ShadowLeak- 利用 ChatGPT 深度研究代理进行敏感数据窃取的零点击服务端攻击(作者:酒瓶椰子)
ChatGPT的深度研究智能体(Deep Research Agent)连接到Gmail时存在零点击漏洞,促使其向攻击者的服务器发送用户个人数据。于之前的客户端泄露不同,此次攻击直接从 OpenAI 的云端基础设施窃取数据,使得本地或企业级防御系统无法察觉。精心设计的社会工程学手段绕过了该智能体经过安全训练的防护限制,使得攻击成功率高达 100%。
ChatGPT的深度研究智能体(Deep Research Agent)连接到Gmail时存在零点击漏洞,促使其向攻击者的服务器发送用户个人数据。于之前的客户端泄露不同,此次攻击直接从 OpenAI 的云端基础设施窃取数据,使得本地或企业级防御系统无法察觉。精心设计的社会工程学手段绕过了该智能体经过安全训练的防护限制,使得攻击成功率高达 100%。
Fortra 发布针对 CVSS 10.0 GoAnywhere MFT 漏洞的关键补丁(作者:zsc0810)
Fortra 披露 GoAnywhere MFT 存在严重反序列化漏洞(CVE-2025-10035,CVSS 10.0),攻击者可借此执行任意命令。漏洞位于管理控制台的许可证 Servlet,若系统对外暴露,风险极高。Fortra 建议立即升级至 7.8.4 或 7.6.3 Sustain 版本,并限制控制台公网访问。该产品此前漏洞已遭勒索软件团伙滥用,专家警告数千实例正暴露在互联网上,极可能遭快速利用。
Fortra 披露 GoAnywhere MFT 存在严重反序列化漏洞(CVE-2025-10035,CVSS 10.0),攻击者可借此执行任意命令。漏洞位于管理控制台的许可证 Servlet,若系统对外暴露,风险极高。Fortra 建议立即升级至 7.8.4 或 7.6.3 Sustain 版本,并限制控制台公网访问。该产品此前漏洞已遭勒索软件团伙滥用,专家警告数千实例正暴露在互联网上,极可能遭快速利用。
❤1
LastPass 警告:虚假存储库可能通过 Atomic Infostealer 感染 macOS(作者:zsc0810)
LastPass 警告称,黑客正通过伪造的 GitHub 存储库针对 macOS 用户分发 Atomic 窃密恶意软件。攻击者冒充 LastPass、1Password、Dropbox、Notion、Shopify 等热门工具,并利用 SEO 中毒将恶意链接推至 Bing 和 Google 搜索结果前列,诱导用户下载伪装程序。受害者被重定向至 GitHub 页面,再进一步跳转至恶意域执行终端命令完成植入。研究显示,该活动与此前通过虚假 Homebrew 广告和多阶段木马的攻击手法类似,显示 GitHub 已成为恶意软件分发的重要渠道。
LastPass 警告称,黑客正通过伪造的 GitHub 存储库针对 macOS 用户分发 Atomic 窃密恶意软件。攻击者冒充 LastPass、1Password、Dropbox、Notion、Shopify 等热门工具,并利用 SEO 中毒将恶意链接推至 Bing 和 Google 搜索结果前列,诱导用户下载伪装程序。受害者被重定向至 GitHub 页面,再进一步跳转至恶意域执行终端命令完成植入。研究显示,该活动与此前通过虚假 Homebrew 广告和多阶段木马的攻击手法类似,显示 GitHub 已成为恶意软件分发的重要渠道。
❤1
如何利用 AI 代理和 Confluence SOP 实现警报分类自动化(作者:zsc0810)
Tines 团队推出一项预建工作流,利用 AI 自动分类安全警报并执行 Confluence 中的标准操作程序 (SOP),大幅简化安全响应流程。该工作流由 Tines 安全研究员 Michael Tolan 与高级解决方案工程师 Peter Wrenn 设计,集成 CrowdStrike、AbuseIPDB、Okta、Slack 等工具。警报触发后,AI 会分析并定位相关 SOP,协调补救措施,生成案例记录,并通过 Slack 通知团队。此方案可降低平均修复时间(MTTR)、减少人为错误、统一流程执行,并提升安全团队的效率与可见性。
Tines 团队推出一项预建工作流,利用 AI 自动分类安全警报并执行 Confluence 中的标准操作程序 (SOP),大幅简化安全响应流程。该工作流由 Tines 安全研究员 Michael Tolan 与高级解决方案工程师 Peter Wrenn 设计,集成 CrowdStrike、AbuseIPDB、Okta、Slack 等工具。警报触发后,AI 会分析并定位相关 SOP,协调补救措施,生成案例记录,并通过 Slack 通知团队。此方案可降低平均修复时间(MTTR)、减少人为错误、统一流程执行,并提升安全团队的效率与可见性。
