Zimbra修复ZCS中已被使用的XSS误差CVE-2023-38750

宣布时间 2023-08-01

1、Zimbra修复ZCS中已被使用的XSS误差CVE-2023-38750 


据媒体7月27日报道,,,,,Zimbra宣布清静更新,,,,,修复了针对Zimbra Collaboration Suite(ZCS)电子邮件效劳器的攻击中被使用的误差。。。。这是一个XSS误差(CVE-2023-38750),,,,,可能被用来窃取敏感信息或执行恶意代码。。。。虽然Zimbra在首次披露该误差并鞭策用户手动修复时,,,,,并未批注该误差已被使用 ,,,,,但Google TAG透露,,,,,该误差是在有针对性的攻击中被发明的。。。。别的,,,,,CISA也宣布了通告,,,,,要求联邦机构在8月17日之前修复该误差。。。。


https://www.bleepingcomputer.com/news/security/zimbra-patches-zero-day-vulnerability-exploited-in-xss-attacks/


2、Tempur Sealy遭到网络攻击导致公司运营暂时中止


据8月1日报道,,,,,床垫销售商Tempur Sealy遭到网络攻击,,,,,迫使部分系统暂时关闭。。。。Tempur Sealy被以为是全球最大的床上用品供应商,,,,,上季度净销售额为12亿美元。。。。该公司在本周一透露,,,,,于7月23日遭到了攻击,,,,,其接纳响应步伐自动关闭了部分IT系统,,,,,这导致公司运营暂时中止。。。。现在,,,,,该公司已最先将部分主要的系统重新上线并恢复运营。。。。视察仍在举行中,,,,,以确定对营业和财务爆发的影响,,,,,尚不清晰是否涉及客户或员工信息,,,,,以及攻击者的身份。。。。


https://therecord.media/mattress-giant-tempur-sealy-cyberattack


3、查塔努加心脏研究所转达涉及17万人的数据泄露事务


7月29日报道称,,,,,查塔努加心脏研究所(Chattanooga Heart Institute,,,,,CHI)转达了涉及17万人的数据泄露事务。。。。5月份,,,,,Karakurt团伙称攻击了该机构,,,,,并窃取了158GB的数据。。。。攻击者没有提供证据,,,,,但体现泄露数据包括医疗纪录、检查效果、诊断、社会清静号码、护照、和财务信息等,,,,,其时CHI并未回应此事务。。。。7月28日,,,,,CHI透露有170450人受到数据泄露事务的影响。。。。他们于4月17日检测到攻击迹象,,,,,确定系统在3月8日至16日时代曾被会见过。。。。直到5月31日,,,,,CHI才得知患者的康健信息和担保人信息被泄露。。。。


https://www.databreaches.net/the-chattanooga-heart-institute-to-notify-170450-about-march-data-security-incident/


4、美国SAIS数据库设置过失泄露572 GB学生和西席的信息


媒体7月28日报道称,,,,,研究职员发明了一个未受保唬护的数据库,,,,,其中包括与教育机构相关的682438条纪录。。。。视察发明,,,,,数据库属于南方自力学校协会(SAIS),,,,,这是位于美国的一个自愿性地区认证协会。。。。此次泄露的数据共572.8 GB,,,,,时间跨度从2012年到2023年,,,,,包括学生和西席纪录、康健信息、社会清静号码、枪击案和封闭通知、学校地图和财务预算等。。。。现在,,,,,该数据库已被保唬护起来。。。。


https://www.hackread.com/data-leak-student-faculty-accreditation-org/


5、Google宣布关于2022年度0day误差的回首报告


 7月27日,,,,,Google宣布了年度0day误差报告,,,,,提供了2022年以来的野外使用统计数据。。。。2022年检测并披露了41个在野的0day,,,,,其中上半年20个,,,,,下半年21个,,,,,仅次于2021年的69个误差。。。。在Android中,,,,,保存多种情形,,,,,用户在很长一段时间内无法获得补丁。。。。因此关于攻击者来说,,,,,Nday的功效类似于0day。。。。在2022年的41个0day中,,,,,有17个是之前报告的误差的变体,,,,,占比凌驾40%。。。。


https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html


6、Kaspersky宣布2023年Q2 APT攻击态势的剖析报告


7月27日,,,,,Kaspersky宣布了2023年Q2 APT攻击态势的剖析报告。。。。本季度的主要亮点之一是发明了恒久运营的Operation Triangulation活动,,,,,其中包括新的iOS恶意软件平台。。。。APT活动在地理漫衍上仍然很疏散,,,,,本季度,,,,,攻击者主要针对欧洲、拉丁美洲、中东和亚洲各地。。。。别的,,,,,成熟的攻击者在一直增强其工具,,,,,如Lazarus开发了MATA框架、BlueNoroff使用了新的传输方法和编程语言、ScarCruft使用了新的熏染方法以及GoldenJackal新的恶意软件样本。。。。唬还发明了新攻击者Mysterious Elephant的活动。。。。


https://securelist.com/apt-trends-report-q2-2023/110231/