Gladinet加密误差致9家机构被远程攻击

首页 > 清静研究 > 清静转达 > 清静简讯

Gladinet加密误差致9家机构被远程攻击

宣布时间 2025-12-15

1. Gladinet加密误差致9家机构被远程攻击

12月11日，黑客正使用Gladinet CentreStack和Triofox产品中未纪录的加密算法误差实验攻击。该误差源于AES加密算法的自界说实现保存硬编码密钥缺陷，GladCtrl64.dll文件中存储的加密密钥和初始化向量（IV）源自两个静态的100字节中文字符串，在所有产品装置中完全相同。攻击者可提取这些密钥解密会见票据含文件路径、用户凭证等信息，或伪造票据冒充用户获取系统文件。详细攻击路径显示，威胁行为者通过"filesvr.dn"处置惩罚程序使用误差，将会见票据的时间戳设置为9999年实现永世有用，随后请求web.config文件获取machineKey，最终通过ViewState反序列化触发远程代码执行。Huntress清静团队监测发明，至少9家医疗、手艺等行业的机构遭此攻击，攻击者还团结了旧误差CVE-2025-30406扩大破损。Gladinet已宣布紧迫更新，并建议用户升级后连忙轮换机械密钥。

https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/

2. ConsentFix攻击绕过MFA挟制微软账户

12月11日，网络清静公司Push Security发明一种名为“ConsentFix”的新型ClickFix攻击变种，该攻击通过滥用Azure CLI OAuth应用程序，在无需密码或多因素身份验证（MFA）的情形下挟制Microsoft账户。攻击始于受害者会见被入侵的正当网站，这些网站通过Google搜索针对特定要害词排名靠前。网站页面会显示伪造的Cloudflare Turnstile验证码小部件，要求用户输入有用企业邮箱地点，攻击者剧本会过滤机械人、剖析师及未列入目的的用户。通过验证的用户将看到类似ClickFix的交互页面，指导其执行“验证人类身份”的操作。用户点击页面中的“登录”按钮后，会被重定向到正当的微软Azure登录页面。若用户已登录微软账户，只需选择自己的账户；若未登录，则需在微软官方页面完成正常身份验证。完成登录后，微软会将用户重定向到当田主机页面，此时浏览器地点栏会显示包括Azure CLI OAuth授权码的URL。当用户凭证指示将该URL粘贴到恶意页面时，攻击者即可通过Azure CLI OAuth应用获取完整的账户会见权限。

https://www.bleepingcomputer.com/news/security/new-consentfix-attack-hijacks-microsoft-accounts-via-azure-cli/

3. PayPal订阅功效遭滥用致诈骗邮件漫溢

12月14日，近期，诈骗分子滥用PayPal的“订阅”计费功效，向用户发送伪装成正当PayPal邮件的诈骗信息。这类邮件声称“自动付款失效”，实则嵌入虚伪购置通知，如声称用户购置了索尼装备、MacBook或iPhone等腾贵商品，并附有1300至1600美元不等的付款纪录及“客服电话”。邮件通过“mailto:service@paypal.com”地点发送，且通过了DKIM、SPF及DMARC等邮件清静认证，直接来自PayPal官方服务器，因此能绕过垃圾邮件过滤器，极具诱骗性。诈骗分子通过修改客户服务URL字段，将虚伪信息嵌入正当邮件模板。例如，URL中可能包括域名、付款金额及“作废或咨询”电话号码，并夹杂Unicode字符以粗体或特殊字体显示，试图规避要害词检测。通过测试发明，当商家暂停订阅用户时，PayPal会自动发送通知邮件，而诈骗者可能使用订阅元数据处置惩罚误差或旧平台接口，在URL字段中注入无效文本，从而天生诈骗邮件。这些邮件可能被转发至未注册PayPal订阅的用户。

https://www.bleepingcomputer.com/news/security/beware-paypal-subscriptions-abused-to-send-fake-purchase-emails/

