每日安全简讯(20250414)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 西悉尼大学登录系统遭入侵致数据泄露

2025年4月11日，澳大利亚西悉尼大学（WSU）披露两起独立网络安全事件：单点登录（SSO）系统遭攻击，导致在校及往届学生的学籍、学业进度等敏感信息被非法访问；部分师生个人数据在暗网公开兜售。校方称发现SSO入侵后已立即阻断攻击链路，但未透露攻击手法是否涉及漏洞利用或内部凭证泄露。

https://www.bleepingcomputer.com/news/security/western-sydney-university-discloses-security-breaches-data-leak/

---

2 宜家东欧运营商去年遭勒索攻击损失2000万欧元

2025年4月11日，宜家东欧特许运营商Fourlis集团披露，其于2024年11月27日遭受的勒索攻击已造成累计2000万欧元损失。此次攻击导致希腊、塞浦路斯、罗马尼亚及保加利亚的宜家线上商城瘫痪，家居业务库存补给中断，影响持续至2025年2月。但该公司拒绝支付赎金，依靠外部安全团队重建系统并阻截后续多次攻击。

https://www.bleepingcomputer.com/news/security/ransomware-attack-cost-ikea-operator-in-eastern-europe-23-million/

---

3 传感器巨头森萨塔科技遭勒索攻击

2025年4月10日，研究人员披露全球工业传感器巨头森萨塔科技（Sensata Technologies）向美国证券交易委员会（SEC）提交报告，确认其于4月6日遭受勒索软件攻击。攻击者加密了企业内网关键系统，导致全球生产基地的运输、接收、制造生产流程中断，并窃取未明确范围的敏感数据。森萨塔科技表示，已经采取行动修复网路攻击所造成的影响，但是具体修复时间无法确定

https://www.bleepingcomputer.com/news/security/sensata-technologies-hit-by-ransomware-attack-impacting-operations/

---

4 钓鱼即服务平台Tycoon2FA更新多项技术

2025年4月12日，研究人员披露钓鱼即服务（PhaaS）平台Tycoon2FA近期更新多项技术，进一步强化对微软365账户的多因素认证（MFA）绕过能力。此次新增三项关键功能：利用不可见Unicode字符隐藏恶意JavaScript代码（规避静态检测）、改用HTML5 Canvas自托管随机化CAPTCHA（逃避域名信誉拦截）以及集成反调试脚本（阻断PhantomJS、Burp Suite等分析工具）。

https://www.bleepingcomputer.com/news/security/tycoon2fa-phishing-kit-targets-microsoft-365-with-new-tricks/

---

5 WordPress插件OttoKit存在高危授权绕过漏洞

2025年4月11日，研究人员披露WordPress插件OttoKit（原SureTriggers）存在高危授权绕过漏洞（CVE-2025-3102），该漏洞在公开数小时内即遭大规模利用。攻击者利用插件未配置API密钥时的身份验证缺陷，通过构造空值绕过autheticate_user函数检查，在目标网站生成随机用户名的恶意管理员账户，后续可植入恶意插件、篡改页面或劫持流量。尽管漏洞已在1.0.79版本修复，但未及时更新的站点仍暴露于风险中。

https://thehackernews.com/2025/04/ottokit-wordpress-plugin-admin-creation.html

---

6 PAN-OS网关被发现大规模暴力破解攻击

2025年4月11日，研究人员发现针对PAN-OS GlobalProtect网关的大规模暴力破解攻击。此次攻击主要针对美国、英国、爱尔兰、俄罗斯及新加坡地区的系统。威胁情报公司GreyNoise此前已发现针对GlobalProtect登录接口的可疑扫描活动激增，推测攻击者试图通过密码爆破手段渗透目标网络。此次攻击未利用系统漏洞，而是通过猜测弱密码实现入侵。

https://thehackernews.com/2025/04/palo-alto-networks-warns-of-brute-force.html

---