Aggregator

导语腾讯犀牛鸟精英人才计划于旨在选拔对科学研究有热情、有潜力的学生，帮助其在科研道路上探索前行。入选学生将在校企双导师联合培养下，以产业真实场景及海量数据为科学试验田，将理论研究和实践结合，验证学术理

再一次向那些曾经声名显赫、但现在已经失去作用的网络安全解决方案致敬。这些解决方案虽然在鼎盛时期备受赞誉，但最终还是在时间和日益严峻的威胁中败下阵来。1.传统多因素身份验证 (MFA)消亡原因：被复杂的

再一次向那些曾经声名显赫、但现在已经失去作用的网络安全解决方案致敬。

error code: 521

HackerNews 编译，转载请注明出处： CISA已警告美国联邦机构，需针对Oracle WebLogic Server和Mitel MiCollab系统中正被积极利用的关键漏洞加强系统安全。 该网络安全机构已将Mitel MiCollab统一通信平台中NuPoint Unified Messaging（NPM）组件存在的关键路径遍历漏洞（CVE-2024-41713）添加到其“已知被利用漏洞目录”中。 此安全漏洞使攻击者能够执行未经授权的管理操作，并访问用户和网络信息。“成功利用此漏洞可能会使攻击者获得未经授权的访问权限，从而对系统的保密性、完整性和可用性产生潜在影响。此漏洞无需身份验证即可被利用，”MiCollab解释道。 “如果漏洞被成功利用，攻击者可能无需身份验证即可访问配置信息，包括非敏感用户和网络信息，并在MiCollab服务器上执行未经授权的管理操作。” Oracle WebLogic Server存在的关键漏洞（CVE-2020-2883）四年前的2020年4月已被修复，但该漏洞仍使未经身份验证的攻击者能够远程控制未打补丁的服务器。 美国网络安全机构还警告了Mitel MiCollab存在的第二个路径遍历漏洞（CVE-2024-55550），该漏洞使拥有管理员权限的已验证攻击者能够读取易受攻击服务器上的任意文件。然而，由于成功利用该漏洞无法提升权限，且可访问的文件不包含敏感系统信息，因此其影响有限。 今日，CISA已将这三个漏洞全部添加到其“已知被利用漏洞目录”中，并将其标记为正在被积极利用。根据2021年11月发布的《强制性操作指令》（BOD）22-01的要求，联邦民用行政部门（FCEB）机构必须在1月28日前的三周内确保其网络安全。 CISA周二表示：“此类漏洞是恶意网络行为者的常见攻击途径，对联邦机构构成重大风险。” 虽然“已知被利用漏洞”（KEV）目录主要关注向美国联邦机构发出有关应尽快修补漏洞的警报，但建议所有组织优先缓解这些安全漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

导语腾讯犀牛鸟精英人才计划于旨在选拔对科学研究有热情、有潜力的学生，帮助其在科研道路上探索前行。入选学生将在校企双导师联合培养下，以产业真实场景及海量数据为科学试验田，将理论研究和实践结合，验证学术理

#游戏资讯 Valve 确认即将对 SteamOS Linux 进行公测，让联想等制造商可以搭载该系统运行 Steam 玩游戏。联想最新推出的 Legion Go S 运行的就是 St

IntroductionJavaScript continues to evolve, and with it, the tools developers use to write and opti

error code: 521

HackerNews 编译，转载请注明出处： 一个以Mirai为基础的新型僵尸网络正逐渐变得更为复杂，现在正在利用工业路由器和智能家居设备安全漏洞的零日漏洞进行攻击。 据Chainxin X Lab研究人员监测，该僵尸网络的发展和攻击始于2024年11月，开始利用之前未知的漏洞。 其中一个安全问题是CVE-2024-12856，这是Four-Faith工业路由器的一个漏洞，VulnCheck在12月底发现，但注意到在12月20日左右已有人试图利用该漏洞。 该僵尸网络还依赖于针对Neterbit路由器和Vimar智能家居设备中未知漏洞的自定义漏洞利用程序。 它于去年2月被发现，目前拥有15,000个每日活跃僵尸节点，主要分布在中国、美国、俄罗斯、土耳其和伊朗。 其主要目标似乎是为了盈利而对指定目标进行分布式拒绝服务（DDoS）攻击，每天针对数百个实体，活动在2024年10月和11月达到高峰。 目标国家 该恶意软件利用20多个漏洞的公共和私有漏洞利用程序，传播到暴露在互联网上的设备，针对数字视频录像机（DVR）、工业和家庭路由器以及智能家居设备。 具体来说，它针对以下设备： ASUS路由器（通过N日漏洞利用程序） 华为路由器（通过CVE-2017-17215） Neterbit路由器（自定义漏洞利用程序） LB-Link路由器（通过CVE-2023-26801） Four-Faith工业路由器（通过现在被追踪为CVE-2024-12856的零日漏洞） PZT摄像机（通过CVE-2024-8956和CVE-2024-8957） Kguard DVR Lilin DVR（通过远程代码执行漏洞利用程序） 通用DVR（使用如TVT editBlackAndWhiteList RCE等漏洞利用程序） Vimar智能家居设备（可能使用未公开的漏洞） 各种5G/LTE设备（可能通过配置错误或弱凭据） 该僵尸网络具有针对弱Telnet密码的暴力破解模块，使用具有唯一签名的自定义UPX打包，并实现基于Mirai的命令结构，用于更新客户端、扫描网络和进行DDoS攻击。 X Lab报告称，该僵尸网络的DDoS攻击持续时间短，在10到30秒之间，但强度很高，流量超过100 Gbps，即使对于坚固的基础设施也会造成中断。 “攻击目标遍布全球，分布在各行各业，”X Lab解释说。 “攻击的主要目标分布在中国、美国、德国、英国和新加坡，”研究人员说。 总体而言，该僵尸网络展示了利用N日甚至零日漏洞在多种设备类型上保持高感染率的独特能力。 用户可以遵循一般建议来保护他们的设备，即安装来自供应商的最新设备更新，如果不需要则禁用远程访问，并更改默认管理帐户凭据。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

New Non-Binding Recommendations Target Medical Device Makers, Software Developers
Manufacturers are eager to incorporate AI into a wide range of medical devices, from cardiac monitors that can spot developing heart problems to medical imaging systems that can find malignancies a radiologist might miss. The FDA released a new guidance this week on how to secure these devices.