政策法规方面，中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》；日本国会通过主动网络防御法。

漏洞预警方面，Netwrix密码管理器和GitLab Duo漏洞可导致远程代码执行或源代码窃取；Fortinet 0day漏洞的PoC已公开，风险加剧。思科身份服务RADIUS进程漏洞致使攻击者触发DoS攻击和pfSense防火墙的漏洞可能引发拒绝服务（DoS）或恶意代码注入。是glibc漏洞，影响数百万Linux系统，允许代码执行攻击。

安全事件方面，LummaC2恶意软件针对美国关键基础设施发起攻击；以色列CELLCOM无线网络因攻击中断一周；俄罗斯APT28组织攻击乌克兰国防相关的全球物流。西班牙电信遭遇大规模宕机，大众汽车遭黑客入侵导致车主数据泄露。此外，ViciousTrap黑客入侵50多个品牌的5,500多台边缘设备，将其转变为蜜罐。

风险预警方面，勒索软件攻击激增，人工智能驱动策略导致工业领域遭受攻击数量急剧上升；勒索软件团伙开始利用新型Skitnet恶意软件实施攻击，该恶意软件具有隐秘数据窃取和远程访问功能。

产业发展方面，全球网络安全机构发布AI数据安全指南强调数据完整性是薄弱环节。

政策法规

1.中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》
2025年5月20日报道，中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》（以下简称《工作要点》）。《工作要点》明确了2025年工作目标：到2025年末，全面建成全球领先的IPv6技术、产业、设施、应用和安全体系。IPv6活跃用户数达到8.5亿，物联网IPv6连接数达到11亿，固定网络IPv6流量占比达到27%，移动网络IPv6流量占比达到70%。IPv6内生发展动力明显提升，市场驱动作用发挥更加有效。IPv6使用体验明显提升，IPv6端到端网络性能持续优化，支持IPv6的内容源规模持续扩大，新增网络、应用、服务、终端等默认启用IPv6。政企机构IPv6部署水平明显提升，党政机关办公网络IPv6升级改造力度持续加大，企事业单位互联网专线IPv6流量占比显著提高。IPv6单栈部署力度持续加大，单栈应用推广范围进一步拓展。IPv6创新生态持续完善，IPv6标准体系更加健全。IPv6安全能力持续改进，各类安全产品的IPv6功能进一步丰富、防护能力进一步提高。
资料来源：https://www.cac.gov.cn/2025-05/20/c_1749446498560205.htm

2.日本国会通过主动网络防御法
2025年5月19日，日本国会周五通过了拖延已久的主动网络防御法案，为政府机构监控外部电信、对网络攻击迹象采取先发制人的反应（包括摧毁攻击者的服务器）铺平了道路。《网络防御法》将于2027年生效，该法将授权政府机构监控来自海外并到达日本终端用户的电子通信，以及经由日本进行的外国间通信。日本自卫队和警方将主导调查，并摧毁攻击者的服务器，以防止造成更大范围的后果。
资料来源：https://www.bankinfosecurity.com/japanese-parliament-passes-active-cyber-defense-law-a-28430

漏洞预警

3.Netwrix密码管理器存在高危漏洞，可导致经过认证的远程代码执行
2025年5月22日，Netwrix Password Secure（一种广泛使用的企业密码管理解决方案）中发现了一个严重的安全漏洞，可能允许经过身份验证的攻击者在其他用户的系统上执行远程代码。该缺陷在 9.2.2 及更高版本中被发现，包括客户端 (PSC) 和服务器 (PSS) 组件的特定版本9.2.0.32454，对依赖该软件进行安全凭证管理的组织构成重大风险。该漏洞由8com的安全研究人员披露，源于应用程序文档共享功能中的一个缺陷，该缺陷可在特定条件下被利用来运行恶意负载。
资料来源：https://gbhackers.com/critical-vulnerability-in-netwrix-password-manager/

