中消协提示：谨防“免密支付”盗刷漏洞；Kubernetes“噩梦”：Ingress NGINX控制器漏洞威胁6500个集群|牛览

新闻速览

•中消协提示：谨防“免密支付”盗刷漏洞

•一机构查询系统存在重大泄露风险被查处

•NIST最新报告：AI安全防护面临重大挑战与局限

•银行恶意软件+社会工程学，受害移动用户激增3.6倍至近25万

•马来西亚机场遭遇网络攻击，官方拒付黑客1000万美元赎金

•Kubernetes“噩梦”：Ingress NGINX控制器漏洞威胁6500个集群

•新型钓鱼攻击战术转变：目标转向Mac用户

•新型Android恶意软件利用Microsoft .NET MAUI框架逃避检测

•WordPress插件远程代码执行高危漏洞威胁20万网站安全

特别关注

中消协提示：谨防“免密支付”盗刷漏洞

中国消费者协会25日发布消费提示，近期陆续接到消费者投诉，因“免密支付”功能导致账户资金被盗刷，提醒消费者谨慎使用“免密支付”功能，避免因账户权限过度开放而引发资金损失。

“免密支付”即“无需密码确认支付”，用户开通后，单笔交易金额在一定限额内可直接扣款。据介绍，这一功能若被不法分子利用，可能带来安全隐患。如手机丢失或账号泄露时，若被他人获取账号或设备，可通过“免密支付”直接消费或购买虚拟服务，且无需二次验证。部分平台免密额度虽设单笔上限，但短时间内高频次小额盗刷仍会造成较大经济损失。盗刷交易隐蔽性强，往往通过绑定支付平台的虚拟服务如游戏充值、App订阅等完成，消费者发现时往往已产生多笔扣款。

中消协建议，非必要不开启“免密支付”，检查是否绑定支付宝、微信或银行卡，并关闭权限。定期检查授权应用，移除不常用或不信任的第三方应用支付授权。若发现账户存在异常交易，应立即冻结支付渠道。同时留存证据，向支付平台投诉。若损失金额较大，需及时向公安机关报案。

https://mp.weixin.qq.com/s/fmLGQEwTaYOoFI1Wx1Jsvg

一机构查询系统存在重大泄露风险被查处

今年2月，江西省萍乡市公安局网安部门巡查发现，某机构查询系统存在重大泄露风险，极易被不法分子利用。调查发现，该机构为图方便，未按规定将手持终端采集的数据导入专网处理。其在授权某供应商后当起了“甩手掌柜”。供应商更是将网络数据安全底线抛之脑后，未设置任何技术防护措施。

涉事机构未履行数据安全保护义务，江西省萍乡市公安局网安部门依据《数据安全法》《个人信息保护法》有关规定对其予以警告处罚并责令限期整改。萍乡市委网信办联合公安机关对属地有关部门启动约谈问责程序，要求全面排查系统数据安全隐患。经过执法部门严肃查处、教育，机构方进行了深刻反省，第一时间关停了相关页面，并组织开展了全面查究整改和网络安全培训。

警方提示开展数据处理活动应严格落实数据安全主体责任，建立全流程数据安全管理制度；严格规范第三方合作，建立安全评估和动态监管机制；技术防护必须“三同步”：系统建设与安全防护同步规划、同步实施、同步使用。

https://mp.weixin.qq.com/s/kSvkBNdV4BC2UscReDf_YQ

热点观察

NIST最新报告：AI安全防护面临重大挑战与局限

美国国家标准与技术研究院（NIST）近日发布报告，警告人工智能（AI）和机器学习（ML）系统的安全防护面临重大挑战和局限性，并呼吁网络安全和研究社区开发更有效的对抗性机器学习（AML）防护措施。

报告指出，ML系统的数据驱动特性为攻击者提供了超越传统软件系统的新型攻击向量，这些攻击可能危及系统的安全性、隐私性和安全性。攻击者主要针对ML运行的不同阶段，包括对训练数据的对抗性操纵、影响AI系统性能的对抗性输入，以及从模型训练数据中窃取敏感信息的恶意操作。

