OPSWAT 在博客中披露开源 Mongoose ODM 库的两个关键漏洞（CVE-2024-53900 和 CVE-2025-23061）及概念验证（PoC）利用代码。它们的CVSS 3 评分分别为9.1和9.0。 CVE-2024-53900于2024年11月发现并修复，可通过搜索注入在 Node.js 应用服务器上实现远程代码执行（RCE）；CVE-2025-23061是对其补丁的绕过，上月修复，稍改利用代码即可实现 RCE。 这两个漏洞都与 操 作 符 有 关 ， 攻 击 者 控 制 该 操作符后的输入 ， 可使恶意代码在应用服务器本地执行 ，此漏洞在 8.9.5 版本修复，OPSWAT 建议开发者升级到最新版本。

据CISA消息，，CISA 基于主动利用的证据，在已知已利用漏洞目录中新增 CVE-2025-24989，即 Microsoft Power Pages 访问控制不当漏洞。这类漏洞常被恶意网络行为者利用，对联邦企业风险重大。 约束性操作指令 BOD 22-01 建立此目录，它是对联邦企业构成重大风险的 CVE 动态列表，要求联邦民事行政部门机构限期修复漏洞，保障网络安全。虽然 BOD 22-01 仅针对联邦民事行政部门机构，但 CISA 强烈建议所有组织在漏洞管理工作中，优先及时修复目录中的漏洞，降低网络攻击风险。

据DarkReading消息，谷歌公布实施美国 NIST 新后量子密码学（PQC）标准的路线图，并为云密钥管理服务（Cloud KMS）增加抗量子数字签名支持。新 PQC 功能已作为基于软件的客户管理加密密钥（CMEK）进入预览阶段。 NIST 去年 8 月发布首批三个 PQC 标准，谷歌初始版本实施 FIPS 204 和 FIPS 205 算法，今年晚些时候将支持 FIPS 203。结合使用这些算法可助组织解决 PKI 证书迁移问题。

据Cybersecuritynews消息，CL0P 勒索软件组织利用 Cleo 集成软件的零日漏洞（CVE-2024-50623），在 2025 年 2 月对电信和医疗行业发起大规模攻击，仅当月就入侵超 80 家机构，已泄露超 22TB 数据，包括大量患者信息、5G 网络拓扑图等。美国 CISA 敦促将 Cleo 软件升级到 5.8.0.21 版本，网络防御者需监控相关可疑命令和流量。CL0P 的攻击手段类似国家支持的攻击，凸显关键基础设施互联存在的风险。

据Cybersecuritynews消息，Darcula 组织推出的 “darcula-suite 3.0” 是一个网络钓鱼即服务平台，能让犯罪分子几分钟内自动生成假冒任何品牌的网站。该平台利用无头浏览器自动化和云基础设施，通过 Puppeteer 风格编排浏览器克隆网站资产和结构，无需手动编码就能复制各类页面。

据Cybersecuritynews消息，一种名为 ACRStealer 的恶意软件正利用谷歌文档实施攻击。它借助谷歌基础设施的可信声誉，将其当作命令与控制（C2）服务器，通过在谷歌云端硬盘分享的文档中嵌入恶意脚本，窃取用户登录凭证，已导致超 12000 个企业账户遭殃。 该恶意软件滥用谷歌 OAuth 2.0 框架，用特定脚本获取并执行恶意命令，还把窃取数据伪装成正常流量经谷歌表单传输。目前，谷歌已撤销 43 个相关文档的访问权限。企业安全团队需监控谷歌 Drive API 活动，实施多因素认证等措施。

据Cybersecuritynews消息，自 2024 年末起 “盐台风” 组织对美国电信基础设施发起复杂网络间谍活动。他们主要通过窃取凭证入侵，至少一次利用了 Cisco 的 CVE - 2018 - 0171 漏洞。在一些网络中，攻击者凭借高级的 LOTL 技术持续访问超三年，还利用窃取凭证和设备配置错误在运营商系统间渗透。 该组织用 JumbledPath 工具加密数据包传输，结合修改配置绕过安全控制。多数入侵依赖未修补的旧系统和凭证管理不善。防范需立即修补相关漏洞，强化 TACACS+ RADIUS 设置，禁用非必要服务并加强加密。

