文章总结: 今日安全简讯涵盖六项关键事件:耐克数据泄露疑来自第三方服务商而非直接入侵;RedHook恶意软件新变种利用无线ADB获取Android设备shell权限;CISA紧急要求修复Joomla扩展iCagenda和BalbooaForms的高危文件上传漏洞;U-Boot引导加载程序六个严重漏洞影响大量嵌入式设备,可致验证启动机制失效;GitHubAPI遭幽灵账户大规模侦察,用于映射组织结构和成员;Zimbra经典Web客户端存在存储型XSS漏洞,建议立即升级至10.1.19版本。 综合评分: 85 文章分类: 漏洞分析,恶意软件,数据泄露,威胁情报,应急响应
安全简讯(2026.07.13)
启明星辰安全简讯
2026年7月13日 16:36 北京
在小说阅读器读本章
去阅读
1. 黑客论坛叫卖耐克数据,真实性与来源存疑
7月9日,运动服装巨头耐克近日再度出现在黑客论坛上,一名新手威胁行为者发帖宣称出售数百万条客户记录,声称窃取了包括客户注册信息和订单详情在内的数据集,未压缩体积达40GB,且均为2026年数据,不包含历史记录。攻击者声称“数百万条客户数据被窃取”,并估算数据价值高达八位数。然而,网络新闻研究人员在审查其发布的数据样本后发现诸多疑点:样本内容混乱,混合了JSON文档与应用程序日志,且涉及用户个人身份信息的部分存在大量重复记录,使得实际包含多少独立客户数据难以判定。更关键的是,数据中耐克主要出现在应用程序类别名称中,而非直接关联该公司的字段,日志分析表明数据很可能通过Amazon Simple Queue Service(SQS)从运行于AWS上的应用程序收集而来。研究人员据此推断,此次泄露数据更可能来源于耐克的第三方服务提供商,而非耐克自身系统遭直接入侵。
https://cybernews.com/security/nike-customer-data-breach-claims/
2. RedHook恶意软件新变种无线劫持安卓调试权限
7月12日,网络安全公司Group-IB披露,Android恶意软件RedHook的新版本通过创新手段滥用无线ADB调试功能,无需连接计算机即可获取shell级别权限。攻击关键在于对Android无线调试机制的巧妙利用。RedHook先诱骗用户授予辅助功能权限,随后自动操纵设置启用开发者选项和无线调试,检索屏幕上显示的配对码,通过回环接口完成与手机ADB服务的配对,从而获得shell(UID 2000)权限,远高于普通应用但未达root级别,且无需root,可影响所有Android设备。接着,恶意软件部署基于Shizuku的框架,以UID 2000调用特权API,执行shell命令、授予自身权限、修改系统设置、静默安装或删除应用。当前版本支持53条指令,包括屏幕串流、模拟手势、设备锁定/解锁、应用管理、收集联系人短信、创建虚假验证对话框、启动摄像头及重启设备等。持久化方面,RedHook利用静音音频提高进程优先级,使用WakeLocks防止CPU休眠,双服务互相监控重启,并设置看门狗定时器、开机自启及调整oom_score_adj至-1000以降低被终止风险。该恶意软件通过冒充政府或金融机构,以短信和电话诱导用户访问仿冒Google Play网站传播。
https://www.bleepingcomputer.com/news/security/redhook-android-malware-now-uses-wireless-adb-for-shell-access/
3. CISA紧急列入两项Joomla扩展高危漏洞
7月11日,美国网络安全和基础设施安全局(CISA)近日将两个影响Joomla扩展程序的严重漏洞纳入其已知可利用漏洞(KEV)目录,要求联邦机构在2026年7月13日前紧急修复。这两个漏洞分别为CVE-2026-48939和CVE-2026-56291,均涉及不受限制的文件上传类型问题,且CVSS评分均达到最高的10.0分,表明其风险等级极为严重。CVE-2026-48939影响iCagenda,这是一个广泛使用的Joomla开源活动管理扩展,用于帮助网站管理员在Joomla平台上创建、组织和展示各类活动,无需进行自定义开发。该漏洞存在于文件附件功能中,允许攻击者上传任意类型的文件,特别是恶意的PHP脚本,最终实现代码上传并在服务器上执行,从而完全控制受影响的网站。第二个漏洞CVE-2026-56291则涉及Balbooa Forms,这是一款面向Joomla的商业表单构建器扩展,使管理员无需编写代码即可快速创建高级Web表单。该缺陷属于未经身份验证的任意文件上传漏洞,攻击者无需任何登录凭证即可上传可执行文件,进而实现完全的远程代码执行(RCE),对网站数据和服务器安全构成直接威胁。
