摘要：“联邦调查局丹佛办事处提醒公众，近期涉及免费在线文档转换工具的骗局频发，我们鼓励受害者举报此类事件。”警报中写道。“在此类攻击中，犯罪分子使用免费的在线文档转换器将恶意软件植入受害者的计算机，导致勒索软件等严重后果。”假冒的文件转换器和下载工具不仅可能执行广告

近日，明朝万达安元实验室发布了2025年第三期《安全通告》。该份报告收录了2025年3月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

1.联邦调查局警告恶意免费在线文档转换器传播恶意软件

联邦调查局警告称，威胁行为者利用恶意的在线文档转换器窃取用户的敏感信息，并感染他们的系统。

“联邦调查局丹佛办事处提醒公众，近期涉及免费在线文档转换工具的骗局频发，我们鼓励受害者举报此类事件。”警报中写道。“在此类攻击中，犯罪分子使用免费的在线文档转换器将恶意软件植入受害者的计算机，导致勒索软件等严重后果。”

假冒的文件转换器和下载工具不仅可能执行广告任务，还可能提供含有隐藏恶意软件的文件，使犯罪分子能够访问受害者的设备。此外，他们还能通过抓取用户上传的文件来窃取个人数据、银行详细信息、加密货币信息、电子邮件及密码。

警报进一步指出：“为了实施这一计划，全球的网络犯罪分子正在利用各种免费文档转换器或下载工具。这些工具可能是声称能将一种文件格式转换为另一种格式的网站，例如将.doc文件转换为.pdf文件，或者声称可以合并多个文件，如将多个.jpg文件合并为一个.pdf文件。还有一些可疑程序声称是MP3或MP4下载工具。”

2.攻击者可以通过利用关键的Next.js漏洞绕过中间件身份验证检查

Next.js React框架的维护者在发布12.3.5、13.5.9、14.2.25和15.2.3版本时修复了一个关键漏洞CVE-2025-29927（CVSS评分：9.1）。“Next.js 15.2.3版本已发布，用于修复一个安全漏洞（CVE-2025-29927）。此外，还提供了后端补丁。”公告中写道。“我们建议所有使用‘Next start-and-output: standalone’模式自托管Next.js的应用程序立即更新。”

该漏洞允许攻击者绕过Next.js中间件中的授权检查，从而可能导致未经授权的访问。

公告进一步指出：“如果授权检查是在中间件中实现的，则可以绕过Next.js应用程序中的授权检查。”

维护团队还提供了一种临时解决方案，建议在无法立即修补的情况下，通过使用`x-middleware-subrequest-header`阻止外部请求，以保护Next.js应用程序的安全。

研究人员Allam Rachid（zhero）和Allam Yasser（inzo_）报告了这一漏洞，并公布了相关的技术细节。

3.专家警告称，SSRF漏洞的利用企图将协同激增

威胁情报公司GreyNoise在3月9日观察到服务器端请求伪造（SSRF）攻击尝试显著增加之前，发现了针对Grafana的路径遍历攻击尝试。这表明攻击者可能正在利用Grafana作为更深层次攻击的初始切入点。

专家们认为，这些攻击企图是协同攻击的一部分，威胁行为者首先扫描暴露的基础设施，然后加大攻击力度。在之前的攻击中，攻击者利用Grafana漏洞访问配置文件和内部网络详细信息，从而增强了侦察驱动目标的可能性。

GreyNoise在其公告中写道：“3月9日，我们观察到多个广泛使用的平台上SSRF利用率的协同激增。至少有400个IP被发现同时积极利用多个SSRF CVE，显示出明显的重叠。”

GreyNoise观察到，在3月9日，约有400个独特的IP地址积极针对10个不同的SSRF漏洞发动攻击。许多IP地址试图同时利用多个漏洞，而不是仅针对单一漏洞。这种模式表明这些活动可能是自动化或入侵前的侦察行为，而非典型的僵尸网络活动。

4.隐形勒索软件组织入侵弗吉尼亚州总检察长办公室

勒索软件组织Cloak声称对2025年2月针对弗吉尼亚州总检察长办公室的网络攻击负责。

此次网络攻击迫使弗吉尼亚州总检察长办公室关闭了包括电子邮件和VPN在内的IT系统，并恢复使用纸质文件。首席副检察官史蒂文·波普斯（Steven Popps）形容这是一次“复杂的攻击”。事件于2月份被发现后，相关部门立即通知了联邦调查局、弗吉尼亚州警察局以及弗吉尼亚信息技术局。目前，调查正在进行中，以评估攻击的影响和来源。

