［软件漏洞让手机和移动网络面临被攻击者控制的风险］

［软件漏洞让手机和移动网络面临被攻击者控制的风险］安全专家警告，一个新发现的软件漏洞允许攻击者控制手机和移动网络基础设施。这个堆溢出漏洞存在于通信产品广泛使用的代码库中，涉及的通信产品包括手机塔无线电、路由器、交换机和手机基带芯片。利用该漏洞比较困难，需要丰富的知识和大量的资源，但成功利用该漏洞的攻击者能在几乎所有这些设备上执行恶意代码。该代码库由ObjectiveSystems开发，用于实现电话标准ASN.1。ASN.1是今天移动电话系统的支架。发现漏洞的研究人员警告说，漏洞能被远程触发，不需要任何的验证。漏洞除了影响消费者的手机外，还会危及移动运营商的网络设备。http://arstechnica.com/security/2016/07/software-flaw-puts-mobile-phones-and-networks-at-risk-of-complete-takeover/

美国网络安全和基础设施安全局勒索软件预警计划将于今年启动

美国网络安全和基础设施安全局勒索软件预警计划将于今年启动美国国土安全部下属的网络安全和基础设施安全局(CISA)正在推出一项计划，向企业发出潜在勒索软件攻击预警。该计划目前正在试点运行，并将于2024年底全面投入运营。约有7,000个企业已报名参加试点。自2023年1月启动试点以来，CISA迄今为止已发出2,049条预警。CISA局长珍•伊斯特利说：“预警试点项目重点是通过使用我们的漏洞扫描工具，让企业了解其是否存在需要修补的漏洞，从而降低勒索软件的流行程度。”要获取预警，企业需要注册CISA的网络卫生扫描工具。该工具“通过对公共静态IPv4进行持续扫描来评估外部网络的存在情况，以查找可访问的服务和漏洞。该服务提供每周漏洞报告和临时警报。”——

【Certik：BAYC Discord 服务器攻击者可能参与了之前的网络钓鱼攻击】

【Certik：BAYCDiscord服务器攻击者可能参与了之前的网络钓鱼攻击】6月4日，BoredApeYachtClub(BAYC)Discord服务器遭到入侵，网络钓鱼诈骗针对持有BAYC、MutantApeYachtClub(MAYC)和OthersideNFT的NFT收集者。根据安全公司Certik的分析，从该公司的账户来看，攻击者可能参与了以前的网络钓鱼攻击，该网络钓鱼网站是“官方项目网站的抄本，但存在细微差别。

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个Android高危漏洞发出警告编号为CVE-2023-20963的AndroidFramework漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的Android设备上提权。Google在三月初释出了补丁修复了漏洞，表示该漏洞正被用于针对性的利用。3月21日Google从其应用商店下架了拼多多应用。（Solidot）https://www.cisa.gov/known-exploited-vulnerabilities-catalog

［安全: Juniper新漏洞允许攻击者监视VPN］

［安全:Juniper新漏洞允许攻击者监视VPN］网络设备制造商Juniper披露了一个漏洞，该漏洞允许攻击者监视客户通过VPN传输的敏感通信。Juniper已经修正了这个漏洞。漏洞与自签名证书有关，它允许敌对者伪装成受信任实体，绕过对等实体证书验证，将特制的自签名证书当成有效证书。这个漏洞是Juniper产品暴露出的最新安全问题，在这之前它的固件曾被发现含有加密后门。https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10755&actp=search

【加密KOL：Mango Markets攻击者曾使用虚假KYC进行漏洞攻击】

【加密KOL：MangoMarkets攻击者曾使用虚假KYC进行漏洞攻击】2022年12月29日10点26分12月29日消息，加密KOL@oilysirs披露，MangoMarkets攻击者AvrahamEisenberg曾使用虚假的乌克兰女性的身份进行KYC，并以此进行MangoMarkets的漏洞攻击。此外，ZhuSu也转推表示，此前看好FTX的原因就在于，人们低估了FTX上虚假KYC的交易用户占比，因为这些虚假KYC用户根本没有办法进行索赔。