4. 亲俄VolkLocker勒索软件误差或致免含混密

12月13日，亲俄黑客组织CyberVolk推出的勒索软件即服务（RaaS）VolkLocker保存重大实现缺陷，使受害者可能无需支付赎金即可恢复文件。据SentinelOne研究，该软件在二进制文件中硬编码了主密钥，且该密钥以明文形式存储于受熏染机械的%TEMP%文件夹中，受害者可通过提取该密钥实验解密。VolkLocker接纳AES-256 GCM加密，每个文件使用随机12字节nonce作为初始化向量，加密后附加.locked或.cvolk扩展名并删除原始文件。然而，由于所有文件共享统一主密钥且密钥未被删除，该误差显著削弱了其勒索能力。CyberVolk总部位于印度，自2024年起活跃，曾对反俄或支持乌克兰的实体提倡DDoS和勒索攻击。2025年8月，该组织以VolkLocker 2.x版本回归，同时针对Linux/VMware ESXi和Windows系统，并引入Golang准时器功效，若超时或输入过失密钥，将擦除用户文档、下载、图片和桌面文件夹。RaaS定价按操作系统架构划分：简单系统800-1100美元，双系统1600-2200美元，购置者可通过Telegram构建机械人定制加密器并获取有用载荷。同年11月，该组织还推出500美元的远程会见木马和键盘纪录器。

https://www.bleepingcomputer.com/news/security/cybervolks-ransomware-debut-stumbles-on-cryptography-weakness/

5. CISA更新KEV目录，要求联邦机构2026年头修复误差

12月13日，美国网络清静和基础设施清静局（CISA）克日将CVE-2025-14174（Google Chromium越界内存会见误差）和CVE-2018-4063（Sierra Wireless AirLink ALEOS无限制上传误差）增补至已知可使用误差（KEV）目录。CVE-2025-14174是Google Chrome 143.0.7499.110版本前Mac系统保存的ANlge图形库误差。该误差源于Metal渲染器对GL_UNPACK_IMAGE_HEIGHT值的过失盘算，当图像高度凌驾缓冲区容量时，会触发越界内存会见，导致内存损坏、程序瓦解甚至恣意代码执行。谷歌已通过清静更新修复此误差，并确认该误差已在现实攻击中被使用。值得注重的是，谷歌未果真手艺细节，但GitHub提交纪录显示误差与缓冲区溢出直接相关。另一误差CVE-2018-4063则影响Sierra Wireless AirLink ES450固件4.9.3的upload.cgi组件。经身份验证的攻击者可发送特制HTTP请求，在装备Web服务器上传并执行恶意代码，实现远程代码执行。该误差自2018年披露以来，因未实时修复仍被CISA纳入目录。

https://securityaffairs.com/185639/security/u-s-cisa-adds-google-chromium-and-sierra-wireless-airlink-aleos-flaws-to-its-known-exploited-vulnerabilities-catalog.html

6. 反盗版同盟ACE捣毁印度百万级访客盗版平台

12月12日，由迪士尼、华纳兄弟、Netflix等50余家影视网络巨头支持的创意与娱乐同盟（ACE）近期在印度提倡大规模反盗版行动，乐成捣毁外地最受接待的流媒体盗版服务之一MKVCinemas及其25个相关域名。该平台在2024-2025年间吸引超1.424亿访客，为数百万用户提供免费影戏电视资源。ACE通过刑事移送、民事诉讼及阻止令行动，迫使位于印度比哈尔邦的运营商阻止运营并移交域名控制权，所有MKVCinemas网站现已重定向至ACE的“正当寓目”门户，切断盗版内容撒播路径。此次行动还关闭了一款普遍使用的文件克隆工具，该工具通过隐藏云存储媒体文件泉源，资助印度及印尼用户绕过下架步伐，两年内获2.314亿次会见，成为盗版内容分发的要害手艺支持。美国影戏协会执行副总裁拉里萨·克纳普强调，ACE将一连追查不法运营，维护清静可一连的市场情形。

https://www.bleepingcomputer.com/news/security/mkvcinemas-streaming-piracy-service-with-142m-visits-shuts-down/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究