各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
正当 OpenAI 因 ChatGPT 疲于应对各方审查时,一款“没有道德界限或限制”的「邪恶版 ChatGPT」悄然在网络上蔓延:WormGPT。
随着近期Clop 勒索软件组织利用 MOVEit Transfer 文件传输工具漏洞进行大规模攻击,Coveware发布报告称,Clop将从中获得7500万美元至1亿美元的赎金收入。
IBM 发布年度《数据泄露成本报告》,显示 2023 年全球数据泄露平均成本达到 445 万美元,比过去 3 年增加了 15%。创下该报告的历史新高。
近日苹果公司表示,它宁愿停止在英国提供 iMessage 和 FaceTime 服务,也不愿屈服英国政府对数字监控的新提案。
苹果公司在一份公告中描述了一个 WebKit 漏洞,该漏洞被标记为 CVE-2023-37450,已在本月初的新一轮快速安全响应 (RSR) 更新中得到解决。
WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据。
Wiz 研究人员 s.Tzadik 和 s.Tamari 发现 Ubuntu 内核中存在两个 Linux 漏洞 CVE-2023-32629 和 CVE-2023-2640,没有特权的本地用户可能利用其在设备上获得更高权限,影响大约 40% 的 Ubuntu 用户。
7月26日,武汉市应急管理局发布声明称,该局所属武汉市地震监测中心遭受境外组织的网络攻击。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体案例。
近期,荷兰研究人员发现一种用于全球关键数据和语音无线电通信的技术存在严重的安全漏洞,甚至还有一个故意设置的后门。值得一提的是,该技术一直处于保密状态,以防止任何人仔细检查其安全属性,查找漏洞。
网络安全公司 Flare 与 BleepingComputer 分享的一份报告显示,在对暗网和 Telegram 渠道上出售的近 2000 万条泄密数据日志进行分析后,发现信息窃取恶意软件已实现了对商业环境的严重渗透。
根据联合国贸易和发展会议(UNCTAD)的数据显示,超过80%的国际贸易货物经由海上运输,而这个比例在发展中国家甚至来得更高。整个行业依赖一系列复杂的“及时”供应链,只要一个环节遭到破坏,可能会产生巨大的影响。【阅读原文】
有专家提出“主动给AI大模型投毒”。一大批由国内环境社会学、社会学、心理学等领域的权威专家和学者组团向AI大模型投毒,其效果如同打疫苗,先行将不安全的内容喂给AI大模型,直接提升AI在实际使用过程中的“免疫力”。【阅读原文】
本文介绍了笔者在某次攻防演练中,如何从外网渗透到某车企的内网的详细过程(为了保护敏感信息,所有数据都已经脱敏,有些截图也不完整)。【阅读原文】
Artemis是一款功能强大的模块化网络侦查和漏洞扫描工具,该工具基于Karton项目开发,可以优化和增强CERT PL扫描活动。【阅读原文】
Azure-AccessPermissions是一款功能强大且易于使用的PowerShell脚本,在该工具的帮助下,广大研究人员可以快速枚举目标Azure活动目录环境中的访问权限。【阅读原文】
Scanner-and-Patcher是一款功能强大的Web漏洞扫描和修复工具,可以有效地帮助广大研究人员以简单高效的形式寻找、利用和修复目标Web应用程序中存在的安全漏洞。【阅读原文】