网络安全日报 2026年07月03日
1、攻击者利用恶意PoC传播ChocoPoC远控木马 https://www.bleepingcomputer.com/news/security/new-chocopoc-malware-targets-researchers-via-trojanized-poc-exploits/ 近期,GitHub上有多个恶意的概念验证漏洞利用程序被发现正在传播一款名为ChocoPoC的Python远控木马。该远控木马能够执行指令并窃取敏感数据,这是一场专门针对网络安全研究人员的恶意攻击活动。ChocoPoC的独特之处在于:它没有直接将恶意软件嵌入到漏洞利用文件中,而是将恶意的Python包添加到了PoC的项目依赖项列表中。研究人员称这些恶意包被托管在P 2、Adobe发布紧急补丁修复多个安全漏洞 https://www.bleepingcomputer.com/news/security/adobe-patches-seven-max-severity-coldfusion-campaign-flaws/ Adobe针对其Web应用程序开发平台ColdFusion以及营销自动化平台Campaign Classic中发现的七个安全漏洞发布了安全补丁。所有这些漏洞都可以在无需用户交互的低复杂度攻击中被利用。有六个安全漏洞(漏洞编号为CVE-2026-48276、CVE-2026-48277、CVE-2026-48281、CVE-2026-48316 和 CVE-2026-48282)影响 3、研究人员发现900多个暴露的Oracle EBS实例 https://www.bleepingcomputer.com/news/security/over-900-oracle-e-business-instances-exposed-to-ongoing-attacks/ 在针对一个严重安全漏洞的持续攻击浪潮中,已有超过900个暴露在互联网上的Oracle电子商务套件(E-Business Suite,简称EBS)实例被发现。该漏洞(漏洞编号为CVE-2026-46817)存在于Oracle Payments产品的“文件传输”组件中。它允许未经身份验证的恶意攻击者,在仅具备HTTP网络访问权限的情况下,通过低复杂度的攻击手段直接接管受影响的 4、FortiBleed窃密行动与INC和Lynx勒索组织存在关联 https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/ 近期,代号为“FortiBleed”的大规模凭据窃取攻击活动已被证实与INC和Lynx勒索组织存在关联。研究人员在互联网中发现了一个暴露的服务器,其中包含从73000多台Fortinet设备中窃取的凭据。研究人员发现,该服务器内含有下载的FortiGate配置文件、从受侵入设备中获取的凭据,以及用于破解密码哈希和实施凭据撞库攻击的基础设施。由于暴露的凭据数量庞大且窃取规模惊 5、日本久保田北美公司数据遭到泄露 久保田北美公司(Kubota North America Corporation)披露,今年早些时候,攻击者曾获取了其部分网络系统的访问权限,且潜伏时间长达一个多月。在对该事件展开调查后,该公司确认,在3月16日至4月20日期间,攻击者访问了包含员工及其家属个人信息的文件。目前尚无勒索组织宣称对久保田的这起攻击事件负责。该公司也未提及此事件导致任何运营或业务中断。 6、Anthropic Buffa Rust 库 0Day 漏洞可引发拒绝服务攻击 https://www.freebuf.com/articles/development/488429.html Anthropic 基于 Rust 语言的 protobuf 实现库 buffa 被发现存在 0Day 拒绝服务(DoS)漏洞,攻击者可通过控制输入触发无限制堆内存分配。该漏洞编号为(CVE-2026-55407)和 GHSA-f9qc-qg88-7pq5,影响 buffa 和 connectrpc 0.8.0 之前版本,CVSS 评分为 4.0/6.3(中危)。但根据实际部署架构,其影响可能升级为高危或严重级别。 7、谷歌打击拥有 200 万家用设备的 NetNut 住宅代理网络 https://thehackernews.com/2026/07/google-disrupts-netnut-residential.html 谷歌显著削弱了 NetNut,这是将家庭设备变成其他人流量租用中继器的一个最大网络。与 FBI、Lumen 等合作,谷歌威胁情报小组(GTIG) 本周表示 已将该网络的可用设备池减少了数百万。谷歌将 NetNut,也追踪为 Popa,识别为一个遍布全球家庭设备的网络,包括智能电视和流媒体盒 ,GTIG 估计该网络至少拥有 200 万设备。 8、19岁Scattered Spider黑客嫌疑人被引渡至美国受审 https://www.freebuf.com/articles/es/488456.html 美国司法部7月1日宣布,一名涉嫌参与黑客组织Scattered Spider的青少年已从芬兰引渡至美国,将面临共谋、计算机入侵和欺诈指控。19岁的美爱双重国籍公民Peter Stokes于6月30日在芝加哥联邦法院出庭,法官裁定将其羁押候审。 9、Gitea act_runner存在容器逃逸漏洞 https://www.secrss.com/articles/91750 攻击者可以利用此漏洞,在 Docker 支持的运行器上运行工作流的用户可以创建一个具有主机命名空间和广泛能力的作业容器,并在禁用特权模式的情况下逃逸到主机并以 root 身份运行,从而完全控制运行器所在的服务器。 10、工信部发布关于防范Remcos恶意软件新变种的风险提示 https://www.secrss.com/articles/91740 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,一种Remcos新型变种正在活跃传播,其利用DonutLoader内存加载技术进行投放。Remcos是一种危险的远程访问木马(RAT),最早发现于2016年。其主要攻击目标为Windows用户,可能导致系统受控、敏感信息泄露、业务中断等风险。 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年07月02日
1、研究人员披露一种名为BioShocking的AI漏洞 https://layerxsecurity.com/blog/bioshocking-ai-gaming-the-ai-browser-and-escaping-its-guardrails/ 研究人员发现,攻击者可以通过操纵AI浏览器来执行任意指令。通过构建一个虚假现实,攻击者能够说服AI违反其安全护栏,从而进行篡改用户数据、复制代码、执行系统命令等操作。研究人员将这一漏洞命名为BioShocking。一旦让AI浏览器相信自己并不处于现实世界中,就能让它执行攻击者想要执行的任何命令,例如泄露敏感信息、修改密码、甚至安装恶意软件。研究人员已经将研究结果通知了所有相关厂商。 2、Blackfield勒索组织向Nidec索要200万美元赎金 https://www.bleepingcomputer.com/news/security/blackfield-ransomware-asks-nidec-corporation-for-2-million-ransom/ Blackfield勒索组织正向日本电产株式会社(Nidec Corporation)索要200万美元的赎金。在一份声明中,Nidec表示其子公司Nidec Chaun Choung Technology遭受一次勒索软件攻击。Blackfield勒索组织已宣布对此次攻击负责,同时要求受害者支付200万美元。此外,Blackfield的帖子中还包含一个链接,声称只需支付 3、GuardFall漏洞波及11款热门开源AI Agent中的10款 https://securityaffairs.com/194546/ai/guardfall-flaw-hits-10-of-11-popular-open-source-ai-agents.html 调查发现11款热门开源AI Agent中10款存在命令注入漏洞,攻击者可绕过防护执行危险命令。漏洞源于命令检查与执行的差异,仅Continue项目有效防护。建议采用受限shell运行Agent并审核配置,健全防护机制亟待普及。 