1、思科发布针对工业无线系统中严重URWB漏洞补丁 https://thehackernews.com/2024/11/cisco-releases-patch-for-critical-urwb.html 思科发布了安全更新，以解决影响超可靠无线回程 ( URWB ) 接入点的最严重安全漏洞，该漏洞可能允许未经身份验证的远程攻击者以提升的权限运行命令。该漏洞编号为CVE-2024-20418 （CVS 评分：10.0），被描述为源于思科统一工业无线软件基于 Web 的管理界面缺乏输入验证。 2、恶意PyPI包“Fabrice”窃取数千名开发人员的 AWS 密钥 https://thehackernews.com/2024/11/malicious-pypi-package-fabrice-found.html 网络安全研究人员在 Python 包索引 (PyPI) 上发现了一个恶意包，该包在三年多的时间里已经获得了数千次下载，同时还秘密窃取了开发人员的 Amazon Web Services (AWS) 凭证。有问题的包是“ fabrice ”，它误植了一个名为“ fabric ”的流行 Python 库，该库旨在通过 SSH 远程执行 shell 命令。虽然合法软件包的下载量已超过 2.02 亿次，但迄今为止，其恶意软件包的下载次数已超过 37, 3、出于安全考虑，加拿大命令 TikTok 关闭加拿大业务 https://thehackernews.com/2024/11/canada-orders-tiktok-to-shut-down.html 加拿大政府周三以国家安全风险为由，下令字节跳动旗下的 TikTok 解散其在该国的业务，但并未对这个流行的视频共享平台实施禁令。 4、思科披露了多个影响其身份服务引擎 (ISE) 软件的漏洞 https://cybersecuritynews.com/cisco-identity-services-engine-flaw-2/ 这些漏洞可能允许经过身份验证的远程攻击者绕过授权机制或进行跨站点脚本(XSS) 攻击。此通报于 2024 年 11 月 6 日发布，强调了与这些漏洞相关的风险，并提供了可用修复程序的详细信息。 5、黑客可以随意访问EA公司7亿用户账号 https://www.freebuf.com/news/414675.html 据Cyber News消息，游戏开发人员兼白帽 Sean Kahler 发现了一个影响 Electronic Arts （EA） 帐户系统的漏洞，可以在未经授权的情况下访问任何EA用户帐户（目前EA用户有大约7亿），包括游戏统计数据。 6、国际刑警组织摧毁了22000个 IP 地址上的网络犯罪活动 https://www.bleepingcomputer.com/news/security/interpol-disrupts-cybercrime-activity-on-22-000-ip-addresses-arrests-41/ 国际刑警组织宣布，在一项名为 Operation Synergia II 的国际执法行动中逮捕了 41 名犯罪嫌疑人，并摧毁了在 22000 个 IP 地址上运行的 1,037 台服务器和基础设施，这些服务器和基础设施为网络犯罪提供了便利。 7、Pwn2Own 上白帽黑客连续第四次突破百万美元奖金大关 https://app.myzaker.com/news/article.php?pk=672aeab2b15ec0073a6a7dff Pwn2Own Ireland 2024 第四天黑客竞赛结束， 本届 Pwn2Own 是白帽黑客连续第四次突破百万美元奖金大关，总共赢得了 1066625 美元。 8、德国计划将白帽黑客行为合法化 https://cybernews.com/security/germany-plans-to-decriminalize-whitehat-hacking/ 德国政府已提出立法草案，将旨在寻找安全漏洞的道德黑客行为排除在刑事起诉之外。 9、施耐德电气遭遇网络攻击，黑客竟索要 40 万根法棍 https://www.ithome.com/0/808/179.htm 黑客组织 Greppy 在社交媒体上发布了挑衅性的言论，并晒出了一小部分窃取的数据。随后，黑客在暗网上进一步详细说明了勒索要求，要求施耐德电气支付 12.5 万美元的赎金，但形式非常特殊 ——40 万根法式长棍面包。 10、OWASP发布深度伪造事件响应指南 https://www.darkreading.com/application-security/owasp-releases-ai-security-guidance 近日，全球应用安全项目组织（OWASP）发布了一系列专门应对AI威胁的指南，为企业提供深度伪造事件的响应框架，并设立AI安全卓越中心和AI安全解决方案数据库。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型SteelFox木马伪装成软件激活器实现窃密和挖矿 https://securelist.com/steelfox-trojan-drops-stealer-and-miner/114414/ 2024年8月，安全研究团队在调查中发现了一种由矿工和窃密恶意软件组成的未知捆绑包引起的大量感染，并且将其命名为“SteelFox”。SteelFox主要传播途径时论坛帖子、torrent追踪器、博客和模仿流行的软件如Foxit PDF Editor和AutoCAD。安全研究人员发现，SteelFox使用窃密恶意软件提取受害者的信用卡数据和受感染设备的详细信息，随后利用受感染设备的计算资源进行加密货币挖矿，通过易受攻击的驱动程序提升权限，以便更深入地控 2、攻击者利用DocuSign API发送大量的钓鱼发票 https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/ DocuSign API是DocuSign(一家领先的电子签名和数字交易管理平台)提供的一个强大的工具，允许开发者和企业通过编程方式集成和自动化电子签名流程。但近期发现一些攻击者利用DocuSign API发送钓鱼邮件，据安全研究员最新发现，攻击者利用DocuSign API发送钓鱼发票，成功绕过垃圾邮件过滤器。通过利用DocuSign的合法服务，攻击者能够避开电子邮件安全措施，诱使收件人提供敏感信 3、研究员披露IBM Security Verify Access中的36个漏洞 https://www.securityweek.com/researcher-discloses-32-vulnerabilities-found-in-ibm-security-verify-access/ 安全研究员披露了IBM Security Verify Access(ISVA)中存在的36个漏洞，这些漏洞可能导致攻击者完全破坏基于该授权和网络安全策略管理解决方案的整个认证基础设施。