← 返回博客
安全简报5 min read2026-05-05

安全简报,2026年5月5日:Weaver RCE、Copy Fail、PyTorch Lightning 后门与 Amazon SES 钓鱼

今天早上的共同模式很清楚:攻击者正在借助看起来可信的底层通道。企业工作流软件、Linux 内核、开发依赖和合法云邮件,一旦防守方默认通道本身安全,就都会变成高速攻击路径。


要点: 立即修补 Weaver E-cology 和 Linux 内核,删除任何已被导入的 lightning 2.6.3,轮换暴露的机密,并把 Amazon SES 滥用视为云身份问题,而不只是邮件过滤问题。


1. Weaver E-cology 再次说明隐藏调试路径最终会变成真实入侵路径

BleepingComputer 报道称,Weaver E-cology 中的 CVE-2026-22679 自 3 月中旬以来一直被利用。Vega 表示,这个未认证 RCE 来自一个暴露的调试 API,它允许攻击者控制的参数进入后端 RPC 功能并执行系统命令。观察到的活动包括侦察命令、PowerShell 载荷投递,以及反复的无文件脚本拉取。


2. Copy Fail 已经从研究披露变成真实的 root 风险

CISA 在公开披露一天后就将 CVE-2026-31431,也就是 Copy Fail,加入 KEV 目录。该漏洞位于 algif_aead 接口中,允许低权限本地用户通过向任意可读文件的页缓存写入受控字节来获得 root。Theori 表示,同一利用代码已在 Ubuntu、Amazon Linux、RHEL 和 SUSE 上稳定成功。


3. PyTorch Lightning 2.6.3 把热门 AI 依赖变成了导入即中招的机密陷阱

PyPI 上恶意的 lightning 2.6.3 版本会在导入时自动下载 Bun,并执行混淆的 JavaScript 载荷。报道指出,该载荷会窃取浏览器数据、.env 文件、API 密钥和云凭证,还支持任意命令执行。一个月下载量超过 1100 万的包,不需要大范围感染就足以造成严重信任事故。


4. Amazon SES 钓鱼滥用说明云信任会削弱基于信誉的防御

Kaspersky 观察到通过 Amazon SES 发送的钓鱼邮件明显增加,这通常与暴露在公共仓库、.env 文件、备份、镜像或开放 S3 存储桶中的 AWS IAM 密钥有关。由于邮件来自合法 SES 基础设施,它们更容易通过 SPF、DKIM 和 DMARC,从而显著削弱传统拦截效果。


安全团队今天应该做什么

  1. 在处理低优先级卫生工作前,先修补 Weaver E-cology 和易受攻击的 Linux 内核。
  2. 检查软件清单和 CI 流水线中是否存在 lightning 2.6.3,然后轮换所有受影响机密。
  3. 复查 AWS IAM 暴露路径,并将 SES 滥用视为身份与机密管理失效。
  4. 向响应团队明确今天的主题:调试端点、内核、软件包和云邮件这些“可信基础设施”都必须被验证。

来源


结论: 今天共同的失败点,是对看起来合法的通道给予了错误信任。正确做法虽然枯燥,但必须执行:快速打补丁,立即轮换机密,并把每个平台都当作可能已经处在攻击路径中来验证。

先找出攻击者最可能滥用的可信路径

KENSAI 帮助团队提前识别暴露服务、脆弱身份路径、高风险依赖和云攻击面,避免可信基础设施反过来成为事故燃料。

开始免费扫描 →

保持警惕。

🗡️ KENSAI Security Team