外交部凭证遭窃卖,Fortibleed盯上Fortinet

发布时间 2026-07-08

1. 外交部凭证遭窃卖,Fortibleed盯上Fortinet


7月6日,一场名为Fortibleed的全球性凭证窃取活动正在暗网上掀起波澜。据披露,攻击者通过回收利用此前泄露的登录凭证,对面向互联网的Fortinet防火墙和VPN网关发起自动化的暴力破解攻击,已从全球194个国家和地区的组织中收集了超过3万组经过验证的用户名和密码,并据此建立了一个庞大的非法数据库。令人警惕的是,英国外交部(FCDO)及多个地方议会的特权凭证赫然在列,一名化名为“SantaAd”的威胁行为者正在暗网兜售这批被盗凭证,要价高达6万美元(约合4.4万英镑)。研究人员在泄露的数据集中明确识别出英国政府、外交及联邦发展事务部以及地方当局的账户信息,受影响的机构包括英国驻泰国和毛里求斯大使馆的IT人员,以及德比郡和沃尔瑟姆森林议会的员工。此外,能源公司、英国国家医疗服务体系(NHS)机构、药房和药品供应商的凭证也出现在数据集中,进一步扩大了事件的影响面。


https://cybernews.com/security/uk-foreign-office-fortibleed-attack-dark-web-logins/


2. 埃森哲遭数据泄露,35GB源码被窃


7月7日,IT服务巨头埃森哲近日证实,公司遭遇了一起安全泄露事件,此前有威胁行为者声称窃取了该公司35GB的源代码及其他数据。埃森哲在声明中表示,公司已知悉这一孤立事件,并已从源头进行了修复,强调该事件未对埃森哲的运营和服务交付造成任何影响。埃森哲是一家全球性的专业服务公司,为世界各地的企业和政府提供咨询、技术、云服务、工程及托管服务。此次事件的公开回应,源于一名代号“888”的威胁行为者在网络犯罪论坛上发帖,声称已于今年7月窃取了埃森哲的数据并正将其出售。该帖子明确写道,此次数据泄露导致超过35GB的源代码被盗。据该威胁行为者称,泄露的数据不仅包含源代码,还包括RSA密钥、SSH密钥、Azure个人访问令牌、Azure存储访问密钥及配置文件等敏感信息。为证明其说法,该行为者还分享了一张截图,显示其正在克隆一个托管于埃森哲域名下的Azure DevOps仓库。


https://www.bleepingcomputer.com/news/security/accenture-confirms-breach-after-hacker-offers-stolen-data-for-sale/


3. Gitea漏洞曝光,单凭用户名即可入侵


7月7日,安全研究人员发现,Gitea代码托管平台存在一个严重安全漏洞(CVE-2026-20896,CVSS评分9.8),攻击者只需提供一个有效用户名,即可绕过认证机制,访问互联网上暴露的Gitea实例。该漏洞主要影响Gitea官方Docker镜像1.26.3之前的版本。据发现该漏洞的研究员Ali Mustafa解释,问题根源在于这些Docker镜像的默认设置允许来自任何源IP地址的连接,而非强制执行白名单机制。当Gitea部署在代理服务器后方且启用了反向代理认证功能时,本应只信任代理服务器设置的认证头信息。但由于该缺陷,任何能够直接访问Gitea容器HTTP端口的进程都可以在HTTP头中填入一个已知或可猜测的有效用户名,从而成功冒充该用户登录系统,绕过正常的密码验证流程。攻击者尤其会以管理员账户为目标,一旦得手,便可完全控制该Gitea实例,访问和修改所有代码仓库,并获取开发人员不慎提交的API密钥、数据库凭证、部署令牌等敏感机密信息,以及CI/CD配置和部署密钥,后果极为严重。据透露,该漏洞在公开披露仅13天后,就被检测到在野利用尝试。


https://www.securityweek.com/critical-gitea-flaw-under-active-exploitation-researchers-warn/