攻击者若想利用这些问题，需要进行中间人(MiTM)攻击或获取使用IBM ISVA设备和Docker镜像的组织内部网络的访问权限。至少一半的安全缺陷，包括七个远程代码执行漏洞、一个认证绕过漏洞、八个权限 4、黑客声称出售从诺基亚供应商处盗取的源代码和密钥 https://www.theregister.com/2024/11/06/nokia_data_theft/ 知名数据盗窃者IntelBroker在暗网论坛Breachforums上声称，他们与另一名黑客EnergyWeaponUser合作，从诺基亚的一家第三方供应商处盗取了大量敏感资料，包括源代码、SSH密钥、RSA密钥、Bitbucket登录信息、SMTP账户详情和凭据等。这些被盗材料中包含了大量JavaScript、JSON和PHP文档，更有价值的信息则被保留给论坛上的认证买家。IntelBroker在帖子中表示，这些数据是从一家直接与诺基亚合作开发内部工具的第三方承包商那里获取的 5、谷歌云为所有用户推出强制 MFA https://www.securityweek.com/google-cloud-rolling-out-mandatory-mfa-for-all-users/ 谷歌云周二宣布，针对目前仅使用密码登录的所有用户推出强制多重身份验证 (MFA)。 6、VEILDrive 攻击利用微软服务逃避检测并分发恶意软件 https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html 据观察，一种名为VEILDrive 的持续威胁活动利用 Microsoft 的合法服务（包括 Teams、SharePoint、Quick Assist 和 OneDrive）作为其作案手法的一部分。 7、Chrome安全更新：修复多个高危漏洞 https://cybersecuritynews.com/chrome-security-update-vulnerabilities/ 在一项旨在增强用户安全的重要更新中，谷歌为其广泛使用的 Chrome 浏览器推出了紧急补丁，解决了多个高严重性漏洞。 8、Meta在韩国面临216亿韩元罚款，被指非法收集个人信息 https://www.ithome.com/0/807/977.htm 韩联社援引韩国个人信息保护委员会 11 月 5 日消息，委员会 4 日召开第 18 次全体会议，决定对违反韩国《个人信息保护法》的美国互联网公司 Meta 处以 216 亿多韩元的行政罚款。 9、ChatGPT-4o 可用于基于自主语音的诈骗 https://www.bleepingcomputer.com/news/security/chatgpt-4o-can-be-used-for-autonomous-voice-based-scams/ 研究人员表明，有可能滥用 OpenAI 的 ChatGPT-4o的实时语音 API 来进行成功率低到中等的金融诈骗。 10、国家安全部：境外间谍情报机关持续加大对我国数据领域渗透力度 https://finance.eastmoney.com/a/202411053228624769.html 国家安全部微信公众号发文指出，近年来，境外间谍情报机关持续加大对我国数据领域渗透力度，妄图窃取我核心数据，危害我国家安全。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

简述： oasys是一个OA办公自动化系统，使用Maven进行项目管理，基于springboot框架开发的项目，mysql底层数据库，前端采用freemarker模板引擎，Bootstrap作为前端UI框架，集成了jpa、mybatis等框架。 下载地址：https://github.com/misstt123/oasys 此项目部署极为简单，我使用的是phpstudy的5.7版本mysql，修改application.properties配置，在IDEA导入oasys.sql数据后，就可以直接运行 并访问后台地址：http://localhost:8088/logins 注意别端口冲突 CSRF： 登录后台，在用户面板处，修改便签功能存在csrf漏洞。 点击修改，抓包，点击生成CSRF的Poc： 将生成Poc的URL复制到浏览器，访问： 访问后，发现已经按照Poc上内容进行了修改： SQL注入： 代码分析： 在pom文件发现采用mybatis依赖： 全局搜索${ 找到outtype参数，定位到xml文件： 符合sql注入条件，于是开始找对应接口，参数，全局搜索allDirector字段： 定位到接口层，于是找接口实现类，发现无，于是全局搜索该接口名称，找哪里引用了此接口： 发现AddController层引用该接口，并通过mapper进行数据库操作，在该controller层搜索原接口方法，定位到具体代码块： 可以看到该参数没有经过任何过滤，于是根据代码块注释进行漏洞复现： 在后台找到通讯录，找到外部通讯录，点击添加联系人： 抓包找到对应数据包： 将localhost换成自己对应的IP，放入sqlmap验证成功： 其实从最初的xml文件来看，其它几个参数也存在sql注入。 存储XSS： 登录后台后，用户处点击修改信息，插入xss代码造成弹窗。 根据提交保存的接口全局搜索： 找到相关信息，根据代码分析，无任何过滤直接存储，造成xss漏洞： 此后台很多地方也均无过滤，可以直接插入xss代码执行。 任意文件读取漏洞： 在控制层UserpanelController处，如下代码存在逻辑错误导致任意文件读取： 可以看出此代码块是用来处理图像请求，并将数据返回到http响应的代码。 这段代码我初看并没看懂，于是对代码进行详细分析： 红框代码逻辑很简单，先传入的f.getPath()值，再通过FileInputStream进行文件读取并返回到http响应。 关键就是f.getPath()的值怎么来的？ 如上红框代码，f.getPath()的值来自于rootpath与path的拼接，而path的值则是，先通过request.getRequestURI()获取，再将/image替换为空得来。 但rootpath的值呢？ 于是我在该类搜索rootpath找到其定义代码： 发现以@Value注解定义rootpath的值，而@Value注解的作用就是从项目配置文件中获取信息，于是转到配置文件，搜索关键字：rootpath 继续回到controller代码，此时找到rootpath的值，也明白了读取文件的逻辑，于是尝试构造多个/image..路径读取我D盘upload下的文件： 如下图，读取成功：

