首頁 > 安全研究 > 安全通報 > 安全簡訊

Python JSON Logger庫漏洞曝光:4300萬安裝面臨RCE風險

發布時間 2025-03-13

1. Python JSON Logger庫漏洞曝光:4300萬安裝面臨RCE風險


3月10日,近日,Python JSON Logger 庫中披露了一個嚴重漏洞(GHSA-wmxh-pxcx-9w24),CVSS v3 嚴重性等級為8.8/10,可能導致約4300萬個安裝面臨遠程代碼執行(RCE)攻擊風險。該漏洞源于未注冊的依賴項“msgspec-python313-pre”,攻擊者可利用此漏洞在執行受影響版本(3.2.0和3.2.1)的日志實用程序的系統上執行任意代碼。該漏洞是依賴混淆攻擊的典型例子,利用軟件供應鏈中的漏洞。盡管沒有證據表明在漏洞窗口期間發生了惡意利用,但該庫的廣泛采用放大了潛在影響。成功利用該漏洞將使攻擊者獲得對系統的完全控制權。緩解措施包括發布v3.3.0版本,完全消除了msgspec-python313-pre依賴性,并與安全研究員協調轉移有爭議的軟件包名稱的所有權。安全團隊建議立即升級到v3.3.0,無法立即更新的組織應審核其Python環境。此漏洞凸顯了Python生態系統在平衡可用性和安全性方面面臨的持續挑戰,并促使主要開源社區重新審視依賴管理實踐。


https://cybersecuritynews.com/popular-python-library-vulnerability/


2. 超過300個關鍵基礎設施組織受到Medusa勒索軟件攻擊


3月12日,CISA、FBI和多州信息共享與分析中心(MS-ISAC)聯合發布公告稱,截至2025年2月,Medusa勒索軟件行動已影響美國300多個關鍵基礎設施領域的組織,涉及醫療、教育、法律、保險、技術和制造業等多個行業。為防御Medusa勒索軟件攻擊,建議組織采取緩解措施,包括修補安全漏洞、分段網絡、過濾網絡流量等。Medusa勒索軟件團伙自2021年1月出現,2023年開始活躍,已在全球造成400多名受害者,并通過泄密網站和黑暗勒索門戶網站向受害者施壓要求支付贖金。該團伙采用勒索軟件即服務(RaaS)運營和聯盟模式,招募初始訪問經紀人以獲得對潛在受害者的初始訪問權。此外,多個惡意軟件家族和網絡犯罪行動都自稱是Medusa,導致關于Medusa勒索軟件的報道出現混淆。上個月,CISA和FBI還發布了關于Ghost勒索軟件攻擊的聯合警報,稱多個行業領域的受害者都受到了攻擊。


https://www.bleepingcomputer.com/news/security/cisa-medusa-ransomware-hit-over-300-critical-infrastructure-orgs/


3. 朝鮮APT37組織推出新型Android間諜軟件KoSpy


3月12日,一種名為“KoSpy”的新型Android間諜軟件與朝鮮威脅組織APT37(又名“ScarCruft”)有關,該組織通過至少五個惡意應用程序滲透到Google Play和第三方應用商店APKPure。這些應用程序偽裝成文件管理器、安全工具和軟件更新程序,針對韓語和英語用戶。一旦激活,KoSpy會從Firebase Firestore數據庫中檢索加密配置文件,連接到命令和控制服務器,并運行各種數據收集功能,如攔截短信和通話記錄、實時追蹤GPS位置、竊取文件、錄制音頻和視頻等。盡管這些應用程序已從Google Play和APKPure中移除,但用戶仍需手動卸載并使用安全工具掃描設備。Google Play Protect能夠阻止已知的惡意應用程序,幫助防范KoSpy。谷歌已確認所有KoSpy應用已從Google Play中刪除,相應的Firebase項目也已被撤下。使用區域語言表明這是有針對性的惡意軟件,Google Play Protect會自動保護Android用戶免受已知版本的惡意軟件侵害。


https://www.bleepingcomputer.com/news/security/new-north-korean-android-spyware-slips-onto-google-play/


