安全專業人員和系統管理員正高度警戒,因為 Microsoft、Fortinet 和 Ivanti 都發布了關於 активно 被利用的零日漏洞的安全公告,這些漏洞影響了它們各自的產品。這些漏洞對組織構成重大風險,可能導致未經授權的存取、資料外洩和系統洩露。強烈建議立即進行修補,並實施建議的應變措施,以減輕潛在威脅。
Microsoft 修補程式解決了 активно 被利用和公開揭露的漏洞
Microsoft 最近的 Patch Tuesday 版本包括針對大量漏洞的修復,其中包括五個已經 активно 在野外被利用的漏洞,以及兩個公開揭露的零日漏洞。这些 actively 被利用的缺陷代表了嚴重的威脅,因為惡意行為者正在 активно 利用它们来危及系統。
Активно 被利用的漏洞詳情
以下漏洞已被確定為 активно 被利用:
- Microsoft DWM Core Library (CVE-2025-30400): Desktop Window Manager (DWM) Core Library 中的這個漏洞可能允許攻擊者將其權限提升到 SYSTEM 層級。這意味著攻擊者可以獲得對受影響系統的完全控制權。
- Windows Common Log File System (CVE-2025-32701 和 CVE-2025-32706): Windows Common Log File System (CLFS) 中的兩個獨立漏洞也可能允許攻擊者獲得 SYSTEM 層級權限。CLFS 是 Windows 各個組件使用的通用日誌記錄服務。
- Windows Ancillary Function Driver (CVE-2025-32709): Windows Ancillary Function Driver 中的漏洞也可能導致特權提升到 SYSTEM 層級。
- Microsoft Scripting Engine (CVE-2025-30397): Microsoft Scripting Engine 中存在記憶體損毀漏洞,可能使攻擊者能夠執行任意程式碼。這可能允許攻擊者在受影響的系統上執行惡意軟件。
公開揭露的漏洞
除了 активно 被利用的漏洞之外,Microsoft 還解決了兩個公開揭露的零日漏洞:
- Microsoft Defender (CVE-2025-26685): Microsoft Defender 中存在身份欺騙漏洞,可能允許攻擊者在相鄰網路上欺騙另一個帳戶。
- Visual Studio (CVE-2025-32702): Visual Studio 中的遠端程式碼執行漏洞可能允許未經驗證的攻擊者在本機執行程式碼。
需要優先處理的重大漏洞
除了 активно 被利用和公開揭露的漏洞之外,Microsoft 還發布了六個重大漏洞的修補程式,雖然目前尚不知道這些漏洞是否被利用,但應優先進行修補。這些漏洞影響各種 Microsoft 產品,包括:
- Microsoft Office (CVE-2025-30377 和 CVE-2025-30386): Microsoft Office 中已識別出兩個重大漏洞,可能允許遠端程式碼執行。
- Microsoft Power Apps (CVE-2025-47733): Microsoft Power Apps 中發現了一個重大漏洞,可能導致未經授權的存取或程式碼執行。
- Remote Desktop Gateway Service (CVE-2025-29967): Remote Desktop Gateway Service 中存在一個重大漏洞,可能允許攻击者危及系統。
- Windows Remote Desktop (CVE-2025-29966): Windows Remote Desktop 中發現了一個重大漏洞,可能導致遠端程式碼執行。
Fortinet 解決了多種產品中的重大漏洞
Fortinet 發布了一項安全公告,其中關於影響其幾種產品(包括 FortiVoice、FortiMail、FortiNDR、FortiRecorder 和 FortiCamera)的重大漏洞。
此漏洞是基於堆疊的缓冲区溢出,已被分配 CVSS v4 嚴重性評分為 9.6 (CVSS v3.1: 9.8),表示其嚴重性很高。未經驗證的攻擊者可以通过發出包含特製雜湊 cookie 的 HTTP 請求,從遠端利用此漏洞。成功利用可能導致任意程式碼執行,從而使攻擊者能夠完全控制受影響的裝置。
