FreeBuf 早报 | CISA发布十大常见网络安全错误配置;服务器巨头核心固件曝7个高危漏洞
2023-10-7 13:59:8 Author: www.freebuf.com(查看原文) 阅读量:3 收藏

全球动态

1. 全球网络安全专家联名抗议欧盟“24 小时”漏洞披露规定

来自 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和趋势科技等多个组织的数十位网络安全专家联名签署并发表了一封公开信,反对欧盟《网络韧性法案》中关于“漏洞利用后24 小时内披露”的要求,声称该漏洞披露规定会适得其反,制造新的威胁,并损害数字产品及其用户的安全。【阅读原文

2. 美高梅度假村因勒索软件攻击损失超 7.3 亿元

美国知名酒店集团美高梅度假村向证交会披露,上个月发生的勒索软件事件不仅导致大量客户数据泄露,还使得公司利润下调了 7.3 亿元。【外刊-阅读原文

3. CISA 发布十大常见网络安全错误配置

美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)在报告中公布了其红队和蓝队在大型组织网络中发现的十大最常见网络安全误配置。【阅读原文

4. 美国华盛顿特区选民数据被盗,背后真相浮出水面!

哥伦比亚特区选举委员会(DCBOE) 正在调查一起数据泄漏事件,一个名为 RansomedVC 的威胁攻击者称通过系统漏洞入侵了选民系统并获取了大量选民信息。【外刊-阅读原文

5. Sonatype:市面上 1/8 的开源组件存在已知漏洞,相关项目维护积极性正逐步减少

截至 2023 年 9 月,研究团队共发现了 245032 个恶意软件包,是往年总和的 2 倍,1/8 的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。【阅读原文

6. 请立即修复!服务器巨头核心固件曝 7 个高危漏洞

超微(Supermicro )底板管理控制器 (BMC) 的智能平台管理接口 (IPMI) 固件中存在多个安全漏洞,这些漏洞可能导致权限升级,并在受影响的系统上执行恶意代码。【外刊-阅读原文

安全事件

1. 消息称数百个 GitHub 存储库被黑客注入恶意代码,安全公司呼吁用户使用新版令牌

网络安全公司 Checkmarx 日前发现,GitHub 上有数百个储存库遭到黑客注入恶意代码。据悉,除了公开储存库之外,这次攻击事件也影响一些私人储存库,因此研究人员推测攻击是黑客利用自动化脚本进行的。【阅读原文

2. SiegedSec 黑客组织袭击北约网络系统

一个名为 SiegedSec 的网络攻击组织近期成功入侵了北约网络系统,并在网上散布盗取的大量非机密文件。【外刊-阅读原文

3. 谷歌将于 2024 年加强网络钓鱼和恶意软件传递防御

Google 将从 2024 年起为电子邮件发件人引入新的指南,以便 加强 安全 Gmail 电子邮件并防止网络钓鱼诈骗和恶意软件传递。【阅读原文

4. FTC 警告称,自 2021 年以来,社交媒体诈骗造成的损失“惊人”

联邦贸易委员会( FTC)表示,自 2021 年以来,美国人在社交媒体诈骗中损失了至少 27 亿美元,由于严重的报道不足,实际数字可能要大很多倍。【外刊-阅读原文

5. 以色列总统的 Telegram 账户遭到犯罪团伙入侵

近日,一犯罪团伙获取了以色列总统艾萨克·赫尔佐格的 Telegram 帐户的访问权限,总统官邸声明称黑客攻击本质上是与网络诈骗有关的犯罪行为。【阅读原文

6. Blackbaud 同意就勒索软件数据泄露达成 4950 万美元和解

云计算提供商 Blackbaud 与美国 49 个州的总检察长达成了一项 4950 万美元的协议,以解决 2020 年 5 月勒索软件攻击及其导致的数据泄露的多州调查。【外刊-阅读原文

优质文章

1. 2023 年新兴网络威胁:从人工智能到量子再到数据中毒

在无休止的网络攻防大战中,威胁一直在不断演变。与此同时,攻击的数量和速度都在飙升,受害者所付出的代价也在增加。据 Cybersecurity Ventures 发布的《2022 年官方网络犯罪报告》预计,网络犯罪的成本将从 2015 年的 3 万亿美元飙升至 2025 年的 10.5 万亿美元。【阅读原文

2. 逻辑漏洞挖掘之 XSS 漏洞原理分析及实战演练

本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施,逐步提升大家的安全意识。作为开篇第一章,本文选取了广为熟知的 XSS 逻辑漏洞进行介绍。【阅读原文

3. 渗透测试中的前端调试(一)

前端调试是安全测试的重要组成部分。它能够帮助我们掌握网页的运行原理,包括js脚本的逻辑、加解密的方法、网络请求的参数等。利用这些信息,我们就可以更准确地发现网站的漏洞,制定出有效的攻击策略。前端知识对于安全来说,不但可以提高测试效率,还可以拓宽测试思路。【阅读原文

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。


文章来源: https://www.freebuf.com/news/379765.html
如有侵权请联系:admin#unsafe.sh