腾讯云曝严重安全漏洞重要长期暴露公网|黑客动用上万IP,大规模扫描微软 RDP 服务

华盟君华盟君 安全资讯 6 月前
1.28W 0
华盟原创文章投稿奖励计划

关键词:安全漏洞

自动草稿

网络安全公司 Cybernews 日前披露,在腾讯云的部分服务器上发现严重配置错误,导致内部敏感凭证与源代码被意外暴露到公网,潜在风险极其严重。

根据报告,研究人员在 2025 年 7 月下旬的例行扫描中,发现腾讯云两个子域名存在配置错误。这些错误导致关键配置文件可被外部直接访问,其中包含:

  • 硬编码的明文管理凭证(包括后台控制台的用户名和密码)

  • 敏感的内部 .git 代码仓库

  • 其他可能被利用的内部环境数据

进一步分析发现,这些文件至少从 2025 年 4 月 起就已经在公网暴露,可能持续数月之久。

自动草稿

潜在危害

研究人员警告称,如果攻击者获取这些信息,可能带来一系列严重后果,包括:

  • 获得生产环境的 完全管理员权限

  • 篡改内部 API 服务

  • 在前端代码中植入恶意负载

  • 深入渗透腾讯云内部基础设施

  • 滥用腾讯云的官方域名发起钓鱼攻击

此外,泄露的密码组合过于简单(公司名+年份+符号),容易被字典攻击破解,进一步放大了风险。

受影响的服务

受影响的主要包括:

  • 腾讯云内部使用的 负载均衡器

  • 腾讯云推广的 开源开发平台 JEECG 的部署实例

其中泄露的 .git 仓库甚至可能允许外部人员下载并重建内部源代码,从而掌握后端部署的完整细节。

自动草稿

腾讯云回应

在发现问题后,Cybernews 研究人员立即向腾讯云提交报告。腾讯云方面确认这一问题,但表示此前已有其他研究人员上报过,目前相关访问已被关闭。

截至报道发布时,腾讯云尚未就此事件向 Cybernews 提供进一步评论。

背景与意义

腾讯云是全球主要的云计算服务提供商之一,隶属于腾讯集团,服务覆盖游戏、金融、通信和企业应用等多个领域,每日为数以百万计的用户提供支持。

研究人员指出:“当涉及云控制台、源代码和根权限时,没有所谓的小泄漏。哪怕是小小的配置失误,也可能演变成高风险事件,并对整个供应链造成连锁反应。”

此次事件虽未直接影响腾讯云客户的账号和数据,但它突显了大型云平台在 运维细节和配置管理 上依旧可能出现严重疏漏,也提醒用户在依赖云服务时需保持警惕。

关键词:网络攻击

自动草稿

近日,安全研究人员发现一起前所未有的大规模网络扫描行动,攻击者动用超过 30,000 个独立 IP 地址,针对 微软远程桌面协议(RDP)相关服务(包括 RD Web Access 与 RDP Web Client)进行漏洞探测。这一行动被认为是近年来规模最大的 RDP 协同扫描活动,显示出威胁行为者正在为大范围的凭证攻击做准备。

关键发现

  1. 超过 30,000 个 IP 参与攻击,刷新微软 RDP 扫描纪录。

  2. 美国教育机构在“返校季”成为主要目标,遭遇用户名枚举攻击。

  3. 威胁情报研判:未来 80% 可能性会演变成重大漏洞利用。

扫描行动时间线

这轮行动最早可追溯至 2025 年 8 月 21 日,当时约有 2,000 个 IP 同时扫描微软 RD Web Access 与 RDP Web Client 认证接口。仅三天后,攻击规模急剧升级:研究人员监测到超过 30,000 个 IP 同步发起探测,且使用相同的客户端特征,显示其背后可能存在 高度组织化的僵尸网络或统一的攻击工具集。

自动草稿

技术手法:利用时间差进行用户名枚举

GreyNoise 报告指出,攻击者采用 基于时间差的认证枚举 技术:通过捕捉服务器在响应时间上的细微差异来确认用户名是否存在,而不会触发传统暴力破解防御机制。
这种方法能够在隐蔽状态下构建出大规模的用户名数据库,后续可被用于 凭证填充(credential stuffing) 或 密码喷洒(password spraying) 攻击。

源头分析

  • 92% 的扫描基础设施来自已知恶意 IP。

  • 73% 的流量源自巴西,但攻击目标 全部集中在美国 RDP 服务

  • 1,851 个主机使用完全相同的客户端签名,明显指向集中化指挥控制体系(C2),与典型 APT 行动高度相似。

教育领域成“重灾区”

此次攻击的时间点与美国“返校季”高度重合。大量教育机构此时部署远程实验室与远程接入环境,且用户名往往采用可预测的格式(如学号、firstname.lastname),极易被枚举。
攻击者分阶段执行行动:

  1. 识别暴露在互联网上的 RDP 服务端口;

  2. 测试认证流程,挖掘信息泄露点;

  3. 建立包含有效用户名与可访问端点的数据库,为后续攻击做准备。

自动草稿

威胁趋势

研究人员警告,这批 IP 基础设施还同时进行代理服务扫描与网页爬取,说明攻击工具集具备 多用途网络侦察能力
历史分析表明,大规模协同扫描往往在 六周内伴随新漏洞的公开或利用,且有 80% 的相关性。此次规模空前的 RDP 探测,可能预示着:

  • 新的 零日漏洞即将被利用

  • 勒索软件大规模投放

  • 凭证窃取与入侵扩散的新一轮攻击浪潮。

防护建议

使用微软 RDP 服务的组织应立即采取防护措施:

  • 加固 RD Web Access 与 RDP Web Client 配置;

  • 开启异常认证尝试监控,重点关注已披露的恶意客户端特征;

  • 提前准备多因素认证与速率限制策略,降低凭证攻击风险。

这场动用 3 万余 IP 的协调扫描,已成为 RDP 生态的严重安全预警。下一阶段,很可能会出现 大规模漏洞利用或勒索攻击爆发

文章来源 :安全圈

本文来源安全圈,经授权后由华盟君发布,观点不代表华盟网的立场,转载请联系原作者。
华盟君官方
华盟君

5.57K篇文章 177.77M总阅读量

相关文章

发表回复