Gafgyt新变种C0XMO模块化DDoS攻击物联网设备
发布时间 2026-06-086月7日,网络安全公司Fortinet的研究人员近期发现,Gafgyt僵尸网络的一个新变种“C0XMO”正以DD-WRT路由器固件为目标,并具备向多种CPU架构设备横向迁移的能力。目前已检测到针对ARM、MIPS、PowerPC、SuperH、x86、x86_64等架构的样本,攻击范围覆盖DVR、路由器、视频管理平台及部分Android设备。C0XMO的核心功能仍是发起分布式拒绝服务(DDoS)攻击,支持多达19种攻击方法,包括UDP/TCP/SYN/ICMP洪水攻击、“死亡之ping”、NTP/Memcached放大攻击、Discord语音UDP洪水及Valve特定洪水攻击等。其传播主要利用CVE-2021-27137漏洞,一个由用户输入不足引发的缓冲区溢出漏洞,攻击者无需身份验证即可执行任意代码。为实现广泛扩散,C0XMO会下载Python脚本,并安装requests、paramiko、beautifulsoup4等软件包,用于网络扫描及SSH/Telnet通信。扫描器采用多线程方式随机扫描互联网上开放常用端口的系统,发现目标后即尝试暴力破解弱Telnet和SSH凭据,检测CPU架构并部署兼容的二进制文件。脚本包含近二十个函数,负责扫描、漏洞利用、架构检测及登录,核心目标是横向移动。
https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/
2. Everest Forms Pro漏洞CVE-2026-3300正被积极利用
6月6日,黑客正在积极利用WordPress插件Everest Forms Pro中的一个高危漏洞(CVE-2026-3300),该漏洞影响插件的1.9.12及更早版本,允许未经身份验证的攻击者在服务器上执行任意代码,从而完全控制目标网站。Everest Forms Pro是流行表单构建器Everest Forms的商业附加组件,常用于创建联系表单、支付表单及注册表单等。漏洞根源在于插件内置的“复杂计算”功能:该功能接收表单字段提交的值,并将其插入PHP代码字符串中,随后使用PHP的函数执行生成的代码。尽管开发者对用户输入调用了“sanitize_text_field()”函数进行安全处理,但该函数未能转义单引号等关键字符。攻击者可利用这一缺陷,通过提交以单引号开头的值来提前结束原有的字符串字面量,注入任意PHP代码,并用注释符(//)忽略掉剩余的代码片段,从而避免语法错误。当表单被处理并执行计算时,注入的代码便会运行。该漏洞由研究人员h0xilo于2月通过Wordfence提交,插件开发者在3月18日发布了修复补丁。自4月13日起,针对该漏洞的攻击活动开始活跃,Wordfence防火墙已拦截超过29300次攻击尝试。
https://www.bleepingcomputer.com/news/security/critical-everest-forms-pro-flaw-exploited-to-take-over-wordpress-sites/
3. SolarWinds Serv-U漏洞CVE-2026-28318正被积极利用
6月5日,美国网络安全和基础设施安全局(CISA)近日发出警告,黑客正在积极利用SolarWinds Serv-U软件中一个近期修复的高危拒绝服务漏洞(CVE-2026-28318)。Serv-U是SolarWinds公司为Windows和Linux平台提供的文件传输软件,具备托管文件传输(MFT)和FTP服务器功能,支持用户通过HTTP/HTTPS、FTP、FTPS及SFTP等协议安全交换文件。该漏洞源于软件对资源消耗控制不当,远程攻击者无需身份验证,也无需用户交互,即可通过发送精心构造的、包含“Content-Encoding: deflate”的POST请求,以较低复杂度导致Serv-U服务崩溃。SolarWinds已于周四发布Serv-U 15.5.4 Hotfix 1版本修复此问题,并建议无法立即部署补丁的管理员限制对已知地址的访问,同时阻止所有包含“content-encoding”字段的POST请求,因为易受攻击的Serv-U服务本不需要该功能。在SolarWinds发布补丁仅数天后,CISA便将CVE-2026-28318纳入其“已知已利用漏洞目录”,并根据约束性操作指令(BOD)22-01,要求所有联邦民事行政部门机构必须在6月19日前完成补丁部署,以抵御正在进行的攻击。
