时间: 2026年5月4日凌晨(约02:00 – 03:30)起持续发酵
涉及系统: 魔方财务(IDC业务管理系统)
涉及人员: 大量使用魔方财务的IDC服务商(包含天理云、妙星云、狼云网络、光锥云、汇来云、陌城云等数十家云服务商)
一、 事件起因与现象
2026年5月4日凌晨,大量用户QQ邮箱、Foxmail等客户端遭受“验证码邮件”轰炸。这些邮件并不是黑客的个人垃圾邮件,而是来自各大云服务商的发信系统。
受害者不仅包括普通的云服务器用户,更主要的是云服务商自己。大量用户的发信邮箱(包括IDC对接的SMTP账号)在短时间内被消耗大量邮件发送额度,甚至被系统判定为垃圾邮件,不得不暂停发信服务。
二、 事件溯源与技术复盘(核心重点)
经过技术群内紧急排查(基于群友提供的聊天记录与接口),目前已经锁定这并非某一特定云服务商被黑,而是“魔方财务”系统的全局逻辑漏洞被公开利用。
攻击者的具体手法如下:
1. Session 未销毁漏洞(最关键因素)
群里有关人员指出:session没销毁。意思就是,在魔方财务获取验证码的流程中,系统会生成一个session。正常情况下,验证码验证成功或失效后,这个session应该销毁或重新生成。但魔方没有。
只要用户/攻击者“眼看一次验证码,以后用这个session和验证码配套就都能发出去了,除非你重启机器”。
这意味着,攻击者只需获取一次验证码,即可在session持续期间,无限制调用发信接口。
2. 无需OCR(光学字符识别),纯逻辑漏洞
有关人员在聊天中明确指出:(魔方)这个不需要OCR,是逻辑漏洞。
传统的验证码轰炸需要破解图片验证码(OCR技术),但这一次,攻击者直接抓包了以下两条API接口:
-
/console/v1/captcha-> 请求token和验证码图片 -
/console/v1/email/code-> 发验证码
攻击者发现发信接口并没有严格绑定当前会话的用户身份(群友指出:session也没和邮箱绑定)。他们直接利用一组session和captcha换着邮箱发就行了。
3. 手机号、邮箱双重漏洞
聊天记录明确提及:邮件能刷手机号也能刷,一样的问题。 这表明该漏洞不仅影响邮箱验证码接口,也影响手机短信接口。
三、 影响与后果
-
邮箱信誉崩塌:各类IDC的邮件服务器(SMTP)发信权重大降,大量邮被判定为垃圾邮件。
-
发信配额耗尽:许多IDC服务商的后台发信API配额被瞬间耗尽,导致正常的注册和找回密码流程瘫痪。
-
服务器负载飙升:大量发信请求导致IDC管理面板的Web服务负载异常,严重者甚至导致面板崩溃。
四、 紧急建议与临时修复方案(针对魔方用户)
sk(速科)模版暂时未出现此情况,强烈建议开启模板内置的“极验防刷”功能
目前官方仍未有立即响应的稳定补丁(群内反馈:魔方官方的验证码是无效的),建议采取以下措施紧急止损:
-
立即重启控制面板/宿主机服务器:重启会强制销毁当前的session,可暂时中断攻击者的循环轰炸。
-
更换/屏蔽官方验证码插件:在魔方应用商店或技术群寻找第三方的“极验验证码”、“腾讯云验证码”等插件进行替换,切断被利用的底层接口。
-
检查邮件发送限制:务必立即登录您的SMTP发信平台(如阿里云邮件推送、QQ企业邮等),查看消耗量与今日配额,必要时将邮件发送限额改小。
-
等待官方补丁:跟进官方更新,并重点观察
/console/v1接口的session验证与邮件绑定逻辑是否被修复。
重要提示: 本次爆炸式攻击发生在凌晨,趁虚而入,请不要忽视。建议所有还在使用魔方财务且没做二次开发的IDC务必在白天立刻排查!!
暂无评论内容