思科垂危建复FMC平台两个高危缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

思科垂危建复FMC平台两个高危缝隙

颁布功夫 2026-03-05

1. 思科垂危建复FMC平台两个高危缝隙

3月4日，思科公司近日建复了其安全防火墙治理中心（FMC）中两个第一流别（CVSS评分均为10.0）的严沉缝隙，这两个缝隙若被利用可能导致攻击者齐全节造设备。第一个缝隙编号为CVE-2026-20079，属于身份验证绕过缝隙。该缝隙源于FMC启动时创建的系统过程存在缺点，攻击者可通过发送精心机关的HTTP要求，绕过Web界面的身份验证机造，直接执行剧本文件并获取底层操作系统的root权限。第二个缝隙编号为CVE-2026-20131，为远程代码执行缝隙，同时影响FMC及思科安全云节造（SCC）防火墙治理职能。该缝隙由不安全的Java反序列化操作引发，未经身份验证的远程攻击者可向Web治理界面发送恶意序列化Java对象，触发反序列化过程并以root权限执行肆意代码。思科产品安全事务响应团队（PSIRT）暗示，目前尚未发现这两个缝隙被公开披露或现实利用的迹象。但鉴于缝隙的高危性质，思科强调必须通过官方补丁进行建复，当前无任何一时解决规划或变通步骤。

https://securityaffairs.com/188921/security/cisco-fixes-maximum-severity-secure-fmc-bugs-threatening-firewall-security.html

2. FreeScout服务台平台现零点击高危RCE缝隙

3月4日，FreeScout开源援手台平台近日被曝存在第一流别远程代码执行缝隙（CVE-2026-28289），攻击者无需用户交互或身份验证即可通过发送恶意电子邮件附件实现零点击攻击，直接节造服务器。该缝隙绕过了此前CVE-2026-27636缝隙的建复机造，原建复通过限度文件扩大名阻止危险上传，但钻研人员发现，在文件名前增长零宽度空格字符可绕过验证。该字符被视为不私见内容，后续处置睬删除该字符，使文件保留为点文件，从而触发原缝隙利用。FreeScout作为Zendesk/Help Scout的自托管代替规划，是宽泛使用的开源平台，GitHub仓库占有4100星标、620+分支，Shodan扫描显示超1100个公开露出事俘。缝隙影响所有1.8.206及更早版本，可通过发送至FreeScout配置邮箱的恶意附件触发，攻击者通过Web界面接见有效载荷即可执行号令，组成零点击缝隙。FreeScout团队建议立即升级至1.8.207版本，同时OX Research补充建议禁用Apache配置中的“AllowOverrideAll”以加强防护。

https://www.bleepingcomputer.com/news/security/mail2shell-zero-click-attack-lets-hackers-hijack-freescout-mail-servers/

3. 密码治理软件提供商LastPass遭网络垂钓攻击

3月4日，密码治理软件提供商LastPass近日发出安全忠告，指出其用户正遭逢新一轮高仿真网络垂钓攻击。攻击者通过伪造"LastPass支持"显示名称的电子邮件，仿照官方与客户支持团队的内部对话场景，诱导用户点击"汇报可疑活动""撤销设备"等假装链接。这些邮件主题精心设计，蕴含"更改账户重要邮箱要求"等看似官方的转发对话内容，造作垂危氛围促使用户急剧响应。点击链接后，用户会被沉定向至"verify-lastpass[.]com"蹬昨名下的虚伪登录页面。该页面与官方界面高度类似，专门用于窃取用户痛处。攻击者还通过多个发件人地址和主题行变体加强可信度，无数发件地址来自被入侵网站或拔除域名，仅通过显示名称假装成官方。LastPass在威胁谍报汇报中强调，其基础设施未受任何侵害，系统安全未受影响。公司明确提醒用户：官方客服绝不会索要主密码，用户应严格保密主密码。针对这次攻击，LastPass正结合第三方合作同伴垂危关关垂钓网站，并呼吁用户将可疑通讯举报至"mailto:abuse@lastpass.com"。

https://www.bleepingcomputer.com/news/security/fake-lastpass-support-email-threads-try-to-steal-vault-passwords/

