黑客声称入侵Oracle云平台，影响超14万租户；工信部CSTIS提醒：防范Auto-color恶意软件的风险 | 牛览

•工信部CSTIS提醒：防范Auto-color恶意软件的风险

•66%云存储桶面临风险，专家提醒警惕新型云原生勒索攻击

•黑客声称入侵Oracle云平台泄露，影响超14万租户

•微软三天短期证书被滥用于恶意软件代码签名

•黑客大规模利用N-Day漏洞发起攻击，1.2万台未修补服务器面临威胁

•GitHub Actions供应链攻击新细节：Coinbase成为首要目标

•JumpServer多个严重漏洞可导致特权访问系统完全被控

•Veeam紧急修复9.9分严重反序列化漏洞

•Cloudflare强化API安全，全面切断非加密HTTP连接

近期，SANS研究所发布报告警示云原生勒索软件攻击正在采用新型手法，通过滥用云服务提供商的存储安全控制和默认设置实施攻击。根据Palo Alto Networks Unit 42云威胁报告显示，66%的云存储桶中存在敏感数据，这些数据极易受到勒索软件攻击。

SANS认证讲师Brandon Evans表示："仅在过去几个月，我就目睹了两种不同的勒索软件攻击方法，它们仅利用合法的云安全功能。"安全公司Halcyon披露了一起攻击活动，攻击者利用Amazon S3的原生加密机制SSE-C对目标存储桶进行加密。此前，安全顾问Chris Farris演示了如何利用AWS的另一项安全功能——带外部密钥材料的KMS密钥——执行类似攻击。

为应对云勒索软件威胁，SANS建议组织采取以下措施：了解云安全控制的能力和局限性，使用云服务并不自动保障数据安全；阻止不受支持的云加密方法，通过IAM策略强制使用特定加密方法；启用备份、对象版本控制和对象锁定，提高勒索攻击后数据恢复几率；通过数据生命周期策略平衡安全与成本，自动管理对象、版本和备份。

专家提醒，攻击者也可能利用生命周期策略迫使目标快速支付赎金，组织应全面了解云安全控制并制定相应防御策略。

原文链接：
https://thehackernews.com/2025/03/sans-institute-warns-of-novel-cloud.html

据CloudSEK安全研究团队报告，黑客rose87168声称已成功入侵Oracle云平台，窃取了600万条记录，可能影响超过14万个租户。该黑客自2025年1月开始活跃，声称已经入侵了一个子域login.us2.oraclecloud.com（目前已下线），并正在暗网论坛上出售窃取的敏感数据。

调查显示，被盗数据包括JKS文件、加密的SSO密码、密钥文件和企业管理器JPS密钥。研究人员认为黑客可能利用了CVE-2021-35587漏洞，该漏洞允许未经身份验证的攻击者完全控制Oracle Access Manager，影响Oracle Fusion Middleware的多个版本（11.1.2.3.0、12.2.1.3.0和12.2.1.4.0）。被攻击的Oracle Fusion Middleware服务器最后一次更新是在2014年9月27日左右，表明软件已严重过时。

然而，Oracle已发表声明否认其云基础设施遭到任何入侵，并表示Oracle云没有发生任何安全漏洞；公布的凭证不属于Oracle云；没有Oracle云客户经历过数据泄露或丢失。这与CloudSEK的调查结果和攻击者的声明直接矛盾。

如果确实发生，此次数据泄露的影响可能相当严重，特别是JKS文件的泄露最为令人担忧，因为这些文件包含加密密钥，可用于解密敏感数据或访问受影响组织内的其他系统。

原文链接：

https://hackread.com/oracle-denies-breach-hacker-access-6-million-records/

最近，网络安全研究人员发现威胁行为者利用微软可信签名服务，使用短期三天的代码签名证书签署其恶意软件。这些恶意软件样本由"Microsoft ID Verified CS EOC CA 01"签名，证书仅在三天内有效。虽然证书在签发后三天到期，但重要的是要注意，使用它签名的可执行文件在发行者撤销证书之前仍将被视为有效。自那时以来，研究人员在正在进行的恶意软件活动中发现了许多其他样本，包括那些用于Crazy Evil Traffers加密盗窃活动和Lumma Stealer活动的样本。

微软可信签名服务于2024年推出，是一项基于云的服务，允许开发人员轻松地让微软签署其程序。为了防止滥用，微软目前只允许在公司成立三年以上的情况下以公司名义颁发证书。但是，个人则可以更轻松地注册并获得批准。

微软表示，他们使用主动威胁情报监控来不断寻找任何滥用其签名服务的行为。当检测到威胁时，他们会立即采取广泛撤销证书和暂停帐户等缓解措施。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/

近日，复杂威胁行为者UAT-5918从2025年初起正在积极利用多个组织中未修补的Web和应用服务器已知漏洞，主要针对运行过时版本Apache、Nginx和Tomcat服务器的基础设施。安全研究人员在过去两周内检测到这类利用尝试显著增加。

攻击者利用已有补丁但尚未部署到易受攻击系统上的漏洞，特别是针对CVE-2024-4321和CVE-2024-5879两个中高危漏洞，这些漏洞允许在受影响系统上执行远程代码和提升权限。攻击者在成功利用漏洞后部署自定义恶意软件。

Cisco Talos研究人员发现，UAT-5918组织采用多阶段攻击方法，首先扫描易受攻击的实例，然后部署针对特定服务器版本的定制化利用代码。分析显示，攻击者使用分布在多个地理区域的命令与控制基础设施来逃避检测并维持持久性。攻击链通常始于探测请求以识别服务器类型和版本。一旦发现易受攻击的系统，攻击者注入恶意负载，创建后门以持续访问。被入侵的服务器随后被用作在网络内横向移动、建立持久性和窃取敏感数据的入口点。

