目录 | contents
供应链安全资讯
美国白宫发布关于软件安全保证要求的指南 美国网络专家前往拉美执行“前出狩猎”任务 NIST发布混合卫星网络的网络安全框架轮廓草案
Visual Studio存在UI漏洞,攻击者可伪造扩展签名
本田电商平台被黑客攻破,泄露客户和经销商信息
供应链失陷情报
发现某公司网站页面被篡改
发现某公司首页被篡改
发现某食品公司网站被插入暗链
发现某制造公司网站被插入暗链
供应链数据泄露情报
Strava热力图功能暴露用户家庭地址 Zacks遭遇数据泄露影响880万用户
Apache Kafka Connect 远程代码执行漏洞
GitLab 目录遍历漏洞
供应链安全资讯
01 美国白宫发布关于软件安全保证要求的指南
披露时间:2023年6月15日
02 美国网络专家前往拉美执行“前出狩猎”任务
相关信息:6月9日,外媒报道,据网络司令部的一名官员说,美国网络专家被派往南方,以确定外国网络的数字弱点并揭露黑客使用的工具。这项“前出狩猎”任务由美国国家网络任务部队的专家负责,在南方司令部的责任区进行,该责任区包括阿根廷、巴西、牙买加和尼加拉瓜等二十多个国家。
来 源:
https://www.secrss.com/articles/55633
03 NIST发布混合卫星网络的网络安全框架轮廓草案
披露时间:2023年6月15日
相关信息:美国NIST与包括卫星制造商、顾问、采购部门、运营商(商业和政府)、学术界和其他相关方在内的主题专家合作,开发了HSN网络安全框架 (CSF) 轮廓来指导空间利益相关者。该文件将NIST网络安全框架应用于混合卫星网络,重点是这些卫星网络参与者之间的接口。
来 源:
https://www.secrss.com/articles/55437
供应链攻击情报
风险类型:供应链漏洞
供应链类型:软件供应链
相关信息:Visual Studio是一款流行的集成开发环境(IDE),提供了数百种扩展,可以增强其功能和效率。然而,研究人员发现了一个UI漏洞(CVE-2023-28299),可以让攻击者在安装扩展时伪造扩展签名,从而冒充任何发布者。微软已经在2023年4月11日的补丁周二更新中修复了这个漏洞。这个漏洞的利用方法很简单,只需在扩展的名称中添加足够多的换行符,就可以将安装提示中的其他文本推到下方,使其不可见。攻击者还可以在扩展名称下方添加假的“数字签名”文本,让用户误以为扩展是经过签名的。攻击者可以利用这个漏洞来制作恶意的扩展,并通过钓鱼等方式诱导用户安装。恶意的扩展可能会窃取用户的敏感信息、悄悄地访问和修改代码,或者完全控制用户的系统。
02 本田电商平台被黑客攻破,泄露客户和经销商信息
风险类型:供应链漏洞
供应链类型:软件供应链
相关信息:本田汽车公司提供了一个名为本田经销商网站的电商平台,让经销商可以轻松创建网站和销售本田的发电机、割草机、船用发动机等产品。然而,这个平台存在一个严重的安全漏洞,让黑客可以通过一个脆弱的密码重置API,轻松地重置任何账户的密码,并获取该账户的所有数据。黑客Eaton在6月6日公开了这个漏洞的细节,他称他利用这个漏洞成功入侵了本田的电商平台,并获得了完全的管理员权限。Eaton表示,这次攻击并没有影响本田的汽车业务,只影响了发电设备/船用/草坪园艺业务。本田汽车的车主不需要担心,只有那些在线购买了其他本田产品的客户可能受到影响。
供应链失陷情报
01 发现某公司网站页面被篡改
相关信息:
某公司网站(网址为http://www.*****lyo.com/)遭黑客攻击入侵,网页内容被篡改,篡改内容为:“皇冠体育官方下载【appshg.com】亚洲在线游戏运营商。各种娱乐应有尽有,快来下载体验【appshg.com】。
02 发现某公司首页被篡改
披露时间:2023年6月15日
相关信息:
某公司网站(网址为http://www.****to.com)遭黑客攻击入侵,网页内容被篡改,篡改内容为:“【和记体育:ky002.cc】是顶级体育平台,提供和记体育官网,和记体育APP最新官网,和记体育APP下载,各种娱乐品种应有尽有,开云APP官方客服24小时在线为您服务!”。
03 发现某食品公司网站被插入暗链
披露时间:2023年6月15日
相关信息:
某科技公司网站(网址为http://******sk.com/)遭黑客攻击入侵,网页内容被篡改,插入暗链为:“完美体育app 【wmTT.com】”。
04 发现某制造公司网站被插入暗链
披露时间:2023年6月15日
相关信息:
发现某公司网站(网址为http://www.****hln.com/)遭黑客攻击入侵,网页内容被篡改,插入暗链为:“免费pg电子【okpg88vip.com】游戏是国内权威的体育直播导航,最快提供国内外权威的直播信号,在这里你可以找到足球,篮球,赛车等所有热门赛事直播免费pg电子游戏是国内权威的体育直播导航,最快提供国内外权威的直播信号,在这里你可以找到足球,篮球,赛车等所有热门赛事直播”。
供应链数据泄露情报
01 Strava热力图功能暴露用户家庭地址
来源:
02 Zacks遭遇数据泄露影响880万用户
披露时间:2023年6月15日
相关信息:据报道,Zacks遭遇了一起较早的、此前未披露的数据泄露事件,影响了880万客户,该数据库现已在黑客论坛上分享。该公司此前曾披露过一起发生在2021年11月至2022年8月期间的数据泄露事件,警告称未经授权的网络入侵者“访问”了约82万客户的个人敏感信息,但Zacks当时声称没有理由相信任何客户信用卡信息、任何其他客户财务信息或任何其他客户个人信息被访问。然而,数据泄露通知服务网站Have I Been Pwned(HIBP)在上周末收到了一个包含880万条用户记录的数据库后,列出了一个新的Zacks泄露事件。这个数据库似乎是在2020年5月10日左右被“丢弃”的,比Zacks之前披露的漏洞要早。研究人员指出,泄露的数据库包含了Zacks客户的电子邮件地址、用户名、未加盐的SHA256密码、地址、电话号码、名字和姓氏以及其他数据。
https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-new-zacks-data-breach-impacting-8-million/
供应链漏洞情报
01 Apache Kafka Connect 远程代码执行漏洞
影响产品:Apache Kafka 2.3.0 - 3.3.2
链接:
02 GitLab 目录遍历漏洞
披露时间:2023年6月15日
影响产品:
锦岳智慧公司旗下的守望者实验室,是国内首个“开源威胁情报“平台的建设和运营者,专注于安全服务以及安全情报在国内的创新实践,并坚持以“能力化、自动化、智能化”的理念打造产品及服务。
watcherlab
做数字经济时代的安全守望者长按扫码可关注
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...