每日安全简讯(20250705)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露针对Android攻击行动IconAds

安全研究团队发现并破获了名为IconAds的攻击行动。该行动涉及352款应用，这些应用会在用户屏幕上加载与上下文无关的广告，并隐藏应用图标，使用户难以识别和移除违规应用。IconAds攻击高峰期每天处理12亿次竞价请求，其相关流量遍布全球，主要来源是巴西、墨西哥和美国。研究人员分析发现，IconAds应用程序采用分层混淆策略、命令与控制通信模式以及恶意活动别名等手段来隐藏其活动和自身。Google已从Google Play中移除报告中提及的所有应用，用户将自动受到Google Play Protect的保护。

https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-iconads/

---

2 Wing FTP服务器漏洞致攻击者可完全接管

一个严重漏洞在Wing FTP Server中被披露，该漏洞编号为CVE-2025-47812，CVSSv4评分高达10.0，表明其极高的危险性和易被利用性。该漏洞影响Wing FTP Server 7.4.3及更高版本。漏洞源于/loginok.html端点在处理用户名参数时对NULL字节的处理不当，攻击者可借此注入任意Lua代码至用户会话文件，进而实现未经身份验证的远程代码执行，完全接管服务器。由于Wing FTP在Linux上默认以root权限运行，在Windows上默认以NT AUTHORITY/SYSTEM权限运行，一旦被利用，攻击者将获得底层服务器的完全控制权。若服务器允许匿名用户访问，攻击者无需身份验证即可利用该漏洞。目前，供应商已发布7.4.4版本修复该漏洞，建议用户立即更新，并检查服务器日志以查找受损迹象，同时限制匿名访问。

https://gbhackers.com/wing-ftp-server-vulnerability/?web_view=true

---

3 ModSecurity WAF漏洞致DoS攻击风险

ModSecurity，一种广泛使用的开源Web应用程序防火墙（WAF），近期被披露存在一个漏洞，该漏洞可能导致服务器遭受拒绝服务（DoS）攻击。该漏洞编号为CVE-2025-52891，影响ModSecurity 2.9.8至2.9.10版本，CVSS v3基本评分为6.5，属于中等严重程度。攻击者可利用此漏洞反复发送特制的XML有效负载，摧毁WAF，进而使受保护的Web应用程序面临进一步攻击风险。该漏洞仅影响mod_security2，不影响libmodsecurity3库。默认情况下，SecParseXmlIntoArgs指令设置为“关闭”，只有启用该功能的安装才会受到攻击。建议管理员立即禁用SecParseXmlIntoArgs或升级到修补版本2.9.11。

https://gbhackers.com/critical-bug-in-modsecurity-waf/?web_view=true

---

4 巴西CIEE One数据泄露事件致数万名用户信息外泄

近日，名为“888”的黑客在暗网上公布了从CIEE（企业与学校融合中心）窃取的248725条用户记录，涉及大量敏感个人信息（PII）。CIEE One是一个为寻求实习和学徒项目候选人提供个性化招聘服务的平台，广泛应用于巴西的主要金融机构和多个行业。由于其汇总了大量用于尽职调查和招聘的敏感数据。此次泄露的敏感数据包括个人简历、医疗报告、用户头像及其他标识信息，且数据以CSV格式存储，可能持续更新。泄露事件的根源在于CIEE的云存储桶配置错误，导致敏感信息暴露在公共互联网上。

https://www.resecurity.com/blog/article/cybercriminals-target-brazil-248725-exposed-in-ciee-one-data-breach

---

5 勒索软件组织宣布停止运营并发布免费解密器

Hunters International 勒索软件即服务（RaaS）组织于2025年7月3日宣布正式停止运营，并提供免费解密器，帮助受害者在无需支付赎金的情况下恢复数据。该组织在暗网泄密声明中表示，这一决定是在慎重考虑近期事态发展后做出的。同时，该组织还从勒索门户中删除了所有条目，并表示受影响的公司可以在其官方网站上请求解密工具和恢复指南。Hunters International 自2023年末出现以来，已声称对全球近300起攻击事件负责，是近年来最活跃的勒索软件行动之一。该组织的勒索软件针对多种平台，包括Windows、Linux、FreeBSD、SunOS和ESXi（VMware服务器），并且支持x64、x86和ARM架构。其著名受害者包括塔塔技术公司、美国法警局、日本光学巨头豪雅等。此前，该组织曾于2024年11月17日宣布因执法审查力度加大和盈利能力下降将关闭，但后来又重新品牌化，专注于数据盗窃和勒索攻击，并推出了名为“World Leaks”的新业务。

https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-shuts-down-after-world-leaks-rebrand/?&web_view=true

---

6 Grafana发布图像渲染器插件关键安全更新

Grafana Labs发布了针对Grafana图像渲染器插件和合成监控代理的关键安全更新，解决了四个Chromium漏洞。尽管这些问题两周前已在开源项目中修复，但Grafana收到安全研究员提交的漏洞赏金报告，证明Grafana组件中的漏洞可被利用。受影响的版本包括3.12.9之前的Grafana Image Renderer版本和0.38.3之前的Synthetic Monitoring Agent版本。Grafana将此更新描述为“严重安全版本”，建议用户尽快修复。用户可通过特定命令或从GitHub下载最新版本进行更新。Grafana Cloud和Azure Managed Grafana实例已得到修补，相关用户无需采取额外措施。

https://www.bleepingcomputer.com/news/security/grafana-releases-critical-security-update-for-image-renderer-plugin/

---