4.GitLab Duo漏洞遭利用，可注入恶意链接并窃取源代码
2025年5月23日，GitLab Duo是集成到GitLab基于Anthropic的Claude模型的AI编码助手，最近被发现存在安全漏洞。Legit Security的安全研究人员透露，攻击者可以利用间接提示注入漏洞窃取私人源代码、操纵AI生成的代码建议，甚至泄露机密的零日漏洞——所有这些都是通过看似无害的项目内容实现的。提示注入是一类影响大型语言模型（LLM）的漏洞，攻击者在人工智能处理的数据中嵌入恶意指令。GitLab Duo事件强调了将所有AI摄取的内容视为潜在恶意内容的迫切需要。
资料来源：https://gbhackers.com/gitlab-duo-vulnerability-exploited/

5.Fortinet 0day漏洞遭攻击：PoC现已公开
2025年5月23日，FortiGuard Labs发布了一份紧急公告，详细说明了一个严重漏洞CVE-2025-32756，该漏洞影响多款Fortinet产品，包括FortiCamera、FortiMail、FortiNDR、FortiRecorder和FortiVoice。该漏洞是位于管理API中的基于堆栈的缓冲区溢出，具体来说是在处理会话cookie时。该漏洞允许未经身份验证的远程代码执行，使其成为攻击者的主要目标。鉴于该漏洞的持续利用和严重性，必须立即采取行动来保护受影响的系统。
资料来源：https://gbhackers.com/fortinet-zero-day-poc/

6.思科身份服务RADIUS进程漏洞致使攻击者触发DoS攻击
2025年5月22日，思科披露了一个影响其身份服务引擎 (ISE) 的高严重性漏洞，该漏洞可能允许未经身份验证的远程攻击者造成拒绝服务状况。 该漏洞编号为CVE-2025-20152，CVSS评分为 8.6，反映出其对依赖Cisco ISE进行网络身份验证服务的企业网络可能造成严重影响。该漏洞存在于思科ISE的RADIUS消息处理功能中。思科安全研究人员在内部安全测试中发现了该漏洞，思科产品安全事件响应团队（PSIRT）表示，目前尚未发现任何外部攻击。
资料来源：https://cybersecuritynews.com/cisco-identity-services-radius-vulnerability/

7.PowerDNS漏洞使攻击者能够通过恶意TCP连接触发DoS攻击
2025年5月21日，PowerDNS 发布了一个重要更新，以解决其DNS代理和负载均衡器 DNSdist 中的一个高严重性漏洞，该漏洞可能允许未经身份验证的攻击者通过特制的 TCP 连接导致服务中断。该漏洞编号为 CVE-2025-30193，CVSS 评分为 7.5，影响 2025年5 月20日发布的1.9.10之前的所有DNSdist版本。该安全漏洞使远程攻击者能够利用 DNSdist 管理 TCP 连接的方式来 触发拒绝服务 (DoS)条件。安全专家建议DNS管理员立即审核其DNSdist 配置，主要关注TCP连接参数。 在生产环境中使用DNSdist的组织应优先考虑此更新，以维护其DNS基础设施的稳定性和安全性。
资料来源：https://cybersecuritynews.com/powerdns-vulnerability/

8.pfSense防火墙存在多个漏洞，攻击者可利用这些漏洞注入恶意代码
2025年5月20日，pfSense防火墙软件中存在三个严重漏洞，可能允许经过身份验证的攻击者注入恶意代码、操纵云备份，并可能实现远程代码执行。这些漏洞影响2.8.0 beta版本之前的pfSense社区版 (CE) 和相应的pfSense Plus版本。这些缺陷（CVE-2024-57273、CVE-2024-54780 和 CVE-2024-54779）利用了自动配置备份 (ACB) 服务、OpenVPN小部件和仪表板小部件中的弱点。用户应更新到pfSense CE版本2.8.0或更高版本，或相应版本的pfSense Plus，以减轻这些风险。对于无法立即更新的用户，安装系统补丁包并应用建议的修复可以提供临时保护。
资料来源：https://cybersecuritynews.com/pfsense-firewall-vulnerabilities/

9.glibc漏洞导致数百万Linux系统面临代码执行攻击
2025年5月19日，GNU C库 (glibc) 中的一个严重漏洞，可能使数百万Linux系统遭受本地权限提升攻击。该漏洞编号为CVE-2025-4802，于2025年5月16日公开披露，攻击者可以利用该漏洞通过操纵LD_LIBRARY_PATH环境变量来执行任意代码。运行Rocky Linux、Debian、Ubuntu和其他主要Linux发行版且glibc版本为2.27-2.38 的系统可能会受到影响。
资料来源：https://cybersecuritynews.com/glibc-vulnerability/

