漏洞预警方面，Red Lion RTU中的两个高危漏洞可能使黑客获得整个工业控制权； 黑客利用思科SNMP漏洞在“Zero Disco”攻击中部署Linux Rootkit；Oracle E-Business Suite的新漏洞可能使黑客无需登录即可访问数据；富士电机HMI配置器漏洞致工业组织面临黑客攻击；Fortinet和Ivanti修复高危漏洞；西门子、施耐德、罗克韦尔、ABB、菲尼克斯电气宣布漏洞修复；两个新的Windows零日漏洞被利用； GLADINET CENTRESTACK和TRIOFOX中未修补的零日漏洞遭受攻击；Happy DOM安全漏洞可导致虚拟机上下文逃逸和远程代码执行。

安全事件方面，亲俄全球黑客联合起来对以色列政府和关键部门发动网络攻击；澳洲航空网络攻击更新：客户数据泄露，安全措施增强；F5 Networks遭国家安全机构入侵，BIG-IP源代码及未公开漏洞被盗；QILIN勒索软件的韧性暴露：防弹托管网络支撑朝日集团控股攻击。

风险预警方面，SonicWall VPN遭大规模入侵，影响超过100个账户；安全启动绕过风险威胁近20万台Linux框架笔记本电脑；神秘大象APT攻击活动瞄准南亚外交，利用新的MemLoader后门窃取WhatsApp数据；BlackSuit勒索软件攻击者入侵企业环境；勒索潮再破纪录：2025年第三季度勒索软件攻击激增，医疗、政府与科技首当其冲；搜索引擎中毒诱导下载伪装Ivanti客户端窃取VPN凭证；微软警告：AI 加速恶意软件与自动化攻击，身份攻击激增成主要风险。

漏洞预警

1.Red Lion RTU中的两个高危漏洞可能使黑客获得整个工业控制权
2025年10月9日，10月15日，Claroty Team82的研究人员披露了影响Red Lion Sixnet远程终端单元(RTU)产品和Sixnet Universal协议的两个严重漏洞的详细信息。这两个漏洞的CVSS v3评分最高均为10.0。它们允许未经身份验证的攻击者以root权限在受影响的Red Lion SixTRAK和VersaTRAK RTU上执行命令。这些设备专为工业自动化和控制系统而设计，尤其适用于能源、水和废水处理、交通运输、公用事业和制造业等领域。为了增加一层安全性，Red Lion在UDP协议上实现了用户权限系统。使用该程序，用户可以创建用户、删除用户以及编辑用户的密码和权限。Team82指出“红狮已针对其SixTRAK和VersaTRAK远程终端单元中的两个漏洞提供了补丁，解决了导致身份验证绕过和以root权限执行代码的漏洞。”
资料来源：http://kv1.d1k.top/w/y3QCy7

2.黑客利用思科SNMP漏洞在“Zero Disco”攻击中部署Linux Rootkit
2025年10月16日，网络安全研究人员披露了一项新活动的细节，该活动利用最近披露的影响Cisco IOS软件和IOS XE软件的安全漏洞在较旧的、未受保护的系统上部署Linux rootkit。此次攻击活动由趋势科技代号为“Operation Zero Disco” ，利用了简单网络管理协议(SNMP)子系统中的堆栈溢出漏洞CVE-2025-20352（CVSS评分：7.7）进行攻击。该漏洞可能允许经过身份验证的远程攻击者通过向易受攻击的设备发送精心设计的SNMP数据包来执行任意代码。目前尚未发现任何已知威胁行为者或组织参与了此次入侵。思科上个月底修补了这一漏洞，但在此之前，该漏洞在现实世界的攻击中被利用为零日漏洞。
资料来源：https://thehackernews.com/2025/10/hackers-deploy-linux-rootkits-via-cisco.html

