XZ-Utils后门持续威胁Docker Hub,至少35个镜像仍存隐患
发布时间 2025-08-141. XZ-Utils后门持续威胁Docker Hub,至少35个镜像仍存隐患
8月12日,2024年3月曝光的XZ-Utils后门事件(CVE-2024-3094)仍在持续发酵,Binarly研究团队发现Docker Hub官方容器镜像注册中心上至少存在35个受感染的Linux镜像,这些镜像可能通过传递性感染威胁用户及组织数据安全。该后门由长期项目贡献者"Jia Tan"秘密注入xz-utils 5.6.0/5.6.1版本的liblzma.so库中,通过glibc的IFUNC机制劫持OpenSSH的RSA_public_decrypt函数,允许攻击者使用特殊私钥绕过SSH身份验证并远程执行root命令。尽管漏洞发现较早且官方已发布5.6.2及以上修复版本,但其残留影响仍波及Debian、Fedora等主流Linux发行版,成为去年最严重的软件供应链安全事件之一。Docker Hub作为全球开发者广泛使用的容器镜像平台,其问题镜像的持续存在引发担忧。Binarly扫描发现,部分受感染镜像仍公开发布,且存在基于这些基础镜像构建的"二阶镜像",形成传递性风险。许多CI/CD管道及生产系统直接引用Docker Hub镜像作为基础层,若未及时更新,新构建容器将自动继承恶意代码。尽管Binarly已向Debian等维护者通报情况,但Debian选择保留这些后门镜像,理由是"利用条件苛刻"且需维持存档连续性,仅建议用户使用最新版本而非下架旧镜像。
https://www.bleepingcomputer.com/news/security/docker-hub-still-hosts-dozens-of-linux-images-with-the-xz-backdoor/
2. 医疗管理巨头Pacific HealthWorks遭Everest勒索软件攻击
8月12日,美国南加州医疗管理服务巨头Pacific HealthWorks(PHW)近日遭遇Everest勒索软件组织攻击,导致其服务的至少50家医疗集团数百份敏感数据被窃取。作为总部位于埃尔塞贡多的医疗服务机构(MSO),PHW为全美1200余家医院、医生团体及诊所提供急诊、重症监护、麻醉等领域的行政管理支持,年服务患者超140万人次。此次事件中,患者及员工的姓名、社会安全号码、医疗记录、保险信息等个人身份信息(PII)遭泄露,部分数据样本已在勒索团伙的暗网博客公开。Everest团伙于上周末在其"黑暗受害者"网站发布PHW及其姊妹公司La Perouse的勒索声明,威胁若未在指定时间内联系谈判,将公布包括账单数据在内的50余家组织敏感信息。Cybernews核查发现,泄露文件涵盖Emergent Medical Associates、Benchmark Hospitalists等关联机构,涉及诊断代码、保险索赔等核心医疗数据。
https://cybernews.com/news/pacific-healthworks-everest-ransomware-attack-la-perouse-data-leak-physician-groups/
3. 韩国票务巨头Yes24两月内二度遭勒索攻击,服务中断引粉丝恐慌
8月12日,韩国最大票务及在线图书零售商Yes24于近日遭遇勒索软件攻击,导致其网站及移动应用中断数小时,这是该公司不到两个月内第二次陷入网络安全危机。此次事件始于当地时间凌晨4点30分,用户无法预订演唱会门票、访问电子书及使用社区论坛。Yes24迅速将系统离线以遏制攻击,并依托备份数据在7小时内恢复运营,但未透露攻击者身份或是否收到赎金要求。中断对韩国流行乐队DAY6的粉丝造成直接影响,原定于当晚8点开始的"The Decade"巡演门票预售被迫暂停,服务恢复后方才重启。此次事件距6月勒索攻击仅隔不足两月:当时攻击导致Yes24瘫痪约五天,影响朴宝剑、ENHYPEN等艺人演出票务,并暴露其缺乏异地备份系统的安全短板。尽管该公司事后承诺"彻查安全体系"、聘请外部团队并升级系统,但二次遇袭引发韩国媒体和用户强烈批评,指责其整改措施不到位且信息透明度不足。
