各企业一周内连遭多波网络攻击,Nidec被勒索200万美元,Aflac/Nissan接连中招

admin 2026-07-09 05:36:11 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本周安全威胁严峻,多个高危漏洞被利用。Linux内核BadEpoll漏洞(CVE-2026-46242)允许本地用户秒获root权限,影响广泛。OracleEBSPayments组件存在CVSS9.8认证绕过漏洞,已在野利用。GitHub上出现伪装成PoC的ChocoPoC木马,针对安全研究员。CitrixNetScaler、SimpleHelp远程工具等也曝出严重漏洞。日本企业遭集中攻击,Nidec被勒索200万美元,Aflac泄露438万客户数据。建议企业立即修补关键漏洞,审查PoC代码来源,并加强纵深防御。 综合评分: 85 文章分类: 漏洞分析,应急响应,恶意软件,威胁情报,网络安全


cover_image

各企业一周内连遭多波网络攻击,Nidec 被勒索 200 万美元,Aflac/Nissan 接连中招

汇能云安全

2026年7月7日 10:25 广东

在小说阅读器读本章

去阅读

77日,星期二,您好!中科汇能与您分享信息安全快讯:

01

Linux 内核惊现 “Bad Epoll” 漏洞,任何本地用户都能秒变 root,Android 也中招

安全研究人员刚刚公开了一个藏在 Linux 内核里三年的严重漏洞,代号 “Bad Epoll”(CVE-2026-46242)。这个漏洞藏在 epoll——Linux 最核心的 I/O 事件通知机制 —— 里面,是一个竞态条件加释放后重用的组合拳,任何没有特权的本地用户只要运行一段代码,就能在几秒钟内拿到 root 权限,成功率接近 99%。更可怕的是,这个漏洞影响范围极广:Linux 服务器、桌面系统、甚至 Android 手机全部中招,影响内核 6.4 及以上版本。PoC 利用代码已经公开在互联网上,意味着任何能登录系统的人都可以立刻利用它。对企业来说,这是个噩梦级别的消息 —— 共享主机、容器环境、云服务器上的任何一个低权限账户,都可能成为攻击者提权的跳板。建议所有运维团队立即检查内核版本,尽快部署安全补丁,在补丁落地前考虑限制 epoll 相关系统调用的访问权限。

02

Oracle E-Business Suite 被 CVSS 9.8 漏洞打穿,攻击者不需要密码就能接管你的财务系统

Oracle E-Business Suite 是全球大量企业依赖的核心 ERP 系统,管着财务、供应链、HR 这些命脉数据。现在这个系统的 Payments 组件曝出了 CVE-2026-46817,一个 CVSS 评分高达 9.8 的认证绕过和权限管理漏洞,未经认证的远程攻击者可以直接接管整个 Oracle Payments 实例。安全公司 Defused 在 6 月 27 日就通过蜜罐捕获到了真实的在野利用流量 —— 也就是说攻击者在公开 PoC 出现之前就已经开始动手了,比 Oracle 5 月发布的补丁晚了六周。目前全球有超过 900 个 Oracle EBS 实例直接暴露在互联网上,等于把保险柜钥匙挂在了大门口。如果你的企业还在用 Oracle EBS,现在要做的不是 “评估风险”,而是立刻检查是否暴露在公网、立刻应用补丁、立刻通过 VPN 或零信任架构收窄访问面。

