whoAMI攻击利用Amazon AMI名称混淆入侵AWS账户
发布时间 2025-02-141. whoAMI攻击利用Amazon AMI名称混淆入侵AWS账户
2月13日,安全研究人员发现了一种名为“whoAMI”的攻击方式,该攻击允许任何发布具有特定名称的Amazon系统映像(AMI)的人访问Amazon Web服务帐户。此攻击由DataDog研究人员于2024年8月策划,通过利用软件项目检索AMI ID在AWS账户内执行代码。亚马逊确认该漏洞并于9月发布修复程序,但部分未更新代码的组织仍面临风险。whoAMI攻击利用了AWS环境中AMI选择配置的错误,如未指定所有者、使用通配符代替特定AMI ID或使用“most_recent=true”等实践,使得攻击者能插入恶意AMI。攻击者只需发布一个名称符合可信所有者模式的AMI,用户就可能选择并启动它。DataDog的遥测数据显示,约1%的组织易受攻击,可能影响数千个AWS账户。亚马逊已修复该问题并推出“允许的AMI”新安全控制,建议客户始终指定AMI所有者并启用该功能。此外,Terraform也开始警告未使用所有者过滤器的情况,并计划实施更严格的执行。系统管理员需审核配置并更新代码以实现安全的AMI检索,同时启用AWS审计模式检查不受信任的AMI。DataDog还发布了扫描程序供用户检查AWS账户中是否存在不受信任的AMI实例。
https://www.bleepingcomputer.com/news/security/whoami-attacks-give-hackers-code-execution-on-amazon-ec2-instances/
2. Doxbin数据大泄露:Tooda黑客组织曝光13.6万用户记录及黑名单
2月13日,Doxbin是一个涉及网络人肉搜索和个人信息泄露的臭名昭著平台,近期被一个名为Tooda的黑客组织攻陷,导致大量用户数据泄露。据Hackread.com报道,Tooda组织声称此次攻击是对其中一名成员指控的回应,他们破坏了Doxbin的基础设施,清除了用户帐户,锁定了管理员,并泄露了运营该平台人员的个人信息。泄露的数据包括超过136,000条用户记录,如ID、用户名和电子邮件地址,以及一个名为“Doxbin黑名单”的文件,该文件收集了已付费阻止信息发布在Doxbin上的人员信息。此外,Tooda还发布了据称属于Doxbin管理员River(真名Paula)的详细个人数据。这次数据泄露对Doxbin用户来说极为危险,即使只有用户名和电子邮件地址泄露,这些信息也可能与其他泄密信息交叉引用,导致身份追踪和现实世界的联系被发现。目前,Doxbin处于离线状态,此次事件进一步表明,即使是恶意平台也可能受到竞争对手的攻击,Doxbin用户面临暴露风险。
https://hackread.com/doxbin-data-breach-hackers-leak-user-records-blacklist-file/
3. Zacks Investment Research疑遭1200万账户数据泄露
2月13日,Zacks Investment Research(Zacks)是一家提供数据驱动投资见解的美国公司,在2024年6月疑似遭遇了数据泄露事件,导致大约1200万个账户的敏感信息被泄露。这些信息包括全名、用户名、电子邮件地址、实际地址和电话号码等。一名威胁行为者在黑客论坛上发布了数据样本,并声称对Zacks进行了入侵。尽管Zacks尚未回应关于数据真实性的询问,但泄露的数据库已被添加到Have I Been Pwned(HIBP)网站上供用户检查。HIBP确认该文件包含1200万个唯一电子邮件地址等信息,并指出约93%的泄露电子邮件地址已存在于其数据库中,可能来自过去对同一平台或其他服务的入侵。如果此次数据泄露被证实为新黑客攻击的结果,这将是过去四年内影响Zacks的第三次重大数据泄露事件。此前,Zacks已在2023年1月披露了一次涉及820,000名客户敏感信息的泄露事件,并在2023年6月被HIBP验证了一个包含880万使用Zacks服务个人信息的单独数据库泄露。值得注意的是,此次泄露事件尚未得到Zacks的官方证实。
https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/
4. Astaroth网络钓鱼工具包:新型攻击方式可绕过2FA窃取登录凭证
2月13日,一种名为Astaroth的新型高级网络钓鱼工具包已出现在网络犯罪网络中,它通过反向代理、实时凭证捕获和会话劫持技术,能够绕过双因素身份验证(2FA),窃取Gmail、Yahoo和Microsoft等服务的登录凭证。Astaroth使用恶意服务器作为受害者和合法网站之间的中介,拦截并操纵流量,实时捕获登录凭据、身份验证令牌和会话cookie。攻击者可以通过Web面板界面和Telegram通知实时接收捕获的信息。该工具包通过Telegram出售,并在网络犯罪论坛和市场上推广,售价2000美元,包括六个月的更新和支持。据研究人员称,Astaroth的复杂程度令人震惊,用户应格外小心电子邮件中的链接,直接访问网站以检查账户是否存在问题。
https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/
5. PostgreSQL新零日漏洞成BeyondTrust攻击关键,财政部遭黑客入侵
2月13日,Rapid7的安全研究人员周四报告称,在PostgreSQL中发现了一个新的零日漏洞(CVE-2025-1094),该漏洞与针对BeyondTrust远程支持产品的一系列攻击密切相关。该漏洞影响PostgreSQL交互式终端psql,允许精心构造的SQL语句触发SQL注入。Rapid7指出,黑客已利用此漏洞成功入侵美国财政部的机器。尽管BeyondTrust已针对其相关漏洞发布了补丁,但PostgreSQL中的这个潜在漏洞仍是攻击者的攻击焦点。该漏洞存在于psql处理格式错误的UTF-8字符的方式中,精心设计的无效序列可以过早终止SQL命令,使攻击者能够注入其他语句,甚至触发shell执行。PostgreSQL团队已发布紧急补丁,并警告了受影响版本。同时,Rapid7还发布了Metasploit模块,用于指纹识别和自动载荷传送易受攻击的BeyondTrust系统。
https://www.securityweek.com/rapid7-flags-new-postgresql-zero-day-connected-to-beyondtrust-exploitation/
6. CleanTalk WordPress插件现严重任意文件上传漏洞,超3万网站面临风险
2月13日,CleanTalk WordPress 插件中发现了一个编号为CVE-2024-13365的严重任意文件上传漏洞,该漏洞可能使超过30,000个网站面临被完全攻陷的风险。此漏洞的CVSS评分高达9.8,允许未经身份验证的攻击者绕过身份验证并上传恶意文件,进而在服务器上执行代码。漏洞源于插件在扫描ZIP存档时未能正确验证用户提供的数据,导致攻击者可以上传任意文件,包括恶意脚本。即使未经身份验证的用户通常不允许上传文件,该漏洞也可能被利用,攻击者可能会上传包含隐藏在无害文件中的恶意PHP文件的大型ZIP文件,以压垮服务器资源并允许执行恶意文件。Wordfence安全公司发现了该漏洞,并建议所有使用CleanTalk插件的用户尽快更新到最新版本2.150,以保护其网站免受潜在攻击。同时,安全研究员Lucio Sá因负责任地报告该漏洞而获得1,716.00美元的赏金。
https://securityonline.info/hackers-can-take-over-30000-wordpress-sites-due-to-critical-cleantalk-security-flaw-cve-2024-13365/
京公网安备11010802024551号