1、研究人员发现一种仿真Linux环境的新型网络钓鱼攻击 https://hackread.com/hackers-crontrap-persistent-linux-system-backdoors/ 安全研究员发现了一种名为“CRON#TRAP”的新型网络钓鱼攻击，该攻击利用仿真Linux环境绕过安全措施并建立持久的后门。CRON#TRAP网络钓鱼是一个多阶段的攻击过程，攻击者首先会将包含恶意ZIP文件和快捷方式文件（如OneAmerica Survey.zip和OneAmerica Survey.lnk）的钓鱼邮件传播，接着部署仿真Linux环境然后伪造成浏览器进程掩盖活动，最后通过Chisel隧道工具以及使用QEMU和Chisel工具，建立 2、Android系统存在活跃利用的漏洞 https://securityaffairs.com/170581/uncategorized/cve-2024-43093-android-flaw-actively-exploited.html Google在其安全公告中指出，威胁行为者正在积极利用两个漏洞，分别为CVE-2024-43093和CVE-2024-43047，这两个漏洞在Android操作系统中被发现。其中CVE-2024-43093是Android Framework组件特权提升漏洞，该漏洞可导致未经授权访问“Android/data”、“Android/obb”和“Android/sandbox”目录及其子目录。CV 3、Synology NAS设备面临零点击攻击风险 https://www.helpnetsecurity.com/2024/11/04/cve-2024-10443/ 该设备厂商Synology 最近发布了针对一个未认证的“零点击”远程代码执行漏(CVE-2024-10443，代号RISK:STATION)的修复补丁，该漏洞会影响其流行的DiskStation和BeeStation网络附加存储(NAS)设备。尽管目前没有证据显示该漏洞在野外被利用，但研究人员称，CVE-2024-10443具有很高的被滥用潜力，当前的补丁可能很快被逆向分析，从而导致攻击者创建和部署新的exploit。他们建议用户手动验证系统是否已安装最新补丁，并在必要时手动 4、ABB智能建筑软件漏洞可能引发黑客攻击 https://www.govinfosecurity.com/abb-smart-building-software-flaws-invite-in-hackers-a-26722 电气工程公司ABB的智能建筑能源管理系统Cylon Aspect软件存在多个严重漏洞，其中一个容易被利用的漏洞CVE-2023-0636已存在两年，但仍未广泛修补。这些漏洞可能让黑客接管配置不当并允许互联网访问的系统。工业控制系统研究员强调的这些缺陷带有关键的CVSS分数的漏洞CVE-2023-0636和CVE-2024-6209影响了电气工程公司ABB制造的Cylon Aspect软件。其中，加州大学欧文分校 5、加拿大警方逮捕与Snowflake数据泄露案相关的嫌疑人 https://securityaffairs.com/170587/cyber-crime/canadian-authorities-arrested-snowflake-hacker.html 2024年10月30日，加拿大执法机构逮捕了Alexander “Connor” Moucka(又称Judische和Waifu)，他被指控与今年早些时候针对云数据仓库平台Snowflake的系列攻击有关。Moucka在美国的临时逮捕令下被拘留，具体指控尚未披露。据《彭博加拿大》报道，Moucka涉嫌对Snowflake的165家客户进行黑客攻击，包括AT&T、LendingTree、Neiman 6、 谷歌将为 Chrome 浏览器增强保护模式引入人工智能 https://www.ithome.com/0/807/819.htm 消息源 Leopeva64 于 11 月 3 日在 X 平台发文称，AI 现在已是“无处不在”，Chrome 浏览器安全浏览模式中的“增强保护”将由 AI 驱动，谷歌已在 Chrome Canary 版本中更新了该模式的描述。 7、微软向Windows 10用户提供一次性30美元的一年安全更新 https://tech.slashdot.org/story/24/10/31/2011223/want-to-keep-getting-windows-10-updates-itll-cost-you-30 Windows 10 即将于 2025 年 10 月 14 日终止支持，之后微软不再提供安全更新。 对于这些用户，微软将向他们提供一次性的为期一年的扩展安全更新，费用为 30 美元。 8、美商务部、能源部联合发布AI安全开发备忘录 https://www.secrss.com/articles/71988 10月30日，美国商务部公开了今年与能源部共同签署的一份备忘录，该备忘录表明，两部门正在合作开展高级人工智能模型和系统的安全研究、测试和评估。 9、Okta 验证代理Windows漏洞让攻击者窃取用户密码 https://cybersecuritynews.com/okta-verify-agent-windows-flaw/ 该漏洞是在例行渗透测试中发现的，影响了适用于 Windows 的 Okta Verify 代理的 5.0.2 至 5.3.2 版本。 10、MediaTek智能手机芯片组漏洞让攻击者能够提升权限 https://cybersecuritynews.com/mediatek-smartphone-chipsets-vulnerabilities/ 最近的安全公告披露了 MediaTek 智能手机芯片组中的高严重性漏洞，这些漏洞可能使攻击者能够提升权限并获得对受影响设备的未经授权的访问。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、针对FreeBSD服务器的新型勒索软件Interlock https://www.bleepingcomputer.com/news/security/meet-interlock-the-new-ransomware-targeting-freebsd-servers/ 近期，一种名为Interlock的新勒索软件行动在全球范围内攻击了多家组织，采取了罕见的方法，专门针对FreeBSD服务器创建了一个加密器。