全球动态

1.损失高达1860亿美元，API风险防不胜防

近日，Imperva 发布的《API和机器人攻击的经济影响报告》 ，指出组织每年因脆弱或不安全的API（应用程序编程接口）和机器人自动化滥用而损失940亿至1860亿美元。【外刊-阅读原文】

2.新型僵尸网络针对 100 个国家发起 30 万次 DDoS 攻击

近日，网络安全研究人员发现了一个名为 Gorilla（又名 GorillaBot）的新僵尸网络恶意软件家族，它是已泄露的 Mirai 僵尸网络源代码的变种。【外刊-阅读原文】

3.美国水务公司在网络攻击后关闭在线服务

美国水务公司是美国最大的上市供水和废水公用事业公司，在周四的网络攻击后被迫关闭了部分系统。

在提交给美国证券交易委员会 （SEC） 的一份文件中，American Water 表示，它已经聘请了第三方网络安全专家来帮助遏制和评估该事件的影响。【外刊-阅读原文】

4.英国政府就AI网络安全“行为守则”公开征求意见

英国的组织面临着复杂的网络安全环境，我们希望确保他们有信心在其基础设施中采用 AI。目前，47%使用 AI的组织没有任何特定的 AI网络安全实践或流程。因此，我们必须确保安全地设计、开发、部署和维护AI。【阅读原文】

5.9国14个监管机构联合发布《运营技术网络安全原则》

将增强在设计、实施和管理OT环境时做出稳健、知情和全面的决策的能力，从而促进安全、可靠性和业务连续性。【阅读原文】

6.“盐台风”登陆，美国政府窃听系统遭反窃听？

包括Verizon、AT&T和Lumen Technologies在内的多家美国主要宽带服务提供商的网络遭渗透，此次攻击的目的似乎是为了收集情报，黑客可能已进入了联邦政府用于法院授权的窃听系统中。【阅读原文】

安全事件

1.MoneyGram 确认黑客在网络攻击中窃取了客户数据

在此期间，威胁行为者窃取了大量敏感的客户信息，包括交易信息、电子邮件地址、邮政地址、姓名、电话号码、水电费账单、政府 ID 和社会安全号码。【外刊-阅读原文】

2.乐高网站被黑客入侵以推送加密货币骗局

根据乐高 Reddit 版主“mescad”的说法，违规行为发生在美国东部标准时间晚上 9 点，持续了大约 75 分钟，直到美国东部时间晚上 10 点 15 分，该网站才得以恢复。【外刊-阅读原文】

3.CVE-2023-52447：Linux 曝出内核漏洞

最近，研究人员发布了 Linux 内核中一个漏洞的技术细节和概念验证 （PoC） 漏洞，该漏洞被指定为 CVE-2023-52447。此释放后使用漏洞的 CVSS 评分为 7.8，会影响从 v5.8 到 v6.6 的 Linux 内核版本，并可能对依赖容器化进行安全隔离的系统产生严重影响。【外刊-阅读原文】

4.单个 HTTP 请求可以利用 600万个 WordPress 网站

安装超过 600 万次的 WordPress 插件容易受到跨站点脚本缺陷 （XSS） 的攻击，该漏洞允许攻击者提升权限并可能安装恶意代码，从而在受影响的网站上启用重定向、广告和其他 HTML 负载。【外刊-阅读原文】

5.Okta修复了允许登录政策绕过的关键漏洞

Okta 修复了其 Classic 产品中的一个漏洞，该漏洞允许攻击者绕过登录策略。开采需要有效证件和使用”未知”装置。受影响的用户应查看系统日志。【阅读原文】

6.LemonDuck利用EternalBlue漏洞进行加密挖掘攻击

来自奥法和NetbyteSEC安全研究人员的最新报告揭示了LemonDuck恶意软件的死灰复燃，该恶意软件现在正在利用微软服务器消息块（SMB）协议中的EternalBlue漏洞（CVE-2017-0144）来促进加密攻击。 【阅读原文】

优质文章

1.高级漏洞篇 | Web大语言模型攻击专题

PortSwigger是信息安全从业者必备工具burpsuite的发行商，作为网络空间安全的领导者，他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场)，在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习。【阅读原文】

2.CC1链——全网最菜的分析思路

Java的序列化机制允许将对象的状态保存到一个字节流中，之后可以从这个字节流中恢复（或“反序列化”）出对象。这个过程中，ObjectInputStream类负责读取这些字节流，并尝试根据包含的类型信息重新创建对象。【阅读原文】

3.深入分析CVE-2023-22518：Confluence中的身份验证绕过实例

CVE-2023-22518是一种在Confluence数据中心中发现的零日漏洞，该数据中心是一个自我管理的解决方案，旨在为组织提供最佳协作实践。该漏洞被C3RB3r（Cerber）勒索软件作为一种服务在实际中被积极利用。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。