每日安全简讯(20230122)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员在npm注册表中发现数百个恶意包
去年12月,安全研究人员在流行的开源注册表npm中发现了超过400个恶意包,在PyPI中发现了数十个。Sonatype在一篇博客文章中解释说,其人工智能工具发现了422个恶意npm包,主要集中在通过域名仿冒或“依赖项混淆攻击”窃取数据。此外,它在PyPI中发现了58个恶意包,包括严重混淆的Discord令牌窃取程序。这使得自2019年以来,被供应商标记为恶意的开源软件包总数达到近10.4万个。
https://www.infosecurity-magazine.com/news/hundreds-malicious-packages-npm/
2 思科修复了Unified CM中的SQL注入漏洞
思科在Unified Communications Manager (Unified CM) 和Unified Communications Manager Session Management Edition(Unified CM SME)中修复了一个高危SQL注入漏洞,跟踪为CVE-2023-20010(CVSS得分为8.1) 。漏洞CVE-2023-20010存在于Unified CM和Unified CM SME的基于Web的管理界面中,经过身份验证的远程攻击者可以触发它进行SQL注入攻击受影响的系统。存在此漏洞是因为基于Web的管理界面无法充分验证用户输入,攻击者可以通过以低权限用户身份向应用程序进行身份验证并将精心设计的SQL查询发送到受影响的系统来利用此漏洞。
https://securityaffairs.com/141039/security/cisco-unified-communications-manager-cve-2023-20010.html
3 研究显示近期超过三分之一的ICS漏洞仍没有可用补丁
最新研究显示,在2022年下半年发布的工业控制系统(ICS)中,35%的CVE仍然没有可用的补丁,这让他们的供应商感到失望。SynSaber的2022年下半年ICS漏洞报告分析了2022年下半年通过网络安全和基础设施安全局(CISA) ICS咨询报告的926个CVE。它发现,ICS资产所有者不得不应对已公布的CVE的增加,而且在许多情况下,他们的系统由于缺乏供应商更新而暴露在外。SynSaber认为,延迟通常是由于原始设备制造商(OEM)供应商通常有严格的补丁测试、批准和安装流程。
https://www.infosecurity-magazine.com/news/over-third-recent-ics-bugs-no/
4 T-Mobile称黑客窃取了3700万客户的数据
美国第三大无线运营商T-Mobile告诉联邦监管机构,它发现一个攻击者窃取了3700万客户的身份信息。T-Mobile是电信运营商Sprint和T-Mobile US在2020年合并后出现的公司,该公司在提交给美国证券交易委员会的一份文件中尽量减少了此次泄密的影响。该公司表示,此次泄露没有涉及支付卡、政府标识符或密码。该公司指出,一个应用程序编程接口暴露了包括姓名、电子邮件、电话号码和出生日期在内的数据,这是泄露的来源。
https://www.govinfosecurity.com/t-mobile-says-hackers-stole-data-37-million-customers-a-20984
5 Drupal发布软件更新修复了四个漏洞
Drupal本周宣布了软件更新,修复了Drupal核心和三个插件中的四个漏洞,这些漏洞可能导致未经授权的数据访问。Drupal核心漏洞的存在是因为Media Library模块在某些情况下没有对实体访问执行适当的检查,这可能会允许可以编辑内容的用户查看关于他们不应该访问的媒体项目的元数据。同样的问题影响了Media Library Form API Element插件,该插件支持在自定义表单中使用媒体库,而不必使用媒体库小部件。第三个漏洞在支持块中媒体实体渲染的Media Library Block插件中得到了修补,而第四个漏洞是在实体浏览器插件中发现的。
https://www.securityweek.com/drupal-patches-vulnerabilities-leading-information-disclosure
6 PayPal称黑客在撞库攻击中侵入了约3.5万个账户
PayPal本周通知数万名美国客户,他们的账号在一个多月前被成功登录。未经授权的访问发生在去年12月6日至12月8日之间,之后该公司意识到发生了什么,并消除了威胁。该公司在发给缅因州总检察长办公室的违规通知信中说:“在此期间,未经授权的第三方能够查看并可能获得某些PayPal用户的一些个人信息。”PayPal表示,泄露的个人信息可能包括客户姓名、地址、社会安全号码、个人税务识别号码和出生日期。
https://www.infosecurity-magazine.com/news/credential-stuffing-campaign-35000/
页:
[1]