4、研究人员分析3000个活跃ClickFix攻击,揭露API驱动的恶意软件分发机制 https://thehackernews.com/2026/07/researcher-analyzes-3000-live-clickfix.html ClickFix恶意软件通过API驱动服务器分发变种载荷,利用社交工程诱骗用户手动运行,攻击量激增517%。其隐蔽性高,可绕过传统防护,已被国家级黑客组织武器化。防御需关注进程链和用户教育,技术持续演变威胁长期存在。 5、针对Azure CLI的大规模密码喷洒攻击8100万次尝试入侵78个微软账户 https://thehackernews.com/2026/07/azure-cli-password-spray-hits-at-least.html 微软Azure CLI遭大规模密码喷洒攻击,利用废弃OAuth流程绕过CAP防护,64家机构78个账户沦陷。攻击源自LSHIY LLC的IPv6地址段,日均8100万次尝试。MFA配置缺陷是关键漏洞,专家建议全面启用MFA并限制Azure CLI使用。 6、美国解除越狱相关出口管制后 Anthropic 恢复 Claude Fable 5 服务 https://thehackernews.com/2026/07/anthropic-restores-claude-fable-5-after.html 美国解除对Claude Fable 5的出口管制,7月1日重新开放。此前因越狱技术触发紧急禁令,Anthropic升级安全过滤器后恢复服务,但Mythos 5仍受限。事件暴露AI监管困境,行业正推动越狱风险分级标准。 7、Kali Linux 2026.2 发布:新增 9 款工具并优化虚拟机启动性能 https://cybersecuritynews.com/kali-linux-2026-2-released/ Kali Linux 2026.2发布,升级GNOME 50和KDE Plasma 6.6桌面环境,优化虚拟机启动速度3倍,革新软件包管理,新增9款安全工具,改进移动端支持,内核升级至6.19。 8、Cursor IDE曝出两大关键RCE漏洞 可零点击提示注入攻击 https://www.freebuf.com/articles/ai-security/488440.html 在超过半数财富500强企业使用的AI开发环境Cursor IDE中,发现两个关键远程代码执行(RCE)漏洞。Cato AI实验室披露了这两个被命名为"DuneSlide"的漏洞(CVE-2026-50548和CVE-2026-50549),CVSS严重性评分均为9.8分,攻击者可借此完全突破Cursor的沙箱防护。 9、iPhone 18 Pro供应商、零部件及照片全部泄露 https://www.secrss.com/articles/91805 据消息人士透露,包含苹果即将推出的iPhone 18 Pro敏感零部件信息、供应商名单及机型照片的机密文件,已被勒索软件组织发布至暗网上。该组织此前从苹果公司的印度供应商塔塔电子窃取了相关数据。 10、Adobe 修复了ColdFusion 和Campaign Classic 中的 7 个高危漏洞 https://thehackernews.com/2026/07/adobe-patches-7-cvss-100-flaws-in.html Adobe 已发布针对 Adobe ColdFusion 和 Adobe Campaign Classic 的多个最高严重性安全漏洞的补丁。Adobe 于周二发布的警报中表示,ColdFusion 更新“解决了可能导致任意代码执行、权限提升、任意文件系统读取和安全功能绕过的关键和重要漏洞”。 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年07月01日
1、攻击者劫持npm和Go包传播跨平台窃密程序 https://research.jfrog.com/post/hijacked-npm-vscode-tasks-blockchain/ 安全研究人员披露,两个被劫持npm包和一组Go包被用于向Windows、Linux和macOS主机部署基于Python的信息窃取程序。已披露信息显示,相关npm包包括html-to-gutenberg和fetch-page-assets,二者曾于2026年5月25日上传至npm。攻击者将执行过程隐藏在VS Code任务中,配置为在VS Code或Cursor等IDE打开项目文件夹时自动运行。恶意载荷伪装成字体文件,并通过区块链交易数据获取加密JavaSc 2、俄罗斯背景攻击者利用虚假短信窃取凭证 https://thehackernews.com/2026/06/ukraine-says-russian-intelligence-used.html 乌克兰官方机构披露,其与美国执法部门联合破获一项长期网络行动,攻击者被指与俄罗斯情报机构有关,目标包括乌克兰、欧洲和美国的政府官员、军方人员、政界人士和活动人士的即时通讯账户。已披露信息显示,该行动旨在获取受害者在即时通讯应用中交换的敏感军事、政治和经济信息,并窃取个人数据。攻击者会发送伪装成即时通讯平台客服机器人的短信,诱导用户泄露账户凭证。乌克兰方面表示,攻击目标不仅包括组织、官员和公众人物,也包括乌克兰公民个人账户。公开信息未将该活 3、Nissan遭Oracle零日漏洞攻击后数据泄露 https://oag.ca.gov/ecrime/databreach/reports/sb24-625558 Nissan披露,其在任和前任员工数据可能在Oracle PeopleSoft相关攻击中遭泄露,事件与ShinyHunters勒索组织有关。已披露信息显示,Nissan Americas使用Oracle PeopleSoft管理员工信息,包括工资、税务管理和其他人事记录。Oracle告知该公司,一起网络安全事件可能导致数百家公司员工档案被攻击者获取,Nissan随后确认自己是此次攻击的特定目标。Nissan表示,调查仍处于早期阶段,尚未确定完整影响范围,但攻击者可能获取员工联系信 4、TP-Link多款路由器存在未认证命令注入漏洞 https://securityonline.info/tp-link-router-command-injection/ TP-Link发布CVE-2026-11834安全公告,披露多款路由器存在高危命令注入漏洞。已披露信息显示,该漏洞CVSS评分为8.7,影响Archer MR200 V7/V8、Archer MR402 V1、Archer VR2100 V1、Archer C20 V5/V6和TL-MR6400 V7等型号。问题源于DHCP选项处理过程中验证不当,路由器未能对外部提供的DHCP选项数据进行清理。相邻攻击者可向未配置的目标设备发送特制DHCP响应,在设备初始化过程中触发未 5、Webmin修复可冒充任意用户的认证绕过漏洞 https://webmin.com/security/#webmin-prior-to-2641 Webmin发布2.641版本,修复三个安全漏洞,其中最严重的CVE-2026-56020允许未经身份验证攻击者冒充任意已配置用户。Webmin是运行在类Unix服务器上的网页管理面板,可管理用户、服务、DNS服务器和数据库等。已披露信息显示,CVE-2026-56020的CVSS评分为9.2,源于Webmin HTTP服务器miniserv.pl信任伪造HTTP标头,远程攻击者可伪造证书DN并绕过凭据完成身份验证。CVE-2026-56022涉及特制User-Agent标头使Webmin接受 6、Squidbleed漏洞可泄露其他用户HTTP请求内容 https://blog.calif.io/p/squidbleed-cve-2026-47729 安全研究人员披露,Squid代理服务器中的Squidbleed漏洞CVE-2026-47729可泄露其他用户HTTP请求内容,包括密码、会话令牌、授权标头、Cookie和API密钥等敏感信息。已披露信息显示,该漏洞位于Squid的FTP目录列表解析器中,相关代码可追溯至1997年。攻击者可让代理访问其控制的FTP服务器,随后返回在时间戳后立即结束的列表行,使解析逻辑读取字符串空字节之后的数据并越过缓冲区末尾。Squid随后会将陈旧堆数据复制到列表行中,被回收缓冲区中可能仍包含其他用户HTTP请 7、GitHub安全公告数据库处理量创新高,数量远超审核能力 https://www.freebuf.com/news/488258.html 2026年5月,GitHub安全公告数据库创下历史新高,发布了1560份经过审核的安全公告,达到月均处理量的五倍以上。