whoAMI攻击使用Amazon AMI名称混淆入侵AWS账户

首页 > 清静研究 > 清静转达 > 清静简讯

whoAMI攻击使用Amazon AMI名称混淆入侵AWS账户

宣布时间 2025-02-14

1. whoAMI攻击使用Amazon AMI名称混淆入侵AWS账户

2月13日，清静研究职员发明了一种名为“whoAMI”的攻击方法，该攻击允许任何宣布具有特命名称的Amazon系统映像（AMI）的人会见Amazon Web服务帐户。此攻击由DataDog研究职员于2024年8月策划，通过使用软件项目检索AMI ID在AWS账户内执行代码。亚马逊确认该误差并于9月宣布修复程序，但部分未更新代码的组织仍面临危害。whoAMI攻击使用了AWS情形中AMI选择设置的过失，如未指定所有者、使用通配符取代特定AMI ID或使用“most_recent=true”等实践，使得攻击者能插入恶意AMI。攻击者只需宣布一个名称切合可信所有者模式的AMI，用户就可能选择并启动它。DataDog的遥测数据显示，约1%的组织易受攻击，可能影响数千个AWS账户。亚马逊已修复该问题并推出“允许的AMI”新清静控制，建议客户始终指定AMI所有者并启用该功效。别的，Terraform也最先忠言未使用所有者过滤器的情形，并妄想实验更严酷的执行。系统治理员需审核设置并更新代码以实现清静的AMI检索，同时启用AWS审计模式检查不受信托的AMI。DataDog还宣布了扫描程序供用户检查AWS账户中是否保存不受信托的AMI实例。

https://www.bleepingcomputer.com/news/security/whoami-attacks-give-hackers-code-execution-on-amazon-ec2-instances/

2. Doxbin数据大泄露：Tooda黑客组织曝光13.6万用户纪录及黑名单

2月13日，Doxbin是一个涉及网络人肉搜索和小我私家信息泄露的污名昭著平台，近期被一个名为Tooda的黑客组织攻陷，导致大宗用户数据泄露。据Hackread.com报道，Tooda组织声称此次攻击是对其中一名成员指控的回应，他们破损了Doxbin的基础设施，扫除了用户帐户，锁定了治理员，并泄露了运营该平台职员的小我私家信息。泄露的数据包括凌驾136,000条用户纪录，如ID、用户名和电子邮件地点，以及一个名为“Doxbin黑名单”的文件，该文件网络了已付费阻止信息宣布在Doxbin上的职员信息。别的，Tooda还宣布了据称属于Doxbin治理员River（真名Paula）的详细小我私家数据。这次数据泄露对Doxbin用户来说极为危险，纵然只有用户名和电子邮件地点泄露，这些信息也可能与其他泄密信息交织引用，导致身份追踪和现实天下的联系被发明。现在，Doxbin处于离线状态，此次事务进一步批注，纵然是恶意平台也可能受到竞争敌手的攻击，Doxbin用户面临袒露危害。

https://hackread.com/doxbin-data-breach-hackers-leak-user-records-blacklist-file/

3. Zacks Investment Research疑遭1200万账户数据泄露

2月13日，Zacks Investment Research（Zacks）是一家提供数据驱动投资看法的美国公司，在2024年6月疑似遭遇了数据泄露事务，导致约莫1200万个账户的敏感信息被泄露。这些信息包括全名、用户名、电子邮件地点、现实地点和电话号码等。一名威胁行为者在黑客论坛上宣布了数据样本，并声称对Zacks举行了入侵。只管Zacks尚未回应关于数据真实性的询问，但泄露的数据库已被添加到Have I Been Pwned（HIBP）网站上供用户检查。HIBP确认该文件包括1200万个唯一电子邮件地点等信息，并指出约93%的泄露电子邮件地点已保存于其数据库中，可能来自已往对统一平台或其他服务的入侵。若是此次数据泄露被证实为新黑客攻击的效果，这将是已往四年内影响Zacks的第三次重大数据泄露事务。此前，Zacks已在2023年1月披露了一次涉及820,000名客户敏感信息的泄露事务，并在2023年6月被HIBP验证了一个包括880万使用Zacks服务小我私家信息的单独数据库泄露。值得注重的是，此次泄露事务尚未获得Zacks的官方证实。

https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/

4. Astaroth网络垂纶工具包：新型攻击方法可绕过2FA窃取登录凭证

2月13日，一种名为Astaroth的新型高级网络垂纶工具包已泛起在网络犯法网络中，它通过反向署理、实时凭证捕获和会话挟制手艺，能够绕过双因素身份验证（2FA），窃取Gmail、Yahoo和Microsoft等服务的登录凭证。Astaroth使用恶意服务器作为受害者和正当网站之间的中介，阻挡并使用流量，实时捕获登录凭证、身份验证令牌和会话cookie。攻击者可以通过Web面板界面和Telegram通知实时吸收捕获的信息。该工具包通过Telegram出售，并在网络犯法论坛和市场上推广，售价2000美元，包括六个月的更新和支持。据研究职员称，Astaroth的庞洪水平令人震惊，用户应格外小心电子邮件中的链接，直接会见网站以检查账户是否保存问题。

https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/

5. PostgreSQL新零日误差成BeyondTrust攻击要害，财务部遭黑客入侵

2月13日，Rapid7的清静研究职员周四报告称，在PostgreSQL中发明了一个新的零日误差（CVE-2025-1094），该误差与针对BeyondTrust远程支持产品的一系列攻击亲近相关。该误差影响PostgreSQL交互式终端psql，允许全心结构的SQL语句触发SQL注入。Rapid7指出，黑客已使用此误差乐成入侵美国财务部的机械。只管BeyondTrust已针对其相关误差宣布了补丁，但PostgreSQL中的这个潜在误差仍是攻击者的攻击焦点。该误差保存于psql处置惩罚名堂过失的UTF-8字符的方法中，全心设计的无效序列可以过早终止SQL下令，使攻击者能够注入其他语句，甚至触发shell执行。PostgreSQL团队已宣布紧迫补丁，并忠言了受影响版本。同时，Rapid7还宣布了Metasploit�？�，用于指纹识别和自动载荷传送易受攻击的BeyondTrust系统。

https://www.securityweek.com/rapid7-flags-new-postgresql-zero-day-connected-to-beyondtrust-exploitation/

6. CleanTalk WordPress插件现严重恣意文件上传误差，超3万网站面临危害

2月13日，CleanTalk WordPress 插件中发明了一个编号为CVE-2024-13365的严重恣意文件上传误差，该误差可能使凌驾30,000个网站面临被完全攻陷的危害。此误差的CVSS评分高达9.8，允许未经身份验证的攻击者绕过身份验证并上传恶意文件，进而在服务器上执行代码。误差源于插件在扫描ZIP存档时未能准确验证用户提供的数据，导致攻击者可以上传恣意文件，包括恶意剧本。纵然未经身份验证的用户通常不允许上传文件，该误差也可能被使用，攻击者可能会上传包括隐藏在无害文件中的恶意PHP文件的大型ZIP文件，以压垮服务器资源并允许执行恶意文件。Wordfence清静公司发明了该误差，并建议所有使用CleanTalk插件的用户尽快更新到最新版本2.150，以掩护其网站免受潜在攻击。同时，清静研究员Lucio Sá因认真任地报告该误差而获得1,716.00美元的赏金。

https://securityonline.info/hackers-can-take-over-30000-wordpress-sites-due-to-critical-cleantalk-security-flaw-cve-2024-13365/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究