安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员披露，两批与疑似具有俄罗斯背景的网络攻击活动仍在利用WinRAR漏洞CVE-2025-8088攻击乌克兰组织。该漏洞为路径遍历问题，允许攻击者通过NTFS备用数据流将文件写入提取目录之外，WinRAR已于2025年7月修复。已披露信息显示，SHADOW-EARTH-066使用精心构造的RAR压缩包，包含诱饵PDF和隐藏载荷，并部署更新版GIFTEDCROOK信息窃取程序，目标包括浏览器密码、Cookie和特定扩展名文档。另一个被称为Earth Dahu或Gamaredon的组织至少自2025年9月起将该漏洞纳入攻击链，并传播GammaPhish、GammaLoad和GammaSteel等组件。

美国网络安全机构CISA通报，攻击者正在利用SolarWinds Serv-U高危漏洞CVE-2026-28318使服务器崩溃。Serv-U是用于Windows和Linux的文件传输软件，提供托管文件传输和FTP服务器功能。已披露信息显示，该漏洞源于不受控制的资源消耗问题，攻击者可在未认证情况下发送特制POST请求，并使用Content-Encoding: deflate导致Serv-U服务崩溃。远程攻击者无需用户交互即可进行低复杂度利用。相关漏洞已被加入已知利用漏洞目录，联邦机构被要求在6月19日前完成处置。

安全研究人员披露，protobuf.js中存在六个被命名为Proto6的漏洞，可能使Node.js应用面临远程代码执行和拒绝服务风险。已披露信息显示，相关漏洞影响使用protobuf.js的Node.js应用、Google Cloud客户端库、Baileys等消息框架以及CI/CD流水线。漏洞包括无界protobuf递归导致拒绝服务、不安全选项路径导致进程级拒绝服务、原型污染后的代码生成工具、生成消息构造函数中的原型注入、精心构造字段名触发生成代码拒绝服务，以及通过模式名称向pbjs静态输出注入代码。修复已在protobuf.js 7.5.6、8.0.2及相关CLI版本中提供。

研究人员披露一种名为FROST的攻击，恶意网站可仅利用JavaScript和固态硬盘读写时间，追踪用户访问的网站和打开的应用程序。已披露信息显示，该攻击无需原生代码、扩展程序或权限提示，可在浏览器沙箱内运行，并将此前需要本地代码的SSD时序攻击转化为远程攻击。FROST利用源私有文件系统OPFS创建大于设备内存的文件，迫使读取操作持续访问SSD，再通过performance.now()记录随机4KB数据块读取时间。当用户在同一驱动器上打开网站或应用时，磁盘争用会形成可识别时间偏移。在macOS测试中，该方法对前50个网站的封闭环境识别F1分数达到88.95%。

美国网络安全机构CISA将BerriAI LiteLLM漏洞CVE-2026-42271加入已知利用漏洞目录。已披露信息显示，该漏洞CVSS评分为8.7，属于命令注入问题，影响LiteLLM Python包1.74.2至1.83.7之前版本。问题存在于用于保存MCP服务器前预览连接和工具列表的两个端点，它们接受请求正文中的完整服务器配置，并在使用stdio配置调用时以代理进程权限生成命令子进程。另有研究将该漏洞与Starlette主机头验证绕过漏洞CVE-2026-48710串联，形成未经身份验证远程代码执行链。实际攻击细节、目标和攻击者身份尚未披露。

安全研究人员发布Linux内核漏洞CVE-2026-23111的详细技术演示和可用利用程序。已披露信息显示，该漏洞存在于内核nf_tables数据包过滤代码中，属于释放后使用问题，已于2026年2月5日在上游修复。该漏洞源于一个多余字符和反向校验错误，攻击者在获得低权限立足点后，可将非特权本地用户权限提升至root，并突破容器命名空间。相关利用依赖nf_tables和非特权用户命名空间，这两项设置在多数桌面和许多服务器发行版中较常见。研究人员已在Debian Bookworm、Debian Trixie、Ubuntu 22.04 LTS和Ubuntu 24.04 LTS上演示利用。