三菱电机近期披露了一个影响27种不同空调系统型号的严重身份验证绕过漏洞，可能允许远程攻击者未经授权控制建筑物HVAC系统。漏洞编号为 CVE-2025-3699（9.8）。一旦被利用，恶意行为者就可以非法控制空调系统、访问敏感信息，甚至使用泄露的数据篡改固件。三菱电机建议实施多种缓解策略：限制来自不受信任来源的网络访问、限制对系统和连接基础设施的物理访问，以及计算机上维护更新的防病毒软件和网络浏览器。

据外媒报道，CISA 近期已确认 AMI 的MegaRAC基板管理控制器(BMC)软件中存在身份验证绕过漏洞CVE-2024-54085，攻击者可利用该漏洞部署恶意软件等。CISA 周三证实，该漏洞目前已被广泛利用，而联邦民事行政部门机构现在有三周的时间修补其服务器以抵御这些持续的攻击。

研究人员近期发现，网络钓鱼活动滥用 Microsoft 365 中“直接发送”功能来逃避电子邮件安全检测并窃取凭据。直接发送是 Microsoft 365 的一项功能，允许本地设备、应用程序或云服务通过租户的智能主机发送电子邮件，但由于它不需要任何身份验证，因此存在着允许远程用户从公司域发送看似内部的电子邮件的风险。微软建议只有高级客户才使用该功能，因为其安全性取决于Microsoft 365是否正确配置以及智能主机是否正确锁定。若无法确定是否安全，可以选择“拒绝直接发送”功能。

思科昨日发布公告，警告两个影响思科身份服务引擎(ISE)和被动身份连接器 (ISE-PIC)的严重未经身份验证的远程代码执行(RCE)漏洞。CVE-2025-20281 影响ISE和ISE-PIC 3.4和3.3版本，而 CVE-2025-20282 仅影响3.4版本。CVE-2025-20281的根本缺陷是特定公开API对用户输入的验证不足。这允许未经身份验证的远程攻击者发送特制的 API 请求，以root用户身份执行任意操作系统命令。漏洞CVE-2025-20282是由于内部API中的文件验证机制不完善导致的，允许文件写入特权目录。

网络安全研究人员最近发现了一个针对WordPress网站的恶意软件活动，该活动能够窃取信用卡详细信息、用户登录信息等。恶意软件被打包成一个欺骗性的WordPress插件，并使用了前所未有的反检测方法。其中一项特别创新的策略是直接在受感染的网站上托管实时管理系统，使其更难被发现。除了窃取支付信息外，还发现了该恶意软件的另外三个版本。

安全研究调查发现了Brother设备的八个严重漏洞。该发现源自网络安全公司近期开展的零日研究项目，暴露了Brother工业打印机生态系统中存在的严重安全漏洞，最严重的是 CVE-2024-51978 （9.8）的身份验证绕过漏洞。此特定漏洞使远程未经身份验证的攻击者能够利用可预测的密码生成算法来生成默认管理员密码。Brother表示，仅通过固件更新无法完全修复该缺陷，需要改变生产线才能完全缓解。目前，八个漏洞中的七个已通过固件更新得到解决，但全面的修复需要软件补丁和配置更改。

安全研究人员近期发现了一种新的恶意软件活动，该活动传播 BRAODO Stealer，它依赖公共 GitHub 存储库来托管和阶段其有效载荷。BRAODO 旨在窃取数据。分析显示，它能够在保持低调的情况下窃取敏感信息。它不使用加密或打包程序，而是隐藏在日常脚本工具中，并依靠分阶段交付来逃避检测。此次活动代表攻击者正利用 GitHub 等合法平台和日常脚本工具悄悄地进行攻击，安全团队应当提高警惕。

Realtek 的 RTL8762E SDK v1.4.0 中近期发现了一个重大安全漏洞，该漏洞源于配对序列期间协议状态转换的不正确验证，使恶意行为者能够通过数据包注入攻击来破坏安全连接，而无需特殊权限或身份验证。建议的补救措施包括在SMP层内实施全面的状态验证，以确保严格遵守协议规范。开发人员应修 BLE堆栈，以根据SMP状态机要求丢弃任何无序接收的消息。

Mozilla近日发布了Firefox 140，解决了多个严重的安全漏洞，包括可能导致代码执行的高影响释放后使用漏洞。已解决的高影响安全漏洞包括CVE-2025-6424，此漏洞一旦触发将导致潜在的可利用崩溃，攻击者可以利用该崩溃在受害者的系统上执行任意代码。以及代表了一系列内存安全问题的CVE-2025-6436 ，这些问题显示出内存损坏的证据。 内存安全漏洞包括缓冲区溢出、释放后使用情况、双重释放错误和其他内存管理缺陷。此外还修复了一些中低危险级漏洞，建议用户应立即更新至 Firefox 140

研究人员近日发现名为 OneClik的复杂恶意活动一直在利用微软的 ClickOnce 软件部署工具和自定义 Golang 后门来危害能源、石油和天然气行业的组织。黑客依靠合法的 AWS 云服务AWS、Cloudfront、API Gateway、Lambda来隐藏命令和控制基础设施。首先以一封网络钓鱼电子邮件开始，里面包含着伪装的恶意链接，指向外部站点，执行后，加载程序通过劫持 .NET 应用程序加载程序集的方式来运行恶意负载。目前研究仍在继续。

