FreeBuf 周报 | 现代汽车爆出逻辑漏洞;PyPI 包存在恶意代码
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
热点资讯
1. 全球经济衰退的大环境下,对网络安全岗位影响最低
网络安全认证组织(ISC)2 的一项新研究显示,网络安全专业人员可能会比其他大多数工人更好地度过经济衰退期,因为企业高管担心经济衰退可能带来网络攻击的增加,并承认很难雇用到有知识的工人。
2. Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
一个被追踪为“V3G4”的 Mirai 恶意软件新变种异常活跃,正在利用基于 Linux 服务器和物联网设备中的 13 个漏洞,展开 DDoS(分布式拒绝服务)攻击。
3. 值得警惕,攻击者仍在利用已修复的 Exchange 漏洞
攻击者利用被跟踪为 CVE-2021-34473 和 CVE-2021-34523 的 ProxyShell 漏洞来获得对目标网络的初始访问权限。
4. 谷歌人工智能聊天机器人Bard项目翻车
2 月 8 日晚间,谷歌抢先发布 ChatGPT “孪生兄弟” Bard 。与众人期待得不同,谷歌产品不单没有取得热烈反响,反而因或无亮点和常识性错误拖累了股市,致使美股开盘即暴跌约 8%,市值蒸发 1000+亿美元。
5. 现代和起亚汽车爆出逻辑漏洞,只需一根 USB 线即可开走汽车
此次安全升级的缘由是 2022 年 7 月 TikTok 上疯狂传播的“Kia Challenge”活动,“实验人员”只需一根 USB 线即可盗走现代或者亚汽车,虽然此举本质上是一种偷车行为,但汽车存在安全逻辑漏洞的问题还是引起广泛讨论。
安全事件
1. 土耳其和叙利亚地震后,网络捐款诈骗遍地开花
哪里发生悲剧,哪里就有骗子。在土耳其和叙利亚发生大地震后,金融诈骗犯利用这场自然灾害诱骗人们向慈善机构捐款,谋取私利。
2. 黑客创建恶意 Dota 2 游戏模式,秘密部署后门
Dota 2 的玩家注意了,你使用的游戏模式很可能被黑客盯上了。2 月13日消息,未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式,这些模式可能已经被利用来建立对玩家系统的后门访问。
3. 美国数万人被骗,损失超 7 亿美元,情人节为何成情人劫?
据国外某网络钓鱼专家称,每年的情人节都是恋爱诈骗案的飙升时刻,伪装的钓鱼人员会不遗余力地对受害者进行 "糖衣炮弹",使其沉浸在甜言蜜语之中,难以自拔,失去理智。
4. 赶紧排查这个零日漏洞!全球已有 130 多家企业组织中招
Clop 勒索软件组织最近利用 GoAnywhere MFT 安全文件传输工具中的零日漏洞,从 130 多个企业组织中窃取了数据。
5. 警惕!PyPI Python 软件包存在多种恶意代码
研究人员发现 Python 软件包索引(PyPI)中存在四个不同的流氓软件包,包括投放恶意软件,删除netstat工具以及操纵 SSH authorized_keys 文件。
一周好文共读
1. 2023 年 DevSecOps 发展趋势
DevSecOps 可能是一个相对较新的组合学科,指的是在软件开发生命周期的早期包含安全规划,以加强网络防御,但它将成为企业的一个至关重要的领域。本文了预计 2023 年 DevSecOps 领域将出现的主要行业趋势。
2. 有趣的 Hack-A-Sat 黑掉卫星挑战赛——被破坏的阿波罗计算机(解法一)
2020 年 9 月 4 日,美国白宫发布了首份针对太空网络空间安全的指令——《航天政策第 5 号令》,其为美国首个关于卫星和相关系统网络安全的综合性政策,标志着美国对太空网络安全的重视程度达到新的高度。在此背景下,美国自 2020 年起,连续两年举办太空信息安全大赛“黑掉卫星(Hack-A-Sat)”,在《Hack-A-Sat太空信息安全挑战赛深度解析》一书中有详细介绍,本文介绍了Hack-A-Sat黑掉卫星挑战赛的寻找阿波罗导航计算机中被修改的PI(apollo_gcm)这道赛题的解题过程。
3. 网络攻防对抗之“左右互搏术”
本文介绍了一种从攻防两个维度研究分析网络安全对抗技术的方法。该方法基于 Sysmon 日志、ATT&CK 标签日志、操作系统日志的分析实践,通过几种典型攻防对抗技术示例,着重介绍和分析攻击在主机层面特征,为蓝队人员“看得见”“看得清”网络威胁,提供了一种简单易学的技术修炼方法。也借此抛砖引玉,希望在安全规则优化或威胁狩猎的专家能有更多此方面技术分享。
省心工具
1. Fuxploider:一款针对文件上传漏洞的安全检测与研究工具
Fuxploider 是一款功能强大的开源渗透测试工具,该工具专门针对文件上传漏洞而设计,可以帮助广大研究人员以自动化的方式检测和利用目标站点文件上传表单中的安全问题。
2. 如何使用 Web Shell Detector 识别和检测站点中的可疑Shell脚本
Web Shell Detector 是一款功能强大的 PHP 脚本,该脚本可以帮助广大研究人员识别、检测和发现目标站点中的可疑 PHP/CGI(PERL)/ASP/ASPX Shell 脚本。Web Shell Detector 提供了一个“Web Shell”签名数据库,可以帮助我们识别网络中大约99%的“Web Shell”。通过使用最新的 JavaScript 和 CSS 技术,该工具成功实现了友好的用户接口和体积上的轻量级。
3. DEScrypt:一款基于CPU的哈希碰撞安全研究工具
DEScrypt,全称为 DEScrypt-CPU-Collision-Cracker,它是一款基于 CPU 的高性能哈希碰撞破解工具。该工具专为Linux操作系统平台设计,基于 C++ 语言开发,在该工具的帮助下,广大研究人员能够轻松推断出密码盐(salt)值并使用密码列表来破解目标哈希。
精彩推荐
相关文章
- 技嘉 Intel/AMD 主板同时发布重大漏洞修补 BIOS
- zabbix最新漏洞,可绕过认证登陆!
- 常见逻辑漏洞总结「建议收藏」
- 十大漏洞之逻辑漏洞
- Web安全之业务逻辑漏洞
- SSRF漏洞详解 一文了解SSRF漏洞
- 云安全 | k8s 提权漏洞 CVE-2018-1002105 学习
- thinkphp5.0漏洞_thinkphp6漏洞
- 网站安全逻辑漏洞如何修复与防护
- 价值1500€的逻辑漏洞挖掘思路分享
- Android 组件逻辑漏洞漫谈
- 公开web漏洞报告逻辑分析整理[持续更新]
- Chrome被爆严重零日漏洞,谷歌督促用户尽快更新
- tp6.0.13反序列化漏洞
- 解析Redis未授权访问漏洞复现与利用危害
- Linux系统权限漏洞:安全隐患需警惕(linux权限漏洞)
- 常见的Web应用漏洞及其解决方法
- Oracle漏洞扫描:实现安全保障(oracle 漏洞扫描)
- Redis补丁升级修复漏洞保护数据(redis补丁修复)
- 添加超级用户的.asp代码[蓝屏的原创,凯文改进,Ms未公布的漏洞]