绿盟威胁情报周报（2024.01.15-2024.01.21）

标签：CVE-2024-20927，CVE-2024-20931，CVE-2024-20986

发布时间：2024-01-18 14:00:00 GMT

概述：近日，绿盟科技CERT监测发现Oracle官方发布了1月关键补丁更新公告CPU（Critical Patch Update），此次共修复了413个不同程度的漏洞，此次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Java SE、Oracle Fusion Middleware、Oracle HTTP Server等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序，对漏洞进行修复。

链接：https://nti.nsfocus.com/threatNotice

标签：CVE-2023-22527

发布时间：2024-01-16 16:00:00 GMT

概述：1月16日，绿盟科技CERT监测到Atlassian官方发布安全公告修复了Confluence Data Center与Confluence Server中的远程代码执行漏洞（CVE-2023-22522），该漏洞由模板注入导致，未经身份验证的攻击者可通过构造恶意请求注入Confluence页面，从而在受影响的目标上实现远程代码执行。CVSS评分为10.0，请相关用户尽快采取措施进行防护。

链接：https://nti.nsfocus.com/threatNotice

标签：应用安全

概述：应用安全甚至是软件含义行业已经很多年了，各个平台，各种工具，各种技术都不断的迭代，其实主要目的在防逆向。但是逆向从理论上来说其实是一个100%的问题，任何一个软件只要有足够的时间和精力都会被破解，在这种前提之下，安全的核心宗旨其实就是提高逆向成本，但是同时安全又是为产品服务的，要兼顾产品的需求。所以软件安全的核心宗旨就是在满足产品需求的情况下，尽可能的提高逆向成本。

链接：https://ti.nsfocus.com/security-news/IlNVQ

标签：数据泄露

概述：1月16日消息，鸿海集团旗下半导体设备大厂——京鼎精密科技股份有限公司（以下简称“京鼎”）遭到了黑客的入侵。黑客还在京鼎官网公布信息称，表如果京鼎不想支付100万美元的费用，就会公布高达5TB的客户资料。黑客在京鼎官网留言称，“你的数据被窃取并加密”，并对京鼎客户表示“如果你是京鼎客户，我们拥有您所有个人资料，如果京鼎不支付费用，你的所有个人资料都将在网路上免费提供”。黑客还对京鼎员工说道，“如果你的管理层不与我们联系，你将失去工作，所有媒体包括BBC、纽约时报、华尔街日报等都会告知你，公司已经不存在”。

链接：https://ti.nsfocus.com/security-news/IlNVO

标签：恶意软件

概述：安全公司Nozomi的研究人员发现了23个漏洞，允许黑客破坏联网的博世力士乐（Bosch Rexroth）手持螺帽扳手NXA015S-36V-B。工程师使用该设备将螺栓等扭紧到精确的扭矩水平，这对设备的安全性和可靠性至关重要，如果太松的话设备可能会过热甚至起火，太紧的话可能会失效。研究人员称，黑客能利用漏洞安装恶意程序，能导致整个设备组停止工作，或者扭的太松或太紧，但设备的显示屏却显示一切正常。博世力士乐表示他们在数周前收到了漏洞报告，计划在2024年1月下旬发布补丁。

链接：https://ti.nsfocus.com/security-news/IlNVu

标签：LLM

概述：大型语言模型（LLM）技术近年来取得了巨大进步，但其背后却隐藏着版权纠纷的阴云。科技巨头们利用海量文本数据训练LLM，其中难免会涉及到受版权保护的作品，招致作者和媒体组织的强烈抗议。近日，Meta（前身为 Facebook）就因使用包含大量盗版书籍的“Books3”数据集训练其LLAM 1和LLAM 2模型而面临包括喜剧演员Sarah Silverman和作家Richard Kadrey在内的一众作者的集体诉讼。Meta虽承认使用了Books3数据集，却拒绝向作者支付适当的补偿。