4. Linux内核现高危漏洞,可致虚拟机逃逸


7月7日,安全研究人员近日披露了一个新发现的Linux内核高危漏洞,该漏洞可被攻击者利用,从虚拟机内部逃逸至宿主机,并在宿主机上执行任意代码。该漏洞编号为CVE-2026-53359,被命名为“Januscape”,影响基于Linux内核的虚拟机(KVM)虚拟化平台中的影子MMU代码。该漏洞对运行不可信客户机且支持嵌套虚拟化的多租户x86公有云构成严重威胁,值得注意的是,这是首个可同时在Intel和AMD架构上触发的KVM逃逸漏洞。该漏洞由安全研究员Hyunwoo Kim发现,并在Google的kvmCTF漏洞赏金计划中以零日漏洞形式进行了演示,该计划为完整的虚拟机逃逸漏洞提供高达25万美元的奖励。令人震惊的是,CVE-2026-53359在Linux内核中潜伏了长达16年之久,直至今年6月19日,主线内核才通过合并提交81ccda30b4e8对其进行了修复。鉴于该漏洞影响广泛且危害极大,所有使用KVM虚拟化技术的云服务提供商和系统管理员应立即更新内核至安全版本,并检查系统日志排查异常行为,以防攻击者利用此漏洞突破虚拟化隔离,导致核心基础设施被完全控制。


https://www.securityweek.com/linux-kernel-vulnerability-allows-vm-escape-on-intel-and-amd-systems/


5. 勒索组织宣称入侵德意志银行,公布员工数据


7月7日,勒索软件组织Unsafe近日宣称已成功入侵德意志银行的内部系统,并在其暗网泄露网站上发布了疑似员工数据库记录作为证据。该组织将这家德国银行业巨头列入受害者名单,并公布了数据库提取文件,其中包含终端输出和命令,以及调用敏感员工数据的数据库查询截图。这些截图显示了员工电子邮件地址、密码哈希值、物理地址及内部数据库记录等信息,暗示攻击者可能已实际访问了德意志银行的内部系统。目前尚无法确定此次泄露事件是否涉及客户数据。即便泄露范围仅限于员工信息,风险依然不容忽视。被盗数据可能被用于针对员工的精准钓鱼攻击、离线破解密码,或作为进一步渗透企业的跳板,帮助攻击者绘制内部网络架构并锁定高权限用户。Unsafe勒索软件采用“勒索软件即服务”模式,惯用双重勒索策略,该团伙利用零日漏洞绕过防护,投放GrandCrab和Emotet等恶意软件,并削弱安全控制以维持访问。


https://cybernews.com/security/deutsche-bank-ransomware-data-breach/


6. 伊朗黑客组织Cavern Manticore猛攻以色列


7月7日,据Check Point Research披露,一个与伊朗政府有关联的新威胁组织“Cavern Manticore”自2026年初以来,持续对以色列政府及IT组织发起攻击。该组织与伊朗情报和安全部旗下的MuddyWater和Lyceum团伙存在技术重叠,其特点是部署了一套此前未记录的模块化指挥控制(C2)框架。研究人员指出,该组织能在美军“史诗狂怒行动”期间成功入侵以色列国防与政府部门,显示出其快速的行动节奏和严谨的目标选择能力。Cavern Manticore的初始入侵通常通过滥用合法远程监控和管理(RMM)软件实现,进而在受害者网络内横向移动,并伪装成更新投递恶意软件;另一常用手段是利用基于浏览器的远程桌面工具窃取数据。其模块化C2框架围绕共享的.NET基础构建,由两个核心组件构成:一是持久性后门“Cavern代理”,负责与C2服务器通信,采用多种.NET编译格式以逃避检测;二是“Cavern模块”,专门用于侦察、数据窃取、隧道和横向移动等后渗透任务,每个模块独立编译,可针对不同受害者定制攻击。该框架还采用按模块隔离技术,即使某一组件被发现,其他模块仍保持隐蔽,极大增加了取证分析难度。


https://www.infosecurity-magazine.com/news/new-iran-hacking-group-targets/