安全专业人员和系统管理员正处于高度戒备状态,因为 Microsoft、Fortinet 和 Ivanti 都发布了关于各自产品中受到积极利用的零日漏洞的关键安全公告。这些漏洞对组织构成重大风险,可能导致未经授权的访问、数据泄露和系统破坏。强烈建议立即进行修补并实施推荐的解决方案,以减轻潜在的威胁。
Microsoft 补丁解决已积极利用和公开披露的漏洞
Microsoft 最近的补丁星期二发布包括针对大量漏洞的修复,其中包括五个已经在野外被积极利用的漏洞,以及两个公开披露的零日漏洞。这些被积极利用的缺陷代表着严重的威胁,因为恶意行为者正在积极地利用它们来破坏系统。
已被积极利用的漏洞详情
以下漏洞已被确定为正在被积极利用:
Microsoft DWM Core Library (CVE-2025-30400): Desktop Window Manager (DWM) Core Library 中的这个漏洞可能允许攻击者将其权限提升到 SYSTEM 级别。这意味着攻击者可以获得对受影响系统的完全控制。攻击者可以利用此漏洞来执行任意代码,安装恶意软件,窃取敏感数据或执行其他恶意操作,从而完全控制受影响的系统。由于 DWM 是 Windows 操作系统的核心组件,因此成功利用此漏洞可能导致系统范围内的破坏。
Windows Common Log File System (CVE-2025-32701 和 CVE-2025-32706): Windows Common Log File System (CLFS) 中的两个独立漏洞也可能允许攻击者获得 SYSTEM 级别的特权。CLFS 是 Windows 各种组件使用的通用日志服务。 这些漏洞若被利用,攻击者同样可以提升权限,获得对系统的完全控制,并执行恶意操作。由于 CLFS 在 Windows 系统中扮演着重要的日志记录角色,因此对其的攻击可能影响到多个依赖于它的应用程序和服务。
Windows Ancillary Function Driver (CVE-2025-32709): Windows Ancillary Function Driver 中的漏洞也可能导致权限提升到 SYSTEM 级别。 Windows Ancillary Function Driver 主要负责辅助功能相关的驱动,利用此漏洞攻击者能够获取控制权限,并进行系统篡改。
Microsoft Scripting Engine (CVE-2025-30397): Microsoft Scripting Engine 中存在一个内存损坏漏洞,可能使攻击者能够执行任意代码。 这可能允许攻击者在受影响的系统上运行恶意软件。内存损坏漏洞通常难以利用,但成功利用后,攻击者可以完全控制系统,安装后门程序、窃取数据或进行其他恶意活动。这个漏洞影响广泛使用 Microsoft Scripting Engine 的应用程序,因此对系统造成了潜在的风险。
公开披露的漏洞
除了被积极利用的漏洞外,Microsoft 还解决了两个公开披露的零日漏洞:
Microsoft Defender (CVE-2025-26685): Microsoft Defender 中存在一个身份欺骗漏洞,可能允许攻击者通过相邻网络欺骗另一个帐户。 攻击者利用此漏洞可以通过伪造身份绕过身份验证机制,从而访问受保护的资源和数据。由于 Microsoft Defender 是 Windows 操作系统的内置安全组件,因此成功利用此漏洞可能会对系统的整体安全性产生重大影响。
Visual Studio (CVE-2025-32702): Visual Studio 中的远程代码执行漏洞可能允许未经身份验证的攻击者在本地执行代码。 攻击者利用此漏洞可以远程执行任意代码,安装恶意软件,或执行其他恶意操作。对于开发环境而言,此类漏洞尤其危险,因为它们可能允许攻击者篡改开发过程,从而在软件供应链中引入漏洞。
需要优先处理的关键漏洞
除了已被积极利用和公开披露的缺陷外,Microsoft 还发布了六个关键漏洞的补丁,这些漏洞虽然目前尚未被利用,但应优先进行修补。这些漏洞影响到各种 Microsoft 产品,包括:
Microsoft Office (CVE-2025-30377 和 CVE-2025-30386): Microsoft Office 中发现了两个关键漏洞,可能允许远程代码执行。攻击者可以利用这些漏洞通过精心制作的 Office 文档或电子邮件附件执行任意代码,完全控制受影响的系统。由于 Microsoft Office 是广泛使用的办公软件套件,因此这些漏洞对大量用户构成潜在威胁。