尽管取得这一里程碑式进展,该平台仍难以应对快速增长的漏洞报告数量,反映出全球漏洞披露生态系统的重大转变。 8、Bluekit钓鱼工具包利用浏览器中间人攻击规避检测 https://hackread.com/bluekit-phishing-uses-browser-in-the-middle-attacks/ Bluekit钓鱼平台采用"浏览器中间人"技术,在黑客电脑加载真实登录页面并实时传输用户操作,绕过安全检测。其分层规避架构能区分人类与扫描器,提供流畅体验,极大增加识别难度,威胁用户账户安全。 9、新型Windows后门程序Mistic实现内存代码执行与凭证窃取 https://www.freebuf.com/articles/endpoint/488217.html 自2026年4月起,一种名为Mistic的新型Windows后门程序在企业网络中悄然扩散。该恶意软件通过完全在内存中执行载荷的方式实现持久化访问,不向硬盘写入任何恶意文件,使得传统依赖磁盘文件扫描的安全检测工具大面积失效。目前已在保险、教育、信息技术和专业服务等多个行业发现其攻击活动,攻击者表现出明显的机会主义特征而非针对特定行业。 10、新型 Claude Code 攻击可让攻击者完全控制开发者系统 https://www.freebuf.com/articles/ai-security/488116.html Mozilla 零日调查网络(0DIN)的研究人员展示了一种概念验证(PoC)攻击,表明看似完全无害的 GitHub 仓库可以欺骗 Claude Code 等 AI 编程 Agent,在开发者机器上悄无声息地开启反向 shell,而仓库中不会出现任何恶意代码行。这项发布于 2026 年 6 月 25 日的 PoC 攻击针对 Claude Code 等自主编程工具,利用了间接提示注入技术——该技术将恶意指令嵌入 AI Agent 处理的外部内容中,而非直接用户输入。 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年06月30日
1、微软移除119个StegoAd恶意Edge浏览器扩展 https://microsoftedge.github.io/edgevr/posts/Inside-StegoAd-How-We-Disrupted-a-Massive-Malicious-Extension-Campaign/ 微软官方警告并移除了Edge浏览器插件商店中119个恶意扩展程序,相关活动被称为StegoAd,涉及广告拦截器、VPN、翻译器和视频下载器等常见类型,总安装量上限约260万。已披露信息显示,这些扩展程序将恶意载荷隐藏在普通图片和字体文件中,早期变种在PNG图标中附加JavaScript代码,后续转向WebP图片和WOFF2字体文件。扩展安装后会延迟数天执行,并通 2、伪装PostCSS工具的npm包传播Windows远控木马 https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/ 安全研究人员披露,多个恶意npm包伪装成PostCSS相关工具,最终在Windows主机上部署远程访问木马。已识别包包括aes-decode-runner-pro、postcss-minify-selector和postcss-minify-selector-parser,均由同一npm用户在过去一个月内发布。已披露信息显示,相关包嵌入JavaScript投放器,会将PowerShell脚本写入磁盘并执行,随后从外部服务器下载下一阶段ZIP载荷。该ZI 3、Cordyceps漏洞导致300多个GitHub仓库面临风险 https://novee.security/blog/cordyceps/ 安全研究人员披露,一类被命名为Cordyceps的CI/CD工作流漏洞影响300多个高价值GitHub仓库,攻击者可劫持工作流并破坏开源供应链。已披露信息显示,研究人员扫描约3万个高影响力代码库,发现300多个仓库可被完全利用,可能导致攻击者控制代码执行、窃取凭证并破坏供应链。问题核心在于薄弱的CI/CD配置赋予拉取请求过多权限,使不受信任的PR可触发特权工作流,引发命令注入、权限提升或密钥泄露。受影响案例涉及微软、Google、Apache、Cloudflare和Python软件基金会等项目。相关组织在负责任披露 4、Lantronix EDS5000命令注入漏洞已被攻击利用 https://www.cisa.gov/news-events/alerts/2026/06/23/cisa-adds-four-known-exploited-vulnerabilities-catalog 美国网络安全机构CISA通报,Lantronix EDS5000系列设备中的严重漏洞CVE-2025-67038已被积极利用。已披露信息显示,该漏洞CVSS评分为9.8,属于代码注入问题,可能导致攻击者以提升权限执行任意命令。漏洞存在于HTTP RPC模块中,该模块在用户身份验证失败时执行Shell命令写入日志,但用户名被直接拼接到命令中,缺少清理措施,攻击者可在用户名参数中注入操作 5、用C++重写的Millenium RAT已感染全球160多个国家超6.2万台设备 https://www.freebuf.com/articles/endpoint/488050.html 一款名为Millenium RAT的远程访问木马正在全球范围内悄然传播,其感染规模令人震惊。目前已有超过160个国家的6.2万台设备遭到入侵,且感染速度未见减缓迹象。仅2026年第一季度就有超过3.9万台设备被感染,表明攻击活动正在持续扩大。该恶意软件最初由CYFIRMA在2023年11月的威胁报告中披露,当时版本号为2.4。如今已升级至第4版,技术架构完全重构,攻击能力显著增强,主要针对全球Windows设备。 6、“iPhone 26.5 Hacked”:俄语黑客组织兜售零点击移动端利用框架 https://www.freebuf.com/articles/487968.html 2026年6月27日,某地下论坛用户“MrUnKnownRoot”(注册于2026年2月28日,消息数229条,反应分82)发布了一则题为“iPhone 26.5 Hacked”的兜售帖,公开叫卖名为“ZeroDay c2”的iOS/Android全链漏洞利用框架。帖子附有演示视频,声称该工具可对iOS 13至26.5+全版本(覆盖所有芯片)及所有Android版本实施零点击攻击,无需受害者任何交互。表明背后可能为俄语系黑客组织。黑客提供多种服务模式,单月7500美元,半年15000美元,一年25000 7、Polymarket 第三方供应商遭入侵导致 294 万美元加密货币被盗 https://securityaffairs.com/194266/security/third-party-breach-at-polymarket-leads-to-2-94m-crypto-theft.html Polymarket因第三方供应商遭入侵被注入恶意代码,导致15个用户账户损失294万美元。攻击者将PUSD兑换为ETH转移。公司已控制事态并承诺全额赔偿,但未披露技术细节。此前还曝出伪造投注视频丑闻。 8、新型Gaslight macOS恶意软件利用提示注入干扰AI辅助分析 https://thehackernews.com/2026/06/new-gaslight-macos-malware-uses-prompt.html 朝鲜相关组织开发的Gaslight恶意软件利用Rust编写,针对macOS系统,通过伪造系统故障消息欺骗AI分析工具,采用Telegram bot API控制,支持六项核心指令窃取敏感数据,并动态隐藏配置信息。 9、巴西全国手机遭疑似网络攻击,虚假紧急警报大范围传播 https://hackread.com/cyberattack-sends-fake-emergency-alert-phones-brazil/ 巴西紧急警报系统遭黑客入侵,虚假"极端警报"引发全国混乱。调查发现系统安全漏洞严重:使用十年未改的简单密码、固定安全问答,缺乏基本验证措施。当局已强制关闭系统进行安全审查。 10、塔塔电子确认数据泄露事件,黑客称窃取630GB涉及苹果特斯拉的机密文件 https://securityaffairs.com/194237/data-breach/tata-electronics-confirms-data-breach-after-630gb-leak-claim-targets-apple-and-tesla.html 塔塔电子确认遭黑客入侵,630GB数据被窃,含苹果特斯拉机密文件,但未影响运营。黑客组织WorldLeaks勒索未果公开数据,塔塔已通知部分员工。该事件凸显供应链安全风险。 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年06月29日
