Aggregator

Salesforce has issued a critical security alert identifying “unusual activity” involving Gainsight-published applications connected to customer environments. The CRM giant’s investigation indicates that this activity may have enabled unauthorized access to Salesforce data through the applications’ external connections. In an immediate response to contain the threat, Salesforce has revoked all active access and refresh tokens […]

The post Salesforce Confirms that Customers’ Data Was Accessed Following the Gainsight Breach appeared first on Cyber Security News.

本周，Cloudflare发生六年来最严重的服务中断事件。数据库访问控制权限变更触发其全球网络连锁故障，导致大量网站及在线平台近6小时无法访问。

Cloudflare全球网络是一套分布式基础设施，服务器与数据中心遍布120多个国家，提供内容分发、安全防护及性能优化服务。该网络已与全球超1.3万个网络建立连接，包括所有主流互联网服务提供商（ISP）、云服务商及企业网络。

公司首席执行官Matthew Prince在故障缓解后发布的事后分析报告中表示，此次服务中断并非由网络攻击导致。故障源于某一数据库系统的权限变更——这一变更导致数据库向“机器人管理系统”使用的“特征文件”中输出多条重复条目。

一项常规的数据库权限更新，致使Cloudflare的机器人管理系统生成了包含重复条目的超大配置文件。该文件超出系统内置大小限制，导致网络流量路由过程中相关软件崩溃。

权限变更后，数据库查询返回了重复的列元数据，使特征文件中的条目从约60个翻倍至200多个，突破了系统为防止内存无限制占用而硬编码设定的200个特征上限。

5xx 错误 HTTP 状态码在故障期间

每五分钟系统会生成一次配置文件——结果可能正常也可能存在故障，具体取决于哪些集群节点已完成更新，这导致网络在正常运行与故障状态之间反复波动。

此外，当超大文件在网络设备间传播时，机器人管理模块的Rust代码触发系统崩溃并返回5xx错误，进而导致负责流量处理的核心代理系统宕机。

随后，Cloudflare工程师定位故障根源并将问题文件替换为早期版本后，核心流量恢复正常。不久后，所有系统完全恢复运行。此次中断影响了Cloudflare的核心CDN、安全服务、Turnstile验证服务、Workers KV存储服务、控制台访问、邮件安全及身份认证服务。

Matthew Prince表示“鉴于Cloudflare在互联网生态系统中的重要性，任何系统中断都是不可接受的。”

此次中断事件是Cloudflare自2019年以来最严重的一次服务中断。以往也曾出现过控制台无法访问、新功能暂时不可用等情况，但过去六年多来，从未发生过导致大部分核心流量无法通过我们网络的中断事件。

今年6月，Cloudflare曾缓解过另一起大规模中断事件，当时导致多个地区的零信任WARP连接出现问题、身份认证服务故障，还影响了谷歌云基础设施。

10月，亚马逊也处理了一起由重大DNS故障引发的中断事件，该故障导致数百万使用其亚马逊网络服务（AWS）云计算平台的网站连接中断。

Linux服务器专用恶意软件扫描工具ImunifyAV存在远程代码执行漏洞，攻击者可利用该漏洞入侵主机环境。这款工具目前已被数千万个网站采用。

该漏洞影响AI-bolit恶意软件扫描组件的32.7.4.0版本之前的所有版本。该组件集成于Imunify360安全套件、付费版ImunifyAV+，以及免费版恶意软件扫描工具ImunifyAV中。

据安全公司Patchstack透露，该漏洞已于10月底被发现，工具开发商CloudLinux当时已发布修复补丁。目前该漏洞尚未分配CVE编号。

11月10日，开发商将该补丁反向移植到旧版本Imunify360 AV中。在最新发布的安全公告中，CloudLinux警告用户该漏洞属于“高危安全漏洞”，建议“尽快”将软件升级至32.7.4.0版本。

工具应用范围广泛

ImunifyAV是Imunify360安全套件的组成部分，主要用于虚拟主机服务商或通用Linux共享主机环境。该产品通常在主机平台层面安装，而非由终端用户直接部署。它在共享主机方案、托管式WordPress主机、cPanel/WHM服务器及Plesk服务器中应用极为普遍。

据Imunify 2024年10月公布的数据，虽然网站管理员很少直接与该工具交互，但它仍是一款无处不在的后台工具，默默为5600万个网站提供防护，且Imunify360的安装量已超过64.5万次。

漏洞成因与利用条件

该漏洞的根源在于AI-bolit组件的反混淆逻辑：当工具尝试解包恶意软件以进行扫描时，会执行从混淆PHP文件中提取的、由攻击者控制的函数名和数据。

这一问题的核心是工具使用了“call_user_func_array”函数，但未对函数名进行验证，导致攻击者可执行system、exec、shell_exec、passthru、eval等危险PHP函数。

Patchstack指出，利用该漏洞的前提是Imunify360 AV在分析环节启用主动反混淆功能——独立版AI-Bolit命令行工具（CLI）的默认配置中，该功能处于禁用状态。

但Imunify360套件中集成的扫描组件，会强制在后台扫描、按需扫描、用户发起扫描及快速扫描中保持“始终开启”反混淆功能，这恰好满足了漏洞利用的条件。

研究人员已公开一个概念验证（PoC）漏洞利用代码：在tmp目录创建一个PHP文件，当杀毒工具扫描该文件时，就会触发远程代码执行。

概念验证利用

这可能导致整个网站被入侵，若扫描工具在共享主机环境中以高权限运行，还可能引发服务器完全被接管的严重后果。

CloudLinux的修复方案新增了白名单机制，仅允许安全、确定的函数在反混淆过程中执行，从而阻止任意函数调用。

尽管开发商未发布明确警告，也未分配便于预警和追踪的CVE编号，但系统管理员仍应将软件升级至32.7.4.0版本或更高版本。

目前，官方尚未提供漏洞入侵检测方法、检测指南，也未确认该漏洞是否已被在野利用。随后，Patchstack研究人员经进一步检测发现，该漏洞的严重程度超出最初预期——存在一种更简易的利用途径，无需上传恶意软件即可发起攻击。