全球动态

1.日本发布《人工智能红队测试方法指南》1.0

近期，日本AI安全研究所正式公布了‍‍《人工智能红队测试方法指南》1.0及其概要版本。与此同时，研究所还同步发布了《AI 安全评估观点指南》，旨在帮助人工智能 （AI） 系统的提供者和参与开发和提供人工智能 （AI） 系统的人员进行人工智能安全评估。 【阅读原文】

2.FBCS数据泄露影响了23.8万名 Comcast 客户

电信巨头康卡斯特（Comcast）正在通知受金融商业和消费者解决方案公司（FBCS）数据泄露事件影响的约 23.8 万名客户。FBCS 是一家第三方债务催收机构，它收集客户的个人信息，以便代表这些客户开展债务催收活动。【阅读原文】

3.因SSL证书过期，英格兰银行关键支付系统崩溃

近日，《The Stack》报道称，2024年7月，英格兰银行支付系统——CHAPS系统因“银行基础设施中的SSL/TLS证书过期”而发生故障。 【阅读原文】

4.《网络安全技术 办公设备安全规范》等9项网络安全国家标准获批发布

根据2024年9月29日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第22号），全国网络安全标准化技术委员会归口的9项国家标准正式发布。【阅读原文】

5.全球 38% 的组织面临现代云环境带来的风险

Tenable《2024年云风险报告》显示，这些公司面临的风险来自于 “有毒云三要素”，其中包括公开暴露、极度脆弱和高权限的云工作负载。 【阅读原文】

6.高通产品被发现存在 20 个漏洞，其中包括一个潜在的零日漏洞

高通公司解决了其产品中的 20 个漏洞，包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “释放后使用”（use-after-free）错误。【阅读原文】

安全事件

1.可导致设备崩溃，MMS协议被曝存在多个安全漏洞

Claroty研究人员发现制造信息规范（MMS）协议中存在多个安全漏洞，一旦被黑客利用，将很有可能会对工业环境中造成严重影响。 【外刊-阅读原文】

2.因配置不当，约5000个AI模型与训练数据集在公网暴露

暴露的工具包括MLflow、Kubeflow和TensorBoard实例。这些工具通常用于帮助企业在云端训练和部署生成式AI模型，或可视化其结果。 【阅读原文】

3. Internet Archive 遭遇黑客攻击，导致 3100 万用户数据泄露

昨天（10月9日）下午 ，在 archive.org 的访问者开始看到黑客创建的 JavaScript 警报后，有关泄露的消息开始流传，称 Internet Archive 已被入侵。 【外刊-阅读原文】

4. Google 与 GASA 和 DNS RF 联手打击大规模在线诈骗

该计划的代号为 Global Signal Exchange （GSE），旨在将来自不同数据源的威胁信号汇集在一起，实时洞察诈骗、欺诈和其他形式的网络犯罪，以便更深入地了解网络犯罪的协助者。 【外刊-阅读原文】

5. CISA 警告 Palo Alto 和 Cisco 发布紧急安全补丁时存在严重的 Fortinet 漏洞

美国网络安全和基础设施安全局 （CISA） 周三将影响 Fortinet 产品的严重安全漏洞添加到其已知利用漏洞 （KEV） 目录中，并引用了主动利用的证据。 【外刊-阅读原文】

6.乌克兰国防部成立军事CERT以应对俄罗斯网络攻击

乌克兰国防部10月7日宣布建立新的网络事件响应中心，重点是保卫该国军事和通信网络，对网络事件提供全天候监控和响应。 【阅读原文】

优质文章

1. 渗透测试 | 一起漏洞利用&水坑攻击分析

攻击者利用这一漏洞植入webshell，并将Meterpreter后门植入受害主机，构建“某有限公司薪资表”木马，载诱饵文件为CobaltStrike木马。 【阅读原文】

2. phpcms 文件上传复现+审计

我的分析只是思考为什么是这样一个poc和其中需要注意什么细节，首先找到文件注册的register()函数

首先看到getcache()函数，这个函数是获取modelid模块中可以使用哪些函数。【阅读原文】

3. 漏洞挖掘 | 挖SRC的新思路？一文详解国内AI场景漏洞挖掘

2023年3月30号受邀参加HackinClub北京线下AI+网络安全主题会议，在台上给大家分享了《实践挖掘国内AI场景漏洞：科技前沿与安全探索》议题，受到了各位挖挖洞师傅的喜欢。同时也有很多师傅加了我的微信想要ppt中的具体挖洞案例，想立马拿去src实践，赚一波money。 【阅读原文】
*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。