安全事件

10.LummaC2恶意软件活动针对美国关键基础设施展开
2025年5月13日，一个与土耳其有关联的组织利用Output Messenger 0day漏洞监视伊拉克境内的库尔德军事目标。自2024年4月以来，威胁行为者2025年5月22日，美国网络安全与基础设施安全局 (CISA) 和联邦调查局 (FBI) 联合发布警告，称LummaC2恶意软件活动正针对美国关键基础设施展开。就在本月，联邦调查人员和第三方消息来源发现，威胁行为者正在部署 LummaC2信息窃取程序，入侵网络并窃取敏感数据。该恶意软件被用来利用安全漏洞，窃取凭证、财务记录和其他高价值信息，对关键行业的个人和组织构成严重威胁。
资料来源：http://vj1.9dw7.sbs/V7qnUel

11.网络攻击导致CELLCOM无线网络中断一周
2025年5月21日，总部位于美国威斯康星州的区域无线运营商Cellcom宣布，网络攻击是导致其在过去一周遭遇服务中断的原因。该公司宣布已开始恢复服务，并表示已制定了应对此类事件的预案。该运营商表示，此次网络攻击影响的网络区域与敏感信息存储无关，没有证据表明客户的个人或财务信息遭到泄露。该公司并未提供有关此次攻击的详细信息；然而，此次中断表明Cellcom 勒索软件攻击的受害者。截至目前，尚无勒索软件组织声称对此事件负责。
资料来源：http://9d2.9dw7.sbs/jRHl9Ue

12.俄罗斯GRU APT28攻击乌克兰国防支持的全球物流
2025年5月22日，CISA 警告称，与俄罗斯有关联的APT28组织正在针对援助乌克兰的西方物流和科技公司，对供应链构成更大威胁。这其中包括参与协调、运输和向乌克兰提供外国援助的公司。俄罗斯情报总参谋部（GRU）26165部队已将数十家与乌克兰援助相关的西方物流和科技公司作为目标，涉及北约国家和乌克兰的国防、海事、航空和铁路部门。他们利用商业关系扩大接触范围，甚至调查铁路系统的工业控制系统（ICS）制造商。目标涉及13个国家，包括美国、德国和法国。APT28 使用多种方法进行初始访问，包括暴力破解、鱼叉式网络钓鱼以及利用Outlook、Roundcube、WinRAR、VPN和SOHO设备中的已知漏洞。他们还利用附近已感染的设备进行代理攻击，以逃避检测。
资料来源：http://tx1.9dw9.sbs/JhghrmV

13.西班牙电信公司遭遇宕机
2025年5月20日，星期二凌晨，西班牙电信巨头Telefónica进行网络更新后，西班牙各地主要电信网络陷入瘫痪。此次停电影响了全国的固定线路基础设施和移动服务，马德里、巴塞罗那和其他主要城市中心的停电尤其严重。该技术故障似乎源于西班牙电信实施的定期网络更新，该更新引发了更大规模的系统故障，影响了共享基础设施组件的多家运营商。这是西班牙在不到一个月内遭遇的第二次重大电信中断，此前4月28日西班牙和葡萄牙发生严重停电，该国电信基础设施的恢复能力已受到考验。就在此次最新事件发生的几周前，行业专家曾警告称，西班牙移动网络在4月份的停电事件后存在严重的网络弹性漏洞。
资料来源：https://cybersecuritynews.com/telecommunications-companies-spain/

14.大众汽车遭黑客攻击，车主个人数据和服务记录遭泄露
2025年5月20日，精通技术的大众汽车车主发现了My Volkswagen应用程序存在严重的安全漏洞，可能会泄露数千名客户的敏感个人数据和车辆信息。这些漏洞目前已被修补，任何能够访问车辆VIN号码的人都可以检索全面的车主数据、服务记录，甚至可能在未经授权的情况下控制连接的功能。这位安全研究人员在2024年购买了一辆二手大众汽车后发现了这些漏洞。泄露的信息包括车主的全名、电话号码、电子邮件地址、实际地址、车辆详细信息和服务记录。这是一种严重的隐私侵犯，可能导致跟踪、复杂的网络钓鱼攻击和身份盗窃。该案例提醒我们，随着汽车与互联网服务的深度融合，制造商必须实施严格的安全测试，以保护敏感的客户信息免遭潜在利用。
资料来源：https://gbhackers.com/volkswagen-car-hack-exposes-owners-personal-data/

