Patchstack的威胁研究人员Dave Jong发现,黑客正在积极利用Houzez主题和WordPress插件中的两个严重漏洞,这两个插件主要用于房地产网站。第一个Houzez漏洞被追踪为CVE-2023-26540,其严重等级为9.8(满分10.0)。这是一个影响Houzez主题插件2.7.1及更早版本的安全配置错误,可以在不需要身份验证的情况下远程利用它来执行权限提升。第二个漏洞被跟踪为CVE-2023-26009,严重等级为9.8,影响Houzes登录注册插件。它影响2.6.3及更早版本,允许未经身份验证的攻击者使用该插件在站点上执行权限提升。
https://thehackernews.com/2023/02/cisa-issues-warning-on-active.html
美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据,将一个影响ZK框架的高严重性漏洞添加到其已知被利用漏洞(KEV)目录中。该漏洞被跟踪为CVE-2022-36537(CVSS分数:7.5),影响ZK框架版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1,并允许威胁参与者通过特制的请求检索敏感信息。该漏洞已于2022年5月在版本9.6.2、9.6.0.2、9.5.1.4、9.0.1.3和8.6.4.2中进行了修补。NCC Group的Fox-IT研究团队上周证实,该漏洞已被大规模利用,以获得初始访问权限,并在286台服务器上部署web shell后门。
多名美国高级执法官员周一表示,美国法警署(U.S. Marshals Service)在一个多星期前遭遇安全漏洞,泄露了敏感信息。在周一的一份声明中,美国法警署发言人Drew Wade承认了这一违规行为,并表示:“受影响的系统包含执法敏感信息,包括法律程序的申报、行政信息以及与美国法警署调查对象有关的个人身份信息,其中还包含法警署的员工。”Wade称该事件发生在2月17日,当时法警署“发现了一个影响独立USMS系统的勒索软件和数据泄露事件。”该系统断开网络连接,调查正在进行中。
https://www.freebuf.com/news/358940.html
近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。
https://www.freebuf.com/news/358895.html
2月27日,卡巴斯基公布的《2022 年移动威胁》显示,去年出现了近20万个新型手机银行木马,比前一年增长了 100%,达到了近六年来的最快增幅。
https://www.secrss.com/articles/52284
根据IDC的预测,未来五年网络安全AI市场的复合年增长率为23.6%,2027年市值将达到463亿美元。
https://thehackernews.com/2023/02/dutch-police-arrest-3-hackers-involved.html
当地时间27日消息,荷兰警方宣布逮捕三名与涉及数据盗窃、勒索和洗钱的“大规模”犯罪行动有关的人。
https://thehackernews.com/2023/02/bitdefender-releases-free-decryptor-for.html
Bitdefender发布了一款免费解密器,适用于名为MortalKombat的新型勒索软件。MortalKombat 是 2023 年 1 月出现的一种新勒索软件变种。它基于名为 Xorist 的商品勒索软件,在针对美国、菲律宾、英国和土耳其实体的攻击中被观察到。
https://thehackernews.com/2023/02/new-ex-22-tool-empowers-hackers-with.html
一种名为 EXFILTRATOR-22(又名 EX-22)的新后利用框架已经出现,其目标是在企业网络中部署勒索软件,同时具有高度隐蔽性。
https://www.securityweek.com/security-defects-in-tpm-2-0-spec-raise-alarm-bells/
Quarkslab 的安全研究人员在可信平台模块 (TPM) 2.0 参考库规范中发现了一对严重的安全缺陷,促使跨供应商开展大规模工作来识别和修补易受攻击的安装。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
