首頁 > 安全研究 > 安全通報 > 安全簡訊

whoAMI攻擊利用Amazon AMI名稱混淆入侵AWS賬戶

發布時間 2025-02-14

1. whoAMI攻擊利用Amazon AMI名稱混淆入侵AWS賬戶


2月13日,安全研究人員發現了一種名為“whoAMI”的攻擊方式,該攻擊允許任何發布具有特定名稱的Amazon系統映像(AMI)的人訪問Amazon Web服務帳戶。此攻擊由DataDog研究人員于2024年8月策劃,通過利用軟件項目檢索AMI ID在AWS賬戶內執行代碼。亞馬遜確認該漏洞并于9月發布修復程序,但部分未更新代碼的組織仍面臨風險。whoAMI攻擊利用了AWS環境中AMI選擇配置的錯誤,如未指定所有者、使用通配符代替特定AMI ID或使用“most_recent=true”等實踐,使得攻擊者能插入惡意AMI。攻擊者只需發布一個名稱符合可信所有者模式的AMI,用戶就可能選擇并啟動它。DataDog的遙測數據顯示,約1%的組織易受攻擊,可能影響數千個AWS賬戶。亞馬遜已修復該問題并推出“允許的AMI”新安全控制,建議客戶始終指定AMI所有者并啟用該功能。此外,Terraform也開始警告未使用所有者過濾器的情況,并計劃實施更嚴格的執行。系統管理員需審核配置并更新代碼以實現安全的AMI檢索,同時啟用AWS審計模式檢查不受信任的AMI。DataDog還發布了掃描程序供用戶檢查AWS賬戶中是否存在不受信任的AMI實例。


https://www.bleepingcomputer.com/news/security/whoami-attacks-give-hackers-code-execution-on-amazon-ec2-instances/


2. Doxbin數據大泄露:Tooda黑客組織曝光13.6萬用戶記錄及黑名單


2月13日,Doxbin是一個涉及網絡人肉搜索和個人信息泄露的臭名昭著平臺,近期被一個名為Tooda的黑客組織攻陷,導致大量用戶數據泄露。據Hackread.com報道,Tooda組織聲稱此次攻擊是對其中一名成員指控的回應,他們破壞了Doxbin的基礎設施,清除了用戶帳戶,鎖定了管理員,并泄露了運營該平臺人員的個人信息。泄露的數據包括超過136,000條用戶記錄,如ID、用戶名和電子郵件地址,以及一個名為“Doxbin黑名單”的文件,該文件收集了已付費阻止信息發布在Doxbin上的人員信息。此外,Tooda還發布了據稱屬于Doxbin管理員River(真名Paula)的詳細個人數據。這次數據泄露對Doxbin用戶來說極為危險,即使只有用戶名和電子郵件地址泄露,這些信息也可能與其他泄密信息交叉引用,導致身份追蹤和現實世界的聯系被發現。目前,Doxbin處于離線狀態,此次事件進一步表明,即使是惡意平臺也可能受到競爭對手的攻擊,Doxbin用戶面臨暴露風險。


https://hackread.com/doxbin-data-breach-hackers-leak-user-records-blacklist-file/


3. Zacks Investment Research疑遭1200萬賬戶數據泄露


2月13日,Zacks Investment Research(Zacks)是一家提供數據驅動投資見解的美國公司,在2024年6月疑似遭遇了數據泄露事件,導致大約1200萬個賬戶的敏感信息被泄露。這些信息包括全名、用戶名、電子郵件地址、實際地址和電話號碼等。一名威脅行為者在黑客論壇上發布了數據樣本,并聲稱對Zacks進行了入侵。盡管Zacks尚未回應關于數據真實性的詢問,但泄露的數據庫已被添加到Have I Been Pwned(HIBP)網站上供用戶檢查。HIBP確認該文件包含1200萬個唯一電子郵件地址等信息,并指出約93%的泄露電子郵件地址已存在于其數據庫中,可能來自過去對同一平臺或其他服務的入侵。如果此次數據泄露被證實為新黑客攻擊的結果,這將是過去四年內影響Zacks的第三次重大數據泄露事件。此前,Zacks已在2023年1月披露了一次涉及820,000名客戶敏感信息的泄露事件,并在2023年6月被HIBP驗證了一個包含880萬使用Zacks服務個人信息的單獨數據庫泄露。值得注意的是,此次泄露事件尚未得到Zacks的官方證實。


