/
IBM API Connect关键漏洞可导致身份验证绕过
IBM紧急呼吁用户修补API Connect平台中的关键漏洞CVE-2025-13915,该漏洞可能允许远程攻击者绕过身份验证。漏洞影响10.0.8.0至10.0.8.5版本及10.0.11.0版本,无需用户交互即可获得未授权访问。专家指出这不仅是安全缺陷,更暴露了企业架构中的信任假设问题。IBM已提供临时修复程序,建议无法安装修复的用户禁用开发者门户的自助注册功能。
AI将在2026年重塑网络安全策略
无论是否愿意承认,AI正在彻底改变网络安全格局。2025年AI驱动的代码生成加速了开发进程,但也引入了逻辑漏洞,AI辅助的攻击变得更加定制化和规模化。2026年,网络安全行业对AI的采用将更加成熟,减少炒作驱动的现象。安全专业人员的角色将从检测转向判断和学习能力培养,未来最有价值的网络安全从业者将是那些能够在现实条件下对AI行为进行压力测试的人员。
巴西WhatsApp蠕虫传播Astaroth银行木马
网络安全研究人员披露了一项新的攻击活动,利用WhatsApp作为分发渠道在巴西传播名为Astaroth的Windows银行木马。该恶意软件会获取受害者的WhatsApp联系人列表,自动向每个联系人发送恶意消息以进一步传播感染。攻击者通过ZIP压缩包分发恶意脚本,包含Python传播模块和银行监控模块,前者自动转发恶意文件实现蠕虫式传播,后者持续监控受害者的网页浏览活动以窃取银行凭据。
2026年数据中心合规:变化趋势与应对策略
2020年代数据中心法规虽未出现GDPR规模的重大变革,但通过网络安全、可持续性和AI治理等领域的渐进式累积变化重塑了合规环境。AI专项法规的兴起是个例外,为透明度和风险管理设定了全新期望。2025年合规环境呈现矛盾性:部分司法管辖区的许可和采购变得更容易,但运营合规、透明和韧性设施却变得更加困难。本文总结当前要点和未来趋势,助力数据中心领导者履行当前义务并应对未来变革。
CISA警告HPE OneView和微软Office漏洞正被活跃利用
CISA将两个安全漏洞列入活跃利用清单,包括HPE OneView管理软件中的满分严重漏洞CVE-2025-37164和微软Office中存在15年之久的PowerPoint代码注入漏洞CVE-2009-0556。HPE OneView漏洞可导致代码注入执行,攻击者可能获得环境完全控制权。尽管微软早在2009年就修复了PowerPoint漏洞,但未打补丁的系统仍在被成功攻击,表明新旧漏洞都面临现实威胁。
n8n自动化平台严重漏洞可让攻击者完全控制服务器
流行的自动化平台n8n被发现存在最高严重级别安全漏洞,影响约10万台服务器。该漏洞CVSS评分达10.0满分,攻击者无需登录即可完全控制受影响系统。漏洞源于n8n处理webhook时的"内容类型混淆"问题,攻击者可通过操控HTTP头部覆写内部变量,进而读取任意文件并执行远程代码。用户需立即升级至1.121.0或更高版本。
思科修复ISE安全漏洞,公开概念验证代码已发布
思科发布更新修复身份服务引擎ISE中等严重性安全漏洞CVE-2026-20029。该漏洞存在于许可功能中,可能允许具有管理权限的远程攻击者访问敏感信息。漏洞源于Web管理界面对XML解析不当,攻击者可通过上传恶意文件进行利用。同时思科还修复了Snort 3检测引擎的两个中等严重性漏洞,涉及DCE/RPC请求处理问题。
研究人员在npm比特币主题包中发现隐藏的NodeCordRAT恶意软件
网络安全研究人员发现三个恶意npm包,用于传播名为NodeCordRAT的未记录恶意软件。这些包伪装成比特币相关库,通过安装脚本执行恶意载荷。NodeCordRAT是一个远程访问木马,具备数据窃取功能,能够盗取Chrome凭证、API令牌和MetaMask等加密货币钱包的助记词。该恶意软件利用Discord服务器进行命令控制通信,可执行任意命令、截屏和上传文件等操作。
Coolify开源托管平台曝出11个严重漏洞可完全攻陷服务器
网络安全研究人员披露了开源自托管平台Coolify的多个关键安全漏洞,可导致身份验证绕过和远程代码执行。这11个漏洞涉及命令注入、信息泄露和跨站脚本攻击,CVSS评分高达10.0分。攻击者可利用这些漏洞在受管服务器上执行任意命令,获取root权限,实现完全的基础设施入侵。目前全球约有52,890台Coolify主机暴露在外,主要分布在德国、美国、法国等地。用户应尽快升级到修复版本。
n8n警告CVSS满分漏洞影响自托管和云版本
开源工作流自动化平台n8n发布安全警告,披露一个CVSS评分10.0分的最高危漏洞CVE-2026-21877。该漏洞可能导致经过身份验证的用户执行远程代码,造成受影响实例的完全妥协。漏洞影响0.123.0至1.121.3之间的版本,包括自托管部署和云实例。官方已在1.121.3版本中修复此问题,建议用户立即升级。