Interlock于2024年9月底启动，至今已攻击了六家组织，并在未支付赎金的情况下在其数据泄露网站上发布了被盗数据。其中一个受害者是密歇根州韦恩县，该地区在10月初遭受了网络攻击。研究人员在测试过程中发现了FreeBSD和Windows版 2、ChatGPT-4o实时语音API被用于自动化金融诈骗 https://www.bleepingcomputer.com/news/security/chatgpt-4o-can-be-used-for-autonomous-voice-based-scams/ 研究人员展示了OpenAI的最新AI模型ChatGPT-4o的实时语音API可以被滥用进行金融诈骗。尽管OpenAI集成了多种保护措施，但当前的技术工具仍缺乏足够的防范措施，容易被网络犯罪分子和欺诈者滥用。研究人员通过手动模拟易受骗的受害者，使用真实的网站（如美国银行）验证了不同类型的诈骗（如银行转账、礼品卡提取、加密货币转账和凭证盗窃）的成功率。研究表明，AI代理使用语音启用的Chat 3、多向量供应链攻击瞄准加密货币爱好者 https://checkmarx.com/blog/cryptocurrency-enthusiasts-targeted-in-multi-vector-supply-chain-attack/ 近期，加密货币爱好者成为一起复杂的多向量恶意软件攻击的目标。攻击者通过在PyPI上发布恶意Python包“cryptoaitools”和欺骗性的GitHub仓库进行多阶段感染。该恶意软件伪装成加密货币交易工具，利用欺骗性的图形用户界面(GUI)分散用户注意力，同时在后台窃取敏感数据。恶意软件在安装后自动激活，针对Windows和macOS操作系统，并通过执行平台特定的脚本下载和执行额外的恶意组件 4、国际执法行动关闭DDoS租用平台Dstat.cc https://securityaffairs.com/170540/cyber-crime/german-police-shut-down-ddos-for-hire-platform-dstat-cc.html 德国警方关闭了DDoS租用平台Dstat.cc，并逮捕了两名涉嫌运营该平台的男子。这两名男子分别来自达姆施塔特和莱茵-拉恩，年龄分别为19岁和28岁。他们被指控管理用于发动DDoS攻击和大规模毒品贩运的犯罪基础设施。据当局指控，这两名嫌疑人还运营了一个名为“Flight RCS”的在线平台，该平台出售设计药物和合成大麻素。他们面临经营用于商业和团伙活动的犯罪交易平台的指控，并将于 5、全球企业成为大规模ChatGPT网络钓鱼活动的目标 https://www.securityweek.com/businesses-worldwide-targeted-in-large-scale-chatgpt-phishing-campaign/ Barracuda 观察到一场大规模的 OpenAI 假冒活动，其目标是通过网络钓鱼获取 ChatGPT 凭证。威胁行为者一直在发送声称来自人工智能公司 OpenAI 的网络钓鱼电子邮件，通知收件人他们“最新的 ChatGPT 订阅付款不成功”，并指示他们点击链接以更新付款信息。 6、Ollama AI框架的严重漏洞可能导致DoS、模型盗窃和中毒 https://thehackernews.com/2024/11/critical-flaws-in-ollama-ai-framework.html 网络安全研究人员披露了 Ollama 人工智能 (AI) 框架中的六个安全漏洞，恶意行为者可能会利用这些漏洞执行各种操作，包括拒绝服务、模型中毒和模型盗窃。 7、谷歌人工智能工具Big Sleep发现SQLite 数据库引擎中的零日漏洞 https://thehackernews.com/2024/11/googles-ai-tool-big-sleep-finds-zero.html 谷歌表示，它使用名为Big Sleep （以前称为 Project Naptime）的大型语言模型 ( LLM ) 辅助框架，在 SQLite 开源数据库引擎中发现了一个零日漏洞。 8、近百万台存在高危漏洞的Fortinet、SonicWall设备正暴露在公网中 https://www.freebuf.com/news/414346.html 根据 Cyble 最新发布的漏洞报告，有近100 万台存在被积极利用漏洞的 Fortinet 和 SonicWall 设备正暴露在公开的互联网上。 9、Windows 11任务管理器出BUG，显示运行程序为零 https://www.bleepingcomputer.com/news/microsoft/windows-11-task-manager-bug-shows-wrong-number-of-running-processes/ 微软正在调查一个新的Windows 11问题，该问题导致任务管理器显示运行应用和后台进程的数量为零。 10、CyberPanel存在远程命令执行漏洞（CVE-2024-51567） https://ti.dbappsecurity.com.cn/info/8433 CyberPanel存在远程命令执行漏洞，未经身份验证的远程攻击者可以通过对缺乏充分验证和过滤的upgrademysqlstatus接口参数进行利用，从而绕过身份验证并通过构造恶意请求进行命令注入。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、LottieFiles遭供应链攻击导致用户的加密货币被窃取 https://www.bleepingcomputer.com/news/security/lottiefiles-hacked-in-supply-chain-attack-to-steal-users-crypto/ 流行的LottieFiles Lotti-Player项目在供应链攻击中遭到破坏，该项目向网站注入加密消耗器，窃取访问者的加密货币。区块链威胁监控平台Scam Sniffer报告称，据称，由于LottieFiles供应链泄露，至少有一名受害者损失了价值723000美元的比特币。在多次用户报告有关奇怪代码注入之后，Lottie Web Player(“lottie-play 2、黑客从暴露的Git配置文件中窃取了15000个云凭据 https://www.bleepingcomputer.com/news/security/hackers-steal-15-000-cloud-credentials-from-exposed-git-config-files/ 一个名为“EmeraldWhale”的大规模恶意操作扫描了暴露的Git配置文件，从数千个私有存储库中窃取了超过15000个云帐户凭据。