弗吉尼亚州总检察长办公室尚未披露有关此次攻击的具体细节。然而，在2025年3月20日，Cloak组织将该机构列入其Tor泄漏网站上的受害者名单中。

该组织表示，等待期已过，并声称窃取了134GB的敏感数据。最初，他们发布了被盗数据的截图作为攻击证据，而如今，整个档案已可以从泄漏页面下载。

Cloak勒索软件组织自2023年以来一直活跃，多年来已成功入侵超过100个组织。

Halcyon发布的报告中写道：“Cloak主要针对欧洲的中小型企业，其中德国是重点目标。近年来，该组织将其活动范围扩展至亚洲国家，并针对医疗保健、房地产、建筑、IT、食品和制造业等多个行业。”

5.思科智能许可实用程序缺陷在野外被积极利用

思科在其智能许可实用程序中披露了两个漏洞：CVE-2024-20439（静态凭据后门）和CVE-2024-4440（信息泄露漏洞）。攻击者可以利用这些漏洞访问敏感的日志文件。尽管最初没有发现任何主动利用的行为，但漏洞利用细节的公布导致了近期的攻击活动。

公告中写道：“Cisco Smart Licensing Utility中的多个漏洞可能允许未经身份验证的远程攻击者在软件运行时收集敏感信息或管理系统上的Cisco Smart Licensing Utility服务。”

以下是对这两个漏洞的描述：

**CVE-2024-20439**：一个静态凭据后门，允许攻击者通过固定密码获取访问权限。 **CVE-2024-4440**：一个信息泄露漏洞，日志文件记录了超出必要范围的信息，攻击者可通过第一个漏洞访问这些日志文件。

思科已经发布了解决这些问题的软件更新，但没有提供临时解决方案。

SANS互联网风暴中心的研究人员警告称，这两个问题已被积极利用于实际攻击中。

6.零日经纪商Operation Zero为Telegram漏洞提供高达400万美元的奖励

据Tech Crunch首次报道，俄罗斯零日经纪商Operation Zero将为Telegram漏洞提供高达400万美元的奖金。该公司专注于向俄罗斯政府和本地公司销售漏洞利用信息，并为以下类型的漏洞提供高额奖励：

- Telegram一键远程代码执行（RCE）：最高50万美元
- Telegram零点击RCE：最高150万美元
- Telegram全链漏洞利用：最高400万美元，可能危及整个设备。

这些漏洞涉及Android、iOS和Windows平台，具体价格取决于漏洞的限制和获得的权限。

Operation Zero愿意支付如此高额的奖金，原因包括Telegram的端到端加密和广泛应用，绕过其安全性的漏洞可能会极大地改变网络间谍的游戏规则。

7.美国财政部取消了对加密货币混合器服务Tornado Cash的制裁

美国财政部宣布取消对加密货币混合器服务Tornado Cash的制裁。2022年8月，由于与朝鲜关联的Lazarus APT集团使用该服务进行洗钱活动，美国财政部外国资产控制办公室（OFAC）对其实施了制裁。

加密货币混合器是网络犯罪分子用于洗钱的重要工具，它们被用来清洗从受害者那里窃取的资金。根据OFAC的数据，自2019年创建以来，Tornado Cash已用于清洗超过70亿美元的虚拟货币。其中，Lazarus APT集团通过该平台清洗了超过4.55亿美元，这是目前已知的最大规模的虚拟货币盗窃案之一。此外，Tornado Cash还参与了Harmony Bridge Heist和Nomad加密货币盗窃案的资金清洗。

根据第13694号行政命令，美国财政部决定取消对Tornado Cash的经济制裁。声明中提到：“基于对不断发展的技术和法律环境中金融及商业活动的新问题的审查，我们已行使自由裁量权，取消对Tornado Cash的经济制裁。”

财政部强调其致力于打击来自朝鲜及其他非法行为者的网络威胁，确保数字资产行业免受滥用。财政部长Scott Bessent表示：“数字资产为美国人民带来了巨大的创新和价值创造机会。保障这一领域免受非法行为者的侵害，对于维持美国在全球的领导地位至关重要。”

8.RansomHub联盟使用自定义后门Betruger

赛门铁克的威胁猎人团队已经确认了一款名为Betruger的自定义后门，该后门与RansomHub附属组织有关。Betruger专为勒索软件攻击设计，集成了多种功能于一个工具中，以最大限度地减少检测风险。它支持屏幕截图捕获、凭证盗窃、击键记录、网络扫描和权限升级等功能，减少了对多个工具的需求，降低了攻击足迹。

