每日安全简讯(20260622)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Chrome恶意壁纸扩展潜藏广告跟踪和虚假流量

安全研究人员披露，152个Google Chrome扩展程序伪装成新标签页动态壁纸插件，传播潜在有害程序并涉及广告跟踪和虚假流量。已披露信息显示，该活动覆盖38个独立Chrome网上应用商店发布者账户，累计安装量约105000次。相关扩展在商店页面中声明不收集或使用用户数据，但隐私政策承认会记录IP地址、ISP、点击次数和引荐来源，并与广告合作方共享。部分扩展在安装和卸载时会打开带有跟踪参数或Google重定向包装器的URL，将扩展产生的访问伪装成自然搜索或真实搜索结果点击。

https://socket.dev/blog/152-chrome-live-wallpaper-extensions-hid-ad-tracking

---

2 PAN-OS GlobalProtect漏洞被攻击利用建立VPN会话

安全研究人员披露，攻击者正在积极利用PAN-OS漏洞CVE-2026-0257，获取对GlobalProtect门户的未经授权访问权限。已披露信息显示，该漏洞CVSS评分为7.8，属于影响PAN-OS软件门户和网关组件的身份验证绕过漏洞，攻击者可利用该问题绕过安全控制并建立VPN连接。相关活动最早可追溯至2026年5月17日，目前幕后攻击者身份尚不清楚。官方表示，截至披露时未发现后续访问行为或横向移动，只有少量被探测设备实际建立了VPN会话并触发网关连接事件。该漏洞此前已被加入已知利用漏洞目录。

https://unit42.paloaltonetworks.com/active-exploitation-of-pan-os-cve-2026-0257/

---

3 Splunk Enterprise漏洞可导致未认证远程代码执行

Splunk发布安全更新，修复Splunk Enterprise中的严重漏洞CVE-2026-20253。已披露信息显示，该漏洞CVSS评分为9.8，影响Splunk Enterprise 10.0.0至10.0.6版本和10.2.0至10.2.3版本，10.4版本不受影响，Splunk Cloud也不受影响。问题源于PostgreSQL sidecar服务端点缺乏身份验证控制，未经身份验证的网络可达用户可调用文件操作，创建或截断任意文件。后续技术分析显示，该漏洞可通过备份和恢复端点连接攻击者控制数据库，并在本地PostgreSQL实例中执行恶意SQL，最终通过受控文件写入覆盖Splunk常执行的Python脚本实现预认证远程代码执行。

https://advisory.splunk.com/advisories/SVD-2026-0603

---

4 制药公司Novo Nordisk临床试验者信息数据泄露

制药公司Novo Nordisk披露一起数据泄露事件，影响部分临床试验患者信息。已披露信息显示，攻击者获得该公司内部IT系统访问权限，并未经授权将某些非公开数据复制到外部，其中包括参与部分临床试验患者相关数据。受影响数据包括随机字母数字患者ID、试验参与信息、性别、出生年份、生物标志物、健康或免疫原性数据，以及吸烟、饮酒、BMI等生活方式因素。公司表示相关数据未通过姓名或其他直接标识符与患者直接关联，因此认为第三方无法凭此次泄露数据识别临床试验参与者。事件还影响部分医疗保健专业人员，其姓名、注册号码、联系方式和办公地点被泄露。

https://www.novonordisk.com/news-and-media/latest-news/incident-update.html

---

5 ServiceNow安全漏洞导致客户数据表被访问

ServiceNow发出安全警告称，攻击者利用存在漏洞的API端点，通过未经身份验证访问问题从客户实例中查询数据。已披露信息显示，公司在检测到与该问题相关的异常活动后，通过支持公告和直接支持案例通知受影响客户。公告称，2026年6月5日，ServiceNow对托管客户实例应用安全更新，将相关API端点访问权限限制为仅限已认证用户。ServiceNow证实，攻击者利用该问题成功查询了客户实例表，但未披露攻击期间访问的数据类型。该问题主要影响运行澳大利亚平台版本的客户，或对旧版本进行过某些配置更改的客户。

https://www.bleepingcomputer.com/news/security/servicenow-discloses-security-incident-exposing-customer-data/

---

6 The Gentlemen勒索攻击组织声称掌控478名受害者

安全研究人员披露，The Gentlemen勒索软件行动声称已掌控478名受害者。已披露信息显示，该组织早期作为多个勒索软件即服务项目的附属机构运作，曾利用LockBit、Qilin和Medusa等资源实施双重勒索攻击。该组织被追踪为Phantom Mantis，其首领被描述为一名讲俄语的网络犯罪分子，使用多个网络化名。2025年7月，Phantom Mantis转型为The Gentlemen，成为独立合作伙伴计划，不再依赖其他勒索软件即服务组织。报告还指出，该组织高度依赖人工智能协助开发和维护勒索软件及工具，并辅助后渗透流程。

https://catalyst.prodaft.com/public/report/inside-the-phantom-mantis-operation/overview#paragraph-1000|0

---