黑客声称入侵Oracle云平台泄露，影响超14万租户

据CloudSEK安全研究团队报告，黑客rose87168声称已成功入侵Oracle云平台，窃取了600万条记录，可能影响超过14万个租户。该黑客自2025年1月开始活跃，声称已经入侵了一个子域login.us2.oraclecloud.com（目前已下线），并正在暗网论坛上出售窃取的敏感数据。

调查显示，被盗数据包括JKS文件、加密的SSO密码、密钥文件和企业管理器JPS密钥。研究人员认为黑客可能利用了CVE-2021-35587漏洞，该漏洞允许未经身份验证的攻击者完全控制Oracle Access Manager，影响Oracle Fusion Middleware的多个版本（11.1.2.3.0、12.2.1.3.0和12.2.1.4.0）。被攻击的Oracle Fusion Middleware服务器最后一次更新是在2014年9月27日左右，表明软件已严重过时。

然而，Oracle已发表声明否认其云基础设施遭到任何入侵，并表示Oracle云没有发生任何安全漏洞；

Veeam近日发布安全补丁，修复了其Backup & Replication软件中一个严重安全漏洞（CVE-2025-23120），该漏洞CVSS评分高达9.9，可能导致远程代码执行。

该漏洞源于Veeam实现的反序列化处理存在缺陷，攻击者可以绕过其阻止列表并利用缺失的小工具（gadgets）实现远程代码执行。任何Veeam服务器上的本地用户，或者如果服务器已加入域，则任何域用户都可以利用此漏洞。

受影响版本包括12.3.0.310及所有早期的12版本构建，此漏洞已在12.3.1版本（构建号12.3.1.1139）中得到修复。Veeam的补丁阻止了已识别的小工具，但网络安全专家提醒，如果发现新的反序列化小工具，类似风险仍然存在。

工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）3月24日通过微信公众号发布《关于防范Auto-color恶意软件的风险提示》，指出监测发现Auto-color恶意软件持续活跃，其主要攻击目标为Linux系统，尤其是教育及政府相关用户，可能导致敏感信息泄露、业务中断等风险。

根据提示，该恶意软件一般通过网络钓鱼、漏洞利用等方式传播，并以常见词汇（如“door”或“egg”）伪装其初始可执行文件。一旦受到感染并运行后，攻击者便可进行系统信息收集、生成反向shell、创建或修改文件、运行程序等恶意行为。在攻击过程中，Auto-color以root权限启动后，会安装一个名为“libcext.so.2”的恶意库，并通过操纵ld.preload文件，确保恶意库优先加载，从而拦截和修改系统功能。此外，Auto-color还利用C标准库函数过滤其网络连接信息，并通过更改/proc/net/tcp文件以隐藏与命令和控制（C2）服务器通信，大幅增加安全监测和分析难度。  

Coinbase是近期GitHub Actions级联供应链攻击的主要目标，该攻击导致数百个代码库的密钥泄露。

根据Palo Alto Unit 42和Wiz的最新报告，攻击者精心策划了这次行动。攻击的第一阶段涉及对reviewdog/action-setup@v1的入侵。当相关的GitHub Action（tj-actions/eslint-changed-files）调用reviewdog时，导致其密钥被转储到工作流日志中。这使攻击者能够窃取个人访问令牌（Personal Access Token），随后用于向tj-actions/changed-files GitHub Action推送恶意提交，再次将CI/CD密钥转储到工作流日志中。这次初始提交专门针对Coinbase项目和用户mmvojwip（实为攻击者账户）。恶意代码中明确包含了针对Coinbase项目的条件判断。

虽然changed-files操作被超过2万个其他项目使用，但攻击者的主要目标似乎是Coinbase。根据Unit 42的说法，攻击者在2025年3月14日15:10 UTC获得了对coinbase/agentkit代码库的GitHub写入权限令牌，这比对tj-actions/changed-files发起大规模攻击的时间早不到两小时。

最近，网络安全研究人员发现威胁行为者利用微软可信签名服务，使用短期三天的代码签名证书签署其恶意软件。这些恶意软件样本由"Microsoft ID Verified CS EOC CA 01"签名，证书仅在三天内有效。虽然证书在签发后三天到期，但重要的是要注意，使用它签名的可执行文件在发行者撤销证书之前仍将被视为有效。自那时以来，研究人员在正在进行的恶意软件活动中发现了许多其他样本，包括那些用于Crazy Evil Traffers加密盗窃活动和Lumma Stealer活动的样本。

微软可信签名服务于2024年推出，是一项基于云的服务，允许开发人员轻松地让微软签署其程序。为了防止滥用，微软目前只允许在公司成立三年以上的情况下以公司名义颁发证书。但是，个人则可以更轻松地注册并获得批准。

微软表示，他们使用主动威胁情报监控来不断寻找任何滥用其签名服务的行为。当检测到威胁时，他们会立即采取广泛撤销证书和暂停帐户等缓解措施。

近期，SANS研究所发布报告警示云原生勒索软件攻击正在采用新型手法，通过滥用云服务提供商的存储安全控制和默认设置实施攻击。根据Palo Alto Networks Unit 42云威胁报告显示，66%的云存储桶中存在敏感数据，这些数据极易受到勒索软件攻击。

