安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员披露名为AutoJack的漏洞利用链，可将AI浏览代理变成远程代码执行载体。已披露信息显示，该问题存在于AutoGen Studio的部分预发布版本中，攻击者可诱导代理加载恶意网页，网页JavaScript随后访问同一主机上的特权本地服务，并在运行AutoGen Studio的账户下生成进程。该攻击不需要凭据、登录界面或用户在页面加载后的额外交互，只需要让代理打开攻击者页面。AutoJack利用MCP WebSocket中的三个弱点：本地主机检查信任运行在同一服务器上的浏览器代理、身份验证中间件跳过MCP路径且处理程序未验证令牌、端点直接从请求参数中获取并运行命令。相关加固代码已提交至GitHub主分支。

美国网络安全机构CISA警告Fortinet用户保护设备安全，此前FortiBleed数据泄露事件暴露近74000个防火墙和VPN凭据。已披露信息显示，攻击者利用被盗凭证攻击全球政府和私营部门组织中可通过互联网访问的Fortinet设备。泄露数据涉及约73932个防火墙URL，包含用户名、电子邮件地址和明文密码，并覆盖21632个独立域和194个国家或地区。相关组织包括三星、梅赛德斯-奔驰、富士康、雪佛龙、康卡斯特、AT&T和丰田等，以及电信、医疗保健、金融服务、制造业和政府机构等领域实体。配置数据来源尚不明确。

俄罗斯软件公司Kaluga Astral表示，其本月早些时候遭受网络攻击，导致多项服务中断约一周，影响依赖其软件进行税务申报、电子文档管理和其他业务运营的客户。该公司开发电子文档管理软件、政府机构数字报告系统和网络安全产品，客户包括政府机构、银行和大型国有企业。已披露信息显示，受影响服务导致部分客户收银机操作中断、受管制商品销售困难、客户门户和公司电子邮件访问异常，以及电子人力资源文档管理系统和数字证书认证问题。公司称，由于俄罗斯政府机构参与调查，无法公开评论攻击细节；内部调查未发现客户数据泄露或被盗证据。

CERT/CC发布警告称，Haskell crypton-x509-validation库存在严重漏洞CVE-2026-9648，可能导致TLS客户端接受超出授权范围的证书。已披露信息显示，该漏洞CVSS评分为9.1，核心问题是受影响库未强制执行X.509 NameConstraints检查。NameConstraints用于限制证书颁发机构可覆盖的域名范围，而受影响Haskell库在验证证书时忽略该机制。攻击者若攻破名称受限的子证书颁发机构，可为未被授权的域名颁发证书，并诱导Haskell客户端连接恶意服务器。成功攻击可能导致敏感流量、凭证和密钥暴露，尤其影响依赖委托式PKI架构的金融和企业系统。

开源电信协议栈FreeSWITCH官方修复两个严重安全漏洞，均为身份验证前堆缓冲区溢出问题。已披露信息显示，CVE-2026-49841影响mod_verto HTTP请求处理程序，CVSS评分为9.8；CVE-2026-49840影响libesl库，CVSS评分为9.1。mod_verto漏洞源于处理HTTP POST请求体时固定缓冲区与可接受Content-Length长度不匹配，攻击者无需凭据即可在基本身份验证检查前触发溢出。libesl漏洞存在于esl_recv_event()函数对Content-Length的解析流程中，恶意ESL对等方可发送负值触发异常内存处理。两个缺陷会使暴露语音服务器面临崩溃和远程代码执行风险。

LiteSpeed cPanel插件权限提升漏洞CVE-2026-54420已被实际利用。已披露信息显示，该漏洞存在于LiteSpeed cPanel插件2.4.8之前版本中，攻击者可在运行CloudLinux/CageFS的共享主机服务器上，利用对用户提供符号链接处理不当的问题，从低权限账户提升至root权限。该漏洞CVSS评分为8.5，已于2026年5月被利用。由于共享主机服务器通常承载多个租户，单个低权限用户账户被攻破后，可能影响同一服务器上的其他托管站点。官方安全公告称，攻击会同时调用两个证书端点，并从单个IP地址一次性发起7到10次请求。该问题已在cPanel插件2.4.8版本中修复。