3.Oracle E-Business Suite的新漏洞可能使黑客无需登录即可访问数据
2025年10月12日，甲骨文公司周六警告其电子商务套件存在新的安全漏洞，可能导致未经授权访问敏感数据。该漏洞编号为CVE-2025-61884，CVSS评分为7.5，严重程度较高。该漏洞影响12.2.3至12.2.14版本。Oracle在一份报告中表示，该漏洞无需任何身份验证即可被远程利用，因此用户必须尽快应用更新。然而，该公司并未提及该漏洞是否已被利用。此前不久，谷歌威胁情报组 (GTIG) 和 Mandiant披露，Oracle电子商务套件 (EBS) 软件中CVE-2025-61882零日漏洞利用可能已影响数十家组织。已发现攻击利用该漏洞触发两个不同的有效载荷链，从而释放GOLDVEIN.JAVA、SAGEGIFT、SAGELEAF和SAGEWAVE等恶意软件家族。
资料来源：https://thehackernews.com/2025/10/new-oracle-e-business-suite-bug-could.html

4.富士电机HMI配置器漏洞致工业组织面临黑客攻击
2025年10月16日，富士电机（白光电子）V-SFT是一款人机界面 (HMI) 配置和开发软件。网络安全研究员Michael Heinzl发现V-SFT受到多个漏洞的影响，其中包括可能导致信息泄露或在运行该软件的系统上执行任意代码的漏洞。攻击者需要利用社会工程学手段诱骗目标组织的V-SFT用户打开恶意项目文件，从而以受害者的权限执行任意代码。这家日本电气设备公司已经发布了补丁（版本 6.2.9.0）。富士电机在最近几个月内在其HMI编程器中修补了Heinzl发现的 20 多个安全漏洞。
资料来源：https://www.securityweek.com/fuji-electric-hmi-configurator-flaws-expose-industrial-organizations-to-hacking/

5.Fortinet和Ivanti修复高危漏洞
2025年10月15日，Fortinet和Ivanti宣布更新修复了其产品中潜在的严重漏洞。Fortinet发布了29份新公告，涵盖30多个漏洞。其中多个漏洞被评为“高危”，包括CVE-2025-54988，该漏洞因使用Apache Tika而对FortiDLP造成影响。Tika受到一个“严重”漏洞的影响，该漏洞允许攻击者读取敏感数据或向内部资源或第三方服务器发送恶意请求。FortiDLP 还受到CVE-2025-53951和CVE-2025-54658的影响，这允许经过身份验证的攻击者通过发送特制的请求将权限提升到LocalService或Root。FortiOS中一个权限提升漏洞已被修复，该漏洞允许经过身份验证的攻击者执行系统命令。该安全漏洞编号为CVE-2025-58325。另一个高严重性问题是CVE-2024-33507，它影响FortiIsolator并允许远程攻击者使用特制的 cookie 来取消登录管理员的身份验证（未经身份验证的攻击者）或获取写入权限（经过身份验证的攻击者）。FortiClientMac的 LaunchDaemon 组件中也存在一个权限提升漏洞，该漏洞已被列为“高危漏洞”。该漏洞编号CVE-2025-57741。最后一个高严重性问题是CVE-2025-49201，它影响FortiPAM和FortiSwitchManager，并允许攻击者通过暴力攻击绕过身份验证。中低严重性漏洞已得到修补。
资料来源：https://www.securityweek.com/high-severity-vulnerabilities-patched-by-fortinet-and-ivanti/

6.西门子、施耐德、罗克韦尔、ABB、菲尼克斯电气宣布漏洞修复
2025年10月16日，西门子发布了六条新公告，其中两条描述了严重漏洞。其中一条是TeleControl Server Basic中的一个严重漏洞，该漏洞允许未经身份验证的远程攻击者获取用户密码哈希值。第二个严重漏洞是影响Simatic ET 200SP通信处理器的身份验证问题。未经身份验证的远程攻击者可以利用此漏洞访问配置数据。西门子SiPass中发现了几个高危和中危问题，这些问题允许未经身份验证的远程攻击者利用用户帐户、操纵数据、冒充用户或在服务器上执行任意代码。施耐德电气发布了一个高危的EcoStruxure OPC UA Server Expert产品漏洞，该漏洞可被利用导致 DoS攻击。罗克韦尔自动化发布的七条新安全公告中一条评级为“严重”。该公告修复1783-NATR可配置NAT路由器中的三个漏洞，其中一个漏洞可被利用来引发DoS攻击、控制管理员账户以及修改NAT规则。菲尼克斯电气本周发布了两份新的安全公告。一份报告描述了QUINT4 UPS设备中的多个漏洞，这些漏洞可能允许未经身份验证的远程攻击者进行DoS攻击并收集登录凭据。另一份报告描述了CHARX SEC-3xxx充电控制器固件中的一个漏洞，该漏洞可被利用以root权限进行命令注入。ABB发布公告涵盖三个中等严重程度的B&R Automation Runtime SDM问题，这些问题可能导致会话接管、代码执行以及公式数据注入CSV文件。
资料来源：http://tx3.d1k.top/w/4UIRoj

