剣 KENSAI
← All posts · security · 2026-03-04 · 5 min

VMware एक्सप्लॉइट सक्रिय, OAuth फ़िशिंग की लहर और LexisNexis में सेंधमारी

CISA ने VMware Aria Operations RCE को सक्रिय रूप से शोषित के रूप में चिह्नित किया। Microsoft ने MFA को बाइपास करने वाले एक परिष्कृत OAuth रीडायरेक्ट हमले का खुलासा किया। LexisNexis ने पुष्टि की कि हैकर्स ने सरकारी कर्मचारी रिकॉर्ड सहित 2GB डेटा चुराया। साथ ही: AkzoNobel पर Anubis रैनसमवेयर का हमला और नकली IT सपोर्ट अभियान Havoc C2 तैनात कर रहे हैं।


🔴 गंभीर: VMware Aria Operations पर सक्रिय हमला

CVE-2026-22719 — तुरंत पैच करें

CISA ने VMware Aria Operations कमांड इंजेक्शन भेद्यता को अपने ज्ञात शोषित भेद्यताओं (KEV) कैटलॉग में जोड़ा है। यह खामी अनप्रमाणित हमलावरों को मनमाने कमांड निष्पादित करने की अनुमति देती है, जिससे पूर्ण रिमोट कोड निष्पादन होता है।

CVSS स्कोर: 8.1 (उच्च)  |  समय सीमा: संघीय एजेंसियों के लिए 24 मार्च 2026

यह भेद्यता VMware Aria Operations के माइग्रेशन सर्विस कंपोनेंट में मौजूद है। सपोर्ट-सहायता प्राप्त उत्पाद माइग्रेशन के दौरान, एक अनप्रमाणित अभिनेता vmware-casa-workflow.sh में sudoers गलत कॉन्फ़िगरेशन के माध्यम से root के रूप में चलने वाले कमांड इंजेक्ट कर सकता है।

Broadcom ने 24 फरवरी को एक अस्थायी वर्कअराउंड स्क्रिप्ट (aria-ops-rce-workaround.sh) के साथ पैच जारी किए जो कमजोर माइग्रेशन कंपोनेंट को अक्षम करती है। कंपनी ने सक्रिय शोषण की रिपोर्ट को स्वीकार किया लेकिन कहा कि वह «स्वतंत्र रूप से उनकी वैधता की पुष्टि नहीं कर सकती»।

VMSA-2026-0001 में यह भी पैच किया गया:

CVEप्रकारप्रभाव
CVE-2026-22719कमांड इंजेक्शनअनप्रमाणित RCE
CVE-2026-22720स्टोर्ड XSSसेशन हाइजैकिंग
CVE-2026-22721प्रिविलेज एस्केलेशनएडमिन एक्सेस

🟠 OAuth रीडायरेक्ट दुरुपयोग: बड़े पैमाने पर MFA को बाइपास करना

Microsoft Defender के शोधकर्ताओं ने एक परिष्कृत अभियान का खुलासा किया है जहां खतरे के अभिनेता ईमेल और ब्राउज़र फ़िशिंग सुरक्षा को बाइपास करने के लिए वैध OAuth 2.0 रीडायरेक्ट तंत्र का दुरुपयोग करते हैं। हमले मुख्य रूप से सरकारी और सार्वजनिक क्षेत्र के संगठनों को लक्षित करते हैं।

हमला कैसे काम करता है:

  1. लालच वितरण: ई-हस्ताक्षर अनुरोधों, SSA नोटिस, या मीटिंग आमंत्रणों के रूप में प्रच्छन्न फ़िशिंग ईमेल में OAuth रीडायरेक्ट URL होते हैं
  2. मूक प्रमाणीकरण विफलता: हमलावर अमान्य स्कोप और prompt=none के साथ दुर्भावनापूर्ण OAuth ऐप्स पंजीकृत करते हैं, जो प्रमाणीकरण त्रुटियों को बाध्य करते हैं
  3. रीडायरेक्ट हाइजैक: पहचान प्रदाता पीड़ितों को हमलावर-नियंत्रित रीडायरेक्ट URI पर भेजता है
  4. क्रेडेंशियल चोरी: EvilProxy अटैकर-इन-द-मिडल फ्रेमवर्क सेशन कुकीज़ को इंटरसेप्ट करते हैं, MFA को बाइपास करते हैं

कुछ वेरिएंट में, पीड़ितों को /download पथ पर रीडायरेक्ट किया जाता है जो स्वचालित रूप से दुर्भावनापूर्ण .LNK फ़ाइलों वाली ZIP फ़ाइलें वितरित करता है। ये DLL साइड-लोडिंग द्वारा अंतिम पेलोड तैनात करने से पहले रिकनेसेंस के लिए PowerShell लॉन्च करते हैं।

मुख्य बात: यह हमला OAuth फ्रेमवर्क में इच्छित व्यवहार का दुरुपयोग करता है। त्रुटि हैंडलिंग तंत्र ठीक वैसे ही काम करता है जैसा मानक निर्दिष्ट करता है — हमलावर बस रीडायरेक्ट प्रवाह को हथियार बना लेते हैं।


