XZ-Utils后门持续威胁Docker Hub，至少35个镜像仍存隐患

首页 > 安全钻研 > 安全传递 > 安全简讯

XZ-Utils后门持续威胁Docker Hub，至少35个镜像仍存隐患

颁布功夫 2025-08-14

1. XZ-Utils后门持续威胁Docker Hub，至少35个镜像仍存隐患

8月12日，2024年3月曝光的XZ-Utils后门事务（CVE-2024-3094）仍在持续发酵，Binarly钻研团队发现Docker Hub官方容器镜像注册中心上至少存在35个受习染的Linux镜像，这些镜像可能通过传递性习染威胁用户及组织数据安全。。该后门由持久项目贡献者"Jia Tan"奥秘注入xz-utils 5.6.0/5.6.1版本的liblzma.so库中，通过glibc的IFUNC机制劫持OpenSSH的RSA_public_decrypt函数，允许攻击者使用特殊私钥绕过SSH身份验证并远程执行root号令。。只管缝隙发现较早且官方已颁布5.6.2及以上修复版本，但其残留影响仍波及Debian、、Fedora等主流Linux刊行版，成为去年最严重的软件供给链安全事务之一。。Docker Hub作为全球开发者宽泛使用的容器镜像平台，其问题镜像的持续存在引发忧郁。。Binarly扫描发现，部门受习染镜像仍公开颁布，且存在基于这些基础镜像构建的"二阶镜像"，形成传递性风险。。很多CI/CD管道及出产系统直接引用Docker Hub镜像作为基础层，若未实时更新，新构建容器将自动继承恶意代码。。只管Binarly已向Debian等守护者传递情况，但Debian选择保留这些后门镜像，理由是"利用前提刻薄"且需维持存档陆续性，仅建议用户使用最新版本而非下架旧镜像。。

https://www.bleepingcomputer.com/news/security/docker-hub-still-hosts-dozens-of-linux-images-with-the-xz-backdoor/

2. 医疗治理巨头Pacific HealthWorks遭Everest勒索软件攻击

8月12日，美国南加州医疗治理服务巨头Pacific HealthWorks（PHW）近日遭逢Everest勒索软件组织攻击，导致其服务的至少50家医疗集团数百份敏感数据被窃取。。作为总部位于埃尔塞贡多的医疗服务机构（MSO），PHW为全美1200余家医院、、医生集体及诊所提供急诊、、重症监护、、麻醉等领域的行政治理支持，年服务患者超140万人次。。这次事务中，患者及员工的姓名、、社会安全号码、、医疗纪录、、保险信息等小我身份信息（PII）遭泄露，部门数据样本已在勒索团伙的暗网博客公开。。Everest团伙于上周末在其"阴郁受害者"网站颁布PHW及其姊妹公司La Perouse的勒索申明，威胁若未在指按功夫内联系交涉，将颁布蕴含账单数据在内的50余家组织敏感信息。。Cybernews核查发现，泄露文件涵盖Emergent Medical Associates、、Benchmark Hospitalists等关联机构，涉及诊断代码、、保险索赔等主题医疗数据。。

https://cybernews.com/news/pacific-healthworks-everest-ransomware-attack-la-perouse-data-leak-physician-groups/

3. 韩国票务巨头Yes24两月内二度遭勒索攻击，服务中断引粉丝发急

8月12日，韩国最大票务及在线图书零售商Yes24于近日遭逢勒索软件攻击，导致其网站及移动利用中断数小时，这是该公司不到两个月内第二次陷入网络安全�；；；�。。这次事务始于本地功夫凌晨4点30分，用户无法预约演唱会门票、、接见电子书及使用社区论坛。。Yes24迅速将系统离线以遏制攻击，并依附备份数据在7小时内复原运营，但未泄漏攻击者身份或是否收到赎金要求。。中断对韩国盛行乐队DAY6的粉丝造成直接影响，原定于当晚8点起头的"The Decade"巡演门票预售被迫暂停，服务复原后刚刚重启。。这次事务距6月勒索攻击仅隔不及两月：其时攻击导致Yes24瘫痪约五天，影响朴宝�！！�、、ENHYPEN等演员演出票务，并露出其不足异地备份系统的安全短板。。只管该公司过后承诺"彻查安整个系"、、礼聘外部团队并升级系统，但二次遇袭引发韩国媒体和用户强烈品评，责怪其整改措施不到位且信息通明度不及。。