NIST此次发布的报告提供了AML的标准术语和最常见攻击的分类，旨在为评估和管理AI系统安全性的其他标准和未来实践指南提供参考。报告强调了当前AML防护措施面临的几个主要挑战：安全性与准确性的权衡；攻击检测困难；缺乏可靠的基准。鉴于现有AI防护措施的局限性，NIST建议组织考虑对抗性测试之外的实践来管理与AML攻击相关的风险，包括确定组织对特定AI系统的风险容忍度。

https://www.infosecurity-magazine.com/news/nist-limitations-ai-ml-security/

银行恶意软件+社会工程学，受害移动用户激增3.6倍至近25万

2024年，移动银行恶意软件攻击呈现惊人增长，近24.8万名用户遭遇这类危险威胁，相比2023年的6.9万名用户，增长了3.6倍。这一显著上升趋势，表明网络犯罪分子正日益将移动平台作为获取经济利益的目标。

恶意软件家族Mamont成为最猖獗的威胁，占所有移动银行恶意软件攻击的36.7%。其他重要威胁包括Agent.rj变种(11.14%)和UdangaSteal.b(3.17%)，它们在移动威胁领域迅速崛起。

Securelist研究人员发现，这些银行木马采用各种欺骗技术诱使用户安装恶意软件，从简单的"照片中的人是你吗？"社交媒体消息，到涉及伪造在线商店和虚假配送跟踪应用程序的复杂计划。感染过程通常始于社会工程学策略，旨在诱骗用户安装看似合法的应用程序。以Mamont为例，恶意软件通过虚假应用商店或直接从钓鱼网站下载分发。当受害者安装这些应用程序时，恶意软件会请求广泛权限，包括短信访问、通知访问和辅助服务，这些功能允许它拦截认证码并用钓鱼界面覆盖合法银行应用。

专家建议用户仅从官方应用市场下载应用，仔细审查权限请求，使用可靠的安全解决方案，并为金融账户实施多因素认证，以保护自己免受这些威胁。

https://cybersecuritynews.com/248000-mobile-users-infected-by-banking-malware/#google_vignette

网络攻击

马来西亚机场遭遇网络攻击，官方拒付黑客1000万美元赎金

马来西亚机场控股有限公司（MAHB）近日成为网络攻击目标，导致其数字系统运行中断。在这起发生于2025年3月下旬的攻击事件中，黑客要求支付1000万美元赎金。马来西亚总理安瓦尔·易卜拉欣已确认了这一网络攻击的细节。

安瓦尔总理透露，过去几天针对MAHB的攻击相当猛烈，但是他明确表示政府不会屈服于犯罪勒索。他强调，这次攻击提醒人们马来西亚数字基础设施的脆弱性以及投资网络安全的重要性。政府承诺通过分配额外资源来加强马来西亚对未来网络威胁的防御能力。

来自多个渠道的信息显示，受攻击影响，吉隆坡国际机场（KLIA）和 KLIA2 出现中断；值机柜台和行李处理系统受到长达10小时的系统中断；航班信息显示受到影响，到达和出发详情需在白板上手动更新。截至发稿时，MAHB和马来西亚交通部均未发表官方声明。

原文链接：
https://thecyberexpress.com/mahb-cyberattack/

Kubernetes“噩梦”：Ingress NGINX控制器漏洞威胁6500个集群

研究人员近日发现Kubernetes的Ingress NGINX控制器存在一系列严重安全漏洞，这些被统称为"IngressNightmare"的漏洞CVSS评分高达9.8，可能允许未经身份验证的攻击者执行远程代码并完全控制易受攻击的Kubernetes集群，影响Ingress NGINX控制器的准入控制器组件。

这些漏洞主要包括：

• CVE-2025-1097：通过未经过滤的auth-tls-match-cn注解允许配置注入；

• CVE-2025-1098：通过未经过滤的mirror注解允许配置注入；

• CVE-2025-24514：通过未经过滤的auth-url注解允许配置注入；

• CVE-2025-1974：允许在Ingress NGINX准入控制器中执行远程代码，攻击者通过精心构造的AdmissionReview请求注入ssl_engine指令；

• CVE-2025-24513：与auth密钥文件相关的文件路径遍历问题。

攻击链如下：攻击者通过利用NGINX客户端主体缓冲区上传恶意共享库负载；发送包含指令注入的特制AdmissionReview请求；注入的指令导致NGINX将攻击者的文件作为共享库加载，从而以Pod的提升权限执行代码。

