文章总结： 暗网出现疑似针对谷歌全球基础设施的0-day漏洞兜售帖，标价50比特币。攻击者称利用ACED逻辑绕过WAF，影响27个核心域名，并公布内部IP与会话令牌等脱敏数据作证明。建议安全团队关注威胁情报，排查边缘代理缺陷并加强核心资产监控。 综合评分： 70 文章分类： 漏洞预警,威胁情报,漏洞分析,数据泄露,安全大事件

天价兜售（50个比特币）疑是谷歌0-day漏洞:可影响谷歌全球核心基础设施

原创

网空闲话 网空闲话

网空闲话plus

2026年6月10日 11:44 北京

在小说阅读器读本章

去阅读

【2026年6月9日暗网论坛测】一名自称“Orcinus orca”的攻击者在Breached.su论坛发布独家帖子，声称成功发掘并武器化了一个针对Google全球基础设施核心层——Google Frontend (GFE) 和 Google Edge Firewall (GEF) 的0-day漏洞，命名为“GFE ‘Phantom’ Breacher”。攻击者声称该漏洞并非普通的Web漏洞，而是一个利用ACED（模糊内容编码解压逻辑） 绕过Google Cloud Armor及GFE所有WAF签名规则的架构性缺陷。该漏洞影响范围覆盖27个以上Google核心域名，包括Gmail、YouTube、Google Cloud控制台、Admin控制台、Fitbit、developers.google.com等。攻击者宣称该漏洞具有持久性，属于GFE处理压缩负载时的设计缺陷，若不重写代理边缘逻辑则无法修补。

为证明入侵真实性，攻击者公布了脱敏的内部基础设施映射数据：确认可触及Google内部私有IP段（如172.22.12.101——Fitbit核心后端、172.22.1.78——Fitbit API网关、172.22.6.51——Fitbit设备订阅/配置后端），并曝光了内部GCP项目ID（如fitbit-logo-main-2016、firebase-summit-2022、t-devsite-webserver-20260604）。攻击者还宣称已提取170余个活跃会话令牌和35个以上唯一JSESSIONID，并获取了后端构建ID（vab7d3990237361b4739a5005ec80b0af3ee973650a028ed684c6b12bd1dc988a）及实时网络服务器时间戳（t-devsite-webserver-20260604-r00-rc00.4780790820267，表明截至2026年6月仍存活）。

该漏洞以50比特币的固定价格出售，交易需通过BreachForums或Middleman.re的托管服务。攻击者表示提供完整的漏洞利用方法、文档及数据提取方法论，并强调“这不是一个简单的漏洞，而是通往世界最安全基础设施核心的永久后门”。目前未查询到Google官方对此声明的回应。

据查，Orcinus orca（虎鲸）是Breached.su论坛上的一名新用户，于2026年6月9日注册，自称“数字深海的顶级掠食者”。该用户活跃于论坛“卖家广场”板块，主要出售高价值网络安全漏洞资产。其发布的帖子包括声称可直接绕过Google Frontend（GFE）和Google Edge Firewall（GEF）核心层的0-day漏洞（命名为“GFE‘Phantom’Breacher”），以及涉及Wickr和Eero基础设施数据的漏洞利用。截至最后一次记录，该用户最后活动时间为28分钟前，共发布4条消息。从发帖内容和语气看，该用户试图塑造一个掌握高级技术、面向精英操作者的黑客形象。

参考来源：https://breached.su/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《天价兜售（50个比特币）疑是谷歌0-day漏洞:可影响谷歌全球核心基础设施》