亿格云发现Terraform高危漏洞,影响几乎所有云厂商
Terraform是一个开源的基础设施即代码工具,由HashiCorp开发和维护。亿格云安全团队研究发现Terraform中存在模块的导入功能存在严重漏洞,该问题也在部分云厂商平台复现。
https://cloudsec.tencent.com/article/2pSzeI
Kubernetes 中的命令注入漏洞 CVE-2023-3676
kamai 安全研究员 Tomer Peled 最近在 Kubernetes 中发现了一个高严重性漏洞,该漏洞允许在 Kubernetes 集群内的所有 Windows 端点上以 SYSTEM 权限远程执行代码。
https://cloudsec.tencent.com/article/4ugWwi
如何应对 Azure 上的勒索软件
本文主要介绍如何缓解攻击者在 Azure 环境中传播勒索软件的一些有效方法。
https://cloudsec.tencent.com/article/1f3HYI
破解Auto GPT并实现Docker逃逸
Auto-GPT是一个命令行应用程序,其预期用例是获取目标的非常高级的文本描述,将其分解为子任务,并执行这些任务以实现目标。.研究人员发现破解Auto GPT并实现Docker逃逸攻击的方式。
https://cloudsec.tencent.com/article/45Qlfr
容易成为勒索软件攻击目标的13个行业
近日,网络安全供应商Sophos针对全球3000名IT专业人士进行的一项调查,结果显示大约三分之二的组织遭受过勒索软件攻击。由于云提供了一种独特的勒索软件保护,组织可以将其用于备份和恢复策略,可以一定程度抵御勒索攻击。
https://cloudsec.tencent.com/article/MHiUC
超过38万 Kubernetes API 服务器暴露在公共互联网上
研究人员发现,超过 380,000 个 Kubernetes API 服务器允许以某种方式访问公共互联网,这使得用于管理云部署的流行开源容器编排引擎成为威胁行为者的简单目标和广泛的攻击面。
https://cloudsec.tencent.com/article/zj1ye
货拉拉容器安全实践
本文结合货拉拉在业务逐步迁移容器化过程中,分享信息安全部在容器安全的落地实践经验,以供参考。
https://cloudsec.tencent.com/article/1FqoMe
暴力破解攻击占所有攻击的51%!如何保护API免遭暴力破解攻击
API上的暴力破解攻击问题更为严重,因为API以编程方式公开数据、功能和业务逻辑。组织需要立即采取行动阻止这些攻击,以保护数字资产免受攻击者的侵害。
https://cloudsec.tencent.com/article/1938la
云基础设施安全正面临身份危机,CIEM 可以提供帮助吗
Gartner 分析师Henrique Teixeira 表示,本地数据中心可能很复杂,但至少比云更具可预测性。本文介绍在云上所面临的安全威胁以及CIEM对云安全的重要性。
https://cloudsec.tencent.com/article/2thfdR
云安全中的 CIS 基准是什么
本文介绍了 CIS 基准:包括CIS 基准是什么、为什么建立CIS 基准以及如何在云安全背景下有效评估它们。
https://cloudsec.tencent.com/article/3nX6rc
多云和混合云环境的安全
在多云环境中,安全挑战在不同云之间的连接点最为常见。内部云安全技能集和云原生安全工具也尤为关键。
https://cloudsec.tencent.com/article/1xCei3
GitHub 曝出漏洞,或导致 4000 多个存储库遭受劫持攻击
The Hacker News 网站披露,安全研究员发现 GitHub 中存在一个新安全漏洞,该漏洞可能导致数千个存储库面临劫持攻击的风险。
https://cloudsec.tencent.com/article/3YBQT
点击阅读原文或访问
https://cloudsec.tencent.com/info/list.html
查看历史云安全资讯
原文始发于微信公众号(云鼎实验室):每周云安全资讯-2023年第38周
