威胁情报新闻
MongoBleed:正在被积极利用的MongoDB关键漏洞 2025年12月19日,一个影响大多数MongoDB部署的严重漏洞MongoBleed被披露。该漏洞允许未经身份验证的攻击者泄露未初始化的堆内存,从而暴露密码和API密钥等敏感数据。公开漏洞利用代码于12月25日出现,到12月28日,广泛利用被确认。尽管进行了紧急修补,但截至12月30日的扫描显示,近70%的可公开访问实例仍然存在漏洞。考虑到有超过30万台面向互联网的MongoDB服务器以及正在进行的积极利用,风险迫在眉睫且严重。 MongoBleed影响从4.4到8.2的版本,修补程序已在指定版本中提供。建议组织立即升级或应用临时缓解措施。除了修补,检测和响应至关重要。
React2Shell:React.js中正在被积极利用的关键RCE漏洞 2025年12月3日,React服务器组件中一个关键的无身份验证远程代码执行漏洞被披露。该漏洞允许攻击者通过单个HTTP请求执行任意代码,影响了Next.js等流行框架。在几天内,就观察到了广泛的利用行为。该漏洞影响了特定版本的React服务器组件包。组织必须立即修补到指定版本,以防止RCE,并应用后续补丁以解决相关漏洞。
追踪、检测与狩猎能力 威胁情报团队创建了多个对抗追踪器,以自动识别和检测部署的恶意基础设施。团队已将特定恶意软件/威胁行为者确定为12月最活跃的。相关追踪器在12月期间识别了超过16,353个针对不同家族的新IOC。
检测改进 12月,添加或更新了多个安全检测规则。改进和新元素的示例如下:
- 新增规则,用于检测Office工具中使用procdump的行为以及滥用Azure Azcopy进行数据渗漏的行为。
- 改进了规则,以识别从消费级VPN创建的收件箱规则或识别可疑用户代理。
开放威胁情报交换 开放威胁情报交换是世界上最大的开放威胁情报共享社区之一,汇集了来自全球的威胁研究人员,他们每天向平台发布威胁信息。威胁情报团队会验证、分析并丰富这些威胁情报。OTX成员可以受益于集体研究、为社区做出贡献、分析威胁、创建公共和私人威胁情报共享小组等。 新的OTX情报脉冲 威胁情报团队根据其研究和发现,不断在OTX中发布新的情报脉冲。在12月,实验室团队创建了90个新的情报脉冲,为最新的威胁和攻击活动提供了覆盖。以下是部分最相关新脉冲的示例:
- Shai-Hulud V2对NPM供应链构成风险
- 防御React服务器组件中的CVE-2025-55182漏洞
- HoneyMyte APT现在使用内核模式Rootkit保护恶意软件
- 检测到规避性的SideWinder APT活动
