2025-12-30 01:26:47 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周回顾涵盖TeamViewer漏洞、TrustWallet被盗及Nissan因供应链泄露等事件，揭示供应链与基础服务已成高频攻击面。攻击者转向身份系统等信任源头，结合零日漏洞实施渗透。建议企业将供应链纳入核心风险，实施零信任验证并强化跨部门协作，以提升可见性与可恢复性。 综合评分： 88 文章分类： 供应链安全,漏洞分析,威胁情报,数据安全

cover_image

国外：一周网络安全态势回顾之第131期，供应链正在成为“高频攻击面”

原创

铸盾安全

河南等级保护测评

2025年12月29日 00:00 河南

以下是本周新闻：

1. TeamViewer DEX 漏洞可致拒绝服务及数据泄露

TeamViewer DEX客户端的NomadBranch.exe内容分发服务存在多处关键漏洞，攻击者可利用这些缺陷触发拒绝服务或导致敏感信息泄露，从而影响依赖这一远程协助软件的Windows终端用户和企业环境。此类漏洞暴露了远程访问工具在安全设计和输入验证上的潜在弱点，提醒管理员及时应用补丁并加强监控。

2. M-Files 认证用户会话令牌泄露漏洞

一则安全漏洞新闻披露了 M-Files 服务器中的信息泄露缺陷，攻击者如果获得合法帐户访问权限，可捕获和重用活跃用户的会话令牌。这意味着未经授权的会话接管可能得以实现，攻击者可以在目标系统中维持访问，强调了对会话管理和权限验证机制加强防护的重要性。

3. Trust Wallet Chrome 扩展被攻破致数百万美元损失

Trust Wallet浏览器扩展（版本2.68.0）遭到恶意篡改攻击，导致数百用户钱包在短时间内遭清空，损失金额初估超过700万美元。该问题源于扩展内部隐藏代码窃取钱包数据，官方随后发布修复版本2.69并敦促用户立即更新或禁用受影响版本，以防止更多损失。

4. Parrot OS 7.0 发布，新增渗透测试与 AI 工具

Parrot OS 7.0（代号 Echo）发布了全面改写版本，基于Debian 13引入 KDE Plasma 6、Wayland 默认支持，并强化了渗透测试工具集与专用 AI 类安全工具，为安全研究人员和渗透测试人员提供更现代化、轻量化的攻击与测试平台。

5. LangChain 库核心漏洞可窃取敏感秘密

在安全新闻中也报道了LangChain核心库中的关键漏洞CVE-2025-68664，该缺陷允许攻击者通过反序列化漏洞外泄环境变量甚至执行代码。该漏洞影响广泛使用的AI开发框架，提醒开发者及时应用补丁以避免秘密泄露风险。

6. Google 允许更改 Gmail主地址的新功能上线

虽然不是安全威胁类新闻，但报道中也提到Google正逐步推出允许用户更改其 @gmail.com主电子邮件地址的功能，用户可在不丢失原有数据和购买记录的前提下重命名邮箱，并将旧地址转为别名，有助于隐私管理及品牌重塑。

7. 2026年网络安全趋势预测：AI 与身份攻击成重点

报道还总结了来自行业专家的 “2026年100+网络安全预测”，预测显示随着AI技术在企业与网络攻击中的深入应用，自主威胁、身份中心攻击和数字化转型风险将成为来年安全领域主要焦点，强调企业需提前布局AI安全与身份防护策略。

8. Net-SNMP关键漏洞可导致缓冲区溢出与系统崩溃

一则漏洞通告披露Net-SNMP工具套件中存在严重缓冲区溢出缺陷（CVE-2025-68615），攻击者可通过发送特制SNMP包触发服务崩溃甚至在某些情况下执行任意代码。由于该软件被广泛用于网络设备监控，提醒管理员尽快升级到修复版本。

9. FortiGate池化旧漏洞攻击绕过双因素认证

报道指出黑客正在滥用2020年修补的FortiGate漏洞 绕过双因素认证 (2FA)，从而可能非法访问VPN和管理界面，事件强调及时修补过时漏洞对确保网络边界安全的重要性。