根据发现该活动的Sysdig的说法，该操作涉及使用自动化工具扫描IP范围以查找暴露的Git配置文件，其中可能包括身份验证令牌。根据发现该活动的Sysdig的说法，该操作涉及使用自动化工具扫描IP范围以查找暴露的Git配置文件，其中 3、QNAP HBS 3中存在严重的操作系统命令注入漏洞 https://arcticwolf.com/resources/blog/cve-2024-50388/ 2024 年10月29日，QNAP发布了关于严重操作系统命令注入漏洞的安全公告，追踪编号为CVE-2024-50388。该漏洞由Pwn2Own大会上的研究人员发现，它影响了HBS 3 Hybrid Backup Sync，这是一种备份和灾难恢复解决方案，组织使用它来跨多个位置进行安全数据保护。该漏洞允许远程攻击者执行任意命令。Arctic Wolf尚未观察到此漏洞在野外被利用的任何实例，我们也不知道目前发布了任何概念验证(PoC)漏洞。过去，Qlocker等多个勒索软件行为者都以QNA 4、Strela Stealer通过WebDAV的隐蔽执行以中欧和西南欧为目标 https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav/ Cyble分析了Strela Stealer针对中欧和西南欧的隐蔽网络钓鱼活动，使用混淆的JavaScript和WebDAV来部署其有效负载并窃取敏感凭据。Strela Stealer于2022年底首次由DCSO发现，是一种信息窃取恶意软件，主要旨在从广泛使用的电子邮件客户端(包括Microsoft Outlook和Mozilla Thunderbird)中窃取电子邮件帐户凭据。该恶意软件最初通过包含恶意ISO附件的垃圾邮件活动以讲西班牙语的 5、Azure AI漏洞允许攻击绕过审核保护措施 https://mindgard.ai/resources/bypassing-azure-ai-content-safety-guardrails Azure AI内容安全是Microsoft Azure提供的一项基于云的服务，通过检测和管理用户生成的文本、图像和视频中的有害或不适当的内容，帮助开发人员围绕AI应用程序构建安全防护机制。在该服务提供的护栏中发现了两个安全漏洞，特别是在AI文本审核(阻止仇恨言论、性材料等有害内容)和Prompt Shield(保护AI模型免受越狱和提示注入)中。通过Azure Open AI部署大型语言模型(LLM)时，Prompt Shield由用户激活， 6、网络钓鱼者通过Eventbrite服务到达目标 https://www.helpnetsecurity.com/2024/10/29/eventbrite-phishing/ 骗子正在利用活动管理和票务网站Eventbrite将他们的网络钓鱼电子邮件发送给潜在目标。"自7月以来，这些攻击每周增加了25%，导致总增长率达到900%，"Perception Point研究人员说。网络钓鱼电子邮件冒充合法公司，网络钓鱼电子邮件看起来像是来自Eventbrite，因为它们确实如此，但它们的内容经过精心设计，以冒充合法企业，例如NLB Group(金融机构)、Energy Australia(能源公司)、DHL(送货服务)、Qatar Post(邮 7、黑客使用被盗的加拿大纳税人凭证窃取了600万美元 https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-used-stolen-canadian-taxpayers-credentials-to-steal-6-million-investigation-reveals/ 加拿大税务局(CRA)发现，黑客获得了数百人的CRA凭证，并最终从虚假退款中窃取了600万美元。访问人们的CRA帐户听起来对黑客没有多大好处。除了获取个人数据(包括用户名和密码)外，这并不像破坏银行账户。但现实情况大不相同，攻击者知道他们在做什么。根据CBC的The Fifth Estate和加拿大广播 8、LiteSpeed缓存插件漏洞可未授权获得管理员权限 https://www.infosecurity-magazine.com/news/litespeed-cache-plugin-flaw-admin/ WordPress 的 LiteSpeed Cache 插件中存在一个漏洞，该插件的活跃安装量超过 600 万次，该漏洞允许未经身份验证的访问者通过利用该插件角色模拟功能中的安全缺陷来获得管理员级别的访问权限。此缺陷允许未经授权的访问，从而可能导致安装恶意插件。 9、X.Org Server中发现了一个长达 18 年之久的高危漏洞 https://securityonline.info/cve-2024-9632-18-year-old-bug-in-x-org-server-leaves-systems-vulnerable-to-attack/ X.Org Server（Linux 和其他类 Unix 操作系统的流行显示服务器）中发现了一个高严重性漏洞。该缺陷编号为 CVE-2024-9632，已在代码库中潜伏了长达 18 年之久，可能使攻击者能够控制易受攻击的系统。该错误存在于_XkbSetCompatMap()函数中，该函数负责处理键盘兼容性映射。由于对内存分配大小的跟踪不正确，本地攻击者可以通过向服务器发送特 10、美国和以色列警告伊朗威胁行为者的新网络间谍技术 https://www.infosecurity-magazine.com/news/us-israel-iran-new-tradecraft/ 美国和以色列警告称，伊朗国家支持的威胁组织“棉花沙暴”正在部署新的间谍技术来攻击网络，包括利用生成式人工智能工具。联合咨询强调了该组织（也称为 Marnanbridge 和 Haywire Kitten）最近如何从主要针对以色列组织的“黑客和泄密”行动转向影响以色列、法国、瑞典和美国等众多国家的更广泛的攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

