CISA预警GeoServer服务存在危险的远程代码执行缺陷；宝马汽车疑再次泄露用户隐私数据 | 牛览

点击蓝字·关注我们 / aqniu

新闻速览

• CISA 预警GeoServer服务存在危险的远程代码执行缺陷

• 谷歌Gemini AI或未经用户同意违规读取Google Drive文档

• 热门AI工具Rabbit r1被曝秘密存储用户聊天记录且无法删除

• “空洞女妖”APT组织大量利用了Windows MSHTML漏洞发动攻击

• 谷歌将域名服务移交Squarespace后，大量域名被劫持

• GitHub身份验证令牌意外泄漏引发供应链攻击担忧

• 宝马汽车用户数据疑再次泄露

• Okta多维度升级旗下产品的安全性

• BlueVoyant发布新型边缘安全运营平台

热点观察

CISA预警GeoServer服务存在危险的远程代码执行缺陷

日前，美国网络安全和基础设施安全局（CISA）发布漏洞预警公告指出，在流行的开源地理空间服务GeoServer中存在危险的远程代码执行（RCE）缺陷（CVE - 2024 - 36401）。攻击者可以通过多个OGC请求参数来利用该缺陷，并在受影响的系统上执行任意代码，从而导致数据泄露和系统泄露等严重后果。

公告显示，该缺陷源于GeoTools库中用于评估要素类型属性和名称的API。这个评估过程会不安全地将未知名称传递给commons-jxpath库，并在解析XPath表达式时执行任意代码。这个缺陷允许攻击者通过发送特制的输入到默认的GeoServer来安装并执行任意代码。

受该缺陷影响的GeoServer和GeoTools版本包括：GeoServer版本在2.23.6之前、2.24.0至2.24.3以及2.25.0至2.25.1；GeoTools版本在29.6之前、30.0至30.3以及31.0至31.1。

CISA建议采取以下缓解措施来防范此缺陷：一是更新到GeoServer和GeoTools的最新版本；从官方GeoServer和GeoTools存储库下载安全补丁；三是作为临时措施，用户可以从其GeoServer安装中删除gt - complex - x.y.jar文件，但这可能导致GeoServer一些功能中断。

原文链接：

https://cybersecuritynews.com/cisa-geoserver-rce-vulnerability/

谷歌Gemini AI或未经用户同意违规读取Google Drive文档

近日，X用户Kevin Bankston报告称，谷歌的人工智能服务Gemini AI似乎在未经用户明确许可的情况下违规读取了Google Drive中的私人文档。最初，他发现Gemini似乎在阅读他的Google Drive文档，但相关设置中找不到禁用该功能的选项。经过反复分析，他发现这可能是Google Drive本身的问题，而非Google Docs，但两者可能都存在类似的违规情况。

根据Gemini的广泛说法，用于控制信息共享的隐私设置本应是可供用户管理的，但Bankston却没有找到这些设置。这意味着Gemini可能提供了虚假的隐私保护申明，也可能是谷歌的内部服务器配置出现了问题。这也让用户对Google应用的数据安全性产生质疑，即便谷歌一再声称不会将用户的隐私数据用于训练Gemini人工智能。

原文链接：

https://www.ithome.com/0/781/921.htm

热门AI工具Rabbit r1被曝秘密存储用户聊天记录且无法删除

炙手可热的Rabbit r1 AI助手近日让很多用户感到震惊和不安。这个由明星AI初创公司Rabbit推出的AI硬件旨在通过人工智能为用户进行全天处理任务，曾经引起轰动。Rabbit透露，r1设备一直在记录用户的聊天记录，而且没有办法删除这些记录。这意味着如果用户的r1设备丢失、被盗或者出售，其聊天记录可能会被他人看到，而用户并不知道其与设备的任何对话都会被记录下来。 该初创公司在7月10日的一份公告中表示，“我们意识到并立即解决了涉及丢失、被盗或二手r1设备的潜在风险。”

原文链接：

https://www.zdnet.com/article/rabbit-r1-ai-assistant-has-secretly-been-storing-user-chats-that-cant-be-deleted/   

网络攻击

“空洞女妖”APT组织大量利用了Windows MSHTML漏洞发动攻击

日前，研究人员发现一个名为 Void Banshee（空洞女妖）的 APT 组织，大量利用了Windows MSHTML漏洞（编号为CVE-2024-38112），向北美、欧洲和东南亚地区的目标组织发起恶意软件攻击，该组织在攻击活动中使用了专门为利用该漏洞而精心制作的文件，但看起来像是合规的PDF文件。

据介绍，该组织会通过URL文件滥用MHTML协议处理程序和x-usc指令来执行恶意代码，MSHTML漏洞能够帮助攻击者直接通过Windows计算机上禁用的 Internet Explorer实例访问和运行文件。此外，攻击者还会使用鱼叉式网络钓鱼策略将目标定向到包含PDF格式书籍副本的ZIP文件，以及伪装成 PDF的恶意文件，这些文件通常被托管在在线图书馆、云共享网站、Discord和受感染的网站上。

研究人员表示，该攻击团伙利用MSHTML漏洞已经一年多了，这对全球企业组织的安全运营构成了重大威胁。微软公司已经在2024年7月的周二补丁日中发布了针对该漏洞的修复程序，使得MHTML无法在互联网快捷方式文件（.url）中被使用。

原文链接：

https://www.darkreading.com/threat-intelligence/void-banshee-apt-microsoft-zero-day-spear-phishing-attacks

