文章总结: 本周网络安全事件频发,涉及关键漏洞、供应链攻击与国家级黑客活动。Curl修复潜伏25年的认证绕过漏洞,libssh2曝出高危RCE漏洞;FortiBleed行动致43万台防火墙凭证泄露,俄罗斯Turla组织使用新型STOCKSTAY后门针对乌克兰。Polymarket因第三方入侵损失294万美元,巴西警报系统因弱密码遭篡改。OpenAI推出GPT-5.5-Cyber辅助漏洞修复,恶意Chrome扩展滥用原生消息主机窃密。建议立即升级软件、启用MFA、审计第三方服务。 综合评分: 84 文章分类: 漏洞预警,威胁情报,安全大事件,恶意软件,解决方案
超43万台FortiGate防火墙沦陷。网络安全一周新闻速看(20260628期)
网络安全研究站
2026年6月29日 22:38 广东
在小说阅读器读本章
去阅读
为了让大家在繁杂的信息流中快速抓住重点,我们从全球安全情报精选了本周最具影响力的10条新闻。无论是企业决策者、技术从业者还是普通用户,这份清单都将为你提供不可或缺的安全视野。#新闻 #资讯 #信息安全
本周大事
- 【漏洞】Curl发布史上最大规模漏洞修复更新,包含一个存在25年的历史性漏洞
- 【供应链】预测市场平台Polymarket因第三方供应商遭入侵,致294万美元加密货币被盗
- 【APT】谷歌披露Turla组织针对乌克兰间谍攻击的新型STOCKSTAY后门
- 【漏洞】巴西全国紧急警报系统遭入侵,黑客利用十年未改弱密码发送虚假极端警告
- 【地缘】Anthropic指控阿里巴巴”非法”访问其Claude AI模型,创已知最大规模蒸馏攻击记录
- 【恶意软件】恶意Chrome扩展滥用原生消息主机,借DLL侧加载与策略篡改实现远程命令执行
- 【AI防御】OpenAI推出GPT-5.5-Cyber强化版,助力安全团队修复漏洞
- 【事件】黑客组织Scattered Spider入侵伦敦交通局内网致重大损失
- 【高危】高危libssh2漏洞:攻击者可借恶意SSH数据包执行远程代码
- 【事件】俄罗斯IAB发动”FortiBleed”大规模凭证窃取行动,超43万台FortiGate防火墙沦陷
1
Curl发布史上最大规模漏洞修复更新,包含一个存在25年的历史性漏洞
新闻概览
广泛使用的开源数据传输工具curl于近日发布了版本更新,一次性修复了18个安全漏洞,其中编号为CVE-2026-8932的问题可追溯至2001年3月发布的curl 7.7版本——这意味着该缺陷在代码中潜伏了超过25年。该漏洞存在于libcurl的连接复用机制中,当客户端证书或私钥设置发生变更时,系统可能仍沿用旧连接,导致认证被绕过。curl命令行工具不受影响,但依赖libcurl的应用程序存在风险。此次修复的漏洞集群还包括凭据混淆、双重释放、释放后重用及SSH主机验证绕过等内存与逻辑缺陷,涉及.netrc处理、SASL认证、HTTP/2流依赖等多个模块。有趣的是,这批漏洞的发现得益于AI辅助分析:研究机构AISLE贡献了其中6个CVE,而使用Anthropic和OpenAI模型的团队分别发现了1个。尽管curl运行在超过300亿台设备上,但目前尚无这些漏洞被在野利用的确认案例。官方建议所有使用curl和libcurl的开发者立即升级至最新版本。
2
预测市场平台Polymarket因第三方供应商遭入侵,致294万美元加密货币被盗
新闻概览
去中心化预测市场平台Polymarket近日确认,一起通过第三方供应商发起的供应链攻击导致其网站前端被注入恶意脚本,部分用户资金被盗。区块链安全研究员Specter最先监测到此次针对Polymarket用户的钓鱼攻击,估计损失约294万美元。攻击者已从至少11个持有PUSD(Polymarket美元稳定币)的钱包中盗取资金,将赃款跨链桥接至以太坊并兑换为约1,893枚ETH,随后转移至攻击者控制的地址。Polymarket在发现攻击后迅速响应,移除了受影响的依赖项,并表示已控制事态。公司声明将全额赔偿受影响用户的损失,并已开始联系相关客户。目前具体技术细节尚未公开披露。此次事件再次凸显了第三方服务集成在Web3应用中的供应链安全风险。
