漏洞预警方面，TP-Link路由器漏洞可能暴露工业系统，并提供缓解措施；微软为ASP.NET Core漏洞评定“史上最高”严重等级；美国CISA将MOTEX LANSCOPE漏洞添加到其已知被利用漏洞目录中；WATCHGUARD FIREWARE存在严重漏洞，可能允许未经身份验证的代码执行；TP-LINK在发现严重漏洞后敦促立即更新OMADA网关；Async-Tar Rust库中的TARmageddon漏洞可能导致远程代码执行；Lanscope 端点管理器关键漏洞已被利用于持续的网络攻击；新修补的Microsoft WSUS关键漏洞正受到积极利用。

安全事件方面，澳大利亚流体动力公司遭受网络攻击；犯罪组织利用Oracle漏洞攻击美国航空子公司Envoy Air；俄罗斯LYNK组织泄露英国国防部敏感文件，包括八个军事基地的信息。

风险预警方面，供应链攻击利用“GlassWorm”恶意软件攻击VS Code扩展；LAZARUS在无人机主题的“梦想工作行动”中瞄准欧洲国防公司；CAPI后门针对俄罗斯汽车和电子商务行业；F5漏洞导致全球262,000个BIG-IP系统暴露；WINOS 4.0黑客将新恶意软件扩展到日本和马来西亚；自我传播的“GlassWorm”感染VS Code扩展程序，引发大规模供应链攻击；与伊朗有关的MuddyWater在全球间谍活动中瞄准了100多个组织；与巴基斯坦相关的TransparentTribe APT组织部署 AI辅助DeskRAT恶意软件，攻击印度的BOSS Linux系统；PassiveNeuron网络间谍活动卷土重来：APT滥用MS SQL服务器部署隐秘的Neursite后门。

漏洞预警

1.TP-Link路由器漏洞可能暴露工业系统，并提供缓解措施
2025年10月23日，Forescout Technologies的最新数据显示，TP-Link Omada和Festa VPN路由器存在两个严重漏洞，这些路由器部署在从太阳能逆变器到可编程逻辑控制器等各种联网设备上。CVE-2025-7850允许通过WireGuard VPN设置注入操作系统命令，而CVE-2025-7851则允许通过残留调试代码进行未经授权的root访问。CVE-2024-21827的部分修复导致调试功能暴露，从而开启了新的攻击途径。Forescout建议各组织尽快为TP-Link Omada和Festa VPN路由器以及其他面向互联网的设备安装供应商固件更新。这些漏洞是在当时最新的固件版本V2.6_2.1.3中发现的，尽管其他多个版本也受到影响，供应商公告提供了更多详细信息。
资料来源：http://3k3.d1k.top/w/pQ3JjL

2.微软为ASP.NET Core漏洞评定“史上最高”严重等级
2025年10月17日，微软新解决了ASP.NET Core开源Web开发框架中的一个严重漏洞。该漏洞的编号为CVE-2025-55315，CVSS评分为9.9，.NET安全项目经理Barry Dorrans表示，这是ASP.NET Core问题“有史以来的最高评分”。该问题被描述为一个HTTP请求走私漏洞，可用于绕过网络上的安全功能。它是在ASP.NET Core的内置Web服务器Kestrel中发现的。本质上，该安全缺陷允许攻击者通过将一个HTTP请求隐藏在另一个请求中来触发各种应用程序行为。微软已针对Microsoft Visual Studio 2022版本 17.14、17.12 和 17.10以及ASP.NET Core版本2.3、8.0、9.0和10.0 RC1发布了更新，修复了该漏洞。此外，微软还发布了Microsoft.AspNetCore.Server.Kestrel.Core版本2.3.6，修复了该漏洞。
资料来源：http://fg1.d1k.top/w/Rgghi5

3.美国CISA将MOTEX LANSCOPE漏洞添加到其已知被利用漏洞目录中
2025年10月23日，美国网络安全和基础设施安全局(CISA)将Motex LANSCOPE漏洞（编号为CVE-2025-61932，CVSS v4评分为9.3）添加到其已知被利用漏洞(KEV)目录中。该缺陷是由于对通信通道漏洞来源的验证不当，导致攻击者通过发送特制数据包来执行任意代码。根据具有约束力的运营指令(BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已发现的漏洞，以保护其网络免受利用目录中的漏洞的攻击。专家还建议私人组织审查该目录并解决其基础设施中的漏洞。
资料来源：http://dd1.d1k.top/w/KiNALg