U.S. CISA adds iCagenda and Balbooa Forms flaws to its Known Exploited Vulnerabilities catalog
4. U-Boot六大高危漏洞波及大量嵌入式设备
7月11日,安全机构Binarly披露了开源引导加载程序U-Boot中的六个严重漏洞,影响自2013.07版本以来的超过50个发行版,波及家用路由器、智能摄像头、服务器管理控制器及大量嵌入式硬件。由于U-Boot在操作系统和安全软件之前运行,攻击者在此阶段植入恶意代码将彻底破坏后续所有程序的加载执行,且极难检测清除。所有漏洞均在验证FIT镜像时触发,FIT是U-Boot打包内核、设备树等组件的标准格式,包含签名验证机制。其中两个漏洞可导致任意代码执行,四个可引发拒绝服务攻击。破坏该组件将彻底瓦解验证启动机制,此前同一代码路径已披露过多个CVE漏洞。Binarly反驳了引导加载程序漏洞需物理接触才能利用的传统观点,攻击者若可访问远程管理接口即可绕过验证刷入恶意镜像。六个补丁已通过上游审核并合并至主分支,修复包括空值检查及深度计数器限制。设备厂商应尽快发布更新,Binarly已提供概念验证镜像和复现步骤。
Critical U-Boot Bugs Undermine Secure Boot on Millions of Devices
5. GitHub API遭滥用,幽灵账户大规模侦察
7月11日,Datadog安全团队近日披露,威胁行为者正系统性地滥用GitHub API,对组织、存储库和用户账户展开大规模枚举侦察活动。该活动已持续数月,涉及多个重叠的攻击波次,其基础设施依赖于两到五年前注册、长期处于休眠状态的“幽灵账户”,这些账户在近期被重新激活用于发送恶意API请求。GitHub API的大部分功能无需身份验证即可访问,包括列出组织的公开仓库、遍历用户的关注者和关注列表、枚举gist、加星标的仓库和组织成员,以及对公共对象运行GraphQL查询等操作,所有这些都会返回数据并生成HTTP 200响应,不会发出任何身份验证失败信号。攻击者正是利用这一特性,将恶意请求混杂在正常流量中,系统性地映射目标组织的结构、成员构成及其访问的项目,从而为后续更深入的入侵收集关键情报。自2025年10月以来,已有超过50个幽灵账户参与其中,攻击周期通常持续1至3周,涉及多个组织。这些账户使用的用户代理名称伪装成数据泄露分析工具、仪表盘软件或安全扫描器,以降低被发现的概率。请求类型以GraphQL为主,同时辅以REST路由调用。
https://www.securityweek.com/ghost-accounts-abuse-github-api-in-mass-recon-campaign/
6. Zimbra经典客户端曝XSS漏洞,俄黑客曾频繁利用
7月10日,Zimbra安全团队近日敦促客户紧急修复一个影响Zimbra Collaboration套件经典Web客户端(Classic UI)的严重存储型跨站脚本(XSS)漏洞。目前该漏洞尚未分配CVE编号,增加了追踪难度。攻击者可通过精心构造的电子邮件利用此漏洞,在收件人打开邮件时执行恶意代码,从而窃取会话数据、账户设置及邮箱信息。Zimbra已于本周二发布10.1.19版本进行修复,并明确表示“所有使用经典Web客户端的客户都应尽快升级”,因为该问题仅影响经典界面用户。虽然Zimbra未确认该漏洞已被在野利用,但发现方为谷歌威胁分析小组,该小组经常通报由国家支持黑客组织针对高风险个人(包括反对派政治家、异见人士和记者)部署的零日漏洞,暗示此漏洞可能已受到高级威胁行为者的关注。俄罗斯国家支持的黑客组织近年来频繁利用Zimbra漏洞发起攻击。安全专家强烈建议所有使用经典Web客户端的Zimbra用户立即升级至10.1.19版本,以防范潜在的国家级网络攻击和数据泄露风险。
https://www.bleepingcomputer.com/news/security/zimbra-urges-customers-to-patch-critical-web-client-xss-flaw/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:启明星辰安全简讯 《安全简讯(2026.07.13)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论