whoAMI攻击利用Amazon AMI名称混合入侵AWS账户

首页 > 安全钻研 > 安全传递 > 安全简讯

whoAMI攻击利用Amazon AMI名称混合入侵AWS账户

颁布功夫 2025-02-14

1. whoAMI攻击利用Amazon AMI名称混合入侵AWS账户

2月13日，安全钻研人员发现了一种名为“whoAMI”的攻击方式，该攻击允许任何颁布拥有特定名称的Amazon系统映像（AMI）的人接见Amazon Web服务帐户。此攻击由DataDog钻研人员于2024年8月策动，通过利用软件项目检索AMI ID在AWS账户内执行代码。亚马逊确认该缝隙并于9月颁布建复法式，但部门未更新代码的组织仍面对风险。whoAMI攻击利用了AWS环境中AMI选择配置的谬误，如未指定所有者、使用通配符包办特定AMI ID或使用“most_recent=true”等实际，使得攻击者能插入恶意AMI。攻击者只需颁布一个名称切合可信所有者模式的AMI，用户就可能选择并启动它。DataDog的遥测数据显示，约1%的组织易受攻击，可能影响数千个AWS账户。亚马逊已建复该问题并推出“允许的AMI”新安全节造，建议客户始终指定AMI所有者并启用该职能。此表，Terraform也起头忠告未使用所有者过滤器的情况，并打算执行更严格的执行。系统治理员需审核配置并更新代码以实现安全的AMI检索，同时启用AWS审计模式查抄不受信赖的AMI。DataDog还颁布了扫描法式供用户查抄AWS账户中是否存在不受信赖的AMI事俘。

https://www.bleepingcomputer.com/news/security/whoami-attacks-give-hackers-code-execution-on-amazon-ec2-instances/

2. Doxbin数据大泄露：Tooda黑客组织曝光13.6万用户纪录及黑名单

2月13日，Doxbin是一个涉及网络人肉搜索和幼我信息泄露的臭名远扬平台，近期被一个名为Tooda的黑客组织攻下，导致大量用户数据泄露。据Hackread.com报路，Tooda组织宣称这次攻击是对其中一名成员指控的回应，他们粉碎了Doxbin的基础设施，断根了用户帐户，锁定了治理员，并泄露了运营该平台人员的幼我信息。泄露的数据蕴含超过136,000条用户纪录，如ID、用户名和电子邮件地址，以及一个名为“Doxbin黑名单”的文件，该文件网络了已付费阻止信息颁布在Doxbin上的人员信息。此表，Tooda还颁布了据称属于Doxbin治理员River（真名Paula）的具体幼我数据。这次数据泄露对Doxbin用户来说极为危险，即便只有效户名和电子邮件地址泄露，这些信息也可能与其他泄密信息交叉引用，导致身份追踪和现实世界的联系被发现。目前，Doxbin处于离线状态，这次事务进一步批注，即便是恶意平台也可能受到竞争敌手的攻击，Doxbin用户面对露出风险。

https://hackread.com/doxbin-data-breach-hackers-leak-user-records-blacklist-file/

3. Zacks Investment Research疑遭1200万账户数据泄露

2月13日，Zacks Investment Research（Zacks）是一家提供数据驱动投资见解的美国公司，在2024年6月疑似遭逢了数据泄露事务，导致约莫1200万个账户的敏感信息被泄露。这些信息蕴含全名、用户名、电子邮件地址、现实地址和电话号码等。一名威胁行为者在黑客论坛上颁布了数据样本，并宣称对Zacks进行了入侵。只管Zacks尚未回应关于数据真实性的询问，但泄露的数据库已被增长到Have I Been Pwned（HIBP）网站上供用户查抄。HIBP确认该文件蕴含1200万个唯一电子邮件地址等信息，并指出约93%的泄露电子邮件地址已存在于其数据库中，可能来自从前对统一平台或其他服务的入侵。若是这次数据泄露被证实为新黑客攻击的了局，这将是从前四年内影响Zacks的第三次沉大数据泄露事务。此前，Zacks已在2023年1月披露了一次涉及820,000名客户敏感信息的泄露事务，并在2023年6月被HIBP验证了一个蕴含880万使用Zacks服务幼我信息的单独数据库泄露。值妥贴心的是，这次泄露事务尚未得到Zacks的官方证实。

