原题：使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 作者：知道创宇404实验室   一．摘要 在使用Jupyter Notebook和JupyterLab 的过程中，有些用户缺乏安全意识，未启用身份验证功能，导致任何用户都可以直接访问自己的Jupyter服务器，并查看其服务器上的代码和文档。 我们使用ZoomEye 网络空间搜索引擎，通过特定搜索关键词，可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档，若被不法分子利用，可能会造成数据泄露和资产损失。 我们建议全部Jupyter用户，在启动Jupyter服务的时候，遵循官方安全建议，设置成必须通过token或者password登录。 二．概述 ZoomEye [1] 是一款网络空间搜索引擎，通过全球部署的探测节点对全球互联网暴露资产不间断的深度探测，构建互联网安全基础态势测绘地图，为安全研究提供全面的资产基础数据。 Jupyter Notebook [2] 是以网页的形式打开，可以在网页页面中直接编写代码和运行代码，代码的运行结果也会直接在代码块下显示的程序。如在编程过程中需要编写说明文档，可在同一个页面中直接编写，便于作及时的说明和解释 [3]。 它是数据科学家们最熟悉且常用的工具之一。 JupyterLab [4] 是一个交互式的开发环境，是Jupyter Notebook的下一代产品，可以使用它编写Notebook、操作终端、编辑MarkDown文本、打开交互模式、查看csv文件及图片等功能。可以说，JupyterLab是开发者们下一阶段更主流的开发环境 [5]。 本文，我们介绍如何使用ZoomEye找到那些未启用身份验证的Jupyter服务器，并通过Web浏览器访问其中的代码和文档。 三．Jupyter产品的安装和启动 3.1 Jupyter Notebook 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动Jupyter Notebook，以及对应的Web浏览访问的效果。 Jupyter Notebook的安装方式，参考其官方网站 [6]。只需要在命令行下输入一句话命令即可，简单方便。 pip install notebook 正常启动Jupyter Notebook的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter notebook 启动Jupyter Notebook服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888 访问Jupyter Notebook的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用Jupyter Notebook的产品功能。 有些用户需要通过互联网访问自己的Jupyter Notebook服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将Jupyter Notebook服务暴露在互联网IP上，并且未启用身份验证。 jupyter notebook --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓Jupyter Notebook服务所在互联网IP的前提下，在Web浏览器中输入“http://...:8888”访问Jupyter Notebook服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况下，网页标题内容是：“Home Page – Select or create a notebook”。 ① 网页标题内容是：Home Page – Select or create a notebook 3.2 JupyterLab 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动JupyterLab，以及对应的Web浏览访问的效果。 JupyterLab的安装方式，参考其官方网站 [7]。只需要在命令行下输入一句话命令即可，简单方便。 pip install jupyterlab 正常启动JupyterLab的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter-lab ① 启动JupyterLab服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888访问Jupyter Lab的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用JupyterLab的产品功能。 网页标题内容是：JupyterLab有些用户需要通过互联网访问自己的JupyterLab服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将JupyterLab服务暴露在互联网IP上，并且未启用身份验证。 jupyter-lab --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓JupyterLab服务所在互联网IP的前提下，在Web浏览器中输入“http://*.*.*.*:8888”访问JupyterLab服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况的网页标题内容是：“JupyterLab”。 ① 网页标题内容是：JupyterLab 四．查找未启用身份验证的Jupyter服务器 如上一章节所述，未启用身份验证Jupyter Notebook服务的标题内容是“Home Page – Select or create a notebook”，未启用身份验证JupyterLab服务的标题内容是“JupyterLab”。 