OPPO 的克隆手机功能被发现存在一个严重的安全漏洞，该漏洞可能会通过安全性不够的 WiFi 热点泄露敏感用户数据，编号为 CVE-2025-27387，属于高危漏洞，影响 ColorOS 15.0.2 及更早版本。该漏洞源于OPPO Clone Phone实施弱 WPA 密码作为文件传输操作的唯一安全机制，会导致使用 OPPO 的克隆手机功能的设备之间进行文件传输操作时发生未经授权的信息泄露。OPPO在23日发布了公告，强调解决这一安全漏洞的紧迫性。 但目前还没有具体补丁，用户应避免在不受信任的环境中使用克隆手机功能。

近期发现在“回音室攻击”新型大型语言模型 (LLM) 越狱技术中，攻击者可以在对话历史中注入误导性的内容，以诱骗领先的GPT和Gemini模型绕过安全护栏。据研究，该技术利用模型对 LLM 客户提供的对话历史的依赖，利用上下文信任和处理方式的弱点。攻击根源在于，AI会信任其全部对话历史记录。攻击者可以通过多次交互逐渐操纵对话历史记录，因此模型的行为会随着时间的推移而发生变化，且不会出现任何明显的恶意提示。OpenAI 的 GPT 和谷歌的 Gemini 的多个版本在研究中均出现该情况。

网络安全人员近期发现了 FileFix，这是 ClickFix 社会工程攻击的一种变体，它诱骗用户通过 Windows 中的文件资源管理器地址栏执行恶意命令。ClickFix攻击基于浏览器，其原理是诱骗用户点击网站上的按钮，将命令复制到 Windows 剪贴板。然后，攻击者会指示用户将命令粘贴到 PowerShell 或其他命令提示符中来修复问题。紧接着通过不可见的恶意 PowerShell 命令进行下一步部署。为了避免潜在的攻击面，专家建议通过将命令执行切换到对用户更友好、更熟悉的环境，可以改进此类网络钓鱼攻击。

近日，Trezor正在向用户发出警报，称有网络钓鱼活动滥用其自动支持系统从其官方平台发送欺骗性电子邮件。攻击者利用了该公司的支持网站中的邮件自动回复，通过提交标题包含紧急网络钓鱼消息的票据来滥用此功能，引导收件人通过浏览器进入钓鱼网站。目前，Trezor在有关此次攻击的公告中警告所有用户不要与任何人分享他们的钱包种子。该钱包存储设备制造商还表示，正在努力实施防御措施，以防止将来发生类似的滥用行为。

据外媒报道，微软发布了 Windows 10 2025 年 6 月非安全预览更新，版本 22H2。本次更新解决了导致具有双协议接口的USB连接的多功能打印机扫描失败的问题，以及导致跳转列表消失并阻止安装更新后菜单启动的“开始”菜单问题。还解决了 Windows 平台上远程 COM 激活失败（错误 0x8001011）背后的组件对象模型 (COM) 功能错误。用户可以选择性的进行更新。

近日，研究机构警告，威胁行为者正在分发NetExtender SSL VPN客户端的木马版本，用于窃取VPN凭据。它模仿了合法的 NetExtender v10.3.2.27（最新版本），诱骗访问者从盗版网站下载软件。该木马应用程序的目标是窃取 VPN 配置和帐户凭据并将其泄露给攻击者。专家建议请使用供应商的官方网站，并跳过所有推广结果。并且在设备上执行下载文件之前，务必使用最新的杀毒软件进行扫描。

纽柯公司近日证实，最近发生的网络安全事件背后的攻击者也窃取了该公司网络的数据。纽柯公司上个月披露了这起事件，称已关闭部分系统以控制安全漏洞，并暂停了部分工厂的生产。虽然没有提供有关该事件的更多信息，但在向美国证券交易委员会 (SEC)提交的新文件中，纽柯公司证实，攻击者还从受感染的系统中窃取了数据。该公司尚未透露有关发现漏洞的日期或攻击类型的更多详细信息，因此尚不清楚攻击者是否也在事件期间破坏了加密系统。

网络安全专家最近发现了一项名为 LapDogs 的广泛网络间谍活动，自2023年9月以来，该活动已入侵全球数量不详的设备。LapDogs 行动的一个关键部分是一个名为 ShortLeash 的自定义工具。这是一个恶意程序（或后门），它使攻击者能够隐藏控制受感染的计算机和网络，从而实现静默控制、持久性和在网络中的横向移动。网络安全专家警告，这些行业员工的IT管理员需要时刻警惕漏洞，并通过安装补丁来修复。如果没有可用的更新，请更换其他更安全的设备。

近日，Meshtastic 固件中发现了一个严重的安全漏洞，可能允许攻击者解密设备之间发送的私人消息。 该漏洞的 CVSS 评分为 9.5 分，影响 2.5.0 以上的所有版本，源于硬件刷新过程中生成的重复公钥 私钥对。 此漏洞对网状网络通信的隐私和安全构成重大风险，可能会将敏感的用户数据暴露给已编制受损加密密钥列表的恶意行为者。Meshtastic 已发布2.6.11 版本来立即解决这些漏洞。2.6.12 版本将在检测到时自动删除已知的泄露密钥，为受影响的用户提供额外的自动保护。

据外媒情报报告显示，黑客组织推出了一种针对政府和军事实体的复杂新型网络武器。最新的活动表明该组织的技术能力显著提升，将之前简单的下载木马转变为模块化后门框架，可以从命令和控制服务器动态加载恶意组件。攻击链始于一个武器化的LNK文件，该恶意软件的架构在逃避技术方面表现出了前所未有的复杂性，它利用参数化的命令和控制通信机制来掩盖安全分析师的真实基础设施。研究人员警告相关组织应提高警惕。