• 美国希望拥有TikTok 50%股份，商务部回应

• ChatGPT又全球大面积宕机，AI助手暂时"失联"

• 人工智能辅助网络犯罪活动升级，GhostGPT引发安全担忧

• 加密高效又难解，新型勒索软件Nnice现身

• SonicWall修复严重零日漏洞，已被在野利用

• 斯巴鲁系统漏洞曝光，数百万车辆面临远程解锁并启动风险

• Juniper路由器遭"魔术数据包"植入后门，黑客可获长期控制权

• Palo Alto防火墙曝重大漏洞，黑客可绕过安全启动并利用固件

• 思科修复ClamAV拒绝服务漏洞，概念攻击代码已公开

美国希望拥有TikTok 50%股份，商务部回应

1月23日，在商务部例行新闻发布会上，有记者问：近日，美国最高法院裁定支持TikTok在美禁令，TikTok应用程序在美国下架又恢复服务。同时，特朗普签署行政令推迟短视频社交媒体平台TikTok禁令生效时间，并表示TikTok需要出让其50%的股份给美国公司和美国政府。

商务部新闻发言人何亚东回答说，中方一贯尊重和维护企业正当合法权益，反对违背市场经济基本原则、损害企业正当利益的做法。希望美方多倾听企业和民众的呼声，为包括中资企业在内的各国企业在美发展提供公平、公正的营商环境，多做有利于中美两国经贸合作和人民福祉的事情。

原文链接：

http://usa.people.com.cn/n1/2025/0124/c241376-40408428.html

ChatGPT又全球大面积宕机，AI助手暂时"失联"

1月23日，OpenAI的人工智能对话系统ChatGPT在全球范围内发生大规模宕机，导致数百万用户无法正常使用该热门服务。OpenAI 后来证实，问题发生在太平洋标准时间 1 月 23 日凌晨 3：33，到 4：23 得到解决。在此期间，客户遇到了间歇性错误。这一故障波及多个国家和地区的用户，引发社交媒体上一片抱怨和调侃的声浪，尤其是在X平台上。

据报告，用户在大约同一时间段开始反映无法访问ChatGPT。这一中断不仅给个人用户带来不便，也影响了依赖ChatGPT API的企业和开发者。根据用户反馈和第三方监测网站显示，问题包括完全无法访问以及与ChatGPT对话时收到"内部服务器错误"的提示。宕机范围之广，引发X平台上一片戏谑但又无奈的声音，许多用户自嘲不得不重新使用传统搜索引擎，甚至"动用自己的大脑"来完成平时依赖ChatGPT的任务。

这并非ChatGPT首次遭遇大规模故障。早在2024年，该服务就曾多次中断数小时，引发类似用户反应。这起事件凸显了ChatGPT等人工智能服务在现代数字生态系统中的关键作用，以及当此类服务出现故障时，需要健全的备份系统或替代方案的重要性。

原文链接：

https://cybersecuritynews.com/chatgpt-down-2/

人工智能辅助网络犯罪活动升级，GhostGPT引发安全担忧

1月23日，Abnormal Security披露，新型人工智能工具GhostGPT正在被网络犯罪分子利用，用于编写恶意软件代码和钓鱼邮件。GhostGPT在网络犯罪论坛上的广告已经获得了数千次浏览。

GhostGPT被宣传为一种"无审查的人工智能"，很可能是一种针对ChatGPT或开源人工智能模型进行破解的包装工具。该工具声称可用于"网络安全"领域。研究人员指出，它为网络犯罪分子提供了多项诱人功能，包括"严格无日志政策"确保不保留任何对话记录，以及通过Telegram机器人便捷访问。

研究人员通过要求GhostGPT编写一封来自DocuSign的钓鱼邮件以测试其功能，该工具随即生成了一封引导收件人点击链接以查看文档的可信邮件模板。除了撰写钓鱼邮件，GhostGPT还可用于编码，其营销内容涉及恶意软件创建和漏洞利用开发。越来越多的恶意软件作者开始利用人工智能编码辅助，而像GhostGPT这样缺乏主流大语言模型(LLM)典型防护措施的工具，可以节省网络犯罪分子破解这些工具所需的时间。