赛门铁克发布的分析显示：“赛门铁克Threat Hunter团队观察到一款自定义后门的活动，该后门可以与勒索软件中心附属公司绑定。” “RansomHub是一种勒索软件即服务（RaaS）产品，后门被命名为Betruger。这是一种多功能后门，似乎是专门为执行勒索软件攻击而开发的。Betruger结合了勒索软件攻击期间常用的多种工具的功能。”

勒索软件集团通常依赖合法工具和公开可用的恶意软件，如Mimikatz和Cobalt Strike。然而，自定义工具相对少见，主要用于数据盗窃，例如Exmatter和Exbyte。

研究人员指出，Betruger后门伪装成“mailer.exe”或“turbomail.exe”，但实际上并无邮件功能，可能看起来是合法的。

9.Veeam修复了关键的备份和复制漏洞CVE-2025-23120

Veeam已解决了一个严重安全漏洞CVE-2025-23120（CVSS评分为9.9），该漏洞影响其备份和复制软件，可能导致远程代码执行。此漏洞影响版本12.3.0.310及所有早期版本12，在版本12.3.1（版本号12.3.1.1139）中得到修复。

公告中提到：“允许经过身份验证的域用户执行远程代码（RCE）的漏洞。”

此漏洞由watchTowr的安全研究员Piotr Bazydlo报告。它源于Veeam实现中的反序列化处理缺陷，使攻击者能够绕过阻止列表并利用缺失的小工具实现远程代码执行。

Veeam服务器上的任何本地用户或加入域的任何域用户都可以利用该漏洞。

Veeam发布的补丁解决了已识别的小工具问题，但如果发现了新的反序列化小工具，类似的风险依然存在。

10.Meta警告FreeType库中存在被积极利用的漏洞

Meta警告称，FreeType库中的一个越界写入漏洞（被追踪为CVE-2025-27363，CVSS评分为8.1）可能已在攻击中被积极利用。

根据Meta发布的公告：“在尝试解析与TrueType GX和可变字体文件相关的字体子图形结构时，FreeType 2.13.0及以下版本中存在一个越界写入漏洞。” 公告进一步解释道：“易受攻击的代码将一个有符号的短值分配给一个无符号的长值，然后添加一个静态值，导致它环绕并分配一个过小的堆缓冲区。随后，代码会写入最多6个相对于此缓冲区超出界限的有符号长整数。这可能会导致任意代码执行。”

网络安全最新漏洞追踪

Apache OFBiz模板引擎注入漏洞(CVE-2025-26865)

一、漏洞概述

Apache OFBiz是一个开源的企业资源规划（ERP）框架，提供了一套完整的业务应用解决方案。它包括订单管理、库存管理、会计、客户关系管理等模块，支持高度定制化。OFBiz基于Java开发，具有强大的扩展性和灵活性，适用于各类中小型企业的业务流程管理。

二、影响范围

18.12.17

三、修复建议

官方已在Apache OFBiz 18.12.18版本中修复了模板引擎注入漏洞。用户应尽快升级至18.12.18及之后版本，以确保系统安全。

参考链接：

Apache Tomcat远程代码执行漏洞(CVE-2025-24813)

一、漏洞概述

Apache Tomcat是一个开源的Java Servlet容器和Web服务器，主要用于运行Java应用程序，特别是基于Servlet和JavaServer Pages技术的应用。它由Apache软件基金会开发，广泛应用于Web开发和企业级应用程序中，支持Servlet、JavaServer Pages以及WebSocket等技术，具有高性能、可扩展性和可靠性。

二、影响范围

11.0.0-M1 <= Apache Tomcat <= 11.0.2
10.1.0-M1 <= Apache Tomcat <= 10.1.34
9.0.0.M1

三、修复建议

官方已修复该漏洞。用户应尽快升级至如下版本，以确保系统安全。 Apache Tomcat 11.0.3或更高版本
Apache Tomcat 10.1.35或更高版本
Apache Tomcat 9.0.99或更高版本
下载链接：

参考链接：

Kibana 原型污染导致任意代码执行漏洞(CVE-2025-25015)

一、漏洞概述

Kibana是Elastic Stack（ELK）的可视化和分析工具，主要用于日志和指标数据的展示。它支持数据探索、仪表板创建、机器学习分析、警报管理等功能，常与Elasticsearch搭配使用，广泛应用于日志分析、安全监控和业务数据可视化。

二、影响范围

8.15.0 ≤ Kibana

三、修复建议

elastic官方已在如下版本中修复了此漏洞。建议受影响的用户尽快升级，以解决该问题。
升级至Kibana 8.17.3
下载链接：