HackerNews 编译，转载请注明出处： Cloudflare宣布，其R2对象存储及相关服务出现了一次持续1小时7分钟的故障，导致全球100%的写入请求和35%的读取请求失败。 Cloudflare R2是一种可扩展的、与S3兼容的对象存储服务，具有免费的数据检索、多区域复制以及与Cloudflare的紧密集成等特点。 此次故障发生在UTC时间21:38至22:45之间，据称是由一次凭证轮换操作导致R2网关（API前端）失去对后端存储的认证访问权限所引发的。 具体而言，新凭证被错误地部署到了开发环境而非生产环境，而当旧凭证被删除后，生产服务便失去了有效的凭证。 问题的根源在于遗漏了一个命令行标志’–env production’，这导致新凭证被部署到了生产R2网关工作程序而非生产工作程序。 R2网关工作程序认证示意图（图片来源：Cloudflare） 由于问题的性质以及Cloudflare服务的工作方式，这一错误配置并未立即显现，导致修复工作进一步延迟。 “R2可用性指标的下降是逐渐的，并非立即显而易见，因为之前凭证删除到存储基础设施的传播存在延迟，”Cloudflare在其事件报告中解释道。 “这导致我们最初发现问题存在延迟。在更新旧凭证集后，我们不应依赖可用性指标，而应明确验证R2网关服务用于认证R2存储基础设施的令牌。” 尽管此次事件未导致客户数据丢失或损坏，但仍造成了部分或全部服务降级，影响了以下服务： R2：100%写入请求失败，35%读取请求失败（缓存对象仍可访问） 缓存储备：由于读取请求失败，源流量增加 图片和流媒体：所有上传请求失败，图片传输量降至25%，流媒体降至94% 电子邮件安全、向量化、日志交付、计费、密钥透明度审计员：不同程度的服务降级 为防止类似事件在未来再次发生，Cloudflare改进了凭证日志记录和验证，并强制使用自动化部署工具，以避免人为错误。 公司还正在更新标准操作程序（SOP），要求对凭证轮换等高影响操作进行双重验证，并计划增强健康检查，以便更快地发现根本原因。 Cloudflare的R2服务在2月也曾因人为错误导致1小时的故障。 当时，一名操作员在处理有关服务中钓鱼URL的滥用报告时，关闭了整个R2网关服务，而不是仅阻止特定端点。 由于缺乏对高影响操作的安全保障和验证检查，导致了此次故障，促使Cloudflare计划并实施额外措施，以改进账户配置、更严格的访问控制以及对高风险操作的两方批准流程。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CrushFTP向客户发出警告，称存在一个未授权的HTTP(S)端口访问漏洞，并敦促他们立即更新服务器。 正如该公司在上周五发给客户的一封电子邮件中所解释的（BleepingComputer已看到该邮件），如果未打补丁的服务器通过HTTP(S)暴露在互联网上，该安全漏洞将使攻击者能够获得未授权的访问权限。 “请立即采取行动尽快打补丁。今天（2025年3月21日）已解决一个漏洞。所有CrushFTP v11版本均受影响。（没有更早的版本受到影响。）即将生成CVE编号，”该公司警告道。 “这个漏洞的核心在于暴露的HTTP(S)端口可能导致未授权访问。如果你启用了CrushFTP的DMZ功能，该漏洞将得到缓解。” 尽管邮件称此漏洞仅影响CrushFTP v11版本，但同一天发布的安全公告却指出，CrushFTP v10和v11均受影响，正如网络安全公司Rapid7首次指出的那样。 作为临时解决方案，那些无法立即更新至CrushFTP v11.3.1+（该版本修复了该漏洞）的用户可以启用DMZ（非军事区）外围网络选项来保护其CrushFTP实例，直到安全更新得以部署。 根据Shodan的数据显示，有超过3400个CrushFTP实例的Web界面暴露在互联网上，容易受到攻击，尽管BleepingComputer无法确定其中有多少已经打过补丁。 暴露在互联网上的CrushFTP实例（Shodan数据） 在2024年4月，CrushFTP还发布了安全更新，修复了一个正在被积极利用的零日漏洞（CVE-2024-4040），该漏洞允许未授权的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。 当时，网络安全公司CrowdStrike发现了指向情报收集活动的证据，很可能是出于政治动机，攻击者针对了美国多个组织的CrushFTP服务器。 美国网络安全和基础设施安全局（CISA）将CVE-2024-4040添加到了其已知被利用漏洞目录中，并命令美国联邦机构在一周内确保其网络中易受攻击的服务器安全。 