全球网安事件速递

1. 微服务安全防护：分布式系统最佳实践

微服务架构带来可扩展性和敏捷性，但面临分布式安全挑战。需实施多层次安全措施，包括认证授权、双向TLS、动态密钥管理和全面监控，平衡安全与灵活性。【外刊-阅读原文】

2. 威胁狩猎入门指南：专家级主动网络安全策略

现代网络安全需转向主动威胁狩猎，结合MITRE ATT&CK框架、SIEM系统和SIGMA规则等工具，通过假设驱动方法预判入侵。整合机器学习与威胁情报，实现自动化检测与人工分析结合，提升复杂威胁识别能力，缩短威胁驻留时间。【外刊-阅读原文】

3. 微软修复67个漏洞 包括已被野外利用的WebDAV零日漏洞

微软修复67个漏洞，含WebDAV零日漏洞CVE-2025-33053（CVSS 8.8），已被Stealth Falcon组织利用投递Horus后门。11个漏洞评级"严重"，含多个高危RCE漏洞。CISA要求7月前修复，企业需警惕WebDAV风险。【外刊-阅读原文】

4. Salesforce OmniStudio 平台漏洞导致加密数据泄露

Salesforce OmniStudio曝五个高危漏洞（CVE-2025-43697至43701），涉及FlexCard和Data Mapper组件，可绕过权限控制泄露加密数据。建议立即检查受影响组件、更新权限并升级至2025春季版修复漏洞。【外刊-阅读原文】

5. 从网络安全视角看如何保护 Kubernetes 集群安全

Kubernetes安全需多层防御：加固控制平面、实施RBAC、网络分段、密钥管理、Pod安全标准及持续监控，结合合规审计与漏洞评估，实现企业级防护。安全应融入开发流程，团队协作保障运营效率。【外刊-阅读原文】

6. Windows WebDAV 零日远程代码执行漏洞遭野外利用

微软紧急修复WebDAV零日漏洞CVE-2025-33053，该漏洞允许攻击者通过特制URL远程执行代码，影响所有Windows版本，已被野外利用，建议立即安装补丁。【外刊-阅读原文】

7. 新型SharePoint钓鱼攻击采用精妙欺骗技术绕过防护

新型钓鱼攻击利用Microsoft SharePoint可信平台，通过多阶段验证流程高度模仿官方认证，精准定向受害者，动态托管技术规避检测，极大提升欺骗性，标志网络威胁战术重大升级。【外刊-阅读原文】

8. Windows 远程桌面服务漏洞可导致远程代码执行

高危漏洞CVE-2025-32710影响多版本Windows Server，允许未经认证远程代码执行，CVSS评分8.1。攻击需网络访问并利用竞态条件，虽复杂度高但威胁严重。微软已发布补丁，建议立即更新并限制RDP暴露。【外刊-阅读原文】

9. 安全警报：全球超4万台联网摄像头暴露实时画面！

全球超4万台联网摄像头存在暴露风险，无需认证即可实时窥探家庭、医院等场所，威胁隐私与安全。美日数量最多，主流厂商产品存漏洞。建议禁用远程访问、修改默认凭证、更新固件等防护措施。【外刊-阅读原文】

10. 攻击者持续利用ScreenConnect部署恶意软件，建立持久远程访问

网络犯罪分子利用合法RMM工具ConnectWise发起金融攻击，通过钓鱼邮件传播恶意软件，滥用数字签名逃避检测，部署CHAINVERB后门。攻击者结合社会工程学手段，威胁形势复杂化，企业面临双重安全挑战。【外刊-阅读原文】

优质文章推荐

1. 容器安全：基于甲方视角容器安全用例

特权容器和API暴露易引发主机控制风险，需禁用特权模式、限制资源访问、验证镜像完整性，并实施强认证授权机制，防止容器逃逸和DoS攻击。【阅读原文】

2. APISandbox | 4ASystem： 4A认证系统下的API平行越权

4A系统API存在平行越权漏洞，攻击者通过弱口令登录web1后，利用未验证新密码的缺陷越权修改web2、web3密码，实现横向渗透。【阅读原文】

3. java反序列化之cc1链 TransformedMap版

Java反序列化漏洞利用链：通过InvokerTransformer反射执行恶意代码，结合TransformedMap和AnnotationInvocationHandler的readObject方法触发漏洞，最终实现命令执行。【阅读原文】

漏洞情报精华

1.MetaCRM客户关系管理系统 commonQueryServ XXE漏洞
https://xvi.vulbox.com/detail/1932719844621422592

2.宏景eHR HrpService SQL注入漏洞
https://xvi.vulbox.com/detail/1932627902160048128

3.宏景eHR HrChangeInfoService SQL注入漏洞
https://xvi.vulbox.com/detail/1932643752342589440

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。