当前位置: 首页 > 行业资讯 > 网络安全日报 2024年11月08日

网络安全日报 2024年11月08日

发表于:2024-11-08 08:10 作者: 合天网安实验室 阅读数(3113人)

1、思科发布针对工业无线系统中严重URWB漏洞补丁

https://thehackernews.com/2024/11/cisco-releases-patch-for-critical-urwb.html

思科发布了安全更新,以解决影响超可靠无线回程 ( URWB ) 接入点的最严重安全漏洞,该漏洞可能允许未经身份验证的远程攻击者以提升的权限运行命令。该漏洞编号为CVE-2024-20418 (CVS 评分:10.0),被描述为源于思科统一工业无线软件基于 Web 的管理界面缺乏输入验证。

2、恶意PyPI包“Fabrice”窃取数千名开发人员的 AWS 密钥

https://thehackernews.com/2024/11/malicious-pypi-package-fabrice-found.html

网络安全研究人员在 Python 包索引 (PyPI) 上发现了一个恶意包,该包在三年多的时间里已经获得了数千次下载,同时还秘密窃取了开发人员的 Amazon Web Services (AWS) 凭证。有问题的包是“ fabrice ”,它误植了一个名为“ fabric ”的流行 Python 库,该库旨在通过 SSH 远程执行 shell 命令。虽然合法软件包的下载量已超过 2.02 亿次,但迄今为止,其恶意软件包的下载次数已超过 37,100 次。截至撰写本文时,“fabrice”仍然可以从 PyPI 下载。它于 2021 年 3 月首次发布。

3、出于安全考虑,加拿大命令 TikTok 关闭加拿大业务

https://thehackernews.com/2024/11/canada-orders-tiktok-to-shut-down.html

加拿大政府周三以国家安全风险为由,下令字节跳动旗下的 TikTok 解散其在该国的业务,但并未对这个流行的视频共享平台实施禁令。

4、思科披露了多个影响其身份服务引擎 (ISE) 软件的漏洞

https://cybersecuritynews.com/cisco-identity-services-engine-flaw-2/

这些漏洞可能允许经过身份验证的远程攻击者绕过授权机制或进行跨站点脚本(XSS) 攻击。此通报于 2024 年 11 月 6 日发布,强调了与这些漏洞相关的风险,并提供了可用修复程序的详细信息。

5、黑客可以随意访问EA公司7亿用户账号

https://www.freebuf.com/news/414675.html

据Cyber News消息,游戏开发人员兼白帽 Sean Kahler 发现了一个影响 Electronic Arts (EA) 帐户系统的漏洞,可以在未经授权的情况下访问任何EA用户帐户(目前EA用户有大约7亿),包括游戏统计数据。

6、国际刑警组织摧毁了22000个 IP 地址上的网络犯罪活动

https://www.bleepingcomputer.com/news/security/interpol-disrupts-cybercrime-activity-on-22-000-ip-addresses-arrests-41/

国际刑警组织宣布,在一项名为 Operation Synergia II 的国际执法行动中逮捕了 41 名犯罪嫌疑人,并摧毁了在 22000 个 IP 地址上运行的 1,037 台服务器和基础设施,这些服务器和基础设施为网络犯罪提供了便利。

7、Pwn2Own 上白帽黑客连续第四次突破百万美元奖金大关

https://app.myzaker.com/news/article.php?pk=672aeab2b15ec0073a6a7dff

Pwn2Own Ireland 2024 第四天黑客竞赛结束, 本届 Pwn2Own 是白帽黑客连续第四次突破百万美元奖金大关,总共赢得了 1066625 美元。

8、德国计划将白帽黑客行为合法化

https://cybernews.com/security/germany-plans-to-decriminalize-whitehat-hacking/

德国政府已提出立法草案,将旨在寻找安全漏洞的道德黑客行为排除在刑事起诉之外。

9、施耐德电气遭遇网络攻击,黑客竟索要 40 万根法棍

https://www.ithome.com/0/808/179.htm

黑客组织 Greppy 在社交媒体上发布了挑衅性的言论,并晒出了一小部分窃取的数据。随后,黑客在暗网上进一步详细说明了勒索要求,要求施耐德电气支付 12.5 万美元的赎金,但形式非常特殊 ——40 万根法式长棍面包。

10、OWASP发布深度伪造事件响应指南

https://www.darkreading.com/application-security/owasp-releases-ai-security-guidance

近日,全球应用安全项目组织(OWASP)发布了一系列专门应对AI威胁的指南,为企业提供深度伪造事件的响应框架,并设立AI安全卓越中心和AI安全解决方案数据库。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。