在2023年11月，CrushFTP客户还被警告要修复其企业套件中的一个严重远程代码执行漏洞（CVE-2023-43177），在该漏洞被修复三个月后，报告该漏洞的Converge安全研究人员发布了一个概念验证利用。 像CrushFTP这样的文件传输产品是勒索软件团伙的诱人目标，特别是Clop团伙，该团伙与针对MOVEit Transfer、GoAnywhere MFT、Accelion FTA和Cleo软件中的零日漏洞的数据盗窃攻击有关联。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云安全公司Wiz披露了Kubernetes Ingress NGINX控制器中存在的一组五个严重安全漏洞，这些漏洞可能导致无认证的远程代码执行，使超过6500个集群面临风险，因为该组件暴露在公共互联网上。 这些漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098和CVE-2025-1974）被统称为IngressNightmare，CVSS评分为9.8。值得注意的是，这些缺陷不影响NGINX Ingress控制器，后者是NGINX和NGINX Plus的另一种Ingress控制器实现。 “利用这些漏洞，攻击者可以未经授权访问Kubernetes集群中所有命名空间中存储的所有机密，可能导致集群被接管，”该公司在一份与The Hacker News共享的报告中表示。 IngressNightmare主要影响Kubernetes Ingress NGINX控制器的准入控制器组件。大约43%的云环境容易受到这些漏洞的影响。 Ingress NGINX控制器使用NGINX作为反向代理和负载均衡器，使其能够将HTTP和HTTPS路由从集群外部暴露给内部服务。 该漏洞利用了部署在Kubernetes pod中的准入控制器在没有认证的情况下可通过网络访问的事实。 具体来说，它涉及通过直接向准入控制器发送恶意Ingress对象（也称为AdmissionReview请求），远程注入任意NGINX配置，从而在Ingress NGINX控制器的pod上执行代码。 “准入控制器的高权限和不受限制的网络可访问性创建了一个关键的升级路径，”Wiz解释道。“利用这个缺陷，攻击者可以执行任意代码并访问所有跨命名空间的集群机密，这可能导致完整的集群接管。” 这些缺陷如下： CVE-2025-24513（CVSS评分：4.8）——一个不正确的输入验证漏洞，可能导致容器内的目录遍历，结合其他漏洞可能导致拒绝服务（DoS）或有限的集群机密对象披露 CVE-2025-24514（CVSS评分：8.8）——auth-url Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1097（CVSS评分：8.8）——auth-tls-match-cn Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1098（CVSS评分：8.8）——mirror-target和mirror-host Ingress注解可用于将任意配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密 CVE-2025-1974（CVSS评分：9.8）——无需凭据或管理访问权限即可实现集群接管 在一个实验性的攻击场景中，威胁行为者可以利用NGINX的客户端请求体缓冲功能，以共享库的形式将恶意载荷上传到pod，然后向准入控制器发送AdmissionReview请求。 该请求包含上述配置指令注入之一，导致共享库被加载，从而实现远程代码执行。 Wiz的云安全研究员Hillai Ben-Sasson告诉The Hacker News，攻击链本质上涉及注入恶意配置，并利用它读取敏感文件和运行任意代码。这随后可能允许攻击者滥用强服务账户以读取Kubernetes机密并最终促进集群接管。 在一份独立的咨询报告中，Kubernetes安全响应委员会表示，除了CVE-2025-1974之外的所有漏洞都涉及改进Ingress NGINX处理某些配置参数的方式。另一方面，CVE-2025-1974可以与其他漏洞结合，无需凭据或管理访问权限即可实现集群接管。 在负责任地披露后，这些漏洞已在Ingress NGINX Controller版本1.12.1、1.11.5和1.10.7中得到修复。 建议用户尽快更新到最新版本，并确保准入网络钩子端点不被外部暴露。 