FreeBuf早报 | 《工业领域云安全实践指南》正式发布；Red Art游戏遭遇重大网络攻击

FreeBuf早报 | 《工业领域云安全实践指南》正式发布；Red Art游戏遭遇重大网络攻击

全球动态

1. 超过3000个GitHub账户被恶意软件分发服务利用

被称为“Stargazer Goblin”的威胁行为者利用GitHub上的3000多个虚假账户创建了一个恶意软件分发即服务(DaaS)，推送窃取信息的恶意软件。【外刊-阅读原文】

2. 巴勒斯坦支持者对阿联酋银行实施长达6天的网络攻击

网络安全公司Radware在本周发布的一份报告中称，总的来说，它总共持续了100多个小时，平均每秒有450万个请求。【外刊-阅读原文】

3. 《工业领域云安全实践指南》正式发布

《工业领域云安全实践指南》阐述数字化浪潮下工业上云时机已经来临，工业企业上云后将面临诸多类型的风险挑战，因此提出工业领域云安全五维模型，以聚焦工业领域云安全建设实践，展望工业领域云安全未来发展，为业界面临相同安全风险挑战的企业提供指引。【阅读原文】

4. TracFone将支付1600万美元以解决美国联邦通信委员会（FCC）的网络和隐私调查

美国联邦通信委员会（FCC）周一宣布，Verizon旗下的TracFone Wireless将支付1600万美元的民事罚款，以结束对其未能保护消费者数据导致两年内发生三次数据泄露的调查。【外刊-阅读原文】

5. 国家金融监管总局：防范共享屏幕、AI 换脸拟声等新型电信网络诈骗

《关于防范新型电信网络诈骗的风险提示》于7月24日发布，《提示》指出，近年来，随着网络技术的发展，诈骗手段快速翻新，迷惑性不断增强，严重侵害公众财产安全与合法权益。【阅读原文】

6. 电子邮件网关安全漏洞：恶意软件攻击的新途径

在周三的报告中，电子邮件安全公司Cofense表示，针对一家国际金融公司讲西班牙语的员工的黑客发现，他们可以绕过Cisco IronPort设备的静态扫描功能，尽管这种技巧很可能也会在大多数制造商生产的安全电子邮件网关上成功。【外刊-阅读原文】

安全事件

1. 超70%智利公民数据遭泄露，数据库现于暗网出售

该数据库以 500 美元的价格出售，数据库中包括 2017 年的 PDF 版本和更新的 CSV 版本。与此同时，卖家还提供了一个包含数据类型的示例格式，泄露数据类型有：RUT（智利身份证号码）、姓名、完整地址、地区等。【阅读原文】

2. 史上最大的数字盗版泄露事件：Z-Library仿冒者导致1000万人信息泄露

据悉，此次泄露的数据库备份属于 Z-lib，它是 Z-Library 的恶意克隆，在谷歌搜索结果中名列前茅。威胁者意外泄露了 976万用户的用户名、电子邮件地址、密码、比特币和 Monero 钱包地址、国家代码、图书请求、时间戳、评论、发票等信息。【外刊-阅读原文】

3. 城市供暖系统遭网络攻击被关闭，大量居民在寒冬下停暖近2天

美国工控安全公司Dragos昨天发布报告，详细介绍了一种名为FrostyGoop的新型恶意软件。Dragos表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。【阅读原文】

4. 网络安全公司KnowBe4被骗，误聘朝鲜黑客为IT专业人员

美国联邦调查局(FBI)和网络安全公司Mandiant合作进行的一项调查揭示了一个令人震惊的事实：被聘用的工程师是一名朝鲜公民，使用的是窃取来的美国身份。攻击者使用的个人资料照片是一个由AI生成的逼真图像，进一步隐藏了其真实身份。【外刊-阅读原文】

5. Docker引擎的关键漏洞允许攻击者绕过授权插件

“攻击者可以利用一个将Content-Length设置为0的API请求绕过验证，这会导致Docker守护进程将没有正文的请求转发给AuthZ插件，该插件可能会错误地批准请求，”Moby项目维护者在咨询中说。【外刊-阅读原文】

6. Red Art游戏遭遇重大网络攻击，用户数据泄露

由于该公司正在进行调查，订单处理和退货将在未来几天暂停。该公司的网站也已关闭，并显示了关于网络攻击的横幅通知。公司建议客户尽快更改Red Art Games账户密码，并警告客户，如果有人冒充Red Art Games代表联系他们，要提高警惕。【外刊-阅读原文】

优质文章

1. 跨域漏洞链深度解析：从postMessage到CSRF的精密攻击路径

在一次引人入胜的漏洞挖掘之旅中，数月前在一项众测项目中下发现了一串巧妙链接的安全缺陷，这串漏洞链融合了多种技术元素，包括但不限于postMessage的不当使用、JSONP端点的粗疏防护、Web应用防火墙（WAF）的规避、基于DOM的跨站脚本（XSS）在非目标子域名上的运用、CORS配置的宽松策略，以及最终导向的核心目标：对受保护资产实施跨站请求伪造（CSRF）攻击。【阅读原文】

2. JAW：一款针对客户端JavaScript的图形化安全分析框架

JAW是一款针对客户端JavaScript的图形化安全分析框架，该工具基于esprima解析器和EsTree SpiderMonkey Spec实现其功能，广大研究人员可以使用该工具分析Web应用程序和基于JavaScript的客户端程序的安全性。【阅读原文】

3. 渗透测试 | 黑白盒某学习刷课漏洞挖掘经验分享

在日常的任务环境中，漏洞的存在对任何系统而言都是巨大的风险隐患。特别是一些比较古老的系统或者存在已知漏洞框架、组件这方面的系统渗透测试，在日常挖掘中，未授权文件下载和越权文件上传，我们应该不在陌生，此类漏洞可定级一中、一高风险。在本次测试中，通过对多个功能模块的代码审计，发现了一些严重的安全问题。【阅读原文】

*****本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。