网络垂纶攻击。视察显示，泄露源于伊泽尔省某培训组织关联账户遭信息窃取恶意软件（infostealer）入侵。攻击者通过该账户获取了Kairos应用程序的会见权限，该平台用于追踪求职者培训进度，最终导致数据外泄。法国就业局讲话人证实，涉事服务（包括就业门户与Kairos系统）已连忙关闭，并妄想于7月24日恢复运营。作为调解步伐，原定2026年安排的双因素认证（2FA）被提前实验，以强化账户清静。值得关注的是，2024年3月该机构曾因IT系统遭攻击，导致已往20年内注册的4300万用户数据泄露，创下法国公共部分数据泄露规模之最。

https://www.infosecurity-magazine.com/news/france-data-breach-jobseekers/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究