每周云安全资讯-2022年第50周

1

Cloud Security Guides ：一个收集优秀云安全资源的项目

Cloud Security Guides 是一个用来收集云计算安全相关领域优质资源的项目，可为业界提供云计算安全建设资料参考。

https://github.com/GRQForCloud/cloud-security-guides

2

红队攻防 | 云上横向移动：利用脆弱容器实施攻击

在这篇文章中，我们将介绍一个阶段性的但真实的场景，以展示攻击者如何可能获得对云账户的完全访问。我们还将介绍如何通过使用Sysdig Cloud Connector检测和缓解这种攻击。

https://mp.weixin.qq.com/s/-EwOour9I5HdmcP40QIhmQ

3

SaaS的阴暗面：网络攻击武器化、平民化

攻击者借助SaaS（软件即服务）平台的优势：价格便宜、灵活性强、易于拓展，进而衍生出网络钓鱼即服务（PhaaS）、勒索软件即服务（RaaS）等模式。

https://mp.weixin.qq.com/s/id70fgAgqqVSo4rcAKevSg

4

IBM Cloud Databases for PostgreSQL中的供应链漏洞导致未授权的数据库访问

在这篇博文中，作者将展示如何能够利用 PostgreSQL 中的权限升级漏洞来发现一个长期存在的秘钥，该秘钥可能被滥用以向内部 IBM Cloud CI/CD 服务进行身份验证并干预 IBM Cloud 的内部映像构建过程，实际上可能使其客户面临供应链攻击。

https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql

5

供应链漏洞使服务器生态系统面临风险

American Megatrends MegaRAC Baseboard Management Controller (BMC) 软件中的三个漏洞影响许多云服务和数据中心提供商使用的服务器设备。

https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/

6

2022年最常被利用的十大漏洞

黑客攻击变得一年比一年高级和复杂，因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。

https://mp.weixin.qq.com/s/8i8aNFlhRpk_0fq19DtzNg

7

Bug Writeup：使用 Akamai WAF Bypass 在 Spring Boot 错误页面上通过 SSTI 进行 RCE

这篇文章讨论了作者与Dark9T针对 Bugcrowd 上托管的私人程序进行的一次成功合作：最终能够绕过 Akamai WAF，并在运行 Spring Boot 的应用程序上使用 Spring 表达式语言注入实现远程代码执行。

https://h1pmnh.github.io/post/writeup_spring_el_waf_bypass/

8

开源软件供应链安全系列：OSS风险点与预防

Verocode研究结果表明，在开源组件仓库中70.5%的代码库存在安全漏洞，而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致的。

https://mp.weixin.qq.com/s/Sn9-qk_cfgTHBJh9ourD4A

9

Serverless 架构:如何应对不断变化的安全问题

在本文中，我们将提供Serverless架构的一些背景知识，并从专业的角度分析其对安全性的影响，以及应对这种变化的最佳方法。

https://mp.weixin.qq.com/s/8um5n9UCpAIvqt8bKybdkA

10

K8s API访问控制

本文带来了K8s API Server的认证、授权、准入控制的一些技术知识介绍。

https://mp.weixin.qq.com/s/ZpBuac-HC2g4MTVT_FvG6w

11

TripleCross：一款功能强大的Linux eBPF安全研究工具

TripleCross是一款功能强大的Linux eBPF安全研究工具，该工具提供了后门、C2、代码库注入、执行劫持、持久化和隐蔽执行等功能。

https://mp.weixin.qq.com/s/6uxWVxUvf5tZ-7qMslVZTA

12

Gartner指出云战略制定过程中的十个常见错误

云战略对云计算在企业机构中的作用进行了高度概括。根据Gartner的研究，业务和IT领导者在制定云战略时一直在重复十个常见的错误。

https://www.secrss.com/articles/49717

点击阅读原文或访问

https://cloudsec.tencent.com/info/list.html

查看历史云安全资讯