https://therecord.media/yes24-second-ransomware-attack-kpop-ticketing-affected
4. Fortinet警告FortiSIEM预授权RCE漏洞可能被利用
8月13日,网络安全厂商Fortinet近日发布紧急安全公告,披露其核心安全信息与事件管理(SIEM)产品FortiSIEM存在一个严重等级(CVSS 9.8)的远程命令注入漏洞(CVE-2025-25256)。该漏洞影响版本范围广泛,涵盖5.4至7.3多个分支,其中5.4至6.6的旧版系统已终止技术支持,建议用户立即升级至7.3.2、7.2.6等最新受支持版本。漏洞成因源于产品未对特殊元素进行充分过滤,导致未经身份验证的攻击者可通过构造恶意CLI请求,在目标系统执行任意命令。Fortinet确认该漏洞存在可公开获取的利用代码,且攻击行为不会产生独特IOC特征,使得入侵检测难度显著提升。尽管未明确承认零日利用,但GreyNoise威胁情报公司指出,本月针对Fortinet SSL VPN和FortiManager的暴力破解攻击激增,此类异常流量波动往往预示新漏洞披露,两者可能存在关联性。此次漏洞暴露后,Fortinet建议用户优先通过版本升级实现根本性修复,同时提供临时缓解方案。
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-fortisiem-pre-auth-rce-flaw-with-exploit-in-the-wild/
5. 宾夕法尼亚州总检察长办公室遭网络攻击致系统瘫痪
8月13日,宾夕法尼亚州总检察长办公室近日遭遇严重网络攻击,导致其核心信息系统全面瘫痪,包括官方网站、电子邮件账户及固定电话线路均处于离线状态。司法部长戴夫·桑迪(Dave Sunday)通过社交媒体证实,此次事件已触发跨部门协作响应,技术人员在执法机构支持下正全力恢复服务并调查攻击源头。尽管当前攻击媒介尚未明确,且无勒索软件组织公开认领责任,但事件的广泛影响及系统瘫痪特征与典型勒索攻击高度吻合,引发对潜在供应链风险的担忧。网络安全专家凯文·博蒙特(Kevin Beaumont)的发现为事件调查提供了关键线索:该办公室面向公众的Citrix NetScaler设备因未修补CVE-2025-5777漏洞而长期暴露于攻击风险中。Shodan扫描数据显示,两台相关设备分别于7月29日和8月7日离线,时间线与攻击发生高度重合。值得注意的是,该漏洞已被美国网络安全与基础设施安全局(CISA)列入“已知被利用漏洞目录”,并要求联邦机构在24小时内完成修补。截至报道发布,宾夕法尼亚州总检察长网站仍未恢复,系统修复工作仍在进行中。
https://www.bleepingcomputer.com/news/security/pennsylvania-attorney-generals-email-site-down-after-cyberattack/
6. AI深度伪造技术催生跨国投资骗局,全球多国用户遭精准围猎
8月13日,网络安全机构Group-IB近日披露,诈骗分子正利用生成式AI技术构建高度逼真的欺诈网络,通过深度伪造视频、伪造新闻内容及定向广告投放,诱骗全球多国投资者参与虚假交易平台。研究显示,此类骗局已形成规模化产业链,其技术复杂度与心理操控手段均达新高度。核心欺诈手法以AI生成的深度伪造视频为突破口。诈骗者克隆荷兰极右翼政客海尔特·维尔德斯等公众人物的影像与声音,制作看似真实的新闻访谈片段,结合篡改的交易数据图表与虚假专家背书,营造出"独家投资机会"的紧迫感。受害者被引导至伪造的新闻网站,这些网站通过本地化内容适配用户所在国家语言,并嵌入社交媒体账号、博客文章及YouTube频道进行多渠道推广,形成虚假信息生态。注册阶段,平台以"小额保证金"(100-250美元)降低用户警惕性,随后要求提交身份证、住址证明甚至信用卡照片等敏感信息。值得警惕的是,此类网站通过IP地址与语言检测实现精准屏蔽,美国和以色列用户无法访问,而印度、英国、德国、日本等13个国家成为主要目标。
https://www.infosecurity-magazine.com/news/deepfake-ai-trading-scams-target/
京公网安备11010802024551号