据Cybersecuritynews消息，atadog 向微软安全研究中心报告，Azure Key Vault 存在安全配置问题。有 “Key Vault Contributor” 角色的用户可利用访问策略，读取如 API 密钥、密码等敏感数据，存在权限提升风险。微软虽称此 “不是漏洞”，还更新了角色文档，但这一情况源于 Azure RBAC 权限模型和 Key Vault 访问政策间权限范围冲突。微软建议用 RBAC 模型，还提醒组织移除未授权用户、轮换相关物品等以降低风险。

据Cybersecuritynews消息，Fortinet 的 FortiClient 企业管理服务器（EMS）中一个关键漏洞（CVE-2023-48788）正遭黑客在实际环境中利用。该漏洞源于 SQL 命令过滤不当，可让攻击者通过 SQL 注入执行未授权代码或命令。Fortinet于2024 年 3 月披露且已发布补丁版本，但威胁行为者仍借此入侵全球企业网络。2024 年 10 月，卡巴斯基全球应急响应团队在一次事件响应中发现相关攻击案例，攻击者利用 SQL 注入进入系统。有迹象显示此漏洞在多地区多行业被广泛利用，相关组织需紧急更新至补丁版本。

据Cybersecuritynews消息，ANY.RUN发现网络犯罪分子利用Dynamics 365 创建含嵌入链接表单的功能，创建了看似合法实则陷阱的钓鱼链接，因其托管于受信任域名（如 customervoice.microsoft.com），用户易放松警惕，致登录凭证、支付信息等敏感数据被盗。ANY.RUN分析的一个钓鱼案例中，伪装的微软链接诱导用户点击获取不存在的 PDF 文件，实则将其重定向到仿冒微软登录页面以窃取信息。

据BleepingComputer消息，BeyondTrust 于 12 月初遭遇网络攻击，其部分远程支持 SaaS 实例被威胁行为者攻破。12 月 2 日该公司检测到网络 “异常行为”，初步调查证实遭入侵，黑客获取远程支持 SaaS API 密钥，可重置本地应用账户密码。公司已撤销密钥、通知受影响客户并暂停相关实例，同时提供替代方案。此外，调查中发现两个漏洞——CVE-2024-12356 为关键命令注入漏洞，CVE-2024-12686 为中等严重度漏洞。BeyondTrust 已在所有云实例自动应用补丁，自托管实例需手动更新。

据BleepingComputer消息，Fortinet 披露其无线管理器FortiWLM 存在高危漏洞 CVE-2023-34990，属相对路径遍历型。攻击者能利用 “ ems cgi-bin ezrf_lighttpd.cgi” 端点的输入验证缺陷，在 “op_type” 为 “upgradelogs” 时，通过 “imagename” 参数的目录遍历读取系统敏感日志，获取管理员会话 ID，实现权限劫持。该漏洞波及 8.6.0 至 8.6.5 与 8.5.0 至 8.5.4 版本。虽 2023 年 5 月已被发现，却因无 CVE 编号与公告，用户未觉风险。直至 2024 年 12 月 18 日 Fortinet 称 2023 年 9 月底的 8.6.6 和 8.5.5 版本已修复。

据BleepingComputer消息，微软 365 用户频遭 “产品停用” 错误困扰。大量用户在使用 Office 应用时，随机弹出此错误，严重影响办公。微软查明，该问题因管理员进行许可组转移、用户订阅切换、许可或服务计划调整等操作引发。用户可点击错误横幅 “重新激活” 按钮或重启应用尝试解决。若仍未解决，需联系管理员检查订阅是否过期。微软工程团队正全力调查，用户和管理员可关注支持渠道获取修复进展信息。

据BleepingComputer消息，Juniper Networks警示客户，Mirai恶意软件正利用默认凭证攻击并感染Session Smart路由器，并利用受感染设备发起DDoS攻击。在12月11日首次发现客户网络中有路由器被感染后，Juniper公布了检测潜在Mirai恶意软件活动的相关迹象，建议客户立即遵循用户名和密码策略，更改默认凭证，使用强密码，同时保持固件更新、审查访问日志、设置警报、部署入侵检测系统以及使用防火墙等。还提醒已感染的路由器重新镜像后才能上线。此前，Juniper也曾多次就相关安全漏洞发出警告。

据BleepingComputer消息，McAfee Labs 研究人员在亚马逊应用商店发现了一款名为 “BMI CalculationVsn” 的恶意 Android 间谍软件。此间谍软件由 “PT Visionet Data Internasional” 发布，看似普通 BMI 计算器，却在后台进行屏幕录制、扫描设备应用及窃取短信（包括 OTP 和验证码）等恶意操作。亚马逊现已下架该软件，但已安装用户需手动删除并全面扫描清除残留痕迹。

据Securityaffairs消息，Apache Struts 的 CVE-2024-53677 漏洞正遭到利用，攻击者利用它可操纵上传参数来实现路径遍历，存在上传恶意文件并执行远程代码的风险。此漏洞波及 Struts 多个版本，因旧漏洞补丁不完善所致，且有 PoC 代码遭利用。用户应尽快升级到 Struts 6.4.0 及以上版本，并使用对应拦截器，防范潜在风险。

据Securitybrief消息，Confluent 宣布其面向 Apache Flink 的平台正式可用，便于管理本地部署应用。该平台旨在提供企业级安全能力，简化 Apache Flink 工作负载的管理与扩展，尤其适合云及本地环境运营的企业。Confluent 还推出 Confluent Manager for Apache Flink（CMF）助力部署等流程，另有 WarpStream Orbit 方便向 “自带云” 模式低成本迁移。诸多企业已受益，专家表示其能让企业更高效安全地运用 Flink 实现实时数据分析等，助力业务发展。