7.两个新的Windows零日漏洞被利用
2025年10月15日，微软周二发布了针对其产品中多达183个安全漏洞的修复程序，其中包括三个已被广泛利用的漏洞，因为这家科技巨头正式终止了对其Windows 10操作系统的支持，除非PC已注册扩展安全更新( ESU )计划。已被积极利用的两个Windows零日漏洞：CVE-2025-24990（CVSS 评分：7.8）- Windows Agere 调制解调器驱动程序（“ltmdm64.sys”）特权提升漏洞；CVE-2025-59230（CVSS 评分：7.8）- Windows 远程访问连接管理器 (RasMan) 特权提升漏洞。微软表示，这两个漏洞可能允许攻击者以提升的权限执行代码，但目前尚不清楚这些漏洞是如何被利用的，以及攻击范围有多广。对于CVE-2025-24990漏洞，微软表示计划彻底移除该驱动程序，而不是发布针对旧式第三方组件的补丁
资料来源：https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html

8.GLADINET CENTRESTACK和TRIOFOX中未修补的零日漏洞遭受攻击
2025年10月11日，威胁行为者正在利用本地文件包含(LFI) 漏洞CVE-2025-11371，这是Gladinet CentreStack和Triofox中的一个零日漏洞。本地用户可以利用此漏洞在未经身份验证的情况下访问系统文件。Gladinet CentreStack 和 Triofox 是专为企业设计的企业文件共享和云存储解决方案：CentreStack：提供一个安全的文件共享、同步和协作平台，将本地存储与云访问集成。它允许公司提供类似云的内部文件服务器访问，同时保持对数据的控制。Triofox：提供混合云解决方案，支持对现有Windows文件共享和SMB/NFS存储进行安全的远程访问。它包含文件版本控制、同步以及Web/移动访问等功能，无需从公司服务器移动数据。两者都用于安全地管理公司文件，同时支持远程工作和协作。
资料来源：http://pe3.d1k.top/w/35E91F

9.Happy DOM安全漏洞可导致虚拟机上下文逃逸和远程代码执行
2025年10月14日，Happy DOM是一个广泛使用的JavaScript库，主要用于服务器端渲染和测试框架，现已发现一个严重安全漏洞。该漏洞编号为CVE-2025-61927，允许攻击者逃离该库的虚拟机(VM)上下文，从而可能在易受攻击的系统上执行远程代码。该漏洞威胁着数百万依赖Happy DOM的应用程序。此漏洞的根源在于Happy DOM 19及更早版本中Node.js虚拟机上下文的隔离不当。虚拟机上下文旨在充当安全沙盒，允许不受信任的代码在不危及主机系统的情况下执行。该漏洞影响了大约270万依赖该库渲染和测试JavaScript应用程序的用户。风险最高的应用程序是那些动态渲染用户控制内容的应用程序，这为攻击者注入和执行恶意脚本创造了机会。强烈建议用户立即升级到版本 20 或更高版本，以降低漏洞利用风险。对于无法立即升级的用户，建议完全禁用JavaScript评估，除非所处理的内容完全可信。
资料来源：https://thecyberexpress.com/critical-cve-2025-61927-vm-context-escape/

