文章总结： 本周安全领域动态丰富：CNNVD统计新增1733个漏洞，国内修复率仅29.32%；美国三大金融监管机构发布AI网络安全新规；多起重大安全事件曝光，包括汽车零部件巨头OracleEBS被黑、AWS凭证泄露导致挖矿攻击、新型AndroidRAT威胁升级；同时出现谎言循环新型AI攻击技术，Cisco推出零信任安全解决方案。 综合评分： 86 文章分类： 安全大事件,漏洞预警,政策法规,威胁情报,解决方案

CNNVD统计本周公开漏洞新增1733个；美国三大金融监管机构联手出台AI网络安全新规| 牛览

安全牛

2025年12月18日 12:14 北京

点击蓝字 关注我们

新闻速览

• 美国三大金融监管机构联手出台AI网络安全新规
• CNNVD统计本周公开漏洞新增1733个；国内厂商漏洞129个、修复率29.32%；
• 从入侵到响应仅60天？汽车零部件巨头的Oracle EBS breach暴露企业ERP安全短板
• 意大利渡轮遭攻击引发远程劫持担忧：OT系统安全短板暴露
• FTC首案：Nomad因智能合约漏洞损失1.9亿美元，被令归还用户资产
• 法国抓获内政部网络攻击嫌疑人：43TB敏感数据泄露调查取得突破
• AWS IAM凭证泄露引发大规模挖矿攻击：终止保护技巧如何拖延响应
• “谎言循环”绕过人机确认：代码AI助手易中招，从业者急需深度防御
• Cisco ISE 与 ServiceNow 实时双向集成：告别资产盲区，实现零信任闭环
• 150美元Cellik RAT一键嵌入Google Play应用：Android全控威胁升级，从业者痛击移动隐蔽感染

特别关注

CNNVD统计本周公开漏洞新增1733个；国内厂商漏洞129个、修复率29.32%；

2025 年 12 月 8 日 – 14 日，国家信息安全漏洞库（CNNVD）采集公开漏洞 1733 个，接报漏洞 183739 个。WordPress 基金会以 375 个漏洞成为新增漏洞最多厂商，跨站脚本类漏洞占比 14.66% 居首。

本周超危漏洞 57 个、高危漏洞 398 个，整体修复率 65.49%。重点漏洞包括 WordPress 插件信息泄露漏洞、Google Pixel 权限提升漏洞等，厂商均已发布修复补丁。国内厂商漏洞 129 个，锐捷公司占 40 个，修复率 29.32%，相关用户需及时更新补丁。

原文链接：

https://mp.weixin.qq.com/s/ButPb2DClqn5p9F4XtYASw

热点观察

从入侵到响应仅60天？汽车零部件巨头的Oracle EBS breach暴露企业ERP安全短板

汽车零部件巨头LKQ证实，其OracleE-BusinessSuite(EBS)环境卷入近期针对OracleEBS客户的网络犯罪活动。LKQ向MaineAttorneyGeneral’sOffice通报，超过9000名相关人员信息在事件中被泄露，主要影响个体供应商，数据包括EmployerIdentificationNumber及SocialSecuritynumber等。LKQ称10月3日启动调查，12月1日完成对个人信息受影响范围的分析，并表示未发现EBS环境之外的系统受影响。与此同时，Cl0p在其泄露站点将LKQ列为受害者之一，并声称已获取并公开提供来自其EBS实例的数TB文件下载。

原文链接：

https://www.infosecurity-magazine.com/news/lkq-confirms-oracle-ebs-breach/

AWS IAM凭证泄露引发大规模挖矿攻击：终止保护技巧如何拖延响应

Amazon近日披露一起持续进行的加密货币挖矿攻击活动,攻击者利用被盗的IAM凭证入侵AWS客户账户。该活动于2025年11月2日由Amazon GuardDuty检测发现,攻击者在获得初始访问权限后10分钟内即可部署挖矿程序。

攻击者使用有效凭证而非漏洞利用进行入侵,快速侦察EC2服务配额和IAM权限后,在Amazon ECS上部署指向Docker Hub恶意镜像yenik65958/secret的任务定义,该镜像包含SBRMiner-MULTI挖矿软件和自动启动脚本。每个任务配置16,384个CPU单元和32GB内存,ECS Fargate任务数量设为10个。

在Amazon EC2上,攻击者创建了两个带启动脚本的启动模板和14个自动扩展组,每组配置至少20个实例,最大容量可达999台机器。攻击的关键技术是使用ModifyInstanceAttribute将disable API termination设为true,迫使受害者在删除受影响资源前必须重新启用API终止功能,这一手段显著增加了事件响应难度。

