1、DrayTek设备零日漏洞被利用，影响超过300家企业

https://www.securityweek.com/undocumented-draytek-vulnerabilities-exploited-to-hack-hundreds-of-orgs/

安全研究员发现，超过300家企业或机构因DrayTek设备的未公开漏洞遭到勒索软件团伙攻击，其中可能涉及零日漏洞。DrayTek Vigor路由器被发现存在14个安全缺陷，同时许多设备的历史漏洞尚未及时修补。安全研究员据情报分析发现，至少三个黑客团伙于2023年8月至9月间协同发起针对2万多台DrayTek设备的攻击活动，目的是窃取凭据并部署勒索软件。其中，"Monstrous Mantis”黑客团伙负责识别漏洞并窃取凭据，随后将其分享给"Ruthless Mantis"(也称PTI-288黑客团伙，与REvil勒索软团伙有关联)和"LARVA-15"(也称LARVA-15黑客团伙)等合作团伙。这些黑客团伙利用窃取的凭据部署勒索软件(如Nokoyawa和Qilin)，受害者分布在欧洲、澳大利亚及亚洲多地。攻击者可能通过利用DrayTek Vigor路由器主控页面(mainfunction.cgi)中的零日漏洞获取初始访问权限。目前最新固件版本是否受到影响尚不明确。

2、Azure 中Kubernetes 配置错误或将导致整个集群被攻陷

https://thehackernews.com/2024/12/misconfigured-kubernetes-rbac-in-azure.html

微软Azure Data Factory的Apache Airflow集成被曝存在三大安全漏洞，包括Kubernetes RBAC配置错误、Azure内部服务Geneva的密钥处理配置错误以及Geneva弱认证。这些漏洞可能允许攻击者获得对整个Airflow AKS集群的持久化"影子管理员"访问权限，从而执行数据窃取、恶意软件部署等隐秘操作。攻击者可通过上传或修改DAG文件，在外部服务器上启动反向Shell攻击，最终利用服务账户的集群管理员权限控制整个集群。进一步的攻击可能导致突破底层虚拟机访问Azure内资源，并伪造日志以掩盖恶意活动。安全研究员指出，服务权限管理和关键第三方服务的操作监控是防范类似攻击的关键。

3、Cisco承认被黑客组织IntelBroker攻击导致的数据泄露事件

https://www.securityweek.com/cisco-confirms-authenticity-of-data-after-second-leak/

Cisco证实黑客组织泄露的4GB数据为真实文件，并源于其公开的DevHub环境(Cisco提供的一个开发者资源中心)，而非核心系统遭受攻击。黑客IntelBroker自10月起声称攻破Cisco系统，获取源代码、证书、加密密钥等敏感信息，但Cisco调查表明泄露数据来自于DevHub资源中心。尽管大部分数据已公开，一些文件原本不应暴露。IntelBroker最初宣称获取了4.5TB数据，并在12月分两批释放了总计超过4GB的文件，包括源代码、脚本和配置文件。Cisco表示，这些数据与10月泄露事件中的数据一致，但未涉及生产或企业环境的访问权限。

4、大众集团电动车数据泄露暴露80万车主隐私

https://siliconangle.com/2024/12/30/location-data-800000-volkswagen-vehicles-exposed-cloud-misconfiguration/

德国《明镜周刊》报道，大众集团子公司Cariad因在亚马逊云服务(AWS)中的错误配置，导致约80万辆电动车的数据泄露。泄露信息包括GPS定位数据(其中46万辆车的定位精度高达10厘米)、车辆状态以及部分车主的个人信息。受影响车辆涵盖大众、奥迪、SEAT和斯柯达品牌，主要分布在德国及欧洲其他国家。Chaos Computer Club(欧洲最大的黑客组织之一)通过分析Cariad内部应用的内存转储发现了这一漏洞，并及时通知其进行修复。Cariad表示，虽然绕过多个安全机制需要高超的技术水平，但未发现数据被其他方滥用或涉及财务信息的泄露。此次事件暴露了汽车行业在云存储管理中的潜在隐患，同时突显了加强数据保护和权限管理的重要性。

