阅读： 15

一、威胁通告

1.Atlassian多个高危漏洞通告（CVE-2023-22508、CVE-2023-22505、CVE-2023-22506）

【标签】Atlassian、Confluence Data Center

【发布时间】2023-07-20 17:00:00 GMT

【概述】

近日，绿盟科技CERT监测到Atlassian官方发布安全公告，修复了Atlassian产品中的多个高危漏洞，请相关用户采取措施进行防护。Atlassian Confluence Data Center和Server远程代码执行漏洞（CVE-2023-22508/ CVE-2023-22505）：Atlassian Confluence Data Center和Server中存在远程代码执行漏洞，经过身份验证的远程攻击者利用该漏洞可实现远程代码执行，且无需用户交互。Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具，通过它能够实现团队成员之间的协作和知识共享。Bamboo Data Center和Server远程代码执行漏洞（CVE-2023-22506）：Bamboo Data Center和Server中存在远程代码执行漏洞，经过身份验证的远程攻击者利用该漏洞可导致修改系统调用执行操作，最终实现执行任意代码。

【参考链接】

    https://nti.nsfocus.com/threatNotice

2.Citrix ADC及Citrix Gateway远程代码执行漏洞（CVE-2023-3519）

【标签】Citrix ADC、Citrix Gateway、远程代码执行

【发布时间】2023-07-20 17:00:00 GMT

【概述】

近日，绿盟科技CERT监测到Citrix官方发布安全公告，披露了Citrix中存在的一个远程代码执行漏洞。当Citrix ADC或Citrix Gateway设备配置为网关（VPN虚拟服务器、ICA代理、CVPN、RDP代理）或AAA虚拟服务器时，无需身份验证的远程攻击者可利用此漏洞在目标设备上执行任意代码。CVSS评分9.8。目前已监测到在野利用，请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

3.Spring Security身份认证绕过漏洞（CVE-2023-34034）

【标签】Spring Security、身份认证绕过

【发布时间】2023-07-20 17:00:00 GMT

【概述】

近日，绿盟科技CERT监测到Spring官方发布安全公告，披露了Spring Security中存在的一个身份认证绕过漏洞。在WebFlux的Spring Security配置中使用\\\\\\\”**\\\\\\\”作为模式，会导致Spring Security 和Spring WebFlux之间模式不匹配，并可能造成身份认证绕过。CVSS评分9.1。请相关用户尽快采取措施进行防护。

【参考链接】

    https://nti.nsfocus.com/threatNotice

4.Oracle全系产品2023年7月关键补丁更新通告

【标签】Oracle、关键补丁更新、Weblogic

【发布时间】2023-07-19 14:00:00 GMT

【概述】

2023年7月19日，绿盟科技CERT监测发现Oracle官方发布了7月重要补丁更新公告CPU（Critical Patch Update），此次共修复了508个不同程度的漏洞，此次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Financial Services Applications、Oracle Enterprise Manager、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序，对漏洞进行修复。

【参考链接】

    https://nti.nsfocus.com/threatNotice

二、热点资讯

1.Zero-Day通过Word文档部署远程代码执行漏洞

【标签】Zero-Day

【概述】

一种未修补的零日漏洞目前正在被利用，针对那些对乌克兰感兴趣的人。微软报告称，CVE-2023-36884与以下报告有关：这些漏洞是一系列影响Windows和Office产品的远程代码执行漏洞。微软知道有有针对性的攻击企图通过使用特制的Microsoft Office文档来利用这些漏洞。攻击者可以创建一个特制的Microsoft Office文档，使他们能够在受害者的上下文中执行远程代码。但是，攻击者必须说服受害者打开恶意文件。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRx3

2.使用PWNPress为1500多万个WordPress网站编制索引

【标签】WordPress

【概述】

网络安全公司Sicuranex的PWNPress平台对超过1500万个WordPress网站进行了索引，收集与漏洞和配置错误相关的数据。利用广泛的Common Crawl数据集并推动数据分析的边界，Sicuranex成功地使用PWNPress服务索引了超过1500万个WordPress网站。这项努力涉及解析整个Web Archive Text（WAT）数据库，这是一个庞大的21 TiB存储库，以识别全球的WordPress安装。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRx5

3.研究人员称NoEscape勒索组织与Avaddon存在关联

【标签】NoEscape

【概述】

NoEscape勒索组织出现于2023年6月份，该勒索组织针对企业进行双重勒索攻击。攻击者对Windows、Linux系统和VMware ESXi服务器进行攻击，窃取数据并对文件进行加密。该勒索组织所勒索的金钱从数十万美元到一千多万美元不等，并已经在其数据泄露网站上列出了来自不同国家和行业的十个受害者。研究人员在对NoEscape勒索组织的加密程序进行研究后表示，该组织使用的加密程序与Avaddon组织的非常相似，其加密逻辑和文件格式几乎相同，加密算法只有一个显著区别。虽然NoEscape组织可能从Avaddon购买了加密程序的源代码，但许多研究人员表示NoEscape组织中的一些成员曾是Avaddon组织的核心成员。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRxL

4.腓尼基医疗中心证实其患者的数据泄露

【标签】医疗

【概述】

腓尼基医疗中心股份有限公司（PMC）最近报告了一起安全事件，网络攻击导致其部分IT系统中断。此次攻击事件于2023年3月31日被发现，但尚不清楚攻击开始的具体时间，未经授权的攻击者访问了包含患者健康信息的文件。PMC确认受影响的信息包括姓名、联系信息、人口统计信息、出生日期、身份证号码、医疗记录号码、诊断和治疗信息、提供者姓名、服务日期、处方信息以及健康保险信息。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRxN

5.数以千计的 OpenAI 凭证被盗并在暗网上出售

【标签】OpenAI

【概述】

威胁行为者对生成人工智能工具表现出越来越大的兴趣，数十万个 OpenAI 凭证在暗网上出售，并可以访问 ChatGPT 的恶意替代品。无论技术水平较低还是经验丰富的网络犯罪分子都可以使用这些工具来创建更具说服力的网络钓鱼电子邮件，这些电子邮件是为目标受众定制的，以增加成功攻击的机会。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRyl

6.虚假的GitHub Repos再次捕获到将恶意软件作为POC丢弃！

【标签】GitHub

【概述】

该诈骗中添加的后门具备广泛的数据外泄功能，包括主机名、用户名和详细的主目录内容列表。网络安全研究人员发现了安全社区内的一个欺骗性趋势——一个看似解决漏洞的GitHub概念验证（PoC）存储库，实际上包含了隐藏的后门。Uptycs威胁研究团队的发现引起了安全研究社区的关注和担忧。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwX

7.MalPipe：一款功能强大的恶意软件分析与处理引擎

【标签】MalPipe

【概述】

MalPipe是一款功能强大的恶意软件分析与处理引擎，该工具基于模块化开发，同时也是一款恶意软件/IoC收集与处理工具。在该工具的帮助下，广大研究人员可以从多个数据源（feed）提取恶意软件或威胁行为相关的域名、URL地址和IP地址等数据，然后以此来丰富分析数据并以合适的格式导出分析处理结果。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRxf

8.如何使用PyMeta搜索和提取目标域名相关的元数据

【标签】PyMeta

【概述】

PyMeta是一款针对目标域名元数据的信息收集工具，该工具基于Python 3开发，是PowerMeta（基于PowerShell开发）的Python 3重构版本，在该工具的帮助下，广大研究人员可以将目标域名相关的网页元数据（文件等）提取到本地，这种技术可以有助于我们识别目标域名、用户名、软件/版本和命名约定等。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRwT

9.JumpCloud将安全漏洞归咎于老练的国家行为者

【标签】JumpCloud

【概述】

在JumpCloud重置了受安全事件影响的客户的API密钥一周多一点后，该公司表示，这次入侵是一个老练的民族国家行为者所为。JumpCloud首席信息安全官(CISO) Bob Phan在事后报告中表示，攻击者“未经授权访问了我们的系统，瞄准了一小部分特定的客户。”“威胁行为者使用的攻击媒介已经得到了缓解。”这家美国企业软件公司表示，它于2023年6月27日在一个内部编排系统上发现了异常活动，并将其追溯到攻击者于6月22日发起的鱼叉式网络钓鱼活动。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRy3

10.AIOS WordPress插件被发现在明文中记录密码和其他信息

【标签】AIOS

【概述】

WordPress安全插件All-in-One Security（AIOS）在后台默默记录了用户的登录活动和密码明文。在该问题被公开披露后，插件团队修复了该漏洞。由于补丁现在已经可用，WordPress管理员必须立即更新其网站，以防止潜在的威胁。

【参考链接】

    https://ti.nsfocus.com/security-news/79vRxp

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司（“绿盟科技”）。作为分享技术资讯的平台，绿盟科技期待与广大用户互动交流，并欢迎在标明出处（绿盟科技-技术博客）及网址的情形下，全文转发。
上述情形之外的任何使用形式，均需提前向绿盟科技（010-68438880-5462）申请版权授权。如擅自使用，绿盟科技保留追责权利。同时，如因擅自使用博客内容引发法律纠纷，由使用者自行承担全部法律责任，与绿盟科技无关。