07

2025-03

【漏洞通告】盘点近日重点漏洞

欢迎来到安洽科技的公众号,我们致力于为用户提供最全面、最及时的安全风险提示和解决方案。每月我们会给您推送最新的安全风险提醒，帮助您更好地保护自己和企业。 在这里，您将了解到各种网络安全问题，并获得专业人士的建议和指导。无论是针对个人还是企业，我们都有适合您的解决方案。 感谢您的关注，安洽科技您身边的安全专家！01Ollama存在未授权访问 Ollama存在未授权访问漏洞。由于Ollama默认未设置身份验证和访问控制功能，未经授权的攻击者可在远程条件下调用Ollama服务接口，执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的Ollama易受此漏洞攻击影响。 【漏洞编号】：CNVD-2025-04094 【漏洞等级】：高危=Apache Kafka 【影响版本】： Ollama所有版本（未设置访问认证的情况下） 【修复建议】： 请使用Ollama部署大模型的单位和用户立即采取以下措施进行漏洞修复： 1、若Ollama只提供本地服务，设置环境变量Environment="OLLAMA_HOST=127.0.0.1"，仅允许本地访问。 2、若Ollama需提供公网服务，选择以下方法添加认证机制： 1）修改config.yaml、settings.json 配置文件，限定可访问Ollama 服务的IP地址； 2）通过防火墙等设备配置IP白名单，阻止非授权IP的访问请求； 3）通过反向代理进行身份验证和授权（如使用OAuth2.0协议），防止未经授权用户访问。02 SAPNetWeaver Application Server Java跨站脚本 =Apache Kafka SAP NetWeaver Application Server Java是德国思爱普（SAP）公司的一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。 SAP NetWeaver Application Server Java存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。 【漏洞编号】：CVE-2025-0054 【漏洞等级】：中危=Apache Kafka 【影响版本】： SAP SAP NetWeaver Application Server Java null 【修复建议】： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https:support.sap.comenmy-supportknowledge-basesecurity-notes-newsfebruary-2025.html03 Mozilla Firefox内存破坏 Mozilla Firefox存在内存破坏漏洞，远程攻击者可利用该漏洞提交特殊的Web请求，诱使用户解析，可以应用程序上下文执行任意代码。 【漏洞编号】：CVE-2025-1020 【漏洞等级】：高危=Apache Kafka 【影响版本】： Mozilla Firefox 135.0 Mozilla Thunderbird =131.0，135.0 【修复建议】： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https:www.mozilla.orgen-USsecurityadvisoriesmfsa2025-0704 IBM Security Directory Integrator操作系统命令注入 =2.7.0，=3.0.0，=3.1.0， IBM Security Directory Integrator存在操作系统命令注入漏洞，该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。远程经过身份验证的攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。 【漏洞编号】：CVE-2024-28767 【漏洞等级】：高危=Apache Kafka 【影响版本】： IBM IBM Security Directory Integrator =7.2.0，=7.2.0.13 IBM IBM Security Directory Integrator =10.0.0，=10.0.3 【修复建议】： 厂商已发布了漏洞修复程序，请及时关注更新： https:www.ibm.comsupportpagesnode7179558 编辑：李超、王琦 排版：静颖沉璧安若泰山 洽融无疆

12

2025-02

【网络安全】谨防网络钓鱼

欢迎来到安洽科技的公众号，我们致力于为用户提供最全面、最及时的风险解决方案。定期给您推送相关网络安全技术文章，以帮助您提升企业安全能力。 在这里，您将了解到各种网络安全的“疑难杂症”，并获得专业人士的建议和指导。网络钓鱼：数字时代的隐形威胁在数字化时代，网络钓鱼成为猖獗的网络犯罪形式。攻击者借电子邮件、社交媒体或短信设骗局，诱骗受害者泄露密码、银行账户等敏感信息，对个人、企业、政府机构及非营利组织构成严重威胁。随着技术发展，网络钓鱼手段更复杂隐蔽，识别与防范难度加大。本文将探讨其常见手法、危害及防护措施。 警惕！公司遭受网络攻击应这样应对2024年12月，某业务部门发现终端出现未经授权的远程操控迹象，疑似遭受外部恶意网络攻击，随即启动应急处理预案，采取断网、关机等措施。 应急处置组赶到后，发现终端被远控并通过微信群传播名为 “12 月份税务稽查抽查企业名单公示.pdf” 的病毒文件，疑似宏病毒。处置组对病毒文件留样取证后，通知微信群成员自主删除恶意文件并查杀。 经分析，该 PDF 文件是 MalGeneric 远控木马病毒。运行会释放“AcroRd32.exe”恶意程序，还与国外云服务器 IP（47.243.19.203 ）交互。在虚拟机运行病毒文件，发现它会下载“文件.zip” 压缩包，解压出 dokan2.dll、setup12月份.exe 两个可疑程序。其中，dokan2.dll 属于 Inject 木马家族，疑似银狐病毒。经排查，本单位设备与恶意 IP 有 170 次交互，已完成处置。 如何进一步优化公众号文章的精简效果？有没有专门的工具可以帮助精简公众号文章？ 后续公司将全面排查涉事终端，删除相关病毒文件；优化网络监控系统，提高监测敏感度；定期组织网络安全应急演练；制定员工网络安全培训计划。警示与反思此次事件虽未造成重大损失，但给公司网络安全管理敲响了警钟。此次网络钓鱼事件警示我们，个人要保持警惕，不点击来路不明的链接和文件，拒绝提供敏感信息，学习识别钓鱼手段；企业应完善网络安全监测和应急响应体系，制定预案，加强员工培训；社会需加强网络安全宣传，推动行业协作，建立共享威胁情报平台，以此提升各方网络安全防护能力，共同应对网络钓鱼威胁。 编辑：李超、王琦安若泰山 洽融无疆