安全事件

10.亲俄全球黑客联合起来对以色列政府和关键部门发动网络攻击
2025年10月16日，网络威胁情报公司Prodaft提供信息。Subtle Snail (UNC1549)是一个与伊朗有关联的间谍组织。该组织最近将重点转向欧洲电信、航空航天和国防组织。该组织的主要目标是渗透电信实体，同时保持对航空航天和国防组织的兴趣，以建立长期驻留能力并窃取敏感数据用于间谍活动。Prodaft上周披露：“该组织首先假扮为合法实体的人力资源代表，与员工接触，然后通过部署MINIBIKE后门变种来入侵员工，该变种通过Azure云服务代理与命令和控制(C2)基础设施通信，从而绕过检测。在首次检测时，由于使用了多种混淆和规避技术，大多数AV供应商对恶意样本的检测率较低。”研究人员发现，Subtle Snail的行动将情报收集与对关键电信网络的长期访问相结合，造成了严重的破坏。“他们不仅感染设备，还会主动搜索敏感数据以及保持访问权限的方法。在面板内部，他们使用预定义的路径来指导搜索，并专注于窃取电子邮件、VPN配置和其他有助于他们保持控制的信息。”
资料来源：http://oq4.d8k.top/w/SKyCnJ

11.澳洲航空网络攻击更新：客户数据泄露，安全措施增强
2025年10月13日，澳洲航空 (Qantas Airways) 已确认，其在7月份的一次重大网络攻击中被窃取的数据已被网络犯罪分子公布，这给澳大利亚消费者带来了又一次打击，因为澳大利亚正持续努力控制数据泄露的影响。该航空公司表示，此次网络攻击源于其一个联络中心使用的第三方客户服务平台遭到未经授权的访问。此次网络攻击泄露了约570万澳航乘客的个人数据。作为回应，澳航迅速通知了所有受影响的个人，告知了被盗信息的性质。澳航表示，自首次披露以来，受影响数据的范围没有进一步变化。
资料来源：https://thecyberexpress.com/qantas-airways-confirms-data-breach/

12.F5 Networks遭国家安全机构入侵，BIG-IP源代码及未公开漏洞被盗
2025年10月17日，F5 Networks 披露，一个“高度复杂的民族国家威胁行为者”渗透了其内部系统，从其BIG-IP产品开发环境和工程知识管理平台中窃取了文件，其中包括部分源代码和未公开漏洞的信息。F5表示，受影响的系统已被隔离，且遏制措施已取得成功。F5表示，入侵者访问了BIG-IP源代码和有关未发布漏洞的内部信息，但强调这些漏洞都不是严重漏洞，也没有被主动利用。为了减轻此次泄露事件带来的潜在风险，F5已针对44个漏洞发布了 安全更新，其中包括与被盗数据相关的漏洞。据CISA称，成功利用易受攻击的BIG-IP系统可以让攻击者窃取凭证、在网络内横向移动并建立持久性。
资料来源：http://rx2.d8k.top/w/wNRwt1

13.诺基亚警告电信公司，隐形网络攻击日益增多，DDoS 攻击激增
2025年10月17日，Resecurity旗下HUNTER部门的一份新报告揭露了全球防弹托管(BPH)提供商网络，该网络为QILIN勒索软件即服务(RaaS)集团的运营提供支持——该集团于2025年9月对日本朝日集团控股公司发动了毁灭性的勒索软件攻击，导致该公司的制造系统瘫痪了近两周。Resecurity 的调查显示，QILIN的韧性和全球影响力在很大程度上依赖于庞大的地下托管生态系统，该生态系统横跨俄罗斯、香港、塞浦路斯和阿联酋，并与受制裁的基础设施提供商有关联，这些提供商为大规模网络犯罪提供便利，同时逃避执法监督。该团伙利用鱼叉式网络钓鱼、RMM 软件滥用以及访问代理合作关系等手段，攻击全球各地的医疗保健提供商、关键基础设施和政府机构。QILIN集团声称对2025年9月29日针对日本最大啤酒制造商朝日集团控股的攻击事件负责，此次攻击导致30家工厂的数字物流和酿酒业务中断。
资料来源：http://2j1.d1k.top/w/vmPlI5

风险预警

14.SonicWall VPN遭大规模入侵，影响超过100个账户
2025年10月11日，网络安全公司Huntress周五警告称，SonicWall SSL VPN设备可能遭遇“大规模入侵”，从而访问多个客户环境。报告称：“威胁行为者正在受感染的设备上快速验证多个账户。这些攻击的速度和规模表明，攻击者似乎控制了有效凭证，而不是暴力破解。”此次攻击活动的大部分始于2025年10月4日，16个客户账户的100多个SonicWall SSL VPN账户受到影响。在Huntress调查的案例中，SonicWall设备上的身份验证源自IP地址202.155.8[.]73。此次披露正值针对SonicWall防火墙设备进行初始访问的勒索软件活动增加之际，这些攻击利用已知的安全漏洞（CVE-2024-40766）来破坏目标网络以部署Akira勒索软件。Akira 勒索软件攻击者发起的此次攻击活动凸显了保持最新补丁程序的重要性。威胁攻击者不仅会利用零日漏洞，还会继续利用之前披露的漏洞，这凸显了即使在补丁程序发布后也需要持续保持警惕的必要性。
资料来源：https://thehackernews.com/2025/10/experts-warn-of-widespread-sonicwall.html

