freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf周报 | 乌克兰IT军关闭了俄罗斯第二大银行;三菱电机PLC曝出多个严重安全漏洞
  • 关注
FreeBuf周报 | 乌克兰IT军关闭了俄罗斯第二大银行;三菱电机PLC曝出多个严重安全漏洞
2022-12-09 15:45:50
所属地 上海

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1、Hive 勒索组织黑五期间攻击欧洲零售商,已累计攻击 1300 家公司

Hive 勒索软组织对外公布了其在 11 月份对法国体育零售商 Intersport 的攻击中获得的客户数据。这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批 Intersport 数据,并威胁说除非零售商支付勒索费,否则将泄露更多数据。

2、Vice Society 勒索软件太猖狂,一年内袭击 33 个教育机构

The Hacker News 网站披露,Vice Society 勒索软件组织增加了对教育机构的网络攻击,在 2022 年期间,该组织袭击了 33 个教育机构,超过 LockBit、BlackCat、BianLian 和 Hive 等其它勒索软件团伙。

3、Pwn2Own 2022 开赛首日,三星旗舰手机 Galaxy S22 二度被黑

据 Security Affairs 消息,一年一度的世界级黑客大赛 Pwn2Own 2022于当地时间 12 月6 日在多伦多正式开赛。比赛的第一天,三星最新款旗舰手机 Galaxy S22就两度被攻破。

4、AI 将取代人类?机器人 ChatGPT 能测漏洞、审代码还能修 bug

OpenAI 研究实验室推出了聊天机器人 ChatGPT,一跃成为人工智能领域的“当红炸子鸡”。有账号的人在问它各种天马行空的问题,没账号的人都在求账号注册攻略,连埃隆·马斯克都在推特公开评价它“scary good”。

5、“乌克兰 IT 军”关闭了俄罗斯第二大银行

俄罗斯第二大金融机构 VTB 银行表示,在其网站和移动应用程序因持续的 DDoS(分布式拒绝服务)攻击而下线后,他们正面临着其历史上最严重的网络攻击。

安全事件

1、微软提醒欧洲:这个冬天做好与俄罗斯网络战的准备

计算机巨头微软公司就 10 月份俄罗斯军事情报组织对波兰的运输和相关物流业发起的勒索软件攻击事件表明:俄罗斯在今年冬天可能会对欧洲网络空间推行其在乌克兰方面同样的攻势。

2、高危 AMI MegaRAC 漏洞影响 AMD、ARM、HPE、Dell 等众多服务器

Eclypsium 的研究人员发现美国 Megatrends  MegaRAC 基板管理控制器(BMC)软件中存在三个漏洞,这些漏洞影响许多云服务和数据中心运营商使用的服务器设备。

3、俄罗斯多地政厅和法院遭网络攻击,不排除地缘政治的原因

俄罗斯几个地区的市政厅和法院受到一种新的 CryWiper 加密病毒的攻击。该新型攻击可以消除所有格式的文件内容,但负责系统本身运行的文件除外。其主要目标包括数据库和档案。

4、三菱电机 PLC 曝出多个严重安全漏洞

美国网络安全和基础设施安全局 (CISA) 在上周发布了一份工业控制系统 (ICS) 咨询,对三菱电机 GX Works3 工程软件存在的多个漏洞发出了安全警告。

5、IBM 云数据库 PostgreSQL 出现安全漏洞

IBM 近日修复一个影响其 PostgreSQL 云数据库(ICD)产品的高严重性安全漏洞(CVSS分数:8.8),该漏洞可能被利用来篡改内部存储库并运行未经授权的代码。

一周好文共读

1、澳大利亚数据保护要求

澳大利亚政府宣布修订1988年《隐私法》以增加罚款。严重侵犯或反复侵犯隐私(即违反隐私法)的最高罚款将增加到1000万澳元(约合630万欧元)的上限,处以违法所得的三倍,或澳大利亚年收入的10%,较高者为准。【阅读原文
澳大利亚数据保护要求

2、SaaS的阴暗面:网络攻击武器化、平民化

为了能够做到可持续化运作,他们开始借助SaaS(软件即服务)平台的优势:价格便宜、灵活性强、易于拓展,进而衍生出网络钓鱼即服务(PhaaS)、勒索软件即服务(RaaS)等模式。【阅读原文
1670227695_638da6ef0e9aec41a6cad.jpg!small

3、Java安全详解反序列化漏洞的成因和fastjson实际漏洞分析

FastJson 是 alibaba 的一款开源 JSON 解析库,可用于将 Java 对象转换为其 JSON 表示形式,也可以用于将 JSON 字符串转换为等效的Java对象分别通过toJSONStringparseObject/parse 来实现序列化和反序列化。【阅读原文

Java安全详解反序列化漏洞的成因和fastjson实际漏洞分析

省心工具

1、Octopii:一款 AI 驱动的个人身份信息(PII)扫描工具

Octopii 是一款功能强大的AI驱动的个人身份信息(PII)扫描工具,可以帮助广大研究人员在一个目录中扫描各种和个人身份信息(PII)相关的图片资源,比如说身份*证信息、护照、照片和签名等等。【阅读原文
1670158450_638c9872b5e5549f96a3d.png!small

2、SCMKit:一款功能强大的针对源代码管理系统的安全测试套件

SCMKit,全称为 Source Code Management Attack Toolkit,是一个可以用于对 SCM 源代码管理系统进行渗透测试的强大工具包。【阅读原文

1670161750_638ca5560bd8e4df35b60.png!small

3、Pywirt:一款基于 Python的Windows 安全应急响应工具

Pywirt 是一款基于 Python 开发的网络安全工具,该工具专门针对 Windows 操作系统设计,可以帮助广大研究人员使用 winrm 并通过在 Windows 操作系统上收集各种信息来加快安全事件应急响应的速度。【阅读原文

# FreeBuf周报
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
热点资讯
  • 1、Hive 勒索组织黑五期间攻击欧洲零售商,已累计攻击 1300 家公司
  • 2、Vice Society 勒索软件太猖狂,一年内袭击 33 个教育机构
  • 3、Pwn2Own 2022 开赛首日,三星旗舰手机 Galaxy S22 二度被黑
  • 4、AI 将取代人类?机器人 ChatGPT 能测漏洞、审代码还能修 bug
  • 5、“乌克兰 IT 军”关闭了俄罗斯第二大银行
安全事件
  • 1、微软提醒欧洲:这个冬天做好与俄罗斯网络战的准备
  • 2、高危 AMI MegaRAC 漏洞影响 AMD、ARM、HPE、Dell 等众多服务器
  • 3、俄罗斯多地政厅和法院遭网络攻击,不排除地缘政治的原因
  • 4、三菱电机 PLC 曝出多个严重安全漏洞
  • 5、IBM 云数据库 PostgreSQL 出现安全漏洞
一周好文共读
  • 1、澳大利亚数据保护要求
  • 2、SaaS的阴暗面:网络攻击武器化、平民化
  • 3、Java安全详解反序列化漏洞的成因和fastjson实际漏洞分析
省心工具
  • 1、Octopii:一款 AI 驱动的个人身份信息(PII)扫描工具
  • 2、SCMKit:一款功能强大的针对源代码管理系统的安全测试套件
  • 3、Pywirt:一款基于 Python的Windows 安全应急响应工具