1、新的MacOS ClickFix攻击静默挂载DMG传播AMOS木马 https://www.bleepingcomputer.com/news/security/new-macos-clickfix-attack-silently-mounts-dmgs-to-push-infostealer/ 安全研究人员披露,一项新的macOS ClickFix攻击活动利用终端命令静默下载、挂载并启动恶意DMG文件,以传播Atomic macOS Stealer信息窃取程序。已披露信息显示,攻击从伪造CAPTCHA页面开始,诱导用户打开终端并粘贴命令完成验证。命令执行后,会从攻击者控制服务器下载DMG文件,调用macOS原生hdiutil工具以不在Finder或桌面显示 2、印度塔塔Electronics公司确认发生数据泄露事件 https://www.bleepingcomputer.com/news/security/tata-electronics-confirms-cyberattack-as-hackers-leak-data/ Tata Electronics确认其部分IT基础设施遭遇网络安全事件,但表示各业务部门运营未受影响。已披露信息显示,该公司在数周前发现部分系统存在网络安全事件,并立即启动响应流程。Tata Electronics是印度塔塔集团旗下电子元件和半导体制造部门,生产和组装苹果iPhone及相关组件。该声明回应了World Leaks威胁组织泄露据称从Tata窃取数据的说法。泄露内容据称 3、LastPass确认在Klue供应链事件中泄露客户数据 https://blog.lastpass.com/posts/klue-supply-chain-incident-and-lastpass-response LastPass确认,在Klue供应链攻击中攻击者窃取Klue持有的OAuth令牌,并访问其Salesforce环境中包含客户数据的支持案例。已披露信息显示,LastPass于6月12日获悉Klue事件后启动调查,确认未经授权攻击者获得Klue为多家客户持有的OAuth令牌,并使用这些凭证访问LastPass Salesforce环境中的客户数据。LastPass表示,其产品、服务和基础设施未受影响,客户密码库仍然安全。可能泄露的数 4、FFmpeg修复MagicYUV解码器中PixelSmash漏洞 https://jfrog.com/blog/pixelsmash-critical-ffmpeg-vulnerability-turns-media-files-into-weapons/ 安全研究人员披露,FFmpeg中的PixelSmash漏洞CVE-2026-8461可在特定条件下导致远程代码执行或拒绝服务。该漏洞存在于MagicYUV解码器中,属于堆越界写入问题,严重性评分为8.8,可通过恶意AVI、MKV或MOV视频文件触发。已披露信息显示,漏洞源于MagicYUV切片处理逻辑中,帧分配器与解码器计算色度平面高度方式不一致。使用libavcodec的视频处理应用可能受影响,触发场 5、GitBait钓鱼活动借GitHub攻击墨西哥银行用户 https://www.group-ib.com/blog/gitbait-phishing-mexico-banking-finance/ 安全研究人员披露,名为GitBait的长期钓鱼活动利用GitHub Pages和SheetBest API攻击墨西哥金融行业,已影响至少12家机构,并持续约3年。已披露信息显示,攻击者在GitHub Pages上托管克隆的银行登录页面,每个页面模仿一家真实墨西哥银行门户。受害者可能通过短信、即时通讯应用、电子邮件或社交媒体中的欺诈链接进入仿冒页面。用户输入个人信息后,页面脚本拦截表单内容,并通过SheetBest API将被盗数据实时写入攻击者控制的G 6、AVer PTC摄像头严重漏洞可导致远程代码执行 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-01 美国网络安全机构CISA发布工业控制系统安全公告,披露AVer PTC摄像头存在严重漏洞CVE-2026-40624。已披露信息显示,该漏洞CVSS评分为9.8,影响PTC500S、PTC115、PTC500+和PTC115+等型号的所有固件版本。问题源于输入验证不当,并被映射到CWE-552,即文件暴露给外部方。远程未经身份验证攻击者可向摄像头Web管理界面发送特制请求,导致摄像头运行攻击者提供的代码。相关摄像头常用于政府机构、医疗机构和商业设施,并可能与会议基础设 7、F5紧急修复NGINX两个严重代码执行漏洞 https://www.bleepingcomputer.com/news/security/f5-issues-out-of-band-patches-for-critical-nginx-vulnerabilities/ F5发布紧急安全更新,修复多个NGINX Web服务器漏洞,其中包括两个严重漏洞CVE-2026-42530和CVE-2026-42055。已披露信息显示,CVE-2026-42530存在于ngx_http_v3_module中,CVE-2026-42055存在于ngx_http_proxy_v2_module和ngx_http_grpc_module中,未经身份验证的 8、Klue OAuth漏洞攻击扩大至多家Salesforce客户 https://klue.com/blog/an-update-on-recent-klue-security-incident 市场情报平台Klue确认发生安全事件,攻击者窃取用于连接客户Salesforce环境的OAuth令牌,多个已连接客户环境中的数据遭访问。已披露信息显示,Klue于6月12日发现部分集成基础设施出现未经授权活动,调查认为攻击者通过与集成服务相关的被盗旧版凭证获得访问权限,并利用该访问权限获取连接第三方平台的OAuth令牌。Klue称目前没有证据表明直接存储在Klue平台中的客户内容受到影响,事件限于第三方集成。Icarus勒索组织已公开声称对事件负责。受影响或披露受 9、CISA警告Fortinet用户加强FortiBleed设备安全 https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure 美国网络安全机构警告Fortinet用户保护设备安全,此前FortiBleed数据泄露事件暴露近74000个防火墙和VPN凭据。已披露信息显示,攻击者利用被盗凭证攻击全球政府和私营部门组织中可通过互联网访问的Fortinet设备。泄露数据涉及约73932个防火墙URL,包含用户名、电子邮件地址和明文密码,并覆盖21632个独立域和194个国家或地区。 10、Edge浏览器恶意扩展借原生消息协议部署后门 https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution 安全研究人员披露,名为Edgecution的恶意Microsoft Edge扩展被用于勒索软件相关攻击,通过滥用Chrome原生消息传递协议逃离浏览器沙箱,并部署基于Python的后门。已披露信息显示,攻击始于攻击者在Microsoft Teams上冒充IT支持人员,以安装垃圾邮件过滤器更新为幌子,将员工引导至伪造Microsoft更新页面。页面中的按钮可下载恶 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年06月26日
1、ShapedPlugin插件供应链攻击在更新时传播后门 https://www.wordfence.com/blog/2026/06/psa-supply-chain-compromise-targets-shapedplugin-backdoored-pro-plugins-distributed-via-official-channels/ ShapedPlugin多款WordPress付费插件在供应链攻击中遭到入侵,受感染版本通过供应商官方更新系统分发给客户。已披露信息显示,事件影响Product Slider Pro for WooCommerce 3.5.4之前版本、Real Testimonials Pro 3.2.5版本和Smart 2、AryStinger僵尸网络感染全球数千台D-Link路由器 https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks-en/ 安全研究人员披露,此前未记录的AryStinger僵尸网络已入侵全球4000多台过时路由器,并将受感染设备变成恶意流量代理。已披露信息显示,AryStinger主要针对D-Link DIR-850L和DIR-818LW等停产路由器,利用CVE-2013-3307、CVE-2016-5681和CVE-2025-11837等旧漏洞入侵设备。该恶意软件可将设备变为远程控制的执行器,用于扫描、代理、隧道、命令执行和 3、Prinz Eugen勒索软件优先加密用户最新修改文件 https://www.threatdown.com/blog/prinz-eugen-ransomware-a-deep-dive-into-a-new-go-based-encryptor/ 安全研究人员披露,新型Prinz Eugen勒索软件会优先加密最近修改过的文件,并且不会在系统中留下勒索信息。已披露信息显示,攻击者采用手动键盘操作方式,并偏好使用合法远程监控和管理软件以及本地部署工具。研究人员认为,初始访问很可能通过被窃RDP凭据实现,随后攻击者手动下载并执行主要载荷servertool.exe。该基于Go语言的勒索软件会递归检查目录,不设置深度限制或排除项,并加密几乎所有未带. 4、苹果Beats Studio Buds芯片漏洞可被用于窃听 https://support.apple.com/en-us/127557 Apple发布Beats固件更新1B211,修复影响Beats Studio Buds无线耳机的严重漏洞CVE-2025-20701。已披露信息显示,该漏洞存在于Airoha系统芯片中,源于蓝牙BR/EDR无线电缺少身份验证弱点。攻击者在蓝牙范围内可能通过尚未配对且正在主动寻求配对请求的设备麦克风进行监听。研究人员曾创建概念验证利用程序,可发起呼叫并窃听目标手机附近范围内的对话。若与同一组件中的CVE-2025-20700和CVE-2025-20702串联,攻击者还可在劫持手机与配对蓝牙音频设备之间连接后,使用蓝牙 5、CISA警告Splunk Enterprise漏洞已被攻击利用 https://www.bleepingcomputer.com/news/security/cisa-splunk-enterprise-flaw-actively-exploited-patch-by-sunday/ 美国网络安全机构通报,Splunk Enterprise严重漏洞CVE-2026-20253已被攻击者利用,并要求联邦机构在规定期限内完成处置。已披露信息显示,该漏洞影响Splunk Enterprise 10.2.0至10.2.3版本和10.0.0至10.0.6版本,允许无权限远程攻击者通过PostgreSQL sidecar服务端点在易受攻击设备上创建或截断任意文件。S 6、任天堂确认TinyPulse服务数据被攻击者窃取 https://www.bleepingcomputer.com/news/security/nintendo-confirms-data-stolen-in-webmd-subsidiary-cyberattack/ 美国任天堂确认,攻击者从其内部使用的第三方TinyPulse服务中窃取调查数据,但任天堂自身系统未被入侵。已披露信息显示,TinyPulse是员工参与度和反馈平台,用于匿名调查、参与度分析、反馈收集和工作场所文化评估。任天堂表示,事件涉及的数据仅限于少数员工的部分内部调查内容,且大部分信息可追溯至几年前,未涉及客户个人数据或财务数据。名为Shadowbyt3$的勒索服务组织声 7、Chrome 149安全更新:修复可导致代码执行攻击的高危漏洞 https://cybersecuritynews.com/chrome-149-security-update/ 谷歌Chrome紧急更新修复18个安全漏洞,含4个高危漏洞,涉及WebGL、自动填充等组件,可能导致代码执行攻击。建议用户立即更新至149.0.7827.196/197版本以防范风险。 8、思科Catalyst SD-WAN 0Day漏洞在披露前数月遭利用 https://securityaffairs.com/194200/hacking/cisco-catalyst-sd-wan-zero-day-cve-2026-20245-exploited-months-before-disclosure.html 思科Catalyst SD-WAN漏洞(CVE-2026-20245)被黑客提前两个月利用,通过特制文件执行root命令。攻击者利用管理员权限或窃取凭证,隐蔽篡改设备配置。该漏洞影响所有部署模式,凸显边缘设备安全风险,需加强防护。 9、恶意 Chrome 扩展利用原生消息主机执行 PowerShell 命令 https://cybersecuritynews.com/malicious-chrome-extension-uses-native-messaging-host/ 新型钓鱼攻击通过伪装发票邮件传播恶意JS文件,利用Chrome扩展与原生消息主机组合建立持久后门,窃取cookie并远程控制Windows系统。建议审核Chrome策略、检查Native Messaging注册及清除泄露凭据。 10、OpenClaw Skill 市场暴露 AI Agent 供应链恶意软件与金融欺诈风险 https://cybersecuritynews.com/openclaw-skill-marketplace-exposes-ai-agents/ OpenClaw AI Agent市场遭恶意skills攻击,窃取数据并实施金融欺诈。攻击者利用深度访问权限绕过检测,伪装合法工具推送恶意代码。建议验证来源、审计文件并监控流量,防范供应链威胁。 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年06月25日
1、USB蠕虫通过快捷方式传播加密货币窃密软件 https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/ 安全研究人员披露,一项至少自2月以来持续的攻击活动通过USB驱动器上的LNK快捷方式文件传播自我复制型剪贴板窃取恶意软件,并利用Tor网络隐藏通信。已披露信息显示,感染始于受害者打开U盘中的LNK文件,触发本地恶意软件执行,其他载荷则来自.onion地址。恶意软件会扫描系统文档文件,隐藏原始文件,并以同名恶意快捷方式替换,使用户尝试打开文档 2、欧洲刑警执法部门清理近1.5万个SocGholish感染网站 https://www.politie.nl/en/news/2026/juni/18/11-international-law-enforcement-initiate-hunt-on-malware-group-socgholish.html 国际执法机构清理了近15000个感染SocGholish恶意软件的WordPress网站,并关闭100多台与SocGholish僵尸网络和Evil Corp相关的服务器。已披露信息显示,此次行动由欧洲刑警组织和欧洲司法组织支持,是“终局行动”的一部分,目标是破坏与Evil Corp有关的关键感染链。荷兰、加拿大、美国和德国执法部门从14971个受感 3、Gentlemen勒索软件使用GentleKiller禁用EDR防御 https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/ 安全研究人员披露,Gentlemen勒索软件即服务正在开发和维护一套端点检测与响应拦截工具,用于帮助关联方规避攻击检测。已披露信息显示,该团伙最常用的定制工具被称为GentleKiller,至少存在8个变种,可伪装成卡巴斯基、Valorant、Javelin和WatchDog等合法安全产品。GentleKiller通过自带易受攻击驱动程序技术获取内核级权限,再终止安全工具进程。