柯林斯宇航公司遭遇网络攻击,欧洲主要机场运营收到干扰(作者:酒瓶椰子)
柯林斯宇航遭遇网络攻击破坏了值机与登机系统,导致欧洲多个主要机场运营瘫痪,其中伦敦希思罗、布鲁塞尔和柏林机场受影响最为严重。迫使机场转为人工操作模式。2024 年至 2025 年间,针对航空业的网络攻击激增 600%
柯林斯宇航遭遇网络攻击破坏了值机与登机系统,导致欧洲多个主要机场运营瘫痪,其中伦敦希思罗、布鲁塞尔和柏林机场受影响最为严重。迫使机场转为人工操作模式。2024 年至 2025 年间,针对航空业的网络攻击激增 600%
微软修复关键 Entra ID 漏洞,允许跨租户进行全局管理员模拟(作者:zsc0810)
微软修复高危漏洞 CVE-2025-55241:旧 Azure AD Graph 与 ACS 令牌缺陷可让攻击者跨租户冒充任意用户(含全局管理员),并可绕过 MFA、条件访问且缺乏日志痕迹。研究员 Dirk-jan Mollema 于7月14日报告,微软于7月17日修复,称无需客户采取操作,建议尽快迁移至 Microsoft Graph。
微软修复高危漏洞 CVE-2025-55241:旧 Azure AD Graph 与 ACS 令牌缺陷可让攻击者跨租户冒充任意用户(含全局管理员),并可绕过 MFA、条件访问且缺乏日志痕迹。研究员 Dirk-jan Mollema 于7月14日报告,微软于7月17日修复,称无需客户采取操作,建议尽快迁移至 Microsoft Graph。
Libraesva ESG 漏洞允许攻击者注入恶意命令(作者:酒瓶椰子)
Libraesva ESG紧急修复了一个中危漏洞,在处理邮件中使用特殊格式压缩的文件,移除活动代码时,利用安全网关没有正确的净化参数,实现非特权用户的命令执行。CVSS 评分: 6.1
Libraesva ESG紧急修复了一个中危漏洞,在处理邮件中使用特殊格式压缩的文件,移除活动代码时,利用安全网关没有正确的净化参数,实现非特权用户的命令执行。CVSS 评分: 6.1
CVE-2025-9961:TP-Link路由器漏洞可被利用实现远程代码执行,PoC已发布(作者:tl-dr)
ByteRay安全研究团队发布了关于CVE-2025-9961漏洞的详细利用报告,该漏洞存在于TP-Link路由器的CWMP(客户终端设备广域网管理协议)服务中,可被武器化以在受影响设备上实现远程代码执行(RCE)。研究不仅揭示了漏洞利用的技术复杂性,还展示了绕过ASLR(地址空间布局随机化)和有效载荷传输限制等防护措施所需的技术深度。
ByteRay安全研究团队发布了关于CVE-2025-9961漏洞的详细利用报告,该漏洞存在于TP-Link路由器的CWMP(客户终端设备广域网管理协议)服务中,可被武器化以在受影响设备上实现远程代码执行(RCE)。研究不仅揭示了漏洞利用的技术复杂性,还展示了绕过ASLR(地址空间布局随机化)和有效载荷传输限制等防护措施所需的技术深度。
SolarWinds 发布针对严重远程代码执行漏洞 CVE-2025-26399 的修补程序(作者:zsc0810)
SolarWinds 发布补丁修复 Web Help Desk 严重漏洞 CVE-2025-26399(CVSS 9.8),该漏洞源于 AjaxProxy 模块对用户数据验证不足,可能导致未经身份验证的反序列化远程代码执行,并以 SYSTEM 权限运行命令。受影响版本为 12.8.7 及之前版本,用户需升级至 12.8.7 HF1。值得注意的是,此漏洞为此前 CVE-2024-28986 与 CVE-2024-28988 的补丁绕过,显示修复难度高。尽管暂无利用迹象,但历史案例表明存在高风险。
SolarWinds 发布补丁修复 Web Help Desk 严重漏洞 CVE-2025-26399(CVSS 9.8),该漏洞源于 AjaxProxy 模块对用户数据验证不足,可能导致未经身份验证的反序列化远程代码执行,并以 SYSTEM 权限运行命令。受影响版本为 12.8.7 及之前版本,用户需升级至 12.8.7 HF1。值得注意的是,此漏洞为此前 CVE-2024-28986 与 CVE-2024-28988 的补丁绕过,显示修复难度高。尽管暂无利用迹象,但历史案例表明存在高风险。
❤1
Chrome 类型混淆 0-Day 漏洞代码分析已发布(作者:酒瓶椰子)
在之前曝出CVE-2025-10585,本次披露部分PoC细节。通过构建Proxy类,修改其中的getter函数创建一个包含Symbol.toPrimitive来意外返回数组而不是原始数字,在反复调用ToNumber()触发编译器的代码优化实现堆溢出。V8 引擎的 Maglev 和 TurboFan 编译器受该影响。
