剣 KENSAI
← Back to archive
🛡️ KENSAI THREAT INTELLIGENCE

दैनिक सुरक्षा अनुसंधान

2026-03-22 · शनिवार 21 मार्च → रविवार 22 मार्च · CET 04:00 पर स्वचालित रूप से जनरेट

⚡ TL;DR — आज क्या महत्वपूर्ण है

  • Trivy सप्लाई चेन हमला विकसित हुआ — नया स्व-प्रसारी "CanisterWorm" ब्लॉकचेन-आधारित C2 का उपयोग करके 47 npm पैकेजों को संक्रमित करता है
  • Oracle आपातकालीन पैच — CVE-2026-21992 (CVSS 9.8) Identity Manager में बिना प्रमाणीकरण RCE की अनुमति देता है
  • FBI ने रूसी Signal/WhatsApp फ़िशिंग की चेतावनी दी — हज़ारों खाते पहले से ही समझौता किए गए
  • DoJ ने रिकॉर्ड-तोड़ DDoS बॉटनेट को ध्वस्त किया — 30 लाख+ डिवाइस, 31.4 Tbps हमले बाधित
  • CISA की समय सीमा आज — अधिकतम गंभीरता वाली Cisco FMC खामी CVE-2026-20131 को 22 मार्च तक पैच करना अनिवार्य
  • Langflow RCE 20 घंटे के भीतर शोषित — CVE-2026-33017 (CVSS 9.3) सक्रिय रूप से लक्षित
  • Navia डेटा उल्लंघन 27 लाख लोगों को प्रभावित — व्यक्तिगत और स्वास्थ्य योजना डेटा चोरी
🔗 सप्लाई चेन हमले

Trivy स्कैनर से समझौता — CanisterWorm 47 npm पैकेजों में फैला

सप्लाई चेन गंभीर

Aqua Security का Trivy भेद्यता स्कैनर एक महीने में दूसरी बार समझौता किया गया। खतरा समूह TeamPCP ने aquasecurity/trivy-action और aquasecurity/setup-trivy में 75 GitHub Action टैग को हाईजैक किया, CI/CD पाइपलाइन में क्रेडेंशियल-चुराने वाले मैलवेयर को इंजेक्ट किया। एक अनुवर्ती हमले ने CanisterWorm तैनात किया, एक स्व-प्रसारी वर्म जिसने @EmilGroup, @opengov और अन्य स्कोप में 47 npm पैकेजों को संक्रमित किया। यह वर्म Internet Computer Protocol (ICP) ब्लॉकचेन कैनिस्टर को dead-drop C2 रिज़ॉल्वर के रूप में उपयोग करता है — इस तकनीक का पहला प्रलेखित मामला — जिससे हटाना अत्यंत कठिन हो जाता है। PostgreSQL टूलिंग के रूप में प्रच्छन्न systemd सेवाओं के माध्यम से स्थायित्व।

स्रोत: The Hacker News · BleepingComputer

Magento PolyShell — REST API के माध्यम से बिना प्रमाणीकरण अपलोड और RCE

गंभीर

Sansec ने Magento के REST API में एक गंभीर खामी खोजी जो अप्रमाणित हमलावरों को छवियों के रूप में प्रच्छन्न मनमानी निष्पादन योग्य फ़ाइलें अपलोड करने की अनुमति देती है, जिससे रिमोट कोड निष्पादन और खाता अधिग्रहण संभव होता है। PolyShell नामक यह हमला छवि फ़ाइल हैंडलिंग का शोषण करता है। अभी तक कोई सार्वजनिक शोषण नहीं देखा गया, लेकिन 27 फरवरी से शुरू हुए एक अलग चल रहे विरूपण अभियान से हज़ारों Magento साइटें पहले से प्रभावित हैं।

स्रोत: The Hacker News · SecurityWeek

🚨 गंभीर CVE और पैच

CVE-2026-21992 — Oracle Identity Manager अप्रमाणित RCE

गंभीर CVSS 9.8

Oracle ने Identity Manager और Web Services Manager में एक गंभीर अप्रमाणित रिमोट कोड निष्पादन भेद्यता के लिए आउट-ऑफ-बैंड आपातकालीन पैच जारी किया। शोषण के लिए किसी प्रमाणीकरण की आवश्यकता नहीं। Oracle ने तत्काल पैचिंग का आग्रह किया।

स्रोत: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center (अधिकतम गंभीरता)

