दैनिक सुरक्षा अनुसंधान
2026-03-22 · शनिवार 21 मार्च → रविवार 22 मार्च · CET 04:00 पर स्वचालित रूप से जनरेट
⚡ TL;DR — आज क्या महत्वपूर्ण है
- Trivy सप्लाई चेन हमला विकसित हुआ — नया स्व-प्रसारी "CanisterWorm" ब्लॉकचेन-आधारित C2 का उपयोग करके 47 npm पैकेजों को संक्रमित करता है
- Oracle आपातकालीन पैच — CVE-2026-21992 (CVSS 9.8) Identity Manager में बिना प्रमाणीकरण RCE की अनुमति देता है
- FBI ने रूसी Signal/WhatsApp फ़िशिंग की चेतावनी दी — हज़ारों खाते पहले से ही समझौता किए गए
- DoJ ने रिकॉर्ड-तोड़ DDoS बॉटनेट को ध्वस्त किया — 30 लाख+ डिवाइस, 31.4 Tbps हमले बाधित
- CISA की समय सीमा आज — अधिकतम गंभीरता वाली Cisco FMC खामी CVE-2026-20131 को 22 मार्च तक पैच करना अनिवार्य
- Langflow RCE 20 घंटे के भीतर शोषित — CVE-2026-33017 (CVSS 9.3) सक्रिय रूप से लक्षित
- Navia डेटा उल्लंघन 27 लाख लोगों को प्रभावित — व्यक्तिगत और स्वास्थ्य योजना डेटा चोरी
Trivy स्कैनर से समझौता — CanisterWorm 47 npm पैकेजों में फैला
सप्लाई चेन गंभीरAqua Security का Trivy भेद्यता स्कैनर एक महीने में दूसरी बार समझौता किया गया। खतरा समूह TeamPCP ने aquasecurity/trivy-action और aquasecurity/setup-trivy में 75 GitHub Action टैग को हाईजैक किया, CI/CD पाइपलाइन में क्रेडेंशियल-चुराने वाले मैलवेयर को इंजेक्ट किया। एक अनुवर्ती हमले ने CanisterWorm तैनात किया, एक स्व-प्रसारी वर्म जिसने @EmilGroup, @opengov और अन्य स्कोप में 47 npm पैकेजों को संक्रमित किया। यह वर्म Internet Computer Protocol (ICP) ब्लॉकचेन कैनिस्टर को dead-drop C2 रिज़ॉल्वर के रूप में उपयोग करता है — इस तकनीक का पहला प्रलेखित मामला — जिससे हटाना अत्यंत कठिन हो जाता है। PostgreSQL टूलिंग के रूप में प्रच्छन्न systemd सेवाओं के माध्यम से स्थायित्व।
स्रोत: The Hacker News · BleepingComputer
Magento PolyShell — REST API के माध्यम से बिना प्रमाणीकरण अपलोड और RCE
गंभीरSansec ने Magento के REST API में एक गंभीर खामी खोजी जो अप्रमाणित हमलावरों को छवियों के रूप में प्रच्छन्न मनमानी निष्पादन योग्य फ़ाइलें अपलोड करने की अनुमति देती है, जिससे रिमोट कोड निष्पादन और खाता अधिग्रहण संभव होता है। PolyShell नामक यह हमला छवि फ़ाइल हैंडलिंग का शोषण करता है। अभी तक कोई सार्वजनिक शोषण नहीं देखा गया, लेकिन 27 फरवरी से शुरू हुए एक अलग चल रहे विरूपण अभियान से हज़ारों Magento साइटें पहले से प्रभावित हैं।
स्रोत: The Hacker News · SecurityWeek
CVE-2026-21992 — Oracle Identity Manager अप्रमाणित RCE
गंभीर CVSS 9.8Oracle ने Identity Manager और Web Services Manager में एक गंभीर अप्रमाणित रिमोट कोड निष्पादन भेद्यता के लिए आउट-ऑफ-बैंड आपातकालीन पैच जारी किया। शोषण के लिए किसी प्रमाणीकरण की आवश्यकता नहीं। Oracle ने तत्काल पैचिंग का आग्रह किया।
स्रोत: The Hacker News
