| 安全资讯导视 |
|---|
• 国家能源局发布《能源行业数据分类分级指南(2026年版)》 |
• 因网络安全问题,多家中央部门单位被国家审计署点名 |
• 苹果震动!iPhone 18 Pro供应商、零部件及照片全部泄露 |
7月2日,奇安信CERT监测到官方修复Gitea act_runner 容器逃逸漏洞(CVE-2026-58053),该漏洞源于 Gitea act_runner 使用 Docker 后端(通过 act 0.262.0)将工作流的 container.options 字符串传递给 Docker 作业容器的 HostConfig,并且在配置为 privileged: false 时,仅在合并选项如 --pid=host、--cap-add 和 --security-opt 时关闭 Privileged 标志。攻击者可以利用此漏洞,在 Docker 支持的运行器上运行工作流的用户可以创建一个具有主机命名空间和广泛能力的作业容器,并在禁用特权模式的情况下逃逸到主机并以 root 身份运行,从而完全控制运行器所在的服务器。奇安信鹰图资产测绘平台数据显示,该漏洞关联的全球风险资产总数为113706个,关联IP总数为40732个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2.Linux Kernel DirtyClone本地权限提升漏洞安全风险通告
6月29日,奇安信CERT监测到官方修复Linux Kernel DirtyClone 本地权限提升漏洞(CVE-2026-43503),该漏洞源于内核在通过 __pskb_copy_fclone 等辅助函数克隆或转移网络数据包分片(fragments)时,未能正确传播 SKBFL_SHARED_FRAG 标志位。该标志位用于标记数据包是否引用了共享的(如文件页缓存)内存页。由于标志位丢失,导致后续处理流程(如 IPsec ESP 解密)误判内存属性,未执行必要的写时复制(Copy-on-Write)操作,而是直接在共享的只读文件内存页上进行原地解密写入。攻击者可以利用此漏洞,通过构造特定的网络数据包,修改映射到内存中的特权二进制文件(如 /usr/bin/su),从而在无需修改磁盘文件的情况下,实现从普通用户到 root 用户的权限提升。DirtyClone 属于 DirtyFrag 漏洞家族的新变种。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
1.Microsoft SharePoint Server 反序列化漏洞(CVE-2026-45659)
7月1日,美国网络安全和基础设施安全局 (CISA) 将微软 SharePoint Server 反序列化漏洞 CVE-2026-45659(有证据表明该漏洞已被利用)添加到其“已知已利用漏洞目录”中,这迫使有关机构和暴露 SharePoint 系统的私营团队加快修复速度。该漏洞条目数量虽少,但影响巨大。它再次提醒我们,最危险的 Windows 相关企业风险往往并非存在于桌面,而是存在于每个人都默默信任的协作服务器中。SharePoint 再次成为补丁管理演变为事件响应的典型案例。
该漏洞被描述为 Microsoft Office SharePoint 中不受信任数据的反序列化,允许授权攻击者通过网络执行代码。简而言之,SharePoint 可能被诱骗重建数据,使其比服务器原本应该接受的数据更加危险。攻击者需要一定程度的授权,但网络可达性、攻击复杂度低以及无需用户交互等特点,正是令防御者警惕的典型特征。
“授权攻击者”这一表述不应让人掉以轻心。在企业环境中,有效的凭据并非稀缺资源;这些漏洞通常是网络钓鱼、令牌窃取、密码重用、权限过高的服务帐户以及无人愿意禁用的休眠帐户(因为禁用帐户可能会导致工作流程中断)等攻击的副产品。即使 SharePoint 漏洞发生在身份验证之后,它仍然可以加速初始访问或入侵后的攻击。
受影响的产品系列是常见的本地部署 SharePoint Server 环境:SharePoint Server 订阅版、SharePoint Server 2019 和 SharePoint Enterprise Server 2016。它不包括 SharePoint Online(因为 SharePoint Online 的补丁问题由客户自行管理),但它明确地指向了那些组织选择或被迫将协作基础架构保留在自身内部的环境。