3
谷歌披露Turla组织针对乌克兰间谍攻击的新型STOCKSTAY后门
新闻概览
谷歌威胁情报小组最新报告披露,俄罗斯国家级黑客组织Turla(亦被称为Snake、Uroburos)在针对乌克兰政府与军事机构,以及对意大利外交政策感兴趣的实体发起的间谍活动中,使用了一款此前未被记录的.NET后门STOCKSTAY。该恶意软件自2022年12月即开始开发,采用多组件架构,通过安全WebSocket通信,并利用开源库websocket-sharp建立加密信道。STOCKSTAY由下载器(STOCKSTAY.MARKETMAKER)、隧道代理(STOCKSTAY.STOCKBROKER)、主后门(STOCKSTAY.STOCKTRADER)以及控制器(STOCKSTAY.STOCKMARKET)四个组件构成,支持文件操作、屏幕截图、注册表修改、进程执行等近二十项远程命令。该后门与Turla常用的Kazuar工具有显著代码和功能重叠,推测由相同开发者维护。攻击者通过包含恶意RDP附件或武器化RAR文件(利用WinRAR漏洞CVE-2025-8088)的钓鱼邮件进行初始投递,部分载荷托管于被攻陷的WordPress站点。值得注意的是,STOCKSTAY既可被用于初始访问,也可在后续渗透阶段针对特定主机精准部署,显示Turla正在积极测试并融合新旧工具链以强化对乌克兰网络的空间劫持能力。
4
巴西全国紧急警报系统遭入侵,黑客利用十年未改弱密码发送虚假极端警告
新闻概览
上周六清晨,巴西多个州的手机用户突然收到一条来自官方紧急警报系统的极端警报短信,内容仅含“misantropi4”一词(葡萄牙语“厌世”的Leet拼写变体)。由于当时并无任何自然灾害或突发事件,这一虚假警报迅速引发全国性混乱,迫使巴西国家电信局(Anatel)紧急关闭了Cellbroadcast预警平台,并宣布系统将保持下线直至完成全面安全审查。调查显示,攻击者可能是一名使用“mizanthropiaz”网名的黑客,其通过一个早在2016年就被信息窃取恶意软件泄露的政府雇员账号成功入侵。令人震惊的是,该账户的密码在过去十年间从未更改,且与用户名完全相同。此外,该系统缺乏VPN或双因素认证等基本安全控制,其防暴力破解验证码也始终固定为“2+2=”。当地民防部门已确认此次警报非内部人员发送,并正与Anatel合作调查事件。此次攻击凸显了关键基础设施在身份凭证管理和基本安全控制上的严重缺陷。
5
Anthropic指控阿里巴巴”非法”访问其Claude AI模型,创已知最大规模蒸馏攻击记录
新闻概览
美国AI公司Anthropic近日向美国参议院银行委员会致信,正式指控中国科技巨头阿里巴巴及其AI研究部门通义千问(Qwen)发动了一场大规模、有组织的“蒸馏攻击”,旨在非法窃取其Claude AI模型的核心能力。据Anthropic称,此次行动发生于2026年4月22日至6月5日期间,涉及者通过创建近2.5万个欺诈账户,与Claude模型进行了超过2880万次交互,目标直指Claude在软件工程与代理推理方面最先进、最具商业价值的核心能力。Anthropic将这一行为定性为“工业级的蒸馏攻击”,并认为其不仅构成知识产权侵犯,更因通过此方式训练的AI系统可能缺乏安全护栏而构成更广泛的国安风险。
然而,Anthropic的指控在业内引发了广泛争议。批评者指出,蒸馏(Distillation)本身是AI行业自2015年以来广泛应用的合法训练技术,旨在通过模仿强大模型的输出来提升较小模型的效率,包括OpenAI、英伟达等美国公司均普遍采用此技术。争议的焦点在于手段而非技术本身:即利用欺诈账户大规模滥用API的行为确实违反服务条款,但将技术滥用与合法技术本身捆绑并冠以“攻击”之名,被指有将商业纠纷政治化之嫌。此次指控正值Anthropic提交IPO文件、寻求上市的关键时期,而其自身也因从盗版网站下载大量书籍训练模型,在2025年支付了高达15亿美元的版权和解费。目前,阿里巴巴尚未对此指控作出公开回应。