我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的Jupyter Notebook服务器IP地址和端口，总计1180条结果。 title:"Home Page - Select or create a notebook" ① ZoomEye搜索关键词为：title:”Home Page – Select or create a notebook” ② 总计1180条结果我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的JupyterLab服务器IP地址和端口，总计1597条结果。 title:"JupyterLab" ① ZoomEye搜索关键词为：title:”JupyterLab” ② 总计1597 条结果 五．Jupyter服务未启用身份验证的危害 用户在搭建Jupyter服务的时候，未启用身份验证，虽然方便了日常使用，无需输入密码；但同时也相当于将自己的代码和文档公开在互联网上，供其他用户任意访问查看，其中的登录用户名/口令、API key/secret等敏感信息若被不法分子利用，可能会造成数据泄露和资产损失。 示例一： 如下图所示，该Jupyter服务器中的代码泄露了：bitFlyer加密货币交易所的用户API的key和secret，Gmail邮箱的用户名和口令。 不法分子利用bitFlyer加密货币交易所API的key和secret，可以在交易所中创建交易、取消交易等操作，可能会造成资产损失；利用Gmail邮箱的用户名和口令，可以登录Gmail邮箱，可能会造成隐私数据泄露。 ① 泄露了bitFlyer加密货币交易所API的key和secret ② 泄露了Gmail邮箱的用户名和口令示例二： 如下图所示，该Jupyter服务器中的代码泄露了：亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY。 不法分子利用亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY，可以获取亚马逊AWS的该账号权限，上传文件至亚马逊S3云存储空间，甚至在亚马逊AWS上创建新的云服务器。 ① 泄露了亚马逊AWS账号的ACCESS KEY ID ② 泄露了亚马逊AWS账号的SECRET ACCESS KEY 六．结语 在使用Jupyter的时候，尽量不要将其Web服务公开在互联网上，而是开放在局域网中使用，避免被无关人员访问到。 若却有使用需求将Jupyter的Web服务公开在互联网上，则必须设置通过token或者Password登录，而不是为了贪图方便而禁用身份验证。具体操作可以参见Jupyter官方的这篇安全建议博客：Please don’t disable authentication in Jupyter servers [8]。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org [2] Jupyter Notebook https://jupyter.org [3] Jupyter Notebook介绍、安装及使用教程 https://zhuanlan.zhihu.com/p/33105153 [4] JupyterLab https://jupyter.org [5] JupyterLab简介及常用操作 https://support.huaweicloud.com/engineers-modelarts/modelarts_23_0209.html [6] Jupyter Notebook的安装方式 https://jupyter.org/install [7] JupyterLab的安装方式 https://jupyter.org/install [8] Please don’t disable authentication in Jupyter servers https://blog.jupyter.org/please-dont-disable-authentication-in-jupyter-servers-dd197206e7f6

作者：知道创宇404实验室 原文链接：https://paper.seebug.org/2053/   一．摘要 在实现网络攻击的过程中，C2 服务器、loader 服务器甚至黑客的“工作机”都有可能通过开启 Web 服务器进行数据的传输。 根据 ZoomEye 网络空间搜索引擎[1]的历史数据，我们发现 9247 个 Cobalt Strike[2]控制端服务器中，有 6.53% 曾对外提供目录浏览和文件下载服务，涉及恶意样本、利用脚本、扫描结果等多种文件。根据已有数据，我们针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 在研究过程中，我们还发现存在遍历下载黑客“工作机”所有文件的行为，推断在互联网上已经存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 二．概述 黑客在控制他人电脑窃取他人文件的同时，也会成为他人攻击的重点对象。例如，黑客下载被他人嵌入恶意木马的扫描工具，运行使用该扫描工具的时候其电脑就会被背后的“猎人”所控制。 本文，我们将从黑客开启的 Web 服务器入手，通过使用 ZoomEye 网络空间搜索引擎，成为黑客背后的“猎人”。 黑客攻击者在进行攻击时，会遇到各类环境，为保证攻击成功，会使用较常用的方式下发恶意样本。例如开启 Web 服务器，然后通过大部分系统自带的 curl、wget 命令实现下载。在黑客进行测试样本和回传数据的时候，也可以通过开启临时 Web 服务器实现数据的传输。 部分编程语言自带了类似的功能，例如 Python 语言。我们可以使用一条命令开启一个 HTTP 服务: python3 -m http.server，然后在浏览器上访问的效果是这样子的: 这种做法虽然方便了数据传输，却给了其他人可趁之机。