黑客利用安全测试利用法式入侵财富500强企业

首页 > 安全钻研 > 安全传递 > 安全简讯

黑客利用安全测试利用法式入侵财富500强企业

颁布功夫 2026-01-23

1. 黑客利用安全测试利用法式入侵财富500强企业

1月21日，自动化渗入测试公司Pentera最新调查显示，威胁行为者正利用有意设置缝隙的安全培训及渗入测试Web利用（如DVWA、OWASP Juice Shop等），对财富500强企业及安全厂商的云环境执行入侵。这些利用因配置谬误露出于公共互联网，并与权限过高的IAM角色关联，部署在AWS、GCP、Azure等云平台，形成严沉安全风险。钻研团队在公共网络发现1926个存在缝隙的活跃利用事俘，部门属于Cloudflare、F5、Palo Alto Networks等驰名企业。这些事俘中，超半数仍使用默认凭证，未遵循"最幼权限"准则，导致攻击者可等闲获取S3存储桶、Secrets Manager读写权限，甚至获得云环境治理员接见权。Pentera证实，黑客已利用这些入口点部署加密钱币挖矿法式（如XMRig）、webshell及悠久化机造。此表，钻研人员发现名为"filemanager.php"的webshell支持文件操作与号令执行，其时区设置为欧洲/明斯克（UTC+3），可能暗示攻击者起源。这些恶意法式在Pentera通知有关公司后仍持续活动，直至企业建复问题。

https://www.bleepingcomputer.com/news/security/hackers-exploit-security-testing-apps-to-breach-fortune-500-firms/

2. LastPass垂钓攻击利用守护通知诱骗用户备份

1月21日，近日，密码治理平台LastPass颁布安全忠告，告发一种假装成服务守护通知的新型网络垂钓攻击。攻击者自1月19日起，通过发送主题为"LastPass基础架构更新：立即�；つ谋Ｏ湛�""守护前备份您的保险库（24幼时窗口期）"蹬资件，诱导用户在24幼时内备份数据保险库。这些邮件假装成官方通讯，宣称因基础设施守护需创建本地备份以确保数据安全，并强调"万一出现技术难题，备份可保险信息安全可复原"，刻意造作紧迫感以执行社会工程攻击。据LastPass威胁谍报团队披露，恶意邮件起源蕴含"support@lastpass[.]server8""support@sr22vegas[.]com"等仿冒地址。用户点击邮件中的"立即创建备份"按钮后，将被沉定向至"mail-lastpass[.]com"垂钓网站。该网站虽目前已离线，但攻击者意图通过诱导用户输入主密码或执行恶意操作，实现账户劫持或凭证窃取。LastPass强调，公司绝不会要求用户通过邮件备份保险库，更不会索要主密码，用户应直接通过官方渠路汇报可疑事务至"mailto:abuse@lastpass.com"。

https://www.bleepingcomputer.com/news/security/fake-lastpass-emails-pose-as-password-vault-backup-alerts/

3. Chainlit AI框架缝隙导致黑客入侵云环境

1月21日，开源对话式AI框架Chainlit被曝存在两个高危缝隙"ChainLeak"（CVE-2026-22218、CVE-2026-22219），无需用户交互即可被利用，影响全球多个行业部署的互联网AI系统。该框架在PyPI月均下载量达70万次，年下载量超500万次，宽泛用于企业、学术机构的AI利用构建，提供现成谈天界面、身份验证及云部署支持。缝隙细节显示，CVE-2026-22218为肆意文件读取缝隙，攻击者可利用/project/element端点提反目意"path"参数，强造服务器将指定蹊径文件复造至攻击者会话，从而窃取API密钥、云凭证、源代码、SQLite数据库等敏感信息。CVE-2026-22219为服务器端要求伪造（SSRF）缝隙，影响使用SQLAlchemy数据层的部署，攻击者通过"url"字段诱导服务器提议表部GET要求并存储响应，进而通过元素下载端点获取数据，实现内部服务探测及REST API接见。Zafran Labs钻研人员证实，两缝隙可组合成攻击链，导致系统齐全入侵及云环境横向移动。缝隙于2025年11月23日初次汇报，12月9日获守护者确认，12月24日通过Chainlit 2.9.4版本建复，最新版本为2.9.6。

https://www.bleepingcomputer.com/news/security/chainlit-ai-framework-bugs-let-hackers-breach-cloud-environments/