CVE-2026-20131 — Cisco Secure Firewall Management Center (अधिकतम गंभीरता)
गंभीर CVSS 10.0CISA ने सभी संघीय एजेंसियों को इस अधिकतम गंभीरता वाली Cisco FMC भेद्यता को आज, 22 मार्च तक पैच करने का आदेश दिया। विवरण बताते हैं कि यह पूर्ण सिस्टम समझौता संभव बना सकता है। CISA के ज्ञात शोषित भेद्यता कैटलॉग में जोड़ा गया।
स्रोत: BleepingComputer
CVE-2026-33017 — Langflow अप्रमाणित RCE (20 घंटे में शोषित)
गंभीर CVSS 9.3Langflow (लोकप्रिय AI वर्कफ़्लो बिल्डर) में गंभीर अनुपलब्ध-प्रमाणीकरण + कोड इंजेक्शन खामी। खतरा अभिकर्ताओं ने सार्वजनिक प्रकटीकरण के 20 घंटे के भीतर POST /api/v1 एंडपॉइंट के माध्यम से भेद्यता को हथियार बनाया। पैच तैनाती के लिए सिकुड़ती विंडो को उजागर करता है।
स्रोत: The Hacker News
CISA ने Apple, Craft CMS, Laravel Livewire को KEV कैटलॉग में जोड़ा
सक्रिय रूप से शोषितCISA के KEV कैटलॉग में पांच अतिरिक्त भेद्यताएं जोड़ी गईं, पैच की समय सीमा 3 अप्रैल 2026। इसमें CVE-2025-31277 (Apple, CVSS 8.8) के साथ Craft CMS और Laravel Livewire में खामियां शामिल हैं। सभी सक्रिय शोषण के तहत पुष्टि की गई।
स्रोत: The Hacker News
CVE-2025-32975 — शिक्षा क्षेत्र में Quest KACE का शोषण
गंभीरQuest KACE सिस्टम प्रबंधन उपकरण में गंभीर भेद्यता संभावित रूप से शिक्षा क्षेत्र के लक्ष्यों के खिलाफ शोषित। Quest KACE का उपयोग करने वाले संगठनों को तुरंत पैच करना चाहिए।
स्रोत: SecurityWeek
FBI/CISA: रूसी खुफिया Signal और WhatsApp को बड़े पैमाने पर निशाना बना रही
राष्ट्र-राज्य उच्च प्रभावFBI और CISA ने एक संयुक्त सार्वजनिक चेतावनी जारी की कि रूसी खुफिया सेवाएं Signal और WhatsApp उपयोगकर्ताओं के खिलाफ बड़े पैमाने पर फ़िशिंग अभियान चला रही हैं। लक्ष्यों में वर्तमान/पूर्व अमेरिकी सरकारी अधिकारी, सैन्य कर्मी, राजनीतिक हस्तियां और पत्रकार शामिल हैं। हज़ारों खाते पहले से समझौता किए गए हैं। पहुंच प्राप्त करने के बाद, अभिकर्ता संदेश देखते हैं, संपर्क चुराते हैं, पीड़ितों का प्रतिरूपण करते हैं, और विश्वसनीय पहचान से आगे फ़िशिंग को श्रृंखलाबद्ध करते हैं। FBI निदेशक कश पटेल ने X पर अभियान की पुष्टि की।
स्रोत: The Hacker News · BleepingComputer
अमेरिका ने हंदला का ईरानी सरकार से संबंध की पुष्टि की
राष्ट्र-राज्यअमेरिकी सरकार ने हंदला द्वारा उपयोग किए गए कई डोमेन को ज़ब्त किया, जिससे ईरानी सरकार से इसके संबंध की पुष्टि हुई। समूह ने साइबर-सक्षम मनोवैज्ञानिक ऑपरेशन किए। समन्वित प्रयास में डोमेन बंद किए गए।
स्रोत: SecurityWeek
AI हार्डवेयर चीन में तस्करी के लिए 3 व्यक्तियों पर आरोप
निर्यात नियंत्रणतीन व्यक्तियों पर अमेरिकी निर्यात नियंत्रण कानूनों का उल्लंघन करने का आरोप लगाया गया, जो संयुक्त राज्य अमेरिका में असेंबल किए गए उच्च-प्रदर्शन AI सर्वरों की बड़ी मात्रा को चीन की ओर मोड़ने की साजिश रच रहे थे।