4.WATCHGUARD FIREWARE存在严重漏洞，可能允许未经身份验证的代码执行
2025年10月17日，研究人员披露了WatchGuard Fireware中一个严重漏洞的详细信息，该漏洞编号为CVE-2025-9242（CVSS评分为9.3）。未经身份验证的攻击者可以利用该漏洞执行任意代码。该漏洞是一个越界写入问题，影响Fireware操作系统版本11.10.2–11.12.4_Update1、12.0–12.11.3和2025.1。WatchGuard Fireware OS中存在一个越界写入漏洞，可能允许远程未经身份验证的攻击者执行任意代码。此漏洞会影响使用IKEv2的移动用户VPN以及使用IKEv2配置动态网关的分支机构VPN。该漏洞影响Fireware OS 11.10.2 至 11.12.4_Update1 版本、12.0至12.11.3 版本以及2025.1 版本。
资料来源：http://e42.d8k.top/w/6FVXGD

5.TP-LINK在发现严重漏洞后敦促立即更新OMADA网关
2025年10月22日，TP-Link警告用户其Omada网关设备存在严重漏洞。这家台湾公司本周发布了两份安全公告，概述了影响ER、G和FR系列十多款产品的四个漏洞。TP-Link已发布固件更新以解决这些问题，并敦促用户立即安装。最严重的漏洞是 CVE-2025-6542（CVSS评分为9.3），它是一个影响Omada网关的任意操作系统命令。该供应商修复了第二个命令关键漏洞，编号为CVE-2025-7850（CVSS评分为9.3）。该漏洞是一个命令注入问题，攻击者可以在管理员在Omada网关的Web门户上进行身份验证后利用该漏洞。供应商修复的另外两个漏洞是：CVE-2025-7851（CVSS评分8.7）–Omada的root访问漏洞；攻击者可以利用Omada网关的限制条件获取底层的 root shell。CVE-2025-6541（CVSS 评分为 8.6）；可以登录Web管理界面的用户或未经身份验证的远程攻击者可以在Omada网关上执行任意操作系统命令。TP-Link敦促所有用户更新固件、更改Omada网关弱密码；限制对设备管理访问。
资料来源：http://ch4.d8k.top/w/13X2w5

6.Async-Tar Rust库中的TARmageddon漏洞可能导致远程代码执行
2025年10月22日，网络安全研究人员披露了影响流行的async-tar Rust库及其分支（包括 tokio-tar）的高严重性漏洞的详细信息，该漏洞可能在某些条件下导致远程代码执行。该漏洞编号CVE-2025-62518（CVSS评分：8.1），Edera公司将其代号为TARmageddon，它影响了几个广泛使用的项目，例如testcontainers和wasmCloud。问题更加严重的是，尽管tokio-tar通过crates.io 吸引了数千次下载，但它本质上是一个废弃软件。Tokio-tar是一个Rust库，用于异步读写TAR档案，它构建于编程语言的Tokio运行时之上。由于没有针对tokio-tar的补丁，建议依赖该库的用户迁移到astral-tokio-tar，该库已发布0.5.6版本来修复该缺陷。“虽然Rust的保证使得引入内存安全漏洞（例如缓冲区溢出或释放后使用）变得更加困难，但它并不能消除逻辑漏洞——而这种解析不一致从根本上来说是一种逻辑缺陷，”Edera说道。“无论使用哪种语言，开发人员都必须对所有类型的漏洞保持警惕。”
资料来源：https://thehackernews.com/2025/10/tarmageddon-flaw-in-async-tar-rust.html

7.Lanscope 端点管理器关键漏洞已被利用于持续的网络攻击
2025年10月23日，美国网络安全和基础设施安全局(CISA)周三将影响Motex Lanscope Endpoint Manager的严重安全漏洞添加到其已知被利用的漏洞( KEV )目录中，并指出该漏洞已被积极利用。该漏洞CVE-2025-61932（CVSS v4评分：9.3）影响Lanscope Endpoint Manager的本地版本，特别是客户端程序和检测代理，并可能允许攻击者在易受攻击的系统上执行任意代码。CISA表示：“Motex LANSCOPE Endpoint Manager存在通信通道漏洞源验证不当的问题，允许攻击者通过发送特制数据包来执行任意代码。”目前尚不清楚该漏洞在实际攻击中是如何被利用的，幕后黑手是谁，以及攻击规模有多大。根据公告中提供的信息，该漏洞似乎正在被利用，在受感染的系统上植入未指明的后门。
资料来源：https://thehackernews.com/2025/10/critical-lanscope-endpoint-manager-bug.html

