摘要：Medusind是一家为医疗机构提供医疗计费、编码和收入周期管理（RCM）服务的公司，服务于医疗实践、牙科实践及其他医疗服务提供商。该公司披露了一起发生在2023年12月29日的数据泄露事件，影响了大约360,934人。在发现安全漏洞后，Medusind立即在

近日，明朝万达安元实验室发布了2025年第一期《安全通告》。该份报告收录了2025年1月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

1、美国医疗账单提供商Medusind遭遇数据泄露

Medusind是一家为医疗机构提供医疗计费、编码和收入周期管理（RCM）服务的公司，服务于医疗实践、牙科实践及其他医疗服务提供商。该公司披露了一起发生在2023年12月29日的数据泄露事件，影响了大约360,934人。在发现安全漏洞后，Medusind立即在一家网络安全取证公司的协助下展开了调查。发送给受影响个人的数据泄露通知信中写道：“2023年12月29日，Medusind在其IT网络中发现了可疑活动。在发现该活动后，Medusind立即将受影响的系统脱机，并聘请了一家领先的网络安全取证公司进行调查。” “通过此次调查，我们发现有证据表明网络犯罪分子可能已经获取了包含您个人信息的某些文件副本。此外，我们还实施了增强的安全措施，以防止类似事件在未来发生。”

专家确定，威胁行为者可能窃取了包含不同类型信息的特定文件，包括健康保险和账单信息（如保险单号码或索赔/福利信息）、支付信息（如借记卡/信用卡号码或银行账户信息）、健康信息（如病史、病历号码或处方信息）、政府身份证明（如社会保障号码、纳税人ID、驾照或护照号码）以及其他个人信息（如出生日期、电子邮件地址、实际住址或电话号码）。受影响的信息因人而异。

2、一名研究人员如何通过黑客攻击脸书服务器赚取10万美元

TechCrunch首先报道了Facebook向安全研究员Ben Sadeghipour（@NahamSec）奖励了10万美元，因为他报告了一个允许访问内部服务器的漏洞。研究人员强调在线广告平台中存在的漏洞，这主要是由于大量的服务器端数据处理造成的，可能会暴露出多种安全问题。2024年10月，Sadeghipour在调查Facebook的广告平台时发现了这个漏洞。他利用该漏洞成功地在公司内部服务器上执行命令，从而获得了控制权。

Sadeghipour通过公司的漏洞赏金计划向Meta报告了这个问题，Meta立即承认并解决了该漏洞。这个漏洞的原因是Facebook的广告服务器使用了一个未打补丁的Chrome版本，这使得Sadeghipour能够通过一个无头Chrome浏览器进行劫持。据Sadeghipour介绍：“问题是，Facebook用于创建和投放广告的服务器之一容易受到之前在Chrome浏览器中发现并已修复的一个漏洞的攻击。” “这个未修补的漏洞使我能够使用无头Chrome浏览器（本质上是一个用户从计算机终端运行的浏览器版本）来劫持它，并直接与Facebook的内部服务器交互。”

3、威胁行为者利用Aviatrix控制器漏洞部署后门和加密货币矿工

安全研究员Jakub Korepta在Aviatrix控制器中发现了一个关键漏洞，该漏洞被追踪为CVE-2024-50603，CVSS评分为10.0。此漏洞影响了Aviatrix Controller 7.1.4191之前的所有版本以及7.2.x系列中7.2.4996之前的版本。它允许未经身份验证的攻击者通过API中的错误命令执行任意代码。漏洞产生的原因是用户提供的输入未被正确处理，已在修复版本7.1.4191和7.2.4996中得到解决。

Wiz事件响应团队报告称，威胁行为者正在利用此漏洞部署后门程序和加密货币矿工。Wiz发布的公告指出：“Wiz事件响应团队目前正在处理多起涉及CVE-2024-50603的事件，这是一个可以导致AWS控制平面权限升级的Aviatrix Controller未经身份验证的远程代码执行漏洞。” “组织应紧急进行补丁更新。”

4、CVE-2024-44243 macOS漏洞允许持续安装恶意软件

微软披露了一个现已修补的macOS漏洞详细信息，该漏洞被追踪为CVE-2024-44243（CVSS评分：5.5），允许具有“root”访问权限的攻击者绕过系统完整性保护（SIP）。macOS中的SIP通过阻止执行未经授权的代码来保护系统。它允许App Store应用程序和经过公证的应用程序运行，同时默认情况下阻止其他应用程序。