其他人若找到黑客使用的“工作机”，便可以获取其攻击工具，了解其攻击手法，甚至直接获取其窃取的数据。 三．利用 ZoomEye 平台找黑客“工作机” 下面我们来看如何利用 ZoomEye 平台找到这样的黑客“工作机”。 除了网页标题中的特征字符串之外，我们还需要指定黑客“工作机”中经常出现的关键词特征，才可以在 ZoomEye 平台精准的找到黑客“工作机”。 下面是一些搜索语句示例: “工作机”上经常存放漏洞 EXP 攻击工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"exp" “工作机”上经常存放 log4j 漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"log4j" “工作机”上经常部署 CobaltStrike (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobaltstrike" (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobalt strike" “工作机”上经常部署 Metasploit (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"Metasploit" “工作机”上经常存放包含 CVE 编号的漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cve" “工作机”上经常存放 payload (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"payload" “工作机”上经常存放 calc.exe，用于木马捆绑测试 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"calc.exe" 3.1 示例：黑客上传扫描工具进行恶意扫描 IP 地址为 124.200.*.* 的服务器，在 2023 年 2 月 14 日新增了名为 fscan64.exe 的工具。在随后的第二天（2023 年 2 月 15 日），创宇安全智脑 [3] 便捕获了由该 IP 地址发起的 1255 次攻击请求行为，并将该 IP 地址标记为恶意 IP 地址。 2023年2月14日，服务器上新增了名为 fscan64.exe的工具 2023年2月15日，创宇安全智脑捕获了由该 IP 地址发起的 1255 次 攻击请求行为 3.2 示例：黑客用于投放的恶意文件被标记为恶意 黑客在“工作机”上存储了多个用于投放给受害者点击的诱饵文件。我们随机挑选一个文件“Google3.exe”，该文件出现在“工作机”上的时间为 2023 年 1 月 31 日；然后将其上传到 Virustotal 平台上进行验证，显示在 2023 年 2 月 17 日该文件已经被识别为恶意。 2023年1月31日，服务器上出现了“Google3.exe”文件 我们将“Google3.exe”文件上传至Virustotal平台检测，被识别为恶意 3.3 示例：我们可获取黑客使用的攻击工具 我们在黑客“工作机”上，可以获取黑客所使用的攻击工具， 例如 CVE 漏洞利用工具、网马工具、Payload 代码、诱饵文件等。 ①Cobalt Strike 工具 ②CVE-2019-7609 Kibana远程代码执行漏洞利用工具 ③payload代码 ④Apache James Server 2.3.2 远程代码执行漏洞利用工具 ⑤多个CVE漏洞利用工具 ⑥EXP工具 3.4 示例：我们可获取黑客的工作结果 我们在黑客“工作机”上，可以获取黑客的工作成果，例如网站扫描结果、窃取的受害者 Cookie 数据、窃取的受害者键盘记录数据、窃取的受害者电脑上的文件等。 窃取受害者cookie的数据 ①针对gov.pk进行扫描工作结果的存储文件夹 ②gov.pk的子域名扩展结果 ③针对各子域名，使用FFUF工具进行Web Fuzz的结果 四．测绘重点网段 4.1 Cobalt Strike控制端开放Web目录浏览情况 根据ZoomEye网络空间搜索引擎的探测结果，2020年1月1日至2023年2月16日，一共有9247个IP地址被标记为Cobalt Strike控制端。其中有 604 个 IP 地址曾经出现过对外提供目录浏览和文件下载的服务，占比 6.53%。我们根据探测到的文件名等信息进行判断，绝大多数文件均和黑客攻击相关。这说明互联网上的部分黑客“工作机”给了其他人可趁之机。 4.2 高频测绘重点网段 从已识别为Cobalt Strike控制端的IP地址中，我们挑选了出现Cobalt Strike控制端最多的30个B段进行小范围测试，针对这30个B段IP地址的 3 个端口（8000、8080、8888）进行了持续 72 个小时的高频测绘，检测其是否对外提供目录浏览和文件下载服务，以及是否为黑客“工作机”。 结果是，在 72 个小时内，30 个 B 段的 196 万 IP 地址中，我们测绘到有 176 个 IP 地址对外提供过目录浏览和文件下载服务， 其中 13 个是黑客“工作机”。 我们进而分析其 HTTP 服务的开放和关闭时间，这 176 个 IP 地址 中，有 70 个为临时开放 HTTP 服务后便关闭的情况。 因此，我们可以推断，与通过网空搜索引擎进行查询相比，针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 五．探寻互联网上已经存在的“猎人” 通过这种方式，作为黑客背后的“猎人”，可以直接获取黑客“工作机”上的攻击工具和工作结果。我们推测互联网上已经存在这样的“猎人”，我们尝试来寻找之。 通过IP 地址 83.136.*.* 的 8000 端口 HTTP 服务列出的文件，我们可判断其是一台黑客“工作机”。其中文件“nohup.out” 是 HTTP 服务的请求日志记录文件。 