第5期

第四师可克达拉市网络与信息安全信息通报中心      2025年3月12日

网络安全风险提示

一、关于防范针对DeepSeek本地化部署实施网络攻击的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者针对大语言模型DeepSeek本地化部署场景实施钓鱼攻击，传播恶意程序，危害严重。攻击者通过“DeepSeek本地部署”、“深度求索”等高频关键词搜索引擎投毒，构建仿冒网站等方式，诱导用户下载伪造的DeepSeek本地部署工具包（如“ds大模型安装助手”、“deepseek_install”），传播HackBrian RAT、Gh0st和FatalRAT等木马程序。一旦被植入木马，攻击者可进一步控制用户服务器，导致窃取敏感信息、破坏系统数据，甚至入侵内部网络等严重危害。

建议相关单位及用户优先通过官方渠道下载部署DeepSeek，加强来源不明软件的识别与防范，谨慎下载未知来源的应用程序，并通过更新防病毒软件、实施全盘查杀等方式全面排查消除相关安全风险。

二、Commvault 网络服务器漏洞威胁网络服务器安全，用户亟需采取行动

数据保护和管理解决方案领先提供商 Commvault 近日修复了其网络服务器软件中的一个严重漏洞。该漏洞可能允许攻击者完全控制运行受影响版本 Commvault 软件的系统，影响范围涵盖 Linux 和 Windows 平台。

根据 Commvault 发布的官方安全公告，"网络服务器可能被黑客通过创建和执行网络外壳程序而遭到破坏。" 这些恶意脚本可能授予未经授权访问关键系统的权限，潜在导致严重的数据泄露和其他网络攻击。该漏洞特别影响 Commvault 软件 11.20 至 11.36 版本，攻击者可能轻易绕过安全措施，提升权限并获得对受影响系统的完全控制。

受影响的产品版本包括：

Commvault（Linux，Windows）：11.36.0 至 11.36.45 版本（在 11.36.46 中解决）

Commvault（Linux，Windows）：11.32.0 至 11.32.87 版本（在 11.32.88 中解决）

Commvault（Linux，Windows）：11.28.0 至 11.28.140 版本（在 11.28.141 中解决）

Commvault（Linux，Windows）：11.20.0 至 11.20.216 版本（在 11.20.217 中解决）

Commvault 强烈建议组织立即在其 CommServe 和网络服务器上安装更新版本。2025 年 3 月 7 日的更新确认，已实施额外修复以进一步增强网络服务器模块的安全性。

三、Thinkware行车记录仪被曝多个严重安全漏洞暴露用户凭证，影响数百万台设备

Thinkware公司的F800 Pro行车记录仪被曝存在一系列严重的安全漏洞，包括明文存储用户凭证、默认身份验证绕过以及不安全的数据存储方式。这些问题凸显了全球数百万台用于个人和商用车辆监控设备所面临的风险。

最严重的漏洞CVE-2025-2120允许攻击者通过物理接触行车记录仪，直接从/tmp/hostapd.conf配置文件中提取Wi-Fi凭证和云账户详细信息。这些敏感数据未经加密就被存储，使得攻击者能够入侵本地行车记录仪连接和关联的Thinkware Cloud账户。攻击者还可以利用默认凭证漏洞(CVE-2025-2119)绕过强制的移动应用配对过程，通过Wi-Fi连接到行车记录仪。一旦连接，他们就可以不受限制地访问554端口上的实时流协议(RTSP)和23端口上的Telnet服务，实现实时视频监控或历史录像下载。

Thinkware Cloud APK(v4.3.46)中的一个硬编码AES-256解密密钥，允许中间人攻击者解密登录流量，暴露云凭证并授予对存储录像的访问权限。此外，具有网络访问权限的攻击者可以通过行车记录仪未受保护的文件存储系统覆盖固件或部署恶意软件，从而建立持久性后门或破坏数据。

Thinkware已经承认了APK漏洞，但尚未公开解决与硬件相关的CVE。作为临时措施，用户应立即更改默认Wi-Fi密码，禁用Telnet，将RTSP访问限制在受信任的网络，监控/tmp/hostapd.conf的未经授权的修改，并升级到Thinkware Cloud APK v4.3.47+版本。

四、Keysight Ixia Vision产品现多个高危漏洞，可导致系统瘫痪

近日，Keysight Technologies的Ixia Vision产品系列被发现存在严重的安全漏洞，可能允许远程攻击者危及受影响的设备。根据美国网络安全和基础设施安全局(CISA)新发布的警告，这些漏洞使设备面临远程代码执行、未经授权的文件下载和系统崩溃等风险，对使用受影响硬件的企业构成重大威胁。

其中，最严重的问题是路径遍历漏洞(CVE-2025-24494)，利用此漏洞，攻击者可以使用管理权限执行任意脚本或二进制文件，可能导致完全的系统破坏。另一个关键漏洞CVE-2025-24521涉及对XML外部实体引用的限制不当。此漏洞可能使攻击者能够远程下载未经授权的文件，从而加剧安全风险。

成功利用这些漏洞可能导致严重后果，包括系统崩溃、任意文件删除以及未经授权访问敏感信息。利用这些漏洞的攻击者可能获得对受影响设备的控制权，从而在企业网络内部进行进一步的攻击。此外，在受影响的软件版本中发现的多个路径遍历漏洞(CVE-2025-21095和CVE-2025-23416)可用于任意下载或删除文件，导致数据完整性问题和服务中断。

虽然迄今为止尚未报告公开利用这些漏洞的情况，但网络安全专家警告称，威胁行为者可能很快会试图利用未打补丁的系统。建议使用受影响设备的组织应升级到6.7.0或更高版本以修复CVE-2025-24494，升级到6.8.0版本以修复CVE-2025-24521、CVE-2025-21095和CVE-2025-23416。