4. HungerRush遭勒索攻击，客户数据面对威胁

3月4日，餐饮技术提供商HungerRush近日遭逢勒索攻击，威胁行为者通过伪造官方邮箱向餐厅顾客发送多封勒索邮件，宣称若不回应将泄露数百万客户数据。这些邮件通过Twilio SendGrid平台发送，该服务此前用于发送HungerRush餐厅收条，且通过了SPF、DKIM和DMARC身份验证，加强了邮件可信度。攻击者使用mailto:support@hungerrush.com和mailto:2019@hungerrush.com等地址，忠告HungerRush终场忽视勒索要求，不然将危及客户数据。HungerRush服务于超过16,000家餐厅，蕴含Sbarro、Jet's Pizza等驰名品牌，其POS、在线订购及支付处置系统被宽泛使用。攻击者宣称可接见客户姓名、邮箱、密码、地址、电话、诞生日期及信誉卡信息，但HungerRush回应称，这次事务仅涉及电子邮件营销服务账户被入侵，未泄录感信息如密码、支付卡数据，且其系统不存储信誉卡信息。公司强调，泄露的客户联系信息被用于发送未经授权邮件，但无证据显示其他系统遭入侵。

https://www.bleepingcomputer.com/news/security/hacker-mass-mails-hungerrush-extortion-emails-to-restaurant-patrons/

5. 国际结合行动查封LeakBase网络犯罪论坛

3月4日，美国联国调查局（FBI）结合欧洲刑警组织等14国法律机构，于3月3日至4日发展"泄密行动"，成功查封网络犯罪论坛LeakBase。该论坛作为黑客工具买卖、被盗数据买卖的主题平台，自2021年由ARES威胁组织支持运营以来，用户规模已超14.2万，提供数据库接见、缝隙利用买卖、担保支付系统及黑客技术会商区，涵盖社会工程学、密码学等专题。行动期间，法律人员在美国、澳大利亚、比利时等8国执行搜查令、执行扣留并发展"敲门发言"，全球共提议约100次法律行动，处罚37名最活跃用户。LeakBase的两个域名现已被FBI收受，域名服务器切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov，页面显示查封通知，强调论坛所有内容蕴含用户账户、帖子、信誉卡信息、私信及IP日志已被安全保留，将用于后续取证调查。任何试图接见或滋扰网站的行为可能组成新罪。

https://www.bleepingcomputer.com/news/security/fbi-seizes-leakbase-cybercrime-forum-data-of-142-000-members/

6. 纽约麦迪逊广场花圃遭Cl0p勒索攻击

3月3日，纽约地标麦迪逊广场花圃（MSG）近日确认遭逢沉大数据泄露事务，涉及2025年针对甲骨文电子商务套件（EBS）的大规模网络犯罪活动。作为全球驰名多职能室内场馆，MSG位于纽约市，是NBA尼克斯队和NHL游马队队主场，承办体育赛事、演唱会及娱乐活动，这次事务使其成为利用甲骨文EBS缝隙执行黑客攻击的多多受害组织之一。2025年11月，Cl0p勒索软件组织利用甲骨文EBS中的零日缝隙CVE-2025-61882入侵蕴含MSG在内的100多家机构。该缝隙允许未经身份验证的远程攻击者节造甲骨文并发处置组件，进而窃取数据。MSG回绝支付赎金后，Cl0p泄露超210GB公司存档文件。据MSG向缅因州总检察长办公室提交的通知，甲骨文EBS由供给商托管治理，用于部门人力和财政运营。供给商调查确定，未经授权者于2025年8月获取部门利用数据，涉及招聘或付款有关的业务纪录文件，其中蕴含姓名和社会保险号的文件受影响。甲骨文已于2025年10月颁布垂危补丁建复该缝隙，但此前已有大量数据泄露。

https://securityaffairs.com/188814/cyber-crime/oracle-ebs-2025-campaign-impacts-madison-square-garden-sensitive-data-leaked.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研