13

2024-12

重大突破！AI首次发现内存安全漏洞

近日，谷歌宣布其大语言模型（LLM）项目“Big Sleep”成功发现了一个SQLite数据库引擎中的内存安全漏洞，这是人工智能首次在真实软件中发现可利用的内存安全漏洞（且该漏洞无法通过传统的模糊测试检测到）。 AI首次发现内存安全漏洞 谷歌的“Project Naptime”项目旨在评估LLM在进攻性安全研究方面的能力，后来该项目演变为“Big Sleep”，由谷歌Project Zero和DeepMind团队共同参与。Big Sleep项目致力于探索AI在发现软件漏洞中的潜力，特别关注高危漏洞的检测与利用。 在上周五的公告中，谷歌透露，Big Sleep项目的LLM代理在实验阶段成功识别出第一个真实世界中的漏洞——SQLite开源数据库引擎中的基于栈的缓冲区溢出漏洞。该漏洞在今年10月初被发现，SQLite开发团队在接到披露信息后数小时内即完成了补丁修复。 这一发现具有重大意义，因为这是AI首次独立检测出可利用的内存安全漏洞。 “青出于蓝”，超越模糊测试 BigSleep的工作流程模拟了人类的漏洞研究过程。首先，AI被要求审查SQLite代码中的最新提交记录，并寻找类似于已知漏洞的安全问题。作为起点，研究人员向LLM提供了一个最近修复的漏洞，以引导它发现新的漏洞。通过这一策略，Big Sleep最终找到了一个严重的内存安全问题。 谷歌随后尝试使用传统的模糊测试来检测这一漏洞，耗费了150个CPU小时，仍未成功发现问题。值得注意的是，多年来，谷歌的AFL模糊测试工具在发现SQLite漏洞方面非常高效，但如今似乎已达到“自然饱和点”，难以再找到新的漏洞。相比之下，Big Sleep的LLM展示了其在识别高级安全问题方面的潜力。 AI在漏洞研究中的前景与挑战 谷歌在博客中指出，当前的LLM在配备合适工具时，确实可以胜任某些漏洞研究任务。然而，BigSleep团队强调，这一成果仍属高度实验性，AI的发现能力还不具备完全替代模糊测试的可靠性。尽管如此，这一突破显示出AI在安全研究中的前景，尤其是在目标特定的漏洞检测方面，AI可能逐渐成为重要工具。 AI在网络安全中的应用越来越广泛，尤其是软件漏洞研究。就在上周，威胁情报公司GreyNoise利用AI工具检测到了针对常见物联网摄像头的漏洞利用企图。与此同时，AI安全公司Protect AI也开发了一种基于LLM的静态代码分析器，能够检测并解释复杂的多步骤漏洞，这进一步证明了AI在漏洞检测和分析中的独特优势。 除了检测已知漏洞，一些研究人员还在探索LLM代理如何利用已知和未知漏洞。AI不仅在发现安全问题上表现出色，还展现了在多步骤漏洞利用中的潜力。尽管目前这一研究仍处于初级阶段，但AI技术的发展为漏洞研究提供了新思路，并推动了网络安全技术的创新。 展望：AI与模糊测试的协同未来 谷歌和其他科技公司对LLM的研究表明，AI在漏洞检测和防御中的应用前景广阔。然而，正如谷歌所强调的，AI并非万能，它在一些特定场景下的表现可能与传统模糊测试相当甚至逊色。未来，或许AI和模糊测试的协同应用将成为网络安全研究的新趋势，通过融合不同技术手段，提高漏洞检测的效率和准确性。 参考链接： https:googleprojectzero.blogspot.com202410from-naptime-to-big-sleep.html

13

2024-12

图解｜我国数据出境合规指引