WinterGate-IC/cloudzy-upstream-filter-vulnerability

# Cloudzy 基础设施漏洞披露 **日期：** 2026年5月4日 **研究人员：** WinterGate Intelligence Collective **范围：** Cloudzy / RouterHosting (AS14956) **上游提供商：** FranTech Solutions / PONYNET **母公司：** abrNOC (伊朗，德黑兰) ## 概述 Cloudzy 使用的上游 DDoS 过滤机制中存在一个严重的逻辑缺陷。 该过滤器仅根据行为进行 IP 地址拦截。 具体表现为：一次 SSH 探测后紧随一个立即的连接重置（RST 数据包）。 此模式会触发对目标 IP 的自动封锁。 无论该流量是恶意的还是合法的，都没有区别。封锁都会触发。 这个缺陷可以被拥有一个 Cloudzy VPS 的单个攻击者武器化。 该攻击者可以触发对所有 Cloudzy 客户端 IP 的封锁。 最终导致全平台范围的拒绝服务。 Cloudzy 无法控制此过滤器。 他们的上游提供商（FranTech Solutions）控制着封锁逻辑。 Cloudzy 无法覆盖或阻止这些封锁。 ## 发现时间线 - **2026年5月1日** — 客户端升级连接杀手脚本（合法的安全防御） - **2026年5月2日** — SSH 访问丢失。协议检测后立即连接重置。 - **2026年5月3日** — 客户端花费 40 多个小时进行调试。重新安装操作系统。更改 IP。全新配置。VNC 访问确认服务器正在运行。 - **2026年5月3日** — Cloudzy 支持承认问题是“上游提供商”过滤所致。提出更改 IP。无实质作为。 - **2026年5月4日** — 客户端发现触发模式：SSH 探测 + 立即重置。 - **2026年5月4日** — 客户端证明该脚本可以触发对任何 Cloudzy IP 的封锁。 - **2026年5月4日** — Cloudzy 支持承认收到了“数千个来自无法访问其服务器的客户端的支持工单”。 - **2026年5月4日** — 客户端公开披露。 ## 技术细节 **触发模式：** - 对端口 22（或 2222）进行 TCP 握手 - 发送 SSH 协议横幅 - 等待数毫秒 - 关闭连接（RST 数据包） 就是这样。无需漏洞利用。无恶意软件。无需特殊权限。 **有效的原因：** 上游过滤器不会验证： - 源 IP 是否为 Cloudzy 客户端 - 流量是防御性还是攻击性的 - 该模式实际上是恶意的还是仅仅是不寻常的 **结果：** 合法的安全脚本触发了与真实攻击相同的封锁。 **武器化：** 拥有一个 Cloudzy VPS 的单个攻击者可以： - 生成每个 Cloudzy 客户端的 IP（范围为公开的 WHOIS 数据） - 向所有 IP 发送触发模式 - 上游过滤器将每个目标标记为“攻击者” - 数千名合法客户失去 SSH 访问权限 - 全平台范围的拒绝服务 **一个 VPS。几分钟。平台崩溃。** ## Cloudzy 自己的承认 在书面形式上，Cloudzy 支持确认了： - “这种行为并不是由 Cloudzy 直接强制执行的” - “IP 可能会被上游提供商标记” - “收到了数千个来自无法访问其服务器的客户端的支持工单” 这些陈述证明了： - Cloudzy 不控制他们自己的网络过滤 - 他们无法快速解除对客户的封锁 - 该问题影响了数以千计的客户，而不仅是一个 - 他们没有提供任何技术修复方案 ## 上游提供商 Cloudzy 是一个经销商，而不是真正的网络运营商。 他们的 IP 范围由 **FranTech Solutions / PONYNET** 拥有。 Cloudzy 的母公司是 **abrNOC**，总部位于 **伊朗，德黑兰**。 Cloudzy 在美国怀俄明州注册成立，但在伊朗运营。 这可能违反了美国的制裁规定。 ## 独立研究证实 多家网络安全公司已经记录了 Cloudzy 的基础设施： - **Cloudzy 网络上 40-60% 的服务器支持恶意活动** (Halcyon) - **Cloudzy 托管了 17 个以上的国家级 APT 组织**，来自伊朗、朝鲜、中国、俄罗斯、印度、巴基斯坦和越南 (The Hacker News, Infosecurity Magazine) - **Cloudzy 收取 250 至 1000 美元以解封滥用的服务器** (The Hacker News) - **Cloudzy 似乎将其与伊朗的联系隐藏在美国公司的面纱之后** (CyberWire) - **Cloudzy 的 CEO 回应说：“如果你是一家刀具厂，如果有人滥用刀具，你要负责吗？”** (SDxCentral) 完整的来源和链接在本文末尾提供。 ## Cloudzy 的 IP 范围（公开 WHOIS 数据） 这些范围由 FranTech Solutions 拥有并重新分配给 Cloudzy： - 144.172.0.0/16 - 107.189.0.0/16 - 172.86.0.0/16 - 45.59.0.0/16 - 45.61.0.0/16 - 216.126.0.0/16 安全研究人员建议在没有合法业务需求的地方封锁这些范围。 ## 概念验证 开发了一个脚本来演示此漏洞。 该脚本： - 从 Cloudzy 的公开范围生成 IP - 向每个 IP 发送触发模式 - 导致上游过滤器将这些 IP 标记为攻击者 该脚本测试成功。 Cloudzy 支持确认其结果是“数千个工单”。 ## 负责任的披露尝试 研究人员在公开之前尝试向 Cloudzy 披露此漏洞。 Cloudzy 的回应包括： - 归咎于客户端的操作系统和配置 - 提供更改 IP 的方案（未解决根本原因） - 拒绝退款 - 承认问题出在上游 - 试图以公开披露为条件进行退款 研究人员未获得任何技术修复、时间表，也未获得解决根本原因的承诺。 ## 结论 Cloudzy 的基础设施从根本上被破坏了。 他们不控制自己的网络过滤。 他们的上游提供商可以随时封锁任何客户。 单个攻击者可以将此漏洞武器化，造成全平台范围的中断。 Cloudzy 无法阻止它。 Cloudzy 无法修复它。 Cloudzy 只能眼睁睁地看着。 ## 对 Cloudzy 的建议 1. 立即联系 FranTech Solutions 2. 要求在封锁 IP 之前进行来源验证 3. 要求为合法客户端流量设置白名单 4. 或者迁移到能够提供实际控制权的上游提供商 5. 向受影响的客户披露该漏洞 6. 为受此漏洞影响的客户处理退款 ## 对客户的建议 - 不要将 Cloudzy 用于侧重安全的工作 - 不要在 Cloudzy 基础设施上运行高级防御脚本 - 立即备份您的数据 - 迁移到能够控制自身网络的提供商 - 如果不存在业务需求，请在您的防火墙处封锁 Cloudzy IP 范围 ## 来源 - Halcyon — "Cloudzy with a Chance of Ransomware" - SDxCentral — "US firm accused of supplying hosting services to ransomware and nation-state hacking groups" - The Hacker News — "Iranian Company Cloudzy Accused of Providing Hosting to 17+ APT Groups" - Infosecurity Magazine — "Cloudzy Suspected of Supporting APT Groups" - CyberWire — "Registered in Wyoming, but working from Tehran" - Security Risk Advisors — 关于 Cloudzy 基础设施的 2026 年 3 月报告 - AbuseIPDB — 关于 Cloudzy IP 范围的实时滥用报告 ## 联系方式 WinterGate Intelligence Collective GitHub: [链接] 完整披露和脚本可应要求提供。 *“阴影尽头，托管服务商封锁了自己。”*

标签：0day, AS14956, CISA项目, Cloudzy, DDoS防护, FranTech Solutions, PoC, SSH协议分析, TCP RST, VPS安全, WinterGate, 上游网络劫持, 威胁情报, 并发处理, 开发者工具, 拒绝服务攻击, 插件系统, 旁路阻断, 暴力破解, 漏洞披露, 网络访问控制, 自动化防御绕过, 逆向工具, 逻辑漏洞, 配置错误, 黑盒测试