近期，思科解决了Cisco Nexus Dashboard数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者以root或管理员权限执行命令和操作。 第一个安全漏洞（被评为严重严重性漏洞，编号为 CVE-2022-20857）使未经身份验证的威胁参与者能够通过发送HTTP 请求来访问API，并以root 权限远程执行任意命令。 第二个漏洞（Web UI 中的一个高严重性漏洞，编号为 CVE-2022-20861）允许远程攻击者通过欺骗经过身份验证的管理员单击恶意链接来进行跨站点请求伪造攻击。...

近日，卡巴斯基发出警告，他们监测到一种名为Luna的新型勒索软件系列正在肆虐。Luna可加密运行多个操作系统的设备，包括 Windows、Linux 和 ESXi 等主流操作系统。 卡巴斯基安全研究人员在公司暗网威胁情报主动监控系统中的某个暗网勒索软件论坛广告发现了Luna 勒索软件的身影，有意思的是，该勒索软件似乎专门是为讲俄语的攻击者所设计。...

Hackernews 编译，转载请注明出处： 谷歌周二正式宣布支持Android设备的HTTP/3 DNS（DoH3），这是谷歌Play系统更新的一部分，旨在保持DNS查询的私密性。 为此，运行Android 11及更高版本的Android智能手机预计将使用DoH3，而不是包含在Android 9.0移动操作系统中的DNS-over-TLS (DoT)。...

美国众议院通过了其 8400 亿美元的年度国防政策法案，其中包括一项条款，用于识别和更好地保护最容易受到网络攻击的关键基础设施。 该措施由退休的罗德岛州民主党众议员吉姆·朗之文（Jim Langevin）倡导，将指定某些关键基础设施实体对美国具有“系统重要性”，并为信息共享、风险管理披露和对数字入侵的快速响应建立新途径，以及其他步骤。 “在我在国会任职的近 22 年里，我们在网络空间取得了长足的进步，”朗之万在众议院以 329-101 投票后发表声明说。“When I was elected in 2000, nobody was talking about cybersecurity.”...

美一个众议院小组周三以53比2的两党投票结果推进了一项全面的数据隐私法案，该法案旨在为科技公司如何收集和使用美国人的数据设定一个国家标准。 众议院能源和商业委员会对《美国数据隐私和保护法(ADPPA)》的投票是在立法者对联邦数据隐私法采取行动拖延多年后迈出的重要一步，但仍有一些悬念可能会使该提案向前推进。 加利福尼亚州的几位议员对联邦法案可能破坏该州数据隐私法的保护措施表示担忧。众议员 Anna Eshoo和Nanette Diaz Barragán是唯一投票反对推进该法案的人。...

Hackernews 编译，转载请注明出处： 欧盟理事会警告称，在俄罗斯和乌克兰持续冲突的背景下，黑客进行了恶意网络活动。 欧盟的声明指出，大量黑客正在不分青红皂白地瞄准全球关键基础设施。...

苹果官方表示每天审核超过 10 万款新应用和应用更新申请，而严苛的审查制度让其只有 60% 可以通过上架。即便如此，App Store 依然充斥着大量欺诈类应用，为这些应用的开发者带来大量收入的同时，由于 30% 的佣金让苹果也分得其中一杯羹。 欺诈类应用并不是新鲜事物，Google 和苹果尚未开发出有效的手段来遏制它们的发展。根据最新的预估统计数据，近些年通过欺诈类应用开发者从受害者身上夺取了超过 4 亿美元的资金。 有别于恶意软件，欺诈类应用并不会接管你的设备也不会窃取你的信息，这也是为何它们能够上架应用商城的重要原因。而且这些应用通常会提供一些实用的功能，从而让这些恶意应用看起比较正规。...

近期，一个名为8220组织的加密采矿团伙利用Linux和云应用程序漏洞将其僵尸网络扩大至30,000多台受感染的主机。该组织的技术并不高，但经济动机强，他们针对运行Docker、Redis、Confluence和Apache漏洞版本的公开系统， 在获得访问权限后，攻击者使用SSH暴力破解进一步传播并劫持可用的计算资源来运行指向无法追踪的加密矿工。 8220组织至少从2017年开始就活跃起来，起先其并没有获得多大的关注，但在一系列的大量感染案例之后，人们才发现忽视这些级别较低的威胁参与者是多么不明智，并且他们同样能给网络安全带来较大的威胁。...

美国网路安全审查委员会（Cyber Safety Review Board）报告指出，Log4Shell（CVE-2021-44228）漏洞将成为“地方流行病”，对企业系统的影响可能长达10年以上。 美国总统拜登今年发布行政命令成立的网路安全审查委员会（Cyber Safety Review Board，CSRB）于上周四（7/14）发布第一份报告，根据针对80家组织及业者的调查结果，说明去年12月揭露的Apache Log4j漏洞的实际影响和未来的威胁。...

Hackernews 编译，转载请注明出处： 网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱，该软件针对的是Apple macOS操作系统。 这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发，据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。...