据Cybersecuritynews消息，Sitevision CMS 10.3.1 及更旧版本存在严重安全漏洞（CVE-2022-35202），导致 SAML 身份验证签名密钥暴露，可能被用于绕过身份验证和劫持会话。该漏洞源于 Java 密钥库自动生成的弱密码，攻击者可提取并暴力破解私钥。Sitevision 在瑞典公共部门和企业环境广泛使用，依靠 SAML 进行安全认证。由于 WebDAV 配置不当，可访问目录从而暴露包含密钥的文件。Sitevision 10.3.2 版本已修复此漏洞，相关组织应升级版本、手动更换密码、审核 WebDAV 配置并与身份提供商协调加强 URL 验证。

据Cybersecuritynews消息，Hudson Rock 发布了一款由 ChatGPT 支持的人工智能聊天机器人 BlackBastaGPT。它对 Black Basta 勒索软件团伙超 100 万条内部消息进行训练，研究人员能借此通过自然语言查询，深入了解该组织的运营、财务策略及攻击方法。 借助 BlackBastaGPT，研究人员可追溯其双重勒索策略，如优先攻击行业、谈判方式等。同时，泄密也验证了 FBI 和 CISA 的相关建议，还提供了漏洞利用优先级、工具集适应性等技术见解 。

据Cybersecuritynews消息，安全界发现 Fedora Linux 内核从 6.12 版本起存在严重漏洞（CVE-2025-1272），默认禁用内核锁定模式，风险极高。这一漏洞源于 2024 年 12 月就被察觉的内核构建配置失误，致使关键的 CONFIG_SECURITY_LOCKDOWN_LSM_EARLY 标志被意外关闭。攻击者利用该漏洞，能绕过安全启动，加载恶意内核模块，读取内核内存获取敏感信息，还能修改内核代码隐藏恶意软件，CVSSv3.1 评分达 7.7。目前 Fedora 安全团队已发布补丁，用户应尽快更新内核并审计相关文件，确保系统安全。

据Cybersecuritynews消息，研究人员发现了一个名为 Windows-WiFi-Password-Stealer 的 GitHub 存储库，该这个库提供了一个基于 Python 的脚本，声称用于教育，却能从 Windows 系统中提取保存的 WiFi 密码。 该脚本通过执行合法的网络命令，获取 SSID 列表，再导出含密码的 XML 文件，解析后还会删除文件躲避检测。恶意分子可借此收集密码，实现非法的网络访问。

据securitybrief消息，Sophos 与 Pax8 宣布达成战略合作，将为 Pax8 市场提供广泛的网络安全产品组合，惠及超 40,000 家托管服务提供商（MSPs） 。 此合作解决了 MSPs 管理难题，通过单一平台就能轻松管理网络安全，简化集成、提升效率并降低采购复杂性。合作引入 Sophos 多项安全解决方案，结合其实时威胁情报和检测响应服务，不仅能帮 MSPs 减少日常安全管理时间，还提供新营收机会。该合作成果将于 2025 年 2 月 28 日起推出，为 MSPs 提供有力的网络安全支持。

据securitybrief消息，GitLab 宣布 GitLab Duo 自托管全面上线，专为对数据隐私和安全把控严格的组织打造。 借助它组织可在本地设施部署 AI 功能，无需依赖云连接，实现数据驻留和设施隔离的自主掌控。用户能从 Anthropic、Mistral 和 OpenAI 等多种模型中挑选，既满足合规和隐私要求，又提升运营效率。此外，它支持灵活部署模型，有代码生成辅助、自然语言聊天集成等功能，简化 DevSecOps 流程。