https://therecord.media/yes24-second-ransomware-attack-kpop-ticketing-affected

4. Fortinet忠告FortiSIEM预授权RCE缝隙可能被利用

8月13日，网络安全厂商Fortinet近日颁布垂危安全布告，披露其主题安全信息与事务治理（SIEM）产品FortiSIEM存在一个严重等级（CVSS 9.8）的远程号令注入缝隙（CVE-2025-25256）。。该缝隙影响版技巧域宽泛，涵盖5.4至7.3多个分支，其中5.4至6.6的旧版系统已终止技术支持，建议用户立即升级至7.3.2、、7.2.6等最新受支持版本。。缝隙成因源于产品未对特殊元素进行充分过滤，导致未经身份验证的攻击者可通过机关恶意CLI要求，在指标系统执行肆意号令。。Fortinet确认该缝隙存在可公开获取的利用代码，且攻击行为不会产生怪异IOC特点，使得入侵检测难度显著提升。。只管未明确认可零日利用，但GreyNoise威胁谍报公司指出，本月针对Fortinet SSL VPN和FortiManager的暴力破解攻击激增，此类异常流量颠簸往往预示新缝隙披露，两者可能存在关联性。。这次缝隙露出后，Fortinet建议用户优先通过版本升级实现底子性修复，同时提供一时缓解规划。。

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-fortisiem-pre-auth-rce-flaw-with-exploit-in-the-wild/

5. 宾夕法尼亚州总检察长办公室遭网络攻击致系统瘫痪

8月13日，宾夕法尼亚州总检察长办公室近日遭逢严重网络攻击，导致其主题信息系统全面瘫痪，蕴含官方网站、、电子邮件账户及固定电话线路均处于离线状态。。司法部长戴夫·桑迪（Dave Sunday）通过社交媒体证实，这次事务已触发跨部门合作响应，技术人员在法律机构支持下正全力复原服务并调查攻击源头。。只管当前攻击媒介尚未明确，且无勒索软件组织公开认领责任，但事务的宽泛影响及系统瘫痪特点与典型勒索攻击高度吻合，引发对潜在供给链风险的忧郁。。网络安全专家凯文·博蒙特（Kevin Beaumont）的发现为事务调查提供了关键线索：该办公室面向公家的Citrix NetScaler设备因未修补CVE-2025-5777缝隙而持久露出于攻击风险中。。Shodan扫描数据显示，两台有关设备别离于7月29日和8月7日离线，功夫线与攻击产生高度重合。。值妥贴心的是，该缝隙已被美国网络安全与基础设施安全局（CISA）列入“已知被利用缝隙目录”，并要求联邦机构在24小时内实现修补。。截至报道颁布，宾夕法尼亚州总检察长网站仍未复原，系统修复工作仍在进行中。。

https://www.bleepingcomputer.com/news/security/pennsylvania-attorney-generals-email-site-down-after-cyberattack/

6. AI深度伪造技术催生跨国投资圈套，全球多国用户遭精准围猎

8月13日，网络安全机构Group-IB近日披露，诳骗分子正利用天生式AI技术构建高度真切的诓骗网络，通过深度伪造视频、、伪造新闻内容及定向告白投放，诱骗全球多国投资者参加虚伪买卖平台。。钻研显示，此类圈套已形成规�；；；盗�，其技术复杂度与生理操控伎俩均达新高度。。主题诓骗手法以AI天生的深度伪造视频为突破口。。诳骗者克隆荷兰极右翼政客海尔特·维尔德斯等公家人物的影像与声音，制作看似真实的新闻访谈片段，结合篡改的买卖数据图表与虚伪专家背书，营造出"独家投资机遇"的紧迫感。。受害者被疏导至伪造的新闻网站，这些网站通过本地化内容适配用户地点国度说话，并嵌入社交媒体账号、、博客文章及YouTube频道进行多渠道推广，形成虚伪信息生态。。注册阶段，平台以"小额保障金"（100-250美元）降低用户警惕性，随后要求提交身份证、、住址证明甚至信誉卡照片等敏感信息。。值得警惕的是，此类网站通过IP地址与说话检测实现精准屏蔽，美国和以色列用户无法接见，而印度、、英国、、德国、、日本等13个国度成为重要指标。。

https://www.infosecurity-magazine.com/news/deepfake-ai-trading-scams-target/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研