对于管理员而言,建议尽快识别受影响的 SharePoint 服务器实例并应用相关的 Microsoft 安全更新。
参考链接:
https://windowsforum.com/threads/cve-2026-45659-kev-patch-the-sharepoint-deserialization-rce-fast.433069/
2.SimpleHelp OIDC 身份验证绕过漏洞(CVE-2026-48558)
6月30日,黑客正在利用最近披露的 SimpleHelp 中的严重漏洞 (CVE-2026-48558) 部署 Djinn Stealer,这是一个此前未记录的跨平台信息窃取程序,目标包括 Windows、macOS 和 Linux。
SimpleHelp 平台主要由托管服务提供商 (MSP)、IT 部门、服务台和系统管理员用于远程监控和管理 (RMM)。本月初,攻击性安全公司 Horizon3.ai 公布了CVE-2026-48558 的详细信息,称该漏洞可被利用来创建无需身份验证的高权限技术人员帐户。使用 OpenID Connect (OIDC) 身份验证协议的服务器可能存在被利用的漏洞。研究人员表示,在漏洞披露时,约有 1000 台暴露在外的 SimpleHelp 服务器运行着存在漏洞的配置。
在托管检测和响应 (MDR) 提供商 Blackpoint 调查的一起事件中,威胁行为者利用关键的身份验证绕过漏洞,在面向互联网的 SimpleHelp 服务器上建立了经过身份验证的技术人员会话,然后部署了 TaskWeaver 恶意软件加载器和 Djinn Stealer。
Blackpoint 表示,被攻破的 RMM 平台为操作员提供了一个可信的管理通道,能够传输文件并在通过服务器管理的系统上执行命令。调查显示,TaskWeaver 是以名为“jquery.js”的混淆 JavaScript 文件的形式从临时 Cloudflare 域名下载的。TaskWeaver 是一个通用的恶意软件加载器,它能够识别受感染的设备,并与命令与控制 (C2) 基础设施通信,以接收新的 JavaScript 模块来执行。然后,加载器会安装 Djinn Stealer,以便一次性收集开发者机器(无论是 Windows、macOS 还是 Linux)上能找到的所有敏感数据。
Djinn Stealer 尤其专注于 AI 开发工具,但其目标用户群体广泛,涵盖开发者和基础设施凭证。在 Linux 系统上,该恶意软件还会尝试读取 /proc/<pid>/cmdline 和 /proc/<pid>/environ 虚拟文件,其中包含有关正在运行的进程的信息,包括密钥(例如 API 密钥、凭据、会话令牌、文件路径、URL)。Blackpoint 的研究人员警告说,窃取广泛用于编码和软件开发的 AI 开发工具的凭证,可能会使攻击者获得 AI 助手对存储库、云资源、数据库和 API 的授权访问权限。
在将敏感数据泄露到 C2 服务器之前,Djinn Stealer 会将其打包成 TAR 归档文件,然后使用 GZIP 对其进行压缩,并使用嵌入 TaskWeaver 中的 RSA-2048 公钥保护的 AES-256-GCM 密钥对其进行加密。
建议受影响系统管理员优先将 SimpleHelp 实例更新到最新版本。如果系统遭到入侵,请轮换所有凭据和 API 密钥。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-simplehelp-flaw-deploy-new-djinn-infostealer-taskweaver-malware/
3.Oracle E-Business Suite Payments 远程代码执行漏洞(CVE-2026-46817)
6月30日,据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个严重漏洞(跟踪编号为CVE-2026-46817)。
该安全漏洞存在于 EBS 的 Oracle Payments 产品的文件传输组件中,使得未经身份验证的恶意行为者可以通过 HTTP 网络访问,利用低复杂度的攻击来接管易受攻击的系统。
Oracle 发布了安全更新以解决该漏洞,并于2026年5月发布了关键安全补丁更新,敦促客户立即修补其系统。据报道,在某些情况下,攻击者之所以得逞,是因为目标客户未能应用可用的 Oracle 补丁。
