文章总结: 本周安全事件凸显信任链成为主战场:Klue因遗留凭据泄露导致HackerOne等十余家安全公司OAuth令牌被盗;CheckPointVPNIKEv1协议零日(CVSS9.3)被勒索软件利用;DirtyCloneLinux内核漏洞实现无痕提权。关键发现包括第三方集成、废弃协议和安全软件本身成为攻击捷径。可操作建议包括立即撤销废弃OAuth授权、打补丁、清理遗留凭据。 综合评分: 85 文章分类: 漏洞分析,威胁情报,供应链安全,安全建设,应急响应
[安全周报] 一条没人记得的遗留凭据,撂倒 HackerOne、Tanium 等十余家安全公司
原创
极客零零七 极客零零七
极客零零七
2026年6月29日 07:27 加拿大
在小说阅读器读本章
去阅读
极客零零七 · 第25期 · 2026-06-28
摘要:本周 Icarus 借 Klue 一条废弃凭据偷走 OAuth token、横扫 十余家安全公司的 Salesforce,Check Point VPN 零日(CVSS 9.3)被 Qilin 勒索利用、CISA 下 3 天紧急令,DirtyClone 让 Linux 本地用户”无痕”拿 root——攻击者本周集体不打你,打你信任的东西。
一、本周重大事件
- Klue/Icarus OAuth 供应链:一条废弃凭据,撂倒一票顶级安全公司(供应链 / OAuth / 身份) 竞争情报平台 Klue 于 6 月 11-12 日被入侵——入口是一条 Klue 早年为某个已废弃的原型集成创建、却一直没销户的遗留服务账号。攻击者借此推送恶意更新,窃取 Klue 为客户连接第三方平台用的 OAuth token,再拿这些 token 直接查询并导出客户的 Salesforce CRM。已披露受害方包括 HackerOne、Tanium、Huntress、Recorded Future、Snyk、Jamf、Gong、Kudelski Security、Sprout Social 等十余家(多为安全厂商)。新生勒索团伙 Icarus 于 6 月 19 日挂出 Klue,Salesforce 已禁用其 Battlecards 集成。 当连卖威胁情报、跑漏洞众测的公司都被自己信任的 SaaS 集成反噬,供应链攻击的本质暴露无遗——攻击者不破你的门,借你发给别人的钥匙。
- Check Point VPN 零日 CVE-2026-50751:Qilin 走 deprecated 协议绕过认证(VPN 零日 / 勒索) Check Point 本周一发布热补丁,修复一个 CVSS 9.3 的认证绕过零日:攻击者利用 IKEv1 证书校验的逻辑缺陷,无需密码即可建立远程接入 VPN 会话。仅影响仍启用废弃的 IKEv1 协议、且不强制机器证书的网关。在野利用 5 月 7 日起、周末激增,已确认 Qilin 勒索附属的入侵后活动;CISA 于 6 月 21 日下紧急指令,要求联邦机构 3 天内处置。
- RoguePlanet 升级:微软确认 Defender 在野零日,却把法律威胁对准研究员(零日 / 披露之争) 微软本周确认正在为 RoguePlanet(CVE-2026-50656)赶制 Defender 补丁,并承认其影响完全打齐补丁的 Windows 10/11,可借竞态条件弹出 SYSTEM 命令行。围绕该漏洞,微软对持续公开 Windows 零日的研究员 Nightmare Eclipse 发出法律威胁,引发安全社区强烈反弹。 上期我们追踪的这条线本期没有收口,反而升级成厂商与研究员的公开对立——补丁还没到,信任先碎了一地。
编辑划重点(事件层):Klue 的 OAuth token、Check Point 的 IKEv1、Defender 自身——本周三件事打的都不是”漏洞”,是被默认信任、却没人盯着的东西:废弃集成、遗留协议、安全软件本身。
二、攻防技术与手法
- DirtyClone(CVE-2026-43503):克隆网络包改写内存,本地用户”无痕”提权到 root(PoC 武器化 / 内核) JFrog 于 6 月 25 日公开 DirtyClone 的完整利用链——内核在内部克隆网络数据包时,两个辅助函数丢掉了”该内存与磁盘文件共享”的安全标志,使本地用户能通过克隆包破坏 file-backed 内存、提权到 root。CVSS 8.8,属 DirtyFrag 家族;补丁已于 5 月 21 日入主线并 backport 至 stable/LTS。JFrog 暂扣了完整 exp 代码。 这类提权不留常规日志痕迹,蓝队很难靠事后审计发现——补丁是唯一可靠的闸。
- HTTP/2 Bomb:一个 DoS 手法横扫主流 Web 入口(攻击手法 / 协议级) 新披露的 HTTP/2 Bomb 远程拒绝服务手法,同时命中 nginx、Apache、IIS、Envoy 与 Cloudflare Pingora——几乎覆盖了现代 Web 流量的入口层。 协议级缺陷的可怕之处在于”不挑实现”:一个手法打穿一整代基础设施,单点修复救不了全局,必须各家同步出补丁。
- Cisco SD-WAN CVE-2026-20245 PoC 公开:在野利用早于披露两个月(PoC 武器化) 针对 Cisco Catalyst SD-WAN Manager 的 CVE-2026-20245 公开了 PoC,且经确认其在野利用比公开披露早了至少两个月。这已是 SD-WAN Manager 连续多期出现在我们的速览里。 攻击者把”管全网的盒子”当作长期潜伏点——你以为的 0-day 窗口,对他们可能早就是 N-day。
安全趋势
信任链成了主战场——你最信的那个东西,正是攻击者的捷径