स्रोत: SecurityWeek
DoJ ने 30 लाख डिवाइस IoT बॉटनेट को ध्वस्त किया — रिकॉर्ड 31.4 Tbps DDoS
गंभीरअमेरिकी DoJ ने कनाडाई और जर्मन अधिकारियों के साथ मिलकर AISURU, Kimwolf, JackSkid और Mossad बॉटनेट के C2 इंफ्रास्ट्रक्चर को बाधित किया — जो सामूहिक रूप से 30 लाख से अधिक संक्रमित IoT उपकरणों (DVR, स्मार्ट TV, सेट-टॉप बॉक्स) को नियंत्रित करते थे। इन बॉटनेट ने 31.4 Tbps तक पहुंचने वाले रिकॉर्ड-तोड़ DDoS हमले किए। एक विशाल निजी-क्षेत्र गठबंधन ने सहायता की (Akamai, AWS, Cloudflare, Google, Oracle, PayPal और अन्य)। संदिग्धों में कनाडा में एक 23 वर्षीय और जर्मनी में एक 15 वर्षीय शामिल हैं। कोई गिरफ्तारी की घोषणा नहीं।
स्रोत: The Hacker News
Navia डेटा उल्लंघन — 27 लाख प्रभावित
बड़े पैमाने परदिसंबर 2025 के अंत और जनवरी 2026 के मध्य के बीच, हैकरों ने Navia के वातावरण से व्यक्तिगत और स्वास्थ्य योजना जानकारी चुराई, जिससे 27 लाख व्यक्ति प्रभावित हुए। स्वास्थ्य सेवा और लाभ डेटा से समझौता किया गया।
स्रोत: SecurityWeek
हज़ारों Magento साइटें चल रहे विरूपण अभियान के अधीन
वेब हमले27 फरवरी से शुरू हुए एक बड़े पैमाने पर विरूपण अभियान ने हज़ारों Magento-आधारित ई-कॉमर्स साइटों को प्रभावित किया है, जो वैश्विक ब्रांडों और यहां तक कि सरकारी सेवाओं को भी निशाना बना रहा है। नई PolyShell भेद्यता के साथ, Magento ऑपरेटर गंभीर खतरे के परिदृश्य का सामना कर रहे हैं।
स्रोत: SecurityWeek
Microsoft Azure Monitor अलर्ट का कॉलबैक फ़िशिंग के लिए दुरुपयोग
फ़िशिंगहमलावर Microsoft Azure Monitor अलर्ट का दुरुपयोग करके Microsoft Security Team का प्रतिरूपण करने वाले कॉलबैक फ़िशिंग ईमेल भेज रहे हैं। ईमेल अनधिकृत शुल्कों की चेतावनी देते हैं, पीड़ितों को हमलावर-नियंत्रित फोन नंबरों पर कॉल करने के लिए लुभाते हैं।
स्रोत: BleepingComputer
Google Android "Advanced Flow" — 24 घंटे साइडलोडिंग प्रतीक्षा अवधि
androidGoogle ने Android के लिए एक नया साइडलोडिंग तंत्र घोषित किया: असत्यापित डेवलपर्स के ऐप्स को अब इंस्टॉलेशन से पहले 24 घंटे की अनिवार्य प्रतीक्षा अवधि की आवश्यकता होगी। मैलवेयर और स्कैम ऐप वितरण को कम करने के लिए उनके डेवलपर सत्यापन अधिदेश का हिस्सा।
स्रोत: The Hacker News
ऑपरेशन एलिस — 3,73,000 डार्क वेब साइटें बंद
कानून प्रवर्तनअंतर्राष्ट्रीय कानून प्रवर्तन ऑपरेशन ने नकली अवैध सामग्री पैकेज प्रदान करने वाली 3,73,000 से अधिक डार्क वेब साइटों को बंद किया।
स्रोत: BleepingComputer
ब्रिटेन ने साइबर घटना रिपोर्टिंग आवश्यकताओं को कड़ा किया
विनियमनब्रिटेन संगठनों के लिए साइबर घटना रिपोर्टिंग दायित्वों को कड़ा कर रहा है, EU के NIS2 के कड़े उल्लंघन प्रकटीकरण आवश्यकताओं की प्रवृत्ति में शामिल हो रहा है।
स्रोत: SecurityWeek
Oasis Security — एजेंटिक एक्सेस प्रबंधन के लिए $120M