8.新修补的Microsoft WSUS关键漏洞正受到积极利用
2025年10月24日，微软周四发布了带外安全更新，以修补严重程度极高的Windows服务器更新服务(WSUS)漏洞，该漏洞具有公开的概念验证(Poc)漏洞，并且已在野外遭到积极利用。该漏洞编号为CVE-2025-59287（CVSS评分：9.8），是WSUS中的一个远程代码执行漏洞，已更新中修复。该缺陷涉及WSUS中不受信任数据的反序列化，允许未经授权的攻击者通过网络执行代码。值得注意的是，该漏洞不会影响未启用WSUS服务器角色的Windows服务器。在假设的攻击场景中，远程未经身份验证的攻击者可以发送精心设计的事件，触发“传统序列化机制”中不安全的对象反序列化，从而导致远程代码执行。鉴于PoC漏洞的可用性以及检测到的利用活动，用户必须尽快应用补丁以缓解威胁。
资料来源：https://thehackernews.com/2025/10/microsoft-issues-emergency-patch-for.html

安全事件

9.澳大利亚流体动力公司遭受网络攻击
2025年10月20日，澳大利亚液压设备供应商Aussie Fluid Power已确认其遭遇安全事件，部分IT系统遭第三方未经授权访问。该公司指出，在获取更多有关泄露信息的信息之前，客户或供应商无需采取行动，只需保持警惕，保护在线和电子隐私即可。勒索软件组织Anubis声称对Aussie Fluid Power的网络攻击负责。澳大利亚网络安全中心 (ACSC)报告称，关键基础设施继续成为国家支持的网络攻击者、网络犯罪分子和黑客行动主义者的攻击目标。这是因为这些关键组织掌握着敏感数据，并且它们在提供支持澳大利亚国家韧性、主权和繁荣的服务方面发挥着重要作用。Dragos报告称，过去一年针对工业组织的勒索软件攻击激增 87%，其中影响OT/ICS系统的攻击增加了60%。这些攻击导致生产线停工、供应链中断以及敏感数据泄露。
资料来源：http://cs2.d8k.top/w/JS1yJe

10.犯罪组织利用Oracle漏洞攻击美国航空子公司Envoy Air
2025年10月20日，美国航空子公司Envoy Air已确认受到最近针对使用Oracle电子商务套件(EBS)企业管理解决方案的组织的网络犯罪活动的影响。上周晚些时候，美国航空公司被列入了Cl0p勒索软件组织基于Tor的泄密网站。甲骨文EBS攻击活动已被Cl0p以“名义”宣称发起，并与一个名为FIN11的网络犯罪组织存在关联。Envoy在向媒体发表的声明中证实受到Oracle EBS活动的影响，但该公司表示，调查显示客户或其他敏感数据并未受到泄露。Oracle最初表示，此次攻击涉及7月份已修补的已知漏洞，随后又宣布了针对该攻击活动明显利用的零日漏洞(CVE-2025-61882) 的补丁。该软件巨头还修复了另一个可泄露敏感数据的EBS漏洞CVE-2025-61884，但尚未说明该漏洞是否也已被利用。
资料来源：http://im2.d8k.top/w/U1xmix

11.俄罗斯LYNK组织泄露英国国防部敏感文件，包括八个军事基地的信息
2025年10月20日，俄罗斯网络犯罪集团Lynx入侵了英国国防部承包商多德集团（Dodd Group），窃取并泄露了英国皇家空军和皇家海军八个基地的数百份敏感文件。泄露的数据包括员工姓名和电子邮件、承包商姓名、电话号码、车辆详细信息和国防部员工联系方式，其中一些文件被标记为“受控”或“官方敏感”。多德集团至今仍是英国领先的私营工程和设施管理公司之一。该勒索软件团伙将该公司添加到其Tor数据泄露网站，声称窃取了约4 TB的数据。该团伙很可能在谈判失败后就开始泄露被盗数据。据《每日邮报》报道，泄露的国防部文件披露了英国皇家空军和海军基地的敏感细节，包括莱肯希思（美国 F-35 战机驻扎地）、波特里斯（北约雷达站）和普雷丹纳克（英国无人机中心）。多德集团披露了数据泄露事件，公司发言人表示，只有“有限的数据”被盗。
资料来源：http://193.d1k.top/w/YcsUvq