绕过SIP使攻击者能够安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制（TCC）保护，并扩大系统的攻击面以进一步利用。微软在其公告中写道：“应用程序可能能够修改文件系统的受保护部分。” “描述：配置问题已通过附加限制得到解决。”苹果在12月发布macOS Sequoia 15.2时解决了这个问题。

5、美国CISA将Fortinet FortiOS漏洞添加到其已知漏洞目录中

美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中新增了一个Fortinet FortiOS授权绕过漏洞，该漏洞被追踪为CVE-2024-55591，CVSS评分为9.6。远程攻击者可以利用此漏洞绕过身份验证，并通过特制的Node.js WebSocket请求获得超级管理员访问权限。供应商确认他们已经了解到基于此漏洞的攻击行为。

“使用备用路径或通道的身份验证绕过漏洞[CWE-288]影响了FortiOS和FortiProxy，可能允许远程攻击者通过向Node.js WebSocket模块发出精心构造的请求来获得超级管理员权限。”公告中提到。请注意，有报告指出此漏洞正在被野外利用。此漏洞影响FortiOS（7.0.0至7.0.16版本）和FortiProxy（7.0.0至7.0.19及7.2.0至7.2.12版本）。

6、恶意npm和PyPI包瞄准Solana私钥，从受害者钱包中窃取资金

德克萨斯理工大学Socket的研究人员在npm和Python包索引（PyPI）存储库中发现了多个旨在针对Solana私钥并从受害者的钱包中抽走资金的包。这些恶意的npm包允许威胁行为者通过Gmail泄露Solana私钥。骗子们通过拼写流行库的名字来伪装自己，如as@async-mutex/互斥锁、dexscreener、solana交易工具包和solana稳定的网络户口。

专家注意到，两个威胁行为者发布了这些恶意软件包，他们使用了相似的策略和技术（TTP），以及用于拦截各种钱包交互中的私钥的类似代码。攻击者利用Gmail的SMTP服务器窃取信息以避免被发现。在报告发布时，尽管专家已请求删除这些包，但它们仍在npm上可用。据报道，有两份GitHub仓库支持这些恶意软件活动，并试图使这些恶意npm包看起来合法。

7、HPE正在调查IntelBroker对公司黑客攻击的指控

臭名昭著的威胁组织IntelBroker在一个热门网络犯罪论坛上宣布，他们正在出售据称从HPE窃取的数据。由于泄露大型企业数据而闻名的IntelBroker曾因声称对思科的安全漏洞负责而登上新闻头条。

此次可供出售的数据包括一些HPE产品的源代码，例如Zerto和ILO（集成熄灯）、SAP Hybris、数字证书、Docker构建文件、私有GitHub存储库以及旧用户的个人信息(PII)。

8、美国CISA将Aviatrix控制器漏洞添加到其已知漏洞目录中

美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中新增了一个关键的Aviatrix控制器操作系统命令注入漏洞，该漏洞被追踪为CVE-2024-50603，CVSS评分为10。此缺陷影响了Aviatrix Controller 7.1.4191之前的所有版本以及7.2.x系列中7.2.4996之前的版本。它允许未经身份验证的攻击者通过API中的错误命令执行任意代码。

漏洞产生的原因是用户提供的输入未被正确处理，已在修复版本7.1.4191和7.2.4996中得到解决。Wiz事件响应团队报告称，威胁行为者正在利用此漏洞部署后门程序和加密货币矿工。Wiz发布的公告指出：“Wiz事件响应团队目前正在处理多起涉及CVE-2024-50603的事件，这是一个可以导致AWS控制平面权限升级的Aviatrix Controller未经身份验证的远程代码执行漏洞。” “组织应紧急进行补丁更新。”

9、美国著名律师事务所Wolf Haldenstein披露了一起数据泄露事件

Wolf Haldenstein律师事务所披露了2023年发生的一起数据泄露事件，该事件暴露了近350万人的个人信息。Wolf Haldenstein Adler Freeman & Herz LLP是一家总部位于美国的知名律师事务所，专注于复杂的集体诉讼。其专业领域包括证券诉讼、反垄断法、消费者保护、数据隐私和网络安全以及股东衍生诉讼。安全漏洞发生在2023年12月13日，但直到2024年4月18日公司才发现这一事件。由于数字取证调查的复杂性，直到现在才对外披露。

