政策法规方面，英国政府正式提交《网络安全与韧性法案》，旨在强化对关键基础设施、数字服务提供商及供应链的法定安全要求，完善事件报告机制并提升整体网络韧性。

漏洞预警方面，涵盖多类关键软硬件产品的高危安全缺陷：包括思科ASA/Firepower设备的零日漏洞、WatchGuard Firebox和FortiWeb防火墙的认证绕过漏洞、SAP SQL Anywhere Monitor的最高危硬编码凭证问题、Triofox平台的权限提升漏洞、工业控制系统（ICS）中西门子等厂商修复的数十个工控漏洞，以及微软月度更新中包含的63个漏洞（含正被利用的Windows内核零日）。这些漏洞普遍具备远程利用或权限提升能力，部分已遭大规模攻击。

安全事件方面，现代汽车子公司泄露数百万车主敏感信息；IT服务商GlobalLogic遭Clop勒索团伙攻击，万余员工数据外泄；《华盛顿邮报》因Oracle E-Business Suite漏洞被攻破，超9000名员工及承包商信息暴露。事件均源于未及时修补的企业级应用漏洞，凸显身份管理和补丁响应短板。

风险预警方面，呈现多元化、隐蔽化威胁趋势：一是供应链攻击频发，如恶意NuGet包破坏工业PLC、GlassWorm通过Open VSX和GitHub传播、Werewolf伪装开源工具窃取云凭证；二是高级持续性威胁升级，如Lazarus组织使用ChaCha20加密后门定向打击国防与航空航天领域；三是新型攻击技术涌现，如ClickFix社工技术绕过多重验证、Akira勒索软件推出Linux版专攻Nutanix虚拟机；四是安全产品自身存在风险，如Palo Alto PAN-OS和Imunify360曝出高危漏洞，可能被用于接管设备或执行任意代码。

政策法规

1.英国政府正式提交《网络安全与韧性法案》，强化关键基础设施防护
2025年11月12日，英国政府正式向议会提交《网络安全与韧性法案》（Cyber Security and Resilience Bill），旨在全面升级现行《2018年网络与信息系统条例》（NIS Regulations），对标欧盟NIS2指令。新法案首次将约900至1100家托管服务提供商（MSPs）纳入监管范围，并授权监管机构指定关键供应商，强制其满足最低安全标准。法案要求运营商（OES）履行供应链风险管理义务，遵循国家网络安全中心（NCSC）《网络安全评估框架》实施“相称且最新”的安全措施。事件报告机制大幅收紧：重大网络安全事件须在24小时内初步通报，72小时内提交完整报告；数据中心和数字服务商还需及时通知受影响客户。此外，信息专员办公室（ICO）职权将扩大，可主动识别高风险数字服务并评估其网络风险。违规企业将面临基于营业额的高额罚款。政府数据显示，英国每年因重大网络攻击损失高达147亿英镑，占GDP的0.5%。
资料来源：https://www.infosecurity-magazine.com/news/government-cyber-security/

漏洞预警

2.CISA紧急敦促立即修补思科ASA与Firepower设备高危零日漏洞
2025年11月13日，美国网络安全与基础设施安全局（CISA）发布紧急实施指南，要求联邦机构立即修补思科自适应安全设备（ASA）和Firepower中存在的两个活跃被利用的零日漏洞：CVE-2025-20333（远程代码执行）和CVE-2025-20362（权限提升）。这些漏洞可在设备重启或升级后持续存在，构成不可接受风险。CISA强调，部分机构误以为已打补丁，实则未升级至安全版本。针对9.12和9.14软件分支，需分别更新至9.12.4.72和9.14.4.28，且须通过思科特殊发布下载获取。此外，亚马逊威胁情报团队同期发现攻击者正利用未公开的CVE-2025-20337漏洞对思科ISE进行预认证远程代码执行攻击。CISA要求所有相关设备（包括非公网设备）在48小时内完成修补，并提交核心转储数据验证。未合规机构须重新提交ED 25-03报告。
资料来源：http://jw2.d8k.top/w/ZnVrCO