15.安全启动绕过风险威胁近20万台Linux框架笔记本电脑
2025年10月14日，美国计算机制造商Framework生产的约200,000台Linux计算机系统都带有签名的UEFI shell组件，这些组件可被利用来绕过安全启动保护。攻击者可以利用此优势加载bootkit（例如BlackLotus、HybridPetya和Bootkitty），这些bootkit可以逃避操作系统级安全控制并在操作系统重新安装后持续存在。建议受影响的用户应用可用的安全更新。如果补丁尚未发布，物理访问预防等二级保护措施至关重要。另一个临时缓解措施是通过BIOS删除Framework的DB密钥。
资料来源：http://dx3.d1k.top/w/Jeq6FZ

16.神秘大象APT攻击活动瞄准南亚外交，利用新的MemLoader后门窃取WhatsApp数据
2025年10月16日，卡巴斯基全球研究与分析团队 (GReAT) 的研究人员发布了一份关于新进化的高级持续性威胁 (APT) 组织“神秘大象”的详细报告，该组织一直针对南亚和亚太地区的政府和外交实体开展高度针对性的网络间谍活动。报告强调，“神秘大象”组织“一直在不断发展和调整其策略、技术和程序（TTP），以保持不被发现”，其最新行动表明其正在转向定制恶意软件、WhatsApp 数据盗窃和开源工具修改。卡巴斯基透露，神秘大象的渗透模块专门针对受感染桌面上的 WhatsApp 通信。神秘大象主要针对巴基斯坦、孟加拉国、斯里兰卡、尼泊尔和阿富汗的政府机构和外交组织，使用个性化网络钓鱼和定制有效载荷。卡巴斯基在结论中将“神秘大象”描述为“一个高度复杂且活跃的高级持续性威胁组织”，并且仍然是亚洲最具适应能力的间谍活动者之一。
资料来源：http://u34.d8k.top/w/xMPW8x

17.BlackSuit勒索软件攻击者入侵企业环境
2025年10月15日，网络安全专家追踪的BlackSuit勒索软件组织名为Ignoble Scorpius，该组织摧毁了一家知名制造商的运营。Palo Alto Networks 在最近的 Unit 42 报告中详细介绍了这次攻击，攻击始于一些简单的 VPN 凭证泄露，后来升级为大范围加密和数据盗窃，可能造成数百万美元的损失。此次入侵始于一次典型的语音钓鱼诈骗，又称“语音钓鱼”。攻击者冒充该公司的IT服务台，诱骗不知情的员工在虚假的钓鱼网站上输入其真实的VPN登录信息。进入系统后，入侵者立即行动。他们对域控制器发起了 DCSync 攻击，窃取了关键服务帐户等重要凭证。
资料来源：https://cybersecuritynews.com/blacksuit-ransomware-vmware-esxi/

18.勒索潮再破纪录：2025年第三季度勒索软件攻击激增，医疗、政府与科技首当其冲
2025年10月17日，BlackFog 对 2025 年第三季度（7–9 月）全球勒索软件活动的分析显示，攻击量创历史新高：与 2024 年同期相比增长 36%，公开披露事件 270 起。单月增幅分别为：7 月 96 起（+50%）、8 月 92 起（+37%）、9 月 85 起（+27%）；另有 1,510 起 未披露事件（同比+21%）。医疗保健最受冲击（86 起，占32%），政府与科技各 28 起，三类合计占公开事件的 53%。数据盗窃已成为主流手段：在已披露案例中 96% 涉及数据外泄，449 份暗网受害者清单的平均泄露量达 527.65 GB。本季共有 54 个勒索组织活动、出现 18 个新团伙；麒麟（Kilin）最活跃（20 起），新兴团伙 DEVMAN 发动 19 起并索要逾 9,100 万美元 赎金（世茂案）。未披露案件中，制造业、服务业和建筑业分别为主要受害者（制造业占未披露事件 22%）。报告指出，攻击呈地理集中化趋势：犯罪团伙通过语言、经济与供应链杠杆重复放大同类攻击以提升收益并降低风险。BlackFog 强调：企业应“让攻击变难”，优先保护数据以削弱勒索价值。
资料来源：http://sr4.d8k.top/w/0IbDff

