黑客利用安全测试应用程序入侵财富500强企业
发布时间 2026-01-231. 黑客利用安全测试应用程序入侵财富500强企业
1月21日,自动化渗透测试公司Pentera最新调查显示,威胁行为者正利用故意设置漏洞的安全培训及渗透测试Web应用(如DVWA、OWASP Juice Shop等),对财富500强企业及安全厂商的云环境实施入侵。这些应用因配置错误暴露于公共互联网,并与权限过高的IAM角色关联,部署在AWS、GCP、Azure等云平台,形成严重安全风险。研究团队在公共网络发现1926个存在漏洞的活跃应用实例,部分属于Cloudflare、F5、Palo Alto Networks等知名企业。这些实例中,超半数仍使用默认凭证,未遵循"最小权限"原则,导致攻击者可轻易获取S3存储桶、Secrets Manager读写权限,甚至获得云环境管理员访问权。Pentera证实,黑客已利用这些入口点部署加密货币挖矿程序(如XMRig)、webshell及持久化机制。此外,研究人员发现名为"filemanager.php"的webshell支持文件操作与命令执行,其时区设置为欧洲/明斯克(UTC+3),可能暗示攻击者来源。这些恶意程序在Pentera通知相关公司后仍持续活动,直至企业修复问题。
https://www.bleepingcomputer.com/news/security/hackers-exploit-security-testing-apps-to-breach-fortune-500-firms/
2. LastPass钓鱼攻击利用维护通知诱骗用户备份
1月21日,近日,密码管理平台LastPass发布安全警告,揭露一种伪装成服务维护通知的新型网络钓鱼攻击。攻击者自1月19日起,通过发送主题为"LastPass基础架构更新:立即保护您的保险库""维护前备份您的保险库(24小时窗口期)"等邮件,诱导用户在24小时内备份数据保险库。这些邮件伪装成官方通信,声称因基础设施维护需创建本地备份以确保数据安全,并强调"万一出现技术难题,备份可保障信息安全可恢复",刻意制造紧迫感以实施社会工程攻击。据LastPass威胁情报团队披露,恶意邮件来源包括"support@lastpass[.]server8""support@sr22vegas[.]com"等仿冒地址。用户点击邮件中的"立即创建备份"按钮后,将被重定向至"mail-lastpass[.]com"钓鱼网站。该网站虽目前已离线,但攻击者意图通过诱导用户输入主密码或执行恶意操作,实现账户劫持或凭证窃取。LastPass强调,公司绝不会要求用户通过邮件备份保险库,更不会索要主密码,用户应直接通过官方渠道报告可疑事件至"mailto:abuse@lastpass.com"。
https://www.bleepingcomputer.com/news/security/fake-lastpass-emails-pose-as-password-vault-backup-alerts/
3. Chainlit AI框架漏洞导致黑客入侵云环境
1月21日,开源对话式AI框架Chainlit被曝存在两个高危漏洞"ChainLeak"(CVE-2026-22218、CVE-2026-22219),无需用户交互即可被利用,影响全球多个行业部署的互联网AI系统。该框架在PyPI月均下载量达70万次,年下载量超500万次,广泛用于企业、学术机构的AI应用构建,提供现成聊天界面、身份验证及云部署支持。漏洞细节显示,CVE-2026-22218为任意文件读取漏洞,攻击者可利用/project/element端点提交恶意"path"参数,强制服务器将指定路径文件复制至攻击者会话,从而窃取API密钥、云凭证、源代码、SQLite数据库等敏感信息。CVE-2026-22219为服务器端请求伪造(SSRF)漏洞,影响使用SQLAlchemy数据层的部署,攻击者通过"url"字段诱导服务器发起外部GET请求并存储响应,进而通过元素下载端点获取数据,实现内部服务探测及REST API访问。Zafran Labs研究人员证实,两漏洞可组合成攻击链,导致系统完全入侵及云环境横向移动。漏洞于2025年11月23日首次报告,12月9日获维护者确认,12月24日通过Chainlit 2.9.4版本修复,最新版本为2.9.6。