作为缓解措施，建议仅允许Kubernetes API服务器访问准入控制器，并在不需要时暂时禁用准入控制器组件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年11月至2025年2月期间，国际刑警组织在贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚等七个非洲国家开展了一项代号为“红牌行动”的国际行动，共逮捕了306名嫌疑人，并查获了1842台设备。 国际刑警组织表示，此次协调一致的行动“旨在打击和瓦解对个人和企业造成重大危害的跨境犯罪网络”，并指出其重点针对移动银行、投资和消息传递应用的诈骗。 这些网络诈骗涉及5000多名受害者。参与行动的国家包括贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚。 “红牌行动”的成功表明，在打击没有国界且可能对个人和社区造成毁灭性影响的网络犯罪方面，国际合作的力量，”国际刑警组织网络犯罪局局长尼尔·杰顿表示。“重要资产和设备的追回以及关键嫌疑人的逮捕，向网络犯罪分子发出了强烈信息，即他们的行为不会不受惩罚。” 在打击行动中，尼日利亚警方逮捕了130人，其中包括113名外国人，他们涉嫌参与在线赌场和投资诈骗。一些在诈骗中心工作的人据说是人口贩卖的受害者，并被迫实施非法计划。 另一个值得注意的行动是，南非当局逮捕了40人，并查获了1000多张用于大规模短信钓鱼攻击的SIM卡。 在其他地方，赞比亚官员逮捕了14名涉嫌犯罪团伙成员，他们通过短信钓鱼链接安装恶意软件，入侵受害者的手机并获得其银行应用的未经授权访问权限。Group-IB表示，该恶意软件还使犯罪分子能够控制消息传递应用，从而将欺诈链接传播给其他人。 俄罗斯网络安全厂商卡巴斯基指出，已与国际刑警组织分享了其对一款针对非洲国家用户的恶意Android应用的分析以及相关基础设施的信息。 此外，卢旺达当局逮捕了45名犯罪网络成员，他们因参与社会工程诈骗而被指控，在2024年骗取受害者超过30.5万美元。在被盗资金中，已追回103,043美元，并查获292台设备。 国际刑警组织表示：“他们的手段包括冒充电信员工并声称虚假的‘中奖’来获取敏感信息并访问受害者的移动银行账户。”“另一种方法是冒充受伤的家庭成员，向亲属请求资金以支付医院账单。” 逮捕消息传出之际，正值国际刑警组织几周前宣布与非洲开发银行集团建立合作伙伴关系，以更好地打击该地区的腐败、金融犯罪、网络诈骗和洗钱行为。 本月早些时候，泰国皇家警察和新加坡警察逮捕了一名在全球范围内造成90多起数据泄露事件的个人，其中包括65起在亚太地区。该威胁行为者于2020年12月4日首次公开出现，使用别名ALTDOS、mystic251、DESORDEN、GHOSTR和0mid16B进行活动。 这些攻击涉及使用SQL注入工具（如SQLmap）获取敏感数据，随后部署Cobalt Strike Beacons以持续控制被攻破的主机。 Group-IB在一份详细说明该威胁行为者作案手法的报告中表示：“他针对面向互联网的Windows服务器，专门搜索包含个人信息的数据库。”“在攻破这些服务器后，他窃取了受害者的数据，在某些情况下，还在被攻破的服务器上对其进行了加密。” 这些攻击的最终目标是获取经济利益，迫使受害者要么支付赎金，要么冒着其机密数据被公开的风险。来自孟加拉国、加拿大、印度、印度尼西亚、马来西亚、巴基斯坦、新加坡、泰国和美国的多个实体的数据在CryptBB、RaidForums和BreachForums等暗网论坛上被泄露。 Group-IB研究人员指出：“在他所有四个别名中一个持续的细节是其发布被盗数据截图的方法。”“无论他如何重新品牌化，他始终直接从同一台设备上传图像，揭示了一个关键的操作指纹。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警示一项Android恶意软件活动，该活动利用微软的.NET多平台应用UI（.NET MAUI）框架，制作假冒银行和社交媒体应用，目标是印度和说中文的用户。 “这些威胁伪装成合法应用，针对用户窃取敏感信息，”McAfee Labs研究员Dexter Shin表示。 .NET MAUI是微软的跨平台桌面和移动应用框架，使用C#和XAML创建原生应用。它是Xamarin的进化版，具备通过单个项目创建多平台应用的能力，并在必要时加入特定平台的源代码。 值得注意的是，Xamarin的官方支持已于2024年5月1日结束，科技巨头敦促开发者迁移到.NET MAUI。 过去曾检测到使用Xamarin实现的Android恶意软件，而最新发展表明，威胁行为者正在通过使用.NET MAUI开发新恶意软件，不断调整和改进其战术。 “这些应用的核心功能完全用C#编写，并以二进制大对象形式存储，”Shin表示。“这意味着与传统Android应用不同，其功能不存在于DEX文件或原生库中。” 这为威胁行为者带来了新优势，因为.NET MAUI充当打包器，使恶意软件能够逃避检测，并在受害设备上长期存在。 基于.NET MAUI的Android应用，统称为FakeApp，及其关联的软件包名称如下： X (pkPrIg.cljOBO) 迷城 (pCDhCg.cEOngl) X (pdhe3s.cXbDXZ) X (ppl74T.cgDdFK) Cupid (pommNC.csTgAT) X (pINUNU.cbb8AK) 私密相册 (pBOnCi.cUVNXz) X•GDN (pgkhe9.ckJo4P) 迷城 (pCDhCg.cEOngl) 小宇宙 (p9Z2Ej.cplkQv) X (pDxAtR.c9C6j7) 迷城 (pg92Li.cdbrQ7) 依恋 (pZQA70.cFzO30) 慢夜 (pAQPSN.CcF9N3) indus credit card (indus.credit.card) Indusind Card (com.rewardz.card) 没有证据表明这些应用已分发至Google Play。相反，主要传播方式是诱骗用户点击通过消息应用发送的虚假链接，这些链接将毫无戒心的接收者重定向至非官方应用商店。 在McAfee强调的一个例子中，该应用伪装成印度金融机构，收集用户敏感信息，包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。 另一款应用则模仿社交媒体网站X，从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店，针对说中文的用户。 除了使用加密套接字通信将收集的数据传输至命令与控制（C2）服务器外，恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限（例如“android.permission.LhSSzIw6q”），试图破坏分析工具。 为保持不被检测，还使用了一种称为多级动态加载的技术，利用XOR加密的加载程序启动AES加密的有效载荷，后者又加载设计用于执行恶意软件的.NET MAUI程序集。 “主要有效载荷最终隐藏在C#代码中，”Shin表示。“当用户与应用交互，例如按下按钮时，恶意软件会悄悄窃取他们的数据并发送至C2服务器。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新调查发现，一种名为Raspberry Robin的恶意软件与近200个独特的命令与控制（C2）域名相关联。 “Raspberry Robin（也被称为Roshtyak或Storm-0856）是一个复杂且不断演变的威胁行为者，为众多犯罪团伙提供初始访问代理（IAB）服务，其中许多团伙与俄罗斯有联系，”Silent Push在一份与The Hacker News共享的报告中表示。 自2019年出现以来，该恶意软件已成为SocGholish、Dridex、LockBit、IcedID、BumbleBee和TrueBot等恶意软件的传播渠道。它还被称为QNAP蠕虫，因为它利用被攻破的QNAP设备来获取有效载荷。 多年来，Raspberry Robin的攻击链增加了一种新的分发方式，即通过Discord消息服务发送的附件中的存档和Windows脚本文件下载，此外还获取了一天漏洞来实现本地权限提升，这些漏洞在公开披露之前就被利用。 也有证据表明，该恶意软件作为按安装付费（PPI）的僵尸网络提供给其他行为者，以分发下一阶段的恶意软件。 此外，Raspberry Robin感染还纳入了一种基于USB的传播机制，即使用包含伪装成文件夹的Windows快捷方式（LNK）文件的被攻破的USB驱动器来激活恶意软件的部署。 美国政府已经透露，被追踪为Cadet Blizzard的俄罗斯国家级威胁行为者可能使用Raspberry Robin作为初始访问促进器。 Silent Push在其与Team Cymru共同进行的最新分析中发现了一个用于连接所有被攻破的QNAP设备的数据中继IP地址，最终发现了超过180个独特的C2域名。 “这个单一IP地址通过Tor中继连接，这可能是网络运营商发布新命令并与被攻破设备交互的方式，”该公司表示。“用于此中继的IP位于一个欧盟国家。” 