19.搜索引擎中毒诱导下载伪装Ivanti客户端窃取VPN凭证
2025年10月16日，研究人员发现一起激进的SEO中毒活动，攻击者注册近似Ivanti官方的域名（如ivanti-pulsesecure.com、ivanti-secure-access.org），通过搜索结果将用户定向到托管伪装Ivanti Pulse Secure客户端的恶意站点。该站点仅对来自搜索引擎的请求（依赖HTTP Referrer）显示带有“下载”按钮的恶意页面；直接访问则呈现无害内容以规避检测。下载的签名MSI会释放两个被签名的恶意DLL（dwmapi.dll、pulseextension.dll），用以解析Ivanti的connectionstore.dat并提取已保存的VPN URI与凭据。随后，恶意DLL在端口8080上与位于Microsoft Azure范围内的硬编码IP（示例4.239.95.1）建立连接，使用基于XOR的反混淆例程并通过路径/incomeshit以HTTP POST上报窃取的数据。由于服务器托管在云服务，网络流量易被误判为良性，且攻击结合了引荐来源判断、合法证书签名与下载分发策略，增加了检测难度。防护建议包括：校验任何Ivanti安装包的校验和与来源；在网络层监控并阻断对可疑Azure IP的出站连接（尤其是8080端口）；在搜索引擎与邮件网关层面检测基于referrer的重定向；教育用户仅从厂商官方网站下载软件并将可疑下载在隔离环境中验证。
资料来源：https://cybersecuritynews.com/beware-of-malicious-ivanti-vpn-client-sites/

20.微软警告：AI 加速恶意软件与自动化攻击，身份攻击激增成主要风险
2025年10月17日，微软在最新数字防御报告（覆盖 2024 年 7 月 至 2025 年 6 月）中警示，人工智能正被威胁行为者用于加速恶意软件开发、快速发现漏洞与大规模定制网络钓鱼，显著降低了发动复杂攻击的门槛。报告指出，当前绝大多数网络事件以牟利为目的——约 80% 的攻击者窃取数据旨在变现；52% 的事件与勒索/勒索软件直接相关。
微软每天处置海量信号以支撑防御：每天处理逾 100 万亿（10^14） 个信号、阻断约 4.5 百万 次新恶意软件尝试、分析 3,800 万 条身份风险检测并筛查 50 亿 封电子邮件中的恶意内容。即便如此，威胁方正把生成式 AI 整合进攻击生命周期，以自动化钓鱼、扩大社会工程规模并研发可自适应以规避检测的恶意程序。
报告还揭示身份攻击上升趋势——2025 年上半年身份攻击激增 32%，且超过 97% 的入侵依赖已泄露凭证进行大规模凭证猜测。与此同时，多数信息窃取恶意软件用以捕获凭证与浏览器会话令牌并在地下市场出售；但微软强调，启用抗网络钓鱼的多因素认证（MFA）可阻止超过 99% 此类攻击。
民族国家行为者亦在利用 AI 扩大间谍和影响行动：报告点名中国在跨行业间谍活动上的加速、伊朗目标范围扩至北美、俄罗斯对北约小型企业的活动上升（同比 +25%），朝鲜继续通过远程 IT 项目和勒索牟利。微软与司法机构合作破获了流行窃取工具 Lumma Stealer，说明国际协作仍是打击线上犯罪的重要手段。
结论与建议：传统防护已不足，组织须将网络安全上升为战略优先，保护自身 AI 工具与模型、结合 AI 驱动防御、强化身份安全（MFA、DLP、异常行为检测）并加强跨界情报与执法协作，以应对日益自动化与规模化的威胁。
资料来源：https://gbhackers.com/ai-powered-automation/