whoAMI攻击利用Amazon AMI名称混淆入侵AWS账户

首页 > 宁静研究 > 宁静通报 > 宁静简讯

whoAMI攻击利用Amazon AMI名称混淆入侵AWS账户

宣布时间 2025-02-14

1. whoAMI攻击利用Amazon AMI名称混淆入侵AWS账户

2月13日，宁静研究人员发现了一种名为“whoAMI”的攻击方式，该攻击允许任何宣布具有特定名称的Amazon系统映像（AMI）的人访问Amazon Web服务帐户。此攻击由DataDog研究人员于2024年8月筹谋，通过利用软件项目检索AMI ID在AWS账户内执行代码。亚马逊确认该漏洞并于9月宣布修复法式，但部门未更新代码的组织仍面临风险。whoAMI攻击利用了AWS环境中AMI选择配置的错误，如未指定所有者、使用通配符取代特定AMI ID或使用“most_recent=true”等实践，使得攻击者能插入恶意AMI。攻击者只需宣布一个名称切合可信所有者模式的AMI，用户就可能选择并启动它。DataDog的遥测数据显示，约1%的组织易受攻击，可能影响数千个AWS账户。亚马逊已修复该问题并推出“允许的AMI”新宁静控制，建议客户始终指定AMI所有者并启用该功效。此外，Terraform也开始警告未使用所有者过滤器的情况，并计划实施更严格的执行。系统管理员需审核配置并更新代码以实现宁静的AMI检索，同时启用AWS审计模式检查不受信任的AMI。DataDog还宣布了扫描法式供用户检查AWS账户中是否存在不受信任的AMI实例。

https://www.bleepingcomputer.com/news/security/whoami-attacks-give-hackers-code-execution-on-amazon-ec2-instances/

2. Doxbin数据大泄露：Tooda黑客组织曝光13.6万用户记录及黑名单

2月13日，Doxbin是一个涉及网络人肉搜索和个人信息泄露的污名昭著平台，近期被一个名为Tooda的黑客组织攻陷，导致大量用户数据泄露。据Hackread.com报道，Tooda组织声称此次攻击是对其中一名成员指控的回应，他们破坏了Doxbin的基础设施，清除了用户帐户，锁定了管理员，并泄露了运营该平台人员的个人信息。泄露的数据包罗凌驾136,000条用户记录，如ID、用户名和电子邮件地址，以及一个名为“Doxbin黑名单”的文件，该文件收集了已付费阻止信息宣布在Doxbin上的人员信息。此外，Tooda还宣布了据称属于Doxbin管理员River（真名Paula）的详细个人数据。这次数据泄露对Doxbin用户来说极为危险，即使只有用户名和电子邮件地址泄露，这些信息也可能与其他泄密信息交叉引用，导致身份追踪和现实世界的联系被发现。目前，Doxbin处于离线状态，此次事件进一步表明，即使是恶意平台也可能受到竞争对手的攻击，Doxbin用户面临袒露风险。

https://hackread.com/doxbin-data-breach-hackers-leak-user-records-blacklist-file/

3. Zacks Investment Research疑遭1200万账户数据泄露

2月13日，Zacks Investment Research（Zacks）是一家提供数据驱动投资见解的美国公司，在2024年6月疑似遭遇了数据泄露事件，导致约莫1200万个账户的敏感信息被泄露。这些信息包罗全名、用户名、电子邮件地址、实际地址和电话号码等。一名威胁行为者在黑客论坛上宣布了数据样本，并声称对Zacks进行了入侵。尽管Zacks尚未回应关于数据真实性的询问，但泄露的数据库已被添加到Have I Been Pwned（HIBP）网站上供用户检查。HIBP确认该文件包罗1200万个唯一电子邮件地址等信息，并指出约93%的泄露电子邮件地址已存在于其数据库中，可能来自过去对同一平台或其他服务的入侵。如果此次数据泄露被证实为新黑客攻击的结果，这将是过去四年内影响Zacks的第三次重大数据泄露事件。此前，Zacks已在2023年1月披露了一次涉及820,000名客户敏感信息的泄露事件，并在2023年6月被HIBP验证了一个包罗880万使用Zacks服务个人信息的单独数据库泄露。值得注意的是，此次泄露事件尚未得到Zacks的官方证实。

https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/

4. Astaroth网络钓鱼工具包：新型攻击方式可绕过2FA窃取登录凭证

2月13日，一种名为Astaroth的新型高级网络钓鱼工具包已泛起在网络犯罪网络中，它通过反向署理、实时凭证捕捉和会话劫持技术，能够绕过双因素身份验证（2FA），窃取Gmail、Yahoo和Microsoft等服务的登录凭证。Astaroth使用恶意服务器作为受害者和合法网站之间的中介，拦截并利用流量，实时捕捉登录凭据、身份验证令牌和会话cookie。攻击者可以通过Web面板界面和Telegram通知实时接收捕捉的信息。该工具包通过Telegram出售，并在网络犯罪论坛和市场上推广，售价2000美元，包罗六个月的更新和支持。据研究人员称，Astaroth的庞大水平令人震惊，用户应格外小心电子邮件中的链接，直接访问网站以检查账户是否存在问题。

https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/

5. PostgreSQL新零日漏洞成BeyondTrust攻击要害，财政部遭黑客入侵

2月13日，Rapid7的宁静研究人员周四陈诉称，在PostgreSQL中发现了一个新的零日漏洞（CVE-2025-1094），该漏洞与针对BeyondTrust远程支持产物的一系列攻击密切相关。该漏洞影响PostgreSQL交互式终端psql，允许精心结构的SQL语句触发SQL注入。Rapid7指出，黑客已利用此漏洞乐成入侵美国财政部的机器。尽管BeyondTrust已针对其相关漏洞宣布了补丁，但PostgreSQL中的这个潜在漏洞仍是攻击者的攻击焦点。该漏洞存在于psql处置格式错误的UTF-8字符的方式中，精心设计的无效序列可以过早终止SQL命令，使攻击者能够注入其他语句，甚至触发shell执行。PostgreSQL团队已宣布紧急补丁，并警告了受影响版本。同时，Rapid7还宣布了Metasploit�？�，用于指纹识别和自动载荷传送易受攻击的BeyondTrust系统。

https://www.securityweek.com/rapid7-flags-new-postgresql-zero-day-connected-to-beyondtrust-exploitation/

6. CleanTalk WordPress插件现严重任意文件上传漏洞，超3万网站面临风险

2月13日，CleanTalk WordPress 插件中发现了一个编号为CVE-2024-13365的严重任意文件上传漏洞，该漏洞可能使凌驾30,000个网站面临被完全攻陷的风险。此漏洞的CVSS评分高达9.8，允许未经身份验证的攻击者绕过身份验证并上传恶意文件，进而在服务器上执行代码。漏洞源于插件在扫描ZIP存档时未能正确验证用户提供的数据，导致攻击者可以上传任意文件，包罗恶意脚本。即使未经身份验证的用户通常不允许上传文件，该漏洞也可能被利用，攻击者可能会上传包罗隐藏在无害文件中的恶意PHP文件的大型ZIP文件，以压垮服务器资源并允许执行恶意文件。Wordfence宁静公司发现了该漏洞，并建议所有使用CleanTalk插件的用户尽快更新到最新版本2.150，以�；て渫久馐芮痹诠セ�。同时，宁静研究员Lucio Sá因卖力任地陈诉该漏洞而获得1,716.00美元的赏金。

https://securityonline.info/hackers-can-take-over-30000-wordpress-sites-due-to-critical-cleantalk-security-flaw-cve-2024-13365/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究