虽然 Oracle 尚未将 CVE-2026-46817 漏洞标记为已被实际利用,但 Defused 周一表示,攻击者目前正在积极利用该漏洞,并且周末发现了首次攻击尝试。声明中警告道,Defused 发现有攻击者利用了 Oracle E-Business 蜜罐上的这个漏洞。该漏洞此前未被利用,也没有公开的 PoC 代码。
互联网安全监督组织 Shadowserver 目前追踪到超过450个暴露在网络上的 Oracle EBS 实例,其中近200个位于美国和欧洲。然而,目前尚无信息表明有多少设施已经采取措施抵御这些持续不断的攻击。
Oracle 强烈建议客户继续使用受支持的版本,并立即应用安全补丁。
参考链接:
https://www.bleepingcomputer.com/news/security/new-oracle-e-business-suite-flaw-now-exploited-in-attacks/
1.苹果震动!iPhone 18 Pro供应商、零部件及照片全部泄露
6月30日路透社消息,苹果公司重要供应链合作伙伴、印度代工巨头塔塔电子近期遭遇网络攻击,勒索软件组织World Leaks在暗网公开了超过20万个敏感文件。遭泄露的数据容量超630GB,涵盖特斯拉、苹果等公司的工厂机密文件,并首次曝光了苹果尚未发布的iPhone 18 Pro系列核心零部件、供应商名单、机型跌落测试照片等商业机密。目前,苹果公司尚未公开发表回应,但知情人士透露苹果已启动全面调查,并正与塔塔合作采取长期应对措施。塔塔电子已在调查期间限制了内部对敏感系统的访问权限,并聘请全球顾问公司开展取证审计。此次事件不仅暴露了苹果供应链的议价优势与潜在弱点,也令其依赖印度实现供应链多元化的战略面临信任挑战。
原文链接:
https://www.secrss.com/articles/91805
2.因网络安全问题,多家中央部门单位被国家审计署点名
6月29日首席安全官消息,国家审计署近日发布《2026年第1号审计公告》,披露中央部门单位2025年度预算执行等情况审计结果。在本年度的例行审计中,合规缺位、违规分包、数据私售等乱象成为高频词,网络安全领域的规范性问题再度被摆上台面。据公告披露,有单位信息系统未完成分级保护测评无法上线运行;有单位信息系统安全等级保护不够;有单位对项目履约监管不到位,导致中标企业对外分包并开放非公开系统数据权限,存在政务数据泄露风险;有单位下属公司未经批准和安全评估,将管理的数据出售给外部单位等。
原文链接:
https://www.secrss.com/articles/91691
3.日本运营商巨头KDDI重大数据泄露:超1420万用户邮箱密码遭窃取
6月28日Bleeping Computer消息,日本电信运营商巨头KDDI株式会社披露,近期发现其邮箱系统遭遇外部入侵。初步调查显示,威胁行为者利用了该系统中某款未披露名称的第三方软件漏洞实施攻击。此次安全事件除波及KDDI自身用户外,还影响了共同使用该系统的STNet、JCOM、中部电力、NIFTY和BIGLOBE等另外5家日本网络运营商。目前,可能遭遇泄露的客户邮箱地址和密码(部分为哈希或加密形式)总数最多达1422万个,范围涵盖当前客户、历史客户及非活跃账号。KDDI已采取切断访问等技术防御措施,并向日本个人信息保护委员会及总务省通报,相关方面正加紧开展深度调查并指导受影响用户重置密码。
原文链接:
https://www.secrss.com/articles/91704
4.美国保险业资产评级认证因网络攻击暂停,或引发险资震荡
6月28日Insurance Business消息,美国全国保险监督官协会(NAIC)遭网络犯罪组织ShinyHunters窃密攻击,3.1TB数据泄露,涉及大量保险公司监管申报文件、信用评级机构的评级文件、部分客户订单记录、NAIC生产环境的日志/配置/凭证等敏感文件等。事件发生后,穆迪、惠誉、KBRA等多家信用评级机构出于审慎考虑,已暂停向该协会传输数据源,NAIC被迫暂时中止美国保险业投资资产评级的认证服务。由于该评级框架直接决定美国保险公司的资产分类与资本计提标准,此次数据传输与认证服务的双重停滞,导致管理保险公司资本规则的运行机制陷入瘫痪。目前,部分寿险公司资本金不足的真实风险面临暴露可能,或将引发美国保险行业震荡。美国联邦调查局已介入调查。
原文链接:
