随着信息技术的飞速发展,网络安全威胁也日益严峻。近日,美国网络安全和基础设施安全局(CISA)宣布将两项涉及Erlang/Open Telecom Platform (OTP) SSH和Roundcube Webmail的关键漏洞纳入其已知被利用漏洞目录(KEV),表明这两大漏洞已经在野外被确认存在攻击活动。针对这一重大安全警报,业内人士纷纷呼吁加强漏洞修补和防护措施,避免潜在的严重安全后果。 这两大被列入目录的漏洞分别是CVE-2025-32433和CVE-2024-42009。CVE-2025-32433是Erlang/OTP SSH服务器中的一个关键认证缺失漏洞,允许攻击者在无有效凭据的情况下执行任意命令,实现未授权远程代码执行。这一漏洞的严重性极高,CVSS评分高达满分10.0,意味着一旦被利用,攻击者能够全面掌控受影响服务器,造成数据泄露、服务中断甚至更大范围的网络攻击。
官方已于2025年4月发布针对该漏洞的修复版本,包括OTP-27.3.3、OTP-26.2.5.11和OTP-25.3.2.20,强烈建议相关用户立即升级。 另一方面,CVE-2024-42009针对的是广泛使用的Roundcube Webmail邮件系统中的跨站脚本攻击(XSS)漏洞。通过该漏洞,远程攻击者可以利用邮件内容中的恶意代码,窃取或发送用户邮件,严重威胁邮箱安全性。此漏洞的CVSS评分为9.3,显示其潜在威胁同样不可小觑。漏洞位于程序的program/actions/mail/show.php文件存在的消毒不足问题,易受到恶意构造邮件的攻击。该漏洞已于2024年8月被修复,相关的安全补丁版本包括1.6.8和1.5.8。
尽管目前关于两项漏洞的具体攻击手法及攻击者身份尚无详细公开资料,但安全研究机构ESET曾披露俄罗斯关联持续威胁组织APT28利用多种XSS漏洞,针对包括Roundcube在内的多款邮件系统,攻击目标集中在东欧地区的政府及防务企业。这为Roundcube漏洞的活跃利用提供了侧面印证。值得注意的是,据网络资产扫描平台Censys数据显示,全球仍然暴露着约340台Erlang服务器,虽然并非所有服务器均易受此漏洞影响,但暴露风险不容忽视。同时,公开漏洞信息发布后不久,已出现多款针对CVE-2025-32433的概念验证(PoC)攻击代码,加快了漏洞利用风险。 面对如此紧迫的安全形势,联邦民用执行机构(FCEB)已被强制要求在2025年6月30日前完成相关漏洞的修补工作。及时部署官方补丁,不仅是履行合规义务,更是防止被攻击者利用,提升整体网络安全防护水平的关键举措。
除了Erlang SSH和Roundcube漏洞外,近期安全行业还爆出针对WordPress平台的高危账户接管漏洞。Patchstack安全团队披露,PayU CommercePro插件中存在编号为CVE-2025-31022的严重安全缺陷,评分高达9.8。此漏洞允许攻击者无需身份认证,即可劫持任意用户账户,若成功获取管理员权限,则可完全控制网站并执行恶意操作。受影响的插件版本为3.8.5及更早版本,此插件在全球活跃安装超过五千次。漏洞根源在于函数“update_cart_data()”在访问“/payu/v1/get-shipping-cost”端点时,错误依赖硬编码邮箱“commerce.pro@payu.in”的令牌校验机制,攻击者可通过“/payu/v1/generate-user-token”接口获取对应令牌,进而伪造请求,劫持目标账户。鉴于补丁尚未发布,官方与安全专家建议用户暂时停用并卸载该插件,防止安全崩溃。
网络安全行业的攻击面管理平台Censys进一步披露,当下全球在线的Roundcube Webmail实例高达247万余台,主要分布在欧洲和北美地区。如此庞大的暴露规模,加剧了潜在的安全威胁与风险,相关运维人员务必高度警惕,尽快完成漏洞检测与修复工作。 综合来看,Erlang SSH和Roundcube漏洞的加入CISA已知被利用漏洞目录,昭示着这些问题的严重性与紧迫性。面对日益复杂的网络威胁,企业、机构乃至个人用户都应积极采取多层次防御措施,包括及时升级补丁、强化访问控制、部署入侵检测与防御系统等。此外,加强安全意识培训,避免因人为失误引发安全事件,也是不可忽视的环节。 未来,随着技术的不断演进与安全攻防态势变化,网络安全领域依然充满挑战。
只有紧跟安全动态,强化安全运营能力,才能有效抵御黑客攻击,保障数字资产安全。各方应加强合作,持续改进防护体系,以应对愈加复杂多变的网络威胁环境,确保关键基础设施和信息系统的稳健运行。
