各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!
热点资讯1. 新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护最新研究揭示主流AI平台存在系统性安全漏洞,两种越狱技术"Inception"和上下文绕过可突破内容审核,生成非法内容。攻击利用AI乐于助人、上下文记忆等基础特性,风险波及ChatGPT、Gemini等主流服务。专家呼吁加强防御机制应对日益复杂的AI安全挑战。
2. 一行代码即可让iPhone变砖:iOS高危漏洞解析iOS高危漏洞CVE-2025-24091允许恶意应用通过Darwin通知机制永久禁用iPhone,仅需一行代码即可触发无限重启循环。苹果已在iOS 18.3修复漏洞,建议用户立即升级。
3. 微软Telnet服务器曝0点击NTLM认证绕过漏洞,PoC代码已发布暂无补丁微软Telnet服务器曝严重0点击认证绕过漏洞,攻击者可无凭证获取管理员权限,影响多款旧版Windows系统。漏洞源于NTLM认证流程配置错误,目前无官方补丁,建议禁用Telnet服务或改用SSH。
4. 深度剖析Fog勒索软件组织:工具链、攻击手法与受害者画像Fog勒索软件组织使用精密工具链(SonicWall扫描器、DonPAPI等)针对全球科技、教育等行业,通过五阶段攻击(爆破VPN、窃凭证、提权等)实施勒索,服务器溯源显示其与多个威胁组织共用基础设施。
5. 英伟达推出DOCA Argus框架 为AI基础设施提供实时威胁检测英伟达发布DOCA Argus网络安全框架,基于BlueField DPU实现无代理实时威胁检测,速度提升1000倍且不影响性能。与思科合作推出“安全AI工厂”,集成硬件级防护。同时推出智能体AI安全工具栈,覆盖全生命周期,构建零信任架构,保障AI基础设施安全。
6. Linux安全盲区曝光:io_uring机制可绕过主流检测工具ARMO团队发现Linux的io_uring接口可被rootkit利用绕过主流安全工具监控,包括Falco、Tetragon和Microsoft Defender。该漏洞源于工具依赖系统调用监控,而io_uring通过共享缓冲区规避检测。建议采用KRSI等更深入的内核监控技术应对。
7. Craft CMS零日漏洞CVE-2025-32432现可通过公开Metasploit模块利用Craft CMS曝出高危零日漏洞CVE-2025-32432(CVSS 10分),与Yii框架漏洞CVE-2024-58136组合可导致RCE攻击,已造成实际入侵。官方已发布修复版本,建议管理员立即更新并重置密钥密码。
8. 同步漏洞行动:朝鲜Lazarus APT组织针对韩国供应链发起攻击朝鲜Lazarus组织针对韩国IT、金融等行业发起"同步漏洞行动",利用Innorix软件漏洞及多阶段恶意软件链实施水坑攻击,攻击手法隐蔽且持续升级,凸显供应链安全风险。
9. 朝鲜Lazarus APT组织利用"一日漏洞"攻击全球机构朝鲜Lazarus组织利用"一日漏洞"快速攻击全球金融和能源设施,技术升级显著,已造成超400万美元损失。专家建议优先修补漏洞并加强日志监控。
10. 新型"电力寄生虫"网络钓鱼攻击瞄准能源企业与知名品牌"电力寄生虫"网络钓鱼活动冒充西门子等能源巨头,通过虚假投资和招聘骗局,利用150+域名和多语言策略针对亚洲用户,窃取财务数据。攻击采用统一模板和共享基础设施,YouTube和Telegram也被利用传播。
一周好文共读1. MCP协议下的oauth认证机制安全MCP协议引入OAuth 2.1授权填补安全空白,但将资源与授权服务器耦合,增加企业部署复杂度,违背无状态最佳实践,需分离授权与资源服务器以优化安全集成。【阅读原文】
2. APISandbox | 4ASystem: 4A认证系统下的API平行越权攻击者利用4A系统API未验证新密码的漏洞,通过弱口令登录web1后越权修改web2、web3密码,实现横向渗透。【阅读原文】
3. 记一次爱加密企业版脱壳与反调试绕过文章介绍了绕过Frida反调试的多种方法,包括Hook pthread_create、拦截dlopen、替换mprotect等,以提取DEX文件。重点分析了libexec.so的延迟加载问题,提出实时监控和内存扫描策略,但最终仍需虚拟机脱壳应对新版加固。【阅读原文】