3.WatchGuard Firebox防火墙现严重漏洞，已遭大规模攻击利用
2025年11月13日，网络安全公司WatchGuard近日披露其Firebox防火墙设备中存在一个高危远程代码执行漏洞（CVE-2025-4644），该漏洞已被攻击者积极利用。此漏洞源于设备管理接口中的输入验证缺陷，未经身份验证的远程攻击者可借此在目标系统上执行任意代码，完全控制受影响设备。WatchGuard于2025年11月6日发布安全公告及补丁，并强调所有运行Fireware OS v12.10.2以下版本的设备均受影响。美国网络安全与基础设施安全局（CISA）随后将该漏洞列入已知被利用漏洞目录（KEV），要求联邦机构在12月4日前完成修复。据WatchGuard观察，自10月下旬起，全球已有大量未打补丁设备遭到扫描和入侵尝试，部分攻击者部署了持久化后门和恶意代理工具。厂商强烈建议用户立即升级至Fireware OS v12.10.2或更高版本，并临时禁用外部管理访问以降低风险。
资料来源：http://lr1.d1k.top/w/SrhO6d

4.SAP修复SQL Anywhere Monitor最高危漏洞
2025年11月11日，SAP在2025年11月安全更新中修复了19项安全漏洞，其中包括一个位于SQL Anywhere Monitor（非图形界面版）中的最高严重性缺陷CVE-2025-42890，其CVSS评分为10.0（满分）。该漏洞源于硬编码凭证问题，攻击者可利用此缺陷实现远程任意代码执行，严重威胁系统的机密性、完整性和可用性。官方安全公告指出，硬编码凭据使未授权用户能够访问系统资源或功能，从而获得完全控制权。作为临时缓解措施，专家建议立即停用SQL Anywhere Monitor并删除所有现有监控数据库实例。此外，SAP还修复了另一个关键漏洞CVE-2025-42887（CVSS 9.9），存在于SAP Solution Manager中，因缺少输入验证，允许经身份认证的攻击者通过远程函数模块注入恶意代码。同时，SAP更新了10月发布的关于NetWeaver AS Java反序列化问题的安全说明（CVE-2025-42944）。目前尚无证据表明上述漏洞已被野外利用。
资料来源：http://de3.d1k.top/w/vX6Fpf

5.Triofox认证绕过漏洞遭利用，攻击者借杀毒功能部署恶意载荷
2025年11月11日，Google旗下Mandiant团队披露，威胁组织UNC6485自2025年8月24日起已积极利用Triofox平台中的高危漏洞CVE-2025-12480（CVSS评分9.1）实施攻击。该漏洞允许未经身份验证的攻击者通过伪造HTTP Host头为“localhost”，绕过访问控制，直接访问AdminAccount.aspx等管理页面，并创建名为“Cluster Admin”的管理员账户。Mandiant强调，该漏洞已在Triofox 16.7.10368.56560版本中修复，建议立即升级、审计管理员账户，并确保杀毒引擎未指向非授权脚本。
资料来源：http://sa1.d1k.top/w/9SdBA6

6.多家工业巨头同步发布ICS安全更新，修复数十高危漏洞
2025年11月12日，在2025年11月的工业控制系统（ICS）“补丁星期二”中，西门子、罗克韦尔自动化、AVEVA和施耐德电气等主要厂商集中披露并修复了多项安全漏洞。西门子共发布16项安全公告，涵盖SIMATIC、SINEMA Server、Industrial Edge等产品，其中多个漏洞被评为高危，涉及远程代码执行、权限提升及拒绝服务风险。罗克韦尔修复了FactoryTalk Optix中的关键漏洞CVE-2025-5849（CVSS 9.8），允许未经身份验证的攻击者远程执行任意代码。AVEVA则针对System Platform、Edge Gateway等平台发布了7个补丁，部分漏洞可导致信息泄露或系统崩溃。施耐德电气修补了EcoStruxure Control Expert中的一个高危漏洞（CVE-2025-3385），攻击者可借此绕过身份验证。所有厂商均建议用户尽快应用更新，并强调即使设备未直接暴露于互联网，也应视为潜在攻击目标。此次集中更新凸显工业软件供应链安全的紧迫性，CISA亦同步更新其已知被利用漏洞目录以配合响应。
资料来源：http://uf4.d8k.top/w/W91VEB