Amazon已通知受影响客户并建议轮换受损的IAM凭证,恶意Docker Hub镜像已被移除,但公司警告攻击者可能使用不同名称和发布账户部署类似镜像。

原文链接：

https://www.bleepingcomputer.com/news/security/amazon-ongoing-cryptomining-campaign-uses-hacked-aws-accounts/

150美元Cellik RAT一键嵌入Google Play应用：Android全控威胁升级，从业者痛击移动隐蔽感染

移动安全公司iVerify近日披露一款新型Android远程访问木马（RAT）Cellik，该恶意软件以低门槛在暗网销售，月租150美元、带RDP版本200美元、终身版900美元。攻击者通过内置一键APK builder，直接浏览Google Play商店，选择热门合法应用（如游戏或工具），远程捆绑恶意负载生成trojanized版本，保留原应用界面和功能，大幅延长隐蔽期。

Cellik功能全面，提供实时屏幕流式传输、模拟触屏操作、键盘记录、远程摄像头/麦克风访问、通知拦截、文件浏览/窃取/删除、云存储访问、隐藏浏览器（利用受害者cookies无声登录网站或自动填充钓鱼表单）、叠加假登录界面窃取凭证，以及自定义injector lab支持多应用同时注入等能力，还包括高级位置跟踪和AI驱动的用户行为分析。

这一设计显著降低攻击门槛，即使低技能犯罪分子也能轻松部署间谍级监视和数据窃取。iVerify强调，Cellik的Google Play集成和丰富功能组合，使Android设备面临更高风险。专家建议用户避免侧载未知APK、启用Google Play Protect、审慎授予权限，并监控异常行为，以防范此类持久威胁。

原文链接：

https://www.securityweek.com/new-150-cellik-rat-grants-android-control-trojanizes-google-play-apps/

安全事件

意大利渡轮遭攻击引发远程劫持担忧：OT系统安全短板暴露

意大利海运公司GrandiNaviVeloci旗下渡轮GNVFantastic号正接受网络攻击调查，事件引发对船舶远程劫持的担忧。该渡轮在巴塞罗那至热那亚航线中途遭遇推进系统故障，船长被迫关闭自动驾驶系统改为手动操作。虽然GNV声称事故由技术故障引起，但多位安全专家指出船舶运营技术(OT)系统极易成为攻击目标。专家警告，现代船舶高度依赖互联系统用于导航、推进和通信，若这些系统被入侵，攻击者可能远程操控船舶、篡改航线或造成碰撞。事件凸显关键基础设施面临的网络安全挑战：许多OT系统设计时未考虑网络威胁，且缺乏有效的网络隔离与实时监控机制。调查仍在进行中，当局尚未确认是否存在恶意攻击，但该事件已促使业界重新审视海运领域的OT安全防护策略。

原文链接：

GNV ferry Fantastic under cyberattack probe amid remote hijack fears

FTC首案：Nomad因智能合约漏洞损失1.9亿美元，被令归还用户资产

美国联邦贸易委员会(FTC)与加密货币跨链桥平台Nomad达成和解，要求其归还因2022年安全漏洞损失的客户资产。这是FTC首次针对加密货币平台安全失误采取执法行动。2022年8月，Nomad遭遇攻击导致约1.9亿美元加密货币被盗，攻击者利用智能合约升级时引入的配置错误，绕过安全验证机制提取资金。

FTC指控Nomad在部署关键智能合约更新时未进行充分测试，导致验证逻辑失效，任何人均可提交虚假交易。和解协议要求Nomad归还所有可追回资产，并禁止其对安全措施做虚假陈述。FTC强调，加密平台必须对安全承诺负责，不能仅依赖去中心化特性逃避责任。该案为Web3行业设立重要先例：智能合约部署前必须经过严格审计和测试，配置错误可能导致灾难性后果。事件凸显区块链安全中代码审计、权限管理和应急响应机制的重要性。

原文链接：

https://therecord.media/ftc-settlement-nomad-platform-return-customers-cryptocurrency