第一,最危险的入口,是”你信任的第三方”。 Klue 一条没人记得的遗留凭据,就让攻击者拿到一票安全公司的 Salesforce 数据。供应链攻击的本质从来不是技术多高明,而是”借信任”——你授权过的每一个 OAuth 集成,都是一把还在生效的钥匙。
第二,”打补丁”挡不住”逻辑被信任”。 Check Point 的 9.3 不是内存破坏,是 IKEv1 证书校验的逻辑缺陷;deprecated 不等于关闭,只要还启用着就是敞口。当漏洞藏在”你以为早就不用了”的协议里,补丁清单根本扫不到它。
第三,连安全公司自己都中招,说明这是系统性盲区。 HackerOne、Tanium、Huntress 们不是不懂安全,是 SaaS 之间的横向 OAuth 信任本就缺乏统一治理;叠加 DirtyClone 的无痕提权、SD-WAN 早于披露两个月的潜伏,攻击者正在”信任的内部”长期、安静地存在。
未来 6-12 个月,OAuth token 与第三方 SaaS 集成会取代钓鱼,成为头号初始访问向量。防御方需要做三件事:(1) 把每一个第三方 OAuth 授权当作”长期有效的凭据”纳入资产清单,定期复核、撤销废弃集成;(2) 把”已废弃”的协议和账号当作活的攻击面来管,deprecated 必须等于 disabled;(3) 为 SaaS 横向访问建立独立的审计与异常导出告警。
本周行动清单
- 立即盘点 Salesforce/SaaS 的第三方 OAuth 集成:撤销 Klue Battlecards 等废弃授权、轮换所有集成 token、排查近期异常的 CRM 批量导出。
- Check Point VPN 按 CISA 3 天窗口处置:打 CVE-2026-50751 热补丁,无法立即升级则关闭 IKEv1、强制 IKEv2 + 强制机器证书、移除 legacy 客户端并开启 IPS 签名。
- 清剿”遗留/废弃凭据”:禁用原型与已弃用集成的服务账号——遗留凭据是 Klue 式入侵的标准入口,没有归属的账号一律停用。
- Linux 全量打 DirtyClone(CVE-2026-43503):升级到含修复的 stable/LTS 内核(5 月 21 日入主线),该提权无痕、难靠日志发现,补丁是唯一可靠防线。
- SD-WAN/边缘设备复核 CVE-2026-20245:PoC 已公开且在野早于披露两个月,确认补丁状态与公网暴露面,按 N-day 而非 0-day 假设排查潜伏。
关注「极客零零七」,每周实战攻防干货。 回复「提权」获取 Windows + Linux 提权速查表 · 回复「AD 攻击」获取 AD 域攻击手册
参考资料
-
https://thehackernews.com/2026/06/salesforce-disables-klue-app.html
-
https://www.bleepingcomputer.com/news/security/klue-oauth-breach-linked-to-icarus-salesforce-data-theft-attacks/
-
https://www.theregister.com/cyber-crime/2026/06/22/security-shops-among-the-hundreds-of-klue-hack-victims/
-
https://www.securityweek.com/more-cybersecurity-firms-disclose-impact-from-klue-hack/
-
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-check-point-flaw-exploited-by-ransomware-gangs/
-
https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/
-
CISA Warns of Check Point Security Gateway Vulnerability Actively Exploited in Ransomware Attacks
-
https://thehackernews.com/2026/06/new-dirtyclone-linux-kernel-flaw-lets.html
-
CVE-2026-43503: ‘DirtyClone’ Linux Kernel Local Privilege Escalation to Root via Cloned Network Packets
-
HTTP/2 Bomb — Remote DoS Exploit Hits nginx, Apache, IIS, Envoy, and Cloudflare Pingora
-
https://www.penligent.ai/hackinglabs/cve-2026-20127-poc-exploit-released-for-cisco-sd-wan-zero-day-actively-exploited-in-the-wild/
-
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:极客零零七 极客零零七 极客零零七《[安全周报] 一条没人记得的遗留凭据,撂倒 HackerOne、Tanium 等十余家安全公司》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。


![[安全周报]一条没人记得的遗留凭据,撂倒HackerOne、Tanium等十余家安全公司](/images/random/titlepic/14.jpg)
![[ACTF2020新生赛]Include](/images/random/titlepic/6.jpg)






评论