FreeBuf早报 | 网络安全法完成修改;首个零点击攻击利用MCP通过流行AI Agent窃取数据
中国修订《网络安全法》于2026年施行;新型零点击攻击"Shadow Escape"利用MCP协议窃取数据;Docker Compose和Ubuntu曝高危漏洞;Magento和微软修复重大安全问题;安卓木马Herodotus模拟打字行为;僵尸网络Aisuru创DDoS新纪录;塔塔汽车数据泄露超70TB;融合FileFix与缓存走私攻击升级威胁。 2025-10-29 09:36:9 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

全球网安事件速递

1. 网络安全法完成修改,2026年1月1日起施行

新修订《网络安全法》2026年施行,强化法律责任,新增人工智能治理条款,支持AI技术研发与基础设施建设,完善伦理规范与风险监管,加强关键信息基础设施保护,提升数据安全与个人信息保护力度。【阅读原文

2. 首个零点击攻击利用MCP协议通过流行AI Agent静默窃取数据

新型零点击攻击"Shadow Escape"利用AI模型上下文协议(MCP),通过污染文档静默窃取敏感数据,绕过传统防御且无需用户交互。主要威胁医疗、金融等行业,专家建议严格审计AI权限、实施最小访问控制和实时监控。【外刊-阅读原文

3. Docker Compose高危路径遍历漏洞,执行只读命令即可覆写任意文件(CVE-2025-62725)

Docker Compose高危漏洞CVE-2025-62725(CVSS 8.9)允许攻击者通过恶意OCI构件实施路径遍历攻击,覆写主机任意文件,影响Docker Desktop、CI/CD等环境,仅执行只读命令即可触发。已发布v2.40.2修复补丁。【外刊-阅读原文

4. Ubuntu内核曝严重UAF漏洞,可致攻击者获取Root权限

Ubuntu Linux内核曝高危漏洞,本地攻击者可提权至root。漏洞源于af_unix子系统引用计数失衡,导致UAF问题,影响Ubuntu 24.04.2系统。Canonical已发布修复补丁,用户需立即更新内核版本至6.8.0-61或更高。【外刊-阅读原文

5. 麦尽斗Magento高危漏洞可劫持会话并实现远程代码执行(CVE-2025-54236)

高危Magento漏洞SessionReaper(CVE-2025-54236)正被大规模利用,可劫持会话并远程执行代码。48小时内监测到300多次攻击,影响全球电商平台。攻击者部署WebShell窃取数据并操控服务器。Adobe已发布补丁,建议立即更新。【外刊-阅读原文

6. 微软披露ASP.NET漏洞:攻击者可利用HTTP请求走私绕过安全控制

微软紧急修复ASP.NET Core高危漏洞CVE-2025-55315(CVSS 9.9),该漏洞允许HTTP请求走私攻击,可能导致权限提升、数据泄露。影响所有版本,需立即更新补丁并审核请求处理代码,加强代理流量监控。【外刊-阅读原文

7. Herodotus安卓木马通过模拟人类打字行为逃避检测

Herodotus新型安卓银行木马通过模拟人类打字行为(随机延迟输入)逃避检测,利用无障碍服务窃取凭据并接管设备,已在意大利和巴西发动针对性攻击。其MaaS商业模式和高级功能显示银行木马威胁持续升级。【外刊-阅读原文

8. Aisuru僵尸网络创下20Tb/秒DDoS攻击新纪录

新型Mirai变种僵尸网络Aisuru发动峰值超20Tb/秒DDoS攻击,主要针对在线游戏行业,利用漏洞设备发起UDP/TCP洪泛,导致宽带中断和路由器故障。防御需全面监控流量,部署智能缓解系统并修复漏洞设备。【外刊-阅读原文

9. 塔塔汽车数据泄露事件:AWS密钥暴露超70TB敏感信息与试驾数据

塔塔汽车系统漏洞暴露70TB敏感数据,包括客户信息、财务报告等,因AWS密钥硬编码和薄弱加密导致。漏洞2023年发现但修复拖延,危及数百万用户数据,凸显车企数字安全风险及透明度不足。【外刊-阅读原文

10. 威胁组织融合FileFix与缓存走私攻击以规避安全防护

新型钓鱼攻击结合FileFix社会工程与缓存走私技术,绕过传统防御,利用浏览器缓存和Exif元数据隐蔽投递恶意负载,全程无网络连接,威胁显著升级。【外刊-阅读原文

优质文章推荐

1. 内网渗透——ADCS证书攻击ESC15

内网渗透测试中,通过枚举ACL攻击链,利用ADCS-ESC15漏洞提权。从初始用户henry逐步获取更高权限,最终恢复cert_admin账户并利用ESC15漏洞获取管理员证书,成功提权至域控。【阅读原文

2. 应急响应 | MySQL数据库安全加固实验

本实验通过删除无关账号、设置强壮口令、禁用符号链接、修改监听端口、限制远程访问、强化文件权限等措施,全面加固MySQL数据库安全,防范口令破解、服务漏洞、权限提升、信息窃取和拒绝服务攻击。【阅读原文

3. 构建大模型安全自动化测试框架:从手工POC到AI对抗AI的递归Fuzz实践

本文提出自动化Fuzz框架解决大模型安全测试痛点,支持规则匹配与AI语义分析,实现多轮诱导攻击模拟,提升测试效率与深度,可扩展性强,助力企业高效识别LLM安全隐患。【阅读原文

漏洞情报精华

1. 博硕BGM InvokeWithOutParam SQL注入漏洞

https://xvi.vulbox.com/detail/1983446927789920256

2. 天锐绿盾审批系统 findRolePage.do SQL注入漏洞

https://xvi.vulbox.com/detail/1983373414269849600

3. Ruvar HRM RuvarHRM.Web.Common.ashx SQL注入漏洞

https://xvi.vulbox.com/detail/1983362357128204288

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/454743.html
如有侵权请联系:admin#unsafe.sh