गंभीर CVSS 10.0

CISA ने सभी संघीय एजेंसियों को इस अधिकतम गंभीरता वाली Cisco FMC भेद्यता को आज, 22 मार्च तक पैच करने का आदेश दिया। विवरण बताते हैं कि यह पूर्ण सिस्टम समझौता संभव बना सकता है। CISA के ज्ञात शोषित भेद्यता कैटलॉग में जोड़ा गया।

स्रोत: BleepingComputer

CVE-2026-33017 — Langflow अप्रमाणित RCE (20 घंटे में शोषित)

गंभीर CVSS 9.3

Langflow (लोकप्रिय AI वर्कफ़्लो बिल्डर) में गंभीर अनुपलब्ध-प्रमाणीकरण + कोड इंजेक्शन खामी। खतरा अभिकर्ताओं ने सार्वजनिक प्रकटीकरण के 20 घंटे के भीतर POST /api/v1 एंडपॉइंट के माध्यम से भेद्यता को हथियार बनाया। पैच तैनाती के लिए सिकुड़ती विंडो को उजागर करता है।

स्रोत: The Hacker News

CISA ने Apple, Craft CMS, Laravel Livewire को KEV कैटलॉग में जोड़ा

सक्रिय रूप से शोषित

CISA के KEV कैटलॉग में पांच अतिरिक्त भेद्यताएं जोड़ी गईं, पैच की समय सीमा 3 अप्रैल 2026। इसमें CVE-2025-31277 (Apple, CVSS 8.8) के साथ Craft CMS और Laravel Livewire में खामियां शामिल हैं। सभी सक्रिय शोषण के तहत पुष्टि की गई।

स्रोत: The Hacker News

CVE-2025-32975 — शिक्षा क्षेत्र में Quest KACE का शोषण

गंभीर

Quest KACE सिस्टम प्रबंधन उपकरण में गंभीर भेद्यता संभावित रूप से शिक्षा क्षेत्र के लक्ष्यों के खिलाफ शोषित। Quest KACE का उपयोग करने वाले संगठनों को तुरंत पैच करना चाहिए।

स्रोत: SecurityWeek

🎯 राष्ट्र-राज्य और जासूसी

FBI/CISA: रूसी खुफिया Signal और WhatsApp को बड़े पैमाने पर निशाना बना रही

राष्ट्र-राज्य उच्च प्रभाव

FBI और CISA ने एक संयुक्त सार्वजनिक चेतावनी जारी की कि रूसी खुफिया सेवाएं Signal और WhatsApp उपयोगकर्ताओं के खिलाफ बड़े पैमाने पर फ़िशिंग अभियान चला रही हैं। लक्ष्यों में वर्तमान/पूर्व अमेरिकी सरकारी अधिकारी, सैन्य कर्मी, राजनीतिक हस्तियां और पत्रकार शामिल हैं। हज़ारों खाते पहले से समझौता किए गए हैं। पहुंच प्राप्त करने के बाद, अभिकर्ता संदेश देखते हैं, संपर्क चुराते हैं, पीड़ितों का प्रतिरूपण करते हैं, और विश्वसनीय पहचान से आगे फ़िशिंग को श्रृंखलाबद्ध करते हैं। FBI निदेशक कश पटेल ने X पर अभियान की पुष्टि की।

स्रोत: The Hacker News · BleepingComputer

अमेरिका ने हंदला का ईरानी सरकार से संबंध की पुष्टि की

राष्ट्र-राज्य

अमेरिकी सरकार ने हंदला द्वारा उपयोग किए गए कई डोमेन को ज़ब्त किया, जिससे ईरानी सरकार से इसके संबंध की पुष्टि हुई। समूह ने साइबर-सक्षम मनोवैज्ञानिक ऑपरेशन किए। समन्वित प्रयास में डोमेन बंद किए गए।

स्रोत: SecurityWeek

AI हार्डवेयर चीन में तस्करी के लिए 3 व्यक्तियों पर आरोप

निर्यात नियंत्रण

तीन व्यक्तियों पर अमेरिकी निर्यात नियंत्रण कानूनों का उल्लंघन करने का आरोप लगाया गया, जो संयुक्त राज्य अमेरिका में असेंबल किए गए उच्च-प्रदर्शन AI सर्वरों की बड़ी मात्रा को चीन की ओर मोड़ने की साजिश रच रहे थे।

