一、威胁通告
1.GitLab身份验证绕过漏洞(CVE-2024-6385)通告
【标签】CVE-2024-6385
【发布时间】2024-07-12 14:00:00 GMT
【概述】
近日,绿盟科技CERT监测到GitLab发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的身份验证绕过漏洞(CVE-2024-6385),由于对CVE-2024-5655的修复不完全,如果目标分支已被删除,当目标Gitlab仓库合并攻击者可控的Merge Request时,可以用其它用户的身份运行Pipeline,造成信息泄露或执行任意代码。CVSS评分为9.6,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.微软7月安全更新多个产品高危漏洞通告
【标签】CVE-2024-38080,CVE-2024-38112
【发布时间】2024-07-10 18:00:00 GMT
【概述】
7月10日,绿盟科技CERT监测到微软发布7月安全更新补丁,修复了139个安全问题,涉及Windows、Microsoft SQL Server、Microsoft Office、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
【参考链接】
https://nti.nsfocus.com/threatNotice
二、热点资讯
1.Ticketmaster票务平台遭黑客攻击,霉霉演唱会门票信息被泄露
【标签】数据泄露
【概述】
昨日,Ticketmaster发布最新声明表示,黑客泄露了166,000张泰勒·斯威夫特时代巡回演唱会门票的Ticketmaster条形码数据,并警告说,如果不支付200万美元的勒索要求,将会泄露更多活动的信息。自5月起,一个名叫ShinyHunters的威胁分子开始以500,000美元的价格出售5.6亿Ticketmaster客户的数据。Ticketmaster后来证实了数据泄露事件,并承认数据来自他们在Snowflake上的账户。据悉,Snowflake是一家基于云的数据仓库公司,企业使用该公司来存储数据库、处理数据和执行分析。
【参考链接】
https://ti.nsfocus.com/security-news/IlOyF
2.GeoServer property RCE注入内存马
【标签】GeoServer
【概述】
GeoServer是OpenGIS Web服务器规范的J2EE实现,利用GeoServer可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户可以通过构造恶意OGC请求,在默认安装的服务器中执行XPath表达式,进而利用执行Apache Commons Jxpath提供的功能执行任意代码。
【参考链接】
https://ti.nsfocus.com/security-news/IlOxU
3.2024年第二季度邮件安全观察:二维码钓鱼邮件攻击仍在持续
【标签】钓鱼邮件
【概述】
根据ASRC (Asia Spam-message Research Center) 研究中心与守内安公司的监测观察,2024年第二季度,网络攻击的分工越来越细致,从攻击趋势分析结果看,可明显分为初始入侵和后续的横向移动或深入攻击两大阶段,而初始入侵主要通过漏洞利用或泄露凭证两大手段进行。其中,泄露凭证的重要获取途径之一就是钓鱼邮件。而本季度,需要特别警惕的就是钓鱼邮件。年中时,许多单位会集中进行社交工程演练,导致信息安全或IT部门的负担加重,因此应特别留意防护。此外,上一季度主流的二维码钓鱼邮件攻击在本季度仍在持续,未来大概率将演变成常态化的攻击方式。
【参考链接】
https://ti.nsfocus.com/security-news/IlOyD
4.数据跨境流动规制的域外立法与实践
【标签】数据跨境流动
【概述】
世界贸易组织框架下的制度安排促进了数据跨境流动。在数据安全和跨境流动、数据存储本地化、个人隐私保护等关键议题上,不同国家和地区有不同的主张。目前,尚未形成统一的数据跨境流动国际治理框架。积极审视不同国家和地区数据跨境流动规制的具体立法和实践,对构建开放、安全的国际数字贸易规则具有重要意义。
【参考链接】
https://ti.nsfocus.com/security-news/IlOxY
5.网络攻防对抗下的漏洞治理探索与实践
【标签】漏洞治理