Ingress NGINX控制器是Kubernetes最流行的入口控制器之一，在GitHub上拥有超过1.8万颗星。根据Wiz的分析，约43%的云环境易受攻击，超过6500个集群（包括财富500强公司的集群）将易受攻击的准入控制器公开暴露在互联网上。安全专家强烈建议Kubernetes管理员立即更新到Ingress NGINX控制器版本1.12.1或1.11.5；确保准入webhook端点不对外暴露；限制对准入控制器的访问。

https://cybersecuritynews.com/ingress-nginx-remote-code-execution-vulnerability/

新型钓鱼攻击战术转变：目标转向Mac用户

随着Microsoft于2025年2月推出新的反钓鱼防御措施，近期一场复杂的钓鱼攻击活动将目标转向Mac和Safari用户。这类攻击此前主要针对Windows用户，伪装成Microsoft安全警报，现在则采用类似策略攻击Apple生态系统。

感染过程始于受害者尝试访问合法网站时，在URL中输入错误，导致他们进入被入侵的域名停放页面。这些页面随后将用户重定向到托管在Microsoft的Windows.net平台上的钓鱼网站。钓鱼页面经过重新设计，专门针对macOS和Safari用户，利用HTTP OS和用户代理参数，使其对Mac用户显得真实可信。攻击者声称用户的计算机已被入侵并随后被锁定，同时恶意代码冻结网页，造成整台计算机被锁定的错觉。这种欺骗手段迫使用户输入凭证，随后被攻击者收集。

该攻击活动特别有效的原因在于其使用随机化、快速变化的子域名，这些子域名位于信誉良好的windows.net域名下。这种技术有助于规避传统的保护机制，如基于域名信誉评估页面风险的安全Web网关(SWG)。

尽管企业采取了安全措施，但攻击成功绕过了常规防御，凸显了对能够实时分析网页行为的高级浏览器级安全解决方案的需求。

https://cybersecuritynews.com/new-phishing-campaign-attacking-mac-users/

新型Android恶意软件利用Microsoft .NET MAUI框架逃避检测

McAfee移动研究团队近日发现，一种新型Android恶意软件正利用Microsoft的跨平台框架.NET MAUI伪装成合法服务，成功规避安全检测。

.NET MAUI支持桌面和移动平台的应用开发。通常，Android应用使用Java/Kotlin编写并将代码存储为DEX格式，但技术上可以使用.NET MAUI以C#构建Android应用，将应用逻辑存储在二进制blob文件中。当前Android安全工具主要设计用于扫描DEX文件中的可疑逻辑，而不检查blob文件。这使威胁行为者能够在blob中隐藏恶意代码并绕过检测。相比安装后通过更新获取恶意代码的标准策略，这种方法更具优势。除了使用.NET MAUI外，攻击还采用多层加密（XOR + AES）和分阶段执行、在AndroidManifest.xml文件中填充随机生成的字符串，以及使用TCP套接字进行命令与控制（C2）通信。McAfee发现了多个使用.NET MAUI技术的恶意APK，包括假冒的银行、通讯、约会和社交媒体应用。

安全专家建议用户避免从第三方应用商店或不明网站下载Android APK，不点击通过短信或电子邮件收到的链接。同时，确保Google Play Protect功能在设备上处于活动状态。

https://www.bleepingcomputer.com/news/security/new-android-malware-uses-microsofts-net-maui-to-evade-detection/

安全漏洞

WordPress插件远程代码执行高危漏洞威胁20万网站安全

安全研究人员发现，拥有超过20万活跃安装量的流行WordPress安全插件WP Ghost存在一个严重漏洞（CVE-2025-26909）。该漏洞CVSS评分高达9.6，允许未经身份验证的攻击者利用本地文件包含(LFI)漏洞，进而可能导致远程代码执行(RCE)。网站管理员被强烈建议立即更新至5.4.02或更高版本以降低这一严重安全风险。

该漏洞存在于WP Ghost插件的文件处理功能中，具体位于插件代码库的showFile函数内。漏洞源于对通过URL路径提供的用户输入验证不足，这些路径可能被包含为文件。技术分析显示，当maybeShowNotFound函数挂钩到template_redirect时会触发漏洞，未经身份验证的用户可以访问该函数。如果未经身份验证的用户访问的路径未找到，它将触发易受攻击的代码路径，最终允许攻击者执行路径遍历并包含服务器上的任意文件。

虽然这个漏洞要求WP Ghost的"Change Paths"功能设置为"Lite"或"Ghost"模式（默认未启用），但一旦可被利用，攻击者可以利用多种技术实现RCE，包括php://过滤器链和PHP_SESSION_UPLOAD_PROGRESS技巧。

https://cybersecuritynews.com/wordpress-plugin-vulnerability-exposes-200k-sites/

合作电话：18311333376

合作微信：aqniu001