7.微软修复63个安全漏洞，含正被利用的Windows内核零日漏洞
2025年11月12日，微软在2025年11月“补丁星期二”中发布了63项安全更新，涵盖Windows、Edge浏览器及其他产品，其中包含一个已被野外积极利用的Windows内核零日漏洞CVE-2025-62215（CVSS评分7.0）。该漏洞为本地权限提升型，源于内核共享资源的竞态条件，攻击者需先获得低权限本地访问，再通过特制程序触发“双重释放”（double free）以破坏内核堆，最终获取SYSTEM权限。此外，本次更新还修复了4个“严重”级和59个“重要”级漏洞，包括两个高危远程代码执行漏洞：Graphics Component中的CVE-2025-60724（CVSS 9.8）和WSL GUI中的CVE-2025-62220（CVSS 8.8）。另值得注意的是Kerberos组件中的CVE-2025-60704（CVSS 7.5），攻击者可利用缺失的加密步骤，在中间人位置伪造任意用户身份，进而控制整个Active Directory域。专家警告，此类漏洞常与初始入侵手段（如钓鱼）结合，实现横向移动与凭证转储。微软同时修补了自10月以来Edge浏览器中的27个漏洞。
资料来源：https://thehackernews.com/2025/11/microsoft-fixes-63-security-flaws.html

安全事件

8.现代汽车子公司数据泄露，数百万车主敏感信息或遭暴露
2025年11月13日，现代汽车集团旗下IT子公司Hyundai AutoEver近日通报一起重大数据泄露事件。该公司于2025年3月1日发现系统遭入侵，调查确认攻击始于2月22日，持续至3月2日，未授权访问长达十余天。经过七个月深入调查，公司自11月起开始向受影响用户寄送通知信。尽管确切受影响人数尚未公布，但鉴于其软件覆盖北美地区约270万辆汽车，潜在影响范围巨大。据《福布斯》援引消息，泄露数据包括姓名、驾照号码及社会安全号码等高度敏感个人信息，显著增加身份盗用风险。为协助用户防范，Hyundai AutoEver提供为期两年的免费第三方信用监控服务，并聘请独立网络安全团队协助调查与响应。现代汽车方面强调，此次泄露未涉及现代美国分公司或Bluelink车载服务数据，表明事件限于AutoEver管理的特定系统。此事件再次凸显汽车行业在数字化进程中面临的严峻网络安全挑战。
资料来源：https://cybermaterial.com/hyundai-breach-risks-drivers-data/

9.GlobalLogic确认遭Clop勒索团伙攻击，万余员工敏感数据泄露
2025年11月12日，隶属于日立集团的数字工程公司GlobalLogic证实遭遇大规模数据泄露，攻击者为臭名昭著的Clop勒索软件组织。该公司已向缅因州总检察长提交披露文件，并向受影响人员发出通知。此次事件导致10,471名现任及前任员工的敏感个人信息外泄，包括姓名、住址、社会安全号码、护照信息及银行账户详情。未经授权的系统访问发生于2025年7月10日至8月20日期间，与威胁情报中关于攻击者利用Oracle E-Business Suite（EBS）漏洞发起攻击的时间线一致。Clop团伙利用编号为CVE-2025-61882和CVE-2025-61884的安全缺陷，针对暴露在公网的Oracle EBS系统实施入侵。尽管Oracle已于9月发布紧急补丁，但许多企业在此之前已被攻陷。值得注意的是，Clop此次未加密数据，而是采取纯窃取+勒索策略，通过暗网泄密站点施压受害者付款。目前该团伙已列出近30家受害组织，包括《华盛顿邮报》和安联英国等。
资料来源：https://cybermaterial.com/globallogic-confirms-data-breach/

