5th域安全微讯早报【20250125】022期

2025-01-25  星期六 Vol-2025-022

1. 巴基斯坦加强社交媒体监管， VPN 与审查制度成焦点

2. PCLOB 政治化或威胁美欧关键数据隐私协议

3. Pwn2Own Automotive 2025 黑客大赛落幕： 49 个零日漏洞获 88.6 万美元奖金

4. 亚洲六国联手打击网络奴役，揭露诈骗者秘密帝国

5. Let's Encrypt 将停止证书到期通知，用户需采取应对措施

6. 黑客利用虚假恶意软件生成器感染 18,000 名“脚本小子”

7. phpMyAdmin 漏洞 CVE-2025-24530 曝光，黑客可利用恶意表格触发 XSS 攻击

8. Microsoft Outlook 零点击 RCE 漏洞（ CVE-2025-21298 ） PoC 曝光， CVSS 评分 9.8

9. Kubernetes 曝严重 RCE 漏洞，攻击者可完全控制 Windows 节点

10. FBI 发出警告：朝鲜 IT 工作者窃取公司源代码实施勒索

11. 黑客利用 CSS 隐藏恶意脚本，大规模抢占网络资源

12. 2024 年俄罗斯数据泄露事件减少，但泄露量激增至 4.38 亿条

1. 巴基斯坦加强社交媒体监管， VPN 与审查制度成焦点

【 SecurityLab 网站 1 月 24 日报道】巴基斯坦政府提出了一项加强社交媒体监管的法案，引发反对派和民众的强烈批评。法案提议成立社交网络保护和监管办公室，以封锁“非法和攻击性内容”，并要求平台向该机构注册。传播虚假信息将被视为刑事犯罪，最高可判处三年监禁和 200 万卢比（约 7,150 美元）罚款。此举被视为对言论自由的压制，尤其是在 2024 年选举期间封锁 X 平台后，许多民众通过 VPN 绕过限制。前总理伊姆兰·汗的支持者利用社交媒体组织抗议活动，反对派指责政府试图通过新法律压制批评声音。尽管记者和人权活动人士反对，但鉴于政府占多数，法案通过几乎不可避免。政府称此举旨在打击虚假信息，但批评者认为这是加强对社会和媒体控制的尝试。

2. PCLOB 政治化或威胁美欧关键数据隐私协议

【 The Record 网站 1 月 25 日报道】特朗普政府要求隐私与公民自由监督委员会（ PCLOB ）所有民主党成员辞职的决定，可能危及美欧之间的《跨大西洋数据隐私框架》（ TDPF ）。该协议旨在保护欧美商业数据流动， PCLOB 在其中扮演关键角色，确保美国情报机构的数据收集符合欧盟法律标准。欧盟依赖 PCLOB 的独立性和运作能力来保障欧洲公民数据的保护。如果 PCLOB 被削弱或无法运作，将破坏欧盟对 TDPF 的信任，进而影响美国公司在欧洲的业务。专家警告，若 TDPF 崩溃，美国云服务将被迫依赖其他机制，可能导致部分公司退出欧洲市场。 PCLOB 的独立性受到威胁，已引发对美欧数据流动未来的担忧。

3. Pwn2Own Automotive 2025 黑客大赛落幕： 49 个零日漏洞获 88.6 万美元奖金

【 BleepingComputer 网站 1 月 24 日报道】 Pwn2Own Automotive 2025 黑客大赛圆满结束，安全研究人员通过利用 49 个零日漏洞，共获得 886,250 美元奖金。本次比赛聚焦汽车软件和产品，包括电动汽车充电器、汽车操作系统（如 Android Automotive OS 、 Automotive Grade Linux 和 BlackBerry QNX ）以及车载信息娱乐系统（ IVI ）。所有目标设备均运行最新操作系统并安装了所有安全更新。比赛首日，研究人员展示了 16 个零日漏洞，获得 382,750 美元；次日利用 23 个漏洞，两次入侵特斯拉充电器，赢得 335,500 美元；最后一天演示了 10 个漏洞，获得 168,000 美元。 Summoning Team 的 Sina Kheirkhah 以 30.5 个 Pwn 大师积分夺冠，赢得 222,250 美元。 Synacktiv 、 PHP Hooligans 等团队分获其他奖项。供应商需在 90 天内修复漏洞，之后趋势科技将公开披露细节。

