全球动态

1.PyPI 强制执行 2FA 身份验证以防止维护者的帐户接管

出于安全考虑，PyPI将在今年年底前强制所有项目维护人员使用双因素身份验证（2FA）。在过去几年中，针对Python软件存储库的供应链攻击有所增加。威胁行为者一直在使用包含恶意软件的版本更新各种软件包。【外刊-阅读原文】。

2.银行业的网络安全标准

新的PCI DSS增加了关于网络安全控制的更广泛语言。先前版本的标准中，曾特别提到通过防火墙配置来保护持卡人数据环境(CDE)。此次的新标准对这一点做了扩展。它创造了更大的空间，这可能会给一些银行带来重大转变。【外刊-阅读原文】

3.Trellix和Netskope宣布提供新的Amazon Security Lake支持

Trellix客户现在可以将他们的安全数据湖整合到Trellix XDR安全操作平台中，以增强对其AWS环境的检测和响应能力。【外刊-阅读原文】

4.IAB讨论互联网碎片化：互操作性是互联网的关键属性

日前，一场针对互联网碎片化的讨论由互联网体系结构委员会（IAB）发起，主题涉及互联网碎片化的定义、概念、治理方式与未来发展。【阅读原文】

5.网络犯罪分子瞄准Apache NiFi实例进行加密货币挖掘

蜜罐设置允许ISC确定初始立足点被武器化，以删除“/var / log/syslog”文件，禁用防火墙并终止竞争的加密挖掘工具，然后再从远程服务器下载和启动Kinsing恶意软件。【外刊-阅读原文】

6.当心幽灵网站：潜伏在 Salesforce 社区中的无声威胁

不当停用或废弃Salesforce站点和社区（又名体验云）可能会给企业带来严重风险，可能会导致敏感数据遭遇强制访问，Varonis将这些未受保护和不受监控的资源称为“幽灵站点”。【外刊-阅读原文】

安全事件

1.被黑客利用长达7个月，老牌安全厂商Barracuda曝零日漏洞

企业安全公司Barracuda周二披露，自2022年10月以来，其电子邮件安全网关（ESG）设备中最近修补的一个零日漏洞被攻击者滥用，对设备进行后门攻击。【外刊-阅读原文】

2.瑞士房产代理公司Neho敏感数据泄露，企业沟通渠道面临巨大风险

Neho官网上出现可公开访问的环境文件（.env），包含 PostgreSQL 和 Redis 数据库凭据。【外刊-阅读原文】

3.技嘉曝UEFI 固件安全漏洞，影响约700万台设备

Eclypsium 网络安全研究员发现技在嘉售出的 271 款，近 700 万片主板中存在安全漏洞【外刊-阅读原文】

4.RaidForums黑客论坛数据泄露，涉及47.8万名成员信息

已解散的网络犯罪平台RaidForums数据库内成员信息，在一个名为Exposed的新黑客论坛上泄露。该数据库包含属于478，000名RaidForums成员的数据。【外刊-阅读原文】

5.Mirai僵尸网络变体利用Zyxel设备进行DDoS攻击

美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中添加了最近修补的Zyxel设备中的关键安全漏洞，并引用了其主动利用的证据。【外刊-阅读原文】

6.亚马逊因Ring，Alexa侵犯隐私而面临30万美元的罚款

亚马逊将支付3000万美元的罚款，以了结有关其Ring视频门铃和Alexa虚拟助手服务运营中侵犯隐私的指控【外刊-阅读原文】

优质文章

1.渗透测试 | 详解ADCS证书服务攻击手法

2022年5月10日，微软发布5月份安全补丁更新，其中CVE-2022-26923漏洞引起了人们的注意，这是一个域内权限提升漏洞，该漏洞允许低特权用户在安装了ADCS的默认活动目录环境中将权限提升为域管理员，危害极大。【阅读原文】

2.数据困境：云采用和风险现状报告

从本质上讲，安全是一个数据保护问题，很难保护无处不在（在设备结构、网络、云应用程序、基础设施和用户之间）的数据。简单地说，数据不再仅仅是一个端点。【阅读原文】

3.如何使用debugHunter发现隐藏调试参数和Web应用程序敏感信息

debugHunter是一款针对Web应用程序隐藏调试参数和敏感信息的识别扫描工具，该工具本质上是一个Chrome扩展，可以帮助广大研究人员扫描目标Web应用程序/网站以查找调试参数，并在发现了包含修改响应的URL时发送通知。该扩展利用了二分查找算法来有效地确定导致响应变化的参数。【阅读原文】

本文档内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。