Microsoft Power Apps (CVE-2025-47733): Microsoft Power Apps 中发现了一个关键漏洞,可能导致未经授权的访问或代码执行。攻击者利用这个漏洞可以绕过身份验证机制,访问 Power Apps 中的敏感数据和资源,或者执行任意代码,篡改应用程序的功能。由于 Power Apps 用于构建低代码应用程序,因此这些漏洞可能影响到大量自定义应用程序和业务流程。
Remote Desktop Gateway Service (CVE-2025-29967): Remote Desktop Gateway Service 中存在一个关键漏洞,可能允许攻击者破坏系统。 攻击者可以利用此漏洞绕过身份验证,获得对 Remote Desktop Gateway Service 的完全控制,从而访问连接到内部网络的远程桌面会话。由于 Remote Desktop Gateway Service 用于安全地远程访问内部资源,因此此漏洞对组织的安全性构成重大威胁。
Windows Remote Desktop (CVE-2025-29966): Windows Remote Desktop 中发现了一个关键漏洞,可能导致远程代码执行。攻击者可以利用此漏洞通过网络发送特制的请求,在受影响的系统上执行任意代码,完全控制远程桌面会话。由于 Remote Desktop 是广泛使用的远程访问工具,因此此漏洞对大量用户构成潜在威胁。
Fortinet 解决多个产品中的关键漏洞
Fortinet 发布了一份关于影响其多个产品的关键漏洞的安全公告,包括 FortiVoice、FortiMail、FortiNDR、FortiRecorder 和 FortiCamera。
这个漏洞是一个基于堆栈的缓冲区溢出,已被分配了 9.6 的 CVSS v4 严重性评分(CVSS v3.1:9.8),表明其严重性很高。未经身份验证的攻击者可以通过发送包含特制哈希 Cookie 的 HTTP 请求来远程利用该漏洞。成功利用可能导致任意代码执行,从而使攻击者能够完全控制受影响的设备。
在 FortiVoice 中观察到的利用
Fortinet 已经证实,它已经观察到在 FortiVoice 设备中对此漏洞的积极利用。攻击者一直在扫描设备网络,擦除系统崩溃日志,并启用 fcgi 调试以捕获在系统或 SSH 登录尝试期间输入的凭据。攻击者利用这些捕获到的凭据,可以进一步入侵系统并执行恶意操作。
受影响的产品和版本
该漏洞被追踪为 CVE-2025-32756,影响以下产品版本。强烈建议立即升级到指定的修复版本:
- FortiVoice:
- 7.2.0:升级到 7.2.1 或以上
- 7.0.0 到 7.0.6:升级到 7.0.7 或以上
- 6.4.0 到 6.4.10:升级到 6.4.11 或以上
- FortiRecorder:
- 7.2.0 到 7.2.3:升级到 7.2.4 或以上
- 7.0.0 到 7.0.5:升级到 7.0.6 或以上
- 6.4.0 到 6.4.5:升级到 6.4.6 或以上
- FortiMail:
- 7.6.0 到 7.6.2:升级到 7.6.3 或以上
- 7.4.0 到 7.4.4:升级到 7.4.5 或以上
- 7.2.0 到 7.2.7:升级到 7.2.8 或以上
- 7.0.0 到 7.0.8:升级到 7.0.9 或以上
- FortiNDR:
- 7.6.0:升级到 7.6.1 或以上
- 7.4.0 到 7.4.7:升级到 7.4.8 或以上
- 7.2.0 到 7.2.4:升级到 7.2.5 或以上
- 7.1:迁移到修复版本
- 7.0.0 到 7.0.6:升级到 7.0.7 或以上
- 1.1 到 1.5:迁移到修复版本
- FortiCamera:
- 2.1.0 到 2.1.3:升级到 2.1.4 或以上
- 2.0:迁移到修复版本
- 1.1:迁移到修复版本
妥协指标和缓解步骤
Fortinet 在其安全警报中提供了妥协指标 (IOC),以帮助组织检测潜在的利用尝试。如果无法立即进行修补,Fortinet 建议暂时禁用 HTTP/HTTPS 管理界面作为缓解措施。