6
恶意Chrome扩展滥用原生消息主机,借DLL侧加载与策略篡改实现远程命令执行
新闻概览
安全研究人员发现一起新型恶意软件活动,攻击者通过意大利语发票钓鱼邮件诱导受害者运行一个伪装成PDF的JS文件。该脚本释放两个文件:一个由EpicGames签名的合法可执行文件(用于DLL侧加载)和一个恶意d3d11.dll。侧加载启动后,恶意DLL会执行PowerShell脚本,篡改Chrome企业策略,静默安装名为“Cloud vn105rkj64”的恶意扩展,同时注册一个原生消息主机。该主机作为浏览器与系统之间的桥梁,使扩展能够绕过Chrome沙箱,在底层直接执行PowerShell命令。扩展随后向C2服务器(ext2[.]info)发送窃取的Google会话Cookie、浏览标签、URL及设备指纹,实现会话劫持,并可接收命令执行任意系统操作(如列出C盘目录)。该攻击链通过滥用合法签名工具、Chrome企业策略和原生消息功能,将日常工作组件转化为隐蔽后门,避开了常规安全检测。防御者应审计Chrome扩展安装策略、检查原生消息主机注册项,并立即轮换可能泄露的凭证。
7
OpenAI推出GPT-5.5-Cyber强化版,助力安全团队修复漏洞
新闻概览
OpenAI宣布向其Daybreak计划中的受信防御者发布改进版GPT‑5.5‑Cyber模型,称其为“目前最强大的漏洞发现与辅助修复模型”,能够对大型代码库进行深度分析、验证漏洞并生成补丁。同时,OpenAI发布Codex Security插件更新,旨在加速现有系统漏洞的发现与修补,并可对来自扫描器、公告或漏洞赏金报告的现有发现进行分类验证,实现规模化补丁生成。为应对AI模型(包括Anthropic的Claude和OpenAI自身)加速漏洞发现、但维护者因数量激增而难以有效修补这一新瓶颈,OpenAI与Trail of Bits联合启动“Patch the Planet”计划,首批合作项目包括curl、NATS Server、Python、Go等关键开源基础设施。该计划旨在将完整防御闭环(发现、验证、披露、补丁开发、测试与部署)服务于维护者。此前,Daybreak已协助发现Linux内核、FreeBSD、dnsmasq及Chrome、Safari等系统与浏览器中的大量漏洞。与此同时,五眼联盟情报机构警告称,先进AI模型正加速威胁演进速度,压缩防御响应窗口,组织应尽快将网络安全融入核心业务战略。
8
黑客组织 Scattered Spider 入侵伦敦交通局内网致重大损失
新闻概览
两名来自Scattered Spider网络犯罪组织的成员Thalha Jubair(20岁)和Owen Flowers(18岁)近日在英国法庭上承认,他们于2024年8月31日至9月3日期间对伦敦交通局(TfL)内部网络发动了网络攻击。此次入侵导致TfL被迫对约28,000名员工实施全面密码重置,员工需亲自前往办公室重新验证身份,显示出攻击的严重性及内部身份系统信任的丧失。攻击还影响了Oyster卡退款系统和青年旅客的电子照片卡申请服务,造成客户服务中断和约2900万英镑的经济损失。调查显示,Flowers通过在线市场获取泄露凭证,并在其笔记本电脑上发现与TfL基础设施保持连接的直接证据;Jubair则在攻击期间录制了操作TfL系统的视频。两人通过Telegram等平台协调行动。该攻击与Flowers入侵美国SSM Health、Sutter Health等医疗机构的行为有关联。两人将于7月16日接受量刑宣判。此案凸显了关键基础设施面临的凭证滥用与社会工程学威胁,以及事件快速报告与执法协作的重要性。
