AI發現Linux核心漏洞,潛伏15年未被發現
Nebula Security藉助AI工具VEGA發現Linux核心中存在15年的提權漏洞(CVE-2026-43499),可讓任何登入使用者獲取root許可權。該漏洞自2011年起預設存在於幾乎所有主流發行版中,已在4月修復,但補丁分發不均。
本週安全新聞彙總:AI發現潛伏15年的Linux核心漏洞;Flock攝像頭因資料錯誤導致記者被警方攔截;ICE承包商Accenture遭資料洩露;五角大樓推出低薪網路學徒計劃。
AI發現Linux核心漏洞(CVE-2026-43499)
Nebula Security公司近日釋出了針對“GhostLock”(CVE-2026-43499)的利用程式碼。這是一個存在於Linux核心中的use-after-free漏洞,自2011年起預設出現在幾乎所有主流發行版中,允許任何登入使用者在沒有特殊許可權或網路訪問的情況下獲取root許可權。Nebula的利用程式碼甚至可以突破容器限制,在測試中達到97%的可靠性。該漏洞透過谷歌的kernelCTF計劃獲得了92,337美元的獎勵。漏洞已於4月修復,但補丁分發不均:截至7月初,Ubuntu的24.04、22.04和20.04 LTS版本仍被列為存在漏洞或正在修復中,因此使用者需要確認已安裝修復包,而非假設已自動更新。
值得注意的是,Nebula是透過其AI驅動的漏洞挖掘工具VEGA發現該漏洞的,這是2026年一系列由自動化工具發現的Linux提權漏洞之一,這些工具正在審查多年無人問津的舊核心程式碼。
Flock攝像頭誤報導致記者被攔截
記者Joel Feder在《The Drive》中描述稱,6月底他在明尼蘇達州普利茅斯的一個Kohl's停車場被四輛警車包圍——警察大喊大叫,手放在槍上——原因是Flock的車牌攝像頭將他試駕的、從新澤西經銷商處借來的價值15.5萬美元的Range Rover標記為被盜。Feder寫道,警方已在該地區跟蹤這輛SUV數日……原因是一個錄入錯誤。
問題源於2000英里外的一個資料錄入錯誤:一塊捷豹路虎車隊車牌(34 03 DTM)被報告給洛杉磯警方丟失,但系統中輸入的是“34 DTM”——刪除了新澤西州用於製造商車牌的小中間數字。Flock的攝像頭讀取了大字元,忽略了非標準結構,開始對任何匹配車輛發出警報。Feder報告稱,同一周內,另外四輛使用相同車牌格式的路虎車也在明尼蘇達州被追蹤,他是第一個被攔截的。
引發這一切的車牌並未被盜,只是在拍攝時被放錯了地方。諷刺的是,此事發生不到兩週前,《The Drive》剛釋出了一篇關於Flock過度執法的報道。
ICE承包商Accenture遭資料洩露
諮詢巨頭Accenture證實了一起安全漏洞,威脅行為者“888”聲稱竊取了35 GB資料——包括原始碼、RSA和SSH金鑰、Azure訪問令牌和配置檔案——並在網路犯罪論壇上出售。Accenture稱其為“孤立事件”,已修復源頭,並表示不影響運營,但拒絕透露被盜內容或攻擊方式。為證明其說法,888釋出了一張截圖,顯示在一個經過編輯的Accenture.com主機上克隆了Azure DevOps倉庫。BleepingComputer無法驗證全部內容。這並非888首次攻擊該公司:2024年,888曾試圖出售因第三方漏洞洩露的Accenture員工資料;此外,Accenture在2021年也曾遭受LockBit勒索軟體攻擊。
此次漏洞的時機尤為尷尬:自2021年9月以來,Accenture的聯邦部門一直持有ICE的“網路防禦與情報支援服務”合同,提供全天候威脅監控、入侵檢測和事件響應服務,該合同價值約5650萬美元,將於8月底到期,目前正在進行重新競標。
五角大樓計劃訓練業餘駭客,但工資低於最低標準
五角大樓本週開放了“網路RAP”學徒計劃的申請,招募沒有網路學位或經驗的人員,只需具備學習能力,進行為期12個月的全職培訓,以保護國防部網路。國防部資訊長Kirsten Davies稱此舉摒棄“學術門檻”,注重“原始能力、愛國動力和動手能力”。但年薪僅為22,584美元,未能透過培訓者需要向政府償還培訓費用。
這是內部培養人才的方式。另一種選擇是外包。參議院軍事委員會2027財年國防法案中的一項條款允許國防部長Pete Hegseth啟動試點專案,透過“承包商擁有、承包商運營”的方式執行網路行動——即政府授權的駭客僱傭團隊。
批評者認為此舉越界。前拜登白宮網路安全官員Nick Leiserson表示,駭客僱傭計劃“加劇了全球網路不穩定”,並指出美國曾因類似行為制裁中國承包商。
這一想法有先例可循。去年,亞利桑那州眾議員David Schweikert提出了《詐騙農場私掠授權法案》,允許總統頒發“私掠許可證”——美國最後一次使用是在1812年戰爭期間——授權私人運營商沒收外國網路犯罪分子的資產,包括針對美國人的詐騙相關的加密貨幣錢包。該法案提交委員會後未獲表決。