स्रोत: SecurityWeek

🤖 बॉटनेट और DDoS

DoJ ने 30 लाख डिवाइस IoT बॉटनेट को ध्वस्त किया — रिकॉर्ड 31.4 Tbps DDoS

गंभीर

अमेरिकी DoJ ने कनाडाई और जर्मन अधिकारियों के साथ मिलकर AISURU, Kimwolf, JackSkid और Mossad बॉटनेट के C2 इंफ्रास्ट्रक्चर को बाधित किया — जो सामूहिक रूप से 30 लाख से अधिक संक्रमित IoT उपकरणों (DVR, स्मार्ट TV, सेट-टॉप बॉक्स) को नियंत्रित करते थे। इन बॉटनेट ने 31.4 Tbps तक पहुंचने वाले रिकॉर्ड-तोड़ DDoS हमले किए। एक विशाल निजी-क्षेत्र गठबंधन ने सहायता की (Akamai, AWS, Cloudflare, Google, Oracle, PayPal और अन्य)। संदिग्धों में कनाडा में एक 23 वर्षीय और जर्मनी में एक 15 वर्षीय शामिल हैं। कोई गिरफ्तारी की घोषणा नहीं।

स्रोत: The Hacker News

💀 डेटा उल्लंघन

Navia डेटा उल्लंघन — 27 लाख प्रभावित

बड़े पैमाने पर

दिसंबर 2025 के अंत और जनवरी 2026 के मध्य के बीच, हैकरों ने Navia के वातावरण से व्यक्तिगत और स्वास्थ्य योजना जानकारी चुराई, जिससे 27 लाख व्यक्ति प्रभावित हुए। स्वास्थ्य सेवा और लाभ डेटा से समझौता किया गया।

स्रोत: SecurityWeek

हज़ारों Magento साइटें चल रहे विरूपण अभियान के अधीन

वेब हमले

27 फरवरी से शुरू हुए एक बड़े पैमाने पर विरूपण अभियान ने हज़ारों Magento-आधारित ई-कॉमर्स साइटों को प्रभावित किया है, जो वैश्विक ब्रांडों और यहां तक कि सरकारी सेवाओं को भी निशाना बना रहा है। नई PolyShell भेद्यता के साथ, Magento ऑपरेटर गंभीर खतरे के परिदृश्य का सामना कर रहे हैं।

स्रोत: SecurityWeek

🎣 फ़िशिंग और सोशल इंजीनियरिंग

Microsoft Azure Monitor अलर्ट का कॉलबैक फ़िशिंग के लिए दुरुपयोग

फ़िशिंग

हमलावर Microsoft Azure Monitor अलर्ट का दुरुपयोग करके Microsoft Security Team का प्रतिरूपण करने वाले कॉलबैक फ़िशिंग ईमेल भेज रहे हैं। ईमेल अनधिकृत शुल्कों की चेतावनी देते हैं, पीड़ितों को हमलावर-नियंत्रित फोन नंबरों पर कॉल करने के लिए लुभाते हैं।

स्रोत: BleepingComputer

📱 प्लेटफ़ॉर्म और टूल अपडेट

Google Android "Advanced Flow" — 24 घंटे साइडलोडिंग प्रतीक्षा अवधि

android

Google ने Android के लिए एक नया साइडलोडिंग तंत्र घोषित किया: असत्यापित डेवलपर्स के ऐप्स को अब इंस्टॉलेशन से पहले 24 घंटे की अनिवार्य प्रतीक्षा अवधि की आवश्यकता होगी। मैलवेयर और स्कैम ऐप वितरण को कम करने के लिए उनके डेवलपर सत्यापन अधिदेश का हिस्सा।

स्रोत: The Hacker News

ऑपरेशन एलिस — 3,73,000 डार्क वेब साइटें बंद

कानून प्रवर्तन

अंतर्राष्ट्रीय कानून प्रवर्तन ऑपरेशन ने नकली अवैध सामग्री पैकेज प्रदान करने वाली 3,73,000 से अधिक डार्क वेब साइटों को बंद किया।

स्रोत: BleepingComputer

ब्रिटेन ने साइबर घटना रिपोर्टिंग आवश्यकताओं को कड़ा किया

विनियमन

ब्रिटेन संगठनों के लिए साइबर घटना रिपोर्टिंग दायित्वों को कड़ा कर रहा है, EU के NIS2 के कड़े उल्लंघन प्रकटीकरण आवश्यकताओं की प्रवृत्ति में शामिल हो रहा है।

