慢雾CISO：Telegram官方一个拼写错误导致另一文件格式绕过执行漏洞

7月31日消息，据慢雾首席信息安全官23pds发推称，Vyper官方文档推荐的实际上是一个错误的版本。

7月11日消息，慢雾首席信息安全官 23pds 发推称，近日苹果发布严重漏洞提醒，官方称漏洞 CVE-2023-37450 可以在用户访问恶意网页时导致在你的设备上任意代码执行，据信这个已经存在被利用的情况，任意代码危害严重，请及时更新。

金色财经报道，据慢雾消息，Grafana 发布严重安全提醒，其存在账户被接管和认证绕过漏洞(CVE-2023-3128)，目前 PoC 在互联网上公开，已出现攻击案例。Grafana 是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana 可以在网络浏览器里显示数据图表和警告。Grafana 根据电子邮件的要求来验证 Azure Active Directory 账户。在 Azure AD 上，配置文件的电子邮件字段在 Azure AD 租户之间是不唯一的。当 Azure AD OAuth 与多租户 Azure AD OAuth 应用配置在一起时，这可能会使 Grafana 账户被接管和认证绕过。其中，Grafana >= 6.7.0 受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况，请注意风险，并将 Grafana 升级到最新版本。

9月15日消息，慢雾首席信息安全官23pds发文称，据创宇威胁情报团队反馈，朝鲜APT组织Konni利用WinRAR漏洞（CVE-2023-38831）首次攻击数字货币行业。朝鲜APT组织Lazarus早已将数字货币行业作为攻击目标，主要针对加密货币/金融相关行业的攻击。但是本次的攻击活动首次发现朝鲜除Lazarus组织外还有其余组织针对加密货币行业进行攻击活动。 本次攻击活动中Konni使用近期Group-IB披露的WinRAR漏洞（CVE-2023-38831），这也是首次发现有APT组织利用此漏洞进行攻击。联想下最近从Stake被攻击，在到coinex等被攻击充分说明朝鲜黑客在披露大规模攻击加密货币交易平台等，用户需提高警惕。

6月20日消息，针对Kraken和CertiK之间的安全漏洞报告争议，慢雾科技首席信息安全官23pds在X平台表示，先不论对错，从测试角度出发：1.安全测试，可以小额充值测试，证明可行性即可。2.如果是为了验证风控机制，可以获取平台授权的情况下，单笔测试，验证完成，立即联系平台退还，并保留与平台沟通完整记录。3.给平台相应解决方案，双方协商赏金等后续事宜。针对此事件谁对谁错，23pds建议两家把沟通记录发出来就能得到证明。

金色财经报道，慢雾首席信息安全官23pds发文称，警惕Telegram恶意钓鱼链接导致Telegram帐户被接管风险。近日我们发现知名聊天工具telegram链接身份功能被爆一个风险，恶意用户通过私聊发送特定链接给受害者,一旦受害者点击此链接，可能导致自己的telegram 帐户被接管。 缓解方式： 通过 QR 码登录 Telegram 打开手机上的 Telegram 进入设置 > 设备 > 链接桌面设备 将手机对扫描屏幕确认登录 拒绝使用链接身份等快捷方式等登陆。