https://www.bleepingcomputer.com/news/security/cisa-hackers-now-exploit-solarwinds-serv-u-flaw-to-crash-servers/
4. 牛津大学CareerConnect平台数月内再次遭入侵
6月6日,牛津大学的学生再次陷入数据安全风波,该校使用的校外平台CareerConnect在短短几个月内第二次遭到网络入侵。该平台由Group GTI公司提供,旨在帮助学生和校友寻找工作机会,此次攻击导致用户的姓名和电子邮件地址泄露,未使用单点登录(SSO)的用户的加密密码也遭到暴露。CareerConnect是牛津大学职业服务部门的重要组成部分,服务于学生、校友、研究人员及招聘人员。据GTI官网介绍,该平台采用的技术与英国及海外多所大学相同,GTI将其作为TargetConnect进行推广。牛津大学表示,此次攻击发生在5月28日,由“安全漏洞”引起,目前该漏洞已被修复。然而,GTI并未公开披露此次安全事件,也未回应媒体关于受影响人数及是否有数据被盗的询问。牛津大学在公告中明确表示,“校友、研究人员和雇主用户”的密码已被强制重置,但未详细说明其他用户类型的受影响情况。公告同时指出,“没有证据表明课程信息、上传的文件、预约信息或财务信息与此事件有关”。GTI方面称,此次数据泄露似乎旨在收集凭证,可能进一步用于网络钓鱼攻击。牛津大学未将在校学生列入受影响名单,但向学生报纸《Cherwell》确认,姓名和电子邮件地址可能已被泄露。
https://www.theregister.com/security/2026/06/06/oxford-university-data-pwned-again-by-career-platform-breach/5251754
5. 东芝、无印良品等网站弹出虚假登录窗窃取凭证
6月5日,科技巨头东芝与零售巨头无印良品近日分别向其网站访客发出警告,称网站上出现了可疑的登录弹出窗口,可能被用于窃取用户账户凭证。两家公司均建议已在相关界面输入过登录信息的用户立即更改密码。该异常登录提示由外部服务 polyfill[.]io 生成,Polyfill 本是一个为旧版浏览器提供JavaScript兼容层的CDN服务,但原域名并非由项目创建者Andrew Betts控制,域名过期后被他人注册。Betts曾建议网站迁移至新域名 polyfill.com,后改为polyfill.top。尽管polyfill[.]io的服务已停用,但部分网站在过去两年中未能彻底清理所有页面,残留的Polyfill代码依然存在。安全研究员Pasquale Pillitteri报告称,自2026年5月下旬起,该域名再次活跃,开始响应HTTP 401身份验证请求。当用户访问仍嵌有旧代码的网站时,浏览器会误以为需要身份验证,从而弹出登录提示。日本媒体报道称,象印、FiNC Technologies、石药出版社及Hobonichi等品牌也遭遇了同样问题。Pillitteri还指出,三星智能电视及部分网站在6月1日也显示了类似登录提示。
https://www.bleepingcomputer.com/news/security/suspicious-polyfill-login-prompts-pop-up-on-toshiba-muji-websites/
6. RCI Hospitality数据泄露影响约4万人
6月5日,美国最大的成人夜总会运营商之一RCI Hospitality Holdings近日向有关部门通报,其于今年4月披露的一起数据泄露事件实际上影响了约4万人。该公司旗下还经营体育酒吧和舞蹈俱乐部。RCI Hospitality在4月中旬向美国证券交易委员会(SEC)报告称,其子公司RCI Internet Services于3月23日在其IIS Web服务器中发现了一个不安全的直接对象引用(IDOR)漏洞,该漏洞导致了未经授权的个人信息访问。IDOR漏洞是一种常见的安全缺陷,攻击者可通过修改URL或请求中的参数值来访问其他用户的数据。例如,登录账户为“101”的用户若将URL中的参数改为“102”,便可能查看到另一用户的私人信息。RCI当时披露,众多独立承包商的信息遭到泄露,涉及姓名、联系方式、出生日期、社会保障号码及驾驶执照号码等敏感内容。根据发给受影响个人的通知信,对被盗文件的审查工作已于5月13日完成。目前,联邦调查局已被告知此事,RCI表示将配合后续的任何调查。
https://www.securityweek.com/nightclub-giant-rci-says-data-breach-affects-40000-individuals/
京公网安备11010802024551号