SonicWall漏洞警告:仅更新固件不足以防绕过MFA
发布时间 2026-05-211、SonicWall漏洞警告:仅更新固件不足以防绕过MFA
5月20日,近期,黑客成功暴力破解SonicWall第六代(Gen6)SSL-VPN设备上的VPN凭据,并绕过多因素身份验证(MFA),进而部署勒索软件攻击工具。网络安全公司ReliaQuest的研究人员回应了2月至3月间多起入侵事件,并以“中等置信度”判断,这是针对编号CVE-2024-12802漏洞的首次实际利用案例。该漏洞的产生原因是UPN登录格式缺少MFA强制执行,使拥有有效凭据的攻击者能够直接认证并绕过MFA保护。SonicWall在安全公告中明确指出,Gen6设备仅安装固件更新并不能彻底消除漏洞,管理员还必须手动重新配置LDAP服务器;否则即使设备运行着更新后的固件,仍然存在被入侵的风险。相比之下,第七代和第八代设备只需更新到新版固件即可完全消除风险。在实际入侵过程中,黑客通常只需30到60分钟就能完成登录、网络侦察、测试内部系统凭据重用,然后有意识地注销。鉴于第六代SSL-VPN设备已于今年4月16日停止支持且不再接收安全更新,官方建议用户尽快升级至仍在积极支持的较新版本。
https://www.bleepingcomputer.com/news/security/hackers-bypass-sonicwall-vpn-mfa-due-to-incomplete-patching/
2. Grafana因漏轮换GitHub令牌致数据泄露
5月20日,近期,Grafana遭遇数据泄露事件,根源在于一个GitHub工作流令牌在轮换过程中被遗漏。该令牌的暴露源于上周发生的TanStack npm供应链攻击:在此次归咎于TeamPCP黑客组织的Shai-Hulud恶意软件攻击活动中,数十个感染了凭证窃取代码的TanStack软件包被发布到npm索引上,导致包括Grafana在内的开发者环境受到威胁。当这些恶意npm包被发布时,Grafana的CI/CD工作流恰好使用了它们,其中的信息窃取模块在其GitHub环境中执行,从而将GitHub工作流令牌泄露给了攻击者。Grafana公司解释称,5月1日他们检测到由TanStack软件包被入侵引发的恶意活动后,立即启动了事件响应计划并轮换了大量GitHub工作流令牌。然而,由于疏忽漏掉了一个令牌,攻击者利用该令牌成功访问了Grafana的私有存储库。公司后续审查证实,最初被认为未受影响的特定GitHub工作流程实际上已被破坏。公司发现入侵者还下载了Grafana用于其业务运营的详细内部信息,其中包括在专业关系中会交换的业务联系人姓名和电子邮件地址。Grafana明确指出,这些信息并非客户生产数据,也不是从生产系统或Grafana云平台提取或处理的信息。
https://www.bleepingcomputer.com/news/security/grafana-breach-caused-by-missed-token-rotation-after-tanstack-attack/
3. 盗刷论坛B1ack’s Stash免费发布460万条信用卡数据
5月20日,暗网上最活跃的被盗信用卡交易平台之一B1ack’s Stash,近日免费发布了460万条信用卡记录,原因并非执法打击或系统被入侵,而是为了惩罚违规卖家。部分通过该平台购买被盗信用卡数据的卖家被发现将数据转售到其他平台,违反了服务条款。作为回应,平台运营商暂停了与这些卖家相关的800万条被盗CVV2记录,并决定免费释放其中一部分库存,而非直接删除。这种公开泄露相当于暗网版的“在广场上焚烧赃物”,成为一种独特的惩戒手段。据SOCRadar分析,此次泄露的每条记录都异常完整,包含卡号、有效期、CVV2安全码、持卡人姓名、账单地址、电子邮件地址、电话号码和IP地址,欺诈者只需一次操作即可获取所有必要信息。SOCRadar验证后发现,部分记录已过期或重复,筛选后约有430万条记录看起来最新且可能可用。地域分布上,约70%来自美国,加拿大、英国、法国和马来西亚位列前五,香港、新加坡和泰国等亚洲金融中心也出现在前15名,说明数据源自针对全球英语国家和高购买力市场的多次盗刷或钓鱼活动。