安全团队报告称，尽管补丁已经发布数月，全球仍有超过1.2万台服务器易受这些攻击，突显了组织及时补丁管理的持续挑战。建议组织立即应用可用的安全补丁，并实施网络监控以检测与UAT-5918签名匹配的可疑流量模式。

原文链接：

https://cybersecuritynews.com/uat-5918-hackers-exploiting-exposed-web-and-app-servers/

安全研究人员确认，Coinbase是近期GitHub Actions级联供应链攻击的主要目标，该攻击导致数百个代码库的密钥泄露。

根据Palo Alto Unit 42和Wiz的最新报告，攻击者精心策划了这次行动。攻击的第一阶段涉及对reviewdog/action-setup@v1的入侵。当相关的GitHub Action（tj-actions/eslint-changed-files）调用reviewdog时，导致其密钥被转储到工作流日志中。这使攻击者能够窃取个人访问令牌（Personal Access Token），随后用于向tj-actions/changed-files GitHub Action推送恶意提交，再次将CI/CD密钥转储到工作流日志中。这次初始提交专门针对Coinbase项目和用户mmvojwip（实为攻击者账户）。恶意代码中明确包含了针对Coinbase项目的条件判断。

虽然changed-files操作被超过2万个其他项目使用，但攻击者的主要目标似乎是Coinbase。根据Unit 42的说法，攻击者在2025年3月14日15:10 UTC获得了对coinbase/agentkit代码库的GitHub写入权限令牌，这比对tj-actions/changed-files发起大规模攻击的时间早不到两小时。

Unit 42和Wiz的报告证实，此次攻击活动最初高度集中于Coinbase，在初始尝试失败后才扩展到所有使用tj-actions/changed-files的项目。尽管有2.3万个项目使用了changed-files操作，但最终只有218个代码库受到了影响。

原文链接：
https://www.bleepingcomputer.com/news/security/coinbase-was-primary-target-of-recent-github-actions-breaches/

研究人员在开源特权访问管理(PAM)工具 JumpServer 中发现了一系列严重漏洞，这些漏洞可能允许未经身份验证的攻击者绕过认证并获得对 JumpServer 基础设施的完全控制权。JumpServer 由Fit2Cloud 开发，作为通往内部网络的堡垒机，一旦被攻击者入侵，可能导致整个组织内部网络沦陷。

Sonar 研究人员发现了多个身份验证绕过漏洞(CVE-2023-43650 、CVE-2023-43652 、CVE-2023-42818 、CVE-2023-46123)，这些漏洞源于架构设计缺陷，特别是微服务隔离不足。一个关键问题是公钥认证系统缺乏验证请求是否来自授权的 Koko 服务。从漏洞代码中可以看出，这允许攻击者直接通过 HTTP 接口执行相同的请求，有效地在没有密钥验证的情况下冒充 Koko 容器。即使启用了 MFA 的账户也存在漏洞，因为在 SSH 上下文中的双因素认证实现存在缺陷，攻击者可以操纵"remote_addr"参数绕过速率限制机制。

这些漏洞已在 JumpServer 3.10.12 和4.0.0 版本中得到修复。修复措施包括将公钥认证 API 与令牌生成分离、引入认证状态跟踪机制，以及为 remote_addr 参数实施基于签名的验证系统。使用 JumpServer 的组织应立即更新到这些已修补的版本。

原文链接：

https://cybersecuritynews.com/jumpserver-vulnerabilities-let-attacker-bypass-authentication/

Veeam近日发布安全补丁，修复了其Backup & Replication软件中一个严重安全漏洞（CVE-2025-23120），该漏洞CVSS评分高达9.9，可能导致远程代码执行。

该漏洞源于Veeam实现的反序列化处理存在缺陷，攻击者可以绕过其阻止列表并利用缺失的小工具（gadgets）实现远程代码执行。任何Veeam服务器上的本地用户，或者如果服务器已加入域，则任何域用户都可以利用此漏洞。

受影响版本包括12.3.0.310及所有早期的12版本构建，此漏洞已在12.3.1版本（构建号12.3.1.1139）中得到修复。Veeam的补丁阻止了已识别的小工具，但网络安全专家提醒，如果发现新的反序列化小工具，类似风险仍然存在。

原文链接：

https://securityaffairs.com/175674/slider/veeam-critical-backup-replication-vulnerability.html

Cloudflare日前宣布关闭所有HTTP连接，现在api.cloudflare.com仅接受安全的HTTPS连接。此举旨在防止非加密API请求的发送，即使是意外情况，也能消除敏感信息在服务器关闭HTTP连接并重定向到安全通信通道之前以明文形式暴露的风险。

Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务。此前，Cloudflare系统允许通过HTTP（非加密）和HTTPS（加密）两种方式访问API，通过重定向或拒绝HTTP请求。然而，即使被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据，如API密钥或令牌。这种情况在公共或共享Wi-Fi网络上尤其危险，因为中间人攻击更容易实施。通过完全禁用API访问的HTTP端口，Cloudflare在传输层阻止明文连接，在任何数据交换之前就强制使用HTTPS。

此变更立即影响所有使用HTTP访问Cloudflare API服务的用户。依赖该协议的脚本、机器人和工具将无法正常工作。同样受影响的还有不支持或由于配置不当而不默认使用HTTPS的遗留系统、自动化客户端、IoT设备和低级客户端。

原文链接：

https://www.bleepingcomputer.com/news/security/cloudflare-now-blocks-all-unencrypted-traffic-to-its-api-endpoints/