03

假冒 PoC 仓库在 GitHub 上钓鱼安全研究员,ChocoPoC 木马已感染 2400 + 次

安全圈最近出了个黑色幽默:研究漏洞的人被漏洞利用工具给坑了。YesWeHack 和 Sekoia 联合披露了一个针对安全研究人员的供应链攻击 —— 攻击者在 GitHub 上发布了多个伪装成热门 CVE 漏洞 PoC 的 Python 仓库,涉及 FortiWeb、PAN-OS、Ivanti Sentry、Check Point VPN 等近期高危漏洞,这些仓库看起来像模像样,代码结构完整,README 写得专业,但里面藏了一个叫 ChocoPoC 的 Python 远控木马。一旦安全研究员下载并运行了这些 “PoC”,木马就会悄悄偷走保存的密码、浏览器 Cookie 和文件,然后把控制权交给攻击者。其中一个恶意包 skytext 已经被下载了 2400 多次,主要来自 Linux 系统。更讽刺的是,这些仓库的代码里还有西班牙语变量名和明显的编程错误,说明攻击者可能连 AI 都没用好就成功了。这件事提醒所有安全从业者:从 GitHub 下载 PoC 前一定要审查代码,不要盲目信任任何仓库,即使是看起来很专业的。

04

Citrix 一次修了 6 个 NetScaler 漏洞,未认证攻击者能直接读服务器任意文件

Citrix 在 6 月 30 日一口气发布了 6 个 NetScaler ADC 和 Gateway 的安全更新,其中一个编号 CVE-2026-10816 的漏洞尤其危险 —— 这是一个未经认证的任意文件读取漏洞,CVSS 评分 7.7,只要攻击者能访问 NSIP、集群管理 IP 或带管理访问权限的 SNIP,就能读取服务器上的任何文件,包括敏感配置和凭据。另外还有多个内存溢出漏洞可能导致拒绝服务,这些漏洞影响多个受支持的 NetScaler 版本,而 Citrix 设备通常作为企业入口网关部署,一旦被攻破就是直接进入内网。考虑到上一个 CitrixBleed 漏洞在公开不到 24 小时就被利用,这次的漏洞被武器化也只是时间问题。所有使用 NetScaler 的企业应立即评估受影响版本并部署补丁,同时审查管理接口的网络访问控制。

05

Aflac 日本被黑客反复入侵 10 天,438 万人数据和 23 万人支付信息全没了

日本 Aflac 人寿刚刚披露了一起持续 10 天的数据泄露事件 —— 从 6 月 15 日到 6 月 25 日,黑客多次入侵其投保人门户系统,最终导致约 438 万客户和代理人的个人信息泄露,同时还有 23 万客户的支付信息被窃取。Aflac 日本已经暂停了受影响系统进行隔离,但部分客户服务目前仍不可用,值得强调的是,这次事件仅影响日本业务,与美国 Aflac 的运营无关。从攻击者能在 10 天内反复进出系统来看,Aflac 日本的安全监控和入侵检测能力显然存在严重缺陷。这已经是近期日本企业遭受的又一起重大网络攻击 —— 同一周内日本电子制造商 Nidec 的台湾子公司也遭到了勒索软件攻击,攻击者索要 200 万美元赎金,日本企业正面临一波明显的网络攻击浪潮,所有在日运营的企业都应提高警惕。

06

微软 SharePoint Server 被 CISA 列入必修清单,补丁打了 21 天才确认在野利用

CISA 将 CVE-2026-45659—— 一个微软 SharePoint Server 的远程代码执行漏洞 —— 加入了 “已知被利用漏洞” 目录(KEV),要求所有美国联邦机构在 7 月 4 日前完成修补。这个漏洞的披露过程暴露了微软安全响应的一个老问题:微软在 6 月的补丁星期二中修复了这个漏洞,但当时评估 “被利用的可能性较低”,结果 21 天后 CISA 确认它正在被积极利用。这种 “打了补丁但低估风险” 的模式已经不是第一次了,SharePoint 作为企业协作的核心平台,存储着大量文档和敏感信息,一旦被 RCE 打穿就是全面沦陷。所有使用 SharePoint Server 的企业 —— 不只是美国联邦机构 —— 都应立即检查是否已安装 6 月补丁,如果还没有,不要等到被利用了才行动。