nohup.out文件存储了HTTP服务的请求记录在该文件中，我们发现有一个 IP 地址 34.140.*.* 的行为很可疑。该 IP 地址在 2023 年 1 月 30 日，遍历并下载了黑客“工作机”所有文件夹下的文件。我们使用创宇安全智脑查询 IP 地址 34.140.*.* 的威胁等级，发现该 IP 地址已被标记为恶意 IP 地址，标签为 “2022 二十大重保”、“2022 护网”、“恶意扫描”等，且在 2023 年 1 月 30 日确实发起过恶意扫描攻击行为。 该 IP 地址 34.140.*.* 并不是一个搜索引擎蜘蛛IP，因此我们推断它是一个“猎人 IP”。当然，它的目标可能不仅仅是针对黑客“工作机”，也可能针对所有存在目录浏览漏洞的服务器。 ①该IP的威胁等级为“中” ②该IP的标签有“2022二十大重保”、“恶意扫描”等。 ③该IP在2023年1月30日发起过23次恶意扫描攻击行为在文件“nohup.out”中，存在 3 个与 34.140.*.* 行为一样的 IP 地址，我们推测其均属于“猎人 IP”。通过这一个黑客“工作机”的示例，我们有理由推断，在互联网上存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 六．结语 黑客攻击者可能是一个人单打独斗，缺点是技术能力和实战经验有限，无法关注到方方面面的细节；也可能是团队合作，人员分工明确，各自负责编写工具、实施攻击、分析结果等，缺点是各自只关注自身负责的工作，未明确到位的工作或风险便无人关注。正是由于这些原因，使得我们通过 ZoomEye 网络空间搜索引擎，可以捕获到这些黑客的“工作机”。 善于攻击的黑客不一定善于防守，也可能以猎物的方式出现在高端的猎人面前。成为攻击事件背后的黑客，还是成为黑客背后的猎人，这是攻防对抗的升级，也是从上帝视角测绘网络空间的魅力所在。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/ [2] Cobalt Strike https://www.cobaltstrike.com/ [3] 创宇安全智脑 https://gac.yunaq.com/

本文回顾2022年网络安全领域热点新闻事件，涉及国际动态、黑客攻击、数据泄露、安全漏洞等方面，数据来源 https://hackernews.cc/。转载请注明出处。   · 美国国会网站遭亲俄黑客组织攻击 美国国会图书馆透露，有亲俄黑客团伙攻击了国会立法网站Congress.gov，导致系统临时宕机并“短暂影响到公众访问”。该亲俄黑客团伙名为KillNet，曾向全球被认为对俄罗斯政府怀有敌意的国家目标，发起过一系列分布式拒绝服务攻击。该团伙此次专门发布了一段视频，其中包含503错误页面以及拜登总统的图像。 详情阅读：https://hackernews.cc/archives/40006   · 美及欧洲执法机构联盟查封了黑客网站 RaidForums.com 一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动，以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一，它承载着一个留言板系统，恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据，据悉，其中就包括最近在2021年公开的T-Mobile数据泄漏。 详情阅读：https://hackernews.cc/archives/38224   · 南非总统的个人信贷数据泄露：该国已沦为“黑客乐园” 黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。SpiderLog$称，这批数据来自另一个名为N4ugtysecTU的黑客团伙，而后者曾于今年早些时候入侵信用报告机构TransUnion，窃取了5400万消费者征信数据，几乎覆盖该国所有公民。泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。 SpiderLog$通过Ramaphosa的数据唤起了大众的警觉，让人们关注南非安全系统，特别是政府部门（包括国防和国家安全部门）所使用安全系统中的显著漏洞。SpiderLog$团伙在采访中表示，“南非已经成为黑客们的乐园，任何人都能轻松绘制出南非的数字基础设施分布。” 详情阅读：https://hackernews.cc/archives/39146   · 美军黑客为支持乌克兰而开展进攻性行动 美国网络司令部负责人告诉Sky News，美军黑客已经开展了支持乌克兰的进攻性行动。在一次独家采访中，Paul Nakasone将军还介绍了单独的hunt forward行动是如何让美国在外国黑客被用来对付美国之前搜索出他们的工具。 详情阅读：https://hackernews.cc/archives/39207   · 勒索软件攻击造成哥斯达黎加国家危机 自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果；安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。 详情阅读：https://hackernews.cc/archives/38806   · 美国悬赏 1000万 美元，征集 Conti 成员信息 美国国务院宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息，包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划，会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息，现在已经扩大到为网络罪犯的信息提供奖励，如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 详情阅读：https://hackernews.cc/archives/40829   · 朝鲜黑客组织 Lazarus 利用 Log4J 攻击 VMware 服务器长达数月之久 作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。 