每日安全动态推送(24/10/29)

• 思科ASA与FTD软件中远程访问VPN服务的重大漏洞

近日，思科确认在其自适应安全设备(ASA)和Firepower威胁防御系统的远程访问虚拟专用网络(VPN)功能中存在重大漏洞(CVE-2024-20481)。这一漏洞使未授权远程攻击者能发起资源耗尽式攻击，造成拒绝服务(DoS)状况，严重影响企业网络运营稳定性。思科已经发布了紧急补丁，建议用户立即升级以避免潜在风险。

• AWS CDK 预测性存储桶命名漏洞致账户全控风险

安全专家揭露了一项存在于AWS Cloud Development Kit（CDK）的重大漏洞，该漏洞源自其可预见性的S3存储桶命名方式，使得攻击者有机会通过操纵CloudFormation模板来插入具有高度特权的角色或其他恶意元素，最终达到对受影响AWS账户进行全面控制的目的。此问题主要出现在CDK版本v2.148.1及其之前的版本上。

• 滥用Docker远程API部署SRBMiner挖矿恶意软件

近期出现的一种新威胁是攻击者利用Docker远程API的安全缺陷，借助gRPC协议-over-h2c技巧，避开防御体系并在受害者的系统中植入SRBMiner加密矿机从事违法挖矿行动。此策略允许入侵者掌控Docker的功能，进而秘密运行XRP虚拟币的采矿作业。

• 工程化破解：深入探索WCF安全测试方法

本文深入探讨了在渗透测试中遇到的复杂技术挑战，特别是针对基于WCF的应用程序。作者通过构建一个完全可控的测试系统来克服限制和工具不足的问题，展示了软件工程实践如何提升安全评估的质量与效率。

• 嗅探泄露：我的BitLocker密钥外泄了

本文深入研究了通过公开工具对可信平台模块（TPM）的SPI接口进行嗅探攻击，以低成本提取BitLocker密钥。文章亮点在于首次公开展示从SPI总线窃听TPM通信并成功获取加密键的方法。

• 绕过Trusted Types的DOM型XSS漏洞分析与防范策略

本文深入探讨了多种绕过Trusted Types安全机制的DOM型XSS攻击方法，揭示了在Blob URL、XMLHttpRequest响应类型、Service Worker中的Response对象以及非DOM API脚本加载等场景下的漏洞。这些发现对提升网络安全防护策略具有重要价值。

• NUUO网络视频录像机upload.php任意文件上传漏洞

本次事件涉及NUUO公司的网络视频录像机产品中的一处重大安全缺陷：未经身份验证的攻击者能够利用upload.php界面上传任意文件，导致服务器受到未经授权的控制风险。

• 大型语言模型的远程代码执行漏洞剖析：以LoLLMs为例

本文深入剖析了大型语言模型（LLM）在集成外部组件时面临的远程代码执行漏洞，揭示了一个关键的安全威胁。通过详细分析LoLLMs中的具体案例，文章展示了攻击者如何利用这些漏洞对系统造成危害。