【概述】
当前,网络空间安全已经成为国家安全的重要组成部分。筑牢国家网络安全屏障,切实维护网络空间安全,是关系我国发展全局的重大战略任务。根据中国网络空间安全协会发布的《2023年网络安全态势研判分析年度综合报告》,2023年针对我国的高级持续性威胁(APT)攻击超过1200起。漏洞作为网络攻防对抗的核心,是网络空间安全重要战略资源。因此,探索攻防对抗下漏洞治理的新模式,加强漏洞的有效治理意义重大、势在必行。
【参考链接】
https://ti.nsfocus.com/security-news/IlOz5
6.Ghostscript新漏洞潜在可能影响大量用户
【标签】Ghostscript
【概述】
Ghostscript是Postscript和Adobe PDF解释器,允许Unix、Windows、MacOS、嵌入式操作系统和平台的用户查看、打印,以及转换PDF和图像文件。它被很多发行版默认安装,被很多软件包间接用于支持打印或转换操作。Ghostscript团队在今年3月收到了编号为CVE-2024-29510的漏洞报告,4月释出了补丁缓解了该漏洞的影响。该漏洞的危险等级评分是5.5/10,也就是中等程度。但随着对该漏洞的远程代码执行POC的发布,安全社区认为其危险等级被严重低估。Ghostscript在Web上被广泛使用,被云存储和聊天程序用于图像预览和渲染。
【参考链接】
https://ti.nsfocus.com/security-news/IlOym
7.MOVEit Transfer中的严重漏洞可使黑客获得文件访问权限
【标签】MOVEit Transfer
【概述】
MOVEit Transfer是一个广泛使用的托管文件传输软件,安全研究人员最近发现了一个严重的安全漏洞,标识为CVE-2024-5806。该漏洞存在于身份验证过程中未正确验证用户输入,导致攻击者能够发送特制请求并绕过身份验证,进而获取管理访问权限。受影响的软件版本包括MOVEit Transfer2023.0.0至2023.0.10、2023.1.0至2023.1.5和2024.0.0至2024.0.1。
【参考链接】
https://ti.nsfocus.com/security-news/IlOzp
8.苹果迫于政府压力从俄罗斯应用商店下架VPN应用
【标签】VPN
【概述】
据俄罗斯新闻媒体报道,应俄罗斯国家通信监管机构Roskomnadzor的要求,苹果公司于2024年7月4日从其App Store中移除了俄罗斯的一些虚拟专用网络(VPN)应用程序。据MediaZona报道,这包括25家VPN服务提供商的移动应用程序,包括ProtonVPN、Red Shield VPN、NordVPN和Le VPN。值得注意的是,NordVPN此前已于2019年3月关闭了其所有俄罗斯服务器。
【参考链接】
https://ti.nsfocus.com/security-news/IlOyL
9.新型APT组织CloudSorcerer瞄准俄罗斯政府
【标签】CloudSorcerer
【概述】
卡巴斯基于2024年5月发现了这一活动,攻击者采用的技术与CloudWizard相似,但指出了恶意软件源代码的不同之处,称这是一种复杂的网络间谍工具,通过Microsoft Graph、Yandex Cloud和Dropbox云基础设施进行隐形监控、数据收集和泄露。该恶意软件利用云资源作为其命令和控制(C2)服务器,通过使用身份验证令牌的API访问这些资源。 此外,CloudSorcerer还使用GitHub作为其初始C2服务器。目前尚不清楚用于渗透目标的确切方法,但初始访问被用来投放基于C语言的便携式可执行程序二进制文件,该二进制文件可用作后门、启动C2通信,或根据其执行的进程向其他合法进程注入shellcode。
【参考链接】
https://ti.nsfocus.com/security-news/IlOyG
10.年度SaaS安全报告:2025年CISO计划和优先事项
【标签】SaaS
【概述】
根据云安全联盟(CSA)本月发布的最新调查数据显示,超过七成(70%)的企业已经设立了专门团队,用以加强其SaaS应用的安全保护。企业加大对SaaS安全的投入,这是网络安全领域在不断发展中呈现出的成熟态势之一。尽管在2023年出现了经济动荡和大规模裁员,但各组织仍然大幅增加了对SaaS安全的投入。事实上,调查发现,企业在2023年增加了SaaS安全的人员配备,增长了56%,同时预算也增加了39%。
【参考链接】