对基础设施的深入调查表明，Raspberry Robin的C2域名很短，例如q2[.]rs、m0[.]wf、h0[.]wf和2i[.]pm，并且它们在被攻破的设备和IP之间快速轮换，使用一种称为快速通量的技术，以使它们难以被关闭。 Raspberry Robin的一些顶级域名（TLD）包括.wf、.pm、.re、.nz、.eu、.gy、.tw和.cx，域名使用Sarek Oy、1API GmbH、NETIM、Epag[.]de、CentralNic Ltd和Open SRS等小众注册商注册。大多数已识别的C2域名的域名服务器位于一家名为ClouDNS的保加利亚公司。 “Raspberry Robin被俄罗斯政府威胁行为者使用，与其与无数其他严重威胁行为者合作的历史相符，其中许多与俄罗斯有联系，”该公司表示。“这些包括LockBit、Dridex、SocGholish、DEV-0206、Evil Corp（DEV-0243）、Fauppod、FIN11、Clop Gang和Lace Tempest（TA505）。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年1月底，安全研究人员首次发现了一种名为SvcStealer 2025的恶意软件。该恶意软件通过鱼叉式网络钓鱼（Spear Phishing）邮件附件传播，专门窃取受感染系统中的大量个人和财务信息，包括设备数据、已安装的软件、用户凭据、加密货币钱包和浏览器数据。 SvcStealer采取系统化的方式进行数据盗取，逐步从各种应用程序中提取信息，然后将其压缩并通过命令与控制（C2）服务器外传。 在成功收集数据后，SvcStealer还具备下载额外恶意软件载荷的能力，从而将其威胁能力从数据窃取扩展到进一步的恶意活动。 SEQRITE的研究人员在常规威胁狩猎操作中识别出了SvcStealer。他们注意到该恶意软件使用Microsoft Visual C++编写，同时具备逃避检测的能力。通过终止监控进程并删除活动痕迹，SvcStealer能够绕过安全工具的检测。 感染系统后，SvcStealer会通过算术运算，从受害者的卷序列号中生成一个独特的11字节字母数字值。 SvcStealer基于卷序列号生成文件夹名称的代码（来源：SEQRITE） SvcStealer展现了其高度复杂的数据外传设计。它在收集到敏感信息后，将数据存储在**ProgramData**目录下，以生成的唯一文件夹名称命名。 它的目标包括： – 多个浏览器（Chrome、Edge、Brave）中的加密货币钱包 – 通信平台（Telegram、Discord）中的数据 – 各类浏览器中的用户凭据 – 系统截图和运行进程信息 SvcStealer收集信息后的文件夹结构（来源：SEQRITE） 随后，SvcStealer会将收集到的数据压缩为ZIP文件，并通过端口80与C2服务器（IP地址：185.81.68.156 或 176.113.115.149）建立连接。 压缩后的信息文件示意图（来源：SEQRITE） 它使用HTTP POST请求，并采用`Content-Type: multipart/form-data`的方式，将被窃取的数据伪装成普通的网络流量进行传输。 下载其他恶意软件家族的示意图（来源：SEQRITE） 为了维持持久性，SvcStealer会持续向其C2服务器发送信号，等待进一步的命令。这些命令可能包括下载额外的恶意软件载荷，进一步扩大感染范围或实施其他恶意活动。 安全专家建议用户对可疑邮件附件保持高度警惕，并采用高级终端保护解决方案来防御此类新兴威胁。定期更新安全软件和系统补丁、加强员工的网络安全意识培训，也是减少攻击风险的有效方式。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国家铁路运营商Ukrzaliznytsia遭受大规模网络攻击，导致通过移动应用和网站购买车票的在线服务中断。 事件迫使人们前往售票亭购买纸质车票，造成拥挤、延误、长时间排队和不满。 由于火车是乌克兰国内和国际旅行中唯一可靠且相对安全的交通方式，此次网络攻击影响重大，Daryna Antoniuk报道。 Ukrzaliznytsia在多个通信渠道的官方声明中确认，中断始于昨日，并为造成的不便道歉。 该组织已增加售票点工作人员以应对突然增加的服务需求，但队伍仍很长。 军事人员可在列车上向列车长购票，以免影响其行动。 网络攻击前已在线购票但无法下载的乘客，建议使用发送到邮箱的PDF副本，或在发车前20分钟到火车站向工作人员说明情况。 明天出行的乘客被要求不要在今天涌向售票处，工作人员正在努力满足今天出行乘客的需求。 