美国网络安全和基础设施安全局（CISA）发布紧急警报，指出Linux内核中存在一个严重的释放后重用漏洞（CVE-2024-1086）。该漏洞潜伏在netfilter:nf_tables组件中，可使本地攻击者提升权限并可能部署勒索软件，对全球企业系统造成严重破坏。

Part01

漏洞概括与影响范围

根据CISA于2025年10月31日更新的已知被利用漏洞（KEV）目录，这个今年初首次披露的漏洞已被证实用于针对未打补丁的Linux服务器的攻击活动。由于Linux广泛应用于从云基础设施到物联网设备的各个领域，这一警告凸显了在勒索软件事件激增背景下开源生态系统面临的日益严峻的威胁。
安全研究人员确认，攻击者通过构造恶意netfilter规则来触发不当的内存释放操作，从而利用CVE-2024-1086漏洞。当通过钓鱼攻击或弱凭证获得本地访问权限的用户运行漏洞利用程序时，系统会释放与网络表相关的内存但未能清空指针，导致悬垂引用被重复利用。Part02

攻击链与潜在危害

这种漏洞利用最终可实现具有root权限的任意代码执行，为部署LockBit或Conti等勒索软件变种铺平道路。CISA强调应立即打补丁，受影响版本涵盖Ubuntu、Red Hat Enterprise Linux和Debian等广泛使用的发行版，特别是内核版本低于6.1.77的系统。Part03

技术细节与缓解措施

该漏洞源于典型的释放后重用错误（CWE-416），内核的netfilter子系统在规则评估期间错误处理了表销毁操作。攻击者仅需本地执行权限，使其成为初始访问后的有效第二阶段载荷。
在勒索软件攻击场景中，威胁行为者将此漏洞与社会工程学手段结合，加密文件并窃取数据，要求以加密货币支付赎金。自2024年3月以来，漏洞利用PoC已在暗网论坛流传，2025年第三季度针对医疗和金融行业的实际攻击激增。
以下是CVE详细说明：
Part04

防护建议

企业应使用Lynis或OpenVAS等工具扫描环境中存在漏洞的内核，并根据供应商指南实施缓解措施。若无法更新，CISA建议停止使用受影响产品。这一事件凸显了混合云中遗留Linux部署的风险，攻击者越来越多地针对开源漏洞实施高影响力的勒索软件攻击。
随着漏洞利用技术的演进，主动的内核加固措施（如启用SELinux和监控netfilter日志）对于抵御这些隐蔽威胁仍然至关重要。

参考来源：

CISA Warns of Linux Kernel Use-After-Free Vulnerability Exploited in Attacks to Deploy Ransomware

https://cybersecuritynews.com/linux-kernel-use-after-free-vulnerability-exploited/Part01

漏洞概述

Anthropic公司Claude AI助手最新披露的漏洞显示，攻击者能够利用该平台的代码解释器功能悄无声息地窃取企业数据，甚至绕过默认安全设置。安全研究人员Johann Rehberger证实，通过间接提示注入（indirect prompt injection）可操控Claude的代码解释器窃取敏感信息，包括聊天记录、上传文档以及通过集成服务访问的数据。该攻击利用Claude自身的API基础设施，将被盗数据直接发送至攻击者控制的账户。Part02

攻击原理

该漏洞利用了Claude网络访问控制的关键疏漏。虽然平台默认的"仅限包管理器"设置限制了与npm和PyPI等获批准域的出站连接，但仍允许访问api.anthropic.com——攻击者正可滥用此端点进行数据窃取。
研究人员设计的攻击链依赖于间接提示注入技术，恶意指令被隐藏在用户要求Claude分析的文档、网站或其他内容中。一旦触发，攻击将执行多阶段流程：

1. Claude检索敏感数据（如使用平台新引入的记忆功能获取最近对话历史），并将其写入代码解释器沙盒中的文件
2. 恶意负载指示Claude执行Python代码，将文件上传至Anthropic的Files API
3. 关键区别在于：上传使用攻击者的API密钥而非受害者的

"这段代码发出从沙盒上传文件的请求，但存在关键差异，"Rehberger在博客中指出，"文件不会上传至用户的Anthropic账户，而是攻击者的账户，因为它使用了攻击者的ANTHROPIC_API_KEY。"根据Anthropic的API文档，该技术允许每个文件最多泄露30MB数据，且上传文件数量不受限制。
Part03

绕过AI安全控制

Rehberger的报告指出，由于Claude内置的安全机制，开发可靠攻击方法颇具挑战性。该AI最初会拒绝包含明文API密钥的请求，将其识别为可疑行为。但Rehberger发现，将恶意代码与良性指令（如简单的print语句）混合足以绕过这些保护措施。
"我尝试了XOR和base64编码等技巧，都不太可靠，"Rehberger解释道，"但我找到了解决方法...只需混入大量良性代码，如print('Hello, world')，就能让Claude相信没有太多恶意行为发生。"
Rehberger于2025年10月25日通过HackerOne向Anthropic披露该漏洞。公司在一小时内关闭了报告，将其归类为"超出范围"，并描述为模型安全问题而非安全漏洞。Rehberger对此分类提出异议："我不认为这只是安全问题，而是默认网络出口配置导致的安全漏洞，可能导致私人信息泄露。安全保护你免受意外伤害，安防保护你免受对手攻击。"Anthropic未立即回应置评请求。Part04

攻击向量与现实风险

该漏洞可通过多个入口点利用。"恶意行为者可将提示注入负载嵌入待分析文档、用户要求Claude总结的网站，或通过模型上下文协议(MCP)服务器和Google Drive集成访问的数据中，"博客补充道。
使用Claude处理敏感任务（如分析机密文档、处理客户数据或访问内部知识库）的组织面临特殊风险。由于泄露通过合法的API调用实现，与正常Claude操作混杂，攻击几乎不留痕迹。
对企业而言，缓解措施十分有限。用户可完全禁用网络访问或手动配置特定域的白名单，但这会显著降低Claude功能。Anthropic建议监控Claude行为并在检测到可疑活动时手动停止执行——Rehberger称这种方法为"危险生存"。
公司的安全文档也承认该风险："这意味着Claude可能被诱骗将其上下文中的信息（如提示、项目、通过MCP和Google集成的数据）发送给恶意第三方，"Rehberger指出。但企业可能错误认为默认的"仅限包管理器"配置提供足够保护，Rehberger的研究证明这种假设是错误的。为保护用户，在漏洞未修复前，Rehberger未公布完整攻击代码。他指出Anthropic批准列表中的其他域可能存在类似利用机会。

参考来源：

Claude AI vulnerability exposes enterprise data through code interpreter exploit

https://www.csoonline.com/article/4082514/claude-ai-vulnerability-exposes-enterprise-data-through-code-interpreter-exploit.html

文章来源 ：FreeBuf