在 FortiVoice 中觀察到利用
Fortinet 已確認已在 FortiVoice 裝置中觀察到此漏洞的 активно 利用。攻擊者一直在掃描裝置網路、擦除系統崩潰日誌,並啟用 fcgi 偵錯以捕獲在系統或 SSH 登錄嘗試期間輸入的憑證。
受影響的產品和版本
此漏洞 (追蹤為 CVE-2025-32756) 會影響以下產品版本。 強烈建議立即升級到指定的修復版本:
- FortiVoice:
- 7.2.0:升級到 7.2.1 或更高版本
- 7.0.0 到 7.0.6:升級到 7.0.7 或更高版本
- 6.4.0 到 6.4.10:升級到 6.4.11 或更高版本
- FortiRecorder:
- 7.2.0 到 7.2.3:升級到 7.2.4 或更高版本
- 7.0.0 到 7.0.5:升級到 7.0.6 或更高版本
- 6.4.0 到 6.4.5:升級到 6.4.6 或更高版本
- FortiMail:
- 7.6.0 到 7.6.2:升級到 7.6.3 或更高版本
- 7.4.0 到 7.4.4:升級到 7.4.5 或更高版本
- 7.2.0 到 7.2.7:升級到 7.2.8 或更高版本
- 7.0.0 到 7.0.8:升級到 7.0.9 或更高版本
- FortiNDR:
- 7.6.0:升級到 7.6.1 或更高版本
- 7.4.0 到 7.4.7:升級到 7.4.8 或更高版本
- 7.2.0 到 7.2.4:升級到 7.2.5 或更高版本
- 7.1:遷移到固定版本
- 7.0.0 到 7.0.6:升級到 7.0.7 或更高版本
- 1.1 到 1.5:遷移到固定版本
- FortiCamera:
- 2.1.0 到 2.1.3:升級到 2.1.4 或更高版本
- 2.0:遷移到固定版本
- 1.1:遷移到固定版本
洩露指標和緩解措施
Fortinet 已在其安全警報中提供了compromise指標 (IOC),以幫助組織檢測潛在的利用嘗試。 如果無法立即修補,Fortinet 建議暫時禁用 HTTP/HTTPS 管理界面作為缓解措施。
Ivanti 解決了 Endpoint Manager Mobile 中的遠端程式碼執行漏洞
Ivanti 發布了一項安全公告,其中關於影響其 Endpoint Manager Mobile (EPMM) 解決方案的兩個漏洞。將这些漏洞鏈接在一起時,會導致未經身份驗證的遠端程式碼執行。 Ivanti 表示,这些漏洞與 EPMM 中使用的開放原始碼程式碼相關,而不是 Ivanti 的核心程式碼。
漏洞詳情
- CVE-2025-4427(中等嚴重性): 這是一個身份驗證繞過缺陷,CVSS v3.1 嚴重性評分為 5.3。 攻擊者可以利用它来繞過身份驗證機制,並獲得未經授權的系統存取權。
- 遠端程式碼執行漏洞(高度嚴重性): 此漏洞的 CVSS v3.1 嚴重性評分為 7.2,表示潛在影響很高。 通过利用這個缺陷,攻擊者可以在受影響的系統上遠端執行任意程式碼。
受影響的產品和版本
以下版本的 Ivanti Endpoint Mobile Manager 受這些漏洞影響。 盡快升級到最新版本:
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 及更早版本:升級到 11.12.0.5 及更高版本
- 12.3.0.1 及更早版本:升級到 12.3.0.2 及更高版本
- 12.4.0.1 及更早版本:升級到 12.4.0.2 及更高版本
- 12.5.0.0 及更早版本:升級到 12.5.0.1 及更高版本
缓解策略
Ivanti 強烈建議用戶盡快升级到 EPMM 的最新版本。 但是,可以通过過濾使用内置 Portal ACL 或外部 Web Application Firewall (WAF) 對 API 的存取來顯著降低風險。 這些措施可以幫助防止未經授權的存取和對漏洞的利用。
總之,来自 Microsoft、Fortinet 和 Ivanti 的最新安全公告凸顯了始終需要保持警惕並採取積極主動的安全措施。 組織必須優先進行修补,並實施建議的應變措施,以保護自己免受這些 активно 開採的漏洞和潜在的未來攻擊。 定期監控安全公告並及時解决已識別的風險,這是健全安全態勢的基礎组成部分。 無法解决這些漏洞的潜在後果可能很嚴重,從資料外洩和財務損失到聲譽損害和業務中斷。 供應商與安全社群之间的合作對於識別和減輕這些威脅至關重要,從而為所有人確保更安全、更穩固的數位環境。