谷歌将域名服务移交Squarespace后，大量域名被劫持

2023 年 6 月，Squarespace 购买了 Google Domains 的所有域名注册和客户帐户，将域名迁移到 Squarespace，并将原Google帐户与新的 Squarespace 管理员帐号关联起来，这个迁移过程存在一些缺陷。最近，攻击者就利用了Squarespace服务中的一个缺陷，劫持了其平台上托管的多个域名。

研究人员表示，这是一种和访问权限相关的缺陷，攻击者能够将用户域名重定向到非法的钓鱼网站，拦截电子邮件，并劫持谷歌工作空间（原GSuite）租户的控制权，以读取电子邮件和添加设备。

研究人员认为，许多域贡献者也从未创建过他们的 Squarespace 帐户，因为他们忘记了被授予的贡献者访问权限，或者没有预料到不作为会对安全造成影响，这让威胁者很容易击窃取权限并完全访问他们的账户。

虽然这个问题已被报告给了Squarespace官方，但研究人员表示，网站管理员应该密切关注自己的网站，并仔细管理所有关联账户的权限。

原文链接：

https://thecyberexpress.com/cryptocurrency-squarespace-domain-hijacking/

GitHub身份验证令牌意外泄漏引发供应链攻击担忧

据The Hacker News近日报道，攻击者可能利用一个意外暴露的GitHub身份验证令牌，对Python编程语言的GitHub存储库、Python Package Index和Python Software Foundation进行重大的软件供应链攻击。

JFrog软件公司的报告称，该令牌在2023年3月3日之前曾授予PyPI管理员EE Durbin。Durbin注意到在开发cabotage-app5代码库的过程中，GitHub API的请求限制不断出现。PyPi目前已经立即撤销了该身份验证令牌。

原文链接：

https://www.scmagazine.com/brief/python-repositories-threatened-by-inadvertently-exposed-github-token

宝马汽车用户数据疑再次泄露

继今年2月份宝马公司发生严重数据泄露后，其在香港的经销商宝马香港近日又遭受了一次严重数据泄露事件，涉及1.4万名客户。此次泄露事件于2024年7月16日被曝光，据网络安全监测机构的报告，泄露的数据包括客户的称谓、姓氏、名字、手机号码和短信退订偏好等重要信息。这些详细的信息可能被攻击者用于各种欺诈活动，包括身份盗窃和有针对性的钓鱼攻击。

一个专注于暗网情报的网络安全账号首先在社交媒体平台上报告了这次泄露事件。随后，这些数据被发布在一个知名的黑客论坛上，可能让更多潜在的网络犯罪分子获取这些数据。初步报告表明，绰号为“888”的攻击者对这次泄露负有责任。

目前，宝马香港尚未针对此次泄露事件发表官方声明。建议客户保持警惕，监控个人信息是否存在未经授权的使用。专家建议客户更改密码，尽可能启用双重身份验证，并谨慎对待自称来自宝马公司的任何可疑通信。

原文链接：

https://cybersecuritynews.com/bmw-hong-kong-faces-major-data-breach/

产业动态

Okta多维度升级旗下产品的安全性

身份和访问管理（IAM）解决方案供应商Okta日前对旗下Workforce Identity Cloud 和 Customer Identity Cloud 服务产品进行了安全性升级，旨在进一步增强其发现和修复身份安全漏洞的能力，降低遭受攻击的风险，并提供更好的用户体验：

一是身份安全姿态管理（Identity Security Posture Management）：提供全面的身份安全管理视图，搜素潜在的漏洞和策略执行间隙，并提供可见性和风险分析； 

二是高度规范的身份（Highly Regulated Identity）：适用于北美金融服务机构，使用开放的强制性客户身份验证和金融级API标准，快速验证需要进行高度敏感操作客户的身份和权限；

三是 Identity Threat Protection with Okta AI：集成了多家第三方安全工具，利用Okta的人工智能检测、响应和协调各种身份威胁；

四是Okta Workflows的审计就绪版本：为参与美国联邦政府的FedRAMP High安全合规计划的客户提供了审计就绪版本，提供低代码和无代码工具，帮助构建和管理功能并维持合规性。

五是 Forms for Actions：提供无代码可视化编辑器，帮助全球范围内的Customer Identity Cloud客户轻松构建登录和注册在线表单。

原文链接：

https://www.scmagazine.com/resource/new-okta-products-aim-to-address-security-gaps-and-identity-concerns

BlueVoyant发布新型边缘安全运营平台

网络安全公司BlueVoyant发布一款创新的边缘安全运营平台网络防御平台（Cyber Defense Platform）。该平台整合了内部、外部和供应链防御解决方案，旨在以经济高效的方式衡量和加强网络防御姿态。

该平台利用人工智能技术处理来自内部网络、供应链，以及明网、深网和暗网的数据和警报，并提供多种产品和服务，包括检测与响应、供应链防御、数字风险保护、主动防御和网络姿态管理。

BlueVoyant首席执行官兼联合创始人James Rosenthal表示，BlueVoyant的网络防御平台在网络安全领域迈出了一大步，利用人工智能来应对各种网络安全挑战，面向整个攻击面提供下一代安全运营，提高了可扩展性、增强了生产力，并基于尖端技术构建了更强大的网络风险姿态。

原文链接：

https://www.darkreading.com/identity-access-management-security/bluevoyant-unveils-edge-security-operations-platform

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com