Cloudflare服务中断致数百个网站瘫痪

欧洲刑警组织新行动再次大获成功，打击造成百万欧元损失的钓鱼组织。

此次行动调配比利时和荷兰警力，抓捕9名嫌疑人，收缴无数枪支弹药、电子设备、珠宝首饰、现金和加密货币。调查发现，该组织主要采用电子邮件、短信方式钓鱼，获取银行账号密码后对接洗钱组织收尾。枪支弹药是意外收获，警方认为这个组织可能兼职贩卖毒品。

来源：安全客

一项拟议的联邦集体诉讼，指控Facebook在患者不知情和同意的情况下，从医疗网站和患者门户网站非法收集“数百万”个人信息。

来源：FreeBuf

乌克兰计算机应急响应小组又发出警告，指责俄罗斯黑客组织利用Follina漏洞部署CredoMap恶意软件。

这次钓鱼攻击的诱饵也非常“俄乌”，名为“核恐怖主义是真切的威胁.rtf”，一旦受害者打开，就直接中招。可见黑客把人性都摸透了，从上次的化学攻击直接进化到核攻击，可是把目标——乌克兰用户研究个底朝天。钓鱼成功后部署的CredoMap则是木马，用于窃取受害者账号密码。目前他们初步判断攻击是Sandworm组织所为，但具体目标还在研判中。

来源：安全客

美国东部时间6月21日，网络基础设施服务提供商Cloudflare发生了一起故障，导致数百个网站大面积中断。受到网站中断影响的企业涉及非常广泛，其中包括Discord、Medium、Coinbase、NordVPN和Feedly等科技巨头。

来源：FreeBuf

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。

WordPress String locator plugin 2.5.0之前版本存在路径遍历漏洞，该漏洞源于String locator未正确验证要搜索的文件的路径，具有管理员等高权限攻击者可利用该漏洞通过路径遍历向量查询Web服务器上的任意文件。厂商已发布了漏洞修复程序。

来源：CVND

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。

WordPress SpeakOut! Email Petitions plugin 2.14.15.1之前版本存在SQL注入漏洞，该漏洞源于dk_speakout_sendmail AJAX操作在使用的id参数之前未对其进行清理与转义，攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。厂商已发布了漏洞修复程序。

来源：CNVD

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。

WordPress Essential Addons for Elementor Lite存在跨站脚本漏洞，攻击者可利用该漏洞在用户单击特制的链接时将任意Web本注入到页面上。厂商已发布了漏洞修复程序。

来源：CNVD

安全研究员发现Adobe Acrobat开始阻止杀毒软件对PDF文件进行检测，大大提高了安全风险。

这玩意还是白名单机制，Adobe列出了差不多30种杀毒软件，一旦发现其进程活动，便进行阻止，降低了杀毒软件对文件的检测能力。列表中包括Bitdefender、Avast、Trend Micro、Symantec、Malwarebytes、ESET、Kaspersky、F-Secure、Sophos、Emsisoft等，检测则是通过libcef.dll，本意是为兼容性而建，却被用于降低安全性。根据调用情况，Acrobat和Reader是主要使用者。近期网上也有人抱怨Adobe软件导致杀毒软件失效，Adobe官方回应这是因为安全产品的DLL与Adobe不兼容，正在想办法解决这个问题。

来源：安全客

END