10. Nissan确认Red Hat数据泄露影响约21,000名客户

日本汽车制造商Nissan公布受Red Hat GitLab实例被攻破事件影响的情况，约 21,000名日产福冈销售客户的个人信息（包括姓名、地址、电话号码和部分邮箱等）被盗取，但公司表示没有发现信用卡支付信息泄露。该事件突显了大型企业供应链软件环境一旦被攻破，其衍生影响可能直接落在下游合作伙伴和客户身上。

11. Pro-Russian黑客宣称对法国邮政服务发动网络攻击

一个亲俄黑客组织声称 在2025年12月对法国国家邮政服务实施破坏性攻击，导致包裹配送中断。尽管具体细节尚在调查中，事件已被法国检察机关与情报部门介入分析，反映国家基础服务在全球地缘网络攻防背景下的脆弱性和潜在威胁。

12. 美国执法部门查封用于大规模银行账户劫持的密码数据库

美国司法部宣布查封了一个被网络犯罪团伙用来 存储和操纵数千个被盗银行登陆凭据的域名与密码数据库，此数据库被用于大规模处理银行账户接管攻击。这一行动是打击金融领域网络犯罪、切断犯罪基础设施的重要举措。

13. 恶意NPM包窃取WhatsApp凭据与数据

一个名为lotusbail的NPM软件包被发现包含恶意代码，该代码窃取受害者 WhatsApp 凭据、消息和联系人信息，并可持久化访问用户账户。该问题提醒开发者对开源依赖包进行严格审计，特别是在前端生态中安全审查困境依旧明显。

14. Chrome 143安全更新修补多项高危漏洞

Google推出Chrome 143浏览器更新，修复包括V8引擎、DevTools及 Updater组件在内的多项高危和中危漏洞，部分问题存在被外部攻击者利用的风险。用户被建议尽快更新浏览器以避免潜在攻击。

15. SonicWall SMA 1000零日漏洞已被利用并获补丁发布

SonicWall发布针对SMA 1000管理控制台的利用中零日漏洞（CVE-2025-40602）补丁，该漏洞已被恶意行为者与其他已知漏洞链结合利用。美国CISA将其加入已知被利用漏洞目录，强调应急修补策略的重要性。

16. Oracle Identity Manager关键漏洞可能被实际利用

一个影响Oracle Identity Manager的严重远程执行漏洞（CVE-2025-61757） 已被公布并被CISA证实存在现场利用案例。该漏洞可导致未经身份验证的远程代码执行，威胁企业身份与访问管理核心系统的完整性。

企业供应链与基础服务正在成为“高频攻击面”

为什么企业供应链与基础服务正在成为“高频攻击面”

从近期事件可以看出，无论是Red Hat代码仓库被攻破波及Nissan，还是 Oracle、SonicWall、Chrome等关键组件漏洞被迅速武器化，攻击者的关注点已经明显从“单一企业系统”转向“供应链节点与基础服务平台”。原因在于，供应链系统本身具有天然的放大效应：一个组件、一个身份系统、一个远程访问产品，往往服务成百上千家企业，一旦被攻破，攻击收益呈指数级增长。相比逐一入侵目标企业，攻击供应链的成本更低、效率更高、隐蔽性更强。此外，基础服务（身份管理、远程接入、代码托管、邮政与物流系统等）往往被视为“可信基础”，长期运行且变更频率低，安全加固和监测相对滞后，使其成为攻击者理想的持久化入口。

当前攻击趋势的几个显著变化

从报道可以归纳出三点趋势。第一，攻击正在前移到“信任源头”，例如身份管理系统、更新机制、软件仓库和云服务控制平面，一旦被控制，攻击者可合法地分发恶意代码或滥用权限。第二，漏洞与供应链攻击高度融合，零日漏洞或旧漏洞往往被快速纳入攻击链，用于突破关键节点，而非单点破坏。第三，基础服务逐渐成为地缘政治与网络犯罪的共同战场，如邮政、通信和金融支撑系统，既是社会运行的基础，也是国家与组织对抗中的“高价值目标”。这意味着，供应链安全问题已经不再是单纯的技术风险，而是业务连续性、声誉、法律责任乃至国家安全层面的综合风险。