风险预警

12.供应链攻击利用“GlassWorm”恶意软件攻击VS Code扩展
2025年10月21日，Koi Security报告称，Visual Studio开发人员通过OpenVSX市场遭受到复杂供应链攻击，成为自我传播蠕虫病毒的目标。这款恶意软件被称为GlassWorm，其目的是从受害者的机器中窃取敏感信息，包括NPM、GitHub和Git凭证，并从49个加密货币扩展中窃取资金。此外，它还在受感染的机器上部署SOCKS代理服务器，安装隐藏的VNC服务器以便攻击者可以远程访问系统，并通过使用窃取的凭据破坏软件包和扩展来传播自身。Koi Security 指出，该蠕虫的突出之处在于它使用了 Unicode 变体选择器，这种选择器不会产生视觉输出，而是将代码隐藏在代码编辑器中，使人眼无法看到。
资料来源：http://pt4.d8k.top/w/WjNxea

13.LAZARUS在无人机主题的“梦想工作行动”中瞄准欧洲国防公司
2025年10月23日，与朝鲜有关联的Lazarus APT组织（又名“隐藏眼镜蛇”）发起了“梦想工作行动”，入侵了三家欧洲国防公司。威胁行为者利用虚假的招聘人员资料，诱骗员工担任无人机技术职位，旨在通过有针对性的社会工程手段获取敏感信息。该恶意软件于 2022 年首次出现在以空客为主题的招聘诱饵中，此后其目标已扩展到葡萄牙、德国、印度、波兰、英国和意大利的公司。该恶意代码很可能是Operation DreamJob攻击的关键载荷，它通过小规模更新不断演变，并与LightlessCan等Lazarus工具共享一些特征。此次“梦想工作行动”在很大程度上旨在收集无人机相关技术的敏感信息。
资料来源：http://9v3.d1k.top/w/tO02qo

14.CAPI后门针对俄罗斯汽车和电子商务行业
2025年10月20日，Seqrite Labs的网络安全研究人员发现了一项名为Operation MotorBeacon的新活动，该活动针对俄罗斯汽车和电子商务行业，使用一种之前未知的 .NET恶意软件（称为 CAPI Backdoor）。Seqrite Labs发布的报告指出：“SEQRITE 实验室研究团队最近发现了一项针对俄罗斯汽车商务行业的攻击活动，该行业涉及商业和汽车交易，我们发现攻击者使用了未知的 .NET 恶意软件，我们将其命名为 CAPI 后门。”攻击链始于网络钓鱼电子邮件。CAPI后门支持多种功能，例如窃取浏览器数据（Chrome、Edge、Firefox）、截取屏幕截图、收集系统信息、列出文件夹并泄露结果。该恶意软件会运行多个虚拟机/分析检查，并通过创建计划任务并在 Windows 启动文件夹中放置 LNK 来建立持久性，从而从漫游目录自动启动后门 DLL。
资料来源：http://pm3.d1k.top/w/LHoauK

15.F5漏洞导致全球262,000个BIG-IP系统暴露
2025年10月20日，在最近的一次F5漏洞中，威胁行为者利用未公开的漏洞窃取了源代码和数据，导致超过262,000台F5 BIG-IP设备暴露。10月中旬，网络安全公司F5披露了2025年8月发生的一起高度复杂的国家行为体入侵事件。威胁行为体入侵了其系统并窃取了BIG-IP的源代码以及与未公开漏洞相关的信息。F5针对此次漏洞采取了广泛的遏制和强化措施，以保护其系统和客户。该公司采取了凭证轮换、加强访问控制、自动化补丁管理以及改进监控和网络安全等措施。用户应及时安装BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端的最新更新，以确保全面保护。
资料来源：http://jz1.d1k.top/w/8QRt6q

16.WINOS 4.0黑客将新恶意软件扩展到日本和马来西亚
2025年10月18日，Winos 4.0（ValleyRAT）背后的威胁行为者已将攻击范围从中国大陆和中国台湾扩大到日本和马来西亚，使用伪造的财政部PDF传播HoldingHands RAT恶意软件。攻击者使用了另一个远程访问木马(RAT)，追踪名称为HoldingHands RAT（又名Gh0stBins）。该活动依赖于包含嵌入恶意链接的PDF的网络钓鱼消息。大多数恶意链接指向腾讯云，其独特的账户ID使分析师能够追踪多个钓鱼文件，指向同一个威胁运营者。攻击者从使用云存储链接演变为包含“tw”的自定义域名，这表明其目标主要集中在台湾地区。其中一个伪装成台湾税法草案的PDF文件将用户重定向到一个日语网站，该网站传播了HoldingHands攻击载荷，并通过共享的C2 IP（156.251.17[.]9）和调试路径“BackDoor.pdb”将两个攻击活动关联起来。报告总结道：“威胁行为者持续依赖网络钓鱼诱饵和分层规避来传播恶意软件，同时掩盖其活动。然而，这些相同的策略却提供了宝贵的线索，将跨境攻击活动联系起来。”
资料来源：http://oi2.d8k.top/w/KtqtLS