4. 亚洲六国联手打击网络奴役，揭露诈骗者秘密帝国

【 SecurityLab 网站 1 月 24 日报道】澜沧江 - 湄公河执法合作（ LMLEC ）倡议自 2024 年启动以来，柬埔寨、老挝、缅甸、泰国、越南和中国六国联手打击网络诈骗营地，成功解救了数千名被剥削的受害者。这些营地以高薪工作为诱饵，诱骗人们进入后没收护照，并以暴力威胁强迫其从事技术支持诈骗、投资诈骗和爱情诈骗等活动。受害者因债务束缚难以逃脱，生活条件恶劣，甚至有人因逃跑而丧生。 2024 年， LMLEC 行动逮捕了 7 万名嫌疑人，解救了 160 多名受害者，并制止了由诈骗资金资助的武器走私计划。中国积极参与打击行动，因约 10 万中国公民成为此类奴役的受害者。 LMLEC 计划进一步深化情报共享和联合行动，重点清除缅甸和泰国边境的苗瓦底市诈骗营地。

5. Let's Encrypt 将停止证书到期通知，用户需采取应对措施

【 SecurityLab 网站 1 月 24 日报道】 Let's Encrypt 宣布自 2025 年 6 月 4 日起将停止发送证书到期通知。这一决定基于多个原因，包括用户普遍采用自动续订系统、隐私保护需求以及降低运营成本。 Let's Encrypt 表示，维护通知服务需要存储大量电子邮件地址，与其隐私原则相悖，同时每年耗费数万美元，这些资金可用于基础设施开发。对于仍需接收通知的用户， Let's Encrypt 建议使用第三方服务，如 Red Sift Certificates Lite ，该工具可免费监控多达 250 个证书。尽管这一变化可能对部分用户造成不便，但随着自动化工具和第三方解决方案的普及，用户仍可通过适应变化来有效管理证书到期问题。

6. 黑客利用虚假恶意软件生成器感染 18,000 名“脚本小子”

【 BleepingComputer 网站 1 月 24 日报道】一名威胁行为者通过传播虚假的 XWorm RAT （远程访问木马）构建器，成功感染了全球 18,459 台设备，主要受害者是技能较低的黑客（即“脚本小子”）。这些黑客通过 GitHub 、 Telegram 、 YouTube 等渠道下载了木马化的恶意软件构建器，误以为可以免费使用 XWorm RAT ，但实际上其设备被植入了后门程序。该恶意软件会窃取 Discord 令牌、系统信息、浏览器数据（如密码和 Cookie ），并支持 56 个危险命令，包括屏幕截图、文件加密和进程终止等。 CloudSEK 研究人员利用内置的终止开关和硬编码 API 令牌，向受感染设备发送卸载命令，成功清除了部分设备的恶意软件，但由于速率限制和设备离线问题，仍有部分设备受到感染。研究人员提醒用户不要信任未签名软件，尤其是来自不可信来源的工具，并建议仅在测试环境中使用恶意软件构建器。

10. FBI 发出警告：朝鲜 IT 工作者窃取公司源代码实施勒索

【 CybersecurityNews 网站 1 月 24 日报道】美国联邦调查局（ FBI ）揭露，朝鲜 IT 工作者通过伪装成远程工作人员，潜入西方公司窃取源代码并实施勒索。这些被称为“ IT 战士”的朝鲜特工利用虚假身份、被盗凭证和人工智能技术获得远程职位，进而访问公司系统并窃取敏感数据，尤其是托管在 GitHub 等平台上的源代码。他们以泄露源代码为威胁，要求受害者支付加密货币赎金。这种新型攻击结合了勒索软件和内部威胁的特点，无需部署恶意软件即可实施敲诈。 FBI 指出，朝鲜 IT 工作者已通过工资欺诈和勒索手段在过去六年中获利至少 8800 万美元。为应对这一威胁， FBI 建议企业实施最小特权原则、加强招聘身份验证、采用数据丢失预防工具，并监控网络异常活动。