正文
攻击始于威胁行为者利用 SimpleHelp RMM 客户端中的漏洞与目标端点建立未经授权的连接。攻击者从 IP 194.76.227[.]171 连接,这是一台位于爱沙尼亚的服务器,在端口 80 上运行 SimpleHelp 实例。一旦通过 RMM 连接,攻击者就会快速执行一系列发现命令来了解有关目标环境的更多信息,包括系统和网络详细信息、用户和权限、计划任务和服务以及域控制器信息。
建议 SimpleHelp 用户尽快应用解决 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728 的可用安全更新。此外,查找名为“sqladmin”和“fpmhlttech”的管理员帐户或任何您不认识的帐户,并查找与 Field Effect 报告中列出的 IP 的连接。用户应该将 SimpleHelp 访问限制在受信任的 IP 范围内,以防止未经授权的访问。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-exploit-simplehelp-rmm-flaws-to-deploy-sliver-malware/
2.
Apple iOS 和 iPadOS USB 限制模式绕过漏洞(CVE-2025-24200)
2月12日,苹果公司发布了紧急安全更新来修补一个零日漏洞,该公司称该漏洞已被用于有针对性的“极其复杂”的攻击。
该公司在针对 iPhone 和 iPad 用户的建议中透露:“物理攻击可能会禁用锁定设备上的 USB 限制模式”。苹果公司了解到有报告称,该问题可能已被利用来针对特定个人进行极其复杂的攻击。
USB 限制模式是一项安全功能(大约七年前在 iOS 11.4.1 中引入),如果设备锁定超过一小时,它会阻止 USB 配件创建数据连接。此功能旨在阻止 Graykey 和 Cellebrite 等取证软件(执法部门常用)从锁定的 iOS 设备中提取数据。11 月,苹果推出了另一项安全功能(称为“不活动重启”),该功能会在长时间空闲后自动重启 iPhone,以重新加密数据,使其更难被取证软件提取。
Apple 今天修补的零日漏洞(追踪为 CVE-2025-24200)是 iOS 18.3.1、iPadOS 18.3.1和 iPadOS 17.7.5中解决的授权问题, 并改进了状态管理。
尽管此漏洞仅在有针对性的攻击中被利用,但强烈建议立即安装今天的安全更新,以阻止可能正在进行的攻击尝试。
该网络安全公司补充道:“虽然此次活动中使用的初始访问载体尚未确认,但 Arctic Wolf Labs 高度确信,考虑到受影响组织和受影响固件版本的压缩时间线,零日漏洞很可能被大规模利用。”
参考链接:
https://www.bleepingcomputer.com/news/apple/apple-fixes-zero-day-exploited-in-extremely-sophisticated-attacks/
3.
Windows Storage 权限提升漏洞(CVE-2025-21391)
2月11日,微软共发布了63个漏洞的补丁程序,修复了Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等产品中的漏洞。其中包括两个据称已被广泛利用的漏洞。
CVE-2025-21391 是 Windows Storage 中的一个 EoP 漏洞。它的 CVSSv3 评分为 7.1,被评为重要。本地经过身份验证的攻击者可以利用此漏洞从系统中删除文件。据 Microsoft 称,此漏洞不会向攻击者泄露机密信息,而是仅向他们提供删除数据的能力,其中可能包括可能导致服务中断的数据。
Action1 总裁兼联合创始人 Mike Walters 指出,该漏洞可以与其他漏洞结合在一起,以提升权限并执行后续操作,从而使恢复工作复杂化,并允许威胁行为者通过删除关键的取证资料来掩盖他们的踪迹。微软指出,该漏洞已被广泛利用,成为零日漏洞。但目前尚无关于该漏洞利用的其他信息。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://www.tenable.com/blog/microsofts-february-2025-patch-tuesday-addresses-55-cves-cve-2025-21418-cve-2025-21391
4.
Windows Ancillary Function Driver for WinSock 权限提升漏洞(CVE-2025-21418)
2月11日,微软共发布了63个漏洞的补丁程序,修复了Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等产品中的漏洞。其中包括两个据称已被广泛利用的漏洞。
CVE-2025-21418 是 Microsoft Windows 的 WinSock 辅助功能驱动程序中的一个 EoP 漏洞。该漏洞的 CVSSv3 评分为 7.8,级别为重要。本地经过身份验证的攻击者可以利用此漏洞提升至 SYSTEM 级权限。
CVE-2025-21418 涉及 AFD.sys 中的权限提升情况,可被利用来获取 SYSTEM 权限。值得注意的是,去年 8 月,Gen Digital 披露了同一组件中的类似漏洞 (CVE-2024-38193) ,该漏洞被与朝鲜有关联的 Lazarus Group 武器化。2024 年 2 月,这家科技巨头还披露了一个影响 AppLocker 驱动程序 (appid.sys) 的 Windows 内核特权提升漏洞 (CVE-2024-21338),该漏洞也被黑客团队利用。
这些攻击链之所以引人注目,是因为它们利用了原生 Windows 驱动程序中的安全漏洞,超越了传统的自带易受攻击驱动程序 (BYOVD) 攻击,从而无需将其他驱动程序引入目标环境。
目前尚不清楚 CVE-2025-21418 的滥用是否也与 Lazarus Group 有关。微软指出,该漏洞已被广泛利用,成为零日漏洞。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
参考链接:
https://thehackernews.com/2025/02/microsofts-patch-tuesday-fixes-63-flaws.html
5.
Zyxel VMG4325-B10A firmware 命令执行漏洞(CVE-2024-40890、CVE-2024-40891)
2月11日,台湾网络设备制造商 Zyxel 表示,多款传统 DSL CPE 产品中被利用的两个零日漏洞将不会得到修补。
大约一周前,威胁情报公司 GreyNoise 警告称,超过1,500 台设备受到基于 Mirai 的僵尸网络积极利用的严重命令注入漏洞的影响。
GreyNoise 表示:“在发现利用 CVE-2024-40891 的 IP 与归类为 Mirai 的 IP 之间存在显著重叠后,该团队调查了 Mirai 的最新变种,并确认利用 CVE-2024-40891 的能力已被纳入一些 Mirai 毒株中。”
该漏洞被标记为 CVE-2024-40891,最初于 2024 年中期与类似的命令注入问题 CVE-2024-40890 一起披露,它们之间的主要区别在于攻击媒介:HTTP 与 Telnet。攻击者可以利用这些安全缺陷在易受攻击的设备上执行任意命令,从而完全接管和泄露数据,从而可能危及部署产品的网络。
向 Zyxel 报告此漏洞的 VulnCheck解释说,受影响的设备配置了三个硬编码账户,分别是“supervisor”、“admin”和“zyuser”。主管用户帐户在 Web 界面上不可见,但在 Telnet 界面上具有功能,包括访问隐藏命令,该命令可为其提供对系统的不受限制的访问权限。用户表中可见的 zyuser 帐户具有提升的权限,可以通过利用 CVE-2024-40891 漏洞实现完全远程代码执行。
虽然这些设备已经老化,应该不再受支持,但数千台设备仍暴露在网上。默认凭证和命令注入的结合使它们很容易成为攻击目标,根据行业产品生命周期管理惯例,Zyxel 建议客户用新一代设备替换这些旧产品,以获得最佳保护。
参考链接:
https://www.securityweek.com/zyxel-issues-no-patch-warning-for-exploited-zero-days/