SQL注入 漏洞复现： 登陆后台，点击页面删除按钮，抓包： rid参数存在sql注入，放入sqlmap检测成功： 代码分析： Ctrl+Shift+F检索路由： 定位具体代码，为删除功能： 发现deleteByIds调用了传参rid，跟进： 发现进入Dao层，此处依旧调用的deleteByIds，于是找ICommonDao接口实现类： 定位到该类，发现以ids参数接受原先用户传入的rid参数，并在new一个sql对象后，直接将ids参数进行拼接，并通过原生jdbc执行返回结果。 模板注入 内容管理-文件管理-themes-flatweb-about.html，选择编辑，插入payload： <#assignvalue="freemarker.template.utility.Execute"?new()>${value("calc.exe")} 访问首页，点击关与我们： 执行命令，弹出计算机： 代码分析： 配置文件存在freemark 文件上传 漏洞复现： 这个CMS感觉上传文件路径不是很好找，所以上传时先找个合适的目录再点击上传文件。 文件管理处点击admin进入目录： 再点击文件上传： 通过上传jsp马，不过需要以jspx或者jspf后缀绕过上传。 代码分析： 上传时抓包，根据路由全局搜索： 定位到具体代码段： 用filePath参数接受path参数与file参数拼接，再从filePth参数中取出文件名赋值给fname参数。 跟进getSuffix： 发现只是以简单点来获取后缀。 检测是否为jsp文件后，如果不为则进入为空判断，并以FileOutputStream与write直接上传写入。 任意文件删除 漏洞复现： 上传jsp马后，点击右方删除文件，抓包。 将下方数据包改为admin上级目录，删除我先前上传但没找到路径的test.jspx文件，删除成功： 代码分析： 根据数据包在IDEA全局搜索，定位到delete代码段： 该方法接收三个参数：path、name 和 data，这些参数通过 \@RequestParam注解从请求中提取，并进行简单拼接，赋值给file对象，此时file对象代表实际的文件名称。 跟进delete方法： 发现对传入的path参数进行了检查，继续跟进： 发现仅仅采用java自带的类java.security.AccessController下的checkPermission(Permissionperm)静态方法校验权限。 如果权限满足便直接通过fs.delete()方法删除，造成任意文件删除漏洞。

1、俄罗斯APT组织“午夜暴风”发起大规模网络钓鱼攻击 https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/ 根据微软的报告，俄罗斯关联的APT组织“午夜暴风”（也称APT29、SVR组织等）最近发起了一场针对100多家组织的网络钓鱼攻击。这次攻击主要通过向超过100个组织的1000多名用户发送精心设计的钓鱼邮件进行情报收集。攻击对象遍及英国、欧洲、澳大利亚和日本等国，涉及政府、国防、学术、非政府组织等多个领域。钓鱼邮件中包含的远 2、恶意广告活动劫持Facebook账户传播SYS01stealer恶意软件 https://www.bitdefender.com/en-us/blog/labs/unmasking-the-sys01-infostealer-threat-bitdefender-labs-tracks-global-malvertising-campaign-targeting-meta-business-pages/ 网络安全研究人员发现了一场正在进行的恶意广告活动，该活动利用Meta的广告平台劫持Facebook账户，以传播名为SYS01stealer的恶意软件。根据研究人员的报告，黑客通过近百个恶意域名扩展其影响力，这些域名不仅用于分发恶意软件，还支持实时指挥与控制（C2） 3、新版Android恶意软件FakeCall劫持银行电话欺诈用户 https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/ 研究人员发现了一种新的Android恶意软件FakeCall版本，该恶意软件拦截用户拨出的银行电话，并将其重定向至攻击者的电话号码，旨在窃取敏感信息和银行资金。FakeCall是一种银行木马，通过冒充银行进行语音钓鱼，以获取受害者的敏感信息。新版本增强了规避和数据窃取能力，主要针对韩国用户。早期版本通过显示伪造的银行界面及真实的银行电话号码来欺骗用户，而最新版本则在安装时设为默认 4、Interbank确认数据泄露涉及客户信息遭恶意出售 https://www.bleepingcomputer.com/news/security/interbank-confirms-data-breach-following-failed-extortion-data-leak/ 秘鲁主要金融机构Interbank确认其系统遭遇数据泄露，黑客在未授权情况下泄露了客户数据。Interbank表示，某些客户数据被第三方暴露，并已立即采取额外安全措施以保护客户的信息和操作。尽管客户报告称银行的移动应用和在线平台在当天出现故障，但Interbank保证大多数业务已恢复正常，客户存款是安全的。黑客以“kzoldyck”的身份在多个黑客论坛上出售从In 5、Opera浏览器修复了可能泄露用户信息的严重安全漏洞 https://labs.guard.io/crossbarking-exploiting-a-0-day-opera-vulnerability-with-a-cross-browser-extension-store-attack-db3e6d6e6aa8 Opera浏览器近日修复了一个重大安全漏洞，该漏洞可能使恶意扩展获得对私有API的未经授权的完全访问权限。研究人员将此次攻击称为CrossBarking，黑客能够通过该漏洞执行诸如截屏、修改浏览器设置和账户劫持等操作。研究人员展示了如何通过将看似无害的浏览器扩展发布到Chrome网上应用商店，并在Opera上安装后利用该漏洞，从而实施 6、墨西哥大型机场集团疑遭勒索攻击 https://www.secrss.com/articles/71806 此次网络攻击影响超10天，墨西哥中北部机场集团各机场航班信息大屏仍关闭，只能通过备用系统和人工服务维持运营。 7、新的 LightSpy 间谍软件以 iOS 为目标，具有增强功能 https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/ 这一发现使 ThreatFabric 能够对今天发布的针对 iOS 的间谍软件进行新的详细分析，发现与 2020 年版本相比有显着的更新。 8、健身应用Strava泄露了拜登、特朗普和其他领导人的位置 https://cybernews.com/news/fitness-app-strava-location-biden-trump-harris/ 《世界报》称，这意味着至少可以在网上轻松追踪特朗普、他的竞争对手、民主党候选人卡玛拉·哈里斯（Kamala Harris）和美国现任总统乔·拜登（Joe Biden）的一些通常保密的动向。 