一、威胁通告
- PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)通告
【标签】CVE-2024-4577
【发布时间】2024-06-11 17:00:00 GMT
【概述】
近日,绿盟科技CERT监测到网上披露了PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577),由于PHP 在设计时忽略了Windows系统对字符转换的Best-Fit 特性,用CGI模式运行PHP在Windows平台,且使用了如下语系(简体中文936/繁体中文950/日文932等)时受漏洞影响,未经身份验证的攻击者可构造恶意请求绕过CVE-2012-1823补丁的保护,通过参数注入远程执行任意代码。目前漏洞PoC已公开,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.大选开始之际,欧盟各政党遭受DDoS攻击
【标签】DDoS
【概述】
近日,欧洲议会选举在荷兰正式启动,未来几天将陆续在欧盟其它国家举行,这一时期成为了网络攻击事件的”高发期“。Cloudflare在一份报告中指出,大量威胁攻击者正在针对欧洲各国的政党,发动大规模DDos攻击。Cloudflare表示,其内部网络安全人员已经缓解了对荷兰多个选举相关网站以及多个政党的至少三次分布式拒绝服务(DDoS)攻击浪潮。Cloudflare还分享了6月5日和6日发生的两次DDoS攻击的信息。由下图可以看出,第一次DDoS攻击的峰值为每小时1.15亿次请求,一个站点在四个小时内每秒收到高达73000次请求。
【参考链接】
https://ti.nsfocus.com/security-news/IlOqt
2.勒索软件团伙通过PuTTy、WinSCP恶意广告锁定Windows管理员
【标签】PuTTy
【概述】
WinSCP和Putty是流行的Windows实用程序,其中WinSCP是SFTP客户端和FTP客户端,而Putty是SSH客户端。系统管理员通常在Windows网络上拥有更高的权限,这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件的威胁分子的首要目标。勒索软件操作通过投放Google广告来推广Putty和WinSCP的虚假下载网站,从而将目标锁定在Windows系统管理员身上。最近的一份报告称,搜索引擎活动在搜索“下载WinSCP”或“下载Putty”时会显示假冒Putty和WinSCP网站的广告。目前尚不清楚该活动是在Google还是Bing上进行。
【参考链接】
https://ti.nsfocus.com/security-news/IlOpY
3.Ticketmaster 5.6亿用户信息泄露案结果出炉,Snowflake或是泄密源头
【标签】Snowflake
【概述】
安全研究人员表示,在云存储公司Snowflake数据泄露事件中,Ticketmaster和其他多家机构的大量信息被盗。日前,一个臭名昭著的黑客组织声称窃取了5.6亿用户的信息,并索价50万美元。Ticketmaster母公司Live Nation Entertainment在提交给美国证券交易委员会的一份文件中,证实有人未经授权访问了「第三方云数据库环境」,其中包含了在线票务销售平台的数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlOq2
4.《纽约时报》泄露270G数据,包含内部源代码
【标签】数据泄露
【概述】
据BleepingComputer消息,属于《纽约时报》的内部源代码和其他数据于6月6日被一匿名用户泄露至4chan论坛,文档大小为270GB。这名匿名用户发帖称,”大约有5000个存储库(我认为其中不到30个是额外加密的),总共360万个文件,未压缩的tar。“虽然BleepingComputer没有下载存档,但匿名者共享的文本文件包含了从该公司的GitHub存储库中窃取的6223个文件夹的完整列表。文件夹名称显示,被盗信息种类繁多,包括IT文档、基础架构工具和源代码,据称还包括病毒Wordle游戏。
【参考链接】
https://ti.nsfocus.com/security-news/IlOqu
5.Fluent Bit严重缺陷影响众多主要云提供商
【标签】Fluent Bit
【概述】
Fluent Bit是一种流行的日志记录和指标解决方案,适用于Windows、Linux和macOS,嵌入在主要Kubernetes发行版中,包括来自Amazon AWS、Google GCP和Microsoft Azure的发行版。截至2024年3月,Fluent Bit的下载和部署次数超过130亿次,比2022年10月报道的30亿次下载量大幅增加。
【参考链接】
https://ti.nsfocus.com/security-news/IlOqD
6.对Log4j活动及其XMRig恶意软件的发现
【标签】CVE-2021-44228
【概述】
2021年12月,Apache Log4j2中曝光了一个严重的远程代码执行(RCE)漏洞(CVE-2021-44228),该漏洞很快就在实际网络环境中被不法分子积极利用。Uptycs迅速响应,提供了针对此Log4j漏洞的深入检测分析报告,并展示了如何通过Uptycs XDR进行有效的漏洞检测。我们的检测手段包括行为威胁检测以及使用YARA进程内存和文件扫描组件来精准识别相关恶意活动。
【参考链接】
https://ti.nsfocus.com/security-news/IlOqb
7.GitHub Actions不当操作导致的隐私泄露
【标签】GitHub
【概述】
GitHub Actions是GitHub内置的CI/CD解决方案。它允许用户在每次推送时部署他们仓库的代码,或者在新的GitHub问题上自动响应。操作工作流被定义为放置在.github/workflows中的YAML文件。工作流(即Workflows)由作业(即jobs)组成,这些作业异步运行并且在单独的托管机器中运行,与此同时作业也被分解为步骤(steps)。
【参考链接】
https://ti.nsfocus.com/security-news/IlOqy
8.谷歌发文解释为什么要在Chrome中内置本地AI模型:为开发者提供设备端应用
【标签】谷歌
【概述】
谷歌目前已经尝试在Chrome浏览器中内置AI模型,该模型需要下载到本地后使用,模型版本为Google Gemini Nano版。这个模型并不是面向普通用户提供的,主要是给开发者使用,让开发者可以在网站或PWA应用里调用本地AI模型执行运算,而不需要调用某些云端模型。最重要的是经过谷歌的优化,Gemini Nano版可以在本地使用硬件加速功能,无论是GPU、NPU甚至是CPU都可以用来运算。
【参考链接】
https://ti.nsfocus.com/security-news/IlOqa
9.云存储提供商Snowflake数据泄露,165家组织受影响
【标签】数据泄露
【概述】
近日,据谷歌Mandiant发布的一份报告称,云存储提供商Snowflake的客户数据泄露事件迄今已造成约165家机构受到影响。最初的说法是Snowflake的漏洞与云提供商自身的环境有关,Mandiant调查证实了这一说法,即漏洞来自被泄露的客户凭据,其中许多凭据没有启用多因素身份验证。在这一数据泄露事件中,受攻击的知名企业包括Ticketmaster、Advance Auto Parts、Santander等。
【参考链接】
https://ti.nsfocus.com/security-news/IlOqw
10.Argus:针对GitHub Actions工作流的安全分析与增强工具
【标签】Argus
【概述】
Argus是一款针对针对GitHub Actions工作流的安全分析与安全增强工具,旨在帮助广大研究人员检测并增强CI/CD工作流的安全性。该工具使用了非常复杂的安全分析技术,并利用了污点追踪技术和影响分类器以检测GitHub Actions工作流中的潜在安全问题。Argus其实是Audit Record Generation and Utilization System(审计记录生成与使用系统)的缩写,能对网络流量与数据进行高效、深入的分析。Argus可以筛选大量流量并快速全面的生成报告。不论是单一使用还是与其他工具共同使用,这个工具都可以提供坚实的协助。
【参考链接】
https://ti.nsfocus.com/security-news/IlOq8
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。