每周云安全资讯-2022年第51周
1
亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像
近日,Lightspin安全分析师在Amazon ECR(弹性容器注册表)公共库中发现一个严重漏洞,允许攻击者删除任何容器映像或将恶意代码注入其他AWS账户的镜像。
https://mp.weixin.qq.com/s/H_hMNmmUHVLFEI8s4ROxUQ
2
Kubernetes 漏洞的教训:供应链安全
Kubernetes编排系统中爆发的漏洞,使人们意识到开源软件在企业中的价值和关键任务属性,也提醒我们必须注意保护上游开源项目。
https://mp.weixin.qq.com/s/X9s5VvRpY1oVU3cSqCH82A
3
用于 VMWare ESXi 服务器的自定义 Python 后门
未打补丁的VMware ESXi 虚拟化服务器一直是一个热门的在野攻击的目标。本文将介绍Juniper 网络威胁实验室发现的一个植入 VMware ESXi 虚拟化服务器的后门,分析其原理以及提出此类问题的缓解方式。
https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers
4
Akamai 和 S3 存储桶之间的异常缓存投毒技术
本文将介绍一种发生在 Akamai 和 Amazon S3 Bucket 之间的不寻常的缓存投毒攻击方式。
https://spyclub.tech/2022/12/14/unusual-cache-poisoning-akamai-s3/
5
Azure AD 信息收集工具:AzureGraph
AzureGraph:是一款基于 Microsoft Graph 技术, 从 Azure AD 获取各种信息, 例如用户、设备、应用程序的工具。
https://github.com/JoelGMSec/AzureGraph
6
Tetragon – 盯向内核的眼睛
Tetragon是一款基于 eBPF技术的运行时安全实施和可观察性开源工具。多年来一直是 Isovalent Cilium Enterprise的一部分。
https://mp.weixin.qq.com/s/0IXlHu0LdQi1ttlcfSz1fg
7
谷歌进军漏洞管理市场,推出免费开源漏洞扫描工具
谷歌推出免费漏洞扫描器OSV-Scanner,为开发人员提供开源项目漏洞信息查询服务,谷歌宣称OSV-Scanner提供当前最大的社区可编辑开源漏洞数据库。
https://mp.weixin.qq.com/s/HoIykrIZsGrr0E2yXFPRpQ
8
PRoot漏洞可劫持Linux设备
本文介绍了Sysdig研究人员发现的攻击者利用 PRoot隔离文件系统漏洞劫持Linux设备的在野利用情况。。
https://mp.weixin.qq.com/s/Re9sxysRf_BPk3MzpIEXnQ
9
深入 Azure 功能:HyperV 是最后一道防线
Unit 42 研究人员调查了 Azure 的无服务器架构安全性,发现能够突破到底层主机,而HyperV 将是其安全的最后一道防线。
https://unit42.paloaltonetworks.com/azure-serverless-functions-security/
10
K8s 最强 CNI Cilium 网络故障排查指南
本文重点介绍了K8S 底层网络模块从kubenet 升级到cilium后出现的一些问题,以及这些问题的原理和处理方法。
https://mp.weixin.qq.com/s/jBuNPOKbL-keXmzq1gq-mQ
11
受损的云计算凭据:来自在野攻击案例的研究
本文介绍了云计算凭证泄漏后的两个在野攻击案例,分别是钓鱼攻击以及挖矿攻击。
https://unit42.paloaltonetworks.com/compromised-cloud-compute-credentials/
12
VMware vRNI 命令注入漏洞(CVE-2022-31702)
vRealize Network Insight (vRNI) REST API 中存在一处命令注入漏洞。VMware 已评估此问题,并将其定级为严重漏洞。具有 vRNI REST API 网络访问权限的攻击者可以在未经身份验证的情况下执行恶意命令。
https://www.vmware.com/security/advisories/VMSA-2022-0031.html
点击阅读原文或访问
https://cloudsec.tencent.com/info/list.html
查看历史云安全资讯
相关文章
- 《2022年上半年游戏安全洞察报告》发布:外挂肆虐,内容安全问题依旧严峻
- 清华大学《数智安全与标准化》大作业项目征集说明(2022年秋季)
- 每周云安全资讯-2022年第32周
- 每周云安全资讯-2022年第47周
- 干货 | Github安全搬运工 2022年第十八期
- 火绒安全入选《2022年中国数字安全百强报告》专精特新百强
- OpenSSL曝出“严重”漏洞 腾讯安全已支持全方位检测防护(CVE-2022-3786 和 CVE-2022-3602)
- 关于浏览器安全,你需要知道的那些知识点!
- 最后一周!2022中国云原生安全调查即将截止
- 干货 | Github安全搬运工 2022年第十九期
- 2022年最常用密码公布,你的账号安全吗?
- 一文读懂最佳 Kubectl 安全插件(下)
- 最新锂电池MSDS物质安全数据表,IATA DGR 63版2022年锂电池运输规定
- 再摘一枚重要奖项!腾讯安全获得云安全联盟CSA 2022安全金盾奖
- antivirus拯救Linux安全:Mcafee杀毒软件(linuxmcafee)
- 的安全性保障Oracle平台安全的可行之道(oracle平台)
- 安全保障:Redis登录密码设置指南(redis登录密码设置)
- 探究Linux安全架构:如何确保系统安全稳定?(linux安全架构)
- Oracle中安全存储加密字段值的实现(oracle中加密字段值)