据DarkReading消息，Fortinet 披露其 FortiOS 操作系统和 FortiProxy Web 网关存在严重的认证旁路漏洞 CVE-2024-55591。同日，“Belsen Group” 在暗网免费发布了 15,474 台 Fortinet 设备的数据，这些数据可追溯至 2022 年的 CVE-2022-40684 漏洞。数据包含设备配置和 SSL-VPN 凭证，涉及全球多个国家，其中比利时、波兰、美国和英国受影响较大。尽管数据较陈旧，但仍可能泄露组织内部网络结构信息。Fortinet 表示，若组织一直遵循安全最佳实践并及时更新凭证，风险较小。

近日，专注软件供应链安全的墨菲安全成功完成数千万元 Pre - A 轮融资，投资方为恒生电子、复琢资本 ，航行资本担任独家财务顾问。该公司 针对企业软件安全痛点，研发出系列创新产品。其产品依托自主研发的风险知识库，具备高准识别、漏洞过滤等核心能力。2024 年已实现盈利，业绩增速超 300%，客户包括字节跳动、中国银行等。本轮融资将聚焦市场拓展与人工智能技术研究，未来计划在 3 - 5 年内探索出海业务，持续围绕软件供应链安全打造实用产品，重构企业软件安全治理流程。

据Cybersecuritynews消息，硬件认证安全密钥的领先供应商 Yubico，近日披露其 PAM 软件包存在重大漏洞（CVE-2025-23013）。该漏洞影响 1.3.1 版本之前的 “pam-u2f” 软件包，主要存在于 pam_sm_authenticate () 函数的实现中。在特定条件下，如内存分配失败或权限变更问题，模块会返回 PAM_IGNORE，在启用 “nouserok” 选项的配置中，可能导致认证被绕过。 Yubico 将此漏洞评级为 “高”，CVSS 评分为 7.3。受影响客户可能面临本地权限提升或双因素认证中第二因素被绕过的风险。

据Cybersecuritynews消息，AWS 近期修复了影响 Amazon WorkSpaces、AppStream 2.0 和 DCV 的两个关键漏洞（CVE - 2025 - 0500、CVE - 2025 - 0501），恶意行为者可能利用它们进行中间人攻击，未经授权访问远程会话。CVE - 2025 - 0500 影响多平台相关客户端特定版本，CVSS v4.0 评分为 7.7。CVE - 2025 - 0501 针对使用 PCoIP 协议的 WorkSpaces 客户端。 为解决这些问题，AWS 发布了所有受影响客户端的补丁版本。

据Cybersecuritynews消息，研究发现微软 VSCode 的远程隧道功能遭恶意行为者滥用。攻击者通过初始交付的恶意 LNK 文件，内含 PowerShell 命令，下载并执行来自远程 IP 地址的 Python 脚本，借此下载并运行 VSCode CLI 二进制文件，生成并认证 VSCode 隧道，从而非法访问开发者设备，窃取机密数据、部署恶意软件并在网络中横向移动。攻击链条涉及创建远程隧道、通过浏览器执行 Python 有效载荷命令等步骤。

据Cybersecuritynews消息，FlowerStorm 是一种 PaaS 工具包，通过 Telegram 发起钓鱼活动，利用独特 URL 将用户引至伪造登录页面，窃取微软 365 用户的登录凭证和多因素认证令牌。此前，Rockstar2FA 钓鱼工具包曾出现故障，FlowerStorm 随即活跃起来。二者在 HTML 结构、后端通信方式等方面极为相似，或存在开发关联。FlowerStorm 主要攻击美、加等西方国家的服务行业组织。Sophos 分析表明，它们可能同源，FlowerStorm 快速扩张中也出现操作失误，为防范此类攻击提供了切入点。

据Cybersecuritynews消息，Palo Alto Networks 的 Expedition 工具的 CVE-2025-0107 漏洞出现了 PoC 利用代码。此漏洞为 OS 命令注入类型，位于工具端点，无需认证就能被利用。攻击者通过控制的服务器，让 Expedition 服务器执行恶意 Java 包，实现任意代码执行，影响 1.2.101 及更早版本。尽管该工具已在 2024 年 12 月 31 日达到寿命终点，但不少企业仍在使用。目前 Palo Alto Networks 已发布补丁，建议用户尽快升级、限制访问、禁用无用实例并更换相关凭证，以降低风险。

据Cybersecuritynews消息，MITRE 正式发布 D3FEND™ 1.0，这是一款由美国国家安全局（NSA）和国防部（DoD）资助的创新网络安全本体。它旨在统一对抗恶意网络威胁的词汇和技术，提升各行业网络安全运营与战略决策能力。 D3FEND 自 2021 年 6 月推出测试版后，历经三年发展，语义图规模扩大三倍。其核心是为网络防御者构建通用语言。 D3FEND 1.0 具备多种特性，如可在特定场景应用的交互式攻击防御工具、新增多种防御技术分类、基于 OWL 2 DL 标准确保本体精确，以及透明的更新策略。

据Cybersecuritynews消息，Georgios M. Nikolopoulos 等研究人员提出创新的量子 Diffie-Hellman 密钥交换设计。该设计发表于《量子 Diffie-Hellman 密钥交换》研究中，旨在将经典 DH 协议拓展至量子领域。经典 DH 协议受量子计算威胁，而此量子版协议利用随机量子态和量子单向函数，通过随机量子态交换、密钥合成等步骤，实现安全密钥交换，能抵御多种量子攻击。

据CISA消息，美国网络安全与基础设施安全局（CISA）与联邦调查局（FBI）合作，更新发布了《产品安全不良做法》联合指南，以推进 CISA 的 “设计安全” 倡议。此次更新纳入公众对信息请求的反馈，增加了不良做法、内存安全语言相关背景，明确了已知被利用漏洞（KEV）的修补时间线等。 该自愿性指南虽针对为关键基础设施开发软件产品及服务的制造商，但强烈鼓励所有软件制造商避免这些不良做法。

