• 新公布文件显示美国政府手机监控规模异乎寻常

来自Wordfence的研究人员对近期高频率出现的针对WordPress Page Builder插件的网络攻击发出警告，这些攻击都是试图利用WordPress插件中一个名为Kaswara Modern WPBakery Page Builder Addons的未修补漏洞。该漏洞被追踪为CVE-2021-24284，在CVSS漏洞评分系统中被评为10.0，此项漏洞与未经授权的任意文件上传有关，可被滥用以获得代码执行，最终使得攻击者能够夺取受影响WordPress网站的控制权。尽管该漏洞早在2021年4月由WordPress安全公司就已经进行了披露，但至今为止该漏洞仍未得到解决。更为糟糕的是，该插件已经停止更新，WordPress也不再积极维护该插件。

• Juniper Networks修复200多个第三方组件漏洞

这些漏洞影响 Junos OS（包括SPX、EX、PTX、QFX 和 MX 系列设备上的 Junos OS）、Junos Space、Contrail Networking和 Northstar Controller产品。该公司在六份安全公告中描述了Juniper 产品中的六个高危漏洞。除了其中一个漏洞外，其它漏洞可遭网络上的未认证攻击者利用，引发拒绝服务条件。余下漏洞可导致以低权限认证的本地攻击者完全控制目标设备。另外六份安全报告中的漏洞是“严重”或“高危”级别，说明的是影响第三方组件如 Nginx、OpenSSL、Samba、Java SE、SQLite 和 Linux 等的200多个漏洞。虽然其中一些漏洞是最近发现的，但其它漏洞已存在近十年的时间。余下的安全公告说明的是影响 Junos OS 的中危漏洞。Juniper 公司表示尚未发现漏洞已遭利用的证据。美国网络安全和基础设施安全局 (CISA) 建议组织机构审查 Juniper 公司的安全公告并在必要时应用补丁或缓解措施。

• 通过欺骗GitHub commit元数据发动供应链攻击

开源软件有助于开发人员更快地创建应用程序，不过很多开发人员认为这些软件源自可信来源而跳过评审步骤。例如，开发人员可能选择被积极维护的GitHub 仓库或者拥有声誉良好的个人作为贡献者的仓库。研究人员指出，威胁行动者可伪造与GitHub 仓库相关联的数据提升信誉，从而更可能被应用开发人员选中。具体而言，研究人员发现攻击者可篡改提交元数据，使仓库看起来比实际存在的时间更久，或者声誉良好的贡献者参与了维护工作。Commit 对于Git 版本控制系统而言至关重要：它们记录对文件做出的修改、修改是何时发生的以及谁做出了这些修改。每个commit 都有一个唯一的ID或哈希。

• Linux 内核中的 Retbleed 已修复，补丁延迟

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