据Bleepingcomputer消息，Apache 发布安全更新，修复了 Tomcat web 服务器中可能导致攻击者实现远程代码执行的重要漏洞。Tomcat 是广泛用于部署和运行 Java web 应用的开源 web 服务器及 servlet 容器。此次修复的漏洞被追踪为 CVE-2024-56337，是对之前 CVE-2024-50379 不完全修复的补充。用户需升级到最新版本，如 11.0.2、10.1.34、9.0.98 等，且依据使用的 Java 版本采取额外步骤，Apache 团队还分享了后续版本的安全增强计划，旨在降低相关漏洞被利用的风险。

据Bleepingcomputer消息，销量超 28000 的高级 WordPress WPLMS 主题所需的两个插件存在十多个严重漏洞。这些漏洞可使远程未授权攻击者上传任意文件、执行代码、提升权限至管理员级别并进行 SQL 注入。WPLMS 主题是用于 WordPress 的学习管理系统，主要被教育机构、企业培训及电子学习提供商使用，且能与 WooCommerce 集成售课。Patchstack 漏洞研究人员发现 WPLMS 和 VibeBP 插件共 18 个安全问题并报告 10 个重要漏洞，包括 CVE-2024 系列多个漏洞。

据Bleepingcomputer消息，Adobe 发布带外安全更新，以解决 ColdFusion 关键漏洞（CVE-2024-53961），该漏洞因路径遍历弱点产生，影响 ColdFusion 2023 和 2021 版本，攻击者可借此读取易受攻击服务器上任意文件。Adobe 将其严重性评为 “Priority 1”，建议管理员 72 小时内安装对应更新补丁，并应用相关安全配置。此前 CISA 也曾多次就 ColdFusion 漏洞问题发出相关警示。

据Thehackernews消息，Rspack 开发者透露，其两个 npm 包（@rspack core 和 @rspack cli）遭软件供应链攻击，恶意人员将含加密货币挖矿恶意软件的版本发布到官方包注册表。发现后，这两个库的 1.1.7 版本已从 npm 注册表下架，最新安全版本是 1.1.8。被攻击的npm包很受欢迎，每周下载量分别超 30 万和 14.5 万次。项目维护者已采取多项补救措施，目前正调查令牌被盗原因。

据Cybersecurityventures消息，位于弗吉尼亚州纽波特纽斯的克里斯托弗・纽波特大学称，其认证系统遭到外部来源的 “复杂网络攻击”。从该校首席信息官转发的邮件可知，此次攻击致使姓名、身份证号、邮箱、员工职位及联系方式、多因素认证方法等信息被泄露。学校要求用户重置密码，周四下午 2 点后未重置的用户将无法访问账户。目前校方正积极应对，与执法部门及第三方供应商合作展开调查、修复与恢复工作。

据Hackread消息，网络安全研究员杰里迈亚・福勒发现伦敦 AI 软件及应用开发公司 Builder.ai 一个含 300 多万条记录（共 1.29TB）的数据库可公开访问，且无密码保护与加密，致使发票、保密协议、税务文件等敏感信息泄露，存在钓鱼、发票欺诈、利用密钥非法访问云存储及损害公司声誉等风险。通知后该公司近一个月才保障好数据库安全，专家建议做好加密、妥善存储密钥及隔离敏感数据等工作来防此类漏洞。

据Cybersecuritynews消息，印度热门外卖应用麦当劳 “麦乐送” 被发现存在严重漏洞。研究者调查发现其 API 存在诸多缺陷，可实现 1 卢比（约 0.01 美元）下单、劫持订单、监控配送、获取敏感数据、泄露骑手信息以及违规访问管理数据等。研究者利用相关漏洞技术找出问题并提交 24 页报告至其漏洞赏金计划，麦当劳在 90 天内修复了所有漏洞并给予奖励。

据Cybersecuritynews消息，安全研究人员发现新攻击手段——利用 HTTP Range 标头，可将原本难以利用的反射输入漏洞变为能实施的攻击，为网络应用带来新潜在威胁。攻击分两步，先找能反射输入却难利用的端点，再确认其对 Range 标头有响应，之后发送特制请求，若服务器响应含特定状态码及孤立恶意负载，恶意代码就能在受害者浏览器执行，实现跨站脚本攻击等。防御较难，不过可从净化反射内容、限制标头使用、全面测试等策略入手来应对这一威胁。

据Cybersecuritynews消息，基于 PHP 且应用广泛的 Craft CMS 被发现存在重大安全漏洞（CVE-2024-56145），在默认配置下可允许未经身份验证的远程代码执行。该漏洞源于 PHP 的 “register_argc_argv” 配置设置，攻击者可借此操纵关键文件路径，进而执行任意代码。Craft CMS 全球超 15 万个网站在用，风险不容小觑，不过其团队已发布 5.5.2 + 和 4.13.2 + 等补丁版本，无法更新的用户可在 “php.ini” 文件中禁用相关设置来缓解风险。

据Cybersecuritynews消息，万事达卡（NYSE: MA）正式完成对人工智能驱动的威胁情报领先供应商 Recorded Future 的收购。去年 9 月，万事达卡就宣布通过协议来大幅拓展其网络安全服务，此次收购价值 26.5 亿美元，旨在增强其保障数字经济尤其是支付生态系统安全的能力。万事达卡高管表示，通过整合 Recorded Future 的先进威胁情报，能更好助力客户应对网络风险。此次收购契合万事达卡使命，利于满足多元客户需求，强化网络安全服务并助各方更好应对网络风险。