https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/

4. Astaroth网络垂钓工具包：新型攻击方式可绕过2FA窃取登录凭证

2月13日，一种名为Astaroth的新型高级网络垂钓工具包已呈此刻网络犯罪网络中，它通过反向代理、实时凭证捕获和会话劫持技术，可能绕过双成分身份验证（2FA），窃取Gmail、Yahoo和Microsoft等服务的登录凭证。Astaroth使用恶意服务器作为受害者和合法网站之间的中介，拦截并把持流量，实时捕获登录痛处、身份验证令牌和会话cookie。攻击者能够通过Web面板界面和Telegram通知实时接管捕获的信息。该工具包通过Telegram销售，并在网络犯罪论坛和市场上推广，售价2000美元，蕴含六个月的更新和支持。据钻研人员称，Astaroth的复杂水平令人震惊，用户应格表幼心电子邮件中的链接，直接接见网站以查抄账户是否存在问题。

https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/

5. PostgreSQL新零日缝隙成BeyondTrust攻击关键，财政部遭黑客入侵

2月13日，Rapid7的安全钻研人员周四汇报称，在PostgreSQL中发现了一个新的零日缝隙（CVE-2025-1094），该缝隙与针对BeyondTrust远程支持产品的一系列攻击亲昵有关。该缝隙影响PostgreSQL交互式终端psql，允许精心机关的SQL语句触发SQL注入。Rapid7指出，黑客已利用此缝隙成功入侵美国财政部的机械。只管BeyondTrust已针对其有关缝隙颁布了补丁，但PostgreSQL中的这个潜在缝隙仍是攻击者的攻击焦点。该缝隙存在于psql处置体式谬误的UTF-8字符的方式中，精心设计的无效序列能够过早终止SQL号令，使攻击者可能注入其他语句，甚至触发shell执行。PostgreSQL团队已颁布垂危补丁，并忠告了受影响版本。同时，Rapid7还颁布了Metasploit�？�，用于指纹鉴别和自动载荷传送易受攻击的BeyondTrust系统。

https://www.securityweek.com/rapid7-flags-new-postgresql-zero-day-connected-to-beyondtrust-exploitation/

6. CleanTalk WordPress插件现严沉肆意文件上传缝隙，超3万网站面对风险

2月13日，CleanTalk WordPress 插件中发现了一个编号为CVE-2024-13365的严沉肆意文件上传缝隙，该缝隙可能使超过30,000个网站面对被齐全攻下的风险。此缝隙的CVSS评分高达9.8，允许未经身份验证的攻击者绕过身份验证并上传恶意文件，进而在服务器上执行代码。缝隙源于插件在扫描ZIP存档时未能正确验证用户提供的数据，导致攻击者能够上传肆意文件，蕴含恶意剧本。即便未经身份验证的用户通常不允许上传文件，该缝隙也可能被利用，攻击者可能会上传蕴含暗藏在无害文件中的恶意PHP文件的大型ZIP文件，以压垮服务器资源并允许执行恶意文件。Wordfence安全公司发现了该缝隙，并建议所有使用CleanTalk插件的用户尽快更新到最新版本2.150，以�；て渫久馐芮痹诠セ�。同时，安全钻研员Lucio Sá因掌管任地汇报该缝隙而获得1,716.00美元的赏金。

https://securityonline.info/hackers-can-take-over-30000-wordpress-sites-due-to-critical-cleantalk-security-flaw-cve-2024-13365/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研