SANS认证讲师Brandon Evans表示："仅在过去几个月，我就目睹了两种不同的勒索软件攻击方法，它们仅利用合法的云安全功能。"安全公司Halcyon披露了一起攻击活动，攻击者利用Amazon S3的原生加密机制SSE-C对目标存储桶进行加密。此前，安全顾问Chris Farris演示了如何利用AWS的另一项安全功能——带外部密钥材料的KMS密钥——执行类似攻击。

为应对云勒索软件威胁，SANS建议组织采取以下措施：了解云安全控制的能力和局限性，使用云服务并不自动保障数据安全；阻止不受支持的云加密方法，通过IAM策略强制使用特定加密方法；启用备份、对象版本控制和对象锁定，提高勒索攻击后数据恢复几率；通过数据生命周期策略平衡安全与成本，自动管理对象、版本和备份。

一个名为“rose87168”的威胁行为者声称从 Oracle 云服务器窃取了 600 万条记录。

据报道，被盗数据包括 Java 密钥存储 (JKS) 文件、加密的单点登录 (SSO) 密码、散列轻量级目录访问协议 (LDAP) 密码、密钥文件和企业管理器 Java 平台安全 (JPS) 密钥。

据称，此次泄密事件影响了全球超过 140,000 名租户，并引发了人们对云安全的严重担忧。

黑客声称利用了 Oracle Cloud 登录基础设施中的漏洞，具体针对端点login.(region-name).oraclecloud.com。据报道，该子域名托管了过时的 Oracle Fusion Middleware 软件，该软件可能容易通过 CVE-2021-35587 受到攻击，这是一个已知会影响 Oracle Access Manager 的漏洞。

此外，威胁行为者还通过提供奖励来刺激其他人协助解密加密的 SSO 和 LDAP 密码。

俄罗斯漏洞经纪公司 Operation Zero 已公开宣布为 Telegram 零日漏洞提供高达 400 万美元的赏金，这表明俄罗斯政府对入侵这款流行消息应用程序的兴趣日益浓厚。

该公司专门为俄罗斯政府和当地实体提供服务，正在寻求针对 Android、iOS 和 Windows 版本的 Telegram 的远程代码执行 (RCE) 漏洞。根据漏洞利用的复杂程度，支付金额将有所增加。

业内人士表示，这些价格可能低于市场价格，因为经纪人通常以收购成本的 2 至 3 倍将漏洞转售给政府。

“零行动”的公开悬赏为俄罗斯漏洞采购优先事项提供了难得的见解。此前，乌克兰于 2024 年禁止政府设备使用 Telegram，理由是存在俄罗斯黑客入侵的风险。 

零日攻击经纪人等零日攻击助长了价值 120 亿美元的全球监控行业，而 Telegram 的跨平台主导地位使其成为长期目标。我们敦促用户禁用自动下载、手动启用加密并定期更新应用程序。

近日，复杂威胁行为者UAT-5918从2025年初起正在积极利用多个组织中未修补的Web和应用服务器已知漏洞，主要针对运行过时版本Apache、Nginx和Tomcat服务器的基础设施。安全研究人员在过去两周内检测到这类利用尝试显著增加。

攻击者利用已有补丁但尚未部署到易受攻击系统上的漏洞，特别是针对CVE-2024-4321和CVE-2024-5879两个中高危漏洞，这些漏洞允许在受影响系统上执行远程代码和提升权限。攻击者在成功利用漏洞后部署自定义恶意软件。

Cisco Talos研究人员发现，UAT-5918组织采用多阶段攻击方法，首先扫描易受攻击的实例，然后部署针对特定服务器版本的定制化利用代码。分析显示，攻击者使用分布在多个地理区域的命令与控制基础设施来逃避检测并维持持久性。攻击链通常始于探测请求以识别服务器类型和版本。

研究人员在开源特权访问管理(PAM)工具 JumpServer 中发现了一系列严重漏洞，这些漏洞可能允许未经身份验证的攻击者绕过认证并获得对 JumpServer 基础设施的完全控制权。JumpServer 由Fit2Cloud 开发，作为通往内部网络的堡垒机，一旦被攻击者入侵，可能导致整个组织内部网络沦陷。

Sonar 研究人员发现了多个身份验证绕过漏洞(CVE-2023-43650 、CVE-2023-43652 、CVE-2023-42818 、CVE-2023-46123)，这些漏洞源于架构设计缺陷，特别是微服务隔离不足。一个关键问题是公钥认证系统缺乏验证请求是否来自授权的 Koko 服务。从漏洞代码中可以看出，这允许攻击者直接通过 HTTP 接口执行相同的请求，有效地在没有密钥验证的情况下冒充 Koko 容器。即使启用了 MFA 的账户也存在漏洞，因为在 SSH 上下文中的双因素认证实现存在缺陷，攻击者可以操纵"remote_addr"参数绕过速率限制机制。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除