新闻1：SolarWinds再爆安全事件，11大关键漏洞或致敏感信息泄露

SolarWinds已解决了一组影响其访问权限管理器（ARM）软件的关键安全漏洞，这些漏洞可能会被利用来访问敏感信息或执行任意代码。

在这11个漏洞中，有7个被评为严重级别，CVSS评分为9.6（满分为10.0）。其余4个漏洞被评为高风险，每个漏洞的CVSS评分为7.6。

最严重的漏洞列举如下：

• CVE-2024-23472 - SolarWinds ARM目录遍历任意文件删除和信息泄露漏洞
• CVE-2024-28074 - SolarWinds ARM内部反序列化远程代码执行漏洞
• CVE-2024-23469 - SolarWinds ARM暴露危险方法远程代码执行漏洞
• CVE-2024-23475 - SolarWinds ARM遍历和信息泄露漏洞
• CVE-2024-23467 - SolarWinds ARM遍历远程代码执行漏洞
• CVE-2024-23466 - SolarWinds ARM目录遍历远程代码执行漏洞
• CVE-2024-23471 - SolarWinds ARM CreateFile目录遍历远程代码执行漏洞成功利用上述漏洞，攻击者可以读取和删除文件，并以更高的权限执行代码。

在Trend Micro Zero Day Initiative（ZDI）负责披露后，已于2024年7月17日发布的2024.3版本中解决了这些缺陷。

关键词：SolarWinds；Access Rights Manager；安全漏洞；远程代码执行

https://thehackernews.com/2024/07/solarwinds-patches-11-critical-flaws-in.html

新闻2：GitHub令牌泄露，Python核心存储库面临被黑客攻击风险！

网络安全研究人员表示，他们发现了一个意外泄露的GitHub令牌，该令牌可能授予对Python语言、Python包索引（PyPI）和Python软件基金会（PSF）的GitHub存储库的高级访问权限。

发现GitHub个人访问令牌的JFrog表示，该密钥是在Docker Hub上托管的公共Docker容器中泄露的。

“这个案例是特例，因为如果它落入坏人之手，潜在后果难以估量——人们可能会将恶意代码注入到PyPI包中（想象一下，用恶意包替换所有Python包），甚至注入到Python语言本身，”软件供应链安全公司表示。

攻击者本可以假设利用他们的管理员权限，通过毒害与Python编程语言核心或PyPI包管理器相关的源代码，来策划大规模供应链攻击。

关键词：GitHub令牌；Python；Python Package Index (PyPI)；Python软件基金会(PSF)；Docker容器；供应链攻击

https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html

新闻3：AT&T遭黑客入侵，几乎所有无线客户数据被窃取，

美国电信服务提供商AT&T已确认，黑客hei设法访问了“几乎所有”其无线客户以及使用AT&T无线网络的移动虚拟网络运营商（MVNO）客户的数据。

“黑客非法访问了第三方云平台上的AT&T工作区，并在2024年4月14日至4月25日期间，窃取了包含AT&T记录的客户在2022年5月1日至10月31日以及2023年1月2日之间的通话和短信交互的文件”，该公司表示。

这些数据包括与AT&T或MVNO无线号码进行交互的电话号码（包括AT&T固定电话客户和其他运营商客户的电话号码）、这些交互的次数以及一天或一个月的总通话时长。

这些记录的一个子集中还包含一个或多个蜂窝站点识别号，这可能允许黑客在拨打电话或发送短信时，通过三角测量法确定客户的大致位置。AT&T表示，如果客户的信息被涉及，他们将通知当前和以前的客户。

关键词：数据泄露、无线客户、移动虚拟网络运营商（MVNO）、第三方云平台、电话记录、短信交互、蜂窝站点识别号、三角测量法

https://thehackernews.com/2024/07/at-confirms-data-breach-affecting.html

新闻4：全球警报！黑客利用开源工具大肆攻击，政府和企业均成目标！

观察到未知黑客正在利用开源工具作为疑似网络间谍活动的一部分，目标是全球政府和私营部门组织。

Recorded Future的Insikt Group正在以临时绰号TAG-100追踪此次活动，并指出攻击者可能破坏了至少十个位于非洲、亚洲、北美、南美和大洋洲的国家/地区的组织，其中包括两个未具名的亚太地区政府间组织。

自2024年2月以来，还特别提到了位于柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、台湾、英国、美国和越南的外交、政府、半导体供应链、非营利和宗教实体。

关键词：Recorded Future、Insikt Group、TAG-100、半导体供应链

https://thehackernews.com/2024/07/at-confirms-data-breach-affecting.html

新闻5：2.3亿美元蒸发！WazirX加密货币交易所遭黑客猛攻，

印度加密货币交易所WazirX已确认，它成为了一次安全漏洞的目标，导致2.3亿美元的加密货币资产被盗。

该公司在一份声明中表示：“我们的一个[多重签名]钱包遭到了网络攻击，资金损失超过2.3亿美元。这个钱包是从2023年2月开始使用Liminal的数字资产保管和钱包基础设施服务的。”

这家总部位于孟买的公司表示，此次攻击源于Liminal界面上显示的信息与实际签署的信息之间的不匹配。它表示，有效负载被替换，从而将钱包控制权转移给了攻击者。

加密保管公司Liminal是钱包上的六个签署方之一，并负责交易验证。

关键词：加密货币交易、多重签名钱包、数字资产保管、交易验证

https://thehackernews.com/2024/07/wazirx-cryptocurrency-exchange-loses.html