https://www.bleepingcomputer.com/news/security/chainlit-ai-framework-bugs-let-hackers-breach-cloud-environments/
4. 新型Osiris勒索软件现身,POORTRY驱动实施BYOVD攻击
1月22日,东南亚一家大型食品服务特许经营商2025年11月遭遇新型勒索软件Osiris攻击。赛门铁克与Carbon Black团队披露,该攻击利用名为POORTRY的恶意驱动程序,通过"自带易受攻击的驱动程序(BYOVD)"技术禁用安全软件,与2016年Locky变种无关。Osiris采用混合加密方案,为每个文件生成唯一密钥,具备停止服务、指定加密范围、终止进程及投放勒索信等能力,默认终止Office、Exchange、Veeam等进程,被评估为经验丰富攻击者的高效工具。攻击者通过Rclone将敏感数据窃取至Wasabi云存储,使用Netscan、Netexec、MeshAgent及定制Rustdesk等双用途工具,并部署KillAV工具提升权限。线索显示其可能与INC勒索软件(别名Warble)存在关联,因使用了相同版本的Mimikatz工具(kaz.exe)。
https://thehackernews.com/2026/01/new-osiris-ransomware-emerges-as-new.html
5. SmarterMail管理员密码重置漏洞遭黑产逆向利用
1月22日,网络安全公司watchTowr 1月8日披露SmarterTools旗下SmarterMail邮件服务器存在高危身份验证绕过漏洞。该漏洞位于"force-reset-password"API端点,攻击者无需认证即可通过发送包含"IsSysAdmin":true的JSON数据,强制重置系统管理员密码并获得完全控制权限。尽管SmarterMail在1月15日紧急发布Build 9511版本修复此漏洞,但研究人员发现攻击者仅用两天便逆向补丁并实施利用,印证黑产对补丁的高效逆向能力。技术分析显示,该API端点未验证旧密码字段,攻击者只需知晓管理员用户名即可完成密码劫持。成功入侵后,攻击者可执行操作系统命令实现远程代码执行。watchTowr通过概念验证演示了系统级shell访问,并从匿名线人处获知实际攻击案例,论坛帖子显示有攻击者正在批量重置管理员密码,日志分析证实攻击目标确为"force-reset-password"端点。
https://www.bleepingcomputer.com/news/security/smartermail-auth-bypass-flaw-now-exploited-to-hijack-admin-accounts/
6. 立讯精密遭勒索攻击,苹果等企业核心机密面临泄露风险
1月19日,苹果核心代工厂立讯精密2025年12月15日遭遇疑似由RansomHub黑客组织发起的勒索软件攻击。该组织在暗网论坛宣称已加密立讯精密数据,并威胁若不支付赎金将泄露苹果、英伟达、LG等企业机密数据。立讯精密作为苹果重要合作伙伴,负责iPhone、AirPods、Apple Watch及头显设备组装,掌握大量核心机密信息。研究团队分析黑客披露的数据样本发现,泄露内容涵盖2019-2025年间苹果与立讯精密合作的设备维修、物流运输等项目细节,包括时间规划、具体流程及客户资料。此外,数据中包含员工姓名、职位、工作邮箱等敏感个人信息,以及.dwg、Gerber等设计文件,涉及3D CAD模型、电路板制造数据、电气架构等高度敏感商业运营内容。RansomHub声称已获取苹果、英伟达、LG、吉利、特斯拉等多家企业的3D工程设计、2D组件图纸、PDF工程图及印刷电路板制造数据,这些受保密协议保护的生产研发信息若被泄露,可能被竞争对手用于反向研发或制造仿冒产品,节省数年研发成本。
https://cybernews.com/security/luxshare-apple-iphone-assembler-breach/
京公网安备11010802024551号