链接：https://ti.nsfocus.com/security-news/IlNVo

标签：LLM

概述：ChatGPT引发了大模型的热潮，国内很多企业和组织也开始涌入，形成了百模大战的局面。参战的模型厂商有互联网巨头、AI上市公司、服务器龙头企业、科研院所和一级市场创业公司等。一年过去了，大模型玩家们已经到了更为关键的时刻，模型的发展也已经进入了新阶段，就是要想办法把AI用好，构建出好的应用和产品，让大语言模型人工智能的优势真正发挥出来。模型在引入应用程序的过程中必然会带来新的安全风险和挑战，这对大多数应用安全专家来说都是相当新的领域和概念，LLM威胁建模有一些非常早期的举措，如OWASP Top 10 for LLM Applications，但这还远远不够成熟。因此，我想到了试试用ChatGPT来解答一下这个问题。

链接：https://ti.nsfocus.com/security-news/IlNW2

标签：勒索攻击

概述：上周提交给美国缅因州监管机构的文件证实，去年4月，一家为美国海军建造自由级濒海战斗舰和星座级制导导弹护卫舰的公司遭受勒索软件攻击，有近1.7万人的信息在这次攻击中被泄露。提交监管文件距事件曝光已经过去了将近9个月。当时，威斯康星州部分地方新闻媒体报道，意大利造船公司芬坎蒂尼集团在美国的分支机构“芬坎蒂尼海军集团”（FMG）正在处理勒索软件攻击，攻击造成大量生产问题。

链接：https://ti.nsfocus.com/security-news/IlNVa

标签：勒索攻击

概述：相信大家对勒索攻击并不陌生，勒索这个词语出现在几千年以前，可能从土匪、强盗诞生的那一刻起，便有了勒索的这个词。经过几千年的发展，直到我们进入了21世纪，勒索变得形势更加多样了。在网络领域中的勒索攻击，大家可能比较熟悉的是电脑上的勒索软件，勒索攻击在车联网安全领域，各位也可能比较熟悉的是针对车辆操作系统的“锁车”攻击软件。

链接：https://ti.nsfocus.com/security-news/IlNVi

标签：CVE-2024-0230

概述：苹果近期发布了Magic Keyboard固件更新版本2.0.6，解决了蓝牙键盘注入漏洞问题（漏洞被追踪为CVE-2024-0230）。据悉，该安全漏洞是一个会话管理问题，由kySafe公司研究员Marc Newlin发现并上报，威胁攻击者能够利用漏洞获取键盘物理访问权限，窃取其蓝牙配对密钥并监控蓝牙通信。苹果公司在公告中指出，威胁攻击者一旦成功对配件进行物理访问，就有可能提取其蓝牙配对密钥并监控蓝牙流量。此外，威胁攻击者还可以利用未经验证的蓝牙连接到受影响的设备并注入恶意程序，从而实现安装应用程序、执行任意命令、转发消息等操作。

链接：https://ti.nsfocus.com/security-news/IlNVG

标签：Androxgh0st

概述：1月16日，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布了一份关于该恶意软件的联合公告，称名为Androxgh0st恶意软件的幕后黑客正在创建一个强大的僵尸网络。Androxgh0st最早可以追溯到2022年12月，当时Lacework的研究人员发现该恶意软件被用于窃取各种凭证，这些凭证来自很多主流应用，例如Amazon Web Services、Microsoft Office 365、SendGrid和Twilio。研究人员表示，由Androxgh0st组建的僵尸网络会搜索.env文件，这类文件通常被用来存储凭证和令牌。恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能，例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及Web shell部署。

链接：https://ti.nsfocus.com/security-news/IlNWv

标签：PyPI

概述：据相关研究人员声称，威胁分子正在寻找新的方法来滥用GitHub，企图诱骗开发人员将恶意代码放入到软件中，发送给下游用户。GitHub和Python软件包索引（PyPI）之类的代码库是黑客的热门目标，他们滥用软件供应链，更容易以低成本传播恶意软件同时逃避检测。ReversingLabs的逆向工程师Karlo Zanki在报告中写道，威胁分子已经可以熟练地利用公共服务作为指挥和控制（C2）基础设施。威胁研究团队发现，越来越多的人使用GitHub开源开发平台来托管恶意软件。

链接：https://ti.nsfocus.com/security-news/IlNUW