10.《华盛顿邮报》遭Oracle EBS漏洞攻击，超9000名员工及承包商数据泄露
2025年11月13日，《华盛顿邮报》确认其企业系统因Oracle E-Business Suite（EBS）漏洞遭Clop勒索软件团伙入侵，导致9,087名现任与前任员工及承包商的敏感个人信息泄露。此次攻击利用了近期披露的两个高危漏洞CVE-2025-61882和CVE-2025-61884，攻击者通过暴露在公网的Oracle EBS实例实现未授权访问，并窃取包含姓名、社会安全号码、出生日期、家庭住址及银行账户信息在内的核心数据。值得注意的是，Clop此次未部署加密勒索，而是采取“纯窃取+威胁公开”策略，将《华盛顿邮报》列入其暗网泄密站点。事件发生于2025年夏季，公司经数月调查后于11月向受影响人员发出通知，并提供免费信用监控服务。Oracle已于2025年9月发布紧急补丁修复相关漏洞，但众多组织因未及时更新而成为攻击目标。目前已有近30家全球知名企业被该团伙点名，凸显企业资源规划（ERP）系统在供应链攻击中的关键风险。
资料来源：http://nr3.d1k.top/w/9jTQwJ

风险预警

11.恶意NuGet包潜伏三年，悄然破坏工业PLC与关键系统
2025年11月12日，Socket威胁研究团队近日披露，9个由别名“shanhai666”发布的恶意NuGet包已累计被下载9,488次，可对工业控制系统（ICS）实施隐蔽破坏。这些包在2023至2024年间发布，其中最危险的Sharp7Extend针对西门子S7 PLC，采用双重破坏机制：安装后30–90分钟内以约80%概率使PLC写操作静默失败，并在2027–2028年触发日期后以20%概率随机终止宿主进程。该包通过typosquatting冒充合法Sharp7库，捆绑完整正版代码，99%功能正常，极具欺骗性。研究人员指出，恶意逻辑通过C#扩展方法注入数据库及PLC调用，难以在常规测试中发现。攻击者还使用伪造微软代码签名证书、多作者名混淆身份等手段规避检测。尽管Socket已于2025年11月5日向NuGet举报，截至报道发布时相关包仍未下架。专家警告，此类时间延迟、概率触发的攻击极难溯源，建议立即审计依赖项并加强供应链安全审查。
资料来源：http://ln1.d1k.top/w/ZzHUzM

12.GlassWorm恶意软件卷土重来，借Open VSX与GitHub传播隐形载荷
2025年11月10日，Koi Security研究人员警告，GlassWorm恶意软件近期在Open VSX注册表和GitHub上再度活跃，已感染三个新的VS Code扩展：ai-driven-dev（3,300次下载）、adhamu.history-in-sublime-merge（4,000次下载）和yasuyuky.transient-emacs（2,400次下载），总计约10,000次安装。该恶意软件采用不可见Unicode字符隐藏JavaScript载荷，在编辑器中显示为空白，极具隐蔽性。攻击者通过Solana区块链交易动态更新C2服务器地址，但使用相同的基础设施进行数据回传。GlassWorm此前曾在10月中旬通过十余个扩展窃取NPM、GitHub、Git凭证，并针对49款加密货币扩展，累计下载量达35,000次。此次攻击还利用被盗GitHub账户推送AI生成的“合法”提交，实现自我传播。研究人员已入侵攻击者服务器，发现受害者遍布全球，包括中东某政府机构。GlassWorm不仅窃取凭证，还可能将受控设备用作代理节点。Koi强调，传统安全工具难以应对此类隐形、自传播且依赖去中心化基础设施的供应链攻击。
资料来源：http://ln1.d1k.top/w/ZzHUzM

13.CISA警告Akira勒索软件是一款针对Nutanix虚拟机的Linux加密软件
2025年11月13日，美国网络安全与基础设施安全局（CISA）发布联合网络安全咨询，警告Akira勒索软件组织已开发并部署针对Linux系统的加密器，专门攻击运行在Nutanix AHV超融合基础设施上的虚拟机（VM）。该Linux变种于2025年9月首次被发现，延续了Akira Windows版本的加密逻辑，采用AES-256加密文件，并附加“.akira”扩展名。攻击者通常通过已被入侵的Windows主机横向移动至Linux环境，在获得root权限后执行加密程序。CISA指出，Akira团伙自2023年3月活跃至今，已对全球关键基础设施、医疗、教育等多个行业发起攻击，赎金要求高达数百万美元。此次新增Linux能力显著扩大其攻击面，尤其威胁依赖Nutanix平台的企业。CISA建议立即更新系统、禁用不必要的远程访问、实施网络分段，并备份关键数据。同时提醒组织监控异常SSH登录和未授权的root活动，以识别潜在入侵。
资料来源：http://af2.d8k.top/w/uaPKRA