Ukrzaliznytsia网站上的公告 尽管在线售票平台出现问题，Ukrzaliznytsia在公告中指出，网络攻击并未影响列车运营。 该组织强调，过去几年遭受的多次网络攻击增强了其应对协议和韧性。 “敌人的主要目标失败了：列车运行稳定，准点运行无延误，所有运营流程已切换到备份模式，”Ukrzaliznytsia的最新更新写道。 “尽管铁路基础设施遭受物理攻击，铁路仍在继续运营，即使是最狡猾的网络攻击也无法阻止它。” “由于Ukrzaliznytsia以前曾是敌方网络攻击的目标，公司内部已实施了备份协议。” 该组织称此次攻击“高度系统化且多层”，并保证正在与SBU网络安全部门和政府计算机应急响应小组（CERT-UA）的专家合作，以填补安全漏洞并恢复受影响的系统。然而，目前尚未提供具体的恢复时间表。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Next.js React框架中存在一个严重的安全漏洞，在特定条件下可能被利用来绕过授权检查。 该漏洞被追踪为CVE-2025-29927，CVSS评分为9.1（满分10.0）。 Next.js在咨询报告中称：“Next.js使用内部标头x-middleware-subrequest来防止递归请求引发无限循环。” “有可能跳过中间件运行，这可能允许请求在到达路由之前跳过关键检查，例如授权cookie验证。” 该问题已在12.3.5、13.5.9、14.2.25和15.2.3版本中得到解决。如果无法更新补丁，建议用户阻止包含x-middleware-subrequest标头的外部用户请求到达Next.js应用程序。 发现并报告该漏洞的安全研究员Rachid Allam（又名zhero和cold-try）已发布更多技术细节，这使得用户迫切需要迅速应用修复措施。 JFrog表示：“该漏洞允许攻击者轻松绕过在Next.js中间件中执行的授权检查，可能使攻击者能够访问为管理员或其他高权限用户预留的敏感网页。” 该公司还表示，任何使用中间件授权用户而没有额外授权检查的托管网站都容易受到CVE-2025-29927的攻击，可能使攻击者能够访问通常无法访问的资源（例如管理员页面）。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Palo Alto Networks Unit 42最新的云威胁报告，66%的云存储桶中包含敏感数据，这些数据容易受到勒索软件攻击。SANS Institute最近报告称，这些攻击可以通过滥用云服务提供商的存储安全控制和默认设置来实施。 “仅在过去几个月里，我就目睹了两种利用合法云安全功能实施勒索软件攻击的方法，”SANS认证讲师、安全顾问Brandon Evans警告说。Halcyon披露了一项攻击活动，该活动利用了亚马逊S3的本地加密机制之一SSE-C来加密目标存储桶。几个月前，安全顾问Chris Farris展示了攻击者如何利用AWS的另一项安全功能（带有外部密钥材料的KMS密钥）通过ChatGPT生成的简单脚本实施类似的攻击。“显然，这个话题无论是对威胁行为者还是研究人员来说都是当务之急，”Brandon指出。 为应对云勒索软件，SANS建议组织机构： 了解云安全控制的效能与局限：使用云服务并不能自动保证数据安全。“大多数人首先使用的云服务是OneDrive、Dropbox、iCloud等文件备份解决方案，”Brandon解释道。“虽然这些服务通常默认启用了文件恢复功能，但亚马逊S3、Azure存储或谷歌云存储并非如此。安全专业人员必须了解这些服务的工作原理，不要假设云服务会拯救他们。” 封禁不受支持的云加密方法：AWS S3 SSE-C、AWS KMS外部密钥材料等加密技术可能被滥用，因为攻击者可以完全控制密钥。组织机构可以使用身份和访问管理（IAM）策略来强制S3使用特定的加密方法，例如使用托管在AWS中的密钥材料的SSE-KMS。 启用备份、对象版本控制和对象锁定：这些是云存储的完整性和可用性控制措施。在三大云服务提供商中，这些功能均未默认启用。如果正确使用，它们可以增加组织在勒索软件攻击后恢复数据的可能性。 通过数据生命周期策略平衡安全与成本：这些安全功能需要费用。“云服务提供商不会免费托管你的数据版本或备份。同时，你的组织也不会为你提供数据安全的无限预算，”Brandon说。三大云服务提供商都允许客户定义生命周期策略。这些策略使组织能够自动删除不再需要的对象、版本和备份。然而，攻击者也可能利用生命周期策略，如在前述攻击活动中，他们利用该策略敦促目标快速支付赎金。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文