此外,组织还应该定期检查系统日志,寻找异常活动,例如未经授权的访问尝试,或文件系统中的未经授权的更改。还可以使用入侵检测系统 (IDS) 和入侵防御系统 (IPS) 来检测和阻止恶意流量,从而进一步增强系统的安全性。
定期安全审计和渗透测试也是识别和解决潜在漏洞的重要措施。安全审计可以帮助组织评估其安全态势,并确定需要改进的领域。渗透测试则可以模拟真实世界的攻击,以测试系统的安全防御能力,并发现可能被攻击者利用的漏洞。
通过综合运用这些安全措施,组织可以有效地降低受到 Fortinet 漏洞影响的风险,并确保其系统的安全性和可靠性。
Ivanti 解决 Endpoint Manager Mobile 中的远程代码执行漏洞
Ivanti 发布了一份安全公告,解决了影响其 Endpoint Manager Mobile (EPMM) 解决方案的两个漏洞。这些漏洞在链接在一起时,可能导致未经身份验证的远程代码执行。 Ivanti 声明,这些漏洞与 EPMM 中使用的开源代码相关,而不是 Ivanti 的核心代码。
漏洞详情
CVE-2025-4427 (中等严重性): 这是一个身份验证绕过缺陷,CVSS v3.1 严重性评分为 5.3。攻击者可以利用它来绕过身份验证机制并获得对系统的未经授权的访问。攻击者可以利用此漏洞访问敏感数据,篡改系统设置,或执行其他恶意操作。虽然此漏洞的严重性被评为中等,但未经授权的访问仍然可能对组织的安全性造成严重影响。
远程代码执行漏洞(高严重性): 该漏洞的 CVSS v3.1 严重性评分为 7.2,表明具有很高的潜在影响。通过利用此缺陷,攻击者可以在受影响的系统上远程执行任意代码。攻击者可以利用此漏洞安装恶意软件,窃取敏感数据,或完全控制受影响的系统。远程代码执行漏洞通常被认为是高危漏洞,因为它们可能导致系统遭受严重破坏。
受影响的产品和版本
以下版本的 Ivanti Endpoint Mobile Manager 受这些漏洞的影响。尽快升级到最新版本:
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 及更早版本:升级到 11.12.0.5 及更高版本
- 12.3.0.1 及更早版本:升级到 12.3.0.2 及更高版本
- 12.4.0.1 及更早版本:升级到 12.4.0.2 及更高版本
- 12.5.0.0 及更早版本:升级到 12.5.0.1 及更高版本
缓解策略
Ivanti 强烈建议用户尽快升级到最新版本的 EPMM。但是,可以通过使用内置的 Portal ACL 或外部 Web Application Firewall (WAF) 过滤对 API 的访问来显着降低风险。这些措施有助于防止未经授权的访问和漏洞利用。
除了上述缓解措施外,组织还应该采取其他安全措施来保护其 EPMM 系统,例如:
- 实施强密码策略: 确保所有用户都使用强密码,并定期更改密码。
- 启用多因素身份验证: 多因素身份验证可以增加身份验证的安全性,防止攻击者使用被盗凭据访问系统。
- 定期审查用户权限: 定期审查用户的权限,并删除不再需要的权限。
- 监控系统日志: 监控系统日志,寻找异常活动,例如未经授权的访问尝试。
- 实施入侵检测系统 (IDS) 和入侵防御系统 (IPS): IDS 和 IPS 可以帮助检测和阻止恶意流量。
- 保持 EPMM 系统及其相关软件的最新状态: 定期更新 EPMM 系统及其相关软件,以修补安全漏洞。
通过综合运用这些安全措施,组织可以有效地降低受到 Ivanti EPMM 漏洞影响的风险,并确保其移动设备管理系统的安全性和可靠性。
总而言之,Microsoft、Fortinet 和 Ivanti 最近的安全公告突出了对警惕和积极安全措施的永久性需求。组织必须优先执行修补并实施建议的解决方法,以保护自己免受这些已遭积极利用的漏洞和潜在的未来攻击。定期监控安全公告并及时解决已识别的风险是健全安全态势的重要组成部分。未能解决这些漏洞的潜在后果可能非常严重,范围从数据泄露和财务损失到声誉损害和业务中断。供应商和安全社区之间的协作对于识别和缓解这些威胁至关重要,从而确保为所有人提供更安全和更安全的数字环境。应对网络安全威胁需要一种多层面的方法,包括技术控制、人员培训和事件响应计划。组织还应该与行业社区分享安全信息,以帮助提高整体安全性。最终,持续的警惕和积极的安全措施对于应对不断演变的网络安全威胁至关重要。通过采取适当的措施,组织可以有效地降低风险,并确保其系统和数据的安全性和可靠性。