Zimbra建复ZCS中已被利用的XSS缝隙CVE-2023-38750

首页 > 安全钻研 > 安全传递 > 安全简讯

Zimbra建复ZCS中已被利用的XSS缝隙CVE-2023-38750

颁布功夫 2023-08-01

1、Zimbra建复ZCS中已被利用的XSS缝隙CVE-2023-38750

据媒体7月27日报路，Zimbra颁布安全更新，建复了针对Zimbra Collaboration Suite(ZCS)电子邮件服务器的攻击中被利用的缝隙。这是一个XSS缝隙（CVE-2023-38750），可能被用来窃取敏感信息或执行恶意代码。固然Zimbra在初次披露该缝隙并督促用户手动建复时，并未批注该缝隙已被利用，但Google TAG泄漏，该缝隙是在有针对性的攻击中被发现的。此表，CISA也颁布了公告，要求联国机构在8月17日之前建复该缝隙。

https://www.bleepingcomputer.com/news/security/zimbra-patches-zero-day-vulnerability-exploited-in-xss-attacks/

2、Tempur Sealy遭到网络攻击导致公司运营临时中断

据8月1日报路，床垫销售商Tempur Sealy遭到网络攻击，迫使部门系吐滟时关关。Tempur Sealy被以为是全球最大的床上用品供给商，上季度净销售额为12亿美元。该公司在本周一泄漏，于7月23日遭到了攻击，其采取响应措施自动关关了部门IT系统，这导致公司运营临时中断。目前，该公司已起头将部门重要的系统沉新上线并复原运营。调查仍在进行中，以确定对业务和财政产生的影响，尚不明显是否涉及客户或员工信息，以及攻击者的身份。

https://therecord.media/mattress-giant-tempur-sealy-cyberattack

3、查塔努加心脏钻研所传递涉及17万人的数据泄露事务

7月29日报路称，查塔努加心脏钻研所（Chattanooga Heart Institute，CHI）传递了涉及17万人的数据泄露事务。5月份，Karakurt团伙称攻击了该机构，并窃取了158GB的数据。攻击者没有提供证据，但暗示泄露数据蕴含医疗纪录、查抄了局、诊断、社会安全号码、护照、和财政信息等，其时CHI并未回应此事务。7月28日，CHI泄漏有170450人受到数据泄露事务的影响。他们于4月17日检测到攻击迹象，确定系统在3月8日至16日期间曾被接见过。直到5月31日，CHI才得知患者的健全信息和担保人信息被泄露。

https://www.databreaches.net/the-chattanooga-heart-institute-to-notify-170450-about-march-data-security-incident/

4、美国SAIS数据库配置谬误泄露572 GB学生和老师的信息

媒体7月28日报路称，钻研人员发现了一个未受�；さ氖菘�，其中蕴含与教育机构有关的682438笔纪录。调查发现，数据库属于南方独立学堂协会(SAIS)，这是位于美国的一个自愿性地域认证协会。这次泄露的数据共572.8 GB，功夫跨度从2012年到2023年，蕴含学生和老师纪录、健全信息、社会安全号码、枪击案和关闭通知、学堂地图和财政预算等。目前，该数据库已被�；て鹄�。

https://www.hackread.com/data-leak-student-faculty-accreditation-org/

5、Google颁布关于2022年度0day缝隙的回首汇报

7月27日，Google颁布了年度0day缝隙汇报，提供了2022年以来的野表利用统计数据。2022年检测并披露了41个在野的0day，其中上半年20个，下半年21个，仅次于2021年的69个缝隙。在Android中，存在多种情况，用户在很长一段功夫内无法获得补丁。因而对于攻击者来说，Nday的职能类似于0day。在2022年的41个0day中，有17个是之前汇报的缝隙的变体，占比超过40%。

https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html

6、Kaspersky颁布2023年Q2 APT攻击态势的分析汇报

7月27日，Kaspersky颁布了2023年Q2 APT攻击态势的分析汇报。本季度的重要亮点之一是发现了持久运营的Operation Triangulation活动，其中蕴含新的iOS恶意软件平台。APT活动在地理散布上依然很分散，本季度，攻击者重要针对欧洲、拉丁美洲、中东和亚洲各地。此表，成熟的攻击者在不休加强其工具，如Lazarus开发了MATA框架、BlueNoroff使用了新的传输方式和编程说话、ScarCruft使用了新的习染方式以及GoldenJackal新的恶意软件样本�；狗⑾至诵鹿セ髡進ysterious Elephant的活动。

https://securelist.com/apt-trends-report-q2-2023/110231/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研