5、社交网络正在被"AI泡沫"吞噬

https://www.malwarebytes.com/blog/podcast/2024/12/is-nowhere-safe-from-ai-slop-lock-and-code-s05e27

"AI泡沫"(AI slop)正以惊人的速度蔓延至X平台(原推特)、Instagram、Facebook社区页面和YouTube频道。这些低质量的AI生成内容通过生成式AI工具(如ChatGPT和MidJourney)快速制作，意在吸引流量和互动，类似过去的"标题党"。例如，一些账号发布浪漫雨夜咖啡馆的AI图像，有人用AI生成并销售完整食谱书，还有账号通过虚假灾难图片博取情绪关注。然而，这类内容常因不合理细节而暴露低劣本质。从儿童书籍到虚假餐厅账号，AI泡沫无处不在，甚至引发了Facebook上的"虾仁耶稣"等荒诞现象。

6、VibeBP插件漏洞致网站面临高危威胁

https://cyble.com/blog/cert-in-warns-of-vibebp-vulnerabilities/

印度计算机应急响应小组（CERT-In）发布了关于VibeBP WordPress插件的紧急漏洞通告（CIVN-2024-0360）。该插件存在多项严重漏洞，包括代码执行、权限提升及SQL注入风险。这些漏洞允许攻击者利用低权限账户获取管理员权限，从而执行任意代码、窃取敏感数据或安装恶意软件。VibeBP作为一种增强BuddyPress插件的工具，为WordPress网站提供社交网络功能，但这些安全漏洞可能导致网站完全被恶意控制，给数据安全带来极大威胁。CERT-In建议所有用户尽快采取措施修补漏洞，以避免潜在损失。

7、BitLocker漏洞修复后仍可被利用

https://www.govinfosecurity.com/patched-bitlocker-flaw-still-susceptible-to-hack-a-27195

安全研究员在德国混沌通信大会上展示了名为“Bitpixie”的攻击方法，可通过网络利用已修复的Windows BitLocker漏洞（CVE-2023-21563）。该攻击通过PXE启动诱使设备遗忘加密密钥，进而从内存中提取主密钥解密数据。研究表明，仅禁用BIOS网络功能才能有效防御此攻击。微软正尝试在安全补丁与设备兼容性间寻求平衡，但其计划在2026年停止当前引导认证的提议可能带来新的安全与兼容性挑战。

8、严重漏洞使大量Four-Faith路由器面临远程利用

https://www.freebuf.com/news/418819.html

VulnCheck 发现了一个影响Four-Faith（四信）工业路由器的关键新漏洞，并有证据表明漏洞正在被广泛利用。据悉，该漏洞是一个操作系统 （OS） 命令注入错误，被追踪为CVE-2024-12856，仅在远程攻击者能够成功验证身份时起作用。但是，如果与路由器关联的默认凭证尚未更改，则可能导致未经身份验证的操作系统命令执行。

9、7-Zip 零日漏洞据称在网上泄露

https://cybersecuritynews.com/7-zip-zero-day-exploit/

据称，一名黑客在 X 上以别名“NSA_Employee39”操作，泄露了一个关键的 7-Zip 零日漏洞，该漏洞允许攻击者在使用最新版本的 7-Zip 打开或提取受害者的计算机时执行任意代码。

10、Veritas 漏洞可让攻击者执行任意 SQL 命令

https://cybersecuritynews.com/veritas-vulnerability/

Veritas/Arctera Data Insight 软件（版本 7.1 及更早版本）中新发现的漏洞凸显了一个重大安全问题，该漏洞允许攻击者在应用程序的后端数据库上执行任意 SQL 命令。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。