不同变 4、Gravity SMTP漏洞被利用泄露WordPress站点凭据 https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-sensitive-information-exposure-vulnerability-in-gravity-smtp-plugin/ 安全研究人员披露,WordPress插件Gravity SMTP中的未经身份验证信息泄露漏洞CVE-2026-4020正被攻击者利用。该插件在约10万个网站上启用,漏洞影响2.1.4及更早版本,并已在3月17日发布的2.1.5版本中修复。已披露信息显示,问题源于插件暴露的REST API端点,其permission_ca 5、德州政府供应商数据泄露影响300万份用户信息 https://www.bleepingcomputer.com/news/security/texas-govt-data-breach-exposes-over-3-million-drivers-licenses/ 德克萨斯州公园和野生动物管理局披露,其许可证系统供应商发生数据泄露事件,导致超过300万人的个人信息暴露。已披露信息显示,德克萨斯州网络司令部发现此次入侵并启动调查。调查认为,社会安全号码、出生日期和信用卡等财务信息未受影响,但攻击者可能获取与3087721名狩猎和钓鱼许可证客户相关的驾驶执照信息、护照号码、电子邮件地址、电话号码和住宅地址。该机构表示,没有证据显示18岁以 6、Windows系统六月更新导致回收站删除提示异常 https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2025#deleting-a-file-from-the-recycle-bin-displays-an-internal-filename-in-the-dialog Microsoft确认,2026年6月Windows安全更新引入一个回收站显示问题,用户从回收站永久删除单个项目时,确认对话框会显示内部回收站文件名,而不是原始文件名。已披露信息显示,回收站本身仍会正确显示原始文件名,恢复项目时也会使用原始文件名。受影响版本包括Win 7、三星KNOX内核UAF漏洞危及数百万Galaxy设备安全 https://www.freebuf.com/articles/system/487364.html 研究人员在三星KNOX安全框架中发现一个高危内核漏洞(CVE-2026-20971),该漏洞存在于PROCA与FIVE两个内核子系统的交互过程中,可导致内存释放后重用(UAF)问题。三星已于2026年1月发布补丁修复此漏洞。 8、libssh2 远程代码执行漏洞PoC 利用代码已公开 https://www.freebuf.com/articles/system/487514.html 针对关键 libssh2 远程代码执行漏洞(CVE-2026-55200)的概念验证(PoC)利用代码已公开,这将显著增加未打补丁系统遭受实际攻击的风险。该漏洞影响 libssh2 1.11.1 及更早版本,问题出在客户端解析传入 SSH 数据包的 ssh2_transport_read() 函数中。漏洞代码路径在使用攻击者可控的 packet_length 字段进行解密数据包分配大小计算时,未能强制执行上限检查。 9、Dify平台漏洞可跨租户窃听AI数据 超百万应用受影响 https://www.freebuf.com/articles/ai-security/487333.html 研究团队发现四个安全漏洞,其中包含两个关键漏洞(CVE-2026-41947,CVSS 9.1)和(CVE-2026-41948,CVSS 9.4)。其中三个漏洞可导致Dify多租户云部署环境遭受跨租户攻击,使攻击者能够访问其他客户的数据。最严重的漏洞允许攻击者在未经租户验证的情况下,直接配置受害者应用程序的追踪功能。利用此漏洞,攻击者可完整获取包括用户提问和模型响应在内的全部聊天记录,从而建立持久的数据外泄通道。 10、针对FortiGate防火墙的FortiBleed攻击窃取了超过 1.1 亿个凭证 https://thehackernews.com/2026/06/fortibleed-targeted-fortigate-firewalls.html 一系列名为 FortiBleed 的大规模凭证窃取行动的幕后黑手,该行动已在全球范围内针对超过 43 万台 FortiGate 防火墙。攻击者据估计在 2026 年 5 月 31 日至 6 月 15 日期间至少启动了 659 个凭证收集管道,导致识别出超过 1.1 亿个凭证 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年06月24日
1、OXLOADER加载器通过恶意谷歌广告传播窃密软件 https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer 安全研究人员披露,代号REF8372的攻击活动通过此前未公开的OXLOADER加载器传播CastleStealer信息窃取恶意软件。已披露信息显示,攻击者利用恶意Google广告作为入口,诱导搜索Node.js LTS版本的用户访问仿冒网站,并从Storj去中心化云存储平台获取批处理脚本。脚本运行后会显示伪装安装界面,同时通过PowerShell下载下一阶段OXLOADER载荷,并触发Windows用户账户控制提示。随后攻击链利用DLL侧加载启动恶 2、Mastra供应链攻击活动与朝鲜BlueNoroff组织有关 https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/ 安全研究人员披露,导致140多个Mastra相关npm包受损的供应链攻击归因于朝鲜相关组织Sapphire Sleet,该组织也被称为BlueNoroff。已披露信息显示,攻击者入侵npm维护者账户ehindero,该账户拥有Mastra包环境发布权限,随后在@mastra作用域内发布超过140个软件包的恶意更新,并注入名为easy-day-js的恶意依赖 3、DragonForce勒索软件借微软Teams中继隐藏C2流量 https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor 安全研究人员披露,DragonForce勒索软件在攻击一家美国大型服务公司时,使用名为Backdoor.Turn的自定义后门,将命令与控制流量隐藏在Microsoft Teams使用的TURN中继基础设施中。DragonForce至少自2023年以来活跃,并被描述为采用卡特尔式组织结构。已披露信息显示,Backdoor.Turn是一款基于Go语言的远程访问木马,可获取匿名Teams访问者令牌,在连接建立过程中使用合法Microsoft TURN中 4、苹果usbliter8安全漏洞可破坏A12和A13启动链 https://ps.tc/pages/blog-usbliter8.html 安全研究人员公开名为usbliter8的漏洞利用程序,可在Apple A12和A13芯片SecureROM中执行任意代码。已披露信息显示,SecureROM代码在制造过程中烧录进芯片,无法通过软件更新修复。该漏洞并非远程攻击,需要物理接触目标设备,将设备置于DFU模式,并通过USB连接到专用RP2350微控制器板。公开概念验证支持A12、A13、S4和S5 SoC,涉及iPhone XS系列、iPhone 11系列、第二代iPhone SE、部分iPad、Apple Watch Series 4/5、第一代App 5、开源安全平台Wazuh满分风险漏洞验证代码已公开 https://securityonline.info/wazuh-cvss-10-vulnerability/ 开源安全平台Wazuh被披露存在CVSS 10级严重漏洞,完整技术细节和概念验证代码已公开。已披露信息显示,该漏洞影响wazuh-manager 5.0.0-beta1及更高版本,4.x分支不受影响。问题存在于Wazuh 5.0库存管道,该管道将代理提供的flatbuffer字段DataValue.index直接转发到OpenSearch批量请求体中,未进行必要转义。经过认证的终端可借此向后端数据库查询中插入未经授权的OpenSearch批量操作。