AI फ्रेमवर्क एक्सेस प्रबंधन और गो-टू-मार्केट स्केलिंग के लिए R&D विस्तार।
Cape — सेल्युलर सुरक्षा के लिए $100M
उपभोक्ताओं, उद्यमों और सरकारों के लिए गोपनीयता-केंद्रित MVNO।
Eclypsium — डिवाइस सप्लाई चेन सुरक्षा के लिए $25M
फर्मवेयर और सप्लाई चेन सुरक्षा प्लेटफ़ॉर्म क्षमताओं का विस्तार।
1stProtect — एंडपॉइंट सुरक्षा के लिए $20M (स्टेल्थ एग्जिट)
वास्तविक समय में हमलों को रोकने के लिए व्यवहार निगरानी और उपयोगकर्ता इरादे का सत्यापन।
Allure Security — ऑनलाइन ब्रांड सुरक्षा के लिए $17M
डिजिटल ब्रांड सुरक्षा प्लेटफ़ॉर्म विस्तार।
इस सप्ताह के प्रमुख रुझान
1. सप्लाई चेन हमले तेज़ हो रहे हैं: Trivy/CanisterWorm दिखाता है कि हमलावर सप्लाई चेन समझौतों को श्रृंखलाबद्ध कर रहे हैं — एक उल्लंघन पूरे पारिस्थितिकी तंत्र में स्व-प्रसारी वर्म की ओर ले जाता है। ब्लॉकचेन-आधारित C2 (ICP canisters) हटाना लगभग असंभव बनाता है।
2. शोषण का समय ढह रहा है: Langflow CVE-2026-33017 का प्रकटीकरण के 20 घंटे के भीतर शोषण किया गया। इंटरनेट-फेसिंग सेवाओं के लिए पैच विंडो प्रभावी रूप से शून्य है।
3. AI-सक्षम फ़िशिंग परिष्कार बढ़ रहा है: व्यवहार विश्लेषण आवश्यक हो रहा है क्योंकि AI व्यक्तिगत फ़िशिंग उत्पन्न करता है जो पुरानी पहचान को बायपास करता है। ब्राउज़र-आधारित AITM हमले और ClickFix तकनीकें प्रमुख उल्लंघनों को संचालित कर रहे हैं।
4. राष्ट्र-राज्य मैसेजिंग ऐप लक्ष्यीकरण: रूसी खुफिया सेवाएं एन्क्रिप्टेड मैसेजिंग (Signal, WhatsApp) के खिलाफ औद्योगिक-स्तर के अभियान चला रही हैं। विश्वास श्रृंखलाओं का शोषण — समझौता किए गए खातों का उपयोग संपर्कों को फ़िश करने के लिए किया जाता है।
5. IoT बॉटनेट पैमाना बुनियादी ढांचे के स्तर तक पहुंचा: समझौता किए गए उपभोक्ता उपकरणों से 31.4 Tbps DDoS क्षमता। हटाने के बाद भी, संक्रमित उपकरण जनसंख्या बनी रहती है।
6. विनियामक कड़ाई जारी: ब्रिटेन NIS2-शैली रिपोर्टिंग अधिदेशों में शामिल हुआ। EU/ब्रिटेन संगठनों के लिए अनुपालन बोझ बढ़ता है।
KENSAI ग्राहकों के लिए इसका क्या अर्थ है
सप्लाई चेन निगरानी: Trivy/npm समझौता इस बात को पुष्ट करता है कि निरंतर निर्भरता स्कैनिंग क्यों महत्वपूर्ण है। KENSAI का SBOM विश्लेषण और निर्भरता जांच ठीक इन पैटर्न को पकड़ते हैं।
पैच प्रबंधन की तात्कालिकता: CVE शोषण विंडो के घंटों में सिकुड़ने (Langflow) और CISA द्वारा उसी दिन पैच अनिवार्य करने (Cisco) के साथ, स्वचालित भेद्यता स्कैनिंग अब वैकल्पिक नहीं — यह अस्तित्व है।
NIS2 रिपोर्टिंग: ब्रिटेन के कड़े रिपोर्टिंग नियम NIS2 अनुच्छेद 23 को दर्शाते हैं। DACH संगठन समान दायित्वों का सामना करते हैं। KENSAI की अनुपालन रिपोर्टिंग क्षमताएं सीधे इस आवश्यकता को संबोधित करती हैं।
मैसेजिंग सुरक्षा: रूसी Signal/WhatsApp अभियान उन सभी संगठनों के लिए चेतावनी है जो संवेदनशील संचार के लिए उपभोक्ता मैसेजिंग पर निर्भर हैं।