网络安全日报 2023年12月11日

网络安全苏柒

已于 2024-01-09 10:07:42 修改

阅读量1.1k

点赞数 17

文章标签： web安全安全开发语言网络网络安全 javascript ecmascript

于 2023-12-11 11:28:14 首次发布

本文链接：https://blog.csdn.net/Galaxy_0/article/details/134922826

版权

在这里插入图片描述

1、Meta在Messenger上启动聊天和通话为默认端到端加密

https://about.fb.com/news/2023/12/default-end-to-end-encryption-on-messenger/

Meta已正式开始在Messenger中默认支持个人通话和一对一个人消息的端到端加密(E2EE)。该公司副总裁在社交媒体上称，此次不是例行的安全更新，他们与隐私和安全专家密切协商，从头开始重建了该应用程序。Messenger中群组消息传递的E2EE仍处于测试阶段。Meta升级了100多项功能以纳入加密，还通过构建名为Labyrinth的新加密存储系统，为用户开发了管理设备之间消息历史记录的新方法，例如设置PIN。PIN用作Messenger中聊天升级后的恢复方法，以便在用户丢失、更改设备或向帐户添加设备时帮助用户恢复消息。

2、攻击者可以利用AWS STS渗透云帐户

https://redcanary.com/blog/aws-sts/

攻击者可以利用Amazon Web Services安全令牌服务(AWS STS)作为渗透云帐户并进行后续攻击的方式。AWS STS是一项Web服务，使用户能够请求临时的、有限权限的凭证，以便用户访问AWS资源，而无需创建AWS身份。这些STS令牌的有效期为15分钟到36小时。攻击者可以通过恶意软件感染、公开暴露的凭据和网络钓鱼电子邮件等多种方法窃取长期IAM令牌，然后通过API调用使用它们来确定与这些令牌关联的角色和权限。

3、攻击者可使用新型蓝牙漏洞控制多平台设备

https://github.com/skysafe/reblog/tree/main/cve-2023-45866

攻击者可能会利用一个关键的蓝牙安全漏洞来控制Android、Linux、macOS和iOS设备。该漏洞编号为CVE-2023-45866，涉及身份验证绕过的情况，该情况使攻击者能够连接到易受影响的设备并注入击键以实现作为受害者的代码执行。多个蓝牙堆栈存在身份验证绕过漏洞，允许攻击者在无需用户确认的情况下连接到可发现的主机并注入击键。

4、研究人员披露针对泰国电信公司的新型Krasue恶意软件

https://www.group-ib.com/blog/krasue-rat/

自 2021 年以来，攻击者观察到一种名为Krasue的新型的Linux远程访问木马以泰国电信公司为目标，主要用于秘密访问受害者网络。目前尚不清楚用于部署 Krasue 的确切初始访问向量，但怀疑它可能是通过漏洞利用、凭证暴力攻击或作为虚假软件包或二进制文件的一部分下载的。该恶意软件的核心功能是通过一个rootkit实现的，该rootkit伪装成未签名的VMware驱动程序，并允许其在主机上保持持久性而不引起任何注意。Rootkit源自Diamorphine、Suterusu和Rooty等开源项目。

5、研究人员披露BlueNoroff组织针对macOS用户的新恶意软件

https://securelist.com/bluenoroff-new-macos-malware/111290/

研究人员发现了一种针对macOS的新型恶意加载程序，可能与BlueNoroff APT组织及其正在进行的名为RustBucket的活动有关。攻击者常常会攻击金融组织，特别是其活动与加密货币有任何关系的公司，以及持有加密资产或对该主题感兴趣的个人。有关新加载程序变体的信息首先出现在X以前称为Twitter）帖子中。

6、美国海军承包商Austal承认数据泄露且遭受网络攻击

https://www.bleepingcomputer.com/news/security/navy-contractor-austal-usa-confirms-cyberattack-after-data-leak/

美国造船公司Austal USA是美国国防部(DoD)和国土安全部(DHS)的承包商，证实遭受了网络攻击，目前正在调查该事件的影响。该公司总部位于澳大利亚，专门生产高性能铝制容器。其美国子公司Austal USA签订了多个项目合同，其中包括为美国海军建造独立级濒海战斗舰，这些舰艇长127米，每艘造价3.6亿美元。Austal还拥有一份价值33亿美元的有效合同，为美国海岸警卫队建造11艘巡逻艇。Hunters International勒索软件和数据勒索组织声称入侵了Austal USA，并泄露了一些信息作为入侵的证据。

7、Atlassian修复多个产品中的关键远程代码执行漏洞

https://confluence.atlassian.com/security/security-advisories-bulletins-1236937381.html

Atlassian发布了针对影响Confluence、Jira和Bitbucket服务器以及macOS配套应用程序的四个关键远程代码执行(RCE)漏洞的安全公告。根据Atlassian的内部评估，所有解决的安全问题的严重程度至少为9.0分（满分10分）。不过，该公司建议企业根据自己的IT环境评估适用性。该公司没有将任何安全问题标记为在野外被利用。然而，由于Atlassian产品的流行及其在企业环境中的广泛部署，系统管理员应优先考虑应用可用的更新。

8、研究人员发现了ANDROID 14 和 13 的锁屏绕过漏洞

https://securityaffairs.com/155588/hacking/android-14-13-lock-screen-bypass.html

研究人员在 Android 14 和 13 中发现了一个锁屏绕过漏洞，可能会泄露用户 Google 帐户中的敏感数据。

9、新的 5G 调制解调器漏洞影响主要品牌的Android手机和 iOS 设备

https://thehackernews.com/2023/12/new-5g-modems-flaws-affect-ios-devices.html

联发科和高通等主要芯片组供应商的 5G 移动网络调制解调器固件实现中存在一系列安全漏洞，影响 USB 和物联网调制解调器以及数百种运行 Android 和 iOS 的智能手机型号。

10、俄罗斯Fancy Bear组织发起大规模凭证收集活动

https://www.csoonline.com/article/1251293/russias-fancy-bear-launches-mass-credential-collection-campaigns-exploiting-outlook-and-winrar-flaws.html

俄罗斯军事情报部门相关的威胁组织Fancy Bear发起大规模凭证收集活动，这些攻击活动利用Outlook和WinRAR中的已知漏洞从欧洲和北美的组织收集Windows NTLM凭据哈希值。对于网络间谍组织来说，大量电子邮件的发送是不寻常的，因为网络间谍组织在选择受害者时通常具有高度针对性。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

在这里插入图片描述

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

在这里插入图片描述

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…