स्रोत: SecurityWeek

💰 सुरक्षा उद्योग फंडिंग

Oasis Security — एजेंटिक एक्सेस प्रबंधन के लिए $120M

AI फ्रेमवर्क एक्सेस प्रबंधन और गो-टू-मार्केट स्केलिंग के लिए R&D विस्तार।

Cape — सेल्युलर सुरक्षा के लिए $100M

उपभोक्ताओं, उद्यमों और सरकारों के लिए गोपनीयता-केंद्रित MVNO।

Eclypsium — डिवाइस सप्लाई चेन सुरक्षा के लिए $25M

फर्मवेयर और सप्लाई चेन सुरक्षा प्लेटफ़ॉर्म क्षमताओं का विस्तार।

1stProtect — एंडपॉइंट सुरक्षा के लिए $20M (स्टेल्थ एग्जिट)

वास्तविक समय में हमलों को रोकने के लिए व्यवहार निगरानी और उपयोगकर्ता इरादे का सत्यापन।

Allure Security — ऑनलाइन ब्रांड सुरक्षा के लिए $17M

डिजिटल ब्रांड सुरक्षा प्लेटफ़ॉर्म विस्तार।

📊 उभरते खतरे के पैटर्न

इस सप्ताह के प्रमुख रुझान

1. सप्लाई चेन हमले तेज़ हो रहे हैं: Trivy/CanisterWorm दिखाता है कि हमलावर सप्लाई चेन समझौतों को श्रृंखलाबद्ध कर रहे हैं — एक उल्लंघन पूरे पारिस्थितिकी तंत्र में स्व-प्रसारी वर्म की ओर ले जाता है। ब्लॉकचेन-आधारित C2 (ICP canisters) हटाना लगभग असंभव बनाता है।

2. शोषण का समय ढह रहा है: Langflow CVE-2026-33017 का प्रकटीकरण के 20 घंटे के भीतर शोषण किया गया। इंटरनेट-फेसिंग सेवाओं के लिए पैच विंडो प्रभावी रूप से शून्य है।

3. AI-सक्षम फ़िशिंग परिष्कार बढ़ रहा है: व्यवहार विश्लेषण आवश्यक हो रहा है क्योंकि AI व्यक्तिगत फ़िशिंग उत्पन्न करता है जो पुरानी पहचान को बायपास करता है। ब्राउज़र-आधारित AITM हमले और ClickFix तकनीकें प्रमुख उल्लंघनों को संचालित कर रहे हैं।

4. राष्ट्र-राज्य मैसेजिंग ऐप लक्ष्यीकरण: रूसी खुफिया सेवाएं एन्क्रिप्टेड मैसेजिंग (Signal, WhatsApp) के खिलाफ औद्योगिक-स्तर के अभियान चला रही हैं। विश्वास श्रृंखलाओं का शोषण — समझौता किए गए खातों का उपयोग संपर्कों को फ़िश करने के लिए किया जाता है।

5. IoT बॉटनेट पैमाना बुनियादी ढांचे के स्तर तक पहुंचा: समझौता किए गए उपभोक्ता उपकरणों से 31.4 Tbps DDoS क्षमता। हटाने के बाद भी, संक्रमित उपकरण जनसंख्या बनी रहती है।

6. विनियामक कड़ाई जारी: ब्रिटेन NIS2-शैली रिपोर्टिंग अधिदेशों में शामिल हुआ। EU/ब्रिटेन संगठनों के लिए अनुपालन बोझ बढ़ता है।

🇪🇺 NIS2 और KENSAI प्रासंगिकता

KENSAI ग्राहकों के लिए इसका क्या अर्थ है

सप्लाई चेन निगरानी: Trivy/npm समझौता इस बात को पुष्ट करता है कि निरंतर निर्भरता स्कैनिंग क्यों महत्वपूर्ण है। KENSAI का SBOM विश्लेषण और निर्भरता जांच ठीक इन पैटर्न को पकड़ते हैं।

पैच प्रबंधन की तात्कालिकता: CVE शोषण विंडो के घंटों में सिकुड़ने (Langflow) और CISA द्वारा उसी दिन पैच अनिवार्य करने (Cisco) के साथ, स्वचालित भेद्यता स्कैनिंग अब वैकल्पिक नहीं — यह अस्तित्व है।

NIS2 रिपोर्टिंग: ब्रिटेन के कड़े रिपोर्टिंग नियम NIS2 अनुच्छेद 23 को दर्शाते हैं। DACH संगठन समान दायित्वों का सामना करते हैं। KENSAI की अनुपालन रिपोर्टिंग क्षमताएं सीधे इस आवश्यकता को संबोधित करती हैं।

मैसेजिंग सुरक्षा: रूसी Signal/WhatsApp अभियान उन सभी संगठनों के लिए चेतावनी है जो संवेदनशील संचार के लिए उपभोक्ता मैसेजिंग पर निर्भर हैं।