据Cybersecuritynews消息，广泛使用的远程支持软件 SimpleHelp 中发现三个严重漏洞，其中，CVE-2024 - 57727 可使未认证攻击者下载服务器任意文件，获取敏感信息；CVE-2024 - 57728 让有管理员权限或通过权限提升的攻击者上传文件，实现远程代码执行；CVE-2024 - 57726 则因后端授权检查缺失，致使低权限技术员账号可提升至管理员权限。SimpleHelp 已发布补丁，建议用户立即更新至 5.5.8、5.4.10 或 5.3.9 版本。

据Securitybrief消息，Wiz 与 The Instillery 宣布建立新合作，旨在亚太地区推广 Wiz 的云原生应用保护平台（CNAPP）。The Instillery 自 2013 年起就与客户合作利用云原生优势，其首席运营官 Jeremy Nees 指出云技术与安全关系复杂，而 Wiz 能简化云安全。 Nees 还表示 The Instillery 过往有云安全实施经验，对 Wiz 的全面性与易用性印象深刻，且 Wiz 不断增值。此次合作旨在快速强化客户云安全框架，吸引了金融、政府等多领域关注。

据CISA消息，CISA 发布十二项工业控制系统（ICS）安全公告，涵盖西门子、富士电机、日立能源、施耐德电气、三菱电机、台达电子、江森自控等厂商的产品。公告提供了有关当前 ICS 安全问题、漏洞和利用情况的及时信息，包括西门子 Mendix LDAP、工业边缘管理、Siveillance 摄像机等产品。

据Securitybrief消息， Dynatrace 新推合规助手应用，拓展合规能力，助企业满足欧盟《数字运营韧性法案》（DORA）要求。此应用提供可见性、洞察力与自动化，减轻 DORA 规定的合规配置检查负担，降低风险。借助 AI 平台，它能预防运营问题、支持数字服务交付、识别合规技术差距。专为 DORA 合规定制的该应用，自动检查配置，识别异常。目前，Dynatrace 的合规及韧性功能已面向所有客户，合规助手应用处于私人预览阶段，预计 90 天内全面上线。

据Securitybrief消息，Dragos 与横河电机宣布合作，通过将 Dragos 的网络安全平台与横河电机的 CENTUM VP 系统集成，增强全球工业系统的网络安全。 此合作旨在为正进行数字化转型的工业企业提供更好的网络可视性与威胁检测能力，打造涵盖信息技术（IT）与运营技术（OT）网络的综合安全解决方案。Dragos 首席执行官兼联合创始人 Robert M. Lee 表示，该合作是保障全球工业环境安全使命中的重要里程碑，结合双方优势，为关键基础设施提供卓越可视性与保护，助力企业安全推进数字化转型。

据Securitybrief消息，Harmonic Security 研究表明近 8.5% 在生成式 AI 工具中输入的提示可能暴露敏感数据。该研究在 2024 年第四季度分析了多个平台上数以万计的用户提示发现，依员工使用方式不同，多种敏感数据面临风险。45.8% 的潜在敏感提示涉及客户数据，如账单和身份验证信息；26.8% 包含员工数据，像薪资、个人身份信息及雇佣记录；14.9% 是法律和财务数据，涵盖销售渠道、投资组合等；6.9% 为安全相关数据，如渗透测试结果等；5.6% 是敏感编码信息，含访问密钥和专有源代码。

据Cybersecuritynews消息，Black Basta勒索软件团伙采用新的恶意手段，利用微软 Teams 发动攻击。他们先通过邮件轰炸淹没目标收件箱，接着伪装成 IT 支持人员，在 Teams 上与受害者联系，诱使其授予远程访问权限。之后，攻击者部署各类恶意软件，最终投放黑巴斯塔勒索软件加密文件索要赎金。为防范此类攻击，企业应监控邮件、留意 Teams 可疑信息、规范外部通信等。

据Cybersecuritynews消息，Kubernetes 中存在一个新披露的漏洞 CVE-2024-9042，引发了云原生社区的担忧。该漏洞存在于 Kubelet 组件中，主要影响 Windows worker 节点，受影响的版本包括 v1.32.0、v1.31.0 至 v1.31.4、v1.30.0 至 v1.30.8 以及所有小于等于 v1.29.12 的版本。攻击者可利用节点的 logs端点注入恶意命令，在主机系统上执行任意命令，可能导致未经授权的访问、数据泄露或在集群内进一步利用。

据Cybersecuritynews消息，ESET 研究人员发现 CVE-2024-7344 漏洞，影响多数 UEFI 系统。该漏洞存在于微软签名的 UEFI 应用中，因使用自定义 PE 加载器，可使攻击者在启动时绕过安全启动保护并执行不信任代码，部署恶意 UEFI 启动工具包。受影响的有 Howyar、Greenware 等公司的多款实时系统恢复软件。微软已于 2025 年 1 月 14 日 Patch Tuesday 更新中撤销易受攻击的二进制文件。

据Cybersecuritynews消息，Veeam 针对微软 Azure 的热门备份解决方案曝出关键安全漏洞 CVE - 2025 - 23082，影响所有至 7.1.0.22 版本（含）的 Veeam Backup for Microsoft Azure。该漏洞严重程度高，CVSS v3.1 评分达 7.2，攻击者利用服务器端请求伪造（SSRF）弱点，可在未经身份验证下进行网络枚举等恶意活动。Veeam 在内部测试中发现此漏洞后迅速行动，于 7.1.0.59 版本发布补丁。