在之前曝出CVE-2025-10585,本次披露部分PoC细节。通过构建Proxy类,修改其中的getter函数创建一个包含Symbol.toPrimitive来意外返回数组而不是原始数字,在反复调用ToNumber()触发编译器的代码优化实现堆溢出。V8 引擎的 Maglev 和 TurboFan 编译器受该影响。
通过内存PE加载器下载恶意文件绕过EDR检测(作者:酒瓶椰子)
一种允许攻击者直接在内存中执行恶意代码的高阶技术正在流行,这对现代终端检测与响应(EDR)解决方案构成了重大挑战。这种方法通过利用内存中的可移植的可执行文件(PE)加载器,使威胁行为者能够在已受信任的进程中运行可执行程序,从而有效绕过主要监控磁盘文件写入的安全检测机制。
一种允许攻击者直接在内存中执行恶意代码的高阶技术正在流行,这对现代终端检测与响应(EDR)解决方案构成了重大挑战。这种方法通过利用内存中的可移植的可执行文件(PE)加载器,使威胁行为者能够在已受信任的进程中运行可执行程序,从而有效绕过主要监控磁盘文件写入的安全检测机制。
黑客利用 Pandoc CVE-2025-51591 攻击 AWS IMDS 并窃取 EC2 IAM 凭证(作者:zsc0810)
Wiz称Pandoc存在SSRF漏洞(CVE-2025-51591),攻击者用iframe指向169.254.169.254尝试窃取EC2 IAM凭证。因IMDSv2需令牌验证,未成功泄露。建议禁用iframe(-f html+raw_html/--sandbox),强制启用IMDSv2并最小权限。
Wiz称Pandoc存在SSRF漏洞(CVE-2025-51591),攻击者用iframe指向169.254.169.254尝试窃取EC2 IAM凭证。因IMDSv2需令牌验证,未成功泄露。建议禁用iframe(-f html+raw_html/--sandbox),强制启用IMDSv2并最小权限。
紧急:思科 ASA 零日漏洞遭受攻击;CISA 触发紧急缓解指令(作者:zsc0810)
思科警告称,其安全防火墙自适应安全设备 (ASA) 和威胁防御 (FTD) 软件中两个零日漏洞(CVE-2025-20333,CVSS 9.9;CVE-2025-20362,CVSS 6.5)已遭广泛利用。攻击者可串联利用漏洞绕过身份验证并以 root 权限执行代码。CISA 已将其纳入已知被利用漏洞目录并发布紧急指令,要求联邦机构在 24 小时内完成检测与缓解。此次活动与 ArcaneDoor 集群相关,威胁行为者 UAT4356(Storm-1849)被指长期针对边界设备并通过修改 ASA ROM 实现持久化,构成重大风险。
思科警告称,其安全防火墙自适应安全设备 (ASA) 和威胁防御 (FTD) 软件中两个零日漏洞(CVE-2025-20333,CVSS 9.9;CVE-2025-20362,CVSS 6.5)已遭广泛利用。攻击者可串联利用漏洞绕过身份验证并以 root 权限执行代码。CISA 已将其纳入已知被利用漏洞目录并发布紧急指令,要求联邦机构在 24 小时内完成检测与缓解。此次活动与 ArcaneDoor 集群相关,威胁行为者 UAT4356(Storm-1849)被指长期针对边界设备并通过修改 ASA ROM 实现持久化,构成重大风险。
SetupHijack - 利用Windows安装程序的竞争条件与文件处理漏洞(作者:酒瓶椰子)
SetupHijack 通过劫持Windows的安装器植入载荷实现权限提升,首先通过轮询扫盘查找全局可写目录下的安装器(.exe\.msi\.bat)。在创建安装器与执行安装器的时间窗口下,替换目标安装器,在安装器得到提升权限执行时,攻击载荷也会得到执行从而获得管理员权限
SetupHijack 通过劫持Windows的安装器植入载荷实现权限提升,首先通过轮询扫盘查找全局可写目录下的安装器(.exe\.msi\.bat)。在创建安装器与执行安装器的时间窗口下,替换目标安装器,在安装器得到提升权限执行时,攻击载荷也会得到执行从而获得管理员权限
专访黑客守夜人没睡的风:内核深耕,近源见真【T00ls人物专访第十七期】(作者:t00ls管理团队19)
大家好 我是没睡的风 破晓团队核心,目前就职于上海某事业单位,致力于网络攻防、近源、以及linux内核安全相关的技术研究,出版过一本技术攻防的书和近源的书,参与过几个国内出名事件的应急,担任过三省hvv的裁判、区hvv裁判以及车联网平台的裁判。
大家好 我是没睡的风 破晓团队核心,目前就职于上海某事业单位,致力于网络攻防、近源、以及linux内核安全相关的技术研究,出版过一本技术攻防的书和近源的书,参与过几个国内出名事件的应急,担任过三省hvv的裁判、区hvv裁判以及车联网平台的裁判。