一、威胁通告
1.JumpServer文件读取与文件上传漏洞(CVE-2024-40628/CVE-2024-40629)通告
【标签】CVE-2024-40628,CVE-2024-40629
【发布时间】2024-07-19 17:00:00 GMT
【概述】
近日,绿盟科技CERT监测到JumpServer发布安全公告,修复了JumpServer中的文件读取与文件上传漏洞(CVE-2024-40628/CVE-2024-40629)。由于JumpServer中的Ansible模块权限配置不当,具有低权限账户的攻击者可利用ansible playbook读取celery容器中的任意文件,从而导致敏感信息泄露。攻击者可以利用Ansible脚本编写任意文件,在Celery容器中实现任意代码执行;由于Celery容器以root身份运行并具有数据库访问权限,攻击者可以窃取主机的所有信息、创建具有管理员权限的JumpServer帐户或操纵数据库。目前漏洞PoC均已公开,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.Oracle全系产品2024年7月关键补丁更新通告
【标签】CVE-2024-21181,CVE-2024-21182,CVE-2024-21175
【发布时间】2024-07-17 18:00:00 GMT
【概述】
2024年7月17日,绿盟科技CERT监测到Oracle官方发布了7月重要补丁更新公告CPU(Critical Patch Update),此次共修复了397个不同程度的漏洞,本次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Java SE、Oracle Fusion Middleware、Oracle Financial Services Applications、Oracle Communications Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.建设全流程漏洞闭环管理机制,筑牢关基安全屏障
【标签】漏洞
【概述】
当前,网络空间面临的威胁日益严峻,有组织、有目的的网络攻击事件频发,对国家安全以及数字经济稳定构成了重大挑战。漏洞作为网络攻击者入侵系统的主要突破口,已成为影响国家安全和数字经济安全的重要因素。数量不断攀升的各类漏洞不仅威胁着网络系统的正常运行和数据安全,更有可能对国家安全、社会稳定和经济发展产生深远影响。
【参考链接】
https://ti.nsfocus.com/security-news/IlOBy
2.Linksys路由器以明文形式传输密码
【标签】Linksys
【概述】
Linksys的两款路由器被发现以明文形式向Amazon (AWS)服务器传输Wi-Fi登录信息,这意味着中间人容易拦截到密码等敏感信息。涉及的产品型号为Linksys Velop Pro 6E和Velop Pro 7 Mesh路由器。比利时消协Testaankoop在调查时发现路由器以明文形式向AWS服务器传输了SSID名称和密码,网络标识令牌,以及用户会话的访问令牌。明文传输为中间人攻击敞开了大门。Linksys 在去年 11 月就收到了警告,而 Linksys 也释出了新固件,但问题看起来并没有解决。Testaankoop怀疑安全问题与Linksys固件使用的第三方软件有关,它认为这并不能成为不安全的借口。Linksys为Belkin旗下品牌,2018年被鸿海旗下公司收购。
【参考链接】
https://ti.nsfocus.com/security-news/IlOAc
3.中央网信办:以网络法治高质量发展服务保障网络强国建设
【标签】网络法治
【概述】
法治兴则国兴,法治强则国强。网络法治是信息革命发展的时代需求,是网络强国建设的重要保障。2024年是习近平总书记提出网络强国战略目标10周年,是我国全功能接入国际互联网30周年,也是我国网络法治建设起步30周年。30年来,我国互联网走过了波澜壮阔的发展历程。特别是党的十八大以来,在以习近平同志为核心的党中央坚强领导下,我国将依法治网作为全面依法治国和网络强国建设的重要内容,深入推进网络空间法治化,有力推动网络法治高质量发展,走出了一条中国特色依法治网之路,为网络强国建设提供了坚强有力服务保障。
【参考链接】
https://ti.nsfocus.com/security-news/IlOAE
4.《互联网信息服务算法推荐合规自律公约》发布
【标签】算法推荐
【概述】
7月11日,《互联网信息服务算法推荐合规自律公约》(以下简称《公约》)发布仪式在2024(第二十三届)中国互联网大会闭幕式上举行。工业和信息化部信息通信管理局服务监督处相关负责人、中国互联网协会副秘书长裴玮、中国信息通信研究院技术与标准研究所所长张海懿与公约签署单位代表一同发布了《公约》。
【参考链接】
https://ti.nsfocus.com/security-news/IlOzQ
5.APKDeepLens APK/APP漏洞扫描器
【标签】APKDeepLens
【概述】
APKDeepLens是一款基于Python的工具,用于扫描Android应用程序(APK文件)中的安全漏洞。它专门针对OWASP Top 10安卓漏洞,为开发人员、渗透测试人员和安全研究人员提供了一种简单有效的方法来评估Android应用程序的安全状况。
【参考链接】
https://ti.nsfocus.com/security-news/IlOBC
6.新的Blast-RADIUS攻击可绕过广泛使用的RADIUS身份验证
【标签】Blast-RADIUS
【概述】
Blast-RADIUS是广泛使用的RADIUS/UDP协议中的一种身份验证绕过方法,它使威胁分子能够通过中间人MD5碰撞攻击侵入网络和设备。企业和电信网络上的许多联网设备(包括交换机、路由器和其他路由基础设施)都使用身份验证和授权RADIUS(远程身份验证拨入用户服务)协议,有时单个网络上有数万台设备。
【参考链接】
https://ti.nsfocus.com/security-news/IlOAg
7.新加坡要求银行在三个月内淘汰一次性密码
【标签】银行
【概述】
新加坡金融管理局要求主要零售银行在三个月内淘汰一次性密码。此举旨在保护消费者免遭钓鱼攻击和其它欺骗活动。金融管理局指出,一次性密码是在本世纪初引入的,随着科技发展和更复杂社会工程策略的出现,一次性密码已经无法保护客户。如果一次性密码是基于短信,那么攻击者能利用SIM swapping攻击去拦截短信。新加坡银行客户将用数字令牌替代一次性密码。新加坡银行协会称,该国三大银行星展银行、华侨银行和大华银行的六成至九成客户已激活数字令牌。
【参考链接】
https://ti.nsfocus.com/security-news/IlOAG
8.漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
【标签】MS08-067
【概述】
下面是本人准备从零学习漏洞挖掘(Fuzzing入门)的部分技术路线,作为初学者分享与大家学习,也欢迎大家留言补充和讨论,共勉。MS08-067漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。
【参考链接】
https://ti.nsfocus.com/security-news/IlOAe
9.Cloudflare报告6.8%的互联网流量是恶意的
【标签】互联网流量
【概述】
CDN和安全服务商Cloudflare发表了2024年度的《State of Application Security Report》报告,称6.8%的互联网流量是恶意的,比去年上升了1个百分点。Cloudflare认为恶意流量的上升与战争和选举有关。多数攻击者是来自俄罗斯的组织如REvil、KillNet和Anonymous Sudan。
【参考链接】
https://ti.nsfocus.com/security-news/IlOBw
10.仅需22分钟,刚公开的漏洞PoC就被黑客利用
【标签】PoC
【概述】
根据Cloudflare发布的2024年应用安全报告,攻击者正越发快速地利用被公开的漏洞,甚至仅在公开后22分钟就将可用的概念验证(PoC)漏洞武器化。报告涵盖了2023年5月至2024年3月期间的活动,并突出强调了新出现的威胁趋势。期间针对性最强的漏洞是Apache产品中的CVE-2023-50164和CVE-2022-33891、Coldfusion中的CVE-2023-29298、CVE-2023-38203和CVE-2023-26360,以及MobileIron中的CVE-2023-35082。
【参考链接】