“2023年12月13日，Wolf Haldenstein在其网络环境中检测到可疑活动。发现此事件后，Wolf Haldenstein迅速采取措施保护其网络，并聘请了一家专业的网络安全公司进行调查，以确定事件的性质和范围。调查结果显示，一名未经授权的行为者访问了存储在其网络中的某些文件和数据。Wolf Haldenstein还使用所有可用信息对其系统和网络进行了检查，以评估服务器上数据的潜在影响和安全性。” 该公司在其网站上发布的通知中写道。

10、2025年1月的Microsoft Patch Tuesday更新修复了三个被积极利用的漏洞

在2025年1月的Microsoft Patch Tuesday安全更新中，微软解决了包括Windows及其组件、Office及组件、Hyper-V、SharePoint Server、.NET和Visual Studio、Azure、BitLocker、远程桌面服务以及Windows虚拟可信平台模块中的总共161个漏洞。在这些漏洞中，有11个被评为“严重”，另一个被评为“重要”。据ZDI研究人员指出，这是自2017年以来微软每月安全更新中解决的漏洞数量最多的一次。目前确认有五个漏洞正在被积极利用，其中Windows Hyper-V NT内核集成VSP中的三个漏洞（CVE-2025-2133、CVE-2025-21334和CVE-2025-21335，CVSS评分为7.8）尤为突出。

这三个缺陷是Hyper-V中的权限提升问题，经过身份验证的用户可以利用它们以SYSTEM权限执行代码。另一个值得关注的问题是Windows OLE远程代码执行漏洞，该漏洞被追踪为CVE-2025-21298（CVSS评分9.8）。远程攻击者可以通过使用Outlook向受影响系统发送精心编制的邮件来利用此漏洞，在目标系统上执行代码。专家解释说，预览窗格不是攻击向量，但预览附件可能会触发代码执行。该漏洞与RTF文件解析有关。

网络安全最新漏洞追踪

go-git参数注入漏洞（CVE-2025-21613）

一、漏洞概述

go-git是一个用Go语言编写的高度可扩展的 git 实现库。

2025年1月8日，监测到go-git中修复了一个参数注入漏洞（CVE-2025-21613），该漏洞的CVSS评分为9.8。

go-git多个受影响版本中存在参数注入漏洞，该漏洞源于go-git库在使用文件传输协议时，未能正确处理或验证通过URL字段传入的输入，导致攻击者可能注入恶意参数到本地调用的git二进制文件中。攻击者可利用该漏洞修改git-upload-pack命令的标志，从而控制命令行为。成功利用该漏洞的攻击者可以设置任意的git-upload-pack标志值，进而导致未授权访问、信息泄露或执行其他恶意操作。

二、影响范围

4.0.0

三、修复建议

参考链接：

Aviatrix Controller命令注入漏洞（CVE-2024-50603）

一、漏洞概述

Aviatrix Controller是一款强大的云网络管理平台，提供简化的跨云网络管理、自动化配置、安全策略、流量监控等功能，帮助企业实现更加灵活、安全和高效的云网络架构，特别适用于多云和混合云环境。

2025年1月8日，监测到Aviatrix Controller中被披露存在一个命令注入漏洞（CVE-2024-50603），其CVSS评分为10.0，目前该漏洞的技术细节及PoC已公开。

Aviatrix Controller受影响版本中，由于对 /v1/api 下 list_flightpath_destination_instances 操作中的 cloud_type 参数或 flightpath_connection_test 操作中的 src_cloud_type 参数缺乏适当的输入清理，可能导致命令注入漏洞，未经身份验证的远程攻击者可以构造恶意请求，利用该漏洞执行任意命令。

二、影响范围

Aviatrix Controller

Aviatrix Controller 7.2.x

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Aviatrix Controller >= 7.1.4191

Aviatrix Controller 7.2.x >= 7.2.4996

下载链接：

参考链接：

https://azuremarketplace.microsoft.com/en-us/marketplace/apps/aviatrix-systems.aviatrix-controller?tab=overview

Redis代码执行漏洞（CVE-2024-46981）

一、漏洞概述