原文链接：

https://www.scworld.com/news/ghostgpt-offers-ai-coding-phishing-assistance-for-cybercriminals

加密高效又难解，新型勒索软件Nnice现身

CYFIRMA研究咨询团队近日发现，新型勒索软件Nnice利用先进的加密技术和规避方法，对Windows系统构成严重威胁。

该勒索软件因其高级功能在网络安全界迅速引起关注。它会在Windows系统上加密文件，并将扩展名更改为".xdddd"。Nnice采用混合加密逻辑，利用对称加密(Salsa20)的高速率加密大量数据，同时使用非对称加密(RSA-2048)进行密钥管理，与其他复杂勒索软件的策略类似。加密过程非常高效，能在数秒内完成文件加密，而非数小时。Nnice采用三步加密方法:首先使用内置RSA密钥加密随机生成的RSA密钥；然后用第一个RSA密钥加密随机生成的RC4密钥；最后利用RC4密钥加密受害者文件。这种多层加密方式使得在没有攻击者私钥的情况下，解密极为困难。该勒索软件还展现出先进的规避技术，能停止可能干扰文件加密的服务和进程。它还会创建子进程混淆调试工具，伪装成合法系统服务隐藏运行。

一旦加密完成，Nnice会更改桌面壁纸，并留下一个名为"Readme.txt"的赎金说明文件，提供文件恢复指引。值得注意的是，它采用全加密、部分加密和智能加密等多种模式。智能模式利用间歇技术只加密部分文件或数据，从而加快加密速度，但同时使文件无法使用。

网络安全专家建议实施健全的备份系统、保持软件更新，并采用先进的威胁检测工具，以降低勒索软件攻击风险。

原文链接：

https://cybersecuritynews.com/nnice-ransomware-attacking-windows-systems/

SonicWall修复严重零日漏洞，已被在野利用

网络安全厂商SonicWall于1月23日表示，微软威胁情报研究人员发现其SMA1000设备管理控制台和中央管理控制台存在一个"严重"的零日远程代码执行缺陷已遭利用。该缺陷可使攻击者在未经身份验证的情况下远程执行代码。受影响的是SMA1000平台12.4.3-02804及更低版本，SonicWall已发布补丁修复该漏洞。

SonicWall透露，是微软威胁情报中心（MSTIC）研究人员首先发现了利用该漏洞的证据，从而促使进行全面的代码和漏洞审查，最终发现了该缺陷。随后，MSTIC立即通知了SonicWall。尽管SonicWall的威胁响应团队已收到可能被利用的通知，但其合作伙伴和客户尚未报告任何直接利用情况。

尽管尚未出现直接利用该漏洞的报告，但鉴于其严重性，网络安全专家建议用户立即安装SonicWall提供的补丁，以免日后遭受攻击。

原文链接：

https://www.crn.com/news/security/2025/sonicwall-says-exploitation-of-sma1000-flaw-discovered-by-microsoft

斯巴鲁系统漏洞曝光，数百万车辆面临远程解锁并启动风险

一项安全研究发现，斯巴鲁汽车互联网系统存在严重漏洞，黑客可远程解锁并启动数百万辆斯巴鲁汽车。更令人不安的是，他们还能访问至少一年的车辆位置历史记录——而斯巴鲁员工仍可查阅这些数据。这一漏洞影响任何在美国、加拿大或日本安装了斯巴鲁Starlink数字功能的车辆。

独立安全研究员Curry和Shah发现斯巴鲁员工网站漏洞，允许他们劫持员工账号，不仅能重新分配车辆Starlink功能的控制权， 包括远程解锁、鸣笛、启动引擎或定位；还能访问员工可查阅的所有车辆位置数据，包括每次发动机启动时的位置。黑客可能会针对某人实施跟踪或盗窃，查找目标车辆位置，随后解锁汽车，尽管想要真正驾驶并将汽车开走，还需要另外绕过一个安全机制。

Curry和Shah在2024年11月底向斯巴鲁报告了这一发现，斯巴鲁迅速修补了Starlink的安全漏洞。

原文链接：

https://www.wired.com/story/subaru-location-tracking-vulnerabilities/

Juniper路由器遭"魔术数据包"植入后门，黑客可获长期控制权

Lumen的Black Lotus Labs研究团队近日披露，一场隐蔽的攻击活动利用"J-magic"后门，将Juniper企业级路由器变成入侵企业网络的入口。该后门一旦植入，就能在接收指令时在路由器内存中生成反向 shell，为黑客开启长期控制权限。

