《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Github遭大規(guī)模惡意軟件攻擊 超3.5萬個代碼庫受影響

Github遭大規(guī)模惡意軟件攻擊 超3.5萬個代碼庫受影響

2022-11-13
來源:安全419
關(guān)鍵詞: github 惡意軟件 代碼庫

  1.Github遭大規(guī)模惡意軟件攻擊,,超3.5萬個代碼庫受影響

  軟件工程師 Stephen Lacy 在推特上表示,其發(fā)現(xiàn) Github 正在遭受大規(guī)模惡意軟件攻擊,超 3.5 萬個代碼庫受影響,,波及范圍涵蓋Crypto、Golang,、Pyhon,、js、bash,、Docker和k8s等領(lǐng)域,。該惡意軟件被發(fā)現(xiàn)添加到npm腳本、Docker圖像和安裝文檔中,。Stephen Lacy提醒,,此攻擊可能會將被攻擊者的多種密鑰泄露給攻擊者,并建議用戶使用GPG簽署所有提交,。

  2.最新的 Jenkins 插件公告中包含未修補的 XSS,、CSRF 漏洞

  作為領(lǐng)先的開源自動化服務(wù)器,Jenkins 提供了數(shù)千個插件來支持構(gòu)建,、部署和自動化項目,。該組織最新的安全公告列出了總共27個插件漏洞,其中五個被認為是“高”影響,,其中大多數(shù)仍未修補,。安全研究人員稱在沒有修復(fù)的情況下宣布漏洞是解決難題的最佳解決方案,因為它允許管理員仔細考慮他們繼續(xù)使用受影響的插件,。

  3.應(yīng)用EvolutionCMS,、FUDForum和GitBucket中發(fā)現(xiàn)XSS漏洞

  據(jù)外媒報道,研究人員已經(jīng)發(fā)布了有關(guān)流行開源應(yīng)用程序中三個跨站點腳本(XSS)漏洞的詳細信息,,這些漏洞可能導(dǎo)致遠程代碼執(zhí)行(RCE),。研究發(fā)現(xiàn)進行XSS攻擊的可能性與管理員面板中的內(nèi)置文件管理器(或執(zhí)行SQL查詢)相結(jié)合可能導(dǎo)致系統(tǒng)完全受損,。這些漏洞的主要困難是找到進行XSS攻擊的可能性。

  4.2.88億條印度養(yǎng)老基金持有人的身份數(shù)據(jù)被暴露在互聯(lián)網(wǎng)

  據(jù)外媒報道,,一個包含印度養(yǎng)老基金持有人全名,、銀行賬戶號碼等信息的巨大數(shù)據(jù)緩存在網(wǎng)上浮出水面。安全研究員發(fā)現(xiàn)兩個獨立的IP地址,,這兩個IP地址都公開向互聯(lián)網(wǎng)暴露數(shù)據(jù),,但沒有密碼保護。目前還不清楚誰應(yīng)該對網(wǎng)上出現(xiàn)的曝光數(shù)據(jù)負責(zé),。也不清楚是否還有其他人有發(fā)現(xiàn)這些曝光的數(shù)據(jù),。

  5.研究人員警告AitM對企業(yè)用戶的大規(guī)模攻擊

  據(jù)外媒報道,以中間對手(AitM)攻擊技術(shù)為主,,新的大規(guī)模網(wǎng)絡(luò)釣魚活動展開,,破壞企業(yè)電子郵件賬戶。該活動專門設(shè)計用于覆蓋使用Microsoft電子郵件服務(wù)的企業(yè)中的最終用戶,。其通過使用高級網(wǎng)絡(luò)釣魚工具包(AiTM)和巧妙地規(guī)避技術(shù),,黑客繞過傳統(tǒng)和高級安全解決方案。

  6.VMware 修復(fù)了關(guān)鍵身份驗證繞過漏洞

  VMware 解決了一個關(guān)鍵的身份驗證繞過安全漏洞,,該漏洞被跟蹤為 CVE-2022-31656,,影響多個產(chǎn)品中的本地域用戶。未經(jīng)身份驗證的攻擊者可以利用該漏洞獲得管理員權(quán)限,。該漏洞影響 Workspace ONE Access,、Identity Manager 和 vRealize Automation 產(chǎn)品。該漏洞已被評為嚴(yán)重漏洞,,評分為 9.8,。VNG Security 的 PetrusViet 是該漏洞的發(fā)現(xiàn)者。VMware 還解決了其它9個安全漏洞,。

  7.歐洲導(dǎo)彈制造商MBDA反駁遭到勒索攻擊

  歐洲導(dǎo)彈制造商MBDA發(fā)布聲明回應(yīng)其遭遇勒索攻擊稱,,雖然某些文件確實被盜,但該公司并未遭到黑客攻擊,,其安全系統(tǒng)仍然完好無損,。MBDA強調(diào)稱,數(shù)據(jù)來源確定是從外部硬盤獲取的,,同時該公司通過內(nèi)部驗證,,泄露數(shù)據(jù)既不是機密數(shù)據(jù)也不是敏感數(shù)據(jù)。MBDA表示,,他們正在配合執(zhí)法部門的調(diào)查,。

  8.NIST第四輪候選算法SIKE慘遭破解

  KU Leuven的兩名安全研究人員在一篇新論文中將“炮火”對準(zhǔn)了SIKE加密算法,該算法是作為一種后量子時代的加密算法,,已進入到NIST的第四輪后量子密碼學(xué)標(biāo)準(zhǔn)化過程當(dāng)中,。安全研究人員使用一款2013年的單核CPU對該算法進行了破解,,他們動用一款名為Magma的程序,在62分鐘的時間內(nèi),,完成了安全級別為level 1的SIKEp434的有效密鑰恢復(fù)攻擊,。對于具有更高安全級別的SIKEp503 (level 2)、SIKEp610 (level 3)和SIKEp751 (level 5),,分別在2小時19分鐘,、8小時15分鐘和21小時37分鐘內(nèi)被破解。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]