🔴 LexisNexis सेंधमारी: सरकारी डेटा उजागर

कानूनी डेटा दिग्गज LexisNexis Legal & Professional ने पुष्टि की है कि हैकर्स ने 24 फरवरी को एक अनपैच्ड React फ्रंटएंड एप्लिकेशन में React2Shell भेद्यता का शोषण करके उनके AWS इंफ्रास्ट्रक्चर में सेंध लगाई।

खतरे के अभिनेता «FulcrumSec» ने सेंधमारी से 2GB संरचित डेटा लीक किया, जिसमें दावा किया गया कि उन्हें इन तक पहुंच मिली:

LexisNexis ने कहा कि समझौता किया गया डेटा «ज्यादातर 2020 से पहले का विरासत, अप्रचलित डेटा» था और इसमें SSN, वित्तीय जानकारी या सक्रिय पासवर्ड शामिल नहीं थे। कंपनी का कहना है कि घुसपैठ को नियंत्रित कर लिया गया है।


🟠 Anubis रैनसमवेयर ने AkzoNobel को निशाना बनाया

डच पेंट और कोटिंग्स दिग्गज AkzoNobel ($12 बिलियन+ राजस्व, 35,000 कर्मचारी, 150+ देश) ने अपने अमेरिकी साइटों में से एक पर नेटवर्क सेंधमारी की पुष्टि की। Anubis रैनसमवेयर गैंग ने 170GB डेटा चुराने का दावा किया है जिसमें शामिल हैं:

Anubis, दिसंबर 2024 से सक्रिय एक RaaS ऑपरेशन, सहयोगियों को फिरौती भुगतान का 80% प्रदान करता है और मध्य-2025 में एक विनाशकारी डेटा वाइपर क्षमता जोड़ी गई।


🟡 नकली IT सपोर्ट Havoc C2 फ्रेमवर्क तैनात करता है

Huntress शोधकर्ताओं ने पांच संगठनों में एक अभियान की पहचान की जहां हमलावर Havoc कमांड-एंड-कंट्रोल फ्रेमवर्क तैनात करने के लिए IT सपोर्ट स्टाफ के रूप में प्रस्तुत होते हैं। यह तरीका पूर्व Black Basta रैनसमवेयर सहयोगियों द्वारा उपयोग की जाने वाली रणनीतियों की बारीकी से नकल करता है:

  1. लक्ष्य के इनबॉक्स को स्पैम से भर देना
  2. IT सपोर्ट के रूप में कॉल करके मदद की पेशकश करना
  3. Havoc Demon पेलोड और वैध RMM टूल तैनात करना
  4. लैटरली मूव करना — एक मामले में, 11 घंटे में 9 एंडपॉइंट्स समझौता

लैटरल मूवमेंट की गति डेटा एक्सफ़िल्ट्रेशन या रैनसमवेयर तैनाती के अंतिम लक्ष्यों का संकेत देती है।


📊 अन्य सुर्खियां एक नज़र में

समाचारप्रभाव
UAE में AWS डेटा सेंटरों पर ईरानी हमलेभौतिक अवसंरचना भेद्यता उजागर; दो सुविधाएं सीधे प्रभावित
हवाई विश्वविद्यालय कैंसर केंद्र में सेंधमारी1.2 मिलियन व्यक्ति प्रभावित; SSN, स्वास्थ्य डेटा, मतदाता रिकॉर्ड चोरी
क्वांटम RSA सफलतानया एल्गोरिदम सुझाव देता है कि RSA डिक्रिप्शन अपेक्षा से पहले संभव है
Android Qualcomm ज़ीरो-डे पैच कियाग्राफ़िक्स कंपोनेंट में इंटीजर ओवरफ़्लो से मेमोरी करप्शन
SloppyLemming पाकिस्तान और बांग्लादेश को निशानासरकारी अवसंरचना को लक्षित करने वाली दोहरी मैलवेयर श्रृंखला
Facebook विश्वव्यापी आउटेज3 मार्च को दुनिया भर में खाते अनुपलब्ध

Kensai आपकी कैसे सुरक्षा करता है

रियल-टाइम CVE मॉनिटरिंग — CVE-2026-22719 KEV में जोड़े जाने के कुछ ही घंटों में अनुक्रमित और चिह्नित

OAuth हमला पहचान — संदिग्ध OAuth ऐप पंजीकरण और रीडायरेक्ट पैटर्न की निगरानी

क्लाउड इंफ्रास्ट्रक्चर स्कैनिंग — हमलावरों से पहले React2Shell और समान भेद्यताओं का पता लगाना

रैनसमवेयर तत्परता — Anubis RaaS जैसी खतरों के खिलाफ निरंतर एक्सपोज़र प्रबंधन


अनुशंसित कार्रवाइयां

  1. तत्काल: CVE-2026-22719 के लिए VMware Aria Operations को पैच करें या वर्कअराउंड स्क्रिप्ट लागू करें
  2. तत्काल: अपने Entra ID टेनेंट में OAuth एप्लिकेशन पंजीकरणों का ऑडिट करें
  3. आज: React2Shell भेद्यता के लिए React/Node.js फ्रंटएंड की जांच करें
  4. इस सप्ताह: कंडीशनल एक्सेस नीतियों की समीक्षा करें और OAuth ऐप सहमति को प्रतिबंधित करें
  5. चालू: नकली IT सपोर्ट सोशल इंजीनियरिंग रणनीतियों पर कर्मचारियों को प्रशिक्षित करें