J-magic活动从2023年中至少持续到2024年中期，在此期间，半导体、能源、制造业和IT等多个行业的目标遭到攻击。J-magic恶意软件被上传到感染的路由器后，需要在执行时从命令行提供接口和端口。然后恶意软件会将自己重命名为"[nfsiod 0]"以伪装成本地NFS异步I/O服务器，然后覆盖之前的命令行参数来隐藏踪迹。之后，它会通过eBPF扩展启动数据包捕获监听器，等待攻击者发送"魔术数据包"以创建指向特定IP地址和端口的反向shell，从而打开一个可从攻击者服务器访问的后门。

研究人员分析，攻击者青睐利用路由器后门，因为这些设备长期运行、检测困难，定制的内存级恶意软件可实现低风险、长期持续的控制权限，比植入固件更隐蔽。位于网络边界的企业路由器也成为攻击者理想目标。

原文链接：
https://www.helpnetsecurity.com/2025/01/23/juniper-enterprise-routers-backdoor-malware-j-magic/

Palo Alto防火墙曝重大漏洞，黑客可绕过安全启动并利用固件

研究人员近日披露，Palo Alto网络防火墙设备中存在的严重漏洞，这些漏洞可能使攻击者绕过安全启动保护、利用固件级漏洞并获取提升权限，从而在目标组织的网络中维持持久控制权。这些漏洞影响多款广泛部署在企业中的Palo Alto防火墙型号，包括PA-3260、PA-1410和PA-415。

其中，最值得关注的BootHole漏洞是GRUB2引导加载程序中的一个缺陷，允许攻击者绕过安全启动保护。Palo Alto未能正确更新其证书(DBX)以阻止受BootHole漏洞影响的恶意或过时的引导加载程序。理论上攻击者可以结合其他漏洞(CVE-2024-0012和CVE-2024-9474)，通过获取root权限来安装持久性恶意软件或引导程序。

此外，使用Insyde Software固件的PA-3260平台发现包含六个先前披露的高权限系统管理模式(SMM)漏洞，可使攻击者绕过安全启动、提升权限并安装隐蔽的恶意软件；PA-1410和PA-415则容易受到"PixieFail"问题的影响，可能导致远程代码执行(RCE)。

这些Palo Alto防火墙漏洞对企业安全构成了重大威胁。安全专家建议用户要采取固件更新、彻底评估供应商组件、持续监控、网络分段并管理访问控制等措施，以防范这些风险。

原文链接：

https://cybersecuritynews.com/critical-palo-alto-firewall-vulnerabilities/

思科修复ClamAV拒绝服务漏洞，概念攻击代码已公开

思科近日修复了其开源反病毒软件工具包ClamAV的一个拒绝服务漏洞（CVE-2025-20128）。该漏洞的概念验证攻击代码已公开。

该漏洞源于OLE2(Object Linking and Embedding 2)解密例程中的基于堆的缓冲区溢出，可使未经身份验证的远程攻击者导致受影响设备的拒绝服务状况。思科指出，这个漏洞是由于边界检查中的整数下溢导致的堆缓冲区溢出读取，成功利用可使攻击者终止ClamAV扫描进程，从而导致受影响软件的拒绝服务状况。

尽管这一漏洞可能会中断ClamAV用户的关键扫描流程，包括电子邮件扫描、网络过滤和终端安全性，但思科表示尚未发现有任何主动利用该漏洞的情况。受影响的思科软件平台包括Secure Endpoint Connector for Linux、Secure Endpoint Connector for Mac和Secure Endpoint Connector for Windows以及Secure Endpoint Private Cloud。

目前，修补受影响软件是解决这一漏洞的唯一方法。思科已发布ClamAV 1.4.2和ClamAV 1.0.8两个版本，用户可从ClamAV下载页面、Github发布页面和Docker Hub获取补丁。

原文链接：

https://www.csoonline.com/article/3808598/cisco-patches-antivirus-decommissioning-bug-as-exploit-code-surfaces.html