07

日本一周内连遭多波网络攻击,Nidec 被勒索 200 万美元,Aflac/Nissan 接连中招

过去一周日本企业遭受了罕见的集中网络攻击,除了 Aflac 日本 438 万人数据泄露外,日本电子巨头 Nidec 的台湾子公司 Nidec Chaun Choung Technology 确认遭到勒索软件攻击,攻击者威胁要泄露窃取的数据,索要 200 万美元赎金。与此同时,日产汽车(Nissan)也披露了一起与 Oracle PeopleSoft 零日漏洞相关的数据泄露事件,攻击者通过 Oracle 零日漏洞窃取了美国、加拿大、墨西哥和巴西的在职及前任员工数据。三起事件在短短一周内接连爆发,指向同一个趋势:攻击者正在瞄准日本大型企业的供应链和海外子公司作为突破口。对于在日本或与日企有业务往来的企业来说,现在是全面审查网络安全态势的紧迫时刻 —— 你的日本合作伙伴可能已经被攻破了。

08

SimpleHelp 远程管理工具漏洞被利用投递 TaskWeaver 和 Djinn Stealer,CISA 已发最后通牒

远程管理工具 SimpleHelp 被曝出严重漏洞(CVE-2026-48558),攻击者正在积极利用这个漏洞部署 TaskWeaver 和 Djinn Stealer 两种恶意软件。CISA 已经将其加入 KEV 目录,要求联邦机构在 7 月 2 日前完成修补。SimpleHelp 是很多 IT 服务商和 MSP(托管服务提供商)用来远程管理客户系统的工具,一旦被攻破,攻击者就能通过合法的远程管理通道进入所有被管理的终端。这种 “攻击工具本身成为攻击入口” 的模式越来越常见 —— 从 ConnectWise 到 Kaseya 再到现在的 SimpleHelp,远程管理工具正在成为勒索团伙最喜欢的突破口。如果你的企业在用任何远程管理工具,现在就去检查版本并更新。

09

微软 Defender BlueHammer 漏洞在补丁发布前就已被勒索团伙利用

CISA 确认 CVE-2026-33825—— 微软 Defender 的一个漏洞被称为 “BlueHammer”—— 在补丁可用之前就已经被勒索软件攻击者在野利用了。这是一个典型的 “零日勒索” 场景:攻击者在厂商发布修复之前就已经把漏洞武器化了。微软 Defender 作为 Windows 系统的默认安全防线,本身就是攻击者的高价值目标 —— 如果连杀毒软件都被打穿了,还有什么能挡在前面?这件事再次说明,依赖单一安全产品是危险的。企业需要建立 “纵深防御” 体系:除了终端安全软件,还需要网络层检测(NDR)、行为分析、零信任访问控制和及时的补丁管理。特别是对于已经确认被利用的漏洞,不能等厂商的 “正式补丁”,要立即寻找缓解措施。

10

日产汽车数据泄露牵出 Oracle 零日攻击链,ShinyHunters 疑为幕后黑手

日产汽车确认了一起与 Oracle PeopleSoft 零日漏洞相关的数据泄露事件,影响范围覆盖美国、加拿大、墨西哥和巴西的在职及前任员工。这起事件的调查指向了与 ShinyHunters 黑客组织有关的攻击活动。美国国家保险监管协会(NAIC)也在 6 月 11 日检测到了同一 Oracle 零日漏洞的利用,导致投资评级被临时暂停。Oracle PeopleSoft 是全球大型企业广泛使用的人力资源和财务管理平台,零日漏洞被利用意味着大量企业的员工数据可能已经在暗网上流通。日产这次泄露的员工数据包括个人信息和财务报告数据,虽然公司声称影响范围有限,但从攻击者能利用零日漏洞来看,其技术水平不容小觑。建议所有使用 Oracle PeopleSoft 的企业立即检查是否应用了最新的安全补丁,并监控暗网上是否有相关数据出现。

信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有,如有侵权请联系我们及时删除


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:汇能云安全 《各企业一周内连遭多波网络攻击,Nidec 被勒索 200 万美元,Aflac/Nissan 接连中招》

评论:0   参与:  0