4. Mozilla警告:Firefox用戶需更新瀏覽器以避免安全風險


3月12日,Mozilla近期警告Firefox用戶,務必將其瀏覽器更新到最新版本,以避免因公司的一個根證書即將到期而可能導致的中斷和安全風險。該根證書用于簽署包括Firefox本身及Mozilla項目附加組件在內的內容,將于2025年3月14日到期。為確保正常使用附加組件并避免安全風險,用戶需將瀏覽器更新至Firefox 128(2024年7月發布)或更高版本,以及“擴展支持版本”(ESR)用戶的ESR 115.13或更高版本。這些風險包括惡意插件可能繞過安全保護泄露用戶數據、不受信任的證書可能允許用戶訪問欺詐或不安全的網站,以及密碼泄露警報可能停止工作等。用戶可通過瀏覽器菜單檢查并確認版本,此操作也會自動觸發更新檢查。該問題影響所有平臺上的Firefox,但iOS除外。Mozilla建議用戶更新到最新版本以確保瀏覽器安全高效,并為遇到問題的用戶設置了支持線程。同時,基于Firefox的瀏覽器如Tor、LibreWolf和Waterfox的用戶也應確保運行的是基于Firefox 128及更高版本的版本。


https://www.bleepingcomputer.com/news/software/mozilla-warns-users-to-update-firefox-before-certificate-expires/


5. 日本遭“MirrorFace”APT攻擊,利用Windows Sandbox逃避檢測


3月12日,日本國家警察廳和國家網絡安全事件準備和戰略中心發布了一份安全公告,警告日本組織面臨來自“MirrorFace”這一APT10子組織的高級持續性威脅攻擊。該組織利用Windows Sandbox和Visual Studio Code執行惡意活動,并使用了名為“LilimRAT”的定制惡意軟件,專門設計在Windows Sandbox中運行,以逃避主機系統上安全工具的檢測。攻擊者通過啟用Windows Sandbox、創建自定義配置文件和在隔離環境中執行惡意軟件等復雜的多階段攻擊流程,在受感染系統上保持持久性并最大限度地減少活動痕跡。由于Windows Sandbox默認禁用且Windows Defender在其中也默認禁用,為攻擊者提供了一個不安全的操作環境。安全專家建議保持Windows Sandbox禁用狀態,監控相關進程,限制管理權限,并實施AppLocker策略,以防止未經授權執行Windows Sandbox。


https://cybersecuritynews.com/mirrorface-apt-hackers-exploited-windows-sandbox-visual-studio-code/


6. Facebook警告:FreeType字體庫高危漏洞需緊急升級


3月12日,Facebook近日發出警告,指出在FreeType 2.13及以上版本中存在一個高危漏洞(CVE-2025-27363),可能導致任意代碼執行,且已有報告稱該漏洞正在被積極利用進行攻擊。FreeType是一個廣泛使用的開源字體渲染庫,安裝在包括Linux、Android等多個系統和服務中。該漏洞在嘗試解析TrueType GX和可變字體文件相關的字體子字形結構時發生越界寫入,存在于FreeType 2.13.0及以下版本中,但已在2.13.0版本的更新中得以修復。盡管最新的易受攻擊版本已有兩年歷史,但舊的庫版本在軟件項目中可能長期存在,因此軟件開發人員和項目管理員需盡快升級到最新版本FreeType 2.13.3,以避免潛在的安全風險。Facebook表示,他們發現此漏洞后進行了報告,旨在加強每個人的在線安全,并致力于保護用戶的私人通信??紤]到FreeType的廣泛應用,盡快解決該漏洞對于保障網絡安全至關重要。


https://www.bleepingcomputer.com/news/security/facebook-discloses-freetype-2-flaw-exploited-in-attacks/

上一篇 下一篇