ZONE.CI 全球网

开源安全基金会(OpenSSF)本周宣布日立、洛克希德马丁、Salesforce和SAP将作为普通会员加入。
OpenSSF：成立于2020年，由 Linux基金会主办，是一个跨行业组织，致力于通过科

工业和物联网网络安全公司Claroty周四（11日）披露了一个高危漏洞利用链的详细。
该漏洞利用链主要通过以下5个漏洞实现：CVE-2023-27357、CVE-2023-27367、CVE-2023

领先的电气化和自动化技术提供商瑞士跨国公司 ABB 遭受了 Black Basta 勒索软件攻击，据报道影响了业务运营。
ABB ：总部位于瑞士苏黎世，拥有约 105,000 名员工，2022 年的收

5月10日，美国为处理敏感数据的承包商发布新的网络指南，强调了新的安全要求。
CUI指南草案的变化包括：
l 消除歧义和定义实施网络安全协议的参数；
l 提高所选安全要求的灵活性；
l 协助组织降低风

自2020年以来，一个名为Red Stinger的先前未被发现的高级持续威胁(APT)攻击者与针对东欧的攻击有关。
Malwarebytes在5月11日发布的一份报告中透露：“军事、交通和关键基础设施

近日，Black Hat Asia 2023（亚洲黑帽大会）在新加坡举办。Black Hat大会被公认为世界信息安全行业的最高盛会，也是最具技术性的信息安全会议。会议聚焦于先进安全研究、发展和趋势，并

近日，Black Hat Asia 2023（亚洲黑帽大会）在新加坡如期拉开帷幕。作为公认的世界信息安全行业最高盛会，Black Hat 每年都会向外界持续输送出最新的安全研究成果、创新技术等前沿资讯

欧盟达成《人工智能法案》初步协议。2023年5月11日，欧洲议会就欧盟《人工智能法案（The AI Act）》达成初步协议，对通用人工智能实行更严格的监管。该协议将于6月中旬进行全体投票，如获通过将为

2023年5月5日，一个名为Poufna Rozmowa（机密对话）的Telegram账户对外公布了一个神秘的电子邮件往来记录。这是一封在2020年，从美国地图创建软件开发商 ArcGis 分支机构

近日，丰田汽车公司发布公告称，由于数据库配置错误，其云环境中发生了数据泄露事件。从 2013 年 11 月 6 日到 2023 年 4 月 17 日，这十年间使用T-Connect G-Link、G-

2023 年 5 月 5日，网站安全公司Patchstack 披露了一枚高危反映跨站点脚本 XSS 漏洞（ CVE-2023-30777）。成功利用该漏洞，未经身份验证的攻击者可以窃取敏感信息并提升他

近日，黑客组织在某论坛上公开列出了一个据称属于美国关键基础设施制造商Sanmina Corporation的待售数据集。其中包括大约50,000名公司员工的全名、电子邮件、电话号码、职位和其他私人数据

周三（5月10日），谷歌推出了PaLM 2，这是一系列核心语言模型(LLM)，其功能可与OpenAI的GPT-4相媲美。在加利福尼亚州山景城举行的谷歌 I/O大会上，谷歌宣布它已经使用PaLM 2为2

美国网络安全和基础设施安全局(CISA)12日警告称，Ruckus Wireless Admin面板中存在一个严重的远程代码执行(RCE)漏洞，该漏洞被最近发现的DDoS僵尸网络积极利用。虽然此安全漏

为深入贯彻落实国家网络强国和交通强国战略部署，推动智能网联汽车技术与产业发展、加快该领域人才培养、提升行业创新，打造自主可控、自主研发的中国智能网联汽车安全生态体系，由江西省委网信办、江西省工信厅、上

近日，思科发布更新以解决其 Small Business 系列交换机中的一组九个安全漏洞，未经身份验证的远程攻击者可能会利用这些漏洞运行任意代码或导致拒绝服务 (DoS) 情况。
九个漏洞中的四个在

北约合作网络防御卓越中心（CCDCOE）是一个跨国组织，旨在增强网络防御能力，促进北约成员国和伙伴国家之间的合作。
该组织位于爱沙尼亚塔林，在网络防御领域开展研究、培训和演习，并提供共享专业知识和最佳

报告编号：CERT-R-2023-144
报告来源：360CERT
报告作者：360CERT
更新日期：2023-05-08
1 漏洞简述2023年05月08日，360CERT监测发现GitLab发布

网络安全研究人员和 IT 管理员对谷歌新的 ZIP 和 MOV 互联网域提出了担忧，警告称威胁行为者可能会利用它们进行网络钓鱼攻击和恶意软件传播。本月早些时候， 谷歌推出了 八个新的顶级域 (TLD)

近日，Apple 发布公告修复了三个新的0day漏洞，这些漏洞可能已经被用于攻击 iPhone、Mac 和 iPad。这些安全漏洞均在多平台 WebKit 浏览器引擎中发现，并被跟踪为 CVE-202

安全研究员 Vdohney 发布了一个名为KeePass 2.X Master Password Dumper 的PoC 工具，它允许检索 KeePass 的主密码。该工具利用未修补的 KeePass

一名美国公民Michael D. Mihalo承认经营一个名为Skynet Market 的暗网梳理网站，专门从事信用卡和借记卡数据的交易，并出售了属于该国数万名受害者的财务信息。2016 年 2 月

LayerZero Labs 在 Immunefi 平台上推出了漏洞赏金计划，为关键的智能合约和区块链漏洞提供最高 1500 万美元的奖励，这一数字在加密领域创下了新纪录。LayerZero Labs

概述
Tellyouthepass勒索软件在我国属于知名的头部勒索软件家族，该家族擅长利用Web应用漏洞对运行应用的服务器发起勒索攻击。在2022年8月底发生的针对某财务记账系统的勒索攻击事件就是该家

近日，360发布勒索预警，TellYouThePass勒索软件呈现卷土重来迹象：仅5月上半月，360数字安全大脑已监测到其针对服务器发起两次较大规模勒索攻击，严重威胁到广大政企机构的数据与财产安全。