FreeBuf早报 | OAuth2-Proxy 身份验证绕过漏洞;大华摄像头漏洞可遭远程入侵
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
全球网络安全事件速递:1. OAuth2-Proxy 存在身份验证绕过漏洞,建议升级;2. 大华摄像头需更新固件;3. 新型 XWorm V6 恶意软件威胁 Windows 用户;4. 金刃组织利用新攻击链投放 RedLoader;5. 苹果修复 Safari 零日漏洞;6. 针对企业的网络间谍活动;7. TrickBot 涉及加密货币盗窃;8. 诺基亚数据泄露事件;9. 生成式 AI 面临提示注入攻击风险;10. Lazarus 组织进行供应链攻击。
🎯
关键要点
- OAuth2-Proxy 存在身份验证绕过漏洞,建议升级至 v7.11.0。
- 大华摄像头存在严重漏洞,用户需立即升级固件以防远程控制。
- 新型 XWorm V6 恶意软件通过 VBScript 传播,具备反分析能力,威胁 Windows 用户。
- 金刃组织利用新型攻击链投放 RedLoader,建议限制 .lnk 文件路径以加强防护。
- 苹果修复影响 Safari 的高危零日漏洞,已发布更新。
- 针对亚洲大型企业的网络间谍活动,涉及 DLL 劫持和社交媒体攻击。
- TrickBot 恶意软件涉及超 7.24 亿美元的加密货币盗窃与勒索案。
- 诺基亚遭遇严重数据泄露事件,9.45 万员工敏感数据被泄露。
- 生成式 AI 工具面临提示注入攻击风险,需加强浏览器行为检测。
- 朝鲜 Lazarus 组织通过投毒开源组件进行供应链攻击,潜在受害者超 3.6 万。
➡️