由于默认安装中相关请求使用映射到 6、SimpleHelp软件漏洞可创建特权远程支持账户 https://horizon3.ai/attack-research/disclosures/cve-2026-48558-simplehelp-authentication-bypass-iocs/ SimpleHelp远程管理软件被披露存在CVE-2026-48558漏洞,未经身份验证的攻击者可利用OpenID Connect身份验证流程在服务器上创建特权技术人员账户。已披露信息显示,该漏洞影响SimpleHelp 5.5.15及更早版本,以及6.0预发布版本,严重级别为严重。问题源于软件对OIDC身份提供商返回身份断言的验证方式。启用OIDC身份验证后,攻击者可创建新的技术员用户并登 7、苏州银行因网络安全、数据安全等问题被罚 https://www.secrss.com/articles/91556 6月18日,中国人民银行江苏省分行发布的行政处罚信息显示,苏州银行因“违反账户管理规定;违反收单管理规定;违反网络安全管理规定;违反数据安全管理规定;违反人民币流通管理规定;违反反假货币业务管理规定;占压财政存款或者资金;违反信用信息采集、提供、查询及相关管理规定;未按照规定开展客户尽职调查;未按照规定保存客户身份资料和交易记录;未按照规定报告可疑交易”等11项违法行为,被警告、通报批评,被没收违法所得399480.86元,并被罚款721.02万元。 8、特朗普行政令启动后量子密码强制迁移 https://www.secrss.com/articles/91549 美国总统特朗普6月22日签署题为“保护国家免遭高级密码攻击”的第14409 号行政命令,从政策引导、机制建设、路径规划、责任矩阵和采购保障等五个维度做出全面战略部署,责成联邦政府及承包商加快后量子密码迁移,以提升美国的网络安全防御能力。 9、战胜Mythos 5,OpenAI安全专用GPT-5.5-Cyber发布 https://www.secrss.com/articles/91564 OpenAI 宣布扩展 Daybreak 安全计划,推出更新版 GPT-5.5-Cyber、Codex Security 插件、Daybreak Cyber Partner Program,以及面向开源生态的 Patch the Planet 计划等。其中最受关注的,是 GPT-5.5-Cyber 完整版的发布。OpenAI 称,更新后的 GPT-5.5-Cyber 在 CyberGym 上取得 85.6% 的成绩,高于 GPT-5.5 的 81.8%。这一成绩也超过了 Anthropic Mythos 5 的 83 10、高危FFmpeg漏洞可使攻击者将媒体文件变成攻击工具 https://cybersecuritynews.com/ffmpeg-vulnerability-weaponize-media-files/ FFmpeg的MagicYUV解码器存在高危漏洞(CVE-2026-8461),攻击者可通过恶意媒体文件实现远程代码执行,影响广泛应用程序。漏洞源于堆越界写入,CVSS评分8.8。建议升级FFmpeg或禁用MagicYUV解码器缓解风险。 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年06月23日
1、AutoJack漏洞链可诱导AI代理本地执行恶意代码 https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent/ 安全研究人员披露名为AutoJack的漏洞利用链,可将AI浏览代理变成远程代码执行载体。已披露信息显示,该问题存在于AutoGen Studio的部分预发布版本中,攻击者可诱导代理加载恶意网页,网页JavaScript随后访问同一主机上的特权本地服务,并在运行AutoGen Studio的账户下生成进程。该攻击不需要凭据、登录界面或用户在页面加载后的额外交互,只需要让代理打开攻击者页面 2、CISA要求Fortinet用户加固FortiBleed设备安全 https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure 美国网络安全机构CISA警告Fortinet用户保护设备安全,此前FortiBleed数据泄露事件暴露近74000个防火墙和VPN凭据。已披露信息显示,攻击者利用被盗凭证攻击全球政府和私营部门组织中可通过互联网访问的Fortinet设备。泄露数据涉及约73932个防火墙URL,包含用户名、电子邮件地址和明文密码,并覆盖21632个独立域和194个国家 3、俄罗斯软件公司Astral遭网络攻击业务服务中断 https://astral.ru/aj/elem/khakerskaya-ataka-na-servisy-gk-astral/ 俄罗斯软件公司Kaluga Astral表示,其本月早些时候遭受网络攻击,导致多项服务中断约一周,影响依赖其软件进行税务申报、电子文档管理和其他业务运营的客户。该公司开发电子文档管理软件、政府机构数字报告系统和网络安全产品,客户包括政府机构、银行和大型国有企业。已披露信息显示,受影响服务导致部分客户收银机操作中断、受管制商品销售困难、客户门户和公司电子邮件访问异常,以及电子人力资源文档管理系统和数字证书认证问题。公司称,由于俄罗斯政府机构参与调查,无法公开评论攻 4、Haskell TLS库严重验证漏洞可接受伪造证书 https://kb.cert.org/vuls/id/862559 CERT/CC发布警告称,Haskell crypton-x509-validation库存在严重漏洞CVE-2026-9648,可能导致TLS客户端接受超出授权范围的证书。已披露信息显示,该漏洞CVSS评分为9.1,核心问题是受影响库未强制执行X.509 NameConstraints检查。NameConstraints用于限制证书颁发机构可覆盖的域名范围,而受影响Haskell库在验证证书时忽略该机制。攻击者若攻破名称受限的子证书颁发机构,可为未被授权的域名颁发证书,并诱导Haskell客户端连接恶意服务器。成功攻击可 5、FreeSWITCH协议栈堆溢出漏洞可导致RCE攻击 https://securityonline.info/freeswitch-heap-buffer-overflow-cve-2026-49841/ 开源电信协议栈FreeSWITCH官方修复两个严重安全漏洞,均为身份验证前堆缓冲区溢出问题。已披露信息显示,CVE-2026-49841影响mod_verto HTTP请求处理程序,CVSS评分为9.8;CVE-2026-49840影响libesl库,CVSS评分为9.1。mod_verto漏洞源于处理HTTP POST请求体时固定缓冲区与可接受Content-Length长度不匹配,攻击者无需凭据即可在基本身份验证检查前触发溢出。libes 6、LiteSpeed cPanel插件漏洞已被攻击利用提升权限 https://blog.litespeedtech.com/2026/06/01/security-update-for-litespeed-cpanel-plugin-2/ LiteSpeed cPanel插件权限提升漏洞CVE-2026-54420已被实际利用。已披露信息显示,该漏洞存在于LiteSpeed cPanel插件2.4.8之前版本中,攻击者可在运行CloudLinux/CageFS的共享主机服务器上,利用对用户提供符号链接处理不当的问题,从低权限账户提升至root权限。该漏洞CVSS评分为8.5,已于2026年5月被利用。由于共享主机服务器通常承载多个租户,单个低权限用户账 7、Mythos AI 模型据报数小时内攻破 NSA 机密系统 https://cybersecuritynews.com/anthropics-mythos-ai-model/ Anthropic的Mythos AI模型数小时内渗透NSA机密系统,促使美国首次对AI模型实施出口管制,引发国际盟友不满。Anthropic辩称仅为代码修复行为,正寻求恢复访问并与政府协商风险管理框架。 8、黑客入侵 GitHub 上万个代码库植入恶意软件 https://cybersecuritynews.com/hackers-github-malicious-script/ GitHub 平台现大规模恶意软件传播,超 1 万个代码库被克隆植入木马 ZIP 链接,攻击者伪造提交历史规避检测,平台被动响应难阻持续威胁,凸显自动化检测局限与开发者验证下载源的重要性。 9、新型iPhone BootROM漏洞导致苹果SoC面临完整信任链沦陷风险 https://cybersecuritynews.com/iphone-bootrom-vulnerability/ 苹果A12/A13/S4/S5芯片存在不可修复的BootROM漏洞usbliter8,利用USB控制器缺陷实现完整启动链攻陷,可执行任意代码并绕过安全启动。仅硬件升级可彻底防御,旧设备无软件修复方案。 10、Splunk AI Toolkit曝高危漏洞可远程执行任意系统命令 https://www.anquanke.com/post/id/315618 最近,AI安全领域再次响起警报。全球知名安全运营平台Splunk披露,其AI Toolkit组件存在一个严重安全漏洞,攻击者一旦成功利用,可直接在目标服务器上执行任意操作系统命令,甚至进一步控制整个安全运营环境。漏洞编号为CVE-2026-20266,CVSS评分高达9.1分,影响Splunk AI Toolkit 5.7.4之前的所有版本。 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年06月22日
