CISA强制要求修复GeoServer高危XXE误差

宣布时间 2025-12-16

1. CISA强制要求修复GeoServer高危XXE误差


12月12日,美国网络清静和基础设施清静局(CISA)克日宣布紧迫指令,要求联邦民事行政部分(FCEB)机构在2026年1月1日前修复GeoServer开源地理空间服务器中的严重XML外部实体(XXE)注入误差(CVE-2025-58360)。该误差保存于GeoServer 2.26.1及更早版本,通过未充分整理的XML输入端点处置惩罚外部实体引用,使攻击者可实验拒绝服务攻击、窃取敏感文件或执行服务器端请求伪造(SSRF)会见内部系统。Shadowserver组织追踪到2451个袒露的GeoServer实例,而Shodan扫描显示全球凌驾14000个服务器袒露于公网,保存被大规模使用危害。CISA已将该误差列入已知可使用误差(KEV)目录,强调其正被起劲用于真实攻击,并鞭策所有网络防御者优先修复,纵然非联邦机构也应遵照供应商指引或停用未打补丁的产品。


https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-actively-exploited-geoserver-flaw/


2. 与哈马斯关联的APT组织瞄准中东及摩洛哥政府机构


12月13日,据帕洛阿尔托网络公司Unit 42团队周四宣布的报告,与巴勒斯坦武装组织哈马斯关联的黑客组织“灰兔”被指控使用含恶意软件的文档,入侵阿曼、摩洛哥及巴勒斯坦权力机构相关的政府与外交实体。该组织运动始终与哈马斯战略利益坚持一致,自2020年起攻击手段日益重大,生长出基础设施混淆等高级手艺,并接纳名为AshTag的新型恶意软件从中东要害实体窃守信息。只管2025年10月加沙停火后其他哈马斯关联黑客运动镌汰,“灰兔”仍一连活跃。其攻击通常以伪装成涉及土耳其与巴勒斯坦实体关系的正当文档为诱饵,通过熏染的PDF文件指导目的下载含恶意负载的RAR压缩包。AshTag恶意软件允许黑客提取文件、下载内容并执行进一步操作,甚至直接通过键盘操控举行数据窃取,研究职员曾发明攻击者从受害者邮箱下载特定外交相关文件。


https://therecord.media/hamas-apt-targeting-government-agencies


3. SoundCloud清静误差致2800万用户数据泄露


12月15日,音频流媒体平台SoundCloud克日证实,已往数日的服务中止及VPN毗连异常系由清静误差引发,攻击者窃取了包括用户信息的数据库。此前四天,大宗用户通过VPN会见时遭遇403“榨取会见”过失,引发普遍关注。SoundCloud在声明中披露,其检测到涉及辅助服务仪表板的未经授权运动后,已启动事务响应程序。经视察确认,威胁行为者会见了“有限数据”,但强调未涉及财务数据、密码等敏感信息,仅包括电子邮件地点及果真小我私家资料中的信息。此次数据泄露影响约20%的用户,按果真数据推算,约2800万个账户受波及。公司体现已阻止所有未经授权的系统会见,并团结第三方网络清静专家接纳强化步伐,包括刷新监控与威胁检测、审查身份会见控制及系统评估。然而,这些清静加固步伐导致VPN毗连中止,SoundCloud尚未提供恢复时间表。回应之后,平台遭遇拒绝服务攻击,造成服务短暂瘫痪。ShinyHunters勒索团伙可能为此次入侵的幕后黑手。


https://www.bleepingcomputer.com/news/security/soundcloud-confirms-breach-after-member-data-stolen-vpn-access-disrupted/


4. 日本Askul遭勒索攻击致74万客户数据泄露


12月15日,日本电子商务巨头Askul Corporation克日证实,其于10月遭受RansomHouse勒索软件攻击,导致约74万条客户纪录被盗,涉及企业客户59万条、小我私家客户13.2万条、营业相助同伴1.5万条及高管员工2700条数据。此次事务由RansomHouse组织认领,该组织通过窃取外包相助同伴治理员账户的凭证实验入侵,该帐户未启用多因素身份验证。攻击者侦探网络后网络身份验证信息,禁用误差防御软件如EDR,在多个服务器间移动并获取权限,最终加密数据并扫除备份文件,导致IT系统故障,迫使Askul暂停向包括无印良品在内的客户发货。视察显示,攻击者使用多种勒索软件变种绕过更新后的EDR署名,凸显清静防护误差。阻止12月15日,订单发货仍受影响,系统恢复事情一连举行。Askul已向受影响客户和相助同伴单独通知,并向日本小我私家信息掩护委员会报告事务,建设恒久监控机制以防数据滥用。


https://www.bleepingcomputer.com/news/security/askul-confirms-theft-of-740k-customer-records-in-ransomhouse-attack/


5. 美国700Credit数据泄露事务波及580万人


12月15日,总部位于美国的金融科技公司700Credit克日披露,其凌驾580万名客户的小我私家信息在7月爆发的数据泄露事务中遭窃取。此次事务源于其集成相助同伴的系统遭不法分子入侵,攻击者使用未履历证的API误差,在5月至10月时代一连窃取约20%的消耗者数据,直至700Credit于10月25日通过第三方专家视察发明可疑运动。经视察确认,泄露数据涉及姓名、现实地点、出生日期及社会清静号码(SSN)等高度敏感信息。值得注重的是,相助同伴在系统被入侵后未实时通知700Credit,导致清静响应延迟。公司披露,攻击者通过API误差绕过身份验证机制,直接复制经销商客户网络应用中的纪录。700Credit已终止袒露的API接口,并自动代表受影响经销商向联邦商业委员会(FTC)提交违规通知,同时见告天下汽车经销商协会(NADA)以提升公众意识。为降低受影响小我私家危害,700Credit通过TransUnion提供12个月免费身份掩护及信用监控服务,注册期为90天。


https://www.bleepingcomputer.com/news/security/700credit-data-breach-impacts-58-million-vehicle-dealership-customers/


6. 法海内政部证实电子邮件服务器遭到网络攻击


12月15日,法海内政部长洛朗·努涅斯周五证实,该部分于12月11日至12日夜间遭遇网络攻击,电子邮件服务器遭入侵。攻击者虽能会见部分文档文件,但官方尚未确认数据是否被盗。为应对此次清静误差,内政部已升级清静协议并强化信息系统会见控制,同时法国政府已启动视察以确定攻击泉源与规模。努涅斯在声明中指出,视察职员正探索多种可能性,包括外国势力干预、活感人士试图展示系统误差,或网络犯法念头。他强调:“攻击确实爆发,文件已被会见,我们接纳了通例掩护步伐,但详细缘故原由仍待查明。”作为羁系警员、内部清静及移民服务的焦点部分,内政部恒久成为国家支持黑客与网络犯法分子的重点目的。剖析指出,此次内政部攻击可能与此类国家支持的黑客运动保存关联,但需进一程序查确认。法国政府正团结手艺取证与国际情报相助,试图追溯攻击路径。内政部官网已设立专门页面转达事务希望,并呼吁公众坚持小心。


https://www.bleepingcomputer.com/news/security/france-interior-ministry-confirms-cyberattack-on-email-servers/