14.Lazarus组织启用ChaCha20加密新型Comebacker后门，定向攻击航空航天与国防领域
2025年11月14日，网络安全公司ENKI披露，朝鲜APT组织Lazarus Group近期发起针对航空航天与国防行业的定向间谍活动，使用一种采用ChaCha20和AES双重加密的新版Comebacker后门。攻击始于伪装成Edge Group、IIT Kanpur及Airbus等机构的恶意Word文档（如“Airbus_C295_Integration_Document_for_TASL.docx”），诱导受害者启用VBA宏。宏代码解密并释放两个组件：一个Loader DLL（wpsoffice_aam.ocx）和一个诱饵文档。感染链分三阶段：第一阶段使用ChaCha20解密下一载荷并写入USOPrivate.dll；第二阶段再次用ChaCha20加载最终后门至内存；第三阶段生成唯一受害者ID，通过PowerShell创建持久化快捷方式，并以AES-128-CBC加密（密钥与IV相同）经HTTPS与C2域名hiremployee[.]com通信。ENKI还发现关联域名birancearea[.]com，活动可追溯至2025年3月。该行动标志着Lazarus从针对安全研究人员转向工业与国防情报窃取。
资料来源：http://th1.d1k.top/w/X5OwaZ

15.npm注册表现严重安全缺陷，恶意包可绕过审查机制潜伏
2025年11月13日，安全研究人员披露npm JavaScript包注册表存在重大安全漏洞，允许攻击者上传包含恶意代码的包并绕过平台的安全审查机制。该问题源于npm在处理依赖解析和版本发布时的逻辑缺陷，使得恶意包即使触发自动化扫描警报，仍可能通过版本回滚、元数据混淆或延迟激活载荷等方式成功上架。研究人员演示了多个概念验证包，其中部分包在安装后数小时或特定环境条件下才执行恶意行为，如窃取环境变量、外传敏感文件或建立反向Shell。此类攻击特别针对开发者工作流，一旦被集成至项目依赖链，将影响下游数千应用。尽管npm官方已部署部分缓解措施，包括增强静态分析和引入更严格的发布审核，但专家指出其开源生态的开放性与快速迭代特性使彻底防御极为困难。建议开发者启用依赖锁定、定期审计node_modules，并使用第三方供应链安全工具监控异常行为。
资料来源：https://gbhackers.com/npm-registry/

16.Cavalry安全公司披露“Werewolf”新型供应链攻击，伪装开源工具窃取云凭证
2025年11月13日，网络安全公司Cavalry近日披露一起名为“Werewolf”的高级供应链攻击活动，攻击者通过伪造流行开源开发工具（如Terraform、kubectl插件）在GitHub和公共包仓库中分发恶意版本。这些伪装包使用与合法项目高度相似的名称和文档，并包含功能完整的代码以规避怀疑，但在后台静默执行恶意载荷。一旦开发者安装或运行，恶意程序会扫描本地环境变量、配置文件及凭据存储，窃取AWS、Azure和Google Cloud的访问密钥，并通过加密通道回传至攻击者控制的C2服务器。研究人员发现，部分样本采用Go语言编写，具备跨平台能力，并利用DNS隧道进行隐蔽通信。此次攻击已持续数月，目标集中于金融科技、云计算服务和DevOps团队。Cavalry强调，攻击者还注册了仿冒域名用于托管文档和更新脚本，进一步增强欺骗性。建议组织加强软件来源验证、启用SBOM（软件物料清单）并监控异常云API调用。
资料来源：http://ne2.d8k.top/w/ln0U6A