https://www.secrss.com/articles/91749
1.《网络安全标准实践指南——智能体部署使用安全指引》发布
7月1日消息,全国网络安全标准化技术委员会秘书处编制发布了《网络安全标准实践指南——智能体部署使用安全指引》。该文件给出了评估、准备、部署、使用、停用等阶段的智能体部署使用安全指引,适用于智能体部署使用的安全风险防范,也可为选择使用商业智能体服务提供参考。该文件还给出了智能体部署使用安全检查清单、组织使用智能体安全管理指引,以便于快速建立安全基线和管理方案。
原文链接:
https://www.secrss.com/articles/91811
2.国家能源局发布《能源行业数据分类分级指南(2026年版)》
6月30日,国家能源局发布《能源行业数据分类分级指南(2026年版)》。该文件共4章15条,包括总则、能源行业数据分类分级规则、能源行业重要数据与核心数据识别规则、附则。该文件明确了能源行业数据分类和分级规则,衍生数据、脱敏数据的分级规则,以及能源行业重要数据、核心数据的具体识别规则。该文件规定,部分重要能源设施的精确地理坐标、实时控制指令以及能源消费类数据被列入能源行业重要数据和核心数据,其中特级重要电力用户连续1年及以上电力消费原始数据、1亿个以上电力用户的电力消费原始数据被认定为核心数据。
原文链接:
https://www.secrss.com/articles/91014
3.工信部等八部门印发《关于推动工业互联网高质量发展的实施意见》
6月30日,工业和信息化部、国家发展改革委、人力资源社会保障部、应急管理部、中国人民银行、国务院国资委、市场监管总局、中国证监会等八部门联合印发《关于推动工业互联网高质量发展的实施意见》。该文件围绕实施基础设施、技术创新、融合应用、安全保障、产业生态等五个方面,系统部署18项具体任务。在安全保障方面,该文件提出健全安全制度机制,增强安全保障能力,提升安全供给服务水平。建立健全工业网络和数据安全技术能力,优化国家工业互联网安全技术监测服务体系,实施“铸网”工业互联网安全演练,开展企业安全能力星级评价,组织开展护航新型工业化网络安全、“数安护航”等专项行动,聚焦重点企业、重要系统、重大风险开展风险排查。
原文链接:
https://www.secrss.com/articles/91746
4.《政务移动互联网应用程序管理要求》强制性国家标准公开征求意见
6月26日,中央网络安全和信息化委员会办公室已组织完成了《政务移动互联网应用程序管理要求》强制性国家标准的征求意见稿,现公开征求意见。该文件规定了政务移动互联网应用程序功能建设、备案管理、使用管理、安全保密等方面要求。在安全保密方面,该文件提出,应落实网络安全和数据安全、第三方服务管理、供应链安全管理、安全监测与应急响应、保密、人工智能接入管理等要求,建立网络安全、数据安全、个人信息保护监测预警机制与应急响应预案,实时监测网络安全风险和攻击、数据安全缺陷与漏洞以及个人信息泄露、篡改、丢失等情况,建设完善保密自监管设施,完整记录人工智能服务的用户交互、模型响应、人工干预等全流程操作信息,还应记录智能体决策路径、工具调用详情、数据访问记录等核心行为。
原文链接:
https://www.secrss.com/articles/91666
5.美国众议院两党议员联合提出《云安全法案》
6月26日,美国民主党众议员Josh Gottheimer与众议院中美战略竞争特别委员会主席、共和党众议员John Moolenaar联合提出《云安全法案》。法案要求美国基础设施即服务(IaaS)提供商建立“了解你的客户”制度,对外国客户进行身份核验,以识别是否有与“特定外国实体”相关的客户正在使用美国云计算基础设施训练AI模型。如果发现有关联的客户,云服务商需将相关信息报送美国情报界和网络安全与基础设施安全局(CISA),后者判断这些客户是否正在开发或实施“恶意网络赋能活动”,认定后可禁止其继续使用美国IaaS服务。法案还要求商务部在180天内出台实施细则,并在随后五年内每年向国会提交报告,说明外国客户使用美国云服务的情况,包括来自特定外国实体客户的占比、其中具有恶意意图的比例,以及政府的识别方式。
原文链接:
https://www.secrss.com/articles/91682
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……




还没有评论,来说两句吧...