https://securityaffairs.com/192415/cyber-crime/carding-site-b1acks-stash-dumps-4-6-million-stolen-cards-for-free.html
4. GitHub员工安装恶意扩展,致3800个内部代码库泄露
5月20日,GitHub已证实,因其一名员工安装了恶意的VS Code扩展程序,导致约3800个内部存储库遭到入侵。该公司已从VS Code应用商店中移除了这款未命名的木马扩展,并对受感染设备进行了隔离保护。GitHub表示,在检测到员工设备遭入侵事件后,立即移除了恶意扩展版本、隔离终端并启动事件响应。目前的评估认为,此次活动仅涉及GitHub内部代码库的数据泄露,攻击者声称泄露了约3800个代码库,这与调查结果大致吻合。GitHub同时强调,没有证据表明存储在受影响存储库之外的客户数据受到了影响。虽然GitHub尚未将此次泄露事件归咎于具体组织,但TeamPCP黑客组织此前在Breached网络犯罪论坛上声称获得了GitHub源代码和“约4000个私有代码库”的访问权限,并要求至少5万美元赔偿被盗数据。该组织表示并不在乎敲诈GitHub,只希望找到买家,否则将免费泄露数据。
https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/
5. Dify AI平台曝严重漏洞:点击链接即可盗取账户
5月20日,Dify是一个广受欢迎的低代码AI应用开发平台,在GitHub上拥有超过14.2万颗星,其Docker容器已被拉取超过1000万次。然而,Imperva研究人员发现该平台存在严重安全漏洞,攻击者只需诱使受害者点击一个链接即可完全接管账户。Imperva警告称,AI工具竞相添加新功能却忽视了安全性。研究人员发现了两个严重漏洞并负责任地予以披露,但Dify始终没有回应,几个月后漏洞被悄悄修复。第一个漏洞极易利用但危害极大,影响Dify的文件上传处理。Dify公开存储所有文件,无需身份验证,URL模式可预测且没有访问控制。攻击者可创建临时账号上传恶意文件,更改链接后发送给受害者。当浏览器渲染来自受信任来源的SVG文件时,嵌入的脚本可完全访问该来源的会话上下文,包括cookie、本地存储和API调用,只需一次点击即可导致账户被盗。第二个漏洞是共享环境中租户隔离不足,Dify将用户的应用程序私有源代码暴露给同一平台的其他用户。尽管Dify的沙箱旨在隔离代码,但Python执行共享文件系统位置并在相同硬编码系统身份下运行,攻击者可从共享/tmp文件夹获取其他用户的脚本。
https://cybernews.com/security/dify-critical-vulnerabilities-disclosed/
6. Linux现“PinTheft”提权漏洞,Arch Linux风险最高
5月20日,近日,一个已修复的Linux权限提升漏洞被披露了公开可用的概念验证(PoC)漏洞利用程序,允许本地攻击者在特定Linux系统上获得root权限。该漏洞被V12安全团队命名为PinTheft,目前仍在等待分配CVE编号,它存在于Linux内核的RDS(可靠数据报套接字)中,已于本月初得到修复。V12团队解释称,PinTheft是一个利用RDS零拷贝双重释放漏洞的本地提权漏洞,通过io_uring固定缓冲区将其转化为页面缓存覆盖。V12还发布了一个PoC漏洞利用程序,该程序会窃取FOLL_PIN引用,直到io_uring持有被窃取的页面指针,从而获得root shell。然而,PinTheft的成功利用需要特定条件:在目标系统上加载RDS模块、启用io_uring Linux I/O API、存在可读的SUID-root二进制文件以及对x86_64架构的支持。这些条件大大缩小了攻击面。V12指出,在最常见的Linux发行版中,RDS模块默认仅在Arch Linux上启用,这意味着Arch Linux用户面临的风险最大。
https://www.bleepingcomputer.com/news/linux/exploit-released-for-new-pintheft-arch-linux-root-escalation-flaw/
京公网安备11010802024551号