17.自我传播的“GlassWorm”感染VS Code扩展程序，引发大规模供应链攻击
2025年10月24日，网络安全研究人员发现了一种自我传播的蠕虫，它通过Open VSX Registry和Microsoft Extension Marketplace上的Visual Studio Code (VS Code)扩展进行传播，这凸显了开发人员已成为攻击的主要目标。这一复杂的威胁被Koi Security命名为GlassWorm ，是继2025年9月中旬针对npm生态系统的Shai-Hulud蠕虫病毒之后，在一个月内第二次袭击DevOps领域的供应链攻击。攻击的最终目标是获取npm、Open VSX、GitHub和Git凭证，从49种不同的加密货币钱包扩展中抽取资金，部署SOCKS代理服务器将开发人员机器变成犯罪活动的渠道，安装隐藏的VNC（HVNC）服务器进行远程访问，并利用被盗凭证来破坏其他软件包和扩展以进行进一步传播。
资料来源：https://thehackernews.com/2025/10/self-spreading-glassworm-infects-vs.html

18.与伊朗有关的MuddyWater在全球间谍活动中瞄准了100多个组织
2025年10月22日，伊朗民族国家组织MuddyWater被指参与了一项新活动，该活动利用被盗的电子邮件账户向中东和北非(MENA)地区的各个组织（包括100多个政府实体）分发名为Phoenix的后门。此次攻击活动的四分之三以上目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。安全研究人员Mahmoud Zohdy和Mansour Alhmoud表示：“MuddyWater通过NordVPN（威胁行为者滥用的合法服务）访问了受感染的邮箱，并利用它发送看似真实信件的网络钓鱼电子邮件。”研究人员表示：“通过部署更新的恶意软件变种（例如Phoenix v4后门、FakeUpdate注入器和自定义凭证窃取工具）以及合法的RMM实用程序（例如PDQ和Action1），MuddyWater展示了将自定义代码与商业工具集成的增强能力，以提高隐蔽性和持久性。”
资料来源：https://thehackernews.com/2025/10/iran-linked-muddywater-targets-100.html

19.与巴基斯坦相关的TransparentTribe APT组织部署 AI辅助DeskRAT恶意软件，攻击印度的BOSS Linux系统
2025年10月24日，Sekoia威胁检测与研究(TDR)团队发现了与巴基斯坦有关联的组织 TransparentTribe（APT36，也称为Operation C-Major）发起的新一波网络间谍活动，该组织针对使用基于Linux的BOSS操作系统的印度政府和国防实体。此次攻击活动于2025年8月至9月期间活跃，传播了一种名为DeskRAT的基于Golang的远程访问木马 (RAT)，标志着该组织Linux攻击能力的重大提升。TDR团队还指出，鉴于该恶意软件内部功能的统一且描述性的命名，其开发很可能得到了大型语言模型(LLM)的协助。Sekoia的分析凸显了TransparentTribe演变的新阶段——将人工智能辅助恶意软件生成、Linux攻击和地缘政治诱惑融合成一场紧密结合的间谍活动。通过聚焦印度政府环境中使用的BOSS Linux发行版，该组织展示了其向防御薄弱平台的战略重心转移。
资料来源：http://yh2.d8k.top/w/7UY7SR

20.PassiveNeuron网络间谍活动卷土重来：APT滥用MS SQL服务器部署隐秘的Neursite后门
2025年10月22日，卡巴斯基研究人员发现了有关PassiveNeuron的新细节。PassiveNeuron是一个长期存在的网络间谍活动，主要针对亚洲、非洲和拉丁美洲的政府、金融和工业组织。该活动与名为“Neursite”和“NeuralExecutor”的定制植入程序相关联，在沉寂六个月后再次出现，部署了复杂的多阶段感染链，滥用Microsoft SQL服务器作为初始入口点。卡巴斯基的分析显示，攻击者最初通 Microsoft SQL软件在受感染的Windows Server 计算机上远程执行命令。具体的入侵媒介尚不清楚，但研究人员概述了三种可能的方法：利用SQL Server漏洞、Web应用程序中的SQL注入或对数据库管理员帐户的凭证进行暴力破解。一旦获得访问权限，攻击者就会尝试部署ASPX Web Shell，但被卡巴斯基的检测系统阻止。
资料来源：http://bq1.d1k.top/w/qQ61Fl