9、大规模PSAUX勒索软件攻击针对22,000个 CyberPanel 实例 https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/ 超过 22,000 个在线暴露于关键远程代码执行 (RCE) 漏洞的 CyberPanel 实例成为 PSAUX 勒索软件攻击的大规模目标，导致几乎所有实例离线。 10、黑客瞄准 PTZ 摄像机中的严重零日漏洞 https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/ 黑客正试图利用工业、医疗保健、商务会议、政府和法庭环境中使用的 PTZOptics 云台变焦 (PTZ) 实时流媒体摄像头中的两个零日漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、伪造CAPTCHA传播Lumma和Amadey恶意软件分析 https://securelist.com/fake-captcha-delivers-lumma-amadey/114312/ 近期，网络犯罪分子通过伪造的CAPTCHA验证页面大规模传播恶意软件Lumma和Amadey。攻击者利用一些热门广告网络，将受害者从成人网站、文件共享平台和动漫资源等站点重定向至伪造的CAPTCHA页面。这些CAPTCHA页面要求用户点击“我不是机器人”，从而触发PowerShell命令，下载恶意程序。Lumma窃取受害者的加密货币钱包、浏览器数据和密码，Amadey则注入凭证窃取模块，并在某些情况下下载远程访问工具Remcos以获得完全控制。数据显示，超过20 2、PSAUX勒索软件攻击22000台CyberPanel实例 https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/ 10月29日，约22000台暴露的CyberPanel实例因严重远程代码执行漏洞（RCE）遭到PSAUX勒索软件大规模攻击。该漏洞存在于CyberPanel 2.3.6版本，攻击者利用此漏洞实现远程未授权的根权限访问，并在服务器上加密数据。安全研究员DreyAnd发现，CyberPanel的身份验证、命令注入和安全过滤机制存在缺陷，使得攻击者能够执行任意命令并实施 3、新Windows Themes零日漏洞获得免费非官方补丁 https://blog.0patch.com/2024/10/we-patched-cve-2024-38030-found-another.html 10月29日，ACROS Security发布免费非官方补丁应对新发现的Windows主题零日漏洞，避免攻击者通过远程窃取用户NTLM凭据。NTLM常被用于中继攻击和传递哈希攻击，攻击者可利用此漏洞将目标用户认证至其控制的服务器，从而获取用户凭据并进行横向渗透。该零日漏洞可导致用户在查看恶意主题文件时自动发送认证请求，暴露凭据。此前，微软虽已针对类似漏洞发布补丁，但新漏洞影响Windows 7至Windows 11 24H2。未等微软官方修 4、开源AI和ML模型曝多项漏洞可导致远程代码执行 https://protectai.com/threat-research/2024-october-vulnerability-report 10月29日，研究人员披露了多个开源人工智能和机器学习模型中存在超过三十多项安全漏洞，部分漏洞允许远程代码执行和信息泄露。漏洞涉及如ChuanhuChatGPT、Lunary及LocalAI等工具，其中Lunary被曝存在两项严重漏洞（CVE-2024-7474、CVE-2024-7475），可导致未经授权的数据访问及敏感信息泄露。另有ChuanhuChatGPT的目录遍历漏洞（CVE-2024-5982）和LocalAI的配置文件漏洞（CVE-20 5、美国起诉俄罗斯人涉嫌开发Redline窃密软件 https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/redline-rudometovredactedcomplaint.pdf 美国司法部公布对俄罗斯公民Maxim Rudometov的起诉，指控其为Redline窃密软件的主要开发者之一。Redline是全球使用广泛的恶意软件，被用于窃取用户的登录凭据、银行信息和加密货币钱包数据等。起诉书称，Rudometov管理Redline的基础设施，并参与虚拟货币账户的洗钱操作。荷兰警方近日渗透Redline服务器并展开 6、微软警告俄罗斯鱼叉式网络钓鱼攻击针对100多个组织 https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/ 微软表示，俄罗斯 Midnight Blizzard 发起的新鱼叉式网络钓鱼活动使用了 RDP 文件，这是该威胁组织的新载体。 7、谷歌修复了苹果报告的严重 Chrome 漏洞 https://www.securityweek.com/google-patches-critical-chrome-vulnerability-reported-by-apple/ 谷歌已经修复了 Chrome 的一个严重漏洞 CVE-2024-10487，Mozilla 也修复了 Firefox 中的高严重性缺陷。 8、朝鲜组织与 Play 勒索软件合作发起重大网络攻击 https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html 朝鲜的威胁行为者与最近发生的一起事件有关，该事件部署了一个名为 Play 的已知勒索软件家族，凸显了他们的经济动机。 9、苹果公司为研究人员开放 PCC 源代码以发现安全漏洞 https://www.anquanke.com/post/id/301326 PCC 是苹果公司今年 6 月早些时候推出的，被誉为 “有史以来为大规模云 AI 计算部署的最先进的安全架构”。这项新技术的理念是在不牺牲用户隐私的前提下，将计算复杂的苹果智能请求卸载到云端。 