ColdFusion 兩小時就有人打,NPM 同 AI 工具都要重新收緊
Tech News

ColdFusion 兩小時就有人打,NPM 同 AI 工具都要重新收緊

圖片:via iThome — https://www.ithome.com.tw/news/177142
TechLab 編輯部(譯)·

開發機、CI runner、SSH 同 MCP server,今次全部都係攻擊面

幾條新聞,其實係同一個訊號

iThome 報道 7 月 7 日資安日報提到,ColdFusion CVE-2026-48282 喺細節公開後好快就有攻擊流量;同一日仲有 Lazarus-linked NPM 套件、OpenSSH 10.4、ChatGPT 下載流程漏洞、Godot AI 貢獻規矩同 MCP 新規格。逐條睇似係幾單獨立新聞,但放埋一齊睇,就見到攻擊面已經伸到開發機、CI runner、SSH 管理路徑同 AI agent workflow;IT admin 唔可以只睇 public website 同防火牆。

JFrog 報告入面展示惡意 Rollup polyfill 套件點樣分層載入 payload 嘅流程圖

圖片:JFrog Security Research

ColdFusion 係今日要 patch 嗰類舊債

Adobe 6 月 30 日 APSB26-68 公告列明,ColdFusion 2025 Update 9 或之前、ColdFusion 2023 Update 20 或之前受影響,修補版係 2025 Update 10 同 2023 Update 21。入面有 6 個 10.0 分 ColdFusion 漏洞,CVE-2026-48282 係 path traversal,可令攻擊者唔使登入就跑 code。BleepingComputer 引述 KEVIntel 話,細節公開後兩小時內蜜罐已見到攻擊,CCCS 亦叫管理員盡快上 patch。呢種 enterprise app 好多時喺角落跑咗好多年,平時冇人掂,一爆 CVSS 10 就變成掃描器第一站。

NPM 呢單唔係 typo-squatting 咁簡單

JFrog 嘅研究最值得開發者即刻掃 lockfile。佢哋話有 6 個惡意 NPM 套件扮 Rollup polyfill 工具,入口名包括 rollup-packages-polyfill-corerollup-runtime-polyfill-core,會再拉第二層套件,最後用 JSONKeeper 回傳 JavaScript 再 eval。最麻煩係 payload 針對開發環境:搵 .env.ssh、雲端憑證、Cursor/Windsurf/Claude 設定、瀏覽器資料同加密貨幣錢包,仲有 clipboard 監控同 remote access。即係你部開發機或者 CI runner 中招,漏出去嘅唔止係一個 app,可能係成條發布鏈。

OpenSSH 10.4 要升,但先睇變更

OpenSSH 10.4 喺 7 月 6 日出,官方 release notes 寫明有多個 security fix:sftp 下載可俾惡意 server 放去意料之外位置、scp remote-to-remote copy 可寫到目標上層目錄、sshd 喺 GSSAPI 開啟時有 pre-auth DoS 風險。另一個要先測嘅位係 Linux 上 seccomp sandbox 啟用失敗而家會變 fatal,舊環境、自編 build、container image 可能會踩到。後量子簽名支援今次只係 experimental,預設冇開;最要排期嘅,係安全修補同相容性測試。

AI 工具嘅問題,開始由 prompt 走到權限邊界

zer0dac 公開嘅 ChatGPT PoC 幾值得睇,因為佢唔係單純叫模型講漏嘢。流程係先上載檔案,再用多輪 prompt 令模型吐出下載 URL,之後改 sandbox_path 做 path traversal,最後讀到 sandbox 入面嘅 /etc/passwd。研究者話 OpenAI 已經改咗 URL download flow,而且 sandbox 限制令直接敏感資料外洩有限;不過重點係,AI guardrail 同傳統 web bug 可以串成一條攻擊鏈。你畀 AI 工具讀檔、改檔、連 repo,就要當佢係有權限嘅 app 嚟管。

Godot 同 MCP 都係權限題

Godot Foundation 6 月 30 日講到好白:自主 AI agent 同 vibe coding 交 PR 會繼續 auto-ban,大段 AI 生成 code 唔收,用 AI 幫手亦要披露。呢條規矩重點放喺責任:維護者要知道邊個對 code 負責。MCP 2026-07-28 release candidate 另一邊就拎走 protocol-level session,改做 stateless core、Tasks、MCP Apps 同授權收緊。呢個設計方便 scale,不過 app 自己要管 state handle、_meta、header 同 token scope;信錯 client 傳返嚟嘅 metadata,就有跨 tenant 或越權風險。AI agent 用得越似日常同事,權限、審批同 audit trail 就越要正式管,唔好當 demo 設定算數。

實務上點做

對本地 agency、freelance developer、SME IT,今次唔使開大會先做。第一,查有冇跑 ColdFusion 2025 Update 9 / 2023 Update 20 或之前版本,有就上 patch 同睇 log。第二,掃 package-lock.jsonpnpm-lock.yaml 同 CI cache,見到 JFrog 列出嗰 6 個 package 就當機器已受污染處理,先清 persistence 再 rotate token、SSH key、cloud key。第三,OpenSSH 10.4 先喺 staging 試 seccomp 同 config dump 差異。第四,AI coding tool 同 MCP server 要分權限,唔好畀同一個 token 同時讀 repo、開 issue、deploy 同讀客戶資料。

下一步睇咩

ColdFusion 嗰邊要睇 CISA 會唔會收 CVE-2026-48282 入 KEV catalog,NPM 呢邊要睇惡意 package 係咪仲有變種,MCP 就睇 7 月 28 日最終規格有冇再改安全要求。講真,AI coding 同 agent connector 令開發快咗,但佢哋亦令攻擊者容易過以前咁貼住開發流程打;用得越多,越要審計、最小權限同 token rotate 變成日常工序。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook