黑客组织晓骑营攻陷韩国数十家网站；国内刑案嫌犯在公园广场偷放U盘；Facebook被爆存在安全漏洞...

热点目录

国外热点

·黑客组织“晓骑营”攻陷韩国数十家网站

·Facebook 被爆存在安全漏洞

·某黑客论坛上共享了美国“禁飞名单”

·热门开源软件ImageMagick中出现多个新漏洞

国内热点

·小米汽车设计文件外泄对涉事方罚100万元

·国内刑案嫌犯在多个公园、广场放置内含非法信息U盘

·因违规查询账户信息，工行被罚50万、2人被警告

国外热点

黑客组织“晓骑营”攻陷韩国数十家网站

韩国网络振兴院证实，韩国12家学术网站被黑客组织“晓骑营”攻击，至今网站还处于无法连接的状态。朝鲜日报报道：“晓骑营”声称在春节期间入侵了韩国70余家机构网站，并且将公开获得的54GB数据。

“晓骑营”致使网站瘫痪的同时，该组织还预告，将继续入侵2000多个韩国政府机构网站。对于入侵的原因，“晓骑营”也进行了解释：“晓骑营”声明——“我们是一个自由的团体，将韩国作为成员训练场，每个成员都将参与到入侵韩国的行动中。对于入侵的具体原因：韩国的一些流量明星让我很恼火。”

Facebook 被爆存在安全漏洞

来自尼泊尔的安全研究人员近日在 Meta 的 Facebook、Instagram等应用的登录系统中发现新的漏洞，任何人都可以绕过 Facebook 的双因素身份验证。

研究员 Gtm Mänôz 向 TechCrunch表示：“任何人都可以利用这个漏洞，只要在知道对方电话号码的情况下，就能绕过基于 SMS 的双因素认证”。

Mänôz 表示这个漏洞存在于 Meta 集团的统一登录系统中，用户在输入用于登录其帐户的双因素代码时，Meta没有设置尝试限制。这就意味着只需要了解攻击目标的电话号码或者电子邮件，那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。一旦攻击者获得正确的验证码，那么攻击者就可以展开后续的攻击行为。

某黑客论坛上共享了美国“禁飞名单”

Bleeping Computer 网站披露，某黑客论坛上公开分享了一份美国”禁飞名单“，该名单上有超过 150万名被禁飞者和超过 25 万名“被选中者”的数据信息。

目前，Bleeping Computer 已确认列表名单与 CommuteAir 航空服务器上发现的 TSA 禁飞列表名单相同。查看禁飞名单列表的一部分，这些列表以两个名为“NOFLY（禁飞名单）”和“SELECTEE”的 CSV文件的形式列出了一些飞往美国时在机场接受二级安检（SSSS）的乘客。黑客论坛上公布的禁飞名单包含 1566062条记录（部分重复），SELECTEE 名单包括 251169 条记录，重复和别名意味着暴露的姓名总数少于 150 万。

热门开源软件ImageMagick中

出现多个新漏洞

网络安全研究员详述了开源软件 ImageMagick中的两个漏洞详情，它们可导致拒绝服务和信息泄露后果。这两个漏洞是由拉美网络安全公司 etabase Q在7.1.0-49版本中发现的，已在2022年11月发布的ImageMagick 7.1.0-52中修复。这两个漏洞是CVE-2022-44267和CVE-2022-44268：前者是一个DoS漏洞，当解析文件名称中含有短横 (“-“)的PNG图像时就会触发；后一个漏洞是一个信息泄露漏洞，在解析图像时，可被用于读取服务器中的任意文件。

国内热点

小米汽车设计文件外泄对涉事方罚100万元

今年1月，小米汽车被曝光首款车型设计图片，被泄小米汽车车型图片主要展示了车辆前脸和尾部等设计细节，包括小米汽车保险杠、小米MS11的装饰件、以及小米与北汽模塑相关合作细节等。

2月2日，小米集团针对此前小米汽车设计文件泄密一事发布内部通报处理结果，小米方面称，事件的起因是合作方北京某模塑科技有限公司因对其下游供应商管理不善，泄露了小米汽车前后保险杠某个版本的过程稿。

对于涉事合作方，小米将依照《保密协议》处以100万元的经济赔偿，责成其对下游供应商加强信息安全管理，并对泄密人进行处理。

国内刑案嫌犯在多个公园、

广场放置内含非法信息U盘

1月31日，内蒙古自治区鄂尔多斯市公安局东胜分局发布一则《查找涉案U盘通告》的消息。消息称，近日，该局侦办一起刑事案件，经初查，2021年3月至2022年8月，犯罪嫌疑人在东胜区各大公园、广场等场所的台阶、凳子、路灯底座等处放置多个金属材质U盘（内含非法信息资料）。如有拾取到涉案U盘的市民，请及时与办案人员联系。1日，据东胜分局工作人员介绍，目前已收到一些涉案U盘，案件正在办理，犯罪嫌疑人已被拘留。

因违规查询账户信息，

工行被罚50万、2人被警告

1月28日消息，银保监会行政处罚信息显示，中国工商银行北京中关村分行因存在“违规查询账户信息”这一违法违规行为，依据《中华人民共和国商业银行法》第七十三条、第八十九条，被北京银保监局处以罚款50万元，并责令其改正；对相关责任人葛岩、谷玉洁则分别给予警告。

漏洞数据统计

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞229个，其中高危漏洞106个、中危漏洞114个、低危漏洞9个。漏洞平均分值为6.59。本周收录的漏洞中，涉及0day漏洞115个（占50%），其中互联网上出现“Lead Management System SQL注入漏洞（CNVD-2023-05741）、Courier Management System SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数10419个，与上周（4853个）环比增加1.15倍。

数据来源：CNVD

安全漏洞分布情况

从厂商分布来看，Tracker Software 公司新增漏洞最多，有 65 个。各厂商漏洞数量分布如下表所示：

本周国内厂商漏洞 35 个，友讯公司漏洞数量最多，有 7 个。国内厂商漏洞整体修复率为 71.43%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看 , 跨站脚本类的安全漏洞占比最大，达到10.58%。漏洞类型统计如下表所示：

数据来源：CNNVD

长风实验室发布、转载的文章中所涉及的技术、思路和工具，仅供以网络安全为目的的学习交流使用，不得用作它途。部分文章来源于网络，如有侵权请联系删除。

END