每周云安全资讯-2023年第47周

1

SafeBreach 实验室开发基于微软 Azure 的加密货币挖矿程序

SafeBreach 实验室开发了第一个基于微软 Azure 的加密货币挖矿程序，该程序能够在未被检测到的情况下在云端进行挖矿工作。

https://cloudsec.tencent.com/article/3YwWkU

2

金蝶云星空私有云任意文件上传漏洞安全通告

金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。攻击者可利用此漏洞上传任意文件，最终可能导致远程执行恶意命令，控制服务器。

https://cloudsec.tencent.com/article/35WllF

3

一款名为OracleIV 的Docker DDos机器人代理恶意镜像

攻击者利用Docker Engine API的配置错误，传递了一个恶意的Docker容器OracleIV，作为分布式拒绝服务（DDoS）机器人代理进行攻击，该镜像包含编译为可执行和可链接格式（ELF）文件的Python恶意软件。

https://cloudsec.tencent.com/article/2FjlfQ

4

紧急：VMware 针对未修补的 Cloud Director 漏洞发出警告

VMware 针对 Cloud Director 中存在未修补的严重安全漏洞发出警告，恶意行为者可能会利用该漏洞绕过身份验证保护。

https://cloudsec.tencent.com/article/17w9wD

5

Kubernetes RBAC 101: 如何通过 OIDC 强化集群安全

本文将探讨 Kubernetes 的角色基础访问控制（RBAC），并详述如何通过整合 OIDC 来强化集群安全。

https://cloudsec.tencent.com/article/3O1A7N

6

谷歌警告，大量黑客披露最新概念验证（PoC）漏洞

谷歌发布警告称，近日有多名黑客在网络上共享一个概念验证(PoC)漏洞，该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施。

https://cloudsec.tencent.com/article/z9xDz

7

HTB Download云文件存储中的漏洞

本文介绍了在HTB云文件存储中，通过发现文件读取漏洞、ORM注入和密码哈希破解等多个漏洞，最终实现了获取SSH权限和以root身份执行命令的攻击过程。

https://cloudsec.tencent.com/article/1DZ2MU

8

Datadog 2023 云安全状态报告

在本报告中，Datadog公司分析了数千家使用 AWS、Azure 或 Google Cloud 的组织样本的安全态势数据。

https://cloudsec.tencent.com/article/1I3Zrk

9

ChatGPT越权访问模型缺陷，普通账号可使用GPT4模型

近日，ChatGPT被发现存在越权访问模型的逻辑缺陷，OpenAI的普通用户账号通过特定URL可以越权访问GPT-4模型。

https://cloudsec.tencent.com/article/1RbC2E

10

零信任策略下K8s安全监控最佳实践

随着云计算、大数据、物联网、移动办公等新技术与业务的深度融合，网络安全边界也逐渐变得更加模糊，传统边界安全防护理念面临巨大挑战。本文介绍了零信任策略下K8s安全监控最佳实践。

https://cloudsec.tencent.com/article/2o3imK

11

ChatGPT新代码解释器曝出重大安全漏洞——黑客可轻松窃取数据

ChatGPT 新代码解释器曝出重大漏洞。该漏洞是由安全研究员Johann Rehberger在推特上报告的，通过漏洞攻击者可以轻松窃取数据

https://cloudsec.tencent.com/article/4CzwHa

12

丹麦官方：关键基础设施遭遇最大规模的网络攻击

丹麦计算机安全事件响应小组（CSIRT）SektorCERT 披露，丹麦关键基础设施在 5 月份遭遇了有史以来最大规模的网络攻击。

https://cloudsec.tencent.com/article/4hDSyA

点击阅读原文或访问

https://cloudsec.tencent.com/info/list.html

查看历史云安全资讯