导语:各位极客,五一假期过得如何?在这个本该放松的黄金周里,网络安全圈却如同经历了连环大地震。
潜伏 9 年的 Linux 内核 0-Day 被 AI 揪出、cPanel 爆出 CVSS 9.8 分认证绕过漏洞、PyTorch Lightning 等开源包遭精准投毒……黑客们显然没有放假。
以下是本周【极客零零七】为您梳理的全球最具威胁的网络安全事件,请火速核查你的资产清单!
本周最具爆炸性的漏洞,非Copy Fail 莫属。这个潜伏在Linux内核 authencesn 密码学模板中长达9年的逻辑漏洞,让安全圈倒吸一口凉气。
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf 临时禁用受影响模块。3 月由 Google、Lookout、Jamf 等团队联合披露的 iOS 利用链 DarkSword,本周仍在野持续利用,多家 APT 团伙跟进。
4 月 28 日,cPanel & WHM 爆出极其严重的身份验证绕过漏洞 (CVE-2026-41940),Shodan 数据显示约 150 万 cPanel 实例暴露公网,全部受影响。
user=root / hasroot=1 / tfa_verified=1,直接绕过密码与 2FA。本周连续爆出两起重大开源投毒事件:
_runtime 目录与混淆 JavaScript 载荷;Aikido、OX Security、Socket、StepSecurity 同步发出警报。import lightning 时自动执行,无需任何额外用户操作。开发者若使用自动化脚本拉取最新依赖,将直接中招。请立即排查 CI/CD 与生产镜像中的版本锁定。Anthropic 公开 Project Glasswing 计划进展:前沿模型 Claude Mythos Preview 已在所有主流操作系统和浏览器中挖出数千个高危漏洞,其中不乏潜伏十余年未被人类与 Fuzzer 发现的深层 Bug。当前访问受限于 AWS、Apple、Cisco、CrowdStrike、Google、Microsoft 等约 50 家组织。
前 Sygnia 应急响应经理 Ryan Goldberg 与前 DigitalMint 谈判员 Kevin Martin,各被法院判处 4 年监禁。两人利用"安全防守方"的内部知识反向加入 BlackCat (ALPHV) 团伙,自 2023 年起对 5 家美企(医疗、制药、工程、无人机制造)发动精准勒索,获利约 120 万美元。第三共犯 Angelo John Martino III 将于 7 月 9 日宣判,最高面临 20 年。 日防夜防,家贼难防。
VECT 2.0 勒索软件横扫 Windows、Linux 与 ESXi 环境,但 Check Point 研究将其定性为 "Ransomware by design, Wiper by accident"——名为勒索,实为擦除器。
零零七安全建议:节后返工第一天,请各位运维和安全老哥务必做好两件事:
排查 Linux 服务器内核版本,跟进 Copy-Fail 漏洞的修复方案; 检查代码仓库中的开源依赖,特别是版本号敏感的第三方包。
保持敬畏,保持更新。更多硬核前沿网安资讯与技术拆解,敬请关注【极客零零七】!