一位研究人员表示,一起针对硬件制造商微星(MSI)的勒索软件入侵引发了人们对毁灭性供应链攻击的担忧。这种攻击可能会注入恶意更新,而这些更新已使用受大量最终用户设备信任的公司签名密钥进行签名。安全公司B...
云安全案例9:黑客利用CI/CD进行云供应链攻击
CI/CD 管道作为软件开发过程的重要组成部分,对黑客来说是一个很有吸引力的目标。根据我们对云环境的研究,我们分享了常见的错误配置,并提供了有关如何修复它们以防止供应链攻击的提示。在面向互联网的复杂云...
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为...
云安全案例10: 黑客披露利用PostgreSQL提权攻破IBM云的细节
在这篇博文中,我们将展示我们如何能够利用 PostgreSQL 中的提权漏洞来发现一个长期存在的密钥,该密钥可以被滥用到到 IBM云 内部CI/CD 服务进行身份验证并干预 IBM云的内部镜像构建过程...
3CX 遭遇“套娃”式供应链攻击
近期,针对 3CX 供应链攻击事件炒的沸沸扬扬,谷歌旗下 Mandiant 追踪分析这起网络攻击事件,最终发现此次攻击是一起“套娃”式软件供应链攻击。2023 年 3 月 29,网络安全研究人员发现针...
【高级威胁追踪(APT)】疑似3CX供应链攻击组织相关联的Linux样本分析
概述近日3CX企业级电话管理系统供应商遭遇供应链攻击,这是一起非常严重的供应链攻击事件,根据3CX网站介绍,3CX在全球190+国家拥有超过60W的安装量超过1200万用户。在事件发生后,3CX任命M...
Wiz机构披露利用阿里云docker逃逸漏洞大杀四方的细节
原文链接:https://www.wiz.io/blog/brokensesame-accidental-write-permissions-to-private-registry-allowed-p...
链中链?造成3CX 软件供应链事件的是另外一起供应链事件?
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本...
3CX 确认供应链攻击背后的朝鲜黑客
VoIP 通信公司 3CX 在 11 日证实,一个朝鲜黑客组织是上个月供应链攻击的幕后黑手。根据 Mandiant 迄今对 3CX 入侵和供应链攻击的调查,他们将该活动归因于一个名为UNC4736的集...
Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士已存在十年之久的Windows 漏洞 (CVE-2013-3900) 遭利用,导致可执行文件看似获得合法签名。这么多年来,微软发布的修复方...
针对3CX供应链攻击样本的深度分析
安全分析与研究专注于全球恶意软件的分析与研究前言 近日3CX企业级电话管理系统供应商遭遇供应链攻击,国外各大安全厂商纷纷发布了相关的分析报告,这是一起非常严重的供应链攻击事件,涉及到很多安全层面的问题...
【技术分享】供应链攻击之PHP Composer漏洞
简单概括本文的内容为:PHP包管理器Composer中,程序包来源下载URL部分的处理方式不当,导致了远程命令执行漏洞。攻击者可利用参数注入构建恶意的Mercurial库URL,并利用其alias选项...
28