https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/


4. Astaroth網絡釣魚工具包:新型攻擊方式可繞過2FA竊取登錄憑證


2月13日,一種名為Astaroth的新型高級網絡釣魚工具包已出現在網絡犯罪網絡中,它通過反向代理、實時憑證捕獲和會話劫持技術,能夠繞過雙因素身份驗證(2FA),竊取Gmail、Yahoo和Microsoft等服務的登錄憑證。Astaroth使用惡意服務器作為受害者和合法網站之間的中介,攔截并操縱流量,實時捕獲登錄憑據、身份驗證令牌和會話cookie。攻擊者可以通過Web面板界面和Telegram通知實時接收捕獲的信息。該工具包通過Telegram出售,并在網絡犯罪論壇和市場上推廣,售價2000美元,包括六個月的更新和支持。據研究人員稱,Astaroth的復雜程度令人震驚,用戶應格外小心電子郵件中的鏈接,直接訪問網站以檢查賬戶是否存在問題。


https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/


5. PostgreSQL新零日漏洞成BeyondTrust攻擊關鍵,財政部遭黑客入侵


2月13日,Rapid7的安全研究人員周四報告稱,在PostgreSQL中發現了一個新的零日漏洞(CVE-2025-1094),該漏洞與針對BeyondTrust遠程支持產品的一系列攻擊密切相關。該漏洞影響PostgreSQL交互式終端psql,允許精心構造的SQL語句觸發SQL注入。Rapid7指出,黑客已利用此漏洞成功入侵美國財政部的機器。盡管BeyondTrust已針對其相關漏洞發布了補丁,但PostgreSQL中的這個潛在漏洞仍是攻擊者的攻擊焦點。該漏洞存在于psql處理格式錯誤的UTF-8字符的方式中,精心設計的無效序列可以過早終止SQL命令,使攻擊者能夠注入其他語句,甚至觸發shell執行。PostgreSQL團隊已發布緊急補丁,并警告了受影響版本。同時,Rapid7還發布了Metasploit模塊,用于指紋識別和自動載荷傳送易受攻擊的BeyondTrust系統。


https://www.securityweek.com/rapid7-flags-new-postgresql-zero-day-connected-to-beyondtrust-exploitation/


6. CleanTalk WordPress插件現嚴重任意文件上傳漏洞,超3萬網站面臨風險


2月13日,CleanTalk WordPress 插件中發現了一個編號為CVE-2024-13365的嚴重任意文件上傳漏洞,該漏洞可能使超過30,000個網站面臨被完全攻陷的風險。此漏洞的CVSS評分高達9.8,允許未經身份驗證的攻擊者繞過身份驗證并上傳惡意文件,進而在服務器上執行代碼。漏洞源于插件在掃描ZIP存檔時未能正確驗證用戶提供的數據,導致攻擊者可以上傳任意文件,包括惡意腳本。即使未經身份驗證的用戶通常不允許上傳文件,該漏洞也可能被利用,攻擊者可能會上傳包含隱藏在無害文件中的惡意PHP文件的大型ZIP文件,以壓垮服務器資源并允許執行惡意文件。Wordfence安全公司發現了該漏洞,并建議所有使用CleanTalk插件的用戶盡快更新到最新版本2.150,以保護其網站免受潛在攻擊。同時,安全研究員Lucio Sá因負責任地報告該漏洞而獲得1,716.00美元的賞金。


https://securityonline.info/hackers-can-take-over-30000-wordpress-sites-due-to-critical-cleantalk-security-flaw-cve-2024-13365/

上一篇 下一篇