绿盟科技威胁周报(2024.07.22-2024.07.28)

一、威胁通告

1.Nacos远程命令执行漏洞通告

【标签】CVE-2021-29442

【发布时间】2024-07-22 18:00:00 GMT

【概述】

近日,绿盟科技CERT监测到网上披露了Nacos远程命令执行漏洞,此漏洞为CVE-2021-29442的新利用方式,目前官方已发布新版本及相关问题公告,由于/nacos/v1/cs/ops/derby和/nacos/v1/cs/ops/data/removal接口未进行鉴权,当默认单机部署Nacos使用Derby数据库作为内置数据源时,未经身份验证的攻击者可通过加载恶意JAR包执行SQL语句实现任意命令执行,目前漏洞细节与Poc已公开,请相关用户尽快采取措施进行防护。 Nacos是一个构建云原生应用的动态服务发现、配置管理和服务管理平台,它提供了一组简单易用的特性集,更敏捷和容易地构建、交付和管理微服务平台。

【参考链接】

    https://nti.nsfocus.com/threatNotice

 

二、热点资讯

1.安全验证导向的漏洞管理方案分析

【标签】漏洞管理

【概述】

为了衡量漏洞管理的成效,漏洞管理产品需要具备一种机制,能够实时验证被防护系统的安全状态,管控过程的进展,并将此进展与漏洞管理活动进行反馈、互动和闭环。安全验证导向的漏洞管理关键在于提出可量化、可呈现的管理效能指标体系,以及基于此指标的采集验证流程、评价分析模型和处置驱动机制等,使得漏洞管理能够按偏离负反馈方式持续导向系统自动化运行和人员运营,并最终达到用户事先定义的漏洞管理基线水平。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOCG

 

2.注意!针对VMware ESXi虚拟机的新型勒索软件“横空出世”

【标签】Play

【概述】

近日,网络安全公司趋势科技的分析师发现了Play勒索软件的最新Linux版本变种,专门用于加密VMware ESXi虚拟机。研究人员称这是首次观察到Play勒索软件以ESXi环境为攻击目标。这表明,该勒索组织可能正在扩大其在Linux平台上的攻击范围,从而扩大受害者总数,使得他们的赎金谈判更加成功。由于ESXi虚拟机的资源处理效率更高,在企业转而使用ESXi虚拟机进行数据存储和托管关键应用程序后,大多数勒索软件组织都将重点转向了ESXi虚拟机。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOCA

 

3.微软推迟Microsoft Edge浏览器的SSE3指令集要求,延迟到128版开始阻止运行

【标签】SSE3

【概述】

微软这段时间正在调整操作系统和软件的SSE指令集要求,指令集主要是通过CPU处理器支持的,一些老旧的CPU将不支持后续推出的新SSE指令集。其中SSE3指令集还是在2005年推出的,也就是说2005年发布的CPU都支持该指令集,而2005年之前的上古CPU缺乏SSE3指令集支持因此不能再运行微软的某些系统和软件。Microsoft Edge浏览器团队原计划是从6月中旬发布的v126.0版开始放弃上古CPU的支持,现在微软将其延迟到v128.0版。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOCx

 

4.生成式人工智能技术风险审视与治理

【标签】人工智能

【概述】

数字时代,数字技术的治理呈现出“发展—治理”之间的普遍性矛盾,当数字技术在应用层面驶入“快车道”,在治理层面也将面临两难的境遇。正因如此,如何把握二者平衡成为数字技术治理的“时代之问”。科林格里奇曾对技术治理的两难境遇进行了辩证阐释:过早控制会抑制技术的爆发,过晚控制会导致技术的失控。生成式人工智能(AIGC)作为数字技术创新最活跃的领域之一,治理的“两难”境地尤为明显且复杂。就根源而言,在于生成式人工智能的高度“自律”,这种“自律”并非生成式人工智能固有,而是数字技术在演化过程中派生了“自律”特征。随着现代科学技术的不断进步,以生成式人工智能为代表的新一代人工智能技术呈现出鲜明的“利维坦”属性,在一定程度上加剧了“社会的技术权力失控对技术本质的反叛与掠夺”,正在逐渐脱离人类的认知和掌控。这种自主的、有目的的演化趋势在现代科技环境下更彰显出“自律”的主要特征。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOCa

 

5.Telegram零日漏洞被售卖数周:恶意APK文件可伪装成视频消息

【标签】EvilVideo

【概述】

一个名为“EvilVideo”的Telegram安卓版零日漏洞,允许攻击者将恶意的安卓APK有效负载伪装成视频文件发送。6月6日,威胁行为者“Ancryno”在XSS俄语黑客论坛上发帖,首次销售Telegram零日漏洞利用工具,称此漏洞存在于Telegram v10.14.4及更早版本中。欧洲安全厂商ESET的研究人员在一个公共Telegram频道上,分享概念验证(PoC)演示后发现了该漏洞,藉此获取了恶意有效负载。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOCu

 

6.黑客论坛Breach Forums遭数据泄露,超20万会员信息曝光

【标签】数据泄露

【概述】

Breach Forums是一个主要由网络犯罪分子和黑客使用的在线平台和社区,该平台用于交易和出售被盗数据、黑客工具及其他非法商品和服务,并提供相关讨论区。该论坛的前身是RaidForums,但在2022年被FBI查封后,一名为Pompompurin的黑客为填补市场空缺推出了BreachForums(又称Breached)。

【参考链接】

    https://ti.nsfocus.com/security-news/IlODe

 

7.巴黎奥运会开幕在即,面临网络安全挑战

【标签】奥运

【概述】

奥运会开幕在即,但法国巴黎似乎未做好充分准备迎接这一体育盛事,这座城市仍然面临着不少挑战。除了传统安全威胁外,另一大挑战则是网络安全。“奥运会高度依赖信息系统,因此面临前所未有的威胁。”《巴黎人报》称。法国政府旗下的“网络恶意网”报道称,专家预测,奥运期间以金融为目的的网络犯罪活动或将激增,针对企业的网络安全威胁可能会出现前所未有的增长。巴黎奥运会首席技术官布鲁诺·罗斯表示,整个奥运期间可被记录的网络攻击企图将增加8至10倍,总计超过40亿次,远超2021年东京奥运会期间的4.5亿次攻击。

【参考链接】

    https://ti.nsfocus.com/security-news/IlODc

 

8.SANS研究所:企业在实施零信任时常犯6种错误

【标签】SANS

【概述】

随着网络威胁态势的不断演变,许多企业组织开始采用零信任架构来保护数字化发展的安全。然而,SANS研究所最新发布的《2024年零信任安全应用建设指南》报告认为,要真正实现零信任安全的价值并不容易,当组织在整个数字环境中实施端到端的零信任原则时,经常会出现以下错误:零信任理念的核心思想是“永不信任,持续验证”,这让许多组织的IT团队产生误解,实现零信任将是一项艰巨的任务,不仅需要花费数十万美元的投入,还会对当前业务叶童的高效运行造成干扰甚至破坏。因此,很多组织尽管明白零信任的重要性和价值,但在实施零信任时顾虑重重。报告认为,企业首先需要全面、真实理解零信任架构是什么样子,在积极推进零信任项目的落地实施。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOC3

 

9.日本NISC启动24小时监控网络脆弱性业务

【标签】NISC

【概述】

日本内阁网络安全中心(NISC)19日发布消息称,为加强应对网络攻击的安全性,启动24小时监控政府机关的服务器和网络设备脆弱性的业务。对象是所有府省厅、独立行政法人和指定法人。将使用专用系统探测弱点并迅速通知对象机关,督促采取对策。在22日以后逐步导入。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOCt

 

10.Dev无视CVE严重性,将其GitHub存储库设为只读

【标签】GitHub

【概述】

流行的开源项目“ip”的GitHub存储库最近被其开发人员存档或设为“只读”,由于Fedor Indutny的项目收到了CVE报告,因此网上有人开始向他报告这个漏洞。不幸的是,Indutny的案例并非孤例。近年来,开源开发者收到的有争议的CVE报告数量不断增加,有些甚至是未经确认的伪造CVE报告。这可能会导致这些项目的用户产生不必要的恐慌,并且安全扫描程序会生成警报,而所有这些都会成为开发人员的头痛之源。

【参考链接】

    https://ti.nsfocus.com/security-news/IlOCr

Spread the word. Share this post!

Meet The Author