每日安全简讯(20240828)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现MLOps平台20多个供应链漏洞

研究人员发现超过20个潜在漏洞，威胁机器学习（ML）软件供应链，特别是MLOps平台。这些漏洞包括固有的和实现过程中的缺陷，可能导致任意代码执行或加载恶意数据集。MLOps平台通常用于设计和执行ML模型管道，并通过API提供服务，然而，这些固有的漏洞，例如在加载模型时自动执行代码，可能引发恶意软件攻击。此外，JupyterLab中的漏洞可能被利用来执行恶意JavaScript代码，进一步加剧安全风险。实施不当的漏洞，如身份验证缺失，也使攻击者有机会在ML管道中执行代码，甚至利用容器逃逸技术，在云环境中横向移动，威胁其他用户的数据和模型。这些漏洞的链式利用不仅会导致组织内部的扩散，还可能危及服务器的安全。

https://jfrog.com/blog/from-mlops-to-mloops-exposing-the-attack-surface-of-machine-learning-platforms/

---

2 Versa修复被APT利用的Director零日漏洞

Versa Networks已修复一个被APT（高级持续性威胁）利用的零日漏洞（CVE-2024-39717），该漏洞允许攻击者通过Versa Director GUI的“更改图标”功能上传恶意文件。Versa Director是一款帮助管理服务提供商简化SASE（安全访问服务边缘）服务的平台，但此漏洞使具有管理员权限的攻击者能够上传伪装成PNG图片的恶意文件。受影响的客户由于未遵循系统加固和防火墙指南，使管理端口暴露在互联网中，为攻击者提供了初始访问途径。Versa建议客户立即升级软件版本并检查是否存在可疑文件，以防止进一步攻击。

https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/

---

3 Traccar GPS系统漏洞暴露用户于远程攻击风险

开源Traccar GPS跟踪系统中被发现两项严重漏洞，可能被未经身份验证的攻击者利用，导致远程代码执行。漏洞包括路径遍历（CVE-2024-24809，CVSS评分8.5）和不受限制的文件上传（CVE-2024-31214，CVSS评分9.7），这些漏洞允许攻击者在文件系统中任意位置放置文件，从而触发代码执行。这些漏洞特别影响Traccar 5版本的默认配置，该版本启用了访客注册功能。研究人员通过一个概念验证攻击展示了攻击者如何利用这些漏洞上传crontab文件或在Windows系统上放置恶意快捷方式文件，以实现远程控制。Traccar已在2024年4月发布的Traccar 6版本中修复了这些问题，并默认关闭了自注册功能，减少了攻击面。

https://www.horizon3.ai/attack-research/disclosures/traccar-5-remote-code-execution-vulnerabilities/

---

4 Google警告Chrome浏览器中CVE-2024-7965漏洞被积极利用

Google近日警告称，其Chrome浏览器中的一个安全漏洞（CVE-2024-7965）已被活跃利用。该漏洞为V8 JavaScript和WebAssembly引擎中的不当实现问题，影响版本低于128.0.6613.84的Chrome浏览器。攻击者可以通过精心设计的HTML页面利用此漏洞，可能导致堆内存损坏。该漏洞由研究人员于2024年7月30日发现，并获得了1.1万美元的漏洞赏金。尽管Google已经修复了该漏洞，但目前尚不清楚此漏洞是否在上周披露前就已被作为零日漏洞武器化。

https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html

---

5 Patelco通知72.6万名客户关于勒索软件数据泄露事件

Patelco Credit Union近日警告其72.6万名客户，其个人数据在今年早些时候的RansomHub勒索软件攻击中被盗取。尽管未公开攻击者身份，但RansomHub黑客组织于2024年8月15日在其勒索门户上发布了所有被盗数据。此次攻击发生于2024年6月29日，导致Patelco暂停客户银行系统以遏制损害，并在两周后恢复大部分IT系统功能。调查显示，攻击者于5月23日非法访问网络，并在6月29日进入数据库，窃取了包括全名、社会安全号码、驾照号码、出生日期和电子邮件地址在内的敏感信息。受影响的客户将获得为期两年的Experian身份保护和信用监控服务，但需在2024年11月19日前注册。此外，Patelco提醒客户警惕钓鱼和欺诈行为，避免泄露个人信息。

https://www.patelco.org/notification

---

6 ServiceBridge的2TB敏感记录因云配置错误而暴露

因云服务器配置错误，ServiceBridge的一个主要数据库暴露了超过2.68 TB的数据和超过3150万条记录，包括客户的敏感信息，如姓名、地址、电子邮件、电话以及部分信用卡数据。数据库可公开访问，且无需密码或任何安全验证。暴露的数据还包含HIPAA患者同意书和医疗设备协议，揭示了个人健康信息。此次数据暴露影响了广泛的业务群体，包括学校、宗教机构、餐饮连锁店和医疗提供商。此次事件提醒企业加强数据安全措施，如加密、访问控制和定期安全审计，以保护客户数据免受类似事件的影响。

https://www.websiteplanet.com/news/servicebridge-breach-report/

---