法国抓获内政部网络攻击嫌疑人：43TB敏感数据泄露调查取得突破

法国当局逮捕一名与内政部网络攻击相关的嫌疑人，该攻击导致约43TB敏感数据泄露。嫌疑人于12月16日在法国东部被捕,正接受调查。此次攻击发生在2024年11月,攻击者声称窃取包含执法人员个人信息、车辆登记数据及其他敏感政府记录的大量文件。法国国家信息系统安全局(ANSSI)确认攻击影响内政部系统,但表示关键基础设施未受损。调查显示攻击者可能利用内部访问权限或凭证窃取进行渗透,凸显内部威胁和权限管理的重要性。法国检察官称此案涉及未经授权访问自动化数据处理系统,最高可判5年监禁。事件引发对政府机构数据保护措施的质疑,专家呼吁加强访问控制、实施零信任架构并部署数据泄露防护(DLP)解决方案。该案提醒各国政府机构必须强化内部安全审计、最小权限原则和异常行为监控机制。

原文链接：

https://www.bleepingcomputer.com/news/security/france-arrests-suspect-tied-to-cyberattack-on-interior-ministry/

攻防技术

“谎言循环”绕过人机确认：代码AI助手易中招，从业者急需深度防御

Checkmarx安全研究人员近日披露一种新型攻击技术“Lies-in-the-Loop”（LITL），该攻击针对代理型AI系统中的Human-in-the-Loop（HITL，人机循环）对话机制，通过操纵确认提示框，让用户误以为操作无害，从而批准执行恶意代码。

HITL本是AI安全的重要防护措施，用于在AI代理执行高风险操作（如运行系统命令）前征求用户确认。然而，LITL攻击利用间接提示注入（indirect prompt injection）提前污染AI上下文，导致AI在生成确认对话时伪造内容：攻击者可添加看似无害的文本、篡改动作元数据总结，或利用数据总结，或Markdown渲染漏洞，使危险命令显示为安全操作，甚至完全替换为良性描述。

研究人员在Claude Code和Microsoft Copilot Chat（VS Code插件）中成功演示了该攻击。Anthropic和Microsoft已收到报告，但尚未完全修复。该攻击突出显示，HITL机制并非万无一失，一旦对话框被操控，人为防护即被轻易绕过，尤其对代码助手等高权限AI代理风险更大。专家建议采用深度防御策略，加强提示注入防护和界面渲染 sanitization，以提升代理AI安全性。

原文链接：

https://www.infosecurity-magazine.com/news/lies-loop-attack-ai-safety-dialogs/

产业动态

美国三大金融监管机构联手出台AI网络安全新规

美国联邦金融监管机构近日发布新指南，要求银行评估人工智能（AI）在网络安全方面的风险。该指南由美联储、货币监理署（OCC）和联邦存款保险公司（FDIC）联合发布，强调金融机构在部署AI系统时，须识别其可能引入的新型网络威胁，如模型投毒、提示注入攻击及数据泄露等。监管方要求银行将AI纳入现有网络安全框架，确保对第三方AI供应商实施尽职调查，并建立持续监控机制。指南特别指出，AI虽可提升威胁检测效率，但若缺乏适当控制，也可能放大系统脆弱性。此举旨在帮助银行在利用AI创新的同时，守住金融安全底线。

原文链接：

https://www.americanbanker.com/payments/news/banks-get-new-federal-guidance-on-ai-cyber-risks

新品发布

Cisco ISE 与 ServiceNow 实时双向集成：告别资产盲区，实现零信任闭环

Cisco 近日推出 ServiceNow 认证应用——Service Graph Connector for Cisco ISE，实现 Cisco Identity Services Engine（ISE）与 ServiceNow CMDB 的实时双向同步。该集成支持 ISE 3.3 Patch 4 及更高版本（推荐升级至 3.5），将网络安全与 IT 资产管理统一为实时控制平面。

传统集成多为单向静态，存在可见性与控制脱节问题。新方案下，ISE 将设备实时状态（如姿态、位置、连接信息）推送至 CMDB；ServiceNow 则将元数据（如所有者、部门、合规状态）反馈至 ISE，用于精准策略执行。用户可在 ServiceNow 直接分配访问策略，由 ISE 即时强制执行，无需多控制台切换。

这一创新显著提升零信任实践：缩小攻击面、自动化资产对账、加速事件响应，并适用于 BYOD、IoT 和远程网络等动态环境。企业可获单一真相来源，强化治理、合规与运营效率，实现从可见性到控制的闭环。

原文链接：

https://blogs.cisco.com/security/cisco-ise-servicenow-redefining-asset-aware-access/

联系我们

合作电话：18311333376

合作微信：aqniu001

联系邮箱：[email protected]

查看原文：《CNNVD统计本周公开漏洞新增1733个；美国三大金融监管机构联手出台AI网络安全新规| 牛览》