17.Palo Alto PAN-OS高危漏洞可致防火墙强制重启，影响多版本设备
2025年11月14日，Palo Alto Networks披露其PAN-OS防火墙操作系统存在一个拒绝服务漏洞（CVE-2025-4619），攻击者可利用特制网络数据包触发未授权的防火墙强制重启。该漏洞影响PA-Series、VM-Series及Prisma Access部署中运行特定PAN-OS版本的设备，尤其当系统启用了URL代理或SSL解密策略时——此类配置在企业环境中极为常见。值得注意的是，即使流量未匹配明确的解密或不解密策略，漏洞仍可能被触发，显著扩大攻击面。CVSS 4.0评分为6.6（整体）但基础分高达8.7，归类为低攻击复杂度、无需用户交互、无权限要求，对暴露于互联网的设备构成严重威胁。反复利用可使设备进入维护模式，导致安全防护中断。受影响版本包括PAN-OS 10.2、11.1及11.2的部分构建；10.1、11.2.5及以上、12.1版本不受影响。官方已为Prisma Access用户完成大规模自动升级，并发布修复版本：11.2分支需升级至11.2.2-h2、11.2.3-h6、11.2.4-h4或11.2.5+，11.1用户应更新至11.1.2-h18或更高。目前尚无野外利用报告。
资料来源：https://gbhackers.com/palo-alto-pan-os-flaw/

18.Imunify360曝高危漏洞，攻击者可远程执行任意代码
2025年11月14日，安全研究人员披露CloudLinux旗下广受欢迎的服务器安全产品Imunify360存在一个严重远程代码执行漏洞（CVE-2025-38476），CVSS评分为9.8（近乎最高）。该漏洞源于Imunify360 Web界面中对用户输入的不当处理，未经身份验证的远程攻击者可通过构造恶意HTTP请求，在目标服务器上以root权限执行任意命令。由于Imunify360通常部署于共享主机和云环境中，此漏洞一旦被利用，可能导致大规模服务器沦陷、数据窃取或横向渗透。受影响版本涵盖6.15至6.18之间的多个发布版本。CloudLinux已于2025年11月12日紧急发布修复补丁，并强烈建议所有用户立即升级至6.18.1或更高版本。目前尚无公开证据表明该漏洞已被野外主动利用，但鉴于其极低的利用门槛和高危等级，安全社区已发出高度预警。专家同时建议临时限制Imunify360管理接口的网络访问，仅允许可信IP连接。
资料来源：http://0e4.d8k.top/w/lZ0f46

19.黑客利用ClickFix技术部署NetSupport RAT加载器
2025年11月14日，网络安全公司Proofpoint披露一种名为“ClickFix”的新型社会工程攻击技术，攻击者借此诱骗用户主动批准恶意登录请求，从而绕过多重身份验证（MFA）保护。该手法主要针对使用Microsoft Entra ID（原Azure AD）的组织，攻击者在获取用户名后，通过密码喷洒或凭证泄露尝试发起登录，触发向受害者设备推送的MFA通知。随后，攻击者发送伪装成IT支持或账户异常警报的钓鱼邮件或短信，诱导用户点击“修复问题”或“确认登录”按钮——实则为批准恶意会话。由于用户误以为是在解决技术故障，往往主动授权攻击者的访问请求。Proofpoint指出，此类攻击成功率高、隐蔽性强，且不依赖恶意软件，传统端点防护难以检测。2025年第三季度，该公司观察到ClickFix相关活动激增，尤其集中于教育、医疗和金融行业。专家建议组织启用条件访问策略、限制MFA批准方式（如禁用“Approve/Deny”按钮）、部署身份风险检测，并对员工开展针对性安全意识培训。
资料来源：https://gbhackers.com/hackers-use-clickfix-technique/

20.FortiWeb漏洞遭活跃利用，攻击者可创建管理员账户接管设备
2025年11月13日，Fortinet警告其FortiWeb Web应用防火墙中的一个高危漏洞（CVE-2025-61889）正被攻击者积极利用。该漏洞源于设备管理界面的身份验证绕过缺陷，未经身份验证的远程攻击者可发送特制请求，在受影响系统中创建具有完全管理权限的新用户账户，从而完全控制设备。漏洞CVSS评分为9.8（严重级别），影响FortiWeb 7.4.0至7.4.2及7.2.0至7.2.6等多个版本。更令人担忧的是，该漏洞的公开概念验证（PoC）代码已于2025年11月11日发布，极大降低了攻击门槛。Fortinet在11月12日紧急发布安全更新（7.4.3、7.2.7等），并确认已观察到野外攻击活动。美国网络安全与基础设施安全局（CISA）随后将此漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在12月4日前完成修补。专家建议用户立即升级固件，若无法及时更新，应限制管理接口的网络访问范围，并监控异常管理员账户创建行为。
资料来源：http://fl2.d8k.top/w/6YQkud