9
高危 libssh2 漏洞:攻击者可借恶意 SSH 数据包执行远程代码
新闻概览
广泛使用的SSH库libssh2被披露一个严重安全漏洞(CVE-2026-55200,CVSS评分9.2),允许远程攻击者通过特制的SSH数据包执行任意代码。该漏洞源于ssh2_transport_read()函数未对传入数据包中的packet_length字段进行充分的上限校验,导致攻击者提供异常大的长度值时可触发整数溢出,进而造成越界堆写入。这种内存破坏条件可被利用来覆盖相邻内存结构,最终实现无认证的远程代码执行。该漏洞影响libssh2 1.11.1及更早版本,攻击向量为网络可达,无需用户交互,利用复杂度低。成功利用可导致机密性、完整性和可用性的全面丧失,使攻击者完全控制受影响系统。由于libssh2被广泛嵌入SSH客户端、自动化框架、文件传输工具及云服务和嵌入式系统中,影响范围极为广泛。该漏洞已在commit 7acf3df中修复,官方补丁可通过项目GitHub仓库获取。安全研究员Tristan Madani负责任地披露了此漏洞。建议所有组织立即升级至修复版本,审查静态链接或捆绑版本的libssh2,并监控异常SSH流量。
10
俄罗斯IAB发动“FortiBleed”大规模凭证窃取行动,超43万台FortiGate防火墙沦陷
新闻概览
一场代号为“FortiBleed”的大规模凭证窃取行动正在全球范围内对Fortinet FortiGate防火墙发起持续攻击。据安全公司SOCRadar披露,自2026年2月起,一个疑似俄语背景的初始访问经纪人(IAB)已锁定超过43万台暴露在公网的FortiGate设备,并成功从其中超过8.6万台设备(覆盖194个国家)中提取了已验证的管理员及VPN凭证。攻击者通过Masscan和Shodan进行大规模侦察,利用暴力破解和撞库攻击获取SSH访问权限。其核心武器是一款名为FortigateSniffer的Golang工具,该工具滥用FortiOS合法的诊断命令diagnose sniffer packet,将受陷防火墙变为被动嗅探器,可在不影响设备运行的情况下,捕获经过的24种协议的认证流量,包括RADIUS、NTLM、Kerberos等。为躲避检测,嗅探活动仅在莫斯科时间早7点至晚6点的工作时段运行。捕获的哈希值通过分布式GPU集群(Hashtopolis+Hashcat)及租用的vast.ai算力进行离线破解。SOCRadar估计,攻击者在5月31日至6月15日期间至少启动了659条凭证收割管道,累计识别超过1.1亿条凭证,包括约8900万个MySQL认证令牌、1480万条RADIUS凭证、92.4万个NTLM哈希及13万个Kerberos哈希。最令人担忧的是,该行动已从窃取升级为实质性破坏,攻击者利用破解的Kerberos哈希,成功入侵了一家北约成员国防承包商的网络,窃取了分布式文件系统(DFS)备份数据。该行动主要针对员工少于200人的中小型企业,尤其以IT服务提供商为首要目标,意图通过入侵托管服务商(MSP)进而渗透其客户网络。Fortinet已确认此活动并非由新产品漏洞导致,而是攻击者利用客户未能修补的历史漏洞、弱密码及未启用多因素认证(MFA)等安全实践缺陷所致,并已开始通知受影响客户,建议立即终止所有会话、重置凭证、强制启用MFA。此次攻击再次敲响警钟:边界设备的安全失守,可能导致整个企业身份层的全面暴露。
如果您觉得本文有价值,欢迎点击关注。本站将持续追踪全球安全态势,每周更新重要安全情报,为您带来第一手的深度解读与前沿干货。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络安全研究站 《超43万台FortiGate防火墙沦陷。网络安全一周新闻速看(20260628期)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论