15.ViciousTrap黑客入侵50多个品牌的5,500多台边缘设备并将其转变为蜜罐
2025年5月23日，一个名为ViciousTrap的复杂威胁行为者已成功入侵超过50个品牌的5,500多台边缘设备，将它们转变为一个庞大的分布式蜜罐网络，能够拦截和监控全球范围内的攻击企图。这次前所未有的活动代表了网络威胁策略的重大演变，攻击者利用受损基础设施不仅是为了传统的恶意目的，而且还创建可以捕获零日漏洞并监视其他威胁行为者活动的监控系统。该活动主要针对思科、D-Link、Linksys、华硕、QNAP和Araknis Networks等主要制造商的报废设备，包括SOHO路由器、SSL VPN、DVR和BMC控制器。威胁行为者利用已知漏洞，特别是影响思科SOHO路由器的 CVE-2023-20118，来获取初始访问权限并部署其恶意基础设施。
资料来源：https://cybersecuritynews.com/vicioustrap-hacker-compromised-5500-edge-devices/

风险预警

16.勒索软件攻击激增，人工智能驱动策略导致工业领域遭受攻击数量急剧上升
2025年5月23日，Dragos的最新数据显示，勒索软件团体及其关联企业在2025年第一季度加强了运营，将新兴和长期存在的策略、技术和程序相结合。Cl0p、Akira和RansomHub等老牌运营商保持着高活跃度，而FunkSec、Sarcoma和Lynx等新兴威胁则引入了先进技术，例如人工智能驱动的恶意软件和复杂的 EDR（端点检测和响应）规避策略。 这些对手主要专注于利用 IT 系统中的漏洞，特别是Cleo托管文件传输(MFT) 平台、远程访问工具和未修补的软件，这导致各个行业的运营出现显著中断。“工业领域，尤其是制造业、交通运输业以及工控系统设备与工程，仍然是主要目标，”Abdulrahman H. Alamri在周三的 Dragos 博客文章中写道。“攻击者利用远程访问安全、凭证管理实践和供应链漏洞，加剧了运营影响，并使事件响应更加复杂。”
资料来源：http://sx1.9dw7.sbs/tskAvoq

17.勒索软件团伙利用Skitnet恶意软件进行隐秘数据窃取和远程访问
2025年5月19日，一些勒索软件攻击者正在使用一种名为Skitnet的恶意软件作为其后期利用工作的一部分，以窃取敏感数据并对受感染主机建立远程控制。Skitnet（也称为Bossnet）是一款多阶段恶意软件，由该公司追踪的威胁行为者（代号为 LARVA-306）开发。该恶意工具的一个显著特点是，它使用Rust和Nim等编程语言通过DNS启动反向shell并逃避检测。它还结合了持久性机制、远程访问工具、数据泄露命令，甚至可以下载可用于提供额外有效负载的 .NET 加载器二进制文件，使其成为一种多功能威胁。Skitnet于2024年4月19日首次发布，以包含服务器组件和恶意软件的“紧凑包”形式提供给潜在客户。
资料来源：https://thehackernews.com/2025/05/ransomware-gangs-use-skitnet-malware.html

产业发展

18.全球网络安全机构发布AI数据安全指南强调数据完整性是薄弱环节
2025年5月23日，美国网络安全和基础设施安全局 (CISA) 与美国国家安全局 (NSA)、联邦调查局 (FBI) 和国际合作伙伴联合发布了一份网络安全信息表，题为《人工智能数据安全：保护用于训练和运行人工智能系统的数据的最佳实践》。该信息表重点强调了保护支撑人工智能 (AI) 系统的数据的重要性，并强调人工智能成果的准确性、完整性和可信度与用于构建和运行它们的数据一样重要。它识别了人工智能整个生命周期（从开发和测试到部署和运营使用）中与数据安全性和完整性相关的风险。
资料来源：http://0c2.9dw7.sbs/6Wik66p