1、思科发布更新修复SD-WAN vManage权限提升漏洞 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-arbfw-c2rZvQ Cisco发布安全更新,修复Catalyst SD-WAN Manager漏洞CVE-2026-20262,该漏洞已被攻击者利用来提升至root权限。Catalyst SD-WAN Manager原名SD-WAN vManage,用于从单个控制面板管理SD-WAN设备。已披露信息显示,该漏洞影响所有部署类型,包括本地部署、Cisco SD-WAN Cloud-Pro、Cisco SD 2、Infinite Campus数据泄露影响13万学校员工账户 https://haveibeenpwned.com/Breach/InfiniteCampus Infinite Campus披露,其Salesforce实例在3月遭数据盗窃攻击,超过137000个学校员工账户个人信息受到影响。该公司为全美3200多个学区提供K-12学生信息系统,管理46个州约1100万名学生的数据。已披露信息显示,攻击者目标为Infinite Campus Salesforce实例,其中包含学校员工姓名、联系方式及其他公开目录类信息。数据泄露通知服务分析泄露数据后称,相关数据包含137100个账户,字段包括唯一姓名、电子邮件地址、雇主、职位、电话号码、实际地址、用户名和 3、phpBB修复存在十年的论坛账户身份认证绕过漏洞 https://www.aikido.dev/blog/phpbb-authentication-bypass-rce phpBB论坛软件修复一个存在约10年的身份验证绕过漏洞,该漏洞可被攻击者用于以任意用户身份登录,包括管理员账户。已披露信息显示,该漏洞尚无标识符,只需一次HTTP请求即可利用,影响phpBB 4.0.0-a2或3.3.16及更低版本。相关问题于6月2日被发现并报告,phpBB于6月6日在3.3.17版本中修复。该漏洞在默认配置下即可触发,不需要特殊配置。管理员权限可能使攻击者查看论坛中的私人消息,创建、修改或删除内容和用户账户,冒充工作人员或篡改网站。由于管理员控制面板还 4、Chrome浏览器零日漏洞CVE-2026-11645已被利用 https://www.bleepingcomputer.com/news/security/google-patches-fifth-chrome-zero-day-bug-exploited-in-attacks-this-year/ 官方发布紧急更新,修复Chrome浏览器中已被利用的零日漏洞CVE-2026-11645。已披露信息显示,该漏洞源于V8 JavaScript引擎中的越界读取和写入问题,远程攻击者可通过特制HTML页面在浏览器沙箱内执行任意代码。成功利用后,攻击者可通过堆损坏访问内存缓冲区之外的数据,导致敏感信息暴露或浏览器崩溃,并可辅助绕过ASLR等保护机制。该漏洞修复 5、欧洲刑警组织捣毁AudiA6加密货币洗钱服务 https://www.europol.europa.eu/media-press/newsroom/news/ransomware-gangs-cut-eur-336-million-audia6-crypto-laundering-pipeline 欧洲刑警组织披露,执法部门捣毁名为AudiA6的加密货币服务,该服务被指被勒索软件攻击者和其他网络犯罪分子用于洗钱超过3.8亿美元。已披露信息显示,该平台在2022年至2025年期间充当中央洗钱中心,并与超过15起国际勒索软件攻击和大规模加密货币盗窃案件有关。该服务以专业加密货币混合服务名义销售,实际接受网络犯罪所得,通过复杂交易路线转移资金 6、Mastra npm包供应链攻击涉及144个软件包 https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/ 安全研究人员披露,Mastra命名空间下多达144个npm包遭到入侵,事件属于代号easy-day-js的软件供应链攻击。Mastra是用于构建AI应用的开源JavaScript和TypeScript框架。已披露信息显示,一个曾拥有Mastra发布权限的npm账户在2026年6月17日短时间内批量发布140多个恶意版本,受感染软件包本身不直接包含恶意代码, 7、Agentjacking攻击可诱导AI编码代理运行恶意代码 https://tenetsecurity.ai/blog/agentjacking-coding-agents-with-fake-sentry-errors/ 安全研究人员披露一种名为Agentjacking的攻击,可通过伪造错误报告诱导AI编码代理在开发者机器上运行任意代码。已披露信息显示,该攻击利用错误跟踪平台事件摄取机制与MCP服务器之间的信任关系,将精心构造的输入注入错误事件,再由Claude Code和Cursor等编码代理解释为合法诊断解决步骤。攻击者首先获取公开嵌入网站中的Sentry数据源名称,再向摄取端点发送恶意错误事件。开发者要求AI代理修复未解决问题时,代理通过MC 8、Langflow路径遍历漏洞被攻击利用写入恶意文件 https://www.tenable.com/security/research/tra-2026-26 AI开发平台Langflow中的高危路径遍历漏洞CVE-2026-5027正被攻击者利用,用于在暴露服务器上写入任意文件。Langflow是开源可视化平台,用于通过拖放界面构建AI应用、AI代理、检索增强生成系统和基于MCP的工作流。已披露信息显示,该漏洞存在于文件上传功能中,POST /api/v2/files端点未正确清理multipart表单数据中的filename参数,攻击者可通过路径遍历序列将文件写入文件系统任意位置。由于Langflow默认启用未经身份验证的自动登录,攻击者 9、朝鲜UNK_DeadDrop攻击活动冒充开发者工具传播木马 https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal 安全研究人员披露,朝鲜相关攻击活动UNK_DeadDrop以招聘开发人员、代码审查和技术项目为主题,对金融、加密货币、教育、科技等行业近100家机构发起钓鱼攻击。已披露信息显示,攻击邮件包含指向攻击者控制GitHub存储库的链接,这些存储库伪装成技术作业或加密货币项目,诱导目标克隆代码并在VS Code或Cursor中打开。相关项目采用“runOn: fo 10、GitHub宣布增强npm安装安全应对供应链攻击 https://github.blog/changelog/2026-06-09-upcoming-breaking-changes-for-npm-v12/ GitHub宣布,预计下月发布的npm v12将引入多项安全变更,以限制供应链攻击中常被滥用的npm install行为。已披露信息显示,从版本12开始,除非明确批准,npm install将不再运行依赖项中的preinstall、install或postinstall脚本,也不再默认执行node-gyp触发的原生模块构建,或Git、本地文件和链接依赖项中的prepare脚本。除非明确允许,npm install也不会从Git仓库或远 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。