Veeam修复CVSS评分9.0的严重远程代码执行漏洞
Veeam发布安全更新,修复其备份与复制软件中的多个漏洞,包括一个可导致远程代码执行的严重问题。CVE-2025-59470漏洞CVSS评分达9.0分,允许备份或磁带操作员通过发送恶意参数执行远程代码。此外还修复了三个其他漏洞,涉及配置文件攻击和文件写入权限提升等问题。所有漏洞影响13.0.1.180及更早版本,已在13.0.1.1071版本中修复。
身份暗物质威胁企业网络安全的新挑战
身份管理已从单一目录演变为跨SaaS、本地、云平台的碎片化生态。传统IAM工具仅能管控已完全集成的一半身份,其余包括未验证用户、非人类身份、API、机器人账户等构成"身份暗物质"。这些不受治理的实体带来重大安全风险:44%的组织拥有超过1000个孤立账户,27%的云安全事件涉及休眠凭证滥用。解决方案需要从配置型IAM转向基于证据的治理,通过身份可观测性实现全面可见性和统一管控。
微软警告:邮件路由配置错误可引发内部域名钓鱼攻击
微软威胁情报团队警告,攻击者正利用邮件路由配置错误和欺骗防护漏洞,伪装组织域名发送看似内部邮件的钓鱼攻击。自2025年5月以来此类攻击激增,主要使用Tycoon 2FA等钓鱼即服务平台。攻击多发生在复杂邮件路由和欺骗防护不严格的环境中。微软建议组织设置严格的DMARC和SPF策略,正确配置第三方连接器以防范此类威胁。
针对D-Link路由器严重远程代码执行漏洞的持续攻击活动
D-Link老旧DSL网关路由器发现严重安全漏洞CVE-2026-0625,CVSS评分9.3分,已遭野外攻击利用。该漏洞源于dnscfg.cgi端点中DNS配置参数输入验证不当,导致命令注入。攻击者可在无需认证情况下注入并执行任意shell命令,实现远程代码执行。受影响的DSL-2740R、DSL-2640B、DSL-2780B、DSL-526B等型号设备已于2020年停止支持。D-Link正进行内部调查并审查固件。建议用户淘汰这些设备,升级到获得定期安全更新的支持产品。
TOTOLINK EX200存在未修复固件漏洞可被完全远程接管
CERT协调中心披露TOTOLINK EX200无线扩展器存在未修复安全漏洞CVE-2025-65606。该固件上传错误处理逻辑缺陷可能导致设备意外启动未认证的root级telnet服务。已认证攻击者可通过上传恶意固件文件触发异常状态,获得设备完全控制权限,进行配置篡改或任意命令执行。TOTOLINK尚未发布补丁且产品不再维护。
富士通前支持团队被称为"合法黑客"
据2015年举报人采访录音显示,富士通在邮局地平线系统支持中心的员工可通过后门访问分支机构账户,能够在不被发现的情况下盗取邮局分站长资金,但从未实施。前富士通技术员理查德·罗尔透露,远程访问审计规则可被"合法黑客"团队无视。该丑闻导致约800名邮局分站长在2000-2015年间因系统错误被错误定罪。
加密钱包公司Ledger确认第三方合作伙伴数据泄露事件
加密钱包公司Ledger确认其第三方合作伙伴Global-e发生数据泄露事件,客户姓名和联系信息被泄露。Global-e是Ledger使用的端到端电商平台,遭到未经授权访问,部分订单数据被复制,包括客户姓名、地址、邮箱、电话和订单详情。Ledger强调这不是其平台或设备的安全漏洞,不影响加密资产安全。该公司此前在2020年曾遭受重大数据泄露,影响约27.2万客户。
思科或洽谈收购网络安全公司Axonius,但遭到否认
据报道,思科系统公司正在洽谈以20亿美元收购网络安全资产管理初创公司Axonius。然而,Axonius否认了相关谈判,称公司专注于执行、服务客户和持续增长。Axonius成立于2017年,提供网络安全资产管理平台,帮助企业安全管理连接设备。该平台无需代理,可发现未管理的资产,并提供自动化执行功能。
派拓网络安全官:智能体将成2026年最大内部威胁
帕洛阿尔托网络首席安全情报官警告,AI代理将成为2026年企业面临的新型内部威胁。据Gartner预测,到2026年底,40%的企业应用将集成AI代理。虽然AI代理能帮助填补网络安全技能缺口,但其特权访问权限也使其成为攻击者的诱人目标。主要风险包括"超级用户问题"和CEO替身代理可能被恶意操控进行未授权交易。专家建议采用最小权限原则部署AI代理。
从集成困境到合作共赢:协作如何强化网络安全
数据驱动的协作面临多重挑战,包括系统泄露风险、数据质量不一致等问题。2025年上半年已有超过3.45亿条私人记录因8000多起数据泄露事件而暴露。企业需建立清晰的治理框架,统一数据安全标准,打破内部数据孤岛。通过制定标准化架构和验证规则,合作伙伴能更好地共享威胁情报,提升主动防护能力。IBM与Securitas的全球共享安全协议为行业树立了标杆。
京公网安备 11010802021500号
