FreeBuf 周报 | 黑客再度盯上 LinkedIn；苹果 iOS16 曝出新漏洞

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 苹果 iOS16 曝出新漏洞：飞行模式下依旧可连接网络

网络安全研究人员发现 iOS 16 存在一种新的漏洞利用后持久化技术，即使受害者的苹果设备处于离线状态，也可以利用该技术悄无声息地访问该设备。

2. 全球多地 Zimbra 电子邮件账户遭到钓鱼邮件攻击

根据 ESET 的一份报告，至少从 2023 年 4 月起，网络钓鱼活动就一直在试图窃取全球多地的 Zimbra Collaboration 电子邮件凭证。

3. 普华永道踩坑 MOVEit 漏洞，泄露银行 8 万名储户的信息

波多黎各自治区最大的银行——人民银行向缅因州司法部长提交了一份客户信息泄露报告。该报告指出，由于供应商普华永道使用的 MOVEit 软件存在安全漏洞，导致银行 82217 名储户的个人信息被泄露。

4. 黑客再度盯上 LinkedIn，众多用户账号被盗

据网络安全供应商 Cyberint 的研究团队发现，近期 LinkedIn 正成为一波黑客攻击的目标，许多帐户出于安全原因被锁定或劫持。

5. 卷土重来？Raccoon Stealer 以全新隐身版本正式“回归”

Raccoon Stealer 信息窃取恶意软件的开发者结束其在黑客论坛长达 6 个月的停滞期，向网络犯罪分子推广该恶意软件的 2.3.0 全新版本。

安全事件

1. 特斯拉禁止入内上热搜，哨兵模式会泄密吗？

有网友在互联网平台发消息称，湖南岳阳三荷机场的停车场立有『涉密管制区域，禁止特斯拉入内』的警示牌，不允许特斯拉汽车进入，如果特斯拉车主有停车需求，可以把人送过去后，停到机场外十字路口右拐处。

2. 英国政府承包商 MPD FM 泄露大量敏感数据

为英国多个政府部门提供服务的设施管理和安全公司 MPD FM “遗留”一个开放实例，暴露出大量人员的护照、签证等敏感数据信息。

3. ScrutisWeb 曝出严重漏洞，可远程控制全球 ATM！

2023年年初，Synack Red Team (SRT) 成员 Neil Graves、Jorian van den Hout 和 Malcolm Stagg 发现了CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189 漏洞 。2023年7月，总部位于法国的软件公司 Iagona 在其 ScrutisWeb 网络应用程序的 2.1.38 版本中修补了这些漏洞。

4. AudioCodes 桌面电话和 Zoom ZTP 曝出严重漏洞，用户面临窃听风险！

AudioCodes 桌面电话和 Zoom 的 Zero Touch Provisioning (ZTP)被曝存在多个安全漏洞，恶意攻击者可能利用这些漏洞进行远程攻击。

5. 新的 Python URL 解析漏洞可能导致命令执行攻击

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。

一周好文共读

1. 攻防演练之给蓝队防守方的 11 个忠告

自 2016 年开展首届 HW 行动以来，越来越多的企业、单位加入到 HW 行动中来，网络攻防演练越来越贴近实际情况，越来越考验其实际安全能力。HW 行动对于我国网络安全行业发展有着巨大的促进作用。假若没有 HW 行动，大多数企业的安全防护体系建设还停留在预算审批阶段，在没有出现大的安全事件和触碰合规红线之前，企业对于安全方面的投入极为克制。

2. 攻防演练 | 网络安全应急响应典型案例(挖矿类)

近几年，除勒索病毒外，挖矿木马也越来越流行，多为利用漏洞利用、“永恒之蓝下载器”、弱口令暴破等手段完成攻击，由于其具有较强的隐蔽性，会利用一些手段避开受害者活动时间，利用受害者空闲时间进行挖矿，长此以往，服务器、主机显卡或 CPU 长期占用过高，导致电脑性能降低，同时攻击者会利用已控制的挖矿主机攻击其他设备，导致业务中断甚至更严重的网络安全事件的发生。

3. 关于近期国内航空航天领域面临 APT 窃密攻击风险分析

我国的航空航天事业自新中国成立以来就始终保持着高速发展的态势。近年来随着 C919 大飞机、天宫空间站、歼-20、神舟十六号载人航天等项目的顺利运行,我国在航空航天技术领域取得巨大突破，逐渐走在了世界前沿。然而高速发展带来的不止是荣誉，也伴随着一些负面问题，在竞争激烈的时代，窃取知识产权成为一种较低成本的快速追赶手段。

省心工具

1. acltoolkit：一款针对 ACL 的多功能安全工具

acltoolkit 是一款针对 ACL（访问控制列表）的多功能安全工具，该工具实现了多种针对 ACL 的滥用技术，可以帮助广大研究人员更好地研究 ACL 安全。

2. pyFUD：一款功能强大的跨平台多客户端远程访问 RAT 工具

pyFUD是一款功能强大的跨平台多客户端远程访问RAT工具，广大研究人员可以使用该工具快速实现远程访问与安全研究测试。该项目目前仍在积极开发过程中，可能会存在某些运行问题，开发人员会及时修复。

3. 如何使用 Mantra 在 JS 文件或 Web 页面中搜索泄漏的 API 密钥

Mantra 是一款功能强大的 API 密钥扫描与提取工具，该工具基于 Go 语言开发，其主要目标就是帮助广大研究人员在 JavaScript 文件或HTML页面中搜索泄漏的 API 密钥，Mantra 可以通过检查网页和脚本文件的源代码来查找与 API 密钥相同或相似的字符串。这些密钥通常用于对第三方API等在线服务进行身份验证，而且这些密钥属于机密/高度敏感信息，不应公开共享。