剣 KENSAI
← All posts · security · 2026-04-08 · 5 min

सिक्योरिटी ब्रीफिंग, 8 अप्रैल 2026: Flowise एक्सप्लॉइटेशन, Docker होस्ट एक्सेस, APT28 DNS हाईजैकिंग, ईरान-लिंक्ड PLC हमले और Snowflake असर

आज सुबह का पैटर्न खतरनाक रूप से एक जैसा है। हमलावर इसलिए नहीं जीत रहे कि डिफेंडर के पास डैशबोर्ड नहीं हैं, बल्कि इसलिए जीत रहे हैं क्योंकि बहुत सी एडमिन सतहें अभी भी खुली हैं, बहुत सी ट्रस्ट बाउंड्री सिर्फ कल्पना हैं, और बहुत सी टीमें हेडलाइन पैच करती हैं लेकिन कंट्रोल प्लेन खुला छोड़ देती हैं।

एक्ज़ीक्यूटिव समरी

आज का सबसे बड़ा संकेत यह है कि आधुनिक अटैक पाथ एक साथ जुड़ रहे हैं। Flowise का शोषण अब वास्तविक दुनिया में हो रहा है, Docker की ऑथराइजेशन कंट्रोल गलत धारणाओं के कारण अब भी बायपास हो सकती है, स्टेट-लिंक्ड ऐक्टर सस्ते एज डिवाइस से DNS हाईजैक कर रहे हैं, ईरान-लिंक्ड ऑपरेटर OT को छू रहे हैं, और Snowflake ग्राहक थर्ड-पार्टी टोकन समस्या में फँस रहे हैं। FBI के नए 21 अरब डॉलर साइबरक्राइम नुकसान के आँकड़े के साथ संदेश सीधा है: एक्सपोज्ड एडमिन सरफेस अब भी सुरक्षा का सबसे आसान पैसा हैं।

1. Flowise क्रिटिकल बग से एक्टिव एक्सप्लॉइटेशन तक पहुँच गया

VulnCheck के अनुसार CVE-2025-59528 का अब सक्रिय शोषण हो रहा है। यह Flowise के CustomMCP नोड में अधिकतम गंभीरता की खामी है जो मनमाना JavaScript execution और system access दे सकती है। सार्वजनिक रिपोर्ट 12,000 से 15,000 एक्सपोज्ड Flowise इंस्टेंस की बात करती हैं। अगर आपकी टीम ने Flowise को इंटरनेट पर खुला और बिना पैच के छोड़ दिया है, तो इसे रूटीन अपडेट नहीं बल्कि इंसीडेंट की तरह लें।

2. Docker का CVE-2026-34040 कमजोर ऑथराइजेशन धारणाओं को तोड़ देता है

पुराने authorization-plugin bug की अधूरी फिक्स का मतलब है कि खास तरह से बनाई गई oversized API request body inspection को छोड़ सकती है और फिर भी host file system access वाला privileged container बना सकती है। यह इसलिए बदसूरत है क्योंकि बहुत सी टीमें मानती हैं कि AuthZ plugin आखिरी safety rail है। ऐसा नहीं है। अगर Docker आपके AI या CI control plane का हिस्सा है, तो 29.3.1 पर patch करें और उन policy layers पर भरोसा करना बंद करें जिन्हें आपने वास्तव में stress-test ही नहीं किया।

3. APT28 ने छोटे routers को global credential interception layer बना दिया

Microsoft, Black Lotus Labs और UK authorities ने APT28 को ऐसे router compromises से जोड़ा जिनमें SOHO devices की DNS settings बदलकर web और email traffic पर adversary-in-the-middle collection संभव हुआ। रिपोर्ट के अनुसार यह campaign 120 देशों में 18,000 से अधिक IP तक पहुँचा। यह याद दिलाता है कि branch office और home office edge gear अभी भी enterprise identity की सबसे नरम परत है।

4. ईरान-लिंक्ड ऑपरेटर अब सीधा OT disruption risk हैं

अमेरिकी एजेंसियों ने चेतावनी दी है कि ईरान से जुड़े actor internet-facing PLCs को निशाना बना रहे हैं, खासकर Rockwell और Allen-Bradley डिवाइस, जबकि कुछ Siemens exposure भी दायरे में है। नगरपालिका, water, wastewater और energy environments में victims पहले ही operational disruption और financial loss देख चुके हैं। अगर कोई PLC या HMI अभी भी public internet से सीधे जुड़ा है, तो वह digital transformation नहीं, operational negligence है।

5. Snowflake ग्राहक फिर supply chain के ज़रिए मारे गए

BleepingComputer के अनुसार एक कथित SaaS integration provider breach ने token theft और फिर कई कंपनियों में downstream data theft को संभव बनाया, जिसमें Snowflake ग्राहकों को सबसे बड़ा नुकसान हुआ और Salesforce पर कोशिशें भी देखी गईं। सीख बहुत साफ है: analytics partners, anomaly-detection vendors और token-based integrations भी आपकी attack surface का हिस्सा हैं, चाहे procurement को यह बात पसंद आए या नहीं।

डिफेंडर्स को दोपहर से पहले क्या करना चाहिए

Flowise और Docker को तुरंत patch या isolate करें, exposed MCP और AI-builder services की समीक्षा करें, router management और DNS changes को lock करें, OT control systems को direct internet exposure से हटाएँ, और Snowflake तथा Salesforce audit trails देखते हुए third-party integration tokens rotate करें। आज कमजोर assumptions खत्म करने का दिन है, इससे पहले कि attackers उन्हें monetise कर दें।

KENSAI की राय: पैटर्न बेरहमी से एक जैसा है: हमलावर वहीं जीत रहे हैं जहाँ टीमें admin surfaces खुली छोड़ती हैं, plugins पर ज़रूरत से ज़्यादा भरोसा करती हैं और third-party tokens को बहुत लंबे समय तक जीवित रखती हैं। Security posture अभी भी design से नहीं, defaults से तय हो रही है।

आज के सिग्नल को एक्शन में बदलें।

KENSAI सुरक्षा टीमों को exposed surfaces validate करने, controls को दबाव में परखने और उन trust gaps को खोजने में मदद करता है जिन्हें attackers सबसे पहले monetize करते हैं।

अपना मुफ्त स्कैन शुरू करें →
All posts · Permalink