当前位置: 首页 > 行业资讯 > 网络安全日报 2024年10月12日

网络安全日报 2024年10月12日

发表于:2024-10-12 08:50 作者: 合天网安实验室 阅读数(8152人)

1、犯罪分子通过改进QR码网络钓鱼攻击绕过安全检测

https://blog.barracuda.com/2024/10/09/novel-phishing-techniques-ascii-based-qr-codes-blob-uri

研究人员警告称,网络犯罪分子正在通过使用ASCII和Unicode字符生成难以检测的QR码,提升其网络钓鱼攻击的隐蔽性。攻击者利用“全块”字符组合Cascading Style Sheets(CSS),构建出标准的49x49像素矩阵,绕过光学字符识别(OCR)工具的检测。这些伪造的QR码往往引导用户访问恶意网站,钓鱼邮件数量在2023年第四季度急剧上升,约每20个邮箱中有一个成为目标。此外,犯罪分子还采用Blob URI技术,在用户点击恶意链接后生成动态URL,从而绕过传统URL过滤器。这一创新手段使得网络钓鱼攻击更具威胁性,尤其是在QR码的使用日益广泛的情况下yj。

2、研究人员警告PANOS防火墙劫持漏洞及公开利用代码

https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-firewall-hijack-bugs-with-public-exploit/

研究人员于2024年10月警告用户,需立即修补其Expedition解决方案中的多个安全漏洞,这些漏洞可被攻击者利用,劫持PAN-OS防火墙。Expedition用于帮助迁移其他供应商的配置文件,这些漏洞可暴露敏感信息,如用户凭证,帮助攻击者接管防火墙管理员账户。漏洞包括命令注入、跨站脚本攻击、明文y存储敏感信息、缺失认证和SQL注入等(CVE-2024-9463至CVE-2024-9467)。研究人员发布了一份概念验证(PoC)代码,展示如何利用这些漏洞j进行未授权命令执行。Palo Alto建议尽快更新至Expedition 1.2.96版本并轮换所有相关凭证。

3、朝鲜黑客利用虚假面试向开发者传播跨平台恶意软件

https://www.unodc.org/roseap/en/2024/10/cyberfraud-industry-expands-southeast-asia/story.html

2024年10月,朝鲜关联的网络攻击组织被发现通过伪装成招聘者,针对技术行业求职者,传播更新版的跨平台恶意软件。研究人员将该活动集群命名为CL-STA-0240,首次于2023年11月披露,代号为“传染性面试”。攻击者y通过求职平台联系软件开发人员,邀请他们参加虚假面试,诱导下载恶意软件。恶意软件的第一阶段涉及BeaverTail下载器和信息窃取程序,能感染Windows和macOS系统,并为InvisibleFerret后门提供渠道。尽管该活动已公开披露,但攻击者继续通过社交工程技j术,利用虚假招聘信任,成功入侵受害者设备。最新版本的恶意软件采用Qt框架,增强了跨平台的隐蔽性,并能够窃取浏览器密码和加密货币钱包数据。

4、GitLab 修补管道执行、SSRF、XSS 漏洞

https://www.securityweek.com/gitlab-patches-pipeline-execution-ssrf-xss-vulnerabilities/

最新的 GitLab 更新解决了八个漏洞,包括严重和高严重程度的管道执行漏洞。

5、近期 Veeam 漏洞被利用于勒索软件攻击

https://www.securityweek.com/recent-veeam-vulnerability-exploited-in-ransomware-attacks/

Sophos 警告勒索软件运营商正在利用 Veeam Backup & Replication 中的关键代码执行漏洞。

6、研究人员在Windows版的SVN中发现代码执行漏洞

https://www.freebuf.com/news/412549.html

Apache Subversion(SVN)是一款广受开发者欢迎的版本控制系统,用于维护源代码、网页和文档。最近,Apache Subversion中发现了一个关键的安全漏洞,CVE-2024-45720(CVSS评分8.2)。该y漏洞主要影响Windows平台,可能导致命令行参数注入,从而执行非预j期的程序。

7、黑客利用YouTube 平台传播复杂的恶意软件

https://www.freebuf.com/news/412529.html

最近,卡巴斯基实验室的网络安全分析师发现,黑客一直在频繁利用 YouTube平台c来传播复杂的恶意软件。通过劫持热门频道,黑客伪装成原始创作者发布恶意链接、对用户实施诈骗。

8、因SSL证书过期,英格兰银行关键支付系统崩溃

https://www.secrss.com/articles/71008

近日,《The Stack》报道称,2024年7月,英格兰银行支付系统——CHAPS系统因“银行基础设施中的SSL/TLS证书过期”而发生故障。

9、《网络安全技术 办公设备安全规范》等9项网安国标获批发布

https://www.secrss.com/articles/71006

根据2024年9月29日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第22号),全国网络安全标准化技术委员会归口的9项国家标准正式发布。

10、因配置不当,约5000个AI模型与训练数据集在公网暴露

https://www.secrss.com/articles/71009

暴露的工具包括MLflow、Kubeflow和TensorBoard实例。这些工具通常用于帮助y企业在云端训练和部署生成式AI模型,或可视化其结果。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。