每日安全简讯(20260102)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 RondoDox僵尸网络利用React2Shell漏洞入侵Next.js服务器

研究人员发现RondoDoX僵尸网络发起了长达九个月的持续攻击行动，目标直指IoT设备及Web应用。该威胁行为者近期已转向武器化关键的Next.js漏洞，部署React2Shell恶意负载及加密货币挖矿程序。CloudSEK通过暴露的命令与控制日志发现此攻击浪潮，日志记录了2025年3月至12月的自动化利用尝试，显示威胁团伙能快速适配最新攻击趋势。值得注意的是，12月10日Darktrace报告React2Shell利用情况后，威胁者于3日内更新了指挥控制服务器并持续活跃至今。分析确认攻击分三个阶段，涉及6台指挥控制服务器，Rondo为主要恶意软件家族且存在10余种变体，2025年12月Next.js远程代码执行漏洞成为主导攻击向量，6天内同一漏洞遭40余次重复攻击，12月13日起进入每小时攻击的高峰期。CloudSEK已持续监控相关日志，并向技术栈与攻击向量重叠的客户发出预警，同时提供了防御建议以缓解此类复杂攻击。

https://www.cloudsek.com/blog/rondodox-botnet-weaponizes-react2shell

---

2 Unleash Protocol平台遭受攻击致390万美元加密资产失窃

基于Story生态系统的知识产权金融平台Unleash Protocol遭遇网络攻击，因多签治理系统被突破导致攻击者获取未授权管理员权限，最终损失390万美元加密资产。目前该平台已暂停所有运营并开展法医分析。据Unleash披露，攻击者通过外部账户执行未授权合约升级，绕开审批流程提取资产，受影响资产包括WIP、USDC、WETH等多种代币。攻击者将被盗资产跨链至以太坊网络，并向混币服务Tornado Cash存入1337.1枚以太坊以掩盖交易痕迹，派盾、CertiK等机构已追踪相关资金流向。事件核查显示，攻击源于Unleash自身治理权限框架问题，与Story Protocol合约及底层基础设施无关。Unleash已警示用户暂勿交互协议合约，并联合安全专家调查漏洞根源。Story Protocol背后的PIP Labs表示将及时披露事件进展及补救措施，承诺保障调查透明度。

https://coinmarketcap.com/academy/article/unleash-protocol-loses-dollar39m-in-governance-exploit

---

3 纽约市长就职典礼禁止使用Flipper Zero和树莓派设备

纽约市2026年市长佐兰·马姆达尼（Zohran Mamdani）就职典礼官方FAQ发布禁品清单，除大型包袋、武器、无人机等常规危险物品外，明确禁止携带Flipper Zero和树莓派设备。Flipper Zero是一款常用于无线通信协议测试的手持设备，树莓派则是低成本通用单板计算机，二者均为安全研究者、开发者常用工具。与清单中多数物品按类别管控不同，这两款设备被单独点名禁止，引发广泛争议。争议焦点在于，笔记本电脑、智能手机未被列入禁品，而此类设备可运行Kali Linux等渗透测试系统及相关安全工具，技术功能不亚于甚至优于被禁设备。安全专家斯特凡·克拉特（Stefan Klatt）在X平台发文质疑该禁令合理性。据悉，Flipper Zero此前因可能被用于汽车盗窃、网络入侵等犯罪活动遭多国政府关注，亚马逊等电商也曾禁售，但相关禁令多被撤销。

https://blog.adafruit.com/2025/12/30/nyc-mayoral-inauguration-bans-raspberry-pi-and-flipper-zero-alongside-explosives/

---

4 IBM警告API Connect存在严重的身份验证绕过漏洞

IBM披露其API Connect认证系统存在高危安全漏洞，该漏洞编号为CVE-2025-13915，CVSS评分达9.8分（满分10分），属于认证绕过漏洞，攻击者可利用此漏洞远程绕过认证机制获取应用未授权访问权限。受影响的API Connect版本包括10.0.8.0至10.0.8.5以及10.0.11.0。IBM建议用户从Fix Central下载修复程序，提取相关文件后根据对应版本应用补丁；暂时无法安装临时补丁的用户，若启用了开发者门户自助注册功能，应立即禁用以降低漏洞暴露风险。据悉，API Connect是端到端API解决方案，支持企业创建、测试、管理和保护云端及本地API，Axis银行、印度国家银行、阿提哈德航空等多家机构均在使用。目前尚无该漏洞被野外利用的证据，但IBM仍提醒用户尽快修复以保障系统安全。

https://thehackernews.com/2025/12/ibm-warns-of-critical-api-connect-bug.html

---

5 CISA要求联邦机构修复MongoBleed漏洞

美国网络安全与基础设施安全局（CISA）下令联邦机构加固系统，防范已遭实际攻击的MongoDB高危漏洞MongoBleed。该漏洞编号为CVE-2025-14847，源于MongoDB Server使用zlib库处理网络数据包压缩的机制，已于2025年12月19日发布补丁。攻击者无需身份验证，通过低复杂度、无需用户交互的方式即可利用该漏洞远程窃取凭证及敏感数据，包括API密钥、会话令牌、内部日志和个人身份信息（PII）。CISA确认了Wiz的相关报告，并将该漏洞纳入已利用漏洞清单，要求美国联邦民事行政部门（FCEB）在三周内（即2026年1月19日前）完成修复，涉及国土安全部、财政部等非军事行政机构。

https://www.cisa.gov/news-events/alerts/2025/12/29/cisa-adds-one-known-exploited-vulnerability-catalog

---

6 迪士尼将支付1000万美元以和解一起儿童数据隐私诉讼

美国司法部宣布，联邦法院已批准一项和解协议，解决针对迪士尼旗下两家公司（合称迪士尼）涉嫌违反儿童隐私法的诉讼。该案由联邦贸易委员会（FTC）调查并与迪士尼协商达成解决方案后移交司法部。根据协议，迪士尼将支付1000万美元民事罚款，以了结FTC关于其热门YouTube视频内容违反《儿童在线隐私保护法》（COPPA）及其实施条例的指控。COPPA规定，网站运营者不得在未通知父母并获得同意的情况下，故意收集、使用或披露13岁以下儿童的个人信息。政府在加州中区联邦法院提交的诉状中称，迪士尼未将其YouTube视频内容正确标注为面向儿童的内容，导致自身及代理方在该平台向儿童定向投放广告，并在未获家长通知与同意的情况下非法收集儿童信息。

https://www.justice.gov/opa/pr/disney-agrees-10m-civil-penalty-and-injunction-alleged-violations-childrens-privacy-laws

---