每日安全简讯(20260615)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Gamaredon组织利用WinRAR漏洞攻击乌克兰目标

安全研究人员披露，两批与疑似具有俄罗斯背景的网络攻击活动仍在利用WinRAR漏洞CVE-2025-8088攻击乌克兰组织。该漏洞为路径遍历问题，允许攻击者通过NTFS备用数据流将文件写入提取目录之外，WinRAR已于2025年7月修复。已披露信息显示，SHADOW-EARTH-066使用精心构造的RAR压缩包，包含诱饵PDF和隐藏载荷，并部署更新版GIFTEDCROOK信息窃取程序，目标包括浏览器密码、Cookie和特定扩展名文档。另一个被称为Earth Dahu或Gamaredon的组织至少自2025年9月起将该漏洞纳入攻击链，并传播GammaPhish、GammaLoad和GammaSteel等组件。

https://www.trendmicro.com/en_us/research/26/f/old-winrar-flaw-fuels-attacks-on-ukraine.html

---

2 SolarWinds Serv-U漏洞被利用致使服务器崩溃

美国网络安全机构CISA通报，攻击者正在利用SolarWinds Serv-U高危漏洞CVE-2026-28318使服务器崩溃。Serv-U是用于Windows和Linux的文件传输软件，提供托管文件传输和FTP服务器功能。已披露信息显示，该漏洞源于不受控制的资源消耗问题，攻击者可在未认证情况下发送特制POST请求，并使用Content-Encoding: deflate导致Serv-U服务崩溃。远程攻击者无需用户交互即可进行低复杂度利用。相关漏洞已被加入已知利用漏洞目录，联邦机构被要求在6月19日前完成处置。

https://www.bleepingcomputer.com/news/security/cisa-hackers-now-exploit-solarwinds-serv-u-flaw-to-crash-servers/

---

3 protobuf.js存在6个严重漏洞影响Node.js应用

安全研究人员披露，protobuf.js中存在六个被命名为Proto6的漏洞，可能使Node.js应用面临远程代码执行和拒绝服务风险。已披露信息显示，相关漏洞影响使用protobuf.js的Node.js应用、Google Cloud客户端库、Baileys等消息框架以及CI/CD流水线。漏洞包括无界protobuf递归导致拒绝服务、不安全选项路径导致进程级拒绝服务、原型污染后的代码生成工具、生成消息构造函数中的原型注入、精心构造字段名触发生成代码拒绝服务，以及通过模式名称向pbjs静态输出注入代码。修复已在protobuf.js 7.5.6、8.0.2及相关CLI版本中提供。

https://www.cyera.com/blog/cyera-research-uncovers-six-protobuf-js-vulnerabilities-impacting-the-backbone-of-data-and-ai-systems

---

4 FROST攻击技术可通过读取SSD时间追踪用户行为

研究人员披露一种名为FROST的攻击，恶意网站可仅利用JavaScript和固态硬盘读写时间，追踪用户访问的网站和打开的应用程序。已披露信息显示，该攻击无需原生代码、扩展程序或权限提示，可在浏览器沙箱内运行，并将此前需要本地代码的SSD时序攻击转化为远程攻击。FROST利用源私有文件系统OPFS创建大于设备内存的文件，迫使读取操作持续访问SSD，再通过performance.now()记录随机4KB数据块读取时间。当用户在同一驱动器上打开网站或应用时，磁盘争用会形成可识别时间偏移。在macOS测试中，该方法对前50个网站的封闭环境识别F1分数达到88.95%。

https://thehackernews.com/2026/06/new-frost-attack-lets-websites-track.html

---

5 LiteLLM漏洞CVE-2026-42271已被攻击者利用

美国网络安全机构CISA将BerriAI LiteLLM漏洞CVE-2026-42271加入已知利用漏洞目录。已披露信息显示，该漏洞CVSS评分为8.7，属于命令注入问题，影响LiteLLM Python包1.74.2至1.83.7之前版本。问题存在于用于保存MCP服务器前预览连接和工具列表的两个端点，它们接受请求正文中的完整服务器配置，并在使用stdio配置调用时以代理进程权限生成命令子进程。另有研究将该漏洞与Starlette主机头验证绕过漏洞CVE-2026-48710串联，形成未经身份验证远程代码执行链。实际攻击细节、目标和攻击者身份尚未披露。

https://www.cisa.gov/news-events/alerts/2026/06/08/cisa-adds-two-known-exploited-vulnerabilities-catalog

---

6 Linux内核漏洞CVE-2026-23111可实现本地提权

安全研究人员发布Linux内核漏洞CVE-2026-23111的详细技术演示和可用利用程序。已披露信息显示，该漏洞存在于内核nf_tables数据包过滤代码中，属于释放后使用问题，已于2026年2月5日在上游修复。该漏洞源于一个多余字符和反向校验错误，攻击者在获得低权限立足点后，可将非特权本地用户权限提升至root，并突破容器命名空间。相关利用依赖nf_tables和非特权用户命名空间，这两项设置在多数桌面和许多服务器发行版中较常见。研究人员已在Debian Bookworm、Debian Trixie、Ubuntu 22.04 LTS和Ubuntu 24.04 LTS上演示利用。

https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/

---