10、苹果“Apple Intelligence”提供100万美元安全漏洞悬赏金 https://hackread.com/apple-launches-apple-intelligence-bug-bounty/ 苹果公司发布了面向 iPhone、iPad 和 Mac 设备的 “Apple Intelligence”，同时悬赏 100 万美元奖励网络安全专家查找其私有云计算服务器中的漏洞，以增强 iOS 和 macOS 上的隐私和人工智能安全性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、网络犯罪分子利用Webflow进行钓鱼攻击 https://www.netskope.com/blog/attackers-target-crypto-wallets-using-codeless-webflow-phishing-pages 研究人员警告称，利用网站构建工具Webflow创建的钓鱼页面激增，网络犯罪分子继续滥用合法服务如Cloudflare和Microsoft Sway。Netskope的研究表明，从2024年4月至9月，Webflow的钓鱼页面流量增加了十倍，攻击目标涵盖超过120个组织，主要集中在北美和亚洲的金融服务、银行及科技行业。攻击者使用Webflow制作独立的钓鱼页面，模仿合法登录页面以诱骗用户输入凭据， 2、新工具可绕过Chrome的Cookie加密防护 https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption 研究人员近日发布了一款名为“Chrome-App-Bound-Encryption-Decryption”的工具，能够绕过Google新引入的应用绑定加密保护，从Chrome浏览器中提取保存的凭据。这一工具的公开发布引发了对Chrome用户安全的担忧，因为多款信息窃取恶意软件已具备类似的功能。Google在2024年7月推出应用绑定加密，旨在防止信息窃取者通过系统权限获取敏感数据。然而，研究人员的工具能解密Chrome的本地状态文件中的加密密钥，尽管需要管理员权限 3、犯罪集团入侵意大利国家数据库出售盗取信息 https://goo.su/lZz3z5 意大利警方逮捕了四名涉嫌非法访问国家数据库的个人，并对包括Luxottica创始人Leonardo Maria Del Vecchio之子在内的数十人展开调查。调查人员指控他们涉嫌未授权访问计算机系统、非法窃听、伪造电子通信、泄露机密信息、协助及敲诈等罪名。Del Vecchio的律师表示，他期待调查结束以证明自己与此事无关，并认为他是最初指控的受害者。此次犯罪活动涉及多名意大利知名人士，包括一名前高级警官，犯罪组织非法获取了大量敏感数据，供客户用于间谍活动和敲诈，甚至可能被外国情报机构获取。米兰检察官称，该组织接入了三个重要数据库，包括监测可疑金 4、法国ISP Free确认数据泄露事件 https://www.bleepingcomputer.com/news/security/free-frances-second-largest-isp-confirms-data-breach-after-leak/ 法国第二大互联网服务提供商Free近期确认其系统遭到黑客入侵，客户个人信息被盗。Free拥有超过2290万的移动和固定用户，已向公共检察官提交刑事投诉，并通知了法国信息技术与公民自由委员会（CNIL）和国家信息系统安全局（ANSSI）。发言人表示，受影响的用户将通过电子邮件通知，并强调“没有对我们的活动和服务造成操作影响”。此次攻击主要针对管理工具，尽管数据被窃取，但攻击 5、Apple修复了 iOS、macOS和其他产品中的 70 多个漏洞 https://www.securityweek.com/apple-patches-over-70-vulnerabilities-across-ios-macos-other-products/ Apple 周一宣布针对 iOS 和 macOS 用户发布新的安全更新，解决了其平台上的 70 多个 CVE，其中包括导致受保护文件系统修改的多个错误。iOS 18.1 和 iPadOS 18.1 现已向移动用户推出，包含 28 个漏洞的补丁，这些漏洞可能导致信息泄漏、进程内存泄露、拒绝服务、沙箱逃逸、受保护系统文件修改、堆损坏和访问到受限文件。 6、美国财政部正式发布对华芯片、人工智能的投资限制规则 https://www.secrss.com/articles/71790 2024 年 10 月 28 日，美国财政部发布了关于实施 2023 年 8 月 9 日总统关于对外投资命令的最终规则，该规则将于 2025 年 1 月 2 日生效。 7、AI文本识别重大突破，谷歌水印工具大规模应用 https://www.secrss.com/articles/71782 这款水印工具可“无痕”嵌入在文本生成过程中，并通过一组加密密钥检测AI生成内容，在AI文本识别领域实现了重要的技术突破。 8、新研究表明最新AMD和英特尔处理器中仍然存在Spectre漏洞 https://thehackernews.com/2024/10/new-research-reveals-spectre.html 在影响现代 CPU 处理器的Spectre 安全漏洞曝光六年多后，新的研究发现最新的 AMD 和英特尔处理器仍然容易受到推测执行攻击。 9、Grafana 漏洞CVE-2024-9264：9.9 级严重漏洞PoC公布 https://securityonline.info/grafana-vulnerability-cve-2024-9264-poc-released-for-9-9-rated-critical-flaw/ 研究人员发布了 CVE-2024-9264 的技术细节和概念验证 (PoC) 漏洞利用代码，CVE-2024-9264 是 Grafana 中的一个关键漏洞，Grafana 是一种开源、多平台分析和可视化工具，被组织广泛采用来监控系统健康状况并分析数据趋势。此漏洞影响版本 11.0.x、11.1.x 和 11.2.x，并使 Grafana 系统面临命令注入和本地文件包含 (LFI) 10、CVE-2024-46483 (9.8)：Xlight FTP漏洞使用户面临远程攻击 https://securityonline.info/cve-2024-46483-cvss-9-8-xlight-ftp-server-flaw-leaves-users-exposed-to-remote-attacks-poc-published/ Xlight SFTP 服务器是一种流行的基于 Windows 的 FTP 和 SFTP 解决方案，专为安全、高性能文件传输而设计，其中存在严重的安全漏洞。这个预身份验证堆溢出漏洞被指定为 CVE-2024-46483，CVSS 评分为 9.8，反映了其潜在的严重影响。该缺陷影响 32 位和 64 位架构的 Xlight 版本 3.9.4 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。