每日安全简讯(20260614)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 C0XMO僵尸网络利用DD-WRT路由器漏洞传播

安全研究人员披露，Gafgyt僵尸网络新变种C0XMO正在攻击DD-WRT路由器固件，并可兼容多种CPU架构设备。已披露信息显示，相关样本覆盖ARM、MIPS、PowerPC、SuperH、x86、x86_64等架构，并包含针对DVR、路由器、视频管理平台和Android设备的漏洞利用程序。C0XMO利用CVE-2021-27137传播，该漏洞为用户输入不足导致的缓冲区溢出，攻击者无需身份验证即可利用并执行任意代码。该僵尸网络支持19种DDoS攻击方式，并会扫描、终止竞争对手僵尸网络客户端和部分工具进程。

https://www.fortinet.com/blog/threat-research/inside-cross-platform-propagation-of-new-gafgyt-variant-c0xmo

---

2 WhatsApp阻止NSO间谍软件针对用户钓鱼攻击

WhatsApp在接收用户举报后已调查并阻止与NSO集团相关的社会工程学网络攻击活动。已披露信息显示，攻击者试图诱导目标点击恶意链接，并将用户引导至WhatsApp之外的外部网站，相关方式类似此前与NSO有关的一键式网络钓鱼活动。平台方还发现攻击者在WhatsApp上创建测试账号和群组，并已将其删除。相关声明列出ikhwancast、ghazacast和fr24cast等域名作为检测到的攻击指标。平台方认为该活动违反2025年法院永久禁令，该禁令禁止NSO集团针对WhatsApp或其用户实施间谍软件攻击。

https://about.fb.com/news/2026/06/fighting-spyware-an-update-from-whatsapp/

---

3 Gogs零日漏洞可导致RCE攻击与存储库访问

Gogs修复一个严重零日参数注入漏洞，该漏洞尚未分配CVE编号。已披露信息显示，漏洞影响所有Gogs版本，包括0.14.2和0.15.0+dev，拥有基本账户权限且没有管理员权限的攻击者可利用该问题入侵目标服务器、读取任意存储库，包括私有存储库，并可能窃取凭据、横向移动或更改托管源代码。由于Gogs默认启用开放注册，且默认不限制仓库创建，未经身份验证的攻击者可在默认配置实例上创建账户和仓库，再通过变基合并功能触发利用链。维护方已于6月7日发布0.14.3版本修复。

https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/

---

4 UniFi OS漏洞无需认证可实现获取Root权限

安全研究人员披露，Ubiquiti UniFi OS Server中的三个已修复漏洞可被串联利用，在无需身份验证的情况下以root权限执行远程代码。相关漏洞为CVE-2026-34908、CVE-2026-34909和CVE-2026-34910，影响UniFi OS Server 5.0.6及更早版本，并已于5月修复。已披露信息显示，前两个漏洞可用于绕过身份验证并访问受保护后端服务，第三个命令注入漏洞可在受影响设备上执行命令。研究人员验证的攻击路径不需要凭证、用户交互或事先访问权限，最终可获得目标系统root shell。

https://bishopfox.com/blog/popping-root-on-unifi-os-server-unauthenticated-rce-chain-detection-analysis

---

5 牛津大学CareerConnect平台遭入侵用户信息泄露

牛津大学披露数据泄露事件，第三方供应商Group GTI通知该校其CareerConnect职业服务平台遭入侵。已披露信息显示，该平台于5月28日被攻击者入侵，攻击者获取了用户名字、姓氏、电子邮件地址以及未使用单点登录用户的加密密码。该平台也被英国其他教育机构用于运营职业中心。牛津大学表示，事件仅影响GTI第三方系统，没有证据显示大学系统遭到危害，也没有证据显示课程信息、上传文件、预约信息或财务信息涉及此次事件。GTI表示此次泄露似乎以收集凭证为目的。

https://www.careers.ox.ac.uk/article/careerconnect-secured-and-safe-to-use-following-data-security-incident

---

6 Meta账户恢复漏洞导致2万余Instagram账号被盗

Meta披露20225名Instagram用户账户在近期网络攻击事件中被盗，攻击者利用其AI辅助账户恢复系统High Touch Support中的相关漏洞重置密码。已披露信息显示，HTS允许用户请求支持并将密码重置链接发送至邮箱，但另一条代码路径未正确验证请求者提供的邮箱地址是否与目标Instagram账户绑定，导致系统将重置链接发送至未关联邮箱。攻击者收到重置链接后，在账户未启用双因素认证的情况下可登录并劫持账户。Meta表示，事件发现后已禁用HTS AI支持系统及其生成的所有密码重置链接，并要求受影响用户重新认证。

https://www.bleepingcomputer.com/news/security/meta-ai-support-data-breach-affects-20-000-instagram-accounts/

---