自2022年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。 详情阅读：https://hackernews.cc/archives/38921   · 因勒索软件攻击，芝加哥公立学校 50 万学生数据遭泄露 美国芝加哥公立学校发生了一起大规模的数据泄露事件，近 50 万名学生和 6 万名员工的数据遭泄露，这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。5 月 20 日，芝加哥公立学校（CPS）学区披露，去年 12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495448 名学生和 56138 名员工的存储数据，时间范围为 2015 学年至 2019 学年。 详情阅读：https://hackernews.cc/archives/38935   · 通用汽车遭撞库攻击被暴露车主个人信息 通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动，经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡，针对此次事件，通用汽车也及时给受影响的客服发邮件并告知客户。根据调查，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。 详情阅读：https://hackernews.cc/archives/38909   · Lapsus$ 再出手：泄漏 Globant 软件公司 70GB 数据 就在英国警方逮捕了 7 名嫌疑犯之后，近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后，该组织再次宣布成功攻陷 Globant，后者是一家位于卢森堡的软件开发咨询公司。该组织在其 Telegram 频道上发布了一个 70G 的种子文件，其中包括据称从该公司窃取的数据，黑客声称其中包括其企业客户的源代码。 详情阅读：https://hackernews.cc/archives/38059   · RansomHouse 宣布盗取芯片制造巨头 AMD 450GB 数据 RansomHouse 团伙声称入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据，并威胁说如果该公司不支付赎金，就会泄露或出售这些数据。 详情阅读：https://hackernews.cc/archives/39668   · 连锁酒店巨头万豪证实又一起数据泄露事件 酒店集团万豪国际集团已经证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道，据说发生在6月，一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 详情阅读：https://hackernews.cc/archives/39794   · 西门子工控系统暴露 15 个安全漏洞 网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息，其中一些可能被攻击者混合使用，以在受影响的系统上实现远程代码执行。工业安全公司 Claroty在一份新报告中表示：“这些漏洞如果被利用，会给网络上的西门子设备带来许多风险，包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。” 详情阅读：https://hackernews.cc/archives/39503   · 甲骨文耗时 6 个月修补 Fusion Middleware 的重大漏洞 安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。 详情阅读：https://hackernews.cc/archives/39590   · 邮件巨头 Zimbra 曝严重漏洞，黑客无需密码即可登录 邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面，通过利用该漏洞，黑客可以在没有身份验证或用户交互的情况下窃取登录信息，这意味着黑客无需账号密码即可登录用户的邮箱。 详情阅读：https://hackernews.cc/archives/39462   · 360 万+ MySQL 服务器暴露在互联网上 至少有360万台MySQL服务器已经暴露在互联网上，这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。在这些暴露、可访问的MySQL服务器中，近230万台是通过IPv4连接，剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作，但是这些设备应该要进行锁定，保证只有经过授权的设备才能连接并查询。 详情阅读：https://hackernews.cc/archives/39197   · 黑客以 3 万美元兜售 Twitter 数据，称涉及 540 万用户 Twitter在2022年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 有黑客以3万美元（约合20万人民币）兜售540万Twitter账户数据。据了解，Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 详情阅读：https://hackernews.cc/archives/40401