企业应对供应链与基础服务攻击的现实路径

在这种背景下，应对之道不能停留在“要求供应商更安全”的口号层面，而需要建立系统性的防护机制。首先，企业应将供应链安全纳入核心风险管理，对关键供应商、软件组件和云服务进行分级管理，明确哪些系统一旦失效将产生不可接受的业务或合规风险。其次，在技术层面，应强化“不默认信任”的原则，即便来自可信供应商的更新、身份验证或远程访问，也需要额外的验证、监测和隔离措施，例如最小权限、行为异常检测和快速回滚能力。再次，在治理层面，企业需要建立跨部门的供应链安全协作机制，将安全、采购、法务和业务连续性管理结合起来，确保在供应商被攻破时能够迅速止损，而不是被动等待外部通报。

从“被动依赖”走向“主动掌控”

总体来看，企业供应链与基础服务面临的持续攻击风险，本质上是数字化高度互联的必然结果。攻击者并非变得“更强”，而是更清楚如何利用信任关系、规模效应和管理盲区。真正有效的应对之道，不是试图消除所有风险，而是通过可见性、可控性和可恢复性，降低单点失守带来的系统性冲击。当企业能够清楚知道“自己依赖了什么”“这些依赖出了问题会怎样”“出了问题如何快速切断和恢复”，供应链攻击的威胁才会从不可控的灾难，转变为可管理的风险。

—往期回顾 —

2025收集更新信通院白皮书系列合集（665个）下载

——等级保护

数据安全风险评估培训杂谈

打破“一考定终身”测评师迎来严峻挑战

欲等保定级先数据分类分级

2025公安部网安局等保工作最新要求逐条解析

公网安〔2025〕1846号文：风险隐患及工作方案释疑浅谈

公网安〔2025〕1846号文：数据摸底调查释疑浅谈

公网安〔2025〕1846号文：第五级网络系统释疑浅谈

公网安〔2025〕1846号文：定级备案的最新释疑浅谈

关于25年定级备案公安部网安局释疑的一点浅谈

公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函

新等保测评真的取消打分了吗？一点杂谈！

新定级备案模板明确数据安全纳入等级保护体系

等保定级新模板新要求，2025定级工作新变化

2025新形势下新等保备案如何开展

测评机构老板与销售注意：浅谈测评机构如何更好的满足属地网安监管？

网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系

河南省新规定测评与密评预算再调低

四川省等级测评与商密评估预算计算方法

广西壮族自治区等级测评与商密评估预算为几何？

黑龙江财政关于等级测评与商密评估预算为几何？

和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》

和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》

与Deepseek一起谈开展等级测评的必要性！

——数据安全

《网络数据安全管理条例》解读

跟着DAMA专家看数据管理的未来

市场监管总局印发《网络交易合规数据报送管理暂行办法》

数据安全知识：什么是数据安全？

网警提醒 | 3.31世界备份日：重视你的数据安全

网络和数据安全合规：15部门发布指导意见助力中小企业全面合规

数码复印机数据安全：企业指南

《数据安全法》中有关数据安全保护的法律义务

——错与罚

江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万

网络安全无小事！某企业因疏于防护被依法查处

江苏灌南农商行因违反数据安全管理规定等被罚97.5万

网安企业“内鬼”监守自盗，窃取个人信息2.08亿条

郑州3家公司未履行网络安全保护义务被网信部门约谈

25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚

驻马店市委网信办就网络安全问题依法约谈相关责任单位

两家银行因数据安全相关问题，被罚款

河北保定竞秀区委网信办依法约谈网站负责人

贵港市网信办公布2起网络安全违法违规典型案例

公安机关依法严厉打击侵犯公民个人信息犯罪，10起典型案例公布

重庆网信部门近期就企业违法违规情况开展多起约谈与处罚

新华社：中国电信、中国移动、中国联通，集体回应！

重庆网信部门就一企业系统遭境外组织攻击，开展联合公安约谈

——其他

浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案

精彩回顾：祺印说信安2024之前

祺印说信安2024年一年回顾

网警提醒 | 3.31世界备份日：重视你的数据安全

网络安全知识：什么是技术债务？

网络安全知识：网络威胁情报解析

5月1日起，《国家秘密定密管理规定》正式施行

黑客攻击远程服务器十大弱口令

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评铸盾安全《国外：一周网络安全态势回顾之第131期，供应链正在成为“高频攻击面”》