4. 新型Osiris勒索软件现身，POORTRY驱动执行BYOVD攻击

1月22日，东南亚一家大型食品服务特许经营商2025年11月遭逢新型勒索软件Osiris攻击。赛门铁克与Carbon Black团队披露，该攻击利用名为POORTRY的恶意驱动法式，通过"自带易受攻击的驱动法式（BYOVD）"技术禁用安全软件，与2016年Locky变种无关。Osiris选取混合加密规划，为每个文件天生唯一密钥，具备终场服务、指定加密领域、终止过程及投放勒索信等能力，默认终止Office、Exchange、Veeam等过程，被评估为经验丰硕攻击者的高效工具。攻击者通过Rclone将敏感数据窃取至Wasabi云存储，使用Netscan、Netexec、MeshAgent及定造Rustdesk等双用处工具，并部署KillAV工具提升权限。线索显示其可能与INC勒索软件（别号Warble）存在关联，因使用了一样版本的Mimikatz工具（kaz.exe）。

https://thehackernews.com/2026/01/new-osiris-ransomware-emerges-as-new.html

5. SmarterMail治理员密码沉置缝隙遭黑产逆向利用

1月22日，网络安全公司watchTowr 1月8日披露SmarterTools旗下SmarterMail邮件服务器存在高危身份验证绕过缝隙。该缝隙位于"force-reset-password"API端点，攻击者无需认证即可通过发送蕴含"IsSysAdmin":true的JSON数据，强造沉置系统治理员密码并获得齐全节造权限。只管SmarterMail在1月15日垂危颁布Build 9511版本建复此缝隙，但钻研人员发现攻击者仅用两天便逆向补丁并执行利用，印证黑产对补丁的高效逆向能力。技术分析显示，该API端点未验证旧密码字段，攻击者只需通达治理员用户名即可实现密码劫持。成功入侵后，攻击者可执行操作系统号令实现远程代码执行。watchTowr通过概想验证演示了系统级shell接见，并从匿名耳目处获知现实攻击案例，论坛帖子显示有攻击者在批量沉置治理员密码，日志分析证实攻击指标确为"force-reset-password"端点。

https://www.bleepingcomputer.com/news/security/smartermail-auth-bypass-flaw-now-exploited-to-hijack-admin-accounts/

6. 立讯精密遭勒索攻击，苹果等企业主题思密面对泄露风险

1月19日，苹果主题代工厂立讯精密2025年12月15日遭逢疑似由RansomHub黑客组织提议的勒索软件攻击。该组织在暗网论坛宣称已加密立讯精密数据，并威胁若不支付赎金将泄露苹果、英伟达、LG等企业机密数据。立讯精密作为苹果沉要合作同伴，掌管iPhone、AirPods、Apple Watch及头显设备组装，把握大量主题思密信息。钻研团队分析黑客披露的数据样本发现，泄露内容涵盖2019-2025年间苹果与立讯精密合作的设备维建、物流运输等项目细节，蕴含功夫规划、具体流程及客户资料。此表，数据中蕴含员工姓名、职位、工作邮箱等敏感幼我信息，以及.dwg、Gerber等设计文件，涉及3D CAD模型、电路板造作数据、电气架构等高度敏感贸易运营内容。RansomHub宣称已获取苹果、英伟达、LG、吉利、特斯拉等多家企业的3D工程设计、2D组件图纸、PDF工程图及印刷电路板造作数据，这些受保密和谈�；さ某霾蟹⑿畔⑷舯恍孤�，可能被竞争敌手用于反向研发或造作仿冒产品，节俭数年研发成本。

https://cybernews.com/security/luxshare-apple-iphone-assembler-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研