据Cybersecuritynews消息，金融科技与加密货币平台遭遇新型恶意软件Zhong Stealer的攻击。攻击者通过Zendesk客户支持渠道，伪装成中文用户发送含恶意可执行文件的ZIP文档，诱导支持代理点击，借此发动四阶段攻击。Zhong Stealer连接阿里云C2服务器，下载负载，用被盗证书签名躲避查杀，还创建批处理文件、修改注册表实现长期潜伏，专门窃取浏览器里的账号密码、会话Cookie ，以及加密货币钱包信息，再偷偷传输给黑客。专家建议赶紧阻止阿里云非标准端口连接，部署检测规则监控异常。

网络安全公Hackmosphere最新研究显示：CEO正成为网络钓鱼攻击的“重灾区”。在模拟测试中，24%的CEO点击了恶意链接，而CTO的“中招率”也高达6%！，这暴露了高层管理者在网络安全意识上的严重不足，也表明即使是经验丰富的决策者也容易受到日益复杂的基于电子邮件的威胁，尽管精通技术的CTO表现更为谨慎，但在高诱惑力或紧急情境下，仍可能成为攻击目标。

据Cybersecuritynews消息，IBM OpenPages治理、风险与合规（GRC）平台的8.3和9.0版本被发现存在多个高危漏洞，攻击者可借此劫持用户会话、窃取认证凭据、篡改关键数据。 在众多漏洞中，CKEditor 5组件的CVE-2024-45613能通过恶意剪贴板内容进行跨站脚本攻击，进而窃取会话cookie；CVE-2024-49779可绕过CSRF保护，实现特权角色间横向移动；邮件通知系统的CVE-2024-49337能在邮件中注入HTML代码实施网络钓鱼，CVE-2024-49782则因证书验证失败，让攻击者伪造邮件服务器窃取敏感信息。IBM已于2025年2月发布修复补丁。

据Cybersecuritynews消息，欧洲医疗组织正遭受新型 NailaoLocker 勒索软件的复杂网络威胁，该攻击活动被 Orange Cyberdefense CERT 追踪为 “Green Nailao”。攻击最早在 2024 年 6 月至 10 月被检测到，利用 Check Point VPN 设备漏洞，借助 ShadowPad 和 PlugX 等高级后门渗透网络，将网络间谍工具与勒索软件有效载荷结合。 攻击流程是利用 CVE - 2024 - 24919 漏洞获取 VPN 凭证，通过 RDP 横向移动，部署含合法二进制文件、恶意 DLL 和加密有效载荷的三级执行链。

据Cybersecuritynews消息，2024 年 10 月发现、2025 年 1 月修补的四个关键漏洞（CVE - 2024 - 10811 等），因 EPM 的.NET Framework 组件存在架构缺陷，让攻击者能控制服务器、获取域管理权限。攻击者利用工具收集凭据，通过 LDAP 中继攻击和权限提升实现域入侵。因初始补丁有兼容性问题，部分 IT 团队可能未更新到位，加上 Ivanti 过往安全问题，易引发 “补丁疲劳”。企业应立即修补、网络分段、强化凭据和加强监控，以防安全事故。

据Cybersecurityventures消息，一个自称 “puppygirl polycule” 的黑客组织泄露了数千份美国警察局的文件。这些文件由总部位于德克萨斯州的 Lexipol LLC 公司提供，该公司为约 8,500 个美国执法机构编写政策管理手册等。此次泄露的文件超 8,500 个，包含姓名、密码等敏感信息。该公司多次在法庭受挑战，被指种族定性、含反移民言论，黑客组织称其对手册版权的保留不合理，且警方政策制定缺乏透明度。此外，2017 年美国公民自由联盟也曾批评该公司相关指令威胁边缘化社区。

据Cybersecurityventures消息，微软宣布计划在 2026 年 6 月前投资 7 亿美元用于旨在扩展波兰的 “超大规模云及人工智能基础设施”，部分资金将与波兰国防部合作，用于加强国家网络安全框架，