据Thehackernews消息，BeyondTrust 公布旗下特权远程访问（PRA）和远程支持（RS）产品出现严重安全漏洞（CVE-2024-12356），属命令注入型漏洞。攻击者利用该漏洞，发送恶意请求就能以站点用户身份执行任意命令。该漏洞影响 24.3.1 及更早版本，云实例已于 12 月 16 日完成补丁修复，本地版本用户若未订阅自动更新，需应用最新补丁，旧版本用户还需先升级。

据Hackread消息，网络安全研究人员发现一场利用 eBPF 技术的 Linux 恶意软件攻击活动正在肆虐。攻击者借此隐藏活动、收集数据并绕过防护，部署 rootkits 与远程访问木马，于私有网络畅行无阻。其恶意配置存于 GitHub 等公共平台，伪装合法。自 2023 年起，Boopkit、BPFDoor 等基于 eBPF 的恶意软件组织不断涌现，Dr. Web 研究人员在调查客户案例时察觉了此大规模活动。

据DarkReading消息，欧洲制造企业遇钓鱼攻击，约 2 万名欧洲制造企业员工成为目标，攻击者主要瞄准汽车、化工和工业化合物制造公司，活动在 6 月达到高峰并持续至 9 月。攻击者利用虚假 DocuSign 链接和 HubSpot 表单，诱导员工泄露微软账户凭据以进入企业 Azure 云环境。攻击链始于嵌入 HTML 链接或特定命名的 DocuSign 启用 PDF 文件，受害者被导向 HubSpot 表单后再被重定向到仿冒微软 Outlook 登录页面，窃取凭据后攻击者还通过注册设备等手段深入企业云环境。

据Cybersecurityventures消息，纳米比亚国有电信公司遭受勒索软件攻击，大量敏感客户数据泄露，包括政府高官信息。该公司拒绝与 “Hunters International” 黑客组织交涉后数据被公开。据悉黑客窃取近 50 万条信息，涉及政府部门、高官及其他客户的个人与财务数据。公司上周五发现数据泄露，正与安全官员合作以降低影响并将罪犯绳之以法，同时提醒民众勿使用或传播泄露信息，公司 CEO 表示不会与 “网络恐怖分子” 谈判，支付赎金也无法确保数据不被泄露。

据Cybersecuritynews消息，Okta 企业称有钓鱼攻击伪装成其支持团队，针对客户展开行动，已波及 FCC 等多组织。攻击者设假 Okta SSO 页面，用高级社工技术窃取 MFA 令牌等，重点针对美国数百用户盗取照片 ID 和密码重置链接。Okta 声明官方支持邮箱及系统通知来源，强调支持团队不会索要密码等。攻击手段包括用专业钓鱼工具实时沟通、设验证码、精准复制登录界面、定制含受害者手机号的钓鱼网站。

据Cybersecuritynews消息，乌克兰计算机应急响应小组（CERT-UA）12 月 17 日指出，检测到多个仿冒官方 “Army+” 应用页面的网络资源，均借 Cloudflare Workers 发布，恶意网站诱使用户下载名为 “ArmyPlusInstaller-v.0.10.23722.exe” 等的可执行文件。运行时，会执行多项恶意操作，如在受害者电脑安装 OpenSSH 服务器等，借此创建隐蔽后门供攻击者远程访问等，而且利用 Cloudflare Workers 进行恶意造作的活动呈增长趋势。

据Cybersecuritynews消息，CISA向美国高级政府官员与政治任务发出警示，建议采用 Signal 等端到端加密消息服务。CISA 于 12 月 18 日发布指南，强调传统 SMS 的脆弱性，主要建议包括使用端到端加密应用（如 Signal）、实施高级认证（弃用 SMS 多因素认证，采用 FIDO 方法）、定期软件更新、关注硬件选择、避免个人 VPN 等。Salt Typhoon组织的频繁活动使得端到端加密更加迫切。

据BleepingComputer消息，VScode市场上存在恶意Visual Studio Code 扩展，其会下载高度混淆的 PowerShell 有效载荷，在供应链攻击中针对开发者和加密货币项目。 Reversing Labs 报告，该活动包含 18 个主要针对加密货币投资者和寻求如 Zoom 等生产力工具用户的恶意扩展，于10月首次现身，在VScode市场上有诸多次提交，威胁行为者添加假评论并夸大安装数以增可信度，所有扩展都有相同恶意功能，从可疑域名下载高度混淆的 Windows CMD 文件并执行隐藏 PowerShell 命令解密更多载荷。

据CRN网站消息，网络安全供应商Rapid7的收购谈判持续推进，而投资者Jana Partners 不再参与其中，路透社报道，依据监管文件，此前与 Jana Partners 合作的投资公司 Cannae 将独自与 Rapid7 安排会谈。10 月下旬，Rapid7 曾与包括 Bain Capital、Advent 和 EQT 等私募股权公司就潜在收购展开 “早期” 交流。12月18日午后，Rapid7 股价上涨 6.7% 至每股 41.65 美元。

据BleepingComputer消息，美国政府考虑自明年起禁止 TP-Link 路由器，因担忧其在网络攻击中对国家安全构成威胁。美司法部、商务部与国防部正联合调查，商务部已向该公司发传票。TP-Link 在美国 SOHO 路由器市场份额达约 65%，其低价销售策略也受调查。超 300 家美互联网服务商将其设为家庭用户默认路由器，且多政府机构网络也有使用。此前微软报告称遭黑的 SOHO 路由器僵尸网络多为 TP-Link 设备，被用于网络攻击，这引发了美国的高度关注与行动。