据CRN消息，Ascension 医疗系统披露，今年 5 月一起扰乱临床运营的勒索软件攻击导致患者医疗数据被盗，受影响人数约 560 万。此次攻击始于一名员工不慎下载恶意软件，迫使总部位于圣路易斯的 Ascension 转移部分医院的急诊服务。Ascension 表示，网络犯罪分子在 5 月 7 日至 8 日期间 “获取了包含 Ascension 患者及员工个人信息的部分文件副本”，涉及医疗记录编号、服务日期等医疗信息，还可能包括信用卡或银行账号、社保号码等其他各类个人信息。

据Cyberdaily消息，澳大利亚本土数字服务公司 5G Networks（5GN）通过澳交所公告，宣布打算对陷入困境的网络安全公司 AUCyber 进行无条件的场内收购要约，计划以每股 11 美分的价格收购所有流通股。此收购要约将于 2025 年 1 月 6 日生效，有效期至 2 月 6 日。同时，AUCyber 的三位非执行董事表示暂不对此次要约采取行动，董事会将继续评估该要约并在未来几周通过正式目标声明回应股东。

据CISA官方消息，Fortinet 发布了一项安全更新，旨在解决 FortiManager 中存在的一个漏洞。远程网络威胁行为者可能会利用该漏洞控制受影响的系统。官方鼓励用户和管理员查看 Fortinet 安全公告 FG-IR-24-425，并应用必要的更新。

据BleepingComputer消息，区块链分析公司 Chainalysis 的新报告显示2024 年朝鲜黑客在 47 次网络攻击中窃取了价值 13.4 亿美元的加密货币，占全年被盗资金总额的 61%，同比增长 21%。今年多数攻击发生在 1 至 7 月，期间被盗资金占全年 72%。从手段看，私钥泄露占损失的 44%，利用安全漏洞占 6.3%。朝鲜黑客今年收益超 2022 年的 11 亿美元，且攻击更频繁。

据BleepingComputer消息，一款名为 “FlowerStorm” 的新型钓鱼即服务平台人气渐涨。“FlowerStorm” 早在 6 月就已上线，Sophos 研究发现其与 “Rockstar2FA” 有诸多相似之处，或为更名以减少暴露。目前，“FlowerStorm” 瞄准的对象多在美国，涉及服务、制造等多行业。

据BleepingComputer消息，Sophos 于 2024 年 12 月 20 日披露其 Sophos 防火墙产品存在三个漏洞。这些漏洞可能使远程未经验证的威胁行为者进行 SQL 注入、远程代码执行并获得设备的特权 SSH 访问权限。受影响的是 21.0 GA（21.0.0）及更旧版本。CVE-2024-12727 是邮件保护功能中的预身份验证 SQL 注入漏洞；CVE-2024-12728 是 HA 集群初始化后非随机 SSH 登录密码仍有效；CVE-2024-12729 是用户门户中的代码注入漏洞。Sophos 已发布热修复程序，部分版本默认安装，同时也有永久修复的新固件更和缓解风险的变通方法

据BleepingComputer消息，美国司法部指控 51 岁的俄裔以色列双重国籍人员罗斯蒂斯拉夫・帕涅夫（Rostislav Panev），怀疑其参与开发恶意软件及管理 LockBit 勒索软件组织的基础设施。帕涅夫于 8 月在以色列被捕，正等待美国的引渡请求。据刑事起诉书称，以色列执法部门在其电脑上发现含 LockBit 加密器及 “StealBit” 数据窃取工具源代码的在线仓库凭据。帕涅夫据称通过相关工作在 18 个月内获利约 23 万美元，若被引渡至美国，将在新泽西地区受审。

据Scworld消息，安全研究人员发现 AMD 处理器存在名为 “badRAM” 的漏洞。该漏洞可让能物理接触云计算环境的威胁者绕过加密保护，它通过利用成本不到 10 美元的硬件篡改内存模块上的串行存在检测芯片，使内存模块提供错误尺寸信息，借此骗处理器暴露加密内存区域，进而绕过 CPU 内存保护，威胁敏感数据或造成破坏。虽利用需物理接触，但恶意内部人员等或可利用。AMD 已发布固件更新并提相关防护建议，暂未发现被利用证据。

据Scworld消息，Citrix Systems 收购 deviceTRUST 与 strong.network。deviceTRUST 提供虚拟桌面与云桌面的实时情境访问方案，通过监控设备姿态等，让 IT 团队依安全状况管控权限，护数据降风险。strong.network 擅于安全云开发环境，自托管平台用软件容器保障编码空间，防数据泄露护知识产权，且合行业标准。二者收购旨在强化 Citrix 于混合及云环境中关键应用保护力，提升开发者效率与安全，满足企业混合工作下对网络弹性的高需求。

据Scworld消息，Rubrik 推出了 “Turbo 威胁狩猎” 功能， SiliconAngle 报道该功能面向 Rubrik 企业版及云客户处于测试阶段，旨在应对网络攻击时业务长时间中断的挑战，能将传统数天或数周的恢复时长缩至片刻，帮助组织在复杂数据环境里精准定位无恶意软件等威胁的恢复点。同时，其具备预计算哈希检测恶意文件、更新元数据隔离威胁以及多集群扫描等特性，以保障恢复时的业务连续性，对各工作负载开展全面的入侵迹象排查。