1���、国家漏洞库CNNVD��:关于微软多个安全漏洞的通报
近期���,微软官方发布了多个安全漏洞的公告���,其中微软产品本身漏洞66个���,影响到微软产品的其他厂商漏洞1个。微软Microsoft Windows��、Microsoft Remote Desktop Client����、Microsoft Windows Hello���、Microsoft Windows Storage Port Driver等多个产品和系统受漏洞影响。现在��,微软官方已经发布了漏洞修复补丁����,建议用户及时确认是否受到漏洞影响��,尽快采取修补措施。
http://www.secrss.com/articles/79736
2����、针对中国电信业的复杂网络攻击���:DRAGONCLONE行动曝光
Cyberpress网站6月10日报道��,Seqrite Labs APT团队发布技术分析分析报告��,披露了名为���“DRAGONCLONE”的网络攻击行动���,这是一场针对中国电信巨头中国移动旗下子公司中移铁通有限公司的高度复杂且技术先进的网络攻击。该行动顺利获得精心设计的多阶段攻击链��,结合了VELETRIX和VShell两种恶意软件���,展示了威胁行为者在恶意软件开发和攻击策略上的深厚技术积累和创新能力。
http://www.secrss.com/articles/79633
3����、北京2家公司个人信息数据遭境外窃取被罚5万元今年以来���,北京市网信办持续加强数据安全领域执法力度。近期����,部分企业因未依法履行数据安全保护义务��,其相关系统���、服务器或数据库存在未授权访问漏洞和弱口令漏洞问题��,造成数据被窃取����,北京市网信办依法对涉案企业进行了查处。
http://www.secrss.com/articles/79768
02.
关键基础设施
1���、中科GPS设备漏洞可导致远程车辆控制和位置追踪
美国网络安全和基础设施安全局���(CISA)发布警告称����,中科��(SinoTrack)GPS设备存在两处漏洞���,远程攻击者可利用这些漏洞未经授权访问车辆设备配置文件。研究人员指出����,根据设备型号不同��,攻击者可能借此追踪车辆位置����,甚至切断燃油泵电源。
http://www.freebuf.com/articles/ics-articles/434707.html
2��、3.5万套太阳能系统在公网暴露��,可被黑客利用造成停电效应
近期在网络上发现了大量的易受攻击的太阳能逆变器。近35,000台太阳能设备的管理界面暴露在互联网上��,黑客可以利用一系列已知漏洞进行攻击。对于设备所有者来说���,在线检查太阳能电池板的发电统计数据非常方便����,但这一功能也带来了巨大风险——黑客同样可以访问这些设备。Forescout Research旗下的Vedere Labs网络安全研究人员发现了35,000台暴露的太阳能设备����,其中包括来自42家供应商的逆变器���、数据记录器���、监控器����、网关和其他设备。
http://www.secrss.com/articles/79599
3����、全球4万台监控摄像头暴露于远程入侵风险���,隐私安全亮红灯
网络安全公司Bitsight发出警告��,全球超过4万台基于HTTP或RTSP����(实时流协议)的安防摄像头因未加密访问而暴露于远程入侵风险。这些设备顺利获得IP地址公开传输实时画面��,成为窥探����、网络攻击����、勒索及跟踪的绝佳目标��,对个人隐私和公共安全构成重大威胁。
http://www.freebuf.com/articles/network/434615.html
03.
安全事件
1����、美国航空巨头爆出��“数据后门”��:所有乘客数据被打包秘密出售
根据最新解密的政府内部文件���,一家由达美航空��、美国航空����、联合航空等美国主要航空公司共同拥有的数据代理商——航空公司报告公司��(ARC)���,不断在系统性地收集美国国内旅客的飞行记录���,并将其打包出售给美国海关和边境保护局����(CBP)。
http://www.secrss.com/articles/79746
2��、韩国知名票务平台遭勒索攻击����,多场明星活动被迫中断
韩国知名票务及图书平台Yes24于6月9日遭遇勒索软件攻击���,导致网站及App陆续在四天。
http://www.secrss.com/articles/79750
漏洞事件
1����、GitLab 曝高危漏洞组合��:攻击者可实现完全账户接管GitLab曝高危漏洞���,攻击者可完全接管账户����,入侵开发基础设施。涉及多个版本��,CVSS评分超8.0���,包括HTML注入和XSS漏洞。紧急发布补丁���,建议立即升级����,防止数据泄露和CI/CD破坏。http://cybersecuritynews.com/gitlab-vulnerabilities-allows-account-takeover/
2����、西门子能源紧急警报���:专用 5G 核心中的关键漏洞 (CVSS 9.9) 暴露了敏感数据���!
西门子已就其能源服务平台(以前称为托管应用程序和服务)发布了关键安全公告,警告利用Elspec G5数字故障记录器(G5DFR)的系统中涉及默认凭据的严重漏洞。该漏洞被跟踪为CVE-2025-40585,其CVSS v3.1基本得分为9.9��,突显了其破坏关键基础设施的